SPID senza numero di telefono

Ti diro’, paesi insospettabili hanno fatto errori.

Ti faccio l’esempio Estonia-Finlandia, che sono separati da poca distanza e sono molto affini.

In Estonia hanno una carta d’identita’ elettronica simile a quella italiana, anche se e’ possibile usarla per molte piu’ cose. Alla fine e’ quello diventato il sistema con cui si accede alla PA (e non solo).

Una cosa simile la hanno fatta in Finlandia, ma e’ miseramente fallita: costava poco meno di un passaporto (percio’ la gente faceva quello…), ma soprattutto esisteva gia’ un sistema usatissimo dagli abitanti che era lo standard de facto, il TUPAS, che era il sistema di accesso bancario (puo’ sembrare strano, ma essendo vissuto in Finlandia so che vivere senza conto bancario e’ possibile ma molto scomodo ). La sorpresa e’ venuta quando l’UE ha deciso che il TUPAS non soddisfa dei requisiti comunitari e ha imposto di smantellarlo. E cosi’ stanno seguendo una strada simile alla nostra con dei servizi in competizione di mercato per l’identita’ digitale.

Una mia perplessita’ sullo SPID e’ proprio la pluralita’ di soggetti che possono offrirlo. Ma siccome e’ possibile farlo con le Poste, che e’ quasi come farlo con un ministero, non e’ grave. Naturalmente questo pone dei problemi, anche perche’ quando parliamo di SPID non ci riferiamo al sistema in se’, ma alle particolari implementazioni dei singoli gestori. Perche’ se, come in questa discussione, parliamo di usare il secret TOTP liberamente, questa e’ una possibilita’ che dipende dal singolo gestore che potrebbe persino usare un altro sistema.

Tu dici che lo SPID e’ stato creato con in testa le esigenze della PA e non dell’utenza. Su questo mi permetto di dissentire. E’ stato creato a misura della maggioranza della popolazione, purtroppo. Gia’ prima degli smartphone, eravamo in testa alle classifiche europee per l’uso di cellulari. Siamo un paese con una bassissima alfabetizzazione informatica ma che stravede per gli smartphone, tanto che moltissima gente non ha un computer, ma solo uno smartphone. Era inevitabile che la strada della digitalizzazione dei servizi dovesse passare per gli smartphone, e’ una nostra peculiarita’.

Le persone che per diversi motivi sono a disagio con questa soluzione sono veramente una quota minoritaria. Il che non significa che debbano essere ignorate, naturalmente.

Spero che nel prossimo futuro la soluzione CIE/TS diventi sempre piu’ diffusa. Perche’ il fatto che la soluzione smartphone comporti problemi di sicurezza non e’ una fantasia paranoica, ma purtroppo una realta’ di cui si stanno accorgendo anche le banche.

E comunque, c’e’ un dettaglio tecnico che mette gli smartphone in vantaggio sui PC qualora in futuro si volesse renderlo piu’ sicuro (non so se al momento le varie app per smartphone lo facciano gia’): ci sono sicuramente molti piu’ smartphone con TEE di quanti non siano i PC con un chip TPM (entrambe soluzioni che consentono di “isolare” le chiavi dal resto dell’HW/SW). In un’ottica di massima semplicita’ anche questo avra’ la sua importanza.

Grazie degli interessantissimi feedback! Mi distruggi un mito - la Finlandia ;(
Riguardo l’Estonia - ho fatto la e-residency. Pratica, funzionale, software installato in un minuto. Tutti i servizi integrati in un portale di uso semplicissimo. Smartcard basata su OpenSC e senza nemmeno la necessita’ di installare certificati nel browser. Sicurezza Livello 3.
Rispetto all’Italia mi diverte che quando ho chiesto se ci fossero smartphone in qualche punto del servizio hanno risposto di no, “per motivi di sicurezza”.
Ma allora lo smartphone e’ sicuro, oppure no?
Riguardo sicurezza e privacy non dovremmo ne’ cadere in paranoia ne’ prenderle a giustificazione di grandi corbellerie. Saro’ naiv, ma non vedo schiere di