Perché la CIE ha solo il livello di garanzia <elevato>?

Secondo il CAD, dovrebbero essere le pubbliche amministrazioni a decidere quale livello di garanzia richiedere per l’accesso ai propri servizi online.
AGID a suo tempo fornì per le principali categorie di servizi regionali, esempi di utilizzo del
livello minimo di credenziale SPID da impiegare
.
L’indicazione per la quasi totalità dei servizi online era ed è per il livello significativo, come è riscontrabile per la stragrande maggioranza delle pubbliche amministrazioni.
L’utilizzo della CIE prevede però solo il livello di garanzia elevato.
Resta incomprensibile il motivo di tale scelta, ove si consideri che a regime, tra cinque anni più o meno, quasi tutti i cittadini avranno la disponibilità della CIE.

Fornirò la mia personale interpretazione al fatto, premettendo tuttavia di non essere un giurista o persona con competenze specifiche nel tema.

La differenza tra i livelli di sicurezza (secondo l’art. 8 del Regolamento EIdAS e relativo atto esecutivo) è, sostanzialmente, la “garanzia” che questi forniscono nell’identificare l’utente e si differenziano nelle modalità di rilascio e di utilizzo.

In particolare, il livello 3 (elevato) prevede che (riassumendo):

  • il rilascio sia effettuato dopo l’esibizione di un documento e il confronto di fotografia e dati biometrici del richiedente;
  • il login ai servizi sia effettuato tramite l’utilizzo di autenticazione ad almeno due fattori utilizzando un dispositivo di identificazione che sia protetto dall’utente e non sia manomettibile; nella pratica (vedasi SPID), questo si traduce nell’utilizzo di un supporto fisico che gestisca delle chiavi crittografiche, come può essere per l’appunto la CIE.

A questo punto, soddisfacendo il meccanismo di login con CIE per sua natura le caratteristiche di sicurezza “elevata” (massima), sarebbe inutile attribuire un livello di garanzia più basso del medesimo dovendo comunque usare per l’accesso un supporto fisico che risulti confacente a quanto detto.
Infatti, mentre la procedura del Login con SPID risulta più scalabile, la modalità di autenticazione con CIE attuale di fatto non permette personalizzazioni tali da far cadere il requisito di massima sicurezza.

Resta il fatto che le linee guida di AGID prevedono i livelli minimi di sicurezza richiesti dai servizi: essendo che la CIE garantisce una sicurezza “elevata”, il login con CIE consente la fruizione di tutti i tipi di servizi online.
Nondimeno, a livello di implementazione da parte dei Service Provider non vi sono sostanziali differenze nel scegliere un livello di garanzia piuttosto che un altro.

Come nota di chiusura, trovo che sia giusto avere dei sistemi come SPID e CIE che, se da un lato assolvono allo stesso scopo di autenticazione elettronica, dall’altro abbiano caratteristiche difformi così da adattarsi a diverse esigenze, scopi e scenari d’uso.

Sono ovviamente aperto a conferme, smentite e commenti su questa spiegazione!
Saluti.

Certo che la procedura di autenticazione attuale prevede solo il livello di garanzia di massima sicurezza, è proprio questo il problema. Se con SPID non è necessario il livello di massima sicurezza, ma è sufficiente il livello significativo, perché questo mi viene richiesto se utilizzo la CIE?
Se l’esigenza di certezza di autenticazione nell’accesso a un servizio online è la stessa, perché devo utilizzare una procedura che, nel caso della CIE, è di una complessità folle?
Ovviamente per noi il tema è quello della semplificazione, dal punto di vista del cittadino, che in barba alle tante declamazioni, non viene tenuto in nessun conto…

Ok, quindi il problema di fondo è: “semplifichiamo la procedura di login con CIE”; poi il livello di sicurezza assegnato verrà da sé sulla base dei requisiti soddisfatti.

Su questo tema posso essere d’accordo, il login con CIE nel caso di utilizzo PC-Smartphone è effettivamente un po’ macchinoso, ma è necessario per configurare un livello elevato di sicurezza.
Faccio tuttavia alcune osservazioni, su cui sarebbe bello raccogliere idee e confronti:

  • Quali soluzioni si possono immaginare per sfruttare la CIE per garantire un livello di sicurezza anche meno stringente (ma soddisfacendo tutti i requisiti di sicurezza)?

