SPID ha introdotto una grande comodità nell’accesso ai servizi online, semplificando notevolmente la nostra vita digitale e personalmente lo uso con frequenza. Tuttavia, con questa facilità d’uso mi fa sorgere alcune preoccupazioni sulla sicurezza e sulla possibilità che qualcuno possa aprire un SPID a mio nome senza il mio consenso, facendo leva su ipotetiche lacune dei provider durante l’attivazione.
Il rischio di una verifica sommaria lascia una finestra aperta per eventuali abusi specialmente perchè non ci sono limitazioni sul numero di providere SPID che possiamo attivare. Se qualcuno dovesse ottenere abbastanza informazioni personali, potrebbe tentare di attivare un SPID a nome di qualcun altro su di un provider diverso da quello usato dal soggetto interessato.
I provider SPID svolgono un ruolo chiave nella sicurezza del sistema. Spetta a loro garantire un’attivazione adeguata e una verifica accurata dell’identità dell’utente. Tuttavia, l’efficacia di questa verifica può variare da un provider all’altro.
Per rafforzare la sicurezza di SPID, sarebbe necessario un costante miglioramento e monitoraggio delle procedure di verifica da parte dei provider, Non sono riuscito a trovare nulla per capire se e come sono monitorati e da chi (sapete dove travere queste informazioni?).
Inoltre non sarebbe male introdurre dei controlli incrociati nel sistema, quantomeno avvertendo l’utenza SPID preesistente in caso di attivazione di una nuova utenza su di un’altro provider (non credo venga fatto). Meglio ancora se fosse consentito un unico provider per codice fiscale.
Non ho mai visto ne dati ne report sui furti d’identità effettuati tramite SPID ma solo accenni in articoli di giornale sui singoli casi.
Sarebbe interessante che venga effettuata una analisi del rischio specifico e che vengano aggregati e condivisi KPI su fenomeni dei furti d’identità e dell’uso di molteplici provider SPID da un singolo cittadino.
Finchè SPID serve per effettuare attività a basso/zero valore (pagare tasse, multe ecc.) il fenomeno potrebbe essere circoscritto ma quando utilizzeremo SPID per fare cose con valore economico io non me la sento di fidarmi dell’attuale sistema.
Cosa ne pensate?
Buongiorno!
In questo forum ci sono alcune dozzine di thread che trattano l’argomento. Per alcuni dei partecipanti SPID va piu’ o meno bene come e’, altro lo vedono in maniera piu’ critica, per numerosi motivi. Parte di questi motivi ricalcano quelli da te esposti.
I miei motivi, condivisi anche da altri partecipanti, sono due. La prima verifica di identita’ non e’ di persona ma solo online, quindi con criticita’ legate alla possibile falsificazione di documenti (facile, con degli scan), e questo ricalca un po’ quello che esponi. La seconda critica e’ che tutti i fornitori si basano su app proprietarie per la generazione dei codici OTP di accesso al servizio. A loro volta queste girano solo sul smartphone, e non su tutti i modelli, mentre OTP via mail non le propone nessuno. Quindi l’utente e’ legato a particolari tecnologie e manca di flessibilita’. Se i fornitori permettessero l’uso di un generatore OTP generico, tipo Google Authenticator o programmi equivalenti OPEN, avremmo molta piu’ flessibilita’ senza perdere in sicurezza. SPID ha pertanto numerose limitazioni dovute a volonta’ politica e scelte commerciali, le questioni tecnologiche sarebbero al contrario facilmente affrontabili e risolvibili. Comunque se cerchi nel Forum troverai centinaia di argomenti pro o contro SPID, ne discutiamo da anni.
Buongiorno Gianguido,
secondo me non bisogna essere ne pro ne contro, ogni tecnologia dev’essere monitorata, analizzata e fatta evolvere.
Se vengono rilevati dei rischi, vanno analizzati e si mettono in campo le azioni necessarie per mitigarli.
La cosa fondamentale è la trasparenza, perchè non c’è sicurezza celando rischi e vulnerabilità.
Se i fornitori SPID (1) accettassero l’identificazione di persona, come ad esempio per la CIE e (2) fossero piu’ flessibili sui metodi di accesso, in particolare quelli OPEN (che non vuol dire poco sicuri, anzi) senza legarsi a particolari tecnologie sarei un sostenitore dello SPID senza se e senza ma. Ma come ho scritto sopra la visione tecnologica e quella politica/commerciale non sempre coincidono.
Non ho ancora sentito che i fornitori SPID abbiano mai chiesto punti di vista agli utenti. Per email rispondono solo via chatbot (o danno l’impressione di esserlo). Al contrario, gruppi di sviluppo di CIE, ANPR e altri servizi seguono le discussioni su questo sito e a volte intervengono con commenti e precisazioni.
il C.A.D. (codice amministrazione digitale) attribuisce ad AGID il compito di vigilanza sullo SPID.
