Il polso della situazione SPID

L’avvocato Andrea Lisi,Segretario Generale Anorc, scrive un provocatorio post sulla sua pagina facebook in cui si chiede se il team ha il polso della situazione fra SPID, CIE, CNS, etc… Credo che una qualche risposta sia dovuta. https://www.facebook.com/andrea.lisi.948/posts/10212250120820867

Ciao @Paolo_Del_Romano,
parlo per SPID penso che ogni suggerimento e anche polemica, se non stumentale e fine a se stessa, sia utile. Sicuramente c’è molto da fare e AgID e il Team sono sul pezzo di tutti i progetti citati. L’articolo di Giovanni Manca benchè inesatto (ma non essendo nel progetto magari non conosce le attività che stiamo portando avanti) è costruttivo e spinge nella direzione che vogliamo tutti. Non giudico il passato e le scelte di altri, parlo per il progetto che seguo, SPID, e per quello che sto mettendo su assieme ai colleghi di AgID e del Team. E penso e spero che presto le critiche possano trasformarsi in apprezzamenti. E i tempi di attesa sono molto brevi.

Umberto Rosini
Agenzia per l’Italia Digitale

2 Mi Piace

Ho avuto un confronto con Andrea Lisi sulla sua pagina facebook sul ruolo del team ed è anche intervenuto Giovanni Manca con un suo post. Sono consulenti e professionisti critici verso il nuovo corso del “digitale nella PA” che hanno avuto nel passato un ruolo importante nei processi di eGovernment. Penso che il tutto sia utile per chi vuole cercare di capire come mai ci troviamo a questo punto dopo 20 anni di investimenti per digitalizzare la PA e soprattutto per chi vuole provare a immaginare i possibili scenari del futuro image

Questa è la parte che preferisco! :heart_eyes:

Significativi cambiamenti in vista per lo SPID :clap::clap::clap:

Lo Spid è nato come sistema di credenziali unificato! :roll_eyes:
Non capisco tutte queste polemiche! :frowning_face:

Infatti concordo con Francesco Cerisano:

Credo che il problema sia stato scatenato da questo passaggio del Ministro, che io ho appreso da un articolo dell’Huffington Post:

L’articolo riporta la dichiarazione del Ministro a Radio Rai (che NON ho verificato, ma ritengo attendibile) e che riporto di seguito (l’evidenziazione e’ mia):

" Con l’identità digitale noi avremo un’unica e sola user e password per accedere a tutti i servizi digitali e potrebbe essere utilizzata non solo per i servizi digitali della Pubblica amministrazione, ma anche del privato . Per esempio i nostri conti in banca , prenotare un’ auto in sharing , andare al cinema , comprare su Amazon ha detto la ministra M5S dell’Innovazione in un’intervista a Radio Rai. User e password dovrebbero essere dati dallo Stato perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino . Lei lo sa quante truffe ci sono sull’identità su Internet ? ”.

Ad una lettura “ottimistica”, la trovo una dichiarazione “scivolosa”, che se fatta da una persona con competenze non particolarmente adeguate sul tema, puo’ essere facilmente fraintesa. Ripeto: a volersi sforzare di leggerla “in positivo”, si puo’ semplicemente dire che il Ministro ha omesso di precisare inequivocabilmente che si riferiva alle credenziali offerte da SPID ed alla “apertura” di tale infrastruttura di autenticazione verso tutti i servizi privati, su base “volontaria” dei privati stessi.

Ad una lettura “critica”, pero’, i passaggi “User e password dovrebbero essere dati dallo Stato”, " certezza che quello è quel cittadino" ed il riferimento alle truffe, li trovo preoccupanti e faccio personalmente fatica a leggerci qualcosa di positivo. Viceversa vi leggo una propensione al “controllo” (inteso in senso letterale; non necessariamente in senso “Grande Fratello”) che mi pare totalmente fuori luogo in un contesto come quello del nostro Paese.

A valle di questa dichiarazione c’e’ stato un fiume di “smentite” e “precisazioni” ed ora --come tu stesso rilevi-- mi pare che il quadro sia chiaro: SPID autentica TUTTI i servizi Pubblici e, in questo senso, dovrebbe essere l’unica “fonte”. Su questo punto NON si discute (e sono totalmente d’accordo).

Che poi SPID possa (e, per certi aspetti, DEBBA) essere aperto ad integrazioni esterne, concordo anche su questo punto… purche’ lo sia su base assolutamente volontaria (dei “fornitori terzi” e degli “utenti dei fornitori terzi”), esattamente come gia’ oggi accade per i vari “Autenticati con Google”, "Autenticati con Facebook, Linkedin, etc, etc. etc.

Ma, ripeto, SU BASE VOLONTARIA e senza alcuna forma di coercizione.

Tutto qua.

Un caro saluto,
DV

1 Mi Piace

Il problema è che questi politici sono poco competenti. Ma nel caso specifico dietro la Pisano c’è una macchina ben collaudata (mi riferisco al Team e ad Agid) che da tempo chiede una spinta di acceleratore su Spid (si vuole collegarla anche alla CIE e alla nuova PEC).
Io penso che in questo momento sembra esserci una buona sintonia fra il lvello tecnico e il livello politico e quindi questa volta forse si possono fare dei significativi passi in avanti.

