ID EIDAS diverso tra CIE e SPID

Buonasera,

segnalo un problema relativo a SPID e CIE.

Ho due account SPID presso due differenti IdP (Aruba e Sielte), e la CIE. Volevo accedere a Europass, il servizio UE appoggiato a EIDAS per la gestione del CV in formato europeo.

Ho notato che facendo login con CIE piuttosto che con Sielte e con Aruba accedo credo a ben tre account diversi. Oggi ho notato che:

• Accedendo con Sielte mi proponeva una nuova registrazione, ho usato lo stesso indirizzo mail e ho creato il profilo
• Accedendo con CIE trovo le mie esperienze lavorative salvate e posso modificarle
• Accedendo con Aruba (codice identificativo AIDP00000XXXXX) ho un profilo ancora diverso, dove le esperienze lavorative sono incomplete

In teoria EIDAS dovrebbe unificare l’accesso a livello di singola persona fisica. Anche perché potrei voler cambiare provider e continuare accedere come stessa persona fisica agli stessi servizi.

Qui si tratta di un editor online per CV, un’oretta e si riesce a recuperare i dati. Ma immaginiamo un servizio per intrattenere rapporti con una PA comunitaria e la necessità di rincorrere una pratica in corso non potendo usare lo stesso medoto di login di prima.

Inoltre non oso pensare cosa accadrà al rinnovo della CIE

Quanto al codice identificativo SPID riportato di sopra, ho avuto modo di copiarlo solo con Aruba. Sielte mostra quale tipo di dati inviare al servizio, non quali dati.

Qualcuno ha informazioni? Idee? Considerazioni?

Dove potrebbe essere il problema? A livello di nodo EIDAS italiano? A livello di servizio consumer (Europass)?

Mi dispiace non riesco a essere utile su questo, mi sembra una questione interessante, seguo.

Buonasera.
Ho avuto modo di riscontrare il suo stesso problema in passato, sempre riguardo all’accesso al sito di Europass: anche nel mio caso, SPID (PosteID) e CIE davano luogo a due account distinti.

Mi viene da pensare (mia supposizione, anche basata su due esperienze pressoché uguali come queste) che il problema possa essere di Europass che, ad esempio, invece di fare riferimento ad un identificatore univoco come il codice fiscale per creare le utenze si basa su dati propri dei singoli IdP come quelli da lei riportati.

Del resto, mi trovo perfettamente d’accordo con lei: questo problema, laddove fosse intrinseco del nodo EIdAS italiano, sarebbe potenzialmente gravissimo.

Consiglierei di inoltrare segnalazione ai gestori del login EIdAS italiano, tramite il form apposito di AGID, affinché possano essere svolte le indagini del caso.

Un saluto.

Alcuni aggiornamenti in merito.
Ho contattato l’assistenza del nodo EIdAS italiano, che mi ha risposto in breve tempo indicandomi di inoltrare la segnalazione direttamente a EU Login che gestisce il sito di Europass. Ora attendo comunicazioni in merito da loro.

Notavo però nel frattempo nella pagina ufficiale dell’UE che l’autenticazione tramite SPID o CIE dà luogo a degli identificativi univoci diversi (per CIE si basa sul codice fiscale, per SPID su un “codice SPID”); differenza che balza anche all’occhio in fase di login quando si accetta la trasmissione di questi dati.
Onestamente, mi sembra abbastanza assurdo che un identificativo univoco possa cambiare per la stessa persona! E il problema qui sembra proprio dal lato italiano…

In ogni caso, continuo ad indagare e terrò aggiornato questo topic con notizie in merito.

Buongiorno @djechelon,

credo proprio che l’indicazione di @AM311 sia corretta; il problema è nel mapping degli attributi effettuata dal nodo FICEP italiano che di fatto è l’interfaccia tra i sistemi di autenticazione nazionali e eIDAS.

Nel caso di autenticazione con SPID infatti il nodo FICEP utilizza l’attributo spidCode (con gli opportuni prefissi relativi al paese di provenienza e di destinazione) per valorizzare l’identificatore univoco passato ai servizi federati (ricordo che lo spidCode non è unico per il medesimo utente su ciascun IdP SPID nemmeno a livello nazionale, forse doveva esserlo nel disegno iniziale, ma ad oggi non è così) mentre nel caso di autenticazione con CIE viene utilizzato il codice fiscale dell’utente, visto che lo spidCode non è previsto nella CIE.

