Gestione centralizzata?

Ciao a tutti,
continuo qui un discorso che avevo iniziato su GitHub:

@madduci scrive:
se fosse centralizzata, si avrebbe un single point of failure, mentre con piú provider si hanno regole e flessibilitá differenti. Ad esempio, in Germania, Estonia e Olanda ci si affida proprio alla decentralizzazione del servizio, dove ogni service provider viene gestito da organizzazioni differenti.

Non sto proponendo un unico provider centralizzato, ma un servizio centrale che ridirige le richieste verso i vari provider, in modo invisibile all’utente.

Un single point of failure si avrebbe se ci fosse un unico server che processa tutte le richieste, ma come ogni servizio che si rispetti, ovviamente, non dovrebbe essere il caso… il servizio dovrebbe essere distribuito e ridondato su vari server.

Se per single point of failure invece intendi il servizio generale, ossia il caso in cui il servizio di “smistamento” delle richieste venga deliberatamente interrotto, beh… in questo caso specifico mi sembrerebbe una circostanza abbastanza grave per l’esistenza dello SPID stesso, se l’ente che lo regola venisse dismesso. In ogni caso, assumendo che possa continuare ad esistere, sarebbe facilmente gestibile con un fallback sul metodo di utilizzo attuale che continuerebbe a funzionare indisturbato.

@madduci scrive:
Quello che dovrebbe esser invece centralizzato é invece proprio lo SPID (e.g. carta di identitá digitale, come la nPA tedesca - eID)

Non mi è chiaro questo punto… io sto proprio parlando dello SPID… ci stiamo fraintendendo? :slight_smile:

@umbros scrive:
Sicuramente a livello di esperienza utente sarebbe stata forse migliore.

Beh… mi sembra un aspetto non secondario per un servizio del genere…

@umbros scrive:
Altro aspetto il fatto che un utente può avere più identità SPID o meglio più identità su diversi IdP.

Sinceramente non ne vedo l’utilità e, anzi, la vedrei come una pratica da scoraggiare. In ogni caso, tale possibilità resterebbe disponibile dato che i vari provider continuerebbero ad operare indipendentemente.

Ciao @giampiero la tua argomentazione non è affatto errata anche se non è l’approccio scelto per SPID;

Quello di cui tu parli è il discovery service che non è stato implementato in SPID e le scelte vanno dal fatto che chi eroga l’identità digitale sono aziende private regolate e vigilate da AgID e che un utente può avere più identità (aggiungiamo che l’identità digitale potrebbe essere associata anche ad altri servizi dell’IDP, sempre nel rispetto delle regole). Banalmente ti direi che, come ti ho scritto su github, potrebbe essere una procedura più semplice per l’utente (se per semplicità intendiamo il ricordarsi l’Identity Provider con cui ci si è registrati) ma parliamo di una semplicità che poi genera altre problematiche vedi, ad esempio, la gestione stessa della propria identità digitale e, architetturalmente, una gestione “costosa” per evitare che la funzionalità di discovery si riveli un single point of failure. E’ stato, quindi, scelto un approccio che poi è lo stesso seguito, ad esempio, da gov.uk verify (https://www.signin.service.gov.uk/sign-in).

Aggiungo @giampiero che quelle fatte sono scelte infrastrutturali e architetturali e che, nel tempo, ovviamente, si punterà a migliorare certi processi ma non abbiamo avuto segnalazioni di problematiche di ux relative alla scelta dell’IdP e riteniamo molto più stabile e esente da spof quella adottata e che il pulsante SPID sarà presto modificato dalla lista a tendina ad un’altra modalità di visualizzazione e di scelta ancora più semplice e accessibile - smartbutton is coming :wink: !!!

Buona Pasqua!

Ottimo, il mio punto era proprio questo… proporre un miglioramento…

Beh… una l’avete ricevuta… la mia :stuck_out_tongue_winking_eye:

Comunque il mio punto generale è che la funzione largamente principale dello SPID sarà quello, credo, di fornire un metodo di autenticazione unico e semplice. Di conseguenza, ogni piccola semplificazione di questo aspetto dovrebbe avere priorità rispetto ad una possibile complicazione architetturale (che non definirei “costosa”) o altri aspetti secondari.

E non giustificherei una scelta con “anche gli altri fanno così”… possiamo fare meglio :wink:

Detto questo, sono molto contento della direzione in cui state andando. Dare accesso al pubblico agli sviluppi della PA è un passo molto importante (anche se immagino sia spesso “costoso” da gestire :slight_smile:)

Continuate così!

Grazie Giampiero,
dare accesso al pubblico agli sviluppi della PA è un’opportunità per la PA stessa perchè ci si confronta come avviene in tutte le community e il confronto è sempre teso a migliorare constantemente.
E ogni consiglio è utile. Grazie ancora!

