Pensando all’implementazione di nuovi servizi dedicati ad utenti italiani sto valutando se utilizzare SPiD come forma di autenticazione in modo da:
ridurre la barriera di ingresso (si presume l’utenza abbia già attivato SPiD)
avere il codice fiscale degli utenti garantito (a scanso di furto di identità) allo scopo di incrociare il dato con database locale per sapere quale utente abbia quali livello di accesso (ie: a quali corsi l’utente X sia iscritto, di quali corsi l’utente Y sia docente)
Non frequentando questo mondo dal lato implementativo ho pensato di chiedere qui nel forum pareri e raccomandazioni.
Da rapida lettura di Diventa fornitore di servizi - Spid mi sembra di capire che attivare tale servizio sia oneroso, a causa della necessità di mettere i fornitori di identità SPiD al corrente dell’esistenza del nuovo servizio, ho capito bene ? Possibile non ci sia modo per un cittadino Italiano di dimostrare in modo “garantito dallo stato” la propria identità senza che il richiedente debba avere un accordo preventivo con un fornitore ?
Per i privati, SPID ha dei costi che si basano anche sui volumi di autenticazioni fatte.
Se vuoi avere garanzia dell’identità senza spendere nulla, a parte gli ovvi costi di sviluppo, puoi autenticare i tuoi utenti con una CNS o una CIE.
Concordo con @fabrizio Tra l’altro non capisco perche’ le banche non permettano l’accesso con CIE ai loro servizi, a loro costerebbe poco e l’identificazione e’ di Livello 3. Potrebbe essere un ottimo backup all’accesso con app bancaria. Andando in banca di persona, al contrario, la CIE e’ accettata anche se nel frattempo non si assomiglia piu’ alla foto.
Grazie, non so quanto sia diffuso l’NFC sui telefonini ma se CNS e CIE consentono davvero l’identificazione senza intermediari mi sembra un’ottima cosa. Sapete dove si possa trovare una buona guida ? Suppongo si tratti di verificare una firma digitale tramite certificato governativo, ma poi quali informazioni circa l’identità del firmante si possono ottenere ?
Purtroppo non si tratta di verificare una firma digitale, e’ un argomento del quale qui discutiamo spesso. La CIE non prevede la funzione di firma.
Trovi la documentazione CIE sull’apposito sito del Ministero degli Interni https://www.cartaidentita.interno.gov.it/
Ciao, è banalmente un’autenticazione basata su certificato client.
Questo è custodito nella CNS (quindi una carta come quella venduta per la firma digitale, oppure la tessera sanitaria con apposito lettore), o nella CIE (lettura contactless).
Lato server è veramente banale, basta mettere le URL di autenticazione sotto richiesta client certificate e usare come CA l’elenco delle TSL (Trust sourced list) che è disponibile come elenco per l’intera EU (google is our friend for it).
Per la CIE c’è una sola CA con subCA, mentre per le CNS sono diverse, una o più per fornitore o regione italiana.
Lato client è un po’ più complicato, perché serve il lettore fisico.
Sul telefono si usa NFC per la CIE, la CNS non ha driver NFC anche se le nuove hanno interfaccia NFC ma senza driver non funziona, almeno per la tessera sanitaria.
Sul PC si usa lettore NFC per la CIE, con driver forniti dall’istituto poligrafico della zecca di stato, per la CNS si usano i driver del fornitore (solitamente sono USB) o quelli della tessera sanitaria in accoppiata con un lettore ISO 7816 standard.
Per la CIE il pin/puk viene consegnato diviso in due parti fra quando si richiede e quando si ritira la CIE. Per la CNS “commerciale” è parte del pacchetto, mentre per la tessera sanitaria uno deve andare per ASL alla ricerca del PIN perduto.
Diciamo che l’uso della tessera sanitaria non è alla portata dell’utente medio. La CNS “commerciale” lo è perché chi ce l’ha sa anche usarsa e sa il PIN. La CIE da cellulare forse si, ma c’è sempre il tema PIN che la gente cestina dopo la richiesta e poi viene a chiedere al “cuggino bravo con i computer” come si recuperi.
Quindi lato server è facilissimo da fare. Lato utente, meno.
E’ considerata “Firma Elettronica Avanzata” ai sensi del CAD.
Perché lo sia, è un mistero.
Cioè, un terzo che ti da una CNS prendendo per buona una videochiamata va bene.
La CIE, emessa dal Ministero dell’Interno con l’interessato che deposita pure le impronte digitali, no.