Staremo a vedere se accadrà! :face_with_monocle:

Buongiorno, mi sono registrato dopo che ho visto il casino suscitato dalle imprecise parole del ministro, che però io avevo compreso benissimo, bastava fare la tara al fatto che non si tratti di un professionista e si capiva agevolmente di cosa parlava (ed è un servizio sacrosanto).

Vi scrivo per sapere se avete letto i tweet di Paolo Attivissimo al proposito. Io ho provato a chiedergli qualche spiegazione, specialmente quando dava retta e incoraggiava chi parlava della “stessa password per tutti i siti, che sanno tutti che è una pratica non sicura”, ma non mi ha risposto.

Scusate, ma sono rimasto un po’ sconvolto dalla pochezza di certe affermazioni, mi piacerebbe avere un parere da chi se ne occupa professionalmente.

Esempio da cui si può risalire a tutto il thread: https://twitter.com/disinformatico/status/1213806618397282305

Bè, tutti (ma proprio tutti) dicono di non riciclare mai le password, giusto?
Con SPID è un pò come avere una sola psw per ogni sito. Vantaggi enormi, ma se uno la tratta con leggerezza come le altre password (es. il classico post-it sotto la tastiera o il dirigente che lascia la firma digitale al funzionario perchè non vuole perdere tempo) rischia di farsi MOLTO male. Suppongo che intendessero riferirsi a quello, la scarsa avvedutezza dei nostri compatrioti e il rischio connesso.
Non voglio neanche pensare all’eventualità che SPID venga violato…

Ma lo SPID prevede 3 livelli di accesso e solo il livello 1 ti fa accedere con la pw.
Per le cose serie ci vuole almeno il livello 2 che richiede anche una OTP (One Time Password) generata da un token che di regola è il proprio smartphone.

Quindi ho la sensazione che chi ha fatto tutte queste polemiche centrate sul pericolo di avere una sola pw non ha capito bene come funziona SPID :roll_eyes:

1 Mi Piace

Ho visto gente dare in mano il cellulare dicendo “fai tu che non ci capisco niente, io intanto vado a prendermi il caffè”, altri lasciarlo in carica in ufficio mentre erano in riunione… acceso e senza blocco schermo… Certe situazioni miglioreranno (spero) col tempo, ma tanta gente non ha capito che lasciare in giro il telefono oggi è molto pericoloso… e NON per il rischio che qualcuno ti legga le chat whatsapp!!!

ma il livello due dello spid è protetto da una OTP che per generarla ci vuole l’impronta digitale oppure un PIN

(non parliamo a vanvera, per favore! )

Insomma, che tutti i sistemi di sicurezza siano vulnerabili e violabili è una verità. non a caso dopo il livello 2 di SPID c’è il livello 3 (la CNS, di fatto: ma questa è un’altra storia).
Che per gli strumenti di accesso a un sistema la sicurezza dipenda molto dall’utente che ne ha il controllo è altrettanto vero.
E non si puo’ nemmeno negare che se qualcuno si impossessa dell’accesso SPID di un altro i danni possibili sono elevati. Non a caso gli IdP (almeno il mio, va’) notifica tutti gli accessi effettuati in tempo reale.

Tradizionalmente, un po’ ovunque, l’identità delle persone è garantita dallo Stato, la carta di identità si è sempre fatta (i residenti in Italia almeno) in comune, che opera su delega del governo nazionale.
C’è quindi un tema di autorevolezza nella questione se l’identità digitale la debba rilasciare lo Stato direttamente o delegare a privati in un sistema federato.

Non credo pero’ che i temi SPID rialsciato da Stato o privati o SPID per accedere a servizi pubblici o privati si esaurisca in questo.
Siamo tutti, nostro consapevole malgrado, fabbriche viaggianti di dati personali, non solo dati personali nostri ma anche delle persone che compongono le nostre reti.
Consentiamo ai grandi player come Google, Microsoft, Apple, Amazon, Facebook, Twitter,TIM, Vodafone, Samsung, Huawei ecc. di controllarci costantemente (e non solo quando usiamo direttamente loro prodotti). La maggior parte dei soggetti che ho citato è tecnicamente in grado - esagero - di sapere cosa sto scrivendo adesso (o almeno di sapere su quale sito sono). Credo che tutti quelli con cui ho rapporti diretti mi abbiano garantito che non faranno mai controlli puntuali su di me, ma potrebbero.
I complottisti poi, restando all’estero, sostengono che i player statunitensi passano i dati di tutto il mondo al loro governo.
Analizziamo quindi la questione SPID da questo punto di vista (seguono domande NON retoriche):

  • uno Stato ha bisogno ha bisogno di avere notizia diretta degli accessi ai servizi web per sapere cosa stiamo facendo?
  • è meglio che la “password unica” ce la fornisca lo Stato o un privato che risponde allo Stato?
  • i gestori delle infrastrutture (i player di sopra) ottengono informazioni supplmentari se si usa un servizio di identità digitale?
  • ecc.
1 Mi Piace

le mie obiezioni si riferivano a chi afferma che si può usare lo spid con queste modalità. Ci tenevo a precisare che sono fakenews.

beh, se arriva un otp via sms e, per ns comodità, lasciamo attiva l’anteprima delle notifiche in salvaschermo, non c’è nemmeno bisogno di avere la psw di sblocco del cell. !!

NO.
la OTP scade dopo alcuni minuti e come dice la parola stessa lo usi una sola volta.
Quindi non è riutilizzabile!

1 Mi Piace
1 Mi Piace