Credo quindi che EU Login possa fare ben poco…

Angelo.

Beh, il diritto alla portabilità dei dati personali è sancito dal GDPR ma è solitamente mal interpretato come il diritto a scaricare un dump di dati JSON da Facebook nella ipotetica circostanza che un social concorrente volesse importare i dati di FB.

Portabilità è anche questo. Il meccanismo di identità digitale deve dar luogo ad una ed una sola identità per ciascun individuo.

Secondo il mio modestissimo parere FICEP dovrebbe (no, avrebbe dovuto) usare il codice fiscale col prefisso per tutte le login. In Italia il CF è univoco per individui e aziende.

Avrebbe dovuto perché se si cambiano le carte in corsa gli utenti già loggati su servizi europei con ID errati non potranno più fare login.

Buongiorno.
Sono rimasto anch’io colpito dal fatto che questo “identificatore univoco” possa essere diverso per un utente…

L’assistenza EIdAS Italiana, che ho contattato ed è stata molto celere e cordiale, mi ha così risposto:

La questione legata all’univocità del parametro “Uniqueness Identifier” esportato dall’Italia è un problema ben noto e deriva da alcune scelte effettuate in passato che vanno al di fuori delle competenze del nodo eIDAS. Per assurdo, un cittadino italiano potrebbe presentarsi in Europa con dieci diversi “Uniqueness Identifier”, rappresentanti i nove SPID provider più la CIE.

Il fatto che le risultino due diverse utenze deriva dal fatto che quasi certamente il sito Europass (o chi per lui) genera e gestisce le utenze in base al parametro Uniqueness identifier.

In definitiva, sembra che l’Uniqueness Identifier" non sia così univoco (solo per l’Italia? chissà…), ma pare che il fatto sia noto e che i Service Provider dovrebbero usare altri attributi (come il CF) per generare le utenze.
Sono anch’io convinto che sia un fatto “curioso” a dir poco e rimanere ingannati sia piuttosto facile! Del resto, il modello era stato costruito così ed è stato adattato “alla meno peggio”!

Forse hanno ragione entrambi.

Gli IdP già espongono il codice fiscale, quindi questo (eventualmente standardizzato es. prefisso TINIT Tax Identification Number IT) potrebbe essere ri-esposto dal nodo EIDAS.

Quindi sicuramente Europass, l’applicazione consumer, dovrebbe utilizzare un altro tipo di dato.

Quanto all’identificativo univoco, non ne vedo sinceramente l’immediata utilità, ma poterne avere 10 diversi… non so… mi sembra come una “informazione in più”. Chiaro il concetto di cui sopra: Europass usa quella sbagliata.

Dico questo solo perché gli attributi esposti possono essere molteplici, averne uno in più male non fa, peccato solo che se lo si usa (male) si hanno side effect.

Era solo una riflessione.

Noi possiamo fermarci alle supposizioni, anche perché immagino che le motivazioni di questo “garbuglio” siano assai remote!

Il fantomatico “Uniqueness identifier” sembra essere univoco per l’utenza, ma non per la persona; avrà magari una sua utilità che a me personalmente sfugge.

Un “problema” che sorge con EIdAS è che gli attributi base che vengono sempre trasmessi sono: nome, cognome, data di nascita e il nostro identificatore univoco. Il Codice Fiscale, pur essendo disponibile, deve essere esplicitamente richiesto come attributo aggiuntivo.
Quindi, negli attributi base non ho nessuna informazione unica che mi rappresenti? Devo chiederla esplicitamente?
A questo punto non darei nemmeno una grandissima colpa ad Europass.

Speriamo che nei casi più importanti vi sia maggior attenzione nell’identificazione del cittadino!

Mi scuso in anticipo se dico castronerie: non sono per nulla esperto di questi temi.

Mi pare però che questo problema sia tutt’altro che secondario e che vanifichi gran parte del senso dell’identità EIdAS . Con questo sistema sarebbe dovuto diventare possibile verificare, in ogni Paese, l’identità di persone residenti in altri Paesi; questo, a sua volta, permetterebbe di verificare alcuni dati essenziali (età, sesso, residenza) e evitare che la stessa persona venga identificata erroneamente come NON tale (cioè: 3 contatti diversi con una PA europea della stessa persona vengono correttamente identificati come 3 contatti della stessa, non come 3 persone diverse). Esempio banalissimo di applicazione: impedire che un cittadino di un Paese europeo richieda un sussidio di disoccupazione in cinque Paesi diversi (cosa che, vi garantisco, accade regolarmente).

