Ovviamente il primo documento che uno apre è il tariffario e qualche domanda sorge spontanea:
Quale è la differenza tra la registrazione e l’autenticazione? Perchè sembra essere che la registrazione fornisce “tutti gli ulteriori attributi”, ma onestamente non mi è chiaro questi attributi cosa siano e come possano motivare i 2.8 euro di differenza
“Anno solare”: si intende dalla prima registrazione/autenticazione o si resetta tutto il 31/12? Nel senso che se mi autentico il 31/12 e successivamente l’1/1 dell’anno successivo sono 1.2 o 1.2+1.2 euro?
“Tariffa semplificata”: a parte l’entry point a 500.000 euro (che mi sembra una cifra che va a tagliare fuori qualunque logica di startup, lasciando questa possibilità solo ad aziende molto grandi) non si capisce, sopra dice “pricing annuo”, sotto dice “24 mesi”. Capisco bene e sono 500K all’anno per 2 anni?
Contributi ben accetti, il mio è che non mi sembra che con questi tariffari la SPID per privata sarà mai qualcosa che possa decollare…
condivido la perplessità sui livelli dei prezzi. Mi piacerebbe allargare la discussione anche a quali altri incentivi ha un erogatore di servizi privato per aggiungere SPID al portafoglio dei servizi di autenticazione che usa. Sono questi vantaggi, e svantaggi, che poi ciascuno confronterà con i prezzi.
Credo che oltre al costo - fondamentale! - possano emergere questioni diverse da quelle economiche altrettanto dirimenti. Abbiamo cominciato a ragionarne con alcuni colleghi e cercheremo di farle emergere qui.
Ad esempio, capisco bene che l’esperienza utente di SPID prevede un messaggio di avvertimento che elenca tutti i dati che l’identity provider si accinge a trasmettere al service provider, e l’obbligo per chi accede di approvare esplicitamente questo trasferimento - ad ogni accesso?
Sulle tue domande, propongo quel che ho capito io, in attesa di contributi da altri più esperti:
l’autenticazione fornisce essenzialmente i dati anagrafici base, quelli condensati nel codice fiscale. La registrazione fornisce in più i recapiti, dati di contatto utili per comunicazioni successive, in particolare un numero di cellulare e un indirizzo di posta elettronica che l’Identity Provider ha verificato essere associati all’individuo che accede al servizio.
Sono dati preziosi, in particolare in quanto convalidati e aggiornati dall’Identity Provider.
Quale uso ne può fare il service provider? Vale con GDPR che il service provider può usarli se comunica a chi accede le finalità e ne ottiene il consenso esplicito?
Immagino che il service provider li richiederà soltanto se gli servono davvero, visto il costo elevato: quando non li ha ancora, un nuovo accesso, o quando motivo di dubitare della loro correttezza.
Nella mia esperienza “anno solare” vuol dire esattamente “fino al 31 dicembre”, tanto è vero che la ‘tariffa semplificata’ (che io chiamerei semplicemente ‘ribassata’) parla proprio di un transitorio fino al 2019.
quindi, sempre se capisco bene, 500 k vale dal momento in cui entri nel 2018 fino al 31 dicembre 2019.
Come ho scritto su Facebook, se voleva stimolare l’adozione di SPID sarebbe stato necessario almeno garantire un livello di accesso gratuito, altrimenti se volessi implementare una autenticazione di terze parti vado ad usare Facebook che è una identità digitale “de facto” anche se non certificata.
Non sono d’accordo. Facebook o Google sono gratis (in sostanza) ma non ti danno un’identità, ti danno un profilo ed una mail valida, poi dietro ci può essere chiunque.
Quello che ti da SPID è un’identità certificata e valida a svariati fini legali (che invece non soddisfi per niente con un OAuth di altri), che sia gratis non può essere perchè il costo di manutenzione e gestione esiste e non è giusto che se ne facciano carico i provider SPID (poi possiamo discutere se invece avrebbe dovuto farsene carico l’amministrazione statale, ma è un altro discorso).
Il tema è se con questi costi avremo mai aziende (che magari quei soldi potrebbero anche tirarli fuori) o startup (auguri!) che investiranno per attivare la SPID, devi proprio avere dei casi davvero monetizzabili per riuscire a giustificare questi costi.
Yes, capisci bene. L’esperienza utente (da utente) non è così male, forse è un pelo più farraginosa di quello che uno vorrebbe ma è tutto a tutela del consumatore.