Mi associo, e la cosa diventerà via via più fastidiosa man mano vi saranno più provider.
Come già sta accadendo con PagoPA

@ssette @giampiero con i prossimi identity provider verrà presentata una nuova modalità di scelta dell’IDP che porterà al rilascio dello Smart Button che punterà, per quanto possibile, all’automatizzazione delle procedure di onboarding di nuovi IDP.
Sono con te che troppi diventerebbero un problema.
L’obiettivo è quello di semplificare sia per il cittadino che per i servizi che dovranno implementare SPID ed è, si può dire, uno dei principali focus.

Umberto Rosini
Agenzia per l’Italia Digitale

Se posso dire la mia opinione (non sono proprio esperto 100%), un sistema di gestione centralizzata di SPID, sarebbe una cosa fantastica, anche per evitare questo problema.

La domanda che mi pongo, è: perchè ogni IDP deve creare la sua App, il suo sito e il suo “sistema” per interagire con SPID? Non basterebbe un unico sistema/app/portale con cui interagire?
Ci sta il fatto che ci siano molti enti autorizzati a rilasciare SPID (ottima scelta quella di Poste Italiane per via della capillarità dei loro uffici sul territorio), ma non basterebbe un unico metodo per l’interazione col servizio?

Buona serata :slight_smile:

Concordo anche io con una versione centralizzata e semplificata nelle modalità con cui si richiede SPID.

Faccio un esempio di quello che accade in Olanda, dove ho dovuto richiedere il DigID:

  1. Vai sul sito digid.nl (bilingue), gestito dal Ministero, che è privo di scroll e ha 3 punti in primo piano: 1) Richiedi DigID; 2) Hai perso il codice?; 3) Autorizzazione conto terzi.
  2. Clicchi su richiedi DigID.
  3. Immetti 3 dati (analogo del codice fiscale, data di nascita, indirizzo)
  4. Immetti password, numero telefonico e email.
  5. Ti arriva un PIN a casa in uno/due giorni ed è attivo.

Le schermate sono minimaliste (vedere esempio), chiedono pochi dati e tutti in modo chiaro. Nessuna possibilità di errore e nessuna perdita di tempo per capire cosa vuole il Ministero da me.

Ho provato poi a richiedere SPID:

  1. Andare sul sito https://www.spid.gov.it
  2. Cliccare Richiedi SPID
  3. Capire quali siano le differenze tra 5 (+2) providers.
  4. Capire quali non sono a pagamento, perché è assurdo pagare per queste cose. Scelgo PosteItaliane (PI).
  5. Redirect sul sito di PI, dove devo capire la differenza tra PosteID e SPID.
  6. Provo col numero di telefono certificato, sperando di averlo.
  7. Mi serve la registrazione a poste.it, con ennesimo redirect.
  8. Capisco come fare la registrazione a poste.it per ottenere il PosteID che poi è l’analogo di SPID. Mi registro, tralasciando il fatto che per ottenere un servizio di credenziali “pubbliche” sto dando i dati ad una società per azioni, seppur controllata per maggioranza dallo Stato. Fortuna che non ho fatto quelle con TIM e Aruba, totalmente private.
  9. Scopro di non avere il numero certificato, e mi viene richiesto un lettore Banco Posta, che ovviamente non ho.
  10. Devo andare di persona in un ufficio postale…

Spero che questa comparazione possa aiutare in qualche modo.
Complimenti e continuate così l’ottimo lavoro che state portando avanti.

2 Mi Piace

È assurdo…
Se ci pensi, ottenere un’identità digitale in Italia è difficilissimo, in confronto alla versione olandese…

Credo che il modello da imitiare sia quello della e-residenza Estone

In Estonia non ti puoi sposare online, non puoi divorziare online e non puoi acquistare / vendere immobili online.

Tutto il resto si può fare online.

Molto interessante, non ne ero a conoscenza!

Ciao Luca,
ho analizzato il processo Olandese anche se andrebbero verificati altri fattori come, ad esempio, le banche dati a disposizione per il controllo.
Il processo è, come dici tu, lineare e semplice ma non comporta controlli “reali” dell’identità della persona, ovvero, potrei prendere l’identità digitale per ognuno dei miei familiari o delle persone con cui vivo senza che loro sappiano nulla.
Non si critica l’una o l’altra scelta ma sono modelli. Quello di SPID è sicuramente migliorabile ed è lo sforzo che stiamo facendo e ogni suggerimento è benvenuto.