  • Per avere una sicurezza “significativa”, bisogna prevedere che vi siano almeno due fattori di autenticazione, quindi presumibilmente uno username/password e qualcosa come un OTP/notifica push in-app, ecc… Si potrebbe sostituire l’OTP con una scansione della CIE, oppure una volta registrata la carta su CieID ricevere qui una notifica push da confermare…
    In ogni caso, arriveremmo a scenari molto molto vicini a quelli dello SPID!

Personalmente, non vedo nulla di male nell’utilizzo dello SPID e dei suoi vantaggi come alternativa alla CIE, che comunque può essere usata per chiederlo facilmente e gratuitamente anche da casa; anche perché esistono scenari in cui la CIE potrebbe non essere disponibile e quindi, giocoforza, lo SPID dovrebbe comunque rimanere in vita per queste persone.
E a questo punto varrebbe la pena avere in vita due sistemi molto simili?

È un argomento sicuramente interessante, ma anche assai delicato perché le normative sulla sicurezza dei meccanismi di autenticazione sono molto stringenti e credo che il fatto di aver reso le procedure così macchinose non sia una “cattiveria” nei confronti del cittadino quanto una cosa burocraticamente doverosa.

In ogni caso, sarebbe bello sentire altri pareri, anche più esperti e autorevoli in materia rispetto a quelli del sottoscritto.

Nei Paesi con ampio uso di servizi della PA digitale l’uso e’ molto semplice.
Nella maggior parte dei casi il servizio funziona come in Italia con Carta Nazionale Servizi / Tessera Sanitaria. Carta con chip, lettore collegato a un desktop via USB, PIN. Il doppio fattore e’ garantito dal possesso materiale della carta e dalla conoscenza del PIN. Quasi tutte le C.I. europee hanno il chip integrato, o con contatti a vista o con interfaccia NFC.
In Italia lo smartphone e’ considerato oggetto di culto per cui ci si aspetta che il cittadino medio ne possieda almeno due e molte soluzioni sono progettate solo per App. Nella maggior parte dei casi dove si ha bisogno di autenticarsi, vuoi per la dichiarazione fiscale o per consultare il FSE, ha pero’ molto piu’ senso farlo via desktop con uno schermo decente che non sui pochi cm2 di uno smartphone. In altri paesi nemmeno chiedono il numero di cellulare al momento di offrire credenziali di accesso ai servizi online. In Italia purtroppo TUTTI i fornitori SPID richiedono cellulare/ smartphone e non prevedono procedure alternative di autenticazione online ad esempio con token, smartcard, app su desktop ecc.
Altre differenze con il resto d’Europa. Da nessuna parte e’ prevista la concessione di credenziali solo online (vedi SPID). Una visita di persona agli sportelli e’ inevitabile. Potra’ sembrare scomodo, ma questo permette di emettere documenti con maggiore fiducia verso il titolare che si presenta di persona e non con documenti presentati via videocamera, filmato, tessera sanitaria e quindi accesso online gia’ attivato. Inoltre in nessun paese chiudono gli sportelli al pubblico o sono necessari mesi per accedervi. Il modello sempre piu’ diffuso sono “centri civici” generici dove l’addetto non e’ esperto di dettaglio di pensioni o patenti ma ha accesso a tutte le basi dati pubbliche. Da’ una mano a svolgere online le pratiche che il cittadino da solo non e’ in grado di fare. Questo e’ sufficiente a risolvere il 90% o piu’ dei casi nel rapporto cittadino-amministrazione. Va da se che questi centri hanno il POS, se uno deve pagare qualcosa lo fa sul posto ecc. ecc.
Danno l’impressione di aver pensato in primo luogo al cittadino medio e trovato un compromesso decente con le necessita’ della PA.

1 Mi Piace

Comprendo e condivido le osservazioni fatte, tuttavia sono meritevoli di attenzione alcune precisazioni:

  • Anche in Italia è garantita la possibilità di accedere da PC con un dispositivo fisico; anzi, si hanno ben due possibilità: la TS/CNS (che per il momento resta pienamente valida) e la CIE, che non dimentichiamo si può usare per l’autenticazione da PC con un lettore NFC.

  • L’utilizzo dello smartphone ha indubbiamente pro e contro, ma non si può dimenticare che soprattutto le nuove generazioni ne fanno un uso ben maggiore rispetto al computer e quindi va garantita una modalità di accesso ai servizi che non sia relegata al solo lettore per PC.

