menu di navigazione del network

Spid flop


(Biaggi) #1

Salve, solo io noto una gestione di accesso alquanto “burocratica” con Spid ?

scelta gestore -> username password -> sms/app del telefono -> richiesta autorizzazioni -> accesso

E ogni volta mi chiedo ma il Team e Agid non dovrebbero semplificare le cose invece di complicarle?
Non basterebbe un app “Spid” dove si conferma l accesso dal telefono e via ?

username password -> sms dal telefono -> accesso

Io quest’attuale gestione con i provider la considero un flop e credo che anche questo sia il motivo dello scarso sviluppo nella popolazione. Cioè perché lo Stato non si può fornire di un infrastruttura e diventare esso stesso il provider, invece che affidarsi a privati ?

Voi che ne pensate di quest argomento / possibili alternative ?


(Paolo Del Romano) #2

Lo Stato non è riuscito a fornire ai cittadini uno strumento come la CEC-PAC che era molto più semplice da realizzare.

E’ da 18 anni che cerca di fornire una Carta d’identità Elettronica ai cittadini e non ancora ci riesce.

Dopo questi fallimenti hanno pensato per lo SPID che una soluzione con i privati potesse avere qualche possibilità in più di arrivare in porto in tempi non biblici.


(Marco Deligios) #3

In effetti potrebbe essere una buona idea che IO https://io.italia.it mettesse a disposizione una funzionalità di autenticazione unificata che possa essere invocata dai diversi IDP senza costringere i cttadini a installare tante app quante sono le loro identità digitali.
Un interessante esempio potrebbe essere Microsoft authenticator


(Paolo Toso) #4

Far funzionare la CIE con i certificati no?


(Biaggi) #5

potrebbe essere una buona idea quella di io.italia.it


(-) #6

Non credo, perché così l’inserimento delle credenziali avverrebbe su un mezzo (app o pagina web) che non è dell’IdP. Avresti un intermediario che raccoglie quelle credenziali e le gira all’IdP, cosa che mi appare contraria allo standard SAML e apre falle di sicurezza…

Per gli stessi motivi per cui non fa nemmeno da Certification Authority per i certificati e le firme digitali. Costa, ci vuole una capacità tecnica di un certo livello, da tenere costantemente aggiornata, l’abitudine all’erogare un servizio. Non ultimo, il fatto che identificare i cittadini NON è il core business delle Amministrazioni, che invece si concentrano sui procedimenti. Per cui, se c’è un terzo a cui delegare la cosa, sono ben contente e sono tante rogne in meno.

In secondo luogo, se lo Stato accentra troppi servizi poi i primi a lamentarsi sono i privati, che non c’è concorrenza, mercato, posti di lavoro e così via…


(Giulia Macchi) #7

ma io non lo trovo poi così complesso… ho visto la stragrande maggiornaza dei diciottenni non ha avuto alcun problema a crearsi l’account e a gestire la 18app. E penso che sia anche giusto che lo sia, oltre che per le note questioni di sicurezza anche perchè rende consapevoli di quello che comporta un account di questo tipo, cioè vanno benissimo i diritti, ma ci vogliono anche i doveri, in questo caso la corretta custodia del proprio account.


(Paolo Del Romano) #8

insomma …all’inizio vedevo che studenti rinunciavano al benefit e alla fine ho dovuto dedicare specifiche sessioni di help per aiutarli nell’attivazione del 18app


(Paolo Toso) #9

Insomma… niente app, niente cie, niente… torniamo alla carta e alla penna! :slight_smile:


(Lucb) #10

Voi che ne pensate di quest argomento / possibili alternative ?

Da sviluppatore (contattato da una azienda che vorrebbe agganciare SPID al suo sito) devo constatare quanto sia ostico anche solo capire di cosa stiamo parlando. Nell’era degli login Google, Facebook e via dicendo… Una procedura come quella proposta da SPID è troppo macchinosa. Va bene per il cittadino, perchè alla fine deve solo fare un login e tanti saluti. Per chi invece -come me- sta seduto dietro allo schermo e mastica codice… è un supplizio. Mancano delle linee guida comprensibili (c’è solo teoria), mancano esempi, mancano casi “reali”. Insomma manca un vero e proprio ecosistema che supporti SPID.

