menu di navigazione del network

Modalità per OTP SPID livello 2

Ciao a tutti, da quel che vedo ogni IdP ha implementato metodi diversi per l’autenticazione SPID di secondo livello.
Credo che la modalità con cui si riceve l’OTP o si porta a compimento il secondo fattore dell’autenticazione di livello 2 sia un fattore che dovrebbe influire sulla scelta dell’IdP a cui richiedere l’identità digitale.
Per esempio ci sono IdP che richiedono un dispositivo personale mobile connesso alle rete internet al momento dell’autenticazione, altri forniscono un dispositivo OTP fisico o una app per dispositivi mobili utilizzabile anche offline.

Sul sito di riferimento SPID c’è un’interessante tabella di comparazione degli IdP (
https://www.spid.gov.it/richiedi-spid ) che tuttavia si concentra sugli aspetti di ottenimento dell’identità, non su quelli del successivo uso, a parte per la segnalazione di poter ricevere l’OTP via SMS (situazione che di nuovo richiede di avere in quel momento un dispositivo connesso alla rete cellulare).

Esiste una simile tabella per orientare la scelta degli utenti sull’IdP più congeniale?

Per completezza: c’è una motivazione pratica dietro la rischiesta. In attesa che le regole tecniche RAO diventino operative e realizzabili e in attesa che la policy complessiva per la gestione dell’identità digitale sia rivisitata, le amministrazioni continuano a digitalizzare i procedimenti e i servizi e devono utilizzare SPID. Vorrei quindi trovare dei modi per sensibilizzare i potenziali utenti dei servizi a dotarsi di SPID, sia con azioni di comunicazione sia mettendo a disposizione qualche facilitazione concreta. Per esempio, dopo che hanno fatto la CIE, mettere a disposizione una postazione per richiedere SPID usando la CIE (o, a RAO operativo, usando il token rilasciato). Visto che al SP dovrebbe stare a cuore l’esperienza d’uso del servizio, dare indicazioni anche su come poi si dovrà utilizzare SPID sarebbe un valore aggiunto.

1 Like

No.

Per esperienza posso dirti che fare SPID Poste in posta è semplice, ma poi dopo l’utente si perde nella parte di USO. Fare spid online con Sielte e CIE è semplice (30 minuti circa), ma poi c’è sempre la parte di uso che può essere non facile per un cittadino.

Proverei a cercare sui siti degli idp se ci sono guide per usare spid.
Questo potrebbe essere un parametro di scelta per indirizzare il cittadino sommato ai costi e alla semplificità e modalità di registrazione. E’ chiaro che come PA non dovresti facilitare uno o l’altro IDP, del resto come PA devi anche aiutare il cittadino ad avere il miglior servizio al minor costo.

Andrea

Grazie per il contributo, infatti l’idea ancora in fase embrionale sarebbe mettere a disposizione una tabella comparativa, se ce ne fossero state di ufficiali sarebbe stato il massimo.

Aruba fa installare una app gratuita per generare l’OTP oppure, a memoria, ti vende una chiavetta.
Infocert (che ho aiutato a richiedere ma mai a usare), stando al sito, usa una strategia simile.
Poste fa scaricare un’app che - ho letto qui - puoi avere su un solo dispositivo e devi avere quel dispositivo online quando accedi.
Io personalmente, per mia facilità d’uso, preferisco la generazione dell’OTP da app o token dedicato.

E se si provasse a costruire una tabella sull’uso del livello 2?
Probabilmente servirebbe una testimonianza diretta o un questionario da sottoporre agli IdP, non sempre le indicazioni sui siti sono chiarissime.

La tua idea è interessante, ma l’effort non è banale.