SPID e home banking

I servizi di home banking comunicano che a breve sara’ necessaria l’autenticazione a due fattori per accedere al proprio conto on line e per effettuare disposizioni. Le chiavette/token OTP stanno cadendo in disuso e sono rimpiazzate da procedure software tramite app installate su dispositivi mobili (ogni banca ha un suo metodo).

Tecnologicamente, non si potrebbe usare SPID (livello 2) in questo caso?

Politicamente, non si potrebbe imporre alle banche di integrare SPID nei servizi di home banking?

Tecnologicamente, sì.
Politicamente siamo (fortunatamente) in un’economia liberale e quindi si deve passare da un convincimento che si basi sulla validità e sull’economicità della soluzione.

Giusto,ho usato il termine “imporre” con troppa facilita’.
Tuttavia, politicamente, si possono intraprendere azioni per sensibilizzare, promuovere ecc.

L’uso di SPID nell’ambito home banking costituirebbe un bel “volano di crescita” per la piattaforma stessa.

Per esempio, ci saranno stati contatti fra AgID e ABI, per dirne una?

Una considerazione personale (premesso che penso che sarebbe un’ottima idea l’uso di SPID per l’home banking):
visto che attualmente le banche (per lo meno la mia) hanno anche la loro soluzione di firma elettronica e non accettano quella “standard AgID”, potrebbero “fidarsi” dell’identificazione personale fatta da una terza parte (IdP) ?

Buona giornata
Federico

potrebbero “fidarsi” dell’identificazione personale fatta da una terza parte (IdP)

beh… non riconoscere l’autorevolezza dei sistemi di identità pubblici implementati dagli stati apre una bella questione giuridico-politico-socio-filosofica non da poco. senz’altro fuori tema, ma non da poco. sarebbe come mettere in dubbio. trent’anni fa come oggi, l’intero sistema di rilascio della carta di identità o del passaporto, per esempio.

Politicamente siamo (fortunatamente) in un’economia liberale e quindi si deve passare da un convincimento che si basi sulla validità e sull’economicità della soluzione.

Ripensando meglio a questa affermazione, invece: una disposizione di legge, per esempio a tutela della tracciabilità dei movimenti finanziari, del tipo “le transazioni bancarie effettuate in via telematica avvengono previa identificazione delle parti (richiedente? boh, poi si vede) tramite un sistema pubblico di identita’ digitale” non mi sembrerebbe illiberale.
Altrimenti lo sarebbe anche la fattura elettronica fra privati (ma anche verso il pubblico).

Personalmente sarei favorevole a utilizzare SPID unicamente per instaurare un rapporto con l’operatore finanziario (un conto, una carta, un finanziamento) evitando firme, moduli, fotocopie di documenti ed in alcuni casi riconoscimento via webcam. Tanto per definizione SPID garantisce l’identità della persona.

Usare SPID per autenticarsi alla banca potrebbe essere non solo complicato, ma addirittura impossibile da implementare in base alla PSD2.

Questo perché non è tanto l’autenticazione, ma la disposizione a preoccupare. La PSD2 prevede che ciascuna operazione bancaria sia autorizzata mediante codici univocamente associati all’operazione stessa. Rendiamola semplice: questo significa che mentre sto preparando il bonifico prima di confermare devo prendere la redirect sul sito del mio IdP e ri-autenticarmi, in teoria.

Però ad oggi tutte le soluzioni bancarie basata su codici legati all’operazione ti riepilogano l’importo (“conferma il bonifico di 60 euro”).

SPID è solo un sistema di autenticazione e tale deve rimanere, non di autorizzazione.

My 60 cents…

Se SPID fosse rilasciato e gestito da un solo prestatore di servizio gestito da un ente pubblico le banche potrebbero fare un pensierino… ma sono troppi gli enti che rilasciano SPID … la sicurezza… la sicurezza…