Se le informazioni associate a ogni provider SPID e alla CIE sono diverse, ogni italiano in Europa potrà essere rappresentato da dieci profili solo in parte sovrapponibili e, nel caso peggiore, addirittura con discrepanze delle informazioni.

Se, come dite, anche in Italia i provider SPID usano parametri diversi dal codice fiscale per l’identificazione, suppongo che il motivo per cui non siano stati ancora riportati casi gravi di soprusi (dieci redditi di cittadinanza, dieci residenze, eccetera) sia il fatto che le istituzioni che usano SPID/CIE per accesso poi effettivamente incrocino il dato con il codice fiscale nei loro dataset interni (cosa che ovviamente l’Agenzia delle Entrate e l’ANPR, per citare i due esempi di cui sopra, fanno). Ma la domanda è se lo faranno gli altri Paesi europei.

Dovrebbe essere così. Neanche io ho esperienza diretta in materia ma confido seriamente che qualsiasi ufficio pubblico prima di erogare un sussidio o cose verifichi la rispondenza col codice fiscale. Credo, ma magari a dire castronerie sono io, che in EU i sussidi si eroghino a patto di acquisire un CF locale.

Un cittadino europeo che prende residenza in Italia deve prima ottenere un CF italiano e all’INPS si accede tramite SPID italiano e non eIDAS. Le domande sono compilate sul CF dell’interessato.

Quindi mi aspetto che viceversa un italiano che emigra in Danimarca debba prima ottenere un CF danese e lo SPID danese (dai avete capito).

Poi il fatto che le PA comunitarie non dialoghino abbastanza per impedire i soprusi credo non passi per il tecnicismo di usare codici identificativi elettronici più o meno unici.

Bottom line: se accedo a INPS vedo lo stesso profilo a prescindere dall’identità digitale in uso
Bottom line: che dite, ci sono gli estremi per una segnalazione al Garante?

Un cittadino europeo che prende residenza in Italia deve prima ottenere un CF italiano e all’INPS si accede tramite SPID italiano e non eIDAS. Le domande sono compilate sul CF dell’interessato.

Sì, è così.

Però, qualsiasi caso d’uso eIDAS per cittadini non residenti è vulnerabile a questa falla. E questi casi d’uso devono necessariamente esistere: altrimenti che senso avrebbe aver creato eIDAS, se qualsiasi accesso a qualsiasi PA richiede fare prima il codice fiscale di quel Paese? Forse che eIDAS permetterà di accogliere un nuovo codice fiscale (ogni volta che si cambia residenza) sulla stessa identità digitale esistente di un altro Paese? Ne dubito fortemente…

Dipende fortemente dal servizio. Che senso ha integrare un FSE con eIDAS se l’assistenza sanitaria è regionalizzata ed erogata solo a chi ha un Medico di base in regione? (il che richiede, credo, il codice fiscale).

Poi se il problema vuol essere "io sono cittadino francese residente in Italia e con CF italiano e voglio autenticarmi con la CIE francese ai servizi della PA italiana… Hodesta l’è n’altra storia.

In Italia il problema non si pone, perché l’identificazione avviene sempre per CF; anche perché altri identificatori spacciati per univoci non credo esistano nell’ecosistema SPID/CIE (i codici SPID non li ho mai sentiti nominare prima di EIdAS).

All’estero la situazione si complica non poco, anche per il fatto che non esista uno standard europeo di Codice Fiscale (o altro parametro simile).

A mio avviso, il punto è questo: ci siamo imbattuti in un bug su Europass, e questo è palese; questo benedetto “identificatore univoco” non è poi così tanto univoco e sicuramente il codice fiscale risolverebbe il problema, ma come osserva anche @Luca_Valerio : le istituzioni europee sono state formate?

Paragoniamo, esagerando e divertendoci, il nostro “identificatore univoco” con il numero di tessera di iscrizione alla bocciofila: io ho il codice “12345” ed è chiaro che questo mi identifichi, ma nulla vieta che esista un’altra bocciofila in Italia che ha assegnato la tessera “12345” ad un altro soggetto; soggetti diversi, codice uguale. Ora, io Pubblica Amministrazione potrei basare l’identificazione su questo codice, ma sarebbe chiaramente da pazzi, oppure dovrei usare il CF che mi garantisce sicurezza. È chiaro che si è stati formati per scegliere quest’ultimo.