  • Il rilascio dello SPID online, a mio avviso, non è controproducente né poco sicuro: le stringenti modalità che normano l’identificazione danno una garanzia importante sul riconoscimento del soggetto titolare.

Certo, sull’accessibilità della PA da parte delle persone con una cosiddetta scarsa “alfabetizzazione digitale” si può e si deve migliorare.

Tornando sulle modalità di autenticazione: può certamente essere discutibile la scelta di affidare lo SPID a privati e che questo sia relegato all’uso di uno smartphone piuttosto che la modalità complessa di accesso tramite CIE; tuttavia vorrei non far dimenticare che lo Stato mette a disposizione una vasta gamma di possibilità (gratuite) per consentire al cittadino ad accedere ai servizi online:

  • Login da PC: SPID + Smartphone oppure CIE + Smartphone
  • Login da Smartphone: SPID oppure CIE
  • Non voglio usare lo smartphone: CIE/CNS + Lettore

In definitiva, che si possa migliorare il processo nel suo insieme posso essere d’accordo, ma dall’altra personalmente trovo che le possibilità a disposizione siano tante e che stia alla volontà del cittadino scegliere quella più confacente alle sue esigenze e convinzioni.

Credo che la differenza fondamentale di approccio tra Italia e altri paesi sia che in Italia si e’ preso lo smartphone come riferimento principale. In altri paesi il sistema digitale e’ stato progettato intorno a un token generico che nella maggior parte dei casi coincide con la carta d’identita’ (smartcard) ma che puo’ anche essere uno smartphone. Questo ha permesso una maggiore flessiblita’.
L’unico posto a mia conoscenza ancora piu’ estremo dell’Italia di SPID e’ l’Austria dove al momento l’identita’ digitale e’ permessa esclusivamente via smartphone. Pero’ il servizio di stato austriaco ha dichiarato di lavorare a soluzioni senza smartphone.
Mi piacerebbe trovare uno studio comparato dell’accesso alla PA online in diversi paesi che tenga conto del servizio richiesto (pagare una multa, consultare il FSE e presentare la dichiarazione fiscale hanno gradi di complessita’ diversi), metodi di accesso, preferenza nel modo di autenticarsi quando ci sono diverse possibilita’. L’unico studio di questo tipo che conosco riguarda Germania, Austria e Svizzera. Uno dei punti fondamentali riportati da questo studio e’ che occorre mantenere la possibilita’ di accesso a sportelli fisici e non gestire le varie istanze esclusivamente per via elettronica.

Trovo che la soluzione dei centri multiservizi sia la piu’ pragmatica, sensata e intelligente. Ce li hanno in Svezia, Finlandia, Russia, ora anche in Francia…

Monaco di Baviera

1 Mi Piace

È un’idea senza dubbio interessante che meriterebbe grande attenzione, però una cosa non esclude l’altra: se da un lato si può venire giustamente incontro alle esigenze dei soggetti che non hanno dimestichezza con le tecnologie, dall’altro bisogna fare anche in modo che queste mancanze vengano colmate perché è inevitabile non rendersi conto che il futuro si muova in questa direzione.

Gia’ nel XIX secolo era chiaro che il futuro si muoveva in direzione di sapere leggere e scrivere. Siamo nel XXI e purtroppo dobbiamo constatare che una percentuale consistente della popolazione sia analfabeta funzionale. Per il futuro prevedibile, diciamo, una generazione, per la digitalizzazione spingerei per interfacce aperte e indipendenti da fornitori specifici, al contempo istituirei i punti di contatto ad esempio per l’80-enne che ha problemi di vista, gli trema la mano, non puo’ investire migliaia di Euro in tecnologia e vuole semplicemente verificare la sua posizione INPS. A questa persona il fatto di potere scegliere di entrare sul sito con CIE/ SPID / CNS interessa poco.

L’impressione che ho dalle varie “strategie digitali” e’ che queste si rivolgano innanzitutto a 30-enni con master straniero, nativi digitali, inglese almeno B2-C1, ovvio, e nessun problema di reddito a inseguire di continuo nuove tecnologie. Che bella invenzione, PagoPA per semplificare il pagamento della multa per divieto di sosta direttamente dallo smartphone.

