sui giudizi estetici le valutazioni sono soggettive. Io ad esempio generalmente non trovo i siti della PA belli e attraenti. Anzi spesso sono brutti e sembrano una accozzaglia di informazioni/dati.

hai detto bene …“molto autoreferenziali”

Buonasera,
non ho mai considerato l’idea di richiedere lo SPID preferendo l’uso della CIE, ma ritengo l’argomento interessante in quanto riguarda non solo lo SPID ma tutti quei servizi per cui viene richiesto di inserire un codice OTP per effettuare l’ accesso (come per l’ internet banking).
L’algoritmo per il calcolo dell’OTP (in questi casi più correttamente chiamato TOTP in quanto si basano sul tempo corrente) è uno standard aperto (RFC 6238) per cui sarebbe sufficiente che il fornitore del servizio utilizzasse questo standard e permettesse agli utilizzatori di scegliere l’app mobile od il programma dektop preferito. In questo modo si avrebbe un solo app/programma per tutti i servizi a cui si accede inserendo un codice OTP.
Invece succede che ogni fornitore inserisce una variante al calcolo obbligando chi vuole usufruire del servizio ad installare la propria app, con il risultato che ci si ritrova ad installare diversi programmi che alla fine fanno la stessa cosa.
Personalmente non uso android/ios/windows, per cui vengo limitato nella scelta del sistema da utilizzare (l’OTP calcolato offline tramite app/programma è certamente più sicuro di un OTP per SMS).
Spero che in futuro possa cambiare qualcosa, ma temo che resterà solo una speranza.

@rcasta74
Se non erro i regolamenti europei di riferimento per PSD2 (Payment Services Directive) richiedono esplicitamente che l’algoritmo di generazione di OTP utilizzi informazioni relative alla transazione. Per cui se voglio pagare 100 EUR la banca mi invia un codice che contiene questa cifra e sulla cui base viene calcolato OTP che non e’ solo funzione dell’ora attuale.
Volendo ci sarebbero alternative. Una molto pratica sono token dedicati, in pratica l’equivalente di una CIE o CNS con la coppia di chiavi registrata su un USB stick, principio simile a quello della firma digitale. Ma ancor meglio sarebbe le le banche accettassero come prova di identita’ CIE, CNS o Tessera Sanitaria. Piu’ uniche di cosi’! Senza la CIE o CNS nessun hacker potra’ mai intraprendere nulla su un conto estraneo. Perche’ le banche non ci hanno pensato?
Questa alternativa e’ invece possibile nei Paesi Nordici, dove al contrario le credenziali bancarie possono venire usate come una CIE o uno SPID per l’accesso ai servizi della PA. Anche in Russia si puo’ accedere ai servizi PA passando (online) dalla propria banca.

Citando l’internet banking mi riferivo alla necessità di inserire il codice OTP per effettuare il login al proprio account.
Comunque il mio discorso riguarda più in generale tutti i servizi che richiedono l’autenticazione a 2 fattori tramite un codice OTP (es. per l’account di posta, o l’account su un sito di e-commerce): alcuni fornitori usano l’algoritmo standard per cui puoi usare un programma/app differente da quello del fornitore, mentre altri no e sei obbligato ad usare il loro programma od a fornire il numero di cell per ricevere il codice via SMS.
Per le banche concordo che sarebbe ancor meglio usare CIE o CNS.

Concordo al 200% che sarebbe meglio avere un algoritmo standard implementabile su piattaforme differenti e senza il presupposto di particolari apparati, servizi, o sistemi operativi.

Il timore è fondato se ricordiamo cosa successe con la PEC.

Perche’ lo smartphone a me non serve per nulla (e inoltre per certe persone puo’ essere difficile da vedere o manipolare), per telefonare mi basta un cellulare “stupido”, mentre con un PC ci faccio un sacco di cose da quasi quarant’anni.

Questo credo voglia dire (perlomeno cosi’ avviene per la mia banca) che nel testo dell’SMS che invia l’OTP c’e’ scritto “codice da usare per …” (login, generazione carta virtuale, bonifico, autorizzare carta ecc. … una spiegazione del tipo di operazione). Io cancello subito l’SMS una volta usato, ma ho visto gente tenerli all’infinito.
Dopo di che mi dicevano che in Olanda o Svezia ci si puo’ autenticare per l’home banking con la carta bancomat e un lettore di smartcard.

puoi usare un cellulare stupido e gli SMS (eventualmente comprandone dei pacchetti a pagamento)

Può essere comunque anche il contrario: penso al caso di miei parenti anziani che riescono senza problemi ad autorizzare l’uso di SPID via lettore di impronte digitali su smartphone, mentre non riuscivano in precedenza con codice mandato via SMS (problemi di rapidità) o con PC.

C’e’ un sistema che funziona dal 1971, e’ sicuro, non ha problemi di compatibilita’ con provider di tutto il mondo ed e’ completamente gratuito. Si chiama “posta elettronica”. Si possono spedire senza problemi stringhe alfanumeriche, quali codici OTP. Purtroppo l’ufficio UCAS ne ha proibito l’uso proprio per gli OTP.
Curiosamente, numerosi fornitori SPID richiedono un indirizzo di posta elettronica, lo verificano in fase di prima registrazione e poi non lo usano ma vogliono far tutto con cellulare. Per l’appunto, con SMS a pagamento.

