Purtroppo non è così, le P.A. più piccole, sopratutto piccoli comuni, implementano solo SPID come sistema di accesso ai servizi online.
Alcuni mesi fa avevamo avuto discussioni molto accese sul tema SPID vs CIE. Vorrei segnalare questo articolo apparso poco fa sul Fatto Quotidiano
Piu’ che l’articolo trovo interessanti i commenti, in molti casi poco o male informati. Diversi lettori ignorano che la CIE si puo’ ottenere a richiesta senza aspettare la scadenza della vecchia. Che la CIE in nuovo formato non e’ un’idea balzana dei governi nazionali ma un requisito europeo per potere garantire passaggio oltrefrontiera in Europa. Le carte “cartacee” non le usa quasi piu’ nessuno da decenni e con gli ultimi regolamenti la UE lo ha messo in chiaro per l’unico paese restante, il nostro. Nessuno tra i commenti che ho letto ricorda che pure con 9 societa’ di gestione SPID offrono tutte la stessa tecnologia basata su smartphone, senza particolare fantasia. E che gli SPID piu’ gettonati sono quelli che prevedono un contatto diretto per il primo riconoscimento, Poste e Lepida. Ancora agli inizi di SPID l’idea che la prima verifica d’identita’ sarebbe meglio farla di persona e non online, se non altro come opzione, era considerata retrograda, fuori dai tempi ed eccessivamente burocratica. Poi e’ arrivata la realta’ a mettere le cose a posto. Nota: in nessun paese credenziali di accesso a conti online sono fornite senza un primo contatto diretto e una prova documentale di identita’.
Ti contraddico solo per l’ultimo punto. Le credenziali di accesso a conti online vengono rilasciate anche con un bonifico da un’altra banca da un conto con la stessa intestazione.
1 Mi Piace
Non c’e’ contraddizione. Significa che ci si e’ identificati di persona presso l’altra banca.
BankID, lo SPID Svedese, unico caso (a me consosciuto) in UE di identita’ gestita da privati oltre all’Italia, e’ gestito dal sistema bancario e tutte le banche ne fanno uso. In questo modo non hanno problemi di verifica primaria di identita’ per l’ovvio motivo che gli sportelli sono ovunque e che chi apre il conto si presenta di persona con documenti validi.
In realtà Ni, ogni tanto salta nuova qualche truffa con conti aperti a persone inesistenti, oppure tramite documenti rubati, ho letto che a volte usano qualche banca estera anche extra UE, dove le procedure di riconoscimento sono più soft, altre volte fanno tutto com banca italiane.
Questo per dire che l’identificazione è un problema reale per te o per me, molto meno se un terzo vuole farsi passare per te o per me, per scopi illeciti.
1 Mi Piace
Si stanno diffondendo in vari paesi servizi di 2FA accessibili via SIM application toolkit (cosiddetti mobile ID) non legati a un particolare piattaforma, l’unico requisito è di usare un device mobile anche di vecchia generazione. Le SIM attuali sono e saranno in grado di supportare questa soluzione (credo anche le eSIM). All’utente che ne faccia richiesta si attribuisce un abbinamento univoco tra utenza telefonica e PKI preinstallata sulla SIM, se l’utente viene identificato fisicamente o già possiede un id digitale, ciò permette l’emissione di un certificato a scadenza (analogo a quello di TS-CNS) e l’impostazione di un PIN (o riconoscimento biometrico) che l’utente immette in fase di autenticazione per sbloccare la chiave privata. Questo sistema non richiede più un altro supporto fisico tipo smart card, o un’app dedicata, con tutta la gestione annessa e connessa, e i costi sono estremamente ridotti. La doppia autenticazione con credenziali supplementari garantisce un elevatissimo grado di sicurezza, robustezza e accessibilità in quanto copre virtualmente la totalità della popolazione, e viene già usato diffusamente in molti stati europei come Austria, Finlandia, Estonia etc. Lo Stato in qualità di ente certificatore si fa carico della emissione e distribuzione dei certificati agli operatori mobili che implementano il servizio. Alla scadenza del certificato (magari prima) l’utente dovrà registrarsi nuovamente.
Visto questa mattina sul Fatto Quotidiano
Non e’ indicato quale sia la societa’ SPID cosi’ flessibile nell’accettare generalita’ senza verifica. Ma l’articolista conclude che, a evitare truffe, ogni persona dovrebbe avere al massimo uno SPID.
Si riaprono quindi le questioni di base alle quali nessuno da’ una risposta chiara mentre il sistema diventa un collage di soluzioni a meta’ che alla fine portano a un livello di sicurezza “2”, e non “3”, come la CIE.