Se ho capito bene qualcosa di simile ce l’hanno anche in Inghilterra, sono uffici dove le persone possono andare per trovare aiuto nel risolvere problemi burocratici vari, compilare le varie richieste di sussidio, ecc
Vengono usati anche da gli immigrati, tutti gli immigrati, quando hanno a che fare con la burocrazia inglese.
Ma non so se siano stati creati dal governo, oppure siano strutture fatte dai comuni o regioni.
La cosa che qui da noi gli assomiglia di più penso che siamo i patronati, che però solitamente sono cooperative private o volontari, mentre invece dovrebbero essere pubbliche e pagate dallo stato.

Negli esempi a me conosciuti e citati i centri multifunzionali sono organizzati a livello statale ovviamente con sportelli su tutto il territorio. Gli sportelli poi possono anche gestire pratiche locali. Ottimo l’esempio dei patronati, concordo 100% che dovrebbero essere strutture pubbliche, pagate dallo stato e dove lavorano pubblici ufficiali con obbligo di riservatezza e confidenzialita’.

1 Mi Piace

Si concordo, il problema è che attualmente sono privati e funzionano piuttosto bene, vederli statalizzare solo per poi essere riempiti di amici di… francamente non mi esalta.

Il vero problema, è che ci troviamo con una burocrazia così complessa che il cittadino ha necessità assoluta dei patronati, e non importa che tu abbia la quinta elementare o un paio di dottorati, sia ricco o povero, in molti casi hai bisogno del patronato per riuscire vivo dalla nostra burocrazia.

Io trovo che GIA’ i patronati siano strapieni di ‘amici di’ anche se non sono statali. Ricordo che ricevono già ora sussidi pubblici (es. per l’invio dei 730) e nonostante ciò chiedono sovente contributi extra a chi vi si rivolge.
E se fosse per me gli investimenti andrebbero fatti per far funzionare e semplificare la macchina pubblica, non per foraggiare rimedi esterni ad essa. In un Paese civile dei patronati non dovrebbe esserci proprio bisogno.

2 Mi Piace

@Elena_S
Ho vissuto da residente legale e a lungo termine in quattro paesi oltre l’Italia. L’Italia e’ l’unico dove un contribuente normale che abbia una minima posizione non rigorosamente codificata e accettata deve andare dal commercialista. Su cinque dichiarazioni fiscali l’unica che non riesco a compilare da solo e’ quella italiana. La lingua del libretto esplicativo non aiuta.

Gli sportelli pubblici ai quali mi riferisco non sarebbero per consulenze fiscali, ma sarebbero certamente qualificati per il ritiro delle richieste cartacee o l’invio di quelle elettroniche. Ma nei paesi dove funzionano hanno piu’ che altro lo scopo di assegnare o verificare un codice fiscale.

Purtroppo navighiamo sempre sulla linea di confine tra come occorrerebbe fare le cose e la sua implementazione nazionale.

Ma infatti. Io immagino una PA guidata dal buonsenso al punto che il cittadino riesca a rapportarcisi da solo (per me è un fallimento che la PA si debba appoggiare ai consulenti esterni per poter erogare ai cittadini i suoi servizi).
Da noi lo sportello polifunzionale è stato ipotizzato da riformisti che immaginano una sede in cui si trovino fisicamente tutti gli uffici statali di una certa area e in cui il cittadino possa trovarsi una specie di URP trasversale che può dargli supporto su qualunque cosa.
Questa idea da noi non è realizzabile perchè la PA è talmente intricata che il tuttologo che sappia dire se va usato il modulo X o quello Y o se un’istanza è completa o meno ecc. già è dura trovarlo nella singola PA, figurarsi trovare uno che sappia le risposte per tutte.
E ugualmente i privati si sono specializzati in consulenze settoriali.

2 Mi Piace

Alleluja!
Sulla Gazzetta Ufficiale del 5 ottobre 2022 è stato pubblicato il decreto interministeriale 8 settembre 2022 recante “Modalita’ di impiego della carta di identita’ elettronica”.
L’art. 4, comma 1, prevede “l’utilizzo di tre diversi livelli di sicurezza di autenticazione informatica per l’accesso ai servizi in rete, rispettivamente di livello 1, 2 e 3, corrispondenti ai livelli basso,
significativo ed elevato del regolamento eIDAS”.
Ora non ci resta che aspettare che sia data attuazione a quanto previsto.