Ci sono due punti che se non hai mai usato SPID (male!!!) vanno segnalati lato UX:
A volte oltre all’OTP via SMS viene mandato un doppio OTP, uno all’account di email registrato ed uno al telefonino (o alla App nel caso di Poste), non ho capito benissimo quando succeda, ma in sostanza mi pare sia o quando è passato molto tempo dall’ultima login o quando il sistema capisce che ho cambiato il dispositivo da cui accedo. Noioso? Sì. Sicuro? Altrettanto sì, e considerando che con la SPID puoi accedere (per dire) al mio fascicolo sanitario io sono ben felice che mi chiedano non due ma tre fattori di autenticazione!
Dopo aver acceduto mi chiede che dati vedere e devo approvare. Anche qui vale lo stesso discorso. Noioso? Sì. Sicuro? Altrettanto sì, visto che stai chiedendo dei miei dati PERSONALI se permetti vorrei sapere QUALI dati mi chiedi. Ad esempio non si capisce perchè Equitalia si accontenti del codice fiscale (bravi) mentre invece INPS oltre al codice fiscale voglia anche tutto il resto (meno bravi), non lo sapete come mi chiamo?
Ti consigli comunque di farti una SPID, ci vuole poco (io con Poste ho fatto tutto in pochissimo tempo) e, a parte che capisci meglio come funziona, io lo trovo uno strumento veramente utile.
sono d’accordo che SPID è uno strumento utile, per gli accessi ai servizi delle pubbliche amministrazioni. Ne ho uno che uso sistematicamente.
Diciamo che il messaggio che il mio IdP mi manda quando accedo ad una PA specifica, per me significativa, è un po’ oscuro per me, e penso per molti altri.
chiede “tutto” - sono 15 voci diverse. E chi le legge tutte?
Io sì che le leggo, e l’ultima mi è poco chiara: “Domicilio digitale”?
La prima volta che lo vedo imparo, se mi interessa, che quel SP specifico è, come dici tu di INPS, “meno bravo” di altri. E adesso che lo so? Rifiuto e mi metto in coda allo sportello? Mi piacerebbe poter scegliere di non rivedere lo stesso messaggio le prossime volte.
Soprattutto, sono convinto che molti privati per i quali l’esperienza del cliente è un fattore distintivo preferiranno evitare un metodo di accesso più macchinoso, dove l’esperienza utente è controllata da terzi, quando hanno già realizzato strumenti di autenticazione perfettamente funzionanti e legali sui quali hanno investito proprio per ottimizzare l’esperienza utente.
Quindi, in ultima analisi, alcune grandi organizzazioni private che potrebbero anche permettersi di adottare SPID, la eviteranno per evitarsi fastidi quando AgID, anche per ottime ragioni, decidesse di modificare l’esperienza utente.
Ieri con ClubTI Milano abbiamo pubblicato su ICT Professional, newsletter mensile di FIDAInform, un aggiornamento sull’uscita della convenzione e il confronto tra organizzazioni private e Identity Provider che stiamo avviando insieme ad AgID per facilitare l’adozione di SPID.
Giusta l’dea di far pagare ai privati una cifra per permettere ai propri clienti una identificazione certa tramite SPID (siglare contratti online, io penso al passaggio di operatore del cellulare, sarebbe velocissimo con SPID), tuttavia secondo me potrebbe anche essere utile mettere a disposizione in modo gratuito un metodo per accedere con SPID a siti “non così importanti” (i.e. questo forum).
Mi rendo conto che quanto ho scritto è un po’ un controsenso però comunque anche l’accesso [per esempio] a questo forum (che ora come ora si fa con una identità non verificata) possa essere magari più slim con un accesso tramite SPID Liv. 1.
Nel taglio a consumo, per l’autenticazione il costo è di 1.2 € a chiamata che viene fatta o ad utente unico (ovvero se interrogo il provider per N volte in un anno richiedendo lo stesso utente il costo annuale è di 1.2 €)?
Buongiorno,
Scrivo per conto dell’azienda per cui lavoro, AppNet S.r.l., per avere un chiarimento.
Di fatto noi vorremmo implementare l’autenticazione tramite SPID su alcune nostre web application. Questo farebbe di noi un Service Provider privato, corretto?
Come Service Provider privato per utilizzare l’autenticazione tramite SPID dovremo pagare quanto stabilito nel prezziario di cui si parla in questa discussione, corretto?
Partendo ora rientreremmo nella fase di sperimentazione e quindi saremmo costretti ad aderire alla tariffa flat annua di 500.000 euro o potremmo invece rinunciarvi preferendo una di quelle presenti nelle tabelle “A” e “B”? Potremmo quindi piuttosto scegliere in particolare una tariffa a consumo che nel nostro caso converrebbe, giusto?
Ci sembra abbastanza chiaro che sia in effetti così come abbiamo capito ma prima di imbarcarci vorremmo avere una conferma “ufficiale”.
però comunque anche l’accesso [per esempio] a questo forum (che ora come ora si fa con una identità non verificata) possa essere magari più slim con un accesso tramite SPID Liv. 1.