Il discorso è lo stesso: Europass è, in fin dei conti, un sito che non fornisce nessun servizio che definirei “critico” e l’identificazione può essere stata sottovalutata. L’auspicio è che il limite strutturale di questo codice sia ben noto e documentato e che le amministrazioni europee usino altri attributi più forti per accertare l’identità di un individuo.

La maggior parte dei servizi nazionali sono riservati ai propri cittadini, quindi EIdAS non li tange dal momento che bisogna avere un CF locale. Il login transfrontaliero è pensato per i servizi accessibili anche ai non residenti (università? sanità?, …) e qui ci colleghiamo ovviamente al discorso di cui sopra.

Son d’accordo! Prospettiva affascinante, ma manca standardizzazione e stiamo vedendo in questo momento i molti limiti che questo comporta.

Eh… I tecnici italiani sembrano essere a conoscenza del limite, ma siamo sicuri che le verifiche alternative funzionino e che tutti siano consci il problema? Come dire: “tra il dire il fare, ci son di mezzo EIdAS e decine di stati membri”.
Certo, sarebbe un’ipotesi da non scartare: la prudenza non è mai troppa!

Per chiudere il cerchio (forse)…

Ho provato ad avviare un autenticazione EIdAS sui servizi online della corrispondente belga dell’Agenzia delle Entrate: anche in questo caso, identificatore univoco come unico codice che mi rappresenta, e abbiamo visto i limiti!

Tra il preoccupato e il perplesso, ho fatto alcune ricerche sulle specifiche tecniche che regolano il login EIdAS e ho trovato quanto segue.

Uniqueness Identifier: This uniquely identifies the identity asserted in the country of origin but does not necessarily reveal any discernible correspondence with the subject’s actual identifier (for example, username, fiscal number etc)

Quindi, de facto, mi identifica univocamente nei confronti di uno stato senza condividere le informazioni sul codice fiscale nazionale.
E qui sembra che l’ipotesi della falla giganormica prenda piede…

Tuttavia, il Regolamento non prevede la trasmissione di alcun codice identificativo diverso da questo. Infatti, i soli attributi gestibili sono questi:

Sempre il Regolamento, infine, “ribalta” la situazione dicendo:

Any service that consumes assertions of identity must assume that the Unique Identifier presented for a particular person may change over time e.g. where the user’s digital identity is replaced or repaired. This should be handled by a consuming service using the same matching process as used when an identity is first encountered utilising the Minimum Data Set to identify the Principal within the service.

In pratica, l’Identificatore Univoco è sì univoco (tra due stati), ma è più debole di un codice fiscale in quanto potrebbe mutare nel tempo.
Quindi, i sistemi possono sì usare questo identificatore per riconoscerci, ma è anche vero che se questo non è stato mappato (ma anche sempre) devono basarsi sugli altri dati minimi per accertarsi che l’utenza non sia già esistente ed evitare conflitti.

Mi sento di dire a questo punto, tornando al topic originario, che il problema è nel sito di Europass che non segue quest’ultima specifica chiave.

PS: l’identificatore univoco serve a non condividere dati chiave come il codice fiscale, ma nel caso di CIE è proprio il CF… Questa è un’altra storia!

A quanto ho capito, gli unici identificatori eIDAS sono nome e data di nascita, non un CF nazionale. Questo apre problemi enormi di omonimia.
In passato ho lavorato in Svezia, paese del quale ho il CF. Entrato nel sito della loro INPS e’ apparso il messaggio “non hai un CF svedese, sottoponi la tua istanza per email”. Senza nemmeno chiedere se il codice lo avessi.

Beh, in un certo senso sì… L’identificatore univoco assolve parzialmente a questo scopo, ma non è così forte. Anch’io personalmente trovo il tutto un po’ debole; sebbene siano previsti dei controlli per fare in modo (o cercare di fare in modo) che tutto funzioni correttamente, abbiamo visto i limiti di questo approccio.

Ovviamente, si prenda il tutto con le pinze perché le informazioni in merito sono state reperite senza una ricerca troppo approfondita!
Se qualcuno ha da fornire maggiori dettagli sarà sicuramente apprezzato.

