menu di navigazione del network

SPID senza numero di telefono

Buongiorno, volevo chiedere qui se esistessero dei metodi per ottenere SPID senza possedere un numero telefonico (né fisso né cellulare), in quanto SPID sarà sempre più “obbligatorio”, ma non mi risulta che il numero telefonico lo sia/debba esserlo.

Esiste quindi un metodo per ottenere spid senza numero telefonico? Se la risposta è no, come potranno ottenerlo chi non possiede un numero telefonico? Sono obbligati a farsi un numero telefonico? (non lo trovo corretto)

Grazie in anticipo

2 Mi Piace

Ciao, benvenuto!

Potresti dare indicazioni dove è scritta la tua affermazione.
Ti ringrazio
A presto
Agos

In italia, nella legge. Se per esempio lo SPID diventa obbligatorio per accedere a concorsi pubblici, si sta implicitamente dicendo che è obbligatorio possedere un numero telefonico per poter partecipare ad un corcorso pubblico, o per accedere all’INPS, ecc

Sono perfettamente consapevole che il numero telefonico sia un requisito dello SPID, ma non lo è mai stato per tutta la serie di autenticazioni che lo SPID sostituirà.

La gente quindi avrà, di fatto, un obbligo in più, che prima non c’era, quello del telefono.

Valuterei seriamente un metodo per rilasciare SPID anche a chi non ha un numero di telefono, che deve poter accedere, come tutti, ai servizi

2 Mi Piace

Formalmente Non serve il numero di telefono. Serve uno Smartphone o un Tablet non necessariamente collegato tramite SIM ( quindi linea telefonica mobile) ma via Wi-Fi . Serve anchee una mail .
Un cellulare non smartphone non va bene
E anche possibile caricare l’app del gestore SPID sul Pc tramite un emulatore di Android e quindi neanche lo smartphone è indispensabile
Alla fine se non hai lo smartphone devi avere o un tablet o almeno un PC , ovviamente collegati ad internet : si chiama DIGITALIZZAZIONE
Alla fine la situazione meno complicata in effetti è avere uno smartphone con la SIM
D’altronde prima le autorità diffondevano le disposizioni al pubblico tramite manifesti , ora si usa la Televisione: neppure la televisione è obbligatoria.

Mi dispiace informarla che un numero telefonico serve eccome. E’ scritto chiaro e tondo nei requisiti di spid

https://www.spid.gov.it/domande-frequenti
Per richiedere e ottenere le tue credenziali SPID hai bisogno di: un documento di identità italiano (carta di identità, passaporto o patente) in corso di validità e la tua tessera sanitaria (se non la puoi ottenere, ad esempio se sei un italiano residente all’estero, il tesserino del codice fiscale attualmente rilasciato). Ti servirà anche: un indirizzo e-mail e il numero di telefono del cellulare che usi normalmente (anche se non sei tu l’intestatario del contratto).

Si può tranquillamente implementare SPID con 2fa su email o yubikey, il numero telefonico non è obbligatorio (a livello tecnico, mentre lo è a livello di requisito da chi ha creato SPID), e quindi per il principio di minizzazione dei dati non andrebbe richiesto.

1 Mi Piace

Hai perfettamente ragione.
Dovresti avere una risposta più seria alla tua osservazione!

1 Mi Piace

Credo che la soluzione più semplice possa essere l’attivazione della tessera sanitaria che abbiamo tutti. Ci si identifica di persona, si compra a una decina di euro un lettore di smartcard e - una volta installato sul pc il software necessario - si usa come sistema di identificazione alternativo a SPID. Ho letto che la tessera sanitaria attivata (chiamata anche Carta Nazionale dei Servizi, come sigla: CNS) sarà garantito come sistema di autenticazione anche in futuro, non verrà mai dismesso, vedremo. (Trovi le informazioni di installazione online, funziona anche su linux).

La CNS garantisce l’accesso a quasi tutti i siti in cui si accede anche tramite SPID, per cui è, a tutti gli effetti, una valida alternativa di autenticazione (e più sicura, anche).

C’è da installare il software sul computer, ma, una volta operativa, basta inserire la tessera nel lettore e inserire il pin, da usare è semplice. Assolutamente nessun bisogno di avere lo un numero di telefono, tuttavia serve un computer, un lettore di smart card e anche un indirizzo e-mail (quest’ultimo solo per l’attivazione, non per l’utilizzo effettivo della CNS).
Per il resto, credo sia giusto che si ampli la possibilità di utilizzo di SPID a tutte le situazioni, senza dover obbligare i cittadini a possedere un numero di telefono/uno smartphone se non vogliono o non possono averlo.

1 Mi Piace

Sono solo parzialmente d’accordo…

La CNS è, tecnicamente, paragonabile ad uno SPID di livello 3, quindi effettivamente più sicura. Lo stesso livello di sicurezza ci è fornito dalla CIE, che probabilmente quando sarà largamente diffusa soppianterà la CNS.

Per quanto riguarda SPID e smartphone/numero di telefono, la questione è delicata: per un accesso mediamente sicuro, di livello 2, è necessario generare un token per l’autenticazione a due fattori, per cui devo avere un dispositivo che assolva a tale scopo!
Di token fisici ormai non se ne parla più, anche le banche li hanno soppiantati perché troppo poco sicuri; di mandare un OTP via mail non se ne è mai discusso, ma se il mio username per l’accesso con SPID è la mia email, è bene che il secondo fattore di autenticazione sia un altro mezzo: sicurezza! Per cui la App su smartphone è la via maestra!
In mancanza di alternative valide, che non credo vi siano o comunque non con questo grado di diffusione, il telefono è un prezzo da pagare per la sicurezza.

