Ciao a tutti,
ho colto il rinnovato interesse sulla CIE per registrarmi al forum e chiedere informazioni su una falla di sicurezza notata qualche mese fa nella procedura di recupero del PIN/PUK di diversi comuni.
Prendendo come esempio il sito web del comune di Verona si nota che gli unici dati richiesti per richiedere il PIN via email sono quelli riportati sulla CIE stessa, perciò un malintenzionato potrebbe recuperarlo partendo da una CIE smarrita/rubata.
Le procedure sembrano variare molto da comune a comune, ma ho notato che alcuni si sono aggiornati negli ultimi mesi, consentendo la ristampa solo di persona.
È in corso una standardizzazione delle procedure oppure è solo una coincidenza?
Devi avere rubato la CIE ed anche trovato le credenziali per accedere alla mail su cui arrivano parte dei codici. Non bastano i dati contenuti sulla CIE.
Non tutte le CIE hanno mail/numero associati.
Mi è capitato di dover fare questa procedura per un parente qualche mese fa.
Per testare la mia teoria ho creato una nuova casella email ed ho semplicemente chiesto i codici allegando fronte e retro della CIE.
Mi sono arrivate due email alla stessa casella con le due parti del PIN/PUK senza che venissero richieste ulteriori verifiche.
Anche nel caso ci siano dei contatti già collegati, mi pare che alcuni comuni consentano di modificare anche questi tramite email. (Il comune di Verona nel form chiede a quale mail inviare i codici per esempio)
Ciao a tutti,
assieme alle credenziali di livello 1 e 2 abbiamo rilasciato lunedì una nuova versione dell’App CieID che consente, tra le altre cose, di recuperare il PUK della CIE in assoluta sicurezza e soprattutto in autonomia, senza bisogno di andare al Comune.
Consigliamo di provarla.
Per usare la procedura occorre inserire i contatti e-mail e cellulare forniti all’ufficiale di anagrafe il giorno della richiesta CIE.
Saluti
Ciao @IPZS-CIE,
La procedura online di recupero del PUK sembra essere sicura.
Purtroppo però è ancora presente la procedura tramite il Comune:
Ricorda che puoi recuperare il tuo codice PUK tramite l’app CieID solo se hai comunicato uno dei tuoi contatti (mail o cellulare) al Comune quando hai richiesto la CIE. Se non hai comunicato i tuoi recapiti oppure non li ricordi, puoi recarti presso un qualsiasi Comune per chiedere la ristampa del tuo codice PUK.
Finchè questa procedura rimarrà valida e finchè tutti i Comuni si adegueranno per non permettere il recupero da remoto senza identificazione, tutte le CIE saranno a rischio.
Inoltre, se non ho capito male, qualsiasi Comune può recuperare il PUK di qualsiasi CIE, anche se non emessa da loro, quindi il sistema è forte quanto il suo anello più debole.
Nella procedura di recupero del PIN/PUK per l’Anagrafe viene riportato:
Se si richiede la ristampa della seconda metà dei codici, quest’ultima viene inviata via e-mail all’indirizzo indicato dal cittadino in fase di richiesta della CIE o a qualunque altro indirizzo (non è ammesso l’utilizzo della PEC).
Penso che il problema sia, almeno parzialmente, tamponabile richiedendo la delega da firmare non solo per la stampa cartacea di entrambi i codici, ma anche per la modifica dei contatti e per l’invio della seconda metà dei codici ad un indirizzo diverso da quello immesso in fase di richiesta.