Perche’ non esistono sportelli fisici di contatto per la gestione delle identita’ elettroniche? L’intera ideologia di SPID e’ basata sul fatto di fare tutto solo online. Pero’ quando Lepida ha iniziato a rivolgersi a Comuni e Farmacie per la verifica inziale dell’identita’ ha avuto successo. Quindi il tema era sentito. Ma la Farmacia non puo’ ad esempio, gestire una identita’ rubata.
Di nuovo, perche’ non aprire punti fisici di contatto? All’hacker russo o nigeriano diventera’ impossibile fare credere di chiamarsi Brambilla e abitare a Milano, se devono farlo di persona.
L’altra grande questione e’ l’obbligatorieta’ di fatto dello smartphone, ma non c’entra con il tema dell’articolo sopracitato.
Sempre in riferimento all’articolo, quanti hacker di CIA, Mossad, GRU (servizi militari russi), freelance nigeriani ecc. hanno lo SPID italiano? Nei loro corsi di hacking farsi uno o piu’ SPID e’ probabilmente un esercizio intermedio ;), prima di imparare come forare depositi bancari o criptare basi dati ospedaliere.
1 Mi Piace
Il riconoscimento a distanza penso che sia una sonora porcheria (come non sono mai stato d’accordo sul coinvolgimento dei gestori privati nell’erogazione dell’identità digitale). Si poteva pensare di dare l’esclusiva del riconoscimento dell’identità, non solo fisica, ma anche digitale, agli Ufficiali di Anagrafe (*), mettendo a disposizione dei Comuni un portale di back-office serio e funzionante.
(*) sgravando un po’ degli adempimenti inutili in capo ai colleghi dei Servizi demografici (magari appesantendo i diritti dovuti, anche se esenti o cancellati, per certificati richiesti dagli utenti al Comune, invece di usare il portale ANPR: diciamo una cifra consistente e dissuasiva). Quando un utente è messo di fronte all’obbligo di pagare qualcosa che potrebbe fare da solo, si mette più facilmente ad imparare anche le c.d. nuove tecnologie… 
… ovviamente è necessario che sblocchino i troppi limiti all’accesso in consultazione a ANPR.
1 Mi Piace
mi inserisco nella discussione.
Avendo ricevuto comunicazione di avviso bonario dall’INPS, ho provato ad accedere dal sito dell’istituto, come ho sempre fatto tramite SPID, solo che stavolta invece della consueta opzione di OTP tramite SMS, vi era come unica scelta quella dell’app poste ID.
Ora, per scelta di vita non possiedo uno smartphone e vivo molto serenamente senza relegando tutto lo stretto necessario alle funzioni per desktop su PC.
Ho provato a vedere se esiste una versione di posteID per desktop ma pare di no.
Possibile quindi che per dialogare con la pubblica amministrazione un cittadino sia costretto a comprare uno smartphone appositamente dedicato a questo scopo, o come alternativa più pratica inserire la propria sim card nello smartphone di una persona terza?
Considerando in quest’ultimo caso che per quanto la persona terza possa essere fidata è sempre un rischio per la privacy o per l’identità, visto che il dispositivo dal quale si effettuano gli accessi non è per forza di cose il mio?
Non esiste una soluzione meno coercitiva per fare le cose da PC come del resto ho sempre fatto?
Mi sembra anche un pò anticostituzionale… limitare la fruibilità del servizio pubblico solo ai cittadini che possiedono un oggetto materiale che di fatto non è obbligatorio.
è come se per una legge non scritta la P.A. sistemasse la sua gestione di contatto con il pubblico solo a chi possiede un monopattino
un PC lo lasci a casa, o nel mio caso in negozio, finite le ore di apertura li rimane limitato. Considerando che a casa non ho connessione internet (sarebbe assurdo pagare due connessioni quando passo 12 ore in negozio). Un pc non è un dispositivo gps che ti segue ovunque tu vada e oltretutto non è altrettanto invadente.
Puoi pagare ed usare gli SMS. Molti provider SPID offrono questa opzione.
Vorrei farti notare che, anche in questo caso, lo stato ti obbliga ad avere un cellulare.
quindi devo cambiare provider? che tu sappia poste , con cui ho già attivato lo SPID, offre questa possibilità? Riguardo al cellulare hai ragione infatti anche questo è fastidioso.
ma un cellulare non è invadente a tutti i livelli della vita come uno smartphone e averlo è una mia libera scelta, non mi sono mai sentito obbligato ad usarlo anche perchè mi è sempre stata data l’opzione di rete fissa (o token nel caso delle banche).
moltissime cose che si possono fare con un cellulare si possono fare con una chiamata (basti pensare ai cittadini non vedenti).
Comunque i paradossi son tanti.
