Quando si tratta di descrivere situazioni tecniche, dal mercato del gas ai ritardi dei treni all’identita’ digitale molto spesso i giornalisti non ci prendono e scrivono cose che non stanno in piedi. Il punto e’ qui se ci sono stati questi furti, clonazioni, o generazione di nuove identita’ sulla base di dati anagrafici veri, oppure no. Se non ci sono stati, l’articolo e’ falso. Se ci sono stati, occorrerebbe capire meglio il metodo e tappare il buco.
Comunque sia, procurarsi una lista di nomi, date e luoghi di nascita non e’ difficile. Il calcolo del C.F. e’ uno scherzo.
Coloro che emettono spid hanno un nome e cognome (si chiamano RAO).
Se costui non rispetta la procedura [cioè visionare di persona i documenti (identità e codice fiscale)] commette una illegalità ed è soggetto a sanzioni.
Quindi se si vuole individuare il responsabile di queste irregolarità ci vogliono 5 minuti.
Sulle sanzioni a carico del RAO avevo già scritto in occasione delle stupidaggini propagandate da Report.
3 Mi Piace
e poi che ci fai con questi codici fiscali?
solo un RAO puo’ emettere (sotto la sua responsabilità) lo SPID
1 Mi Piace
Credo che la criticita’ sia qui, se il controllo e’ superficiale, per scarsa competenza o volutamente.
Resta il fatto - queste centinaia di SPID falsi ci sono o no? Se si’, tramite quale RAO?
Ripeto…se vogliono si individua il RAO imbroglione da sottoporre a revoca e sanzionare in 5 minuti
Quindi non è - come i giornalisti di Report e de Il Fatto Quotidiano ci vogliono far credere - un problema del SISTEMA SPID CHE NON FUNZIONA.
1 Mi Piace
pensiamo al vecchio mondo delle carte di identità false che si ottenevano con la complicità di impiegati comunali infedeli che facevano uscire dall’ufficio la modulistica del Poligrafico…nessuno pensava allora di abolire il vecchio documento cartaceo
ecco queste valutazioni: SUPERFICIALITÀ e SCARSA COMPETENZA per me sono attribuibili invece ai giornalisti di Report e Il Fatto Quotidiano che così facendo si rendono responsabili di una pericolosa disinformazione che in un paese come il nostro - ancora arretrato dal punto di vista digitale - produce molti danni.
2 Mi Piace
lo avevo giá postato tramite articolo, magari è utile ripubblicare l’elenco delle sanzioni Agid 2019-2023, che svolge vigilanza in materia:
per spid, pec, firme.
non si capisce per quante infrazioni rilevate
Questo dovrebbe essere facile da verificare e spetterebbe ad AGID (non hanno un ufficio stampa?) Se le violazioni ci sono state come hanno descritto, allora occorre intervenire sul RAO o chi per esso. Se gli abusi non hanno avuto luogo o sono stati circoscritti e immediatamente identificati, allora mettere in chiaro che il sistema funziona e al contrario non funziona il giornalismo di inchiesta di Report e FQ.
Non so quanto incida in questa storia la posizione anti spid dichiarata in via preventiva dal Sottosegretario per l’Innovazione Tecnologica Alessio Butti, al momento di insediamento del Governo Meloni.
Lui dice per risparmiare i soldi che attualmente danno agli Identity Provider ma non aveva considerato che il sistema alternativo che lui aveva in mente, la Cie (ma con le credenziali attivate) ce l’hanno in pochissimi.
Nel 2023 lo Spid ha totalizzato un miliardo di accessi, la Cie solo 32 milioni!
Avro’ gia’ scritto mille volte su questo Forum (e non solo…) quello che penso di SPID, non lo ripeto. Sul fatto che quanto ad uso SPID batta CIE di 30 volte e’ un fatto - il che dimostra che gli utenti preferiscono le soluzioni semplici.
Da romantico idealista, forse come Butti, non mi va giu’ che l’identita’ sia gestita da societa’ private che sostanzialmente offrono tutte servizi simili. Non ce n’e’ una che per identificare l’utente usi metodi alternativi allo smartphone. Abbiamo discusso “x” volte che si potrebbe generare un OTP sulla base di un seed segreto e condiviso solo da RAO e utente, ma nessuna societa’ fa il passo in avanti e lo propone. A me, e probabilmente anche ad Alessio Butti, suona molto di cartello. Se poi non mi sbaglio, all’inizio i fornitori SPID dovevano offrire il servizio gratis, rifacendosi sui “servizi aggiuntivi” che avrebbero proposto alla clientela. Ora sono pagate dallo Stato? Quanto si va a spendere per un tale servizio frammentario?
Poi anche lo Stato ci mette del suo. CIE, TS/CNS con sistemi non compatibili e dei quali la TS dipende dal batch degli ordini, dalla Regione di emissione e dall’annata, neanche fosse vino. CIE che non ha validita’ di firma. A raccontarlo in un qualsiasi altro paese europeo la prenderebbero per fiction.
3 Mi Piace
il problema è che coloro (soprattutto politici) preposti a prendere le decisioni su questo tema non sono consapevoli di tutte queste complicazioni che tu hai elencato
Attenzione perchè fra i 12 Identity Provider che gestiscono lo Spid non sono tutti privati: ad esempio InfoCamere, Infocert, Lepida, Poste Italiane sono sotto il controllo diretto e indiretto dello Stato o di Enti Locali
Non saranno di proprieta’ 100% privata ma sono di diritto privato.
