Il futuro di Spid

Buongiorno, mi chiedevo se c’è in programma un rifacimento dell’identità digitale, attualmente quando bisogna entrare con Spid bisogna seguire una miriade di passaggi, passaggi che una buona parte delle persone non è in grado di portare avanti. E per questo volevo sapere se verrà sviluppato qualcosa di più semplice e meno complicato. (Ndr. Perché bisogna fare le cose sempre così complicate ? )

In effetti ci sono spazi per semplificarlo…ma non sono sicuro che qualcuno che sta nella stanza dei bottoni ci sta pensando.

2 Mi Piace

Credo che la complicatezza della procedura derivi da una combinazione di ragioni (che, come sempre, prese da sole e all’epoca in cui sono state pensate avevano un senso). Le principali, credo, sono state la necessità di rispettare la normativa italiana sulla privacy, che è piuttosto corposa, e l’aver configurato SPID come servizio fornito da gestori privati (in un tentativo, forse, di prendere due piccioni con una fava: ridurre gli oneri organizzativi/politici/economici per lo Stato e fornire un ulteriore servizio al mercato - tentativo che, come sappiamo, ha avuto risultati dubbi).

Come al solito, sempre cose che “all’epoca sembravano buone idee”.

ma la mia domanda è se qualcuno stia pensando ad un upgrade con la finalità di semplificarlo

Stavo rispondendo a quest’altra domanda:

Sulla domanda se qualcuno stia pensando alla semplificazione dell’uso di SPID, la mia ricerca compulsiva di informazioni negli ultimi mesi non mi ha portato a nulla, purtroppo. Però va detto che la madre di tutte le semplificazioni sarebbe l’abbandono del sistema di provider e l’accentramento nelle mani dello Stato che è stato proposto a Dicembre e per ora accantonato (anche con argomenti vaneggianti che parlavano di uno Stato totalitario - come se lo Stato non avesse già ora, come è giusto, il monopolio dei dati di identità e delle informazioni ad esse collegate). Questo accentramento rimuoverebbe il passaggio di scelta del provider e le differenze fra provider nello step 2 di verifica identità (TAN, App proprietaria, e quant’altro). Probabilmente rimarrebbero solo il classico TAN e la app IO. Questo direi che è la semplificazione massima: la verifica in due step (utente/password, e TAN/APP/impronta digitale letta dal cellulare) è il modo in cui funzionano, per esempio, le verifiche di identità dello Stato Olandese e tutti i conti bancari in Olanda/Germania. L’unica è, quindi, sperare che si torni indietro su quella decisione. Altri modi di semplificare l’Accesso con SPID davvero non ne vedo. I due step di autenticazione sono ragionevoli e necessari.

Sulla domanda se qualcuno stia pensando a semplificare l’ottenimento di SPID, tutte le testate giornalistiche riportano questa settimana che il Decreto Semplificazioni conterrà norme in proposito, anche se nessun giornalista ne conosce i dettagli (per esempio, qui, “più facile il rilascio di SPID e CIE”).

PS: vorrei far notare che nei Paesi Bassi ho toccato con mano sul lavoro come anche ottantenni e novantenni fossero in grado senza problemi di fare il login con sistemi di username e password, e di segnarsi username e password di svariati siti. Direi quindi che forse conviene investire sulle competenze digitali. Se dovesse venire meno la complicazione dei provider multipli (quella, sì, un po’ antipatica e anomala a livello internazionale), non ci sarebbero più scuse: come Paese occidentale e industrializzato dovremmo essere in grado di produrre adulti che sanno fare ben più di segnarsi un username e una password in luogo sicuro e una verifica dell’identità in due step.

2 Mi Piace

Questo e’ il percorso di passaggi che devo svolgere io con Sielte per accedere con spid dall’app IO per esempio:
Andare su IO e ‘Entra con SPID’:
-> Scegli il tuo provider
-> Username & password
-> Andare su app Sielte
-> Accedere a app Sielte
-> Accettare accesso con SPID
-> Ritornare su app IO
-> Accettare dati che vengono condivisi
-> Sono passati 24 anni ma sono entrato