Ho trovato una pagina introduttiva sulle funzioni di vigilanza:
https://www.agid.gov.it/it/agenzia/vigilanza
Ma se vuoi qualcosa di più specifico credo che spulciando il sito si trovi oppure puoi provare a chiedere ad @AgID
Salve la questione dell’identità digitale non è una questione tecnica né tecnologica, bensì una nuova istanza dei diritti basici di un cittadino in una società moderna di stampo democratico. Ahimé le autorità di governo e la PA non sembrano assolutamente in grado di affrontare tale sfida dei nostri tempi, anzi hanno usato l’identità digitale per creare un fittizio mercato di provider dell’identità senza assolutamente preoccuparsi di garantire
- unicità qual’è il senso di più SPID per lo stesso individuo. Sarebbe come avere più carte d’identità. Insomma una follia amministrativa!
- sicurezza i provider sono soggetti di diritto privato, non si capisce bene a che titolo gestiscono la ns identità digitale e soprattutto non esiste un dispositivo legislativo che garantisca il cittadino di fronte ad abusi, errori, manomissioni e via dicendo della propria identità digitale;
- non ha senso parlare d’attività di basso o alto profilo per un identità digitale. Valutare il valore della propria identità sulla base dell’esborso monetario è un’autentica aberrazione della ns epoca.
- sarebbe doveroso che siano resi pubblici tutti gli elenchi delle identità digitali gestite da provider privati, in quanto sia conosciuta a priori ogni violazione della privacy.
- l’AGID è latitante sulla autorizzazione alla diffusione dei dati personali ogni qualvolta si richiede un accesso con SPID: l’INPS non ti fa accedere ai servizi se tu non autorizzi alla diffusione dei dati personali, quindi non si capisce che razza d’autorizzazione sia se poi esiste una sola possibilità di risposta ossia AUTORIZZO.
Queste sono solo alcune delle riflessioni a caldo sulla sollecitazione fatta. In effetti il Parlamento dovrebbe farsi carico di una indagine conoscitiva sull’andamento dello SPID per mettere a punto il prima possibile un quadro giuridico validante l’uso della identità digitale.
Saluti
RS
Cito solo questo tra le cose sbagliate dette.
In italia ogni tessera con foto rilasciata da una PP.AA. è un documento di identità valido. Dalla licenza di Pesca al badge di un ministero.
Per la necessità di autorizzare il trattamento dei dati. Mi sembra ovvio che se si vogliano utilizzare dei servizi sia necessario approvare il trattamento, e che sia cmq giusto essere informati.
La informo che Il quadro giuridico esiste da anni e si chiama CAD.
Un fornitore SPID puo’ richiedere che si abbia un particolare modello di smartphone, ad esempio quello costruito a mano da Bill Gates usando pietre lunari, e rifiutando il servizio a tutti coloro che non hanno accesso a questa tecnologia? Stessa cosa per la PEC, puo’ essere basata su tecnologie particolari e commerciali? Aruba, ad esempio, per riconoscere l’identita’ tramite CIE richiede l’installazione di un programma Windows. Potrebbero usare le routine online della PA, ma non lo fanno. C’e’ un motivo?
Attenzione! Qui non si tratta di diffusione ma solo del permesso di usare questi dati. La domanda durante il processo e’ idiota, ma per altri motivi. Sarebbe come andare di persona all’INPS (peraltro da qualche anno questo e’ impossibile, vietato!), identificarsi con Passaporto, Carta d’Identita’ ecc. e sentirsi dire “Caro Signor Mario Rossi, affinche’ io possa entrare nel terminal e quardare la sua posizione previdenziale deve firmarmi un modulo che mi autorizza a farlo.”
A riprova dell’idiozia di questa domanda puo’ essere sufficiente confrontare con la gestione dell’Identita’ digitale di altri paesi. Marius von Rossen a Berlino fa login con la sua Carta d’Identita’ digitale e prendono per scontato che se lo fa e’ d’accordo che l’amministrazione contattata vada a cercare i suoi dati. Altrimenti non faccia login da loro.
sbagliato è ciò che lei afferma se avesse compreso ciò che ho scritto: una carta d’identità è univoca non è duplicata. Qui si parla di identità digitale non delle diverse istanze che ne fanno uso. Lei non conosce la materia e parla ma prima di parlare si informi. Il trattamento dei dati personali non implica l’autorizzazione, l’autorizzazione la si fornisce per l’uso esterno di tali dati. Saluti
Perché pensa che la differenza tra spid di Aruba e spid di Poste sia diversa da quella tra il badge del ministero dell’interno e quello di AgID?