Faccio il libraio e per compilare la domanda del credito di imposta lo stato mi obbliga a spendere 40 euro per il servizio di firma elettronica che è l’unico modo in cui è possibile presentare le domande. Quindi io, per otterene un credito di 500 euro l’anno circa, sono costretto spendere 40 euro ogni tre anni, per un servizio, la firma digitale, che uso appunto una volta l’anno. Il che è reso ancor più grottesco dal fatto che essendo appunto un libraio, per lavoro vado alle poste praticamente tutti i giorni per ottemperare alle spedizioni e da lì potrei agevolmente mandare una cara vecchia raccomandata A/R
In Russia e in Cina lo stato non obbliga nessuno a possedere tecnologie occidentali. La tecnologia dello smartphone e’ solo USA (SW, licenze) e asiatica (HW). Lo Stato italiano pretende quindi che io paghi EUR a vantaggio di possibili nemici futuri? (*) E se pongono sanzioni alla Cina che cellulari useremo? Solo quelli di una ditta, peraltro asiatica anche lei? Ma il paradigma occidentale non e’ la liberta’ di mercato e la concorrenza? Non occorrono dei geni per arrivarci, o forse si, e i nostri dirigenti, come quelli UE, non lo sono.
Proprio cosi’. Ma i computer dei nostri colossi IT (non ridiamo!) non sono in grado di distinguere un numero di fisso che inizia per “0” da uno di cellulare, che inizia per “3”. Nel primo caso una vocina sintetica potrebbe recitare “Il tuo OPT e’ uno sette due quattro nove otto. Per ripetere premi asterisco, altrimenti riappendi”. Si noti tra l’altro che le chiamate su linea fissa sono piu’ protette rispetto a quelle di telefonia mobile, l’hacker russo o nigeriano dovrebbe raggiungere la scatola sulla strada, identificare il mio doppino e mettersi in ascolto. Per fregarmi un OTP?
Ci siamo scontrati parecchio qui e in altri thread sull’usabilita’ di diverse soluzioni di identita’. Questa immagine sintetizza che piu’ chiaro non si puo’ la posizione di sudditanza europea. Le dimensioni dei simboli sono proporzionali ai valori di borsa delle diverse aziende. Sbaglio tutto se ritengo che per l’identita’ digitale dovremmo avere nostre soluzioni non dipendenti da HW e SW esterni? Quindi senza smartphone e orpelli vari, riconoscimento dell’impronta ecc.?
(*) Sono per soluzioni pacifiche e produttive con questi e altri stati, ma al momento la geopolitica e’ quella che e’.
Anch’io non ho ne voglio avere uno smartphone (ma ho due PC un desktop e un laptop). Essendo pure io restatio scottato dal numero contingentato di SMS di SPID di Poste, ho brillantemente risolto comprando un lettore di smartcard da collegare al PC, e uso la mia CNS (tessera sanitaria) per accedere a INPS, AdE e FSE.
Appena visto questo articolo, che indirettamente rimanda all’argomento qui discusso
Testualmente “… i correntisti interessati non avrebbero potuto più accedere in filiale né all’internet banking tramite personal computer e avrebbero dovuto svolgere le operazioni bancarie solo tramite App.”
Grazie, Antitrust! Non potresti scrivere un parere anche riguardo i servizi SPID?
Piu’ in generale, e’ cosi’ difficile scrivere una norma-quadro che segnali che una App e’ facoltativa e non obbligatoria e che ogni accesso a servizi sicuri online deve essere sempre possibile tramite tecnologie alternative? A quel punto potremmo chiudere questo thread.
Mi fa comunque piacere osservare che malgrado “lo smartphone ce l’hanno tutti” in questo caso migliaia di persone, parecchie delle quali probabilmente con smartphone, si sono mobilitate e il caso e’ diventato nazionale per un chiaro abuso nel forzare una particolare tecnologia.
Agid ha rilasciato alcune informazioni al riguardo e multato alcune società (citate nell’articolo) che gestiscono Spid per omissioni simili:
Pare che i gestori abbiano pagato e risolto le criticità rilevate.
oggi su report indagine sugli abusi:
-
Lepida è un sistema di rilascio delle identità digitali affidato ai Comuni ma funziona solo in qualche regione virtuosa d’Italia
-
chi vive nelle regioni non virtuose deve ringraziare che esiste la possibilità di affidarsi a provider di identità digitali (privati) che funzionano
-
l’attuale sottosegretario per l’innovazione tecnologica e transizione digitale, Alessio Butti si è sempre dichiarato contro l’attuale sistema misto pubblico-privato (lo Spid) e ha sempre detto che ci deve essere solo la CIE. Oggi si è reso conto che una transizione digitale affidata alla sola CIE ci farebbe stare nella palude una decina di anni e quindi sembra aver implicitamente corretto il tiro perchè ora parla insistemente di IT-WALLET
-
non credo che le identità rilasciate dagli uffici pubblici siano per definizione più sicure di quelle rilasciate da enti privati: infatti è sempre esistito il mercato nero delle carte di identità false. Ricordate le 5 carte di identità di Matteo Messina Denaro ?