In numerosi paesi ci si puo’ autenticare per l’home banking con bancomat e lettore di smartcard. In Germania e’ un servizio molto diffuso, il metodo li’ piu’ usato e’ l’associazione della tessera bancomat con un generatore di token.
Sempre in Germania ci sono i primi tentativi di usare la loro CIE (Personalausweis) per autenticarsi con home banking.
In Svezia, al contrario, la carta d’identita’ di stato non esiste e le tessere di identificazione per i servizi bancari possono venire utilizzate per accedere ai servizi pubblici online e a eIDAS.

Ma in questo modo la banca non avrebbe accesso alla tua chiave della CIE ?
Probabilmente useranno un sistema tipo il nostro SPID e cioè con un intermediario di fiducia in mezzo, in questo caso probabilmente una qualche istituzione statale.
Comunque una idea interessante.
Altrettanto interessante sarebbe poter usare la CIE al posto della tessera “bancomat” per ritirare i soldi.

E comunque tanto per dire ecco cosa ho appena letto sul loro sito www.ausweisapp.bund.de:

Electronic proof of identity can soon be stored in smartphones: Smart-eID law in force

NEWS 02 SEPTEMBER 2021
The Bundesrat approved the Act on the introduction of electronic identification with a mobile device (Smart-eID Act) on 25 June 2021, and now came into force on 1 September. It provides the legal basis for an-other, even simpler use of the eID function – the smart eID.
https://www.personalausweisportal.de/SharedDocs/kurzmeldungen/Webs/PA/EN/2021/09_Smart-eID-GE_in_Kraft.html

Spulciando in quel sito sono arrivato qui:
https://www.ausweisapp.bund.de/en/compatible-devices/card-readers/

È la lista di tutti i reader che funzionano con la CIE tedesca, quindi c’è una buona possibilità che funzionino anche con la nostra.

Guardando un po’ il loro sito istituzionale appare abbastanza chiaro che loro stanno spingendo la CIE come sistema di riconoscimento online del cittadino proprio come noi stiamo spingendo lo SPID.

La questione dei documenti sullo smartphone e’ discussa da un po’ in Germania, anche per la patente.
A quanto ne so, SPID e’ una soluzione tutta italiana senza analoghi da nessuna parte. Ogni paese spinge o per la propria CIE, quasi tutte hanno il chip e le chiavi, o per qualche sistema alternativo come la Svezia, ma li’ e’ da decenni che le banche offrono documenti di identificazione con fotografia in alternativa allo stato centrale…
La maggior differenza tra Italia e resto del mondo, per quanto ne so, e’ che da nessuna parte si rende difficile ai cittadini operare in “analogico” andando di persona agli sportelli. Chiaro che se tutti vanno online calera’ il numero degli sportelli, ma gli sportelli restano. In Italia ogni volta che sento parlare di SPID in alternativa a qualche servizio mi vengono i brividi causa nuove complicazioni pratiche.
Tornando alla Germania, non credo che a breve la loro CIE sostituisca il bancomat perche’ ai terminali ci sarebbero problemi di compatibilita’ con le carte esistenti e dei circuiti internazionali. Ma lo stato propone apertamente alle banche di accettare, con apposito software, la CIE per e-Banking in alternativa a OTP-SMS di conferma o app su smartphone.

La posta elettronica è intrinsecamente NON SICURA, lei ovviamente non ha idea di come funzioni.

Se un hacker di chissaadove riceve copia della mia mail con un OTP ma non conosce su quale sito sono entrato, la password principale e per quale servizio, ci puo’ fare molto poco.
Sarebbe in ogni caso corretto lasciare scegliere all’utente il livello di protezione desiderato e a fronte di quali rischi.

Vero, ma qui si sta parlando del perché si usi gli SMS e non la posta elettronica, e a livello di sicurezza, fanno pena sia gli SMS che la posta elettronica, quindi appoggio il ragionamento di chi pensa “ma perché non usiamo la mail per gli otp?”

Se avesse conoscenza di come funzionano questi sistemi, saprebbe che gli SMS sono non sicuri in quanto il mittente non è autenticato, ma non possono essere intercettati facilmente, così come le telefonate. Il discorso è diverso per le mail che possono essere sia forgiate che intercettate.
Ad ogni modo gli SMS sono una possibilità offerta e per chi ne voglia più di quelli offerti gratuità, c’è la possibilità di comprarne ulteriori.

Mi permetta di rovesciare il Suo ragionamento. Nel richiedere SPID e’ necessario indicare anche una email, che viene verificata, anche se poi non viene piu’ utilizzata in quanto sostituita da SMS o app. Presentarsi armati di smartphone a un centro di identificazione o collegandosi online non basta, occorre dichiarare di chiamarsi fatina@pinocchio.it, trasmissione e ricezione sono verificate, poi si va solo di smartphone e app. Quindi a che serve questa sceneggiata? Perche’ obbligare chi non usa la email a ottenerne una per poi non usarla? Ha detto Lei stesso che e’ NON SICURA. Quindi perche’ i fornitori SPID la richiedono?
Ho esaminato la situazione in una dozzina di paesi, anche piu’ ricchi e avanzati del nostro. In tutti vige il principio “email oppure numero cellulare”. In Italia “email INSIEME A numero cellulare”. Che e’ la causa primaria dei problemi che io e altri utenti stiamo segnalando.

a chi presume di sapere cosa conosco non rispondo, buona giornata