Umberto Rosini
Agenzia per l’Italia Digitale

Sicuramente interessante il modello Estone, una nazione che si sta rivoluzionando molto e che sta puntando tanto al digitale. Non penso che il modello sia da imitare per due motivi principali:

  • Obiettivo dell’identità differente (SPID è fatto per i cittadini italiani o comunque con permesso di soggiorno e tramite EIDAS “accoglie” nei servizi della PA Italiana tutte le federazioni europee
  • Scalabilità e numerosità (l’Estonia è grande quanto metà Roma in quanto a popolazione) che non è una scusa per noi di non poter fare meglio, ma sicuramente lavoriamo su numeri differenti.

Un’interessante iniziativa è quella indiana che per loro è stato anche un modo di “ricontarsi”:
https://india.gov.in/services/apply

Umberto Rosini
Agenzia per l’Italia Digitale

Ciao Umberto,

grazie mille per la risposta. La mia non era assolutamente una critica, state facendo un lavoro fantastico e rinnovo i miei complimenti :slight_smile:

Molto interessante quello che dici, e bisognerebbe verificare se ciò dipende da motivi legali (privacy) o da scrupoli aggiuntivi delle varie compagnie (Poste, TIM, Aruba, etc). Nulla da fare se si tratta del primo caso, ma se fossero restrizioni cautelative significherebbe penalizzare gli onesti (milioni di persone), complicando la procedura, per ostacolare alcune centinaia (migliaia?) di disonesti.

Il mio suggerimento rimane quindi sempre quello di limitare il più possibile le scelte dell’utente. Meno scelte o domande l’utente deve porsi, più snella sarà la procedura.

Ciao @Luca_Sala sia le critiche e, in generale, qualsiasi feedback è utile perchè l’obiettivo è fare sempre meglio.
Relativamente la procedura di riconoscimento quella è normativamente definita, ma ciò non toglie che può essere migliorata. Per limitare la comunicazione di informazioni da parte degli utenti è necessario avere strumenti a cui appoggiarsi, parlo quindi di ANPR (Anagrafe Nazionale della Popolazione Residente) o della CIE (Carta di identità elettronica). Delle procedure più veloci sono comunque possibili attraverso l’utilizzo di CIE, CNS e altri strumenti che attestano un riconoscimento forte per l’ottenimento. La mia intenzione è quella di mettere a disposizione dei cittadini che vogliono cooperare al miglioramento dei processi degli strumenti con cui evidenziare problematiche, nel frattempo si può utilizzare il forum come hai fatto tu.

Grazie per la collaborazione

Umberto Rosini
Agenzia per l’Italia Digitale

1 Mi Piace

@umbros Attivare SPID con CNS è velocissimo, ci vanno 10 minuti, ma non posso dire lo stesso di chi non ha documenti di identificazione elettronica.

Purtroppo oggi la CNS ce l’ha solo chi la USA per lavoro, e la CIE non ce l’ha quasi nessuno.

Con CIE o CNS la procedura di registrazione è abbastanza snella e veloce, ma se uno (come me, 18enne) non ha nulla di tutto ciò, rimane solo l’attivazione ‘lunga’.

Avere SPID sarebbe molto più veloce e facile se la CIE fosse più diffusa :slight_smile:

Buongiorno @pif,

non tutti lo sanno, ma molte regioni (Emilia Romagna, Lombardia, Liguria,…) distribuiscono le tessere sanitarie che sono anche CNS.

Per abilitarle è sufficiente richiedere il PIN all’Azienda Sanitaria Locale.

Saluti.

1 Mi Piace

Ringrazio ancora @Angelo_Rossini per avermi aperto gli occhi riguardo a questa feature delle Tessere Sanitarie di cui non ero a conoscenza.

Nel frattempo mi rendo utile e ricordo a tutti, che come indicato in questo indirizzo, la TS CNS (Tessera Sanitaria abilitata a Carta Nazionale dei Servizi) è possibile pressoché in tutta Italia abilitare la propria Tessera Sanitaria a CNS, in modo da avere un mezzo che permette di attivare SPID in meno di 10 minuti! :wink:

Buongiorno,
anche in Piemonte la tessera sanitaria può essere usata come CNS, previa attivazione presso l’ASL.
Il problema è che poi, per utilizzarla, come per la CIE, è necessario avere e configurare un lettore di smartcard, cosa a mio avviso non proprio comoda per tutti gli utenti (con il costo del lettore, si poò pagare l’identificazione via Webcam presso un IdP).

Saluti

1 Mi Piace

Buongiorno @FedericoA,

in realtà il prezzo dei lettori di smartcard si è notevolmente ridotto (i prezzi partono da circa 9€ con spedizione gratuita).

Concordo invece sulla complessità d’utilizzo.

Saluti.

1 Mi Piace