- sono favorevole a un sistema multi canale di identità digitale come è quello attuale (SPID, oppure CNS, oppure CIE) . In tal modo non si fanno delle forzature, tipo quella di obbligare un cittadino ad avere un cellulare. Infatti la CNS con la Tessera Sanitaria è accessibile a tutti perchè è un dispositivo che abbiamo tutti. Però pare che il Sottosegretario Alessio Butti, nonostante tutti i contro della sua opzione, abbia ancora in mente di smantellare l’attuale sistema multi canale con un sistema UNICO ( la CIE ) che com’è noto attualmente ha al suo attivo una massa di utenti che vale appena il 10% degli utenti SPID !! (solo 4 milioni di italiani la usano contro i 39 dello spid)
A molti connazionali non piace la CIE perche’ e’ a pagamento, quindi la guardano male a prescindere. La Tessera Sanitaria e’ gratis, da 10 anni ha un chip, da 1-2 anni con funzione NFC.
Perche’ non viene usata la stessa soluzione di chip e software di lettura per CIE e TS?
E dato che la tecnologia di TS e CNS e’ la stessa, perche’ non abbinare anche alla TS la possibilita’ di firma? Ed estenderla alla CIE, che ha tutti i presupposti in regola meno il fatto che la firma non e’ formalmente certificata?
Sono d’accordo anch’io che l’Italia adesso si identifica con SPID e che piaccia o no il pasticcio e’ gia’ stato combinato. In molti paesi UE le C.I. hanno un chip tipo TS, chi vuole lo usa come identita’ senza problemi, lo Stato non ha delegato nulla a privati. Funziona. Dal punto al quale siamo in Italia occorrerebbe che o arrivandoci da soli o per obbligo i fornitori SPID proponessero soluzioni slegate dallo smartphone, ad esempio i vecchi OTP-SMS o anche OTP dettati a voce per telefono. E’ una soluzione ragionevolissimevolmente sicura contro hacker e furti di identita’. Se poi mentre accedo a inps.it uno sconosciuto mi entra in casa e pretende di ascoltare la mia telefonata posso sospettare di essere hackerato.
In questi giorni Altroconsumo ha pubblicato una ricerca secondo la quale il ritardo per ottenere un appuntamento per il rilascio del passaporto puo’ raggiungere un anno. Per conoscenza personale, anche se non se ne parla, per i Permessi di Soggiorno per stranieri si va ancor piu’ per le lunghe, e qui non c’e’ SPID che tenga. L’intera questione dell’identita’ analogica o digitale e dei documenti a supporto andrebbe rivista. Per questo credo che il c.d. wallet servira’ a meno di zero perche’ non risolve gli altri problemi della filiera. Le vere criticita’ sono li’.
1 Mi Piace
Report 3/12/2023, servizio di apertura. Mostrano che e’ possibile richiedere SPID a nome di altri, usarlo (ad esempio per il bonus cultura) e poi sparire senza lasciare traccia. Qualche malintenzionato ha identificato falle nel sistema, dalla possibilita’ di caricare documenti falsi alla firma elettronica comprata in cartoleria alle SIM attivate pochi minuti prima della truffa e voila!, ecco una nuova identita’.
Se poi ci si mettono anche le istituzioni, ancora peggio. L’articolo citato non lo specifica, ma uno puo’ avere dato la sua C.I.cartacea a MMD, essere andato in Comune e dichiarato di averla persa, riceverne una nuova ecc. Finche’ sono quelle di carta, il gioco e’ semplice. Con quelle elettroniche e’ piu’ difficile.
In Report viene suggerita una soluzione. Permettere l’uso di un solo SPID per cittadino. Che pero’ ha la criticita’ che se non funziona uno SPID non se ne hanno altri di riserva. Con 12 fornitori, in quanti possono permettersi un’infrastruttura informatica con sicurezza e qualita’ necessarie? E ha senso moltiplicare investimenti infrastrutturali ridondanti ma non utilizzabili in alternativa tra loro?
Report mi ha dato ragione su uno dei punti sui quali insisto da anni e non solo su questo Forum. Che la verifica dell’identita’ solo online e non di persona e’ un’assurdita’ con notevoli criticita’. Ora aspetto che Report si occupi degli smartphone di fatto obbligatori in troppi contesti. Niente niente, contatto la redazione 
1 Mi Piace