Tralascio di raccontare gli infiniti casini di un mio amico disabile per usare SPID livello 2 con app Poste (al CAF glli dicono che il suo cellulare non va bene, configurano quello della badante e gli cambiano lo username con un simil-email inesistente; un amico gli reinstalla l’app e resetta la password; alla fine risulta che lo username NON deve essere un email vero, l’email precedente era tuttora valido, e in ogni caso e’ rimasto attivo anche l’OTP via SMS … cosi’ IO lo posso aiutare.
Fra l’altro ‘sta mania della 2 factor authentification ciascuno la fa a suo modo. La mia banca (l’unica di cui mi importi) permette di farlo via SMS a 8 cent l’uno. SPID Poste permette 8 SMS al trimestre, Google - che non e’ beneficenza - per la 2FA ammette SMS illimitati, e anche codici OTP predefiniti, una compagnia telefonica per accedere al suo sito manda OTP via e-mail …
Questo e’ un “regalo” della UE che ha legiferato in parallelo sui documenti di identita’ elettronici, sulla 2FA per servizi bancari e di transazioni online e su eIDAS senza coordinare i testi e avente come obiettivo il “mercato” dei servizi. Cioe’, dal punto di vista UE la situazione ideale e’ quando dieci sistemi 2FA incompatibili sono gestiti da dieci societa’ differenti creando un “mercato competitivo” di servizi. Di usabilita’, sicurezza e altri aspetti fondamentali a loro non interessa nulla.
Sarebbe bastato inserire nei regolamenti sulla sicurezza degli accessi bancari la microfrase “L’accesso a servizi bancari e di pagamenti online deve sempre essere possibile con un documento ufficiale di identita’'” e si sarebbero evitati un sacco di problemi dal principio.
Posso dire che una UE che non capisce, come istituzione, queste cose ed e’ assolutamente blindata a verifiche della realta’ sul campo mi preoccupa? Le uniche verifiche sono demandate alle societa’ di revisione internazionale, quasi tutte americane, che sanno benissimo cosa inserire nei loro rapporti in modo da aggiudicarsi commesse future.
Non stupiamoci se i contadini, quelli che stanno sui trattori e devono vendere (regalare?) la propria produzione alla grande distribuzione poi si lamentano in maniera attiva.
1 Mi Piace
Non farei troppi complottismi sul “mercato competitivo” anche se su molti aspetti la UE non si comporta come la UE che sognavo da vecchio spinelliano . Quanto detto potrebbe essere vero per la pletora di SPID provider.
2FA e’ solo un protocollo, o un concetto, sulle cui modalita’ conta poco la legge e molto l’uso. C’e’ una paranoia nel richiedera la 2FA (perche’ una compagnia telefonica vuole la 2FA per accedere al suo sito e altre due no - solo tra quelle che conosco in prima persona ? perche’ per mandare un documento in Comune devo usare la 2FA ? Non so cosa facciano INPS, AdE e FSE dato che accedo via CNS e non via SPID. A parte la banca, vorrei poter scegliere IO se proteggermi con 2FA o mi accontento del livello 1.
E il mio punto era (in topic col thread) che mentre gli SPID provider sembrano voler limitare la 2FA con OTP SMS, altre entita’ lo fanno tranzuillamente, a pagamento o a gratis, o usano altri meccanisimi smartphone-free tipo OTP e-mail o OTP prestampati.
Non e’ una questione di complottismi ma del funzionamento della UE. Sulla maggioranza delle questioni essenziali, dalla tassazione alla politica estera, la UE ha competenze molto limitate. L’unico aspetto dove la UE ha potere sovranazionale e’ il mercato, cosi’ che sono volenti nolenti obbligati a infilarlo dappertutto, anche dove non c’entra. 2FA e’ stato introdotto per sostenere il mercato dei servizi bancari e dei pagamenti online, e’ scritto esplicitamente nei documenti. Una UE che ragionasse in termini strategici si sarebbe piu’ preoccupata di definire una carta di credito europea - al momento sono tutte americane! Ma non puo’, ne’, temo, voglia farlo.
Sono in opposizione totale ai Big Tech, ma alcune cose le hanno fatte molto bene. Google con l’identita’ online dove offrono una dozzina di soluzioni, compresi gli OTP via SMS o addirittura dettati a voce per chiamata su linea fissa. Tecnologia semplicissima, grazie a VoIP praticamente gratis. Nessuno impedisce a Poste, alle banche ecc. di introdurla, a costi vicini allo zero. Lo fanno? No.
Jacques Delors lo aveva messo in chiaro da parecchio tempo. La UE deve sostenersi su due gambe, mercato e aspetti sociali. Purtroppo, sempre secondo Delors, le e’ cresciuta solo una gamba.
P.S. Io sarei per gli Stai Uniti d’Europa con la giusta distribuzione delle competenze regionali e un forte stato federale, subito. Ma temo che la UE attualmente esistente navighi piu’ contro che a favore di questo obiettivo. E perche’ non leggiamo mai che gli USA interrompono qualche funzione fondamentale e strategica solo perche’ non piace al Governatore del Montana?
forse è anche solo una questione di tempo !?
anche gli USA hanno attraversato periodi di grande litigiosità fra i vari stati che la compongono (addirittura 160 anni fa hanno fatto la famosa guerra di secessione)