perché è un identità non un badge se lei non ha compreso correttamente cosa significa la identità digitale non è mio compito spiegarla. Sarebbe sufficiente che si documentasse. Non è questione di opinioni da salotto televisivo. Saluti
già prima era possibile avere più documenti d’identificazione, come la carta d’identità, il passaporto, le tessere di riconoscimento AT e BT, etc…insomma, si è replicato la ridondanza del mezzo d’identificazione anche sul digitale e non ci vedo nulla di male: se uno funziona male, puoi usare l’altro.
in che senso? In teoria il CAD assegna ad AGID il compito di vigilare e, se un cittadino dovesse segnalare abusi, provvederebbero immediatamente ad ispezioni.
infatti quando ti connetti al sito INPS con lo SPID, l’IdP ti chiede l’autorizzazione a fornire ad INPS una lista di dati. Io lo trovo interessante come passaggio perché mi permette di vedere alcune differenze.
Ad esempio si vede come AdE chiede solo il CF, percui l’email o l’indirizzo personale vanno aggiornati a mano o vengono aggiornati attraverso altri servizi. INPS invece chiede una lista mooolto più lunga ma probabilmente prende tutto da lì.
Credo che né la carta d’identità analogica né lo SPID siano vere “identità” ma solo mezzi d’identificazione della persona che vengono associati ad una identità attraverso mezzi d’identifcazione già (pre)esistenti o processi un po’ lunghi (tipo i testimoni all’anagrafe per il rilascio di CdI senza precedenti documenti).
Dove posso trovare la definizione che lei intende per “identità digitale”?
Perché un’identificazione digitale può fallire (errori di rete, app che non funziona, problemi nel provider SPID, etc.). Quella cartacea no.
Perciò, in caso di urgenza o necessità di accedere ad un servizio digitale, è opportuno che ci sia un piano B, che è appunto un’altra identità SPID.
Lei, chiaramente, non sa di cosa sta parlando. Tutti questi, analogici e digitali, sono mezzi per verificare per proprietà transitiva la propria identità: non sono identità.
Dimenticavo, di sicuro non sa che è possibile avere due passaporti italiani. Validi entrambi. Basta chiederlo con opportuna motivazione.
Per alcuni anni ho dovuto viaggiare tra paesi “scomodi”, quelli che vogliono solo documenti originali, puliti, senza una piega. Quelli che trattengono il passaporto un mese prima di apporre un visto, o chiedono “express fee” pazzesche. Quelli che se uno non ha con se’ sempre l’originale c’e’ il rischio che lo arrestino. Ho passato due decenni - sul serio! - parlando tra l’altro con due ambasciatori e un Questore sulla questione del doppio passaporto. Mi avevano dato ragione, ma erano impossibilitati a intervenire. Ho scritto articoli. Ho perfino scritto un memorandum per la mia Ambasciata di riferimento confrontando leggi di paesi a noi concorrenti commerciali: Germania, USA, UK, Canada, Austria ecc. che tutti, a fronte di motivazione, emettono il doppio passaporto. Mi fa piacere che ora ci sia arrivata anche l’amministrazione italiana. Proprio ieri in un altro post sul Forum ho ricordato come ci siano voluti 47 anni prima di riconoscere ufficialmente le sigle di provincie non piu’ esistenti, come Fiume e Zara, creando infiniti problemi a chi proviene da li’ nel riempire moduli.
A proposito, il viaggiatore puo’ oggi tenere contemporaneamente in mano entrambi i libretti o ne deve sempre lasciare uno in Questura, cosi’ che gli e’ impossibile effettuare un viaggio di lavoro se il suo passaporto “libero” e’ bloccato presso l’Ambasciata di un paese particolarmente burocratico? Per fortuna ora viaggio molto meno e sono contento di evitare questi problemi.
Lei continua a parlare di altro. Evidentemente ha un interesse per tentare di screditare ogni critica sul sistema. A me interessa unicamente sottolineare che l’identità digitale è una questione di democrazia e lei invece la riduce a giochetti amministrativi commerciali. Appunto parla di cose senza particolare competenza continuando a fare le pulci ad un oggetto che non è quello di cui io ho scritto. Le circostanze in cui si ha una doppia carta d’identità non esistono. E il passaporto nasce come documento d’identità internazionale basato sulla carta d’identità, quindi la sua è la scoperta dell’acqua fredda la circostanza che possano essercene più copie in validità contemporanea (passaporto diplomatico, passaporto personale etc). Per l’ennesima volta scrive senza capire il significato delle parole. Fa di tutta un erba un fascio. Buona estate
Lei ha fatto le domande, io le ho dato solo qualche risposta, come hanno fatto anche altri, per spiegarle quello che non le riusciva di capire.