Mi sembra abbastanza scoraggiante la cosa

è da quando è nato SPID distribuito su provider privati che manifesto a tutti i livelli amministrativi che è una boiata incredibile. L’identità DEVE essere gestista dallo Stato, esattamente come si fa oggi nei Comuni: è un funzionario che opera il riconoscimento del soggetto e poi emette il documento cartaceo o CIE. Esattamente per questo principio un privato non può rilasciare una qualsiasi altra forma di identità, nel caso specifico digitale, ad altri soggetti privati. Legalmente non sta in piedi, ma così è andata.
Nel lontano 2007 mi sono occupato di dematerializzazione delle immatricolazioni universitarie. Il riconoscimento del soggetto è obbligatorio per legge per immatricolare uno studente. La soluzione è stata iscrivere online gli studenti, attendere il pagamento delle tasse (mav online e rendicontazione elettronica automatica) e lasciarli sotto condizione fino al primo appello utile. In sede di esame il riconoscimento è demandato al docente che apporrà la sua firma digitale sull’esito, anche in caso negativo. In questo modo abbiamo assolto all’obbligo di legge.
Scusate la lunghezza, ma in che modo i provider di SPID assolvono a questo obbligo tramite un funzionario pubblico?

4 Mi Piace

Sicuramente la complessità è inaccettabile.
La mia opinione attuale è che, allo stato attuale delle cose, se si ha la CIE e un cellulare con NFC ben funzionante, bisogna preferire la CIE allo SPID (salvo le dovute eccezioni, quella procedura sembra funzionare bene).
In tutti gli altri casi si è costretti a usare SPID, e la priorità per la semplificazione sarebbe rimuovere i provider privati e fare tutto direttamente in app IO (con TAN o impronta digitale). Questo toglierebbe oltre la metà dei passaggi che lei descrive:

Andare su IO e ‘Entra con SPID’:
-> Username & password
-> Secondo check identità (TAN/impronta digitale? Dev’essere chiaramente indipendente da IO)
-> Accettare dati che vengono condivisi

E va da sé che per gli accessi a servizi da Desktop/Browser sarà l’app IO stessa a fornire il secondo check (il problema è accedere a IO stessa).

Come detto nei giorni scorsi, non risultano progetti per semplificare l’accesso con SPID. Direi che siamo nella fase di implementazione dei servizi. Se questa funzionerà, non passerà molto prima che l’eccessiva complessità dell’accesso con SPID torni alla ribalta. Vorrei però sottolineare di nuovo che la resistenza all’accentramento di SPID in mani statali si sia basata su ragionamenti piuttosto vaneggianti da parte di alcuni; lascerei ognuno libero di trarre le proprie conclusioni.

1 Mi Piace

Cie molto più comoda anche se il pin anche li e’ davvero lungo e da ricordare la vedo dura

1 Mi Piace

Con PosteID si accede a IO una prima volta digitando username e psw poi si resta loggati e basta solo il PIN di IO. Poi dopo 30 giorni va rifatto l’accesso via PosteID. Mi pare comodissimo.

Il PIN è personalizzabile!

Tralasciando il discorso sulla complessità (su cui torno) secondo me il vero futuro sarà quando qualcuno capirà che serve abbassare i costi e fare in modo che usare la SPID su servizi privati diventi facile ed economico. Ci sono dei piani ma vanno… leeeeeeentiiiii…

Sulla complessità:

  • Per attivarla servono dei requisiti e francamente il processo attuale mi sembra già abbastanza snello (fatto con Poste anni fa e con Sielte durante il lockdown e la complessità faccio fatica a capire come ridurla senza introdurre problemi di sicurezza). Con il decreto semplificazioni poi è anche più facile, ad esempio per i titolari di conto Fineco attivare la SPID con Namirial richiede esattamente due click, uno per chiederla ed un per approvare l’operazione esattamente come per un bonifico
  • Per la complessità d’uso dipende dal provider. Con poste è veramente di una semplicità disarmante, scrivi la password (se non la tieni memorizzata sul browser), inquadri il QR Code, approvi i dati ed entri. Francamente meno di così mi sembra poco sicuro, con altri provider è più complesso (ma nessuno impedisce di modificare le altre App per funzionare come quella di Poste)
  • il sistema non è particolarmente facile da usare per autenticarsi in-app e questo è vero ma non credo ci sia una soluzione che non comporti dei compromessi di sicurezza

Ma il vero punto è il costo e la difficoltà di applicazione per i privati…

1 Mi Piace