Certo, possiamo discutere sull’inutilità dell’obbligo di fornire un numero di telefono (e qui l’alternativa effettivamente c’è!). Ma dal momento che comunque lo smartphone mi è richiesto, vale la pena considerare l’opzione?

Del resto, l’alternativa a tutto ciò è e resta la CIE, che non richiede numero di telefono ed è simile alla CNS, se non per il fatto che usa tecnologie più avanzate, ha un processo di rilascio e attivazione più standardizzato e permette l’autenticazione forte anche da mobile (badare bene, mobile ma senza numero di cellulare).

Purtroppo è il prezzo da pagare per la sicurezza: se vogliamo avere certezze e sentirci sicuri quando operiamo per via telematica, dobbiamo cedere ad alcuni compromessi con la tecnologia.
Lo Stato fortunatamente fornisce non 1, ma 3 metodi di autenticazione diversi, per cui dai: una soluzione la si riesce a trovare!

La soluzione per un OTP sicuro e standard c’è: TOTP (che è quello che usano github, google, microsoft, facebook, ecc)

Mi corregga se sbaglio, ma stiamo parlando di strumenti come Microsoft Authenticator? Quindi username su pc, notifica push su smartphone in cui confermo l’identità (e generalmente scelgo il numerino visualizzato sullo schermo del computer)… Strumenti senz’altro funzionali, ma alla fine non mi sembra si discostino molto da quanto si fa ora con SPID (PosteID sicuro, Infocert genera un OTP, per gli altri chi più, chi meno); e soprattutto, rimaniamo sempre vincolati allo smartphone.

Certo, il numero di telefono non è necessario e di quello effettivamente si potrebbe fare a meno, ma non riusciamo ancora ad evitare lo smartphone.

Mi dispiace correggerla ma no, non stiamo parlando della stessa cosa. Il sito nel quale ci si vuole autenticare chiede username e password, una volta inserite chiede di inserire il codice OTP. Questo codice non viene inviato a nessuno, è l’utente stesso che apre il suo gestore di otp e genera l’otp corrispondente a quel servizio, inserendo quindi il codice nel sito nel quale si sta autenticando.

E sì, esistono client TOTP sia per desktop che per mobile, quindi è superato sia il problema del numero di telefono sia dello smartphone

Android https://freeotp.github.io/
Linux GitHub - paolostivanin/OTPClient: Highly secure and easy to use OTP client written in C/GTK that supports both TOTP and HOTP
Windows (e altri) https://authy.com/

1 Mi Piace

Ah, la ringrazio per la precisazione, non ero al corrente di questa possibilità!

Sì, sicuramente la cosa sembra interessante. Il problema che vedo, sicuramente risolvibile ma con sforzi che i vari IdP probabilmente non hanno voglia e interesse di fare, può essere un adeguamento tecnologico e l’appoggio a software terzi, siano essi sviluppati ex-novo da loro, da aziende pubbliche o private.
Inoltre, e qui entriamo nell’ambito della sicurezza che non conosco, abbiamo il limite di appoggiarci sempre allo stesso dispositivo (il computer)? È accettabile? I criteri di sicurezza di un accesso di livello 2 sono rispettati? Se qualcuno di più ferrato potesse dare una risposta sarebbe senz’altro apprezzata!

Alcuni provider spid già usano TOTP, solo che lo fanno con la loro app custom, è possibile estrarre “il segreto” dell’algoritmo ed utilizzarlo in qualsiasi altro dispositivo

1 Mi Piace

Quando si parla di smartphone e sicurezza, consiglio a tutti di informarsi per bene su questa faccenda:

L’articolo è in inglese, ma si trovano tranquillamente informazioni in italiano cercando online, con le parole chiave “smartphone”, “sorveglianza di massa” e “Edward Snowden” (il quale non possiede uno smartphone proprio per tutelare la propria privacy). In alternativa consiglio la visione del film “Snowden”.

1 Mi Piace

In alternativa consiglio vivamente di affrontare l’argomento in maniera meno fantascientifica d’accordo che da un bel pò di tempo ci sentiamo tutti spiati, ma non credo che questa sia la via più corretta per affrontare le problematiche di sicurezza sui servizi SPID, e comunque resta inteso che io credo nell’identità digitale e soprattutto nella semplificazione di accesso ai servizi, ma purtroppo la voglia di tradizione in qualche modo ci frena un pochino, quel poco che basta, a restare sempre un gradino sotto rispetto ad altri. Se cercassimo di ragionare con: ingranare le marce, percorreremmo più strada, in avanti!

1 Mi Piace

Ognuno trae dalla realtà le conclusioni che vuole, ma questa non è fantascienza, sono fatti di cronaca.
Inoltre, se lei si intende un po’ di computer, può fare la prova lei stesso, collegandosi ad un router che mostra le connessioni, quante volte un dispositivo apple si collega a server apple durante la giornata e la quantità di dati che scambia con i server stessi, provare per credere!
Libero di pensarla come vuole, ma Edward Snowden è una persona tecnicamente preparatissima, a occhio più di me e lei messi insieme, io tendo a fidarmi, ognuno faccia come crede.

1 Mi Piace