Concettualmente mi piace molto ma in pratica è ancora troppo farraginoso e burocratizzato per essere usato agevolmente. Peccato.


(Umberto Rosini) #11

Ciao @Lucb,
su github.com/italia puoi trovate diverse implementazioni e sdk per SPID. Il tutto è basato su SAML, quali sono le tue difficoltà?
Tornando la discorso di autenticazione unica, non è previsto un sistema di discovery perchè un utente potrebbe avere più di un’identità digitale e lo stesso modello è anche quello seguito da France Connect o Gov.Uk Verify.
Suggerimenti, che non siano mera polemica, e che siano suggerimenti tecnici e oggettivi sono i bevenuti.

Grazie

Umberto Rosini
Agenzia per l’Italia Digitale


(Paolo Del Romano) #12

però @Lucb si faceva una domanda a cui dovremmo tentare di dare una risposta: come mai i privati (banche, ecommerce, etc) finora hanno preferito implementare sistemi di autenticazione di google o di facebook e non quello di SPID ?


(Lucb) #13

Esiste una semplice pagina web (puro HTML) contenente il telaio base (form login + bottone SPID) e relative pagine lato server (se necessarie) che poi processano il tutto, spiegandoti quali parametri/variabili/modifiche vanno fatte?

Questo è cioè che trovi quando utilizzi dei moduli preconfezionati e li agganci ad un sito. Ad esempio Google sign-in, Facebook login, Stripe payments, eccetera. Ci sono dei template, script pronti per gestire tutto (callback compresi) e via dicendo. In genere registri l’app e poi lavori in un ambiente di test prima di andare in produzione. In pochi minuti sei operativo.

Volevo solo sapere se esiste qualcosa del genere oppure se per il momento è sempre previsto il vostro intervento a supporto.


(Alessandro Ranellucci) #14

Principalmente perché i primi sono gratuiti mentre SPID è a pagamento per i Service Provider privati. Sono tuttavia due cose diverse: SPID, a differenza dei social login, offre la garanzia dell’identità dell’utente e dei suoi attributi e quindi è pensato per sostituirsi a tutti quei flussi di login che prevedono l’identificazione certa dell’utente (presso uno sportello o inviando una copia del documento ecc.), e che hanno già ora un costo per i privati che li attuano. (Mi sento di escludere in ogni caso che una banca usi Google o Facebook per l’accesso.) Detto questo, lo sviluppo del mercato privato di SPID richiede certamente ancora molto lavoro.

Alessandro Ranellucci
Team per la Trasformazione Digitale


(Fans Hi) #15

L’idea che SPID debba essere a pagamento mi lascia francamente molto, molto perplesso.
Se la strategia di medio termine è quella di digitalizzare i flussi di interazione tra utente e PA , con relativo cospicuo risparmio in termini di personale e di risorse dedicate ai servizi di front-office tradizionali, allora lo strumento di autenticazione per accedere al panel digitale della PA DEVE essere gratuito. Il dialogo e il servizio efficace, efficente e puntuale con il cittadino DEVE essere il core business della PA.
SPID equivale alla porta d’accesso al panel digitale della PA. Renderlo a pagamento equivarebbe ad imporre un balzello del tutto ingiustificato sul piano costituzionale e normativo. Per presentarsi fisicamente ad uno sportello INPS, o agli uffici comunali, o agli uffici dell’AdE (Agenzia delle Entrate) o dell’ INAIL etc… non si paga nulla. Perchè dunque per accedervi in versione digitale si dovrebbe pagare? Non ha senso e soprattutto non ha fondamento legale.
Dopo l’introduzione di un obbligo di legge come la fatturazione elettronica l’AdE ha messo a punto una piattaforma web gratuita (Fatture e Corrispettivi) per la generazione , la trasmissione e la conservazione delle fatture elettroniche. Il tutto senza oneri per l’utenza. Lo Stato deve efficentarsi, ma non deve permettere che i privati speculino o lucrino sui servizi pubblici, a cui ogni contribuente ha pieno diritto di accedere per il semplice fatto che già li paga con le tasse che versa all’erario.
Non vedo altre alternative legali. SPID, se dovesse restare in piedi, dovrà essere senza oneri per l’utente.


(Paolo Del Romano) #16

perfettamente d’accordo! :clap::clap::clap: