Ciao a tutti, da quel che vedo ogni IdP ha implementato metodi diversi per l’autenticazione SPID di secondo livello.
Credo che la modalità con cui si riceve l’OTP o si porta a compimento il secondo fattore dell’autenticazione di livello 2 sia un fattore che dovrebbe influire sulla scelta dell’IdP a cui richiedere l’identità digitale.
Per esempio ci sono IdP che richiedono un dispositivo personale mobile connesso alle rete internet al momento dell’autenticazione, altri forniscono un dispositivo OTP fisico o una app per dispositivi mobili utilizzabile anche offline.
Sul sito di riferimento SPID c’è un’interessante tabella di comparazione degli IdP (
https://www.spid.gov.it/richiedi-spid ) che tuttavia si concentra sugli aspetti di ottenimento dell’identità, non su quelli del successivo uso, a parte per la segnalazione di poter ricevere l’OTP via SMS (situazione che di nuovo richiede di avere in quel momento un dispositivo connesso alla rete cellulare).
Esiste una simile tabella per orientare la scelta degli utenti sull’IdP più congeniale?
Per completezza: c’è una motivazione pratica dietro la rischiesta. In attesa che le regole tecniche RAO diventino operative e realizzabili e in attesa che la policy complessiva per la gestione dell’identità digitale sia rivisitata, le amministrazioni continuano a digitalizzare i procedimenti e i servizi e devono utilizzare SPID. Vorrei quindi trovare dei modi per sensibilizzare i potenziali utenti dei servizi a dotarsi di SPID, sia con azioni di comunicazione sia mettendo a disposizione qualche facilitazione concreta. Per esempio, dopo che hanno fatto la CIE, mettere a disposizione una postazione per richiedere SPID usando la CIE (o, a RAO operativo, usando il token rilasciato). Visto che al SP dovrebbe stare a cuore l’esperienza d’uso del servizio, dare indicazioni anche su come poi si dovrà utilizzare SPID sarebbe un valore aggiunto.