Qui il problema è sicuramente dell’“INPS” svedese: se si consente l’accesso EIdAS si deve prevedere l’accesso senza CF svedese, altrimenti non lo si implementi neanche (come fatto dai “colleghi” italiani, ma soprassediamo in questa sede!).
Certo che anche in questo caso emerge la grande potenzialità ma la mancata attuazione di questo strumento.

Speriamo che in futuro si dia una scossa al sistema: modifiche al Regolamento EIdAS sono in corso, chissà se penseranno anche al login federato transfrontaliero…

Mi unisco alla discussione per fornire un’informazione che forse chiarisce i retroscena del caso presentato in questo thread.
Il “codice fiscale” è un dato esclusivamente italiano, per questo non è previsto tra gli attributi eIDAS. Altri paesi avranno, se li hanno, altri identificativi univoci dei loro cittadini e utilizzeranno quelli per identificare univocamente gli utenti dei loro servizi, così come nelle PA italiane viene usato il codice fiscale e non il codice spid (salvo eccezioni). A questo si aggiunge il fatto che il codice fiscale fornisce informazioni personali che l’utente potrebbe non voler dare: ogni servizio deve infatti dichiarare quali attributi vuole recuperare e l’utente è tenuto ad accettare il loro uso, ma il codice fiscale contiene una moltitudine di questi dati (nominativo, data di nascita, luogo).
Visti questi problemi quando eIDAS è nato non si è potuto individuare un identificativo della persona fisica che potesse andar bene per tutti i paesi, quindi i servizi non possono che fare affidamento sull’identificativo unico, tenendo conto del fatto che ne possono esistere più “versioni” per ogni persona. Il servizio Europass quindi si comporta nel solo modo che è possibile: tratta ogni diversa utenza SPID o CIE come se fossero profili diversi, non potendo fare affidamento su nessun altro identificativo. Questo comportamento è sempre preferibile al doversi affidare a dati che non identificano univocamente la persona, come il nominativo e la data di nascita, perché possono esserci omonimie, e può essere preferibile anche per non dover richiedere dati personali non necessari.

@nakis, tieni presente però che si autentichi con CIE passando dal nodo FICEP come PersonIdentifier viene rilasciata una stringa in cui l’ultima parte è proprio il codice fiscale dell’utente perché l’IdP CIE non rilascia lo spidCode.

Sono quindi stati utilizzati due criteri differenti per SPID e CIE quando magari bastava rilasciare un identificativo opaco calcolato applicando al codice fiscale un SALT condiviso tra SPID e CIE.

Angelo.

No, se proprio doveva essere univoco e relativo al mezzo di autenticazione doveva essere funzione del numero della CIE. Secondo me. Così cambiando la CIE cambia il numero univoco.

Però io faccio fatica ad accettare questa affermazione. Il GDPR consente di chiedere tutti quei dati personali necessari e sufficienti a svolgere il trattamento. Chi ha studiato un minimo di matematica apprezzerà l’enfasi.

Se vogliamo davvero diventare una società digitale, dobbiamo equiparare i processi analogici a quelli digitali. Nei processi analogici una persona viene riconosciuta mediante l’esibizione del documento, e identificata tramite…?

Ecco, facciamo un esempio per capirci, ma purtroppo è forzato. Mario Rossi ha una Carta di Identità (cartacea… elettronica… chissene) italiana e si reca in Spagna per avviare una pratica edilizia. Allo sportello si presenta con la CI italiana e viene identificato. Potrebbe avere o non avere un identificativo spagnolo, ma sicuramente non una CI spagnola.

Dopo tre mesi Rossi deve ripassare allo sportello ma nel frattempo ha smarrito la CI e se ne è fatta dare un’altra. L’impiegato che fa? Rifiuta di servire la persona che ha davanti perché quella CI non corrisponde a nessuna pratica in essere presso il loro ufficio?

Questo è un po’ quello che è successo a Europass. Salvo esportare i CV sul proprio hard drive, se perdo l’accesso a una credenziale SPID non posso più recuperare l’accesso al mio profilo. E con Europass è possibile pubblicare il CV su Eures, quindi sarebbe necessario poter esercitare il diritto a revocare tale pubblicazione. Diritto che si perde perdendo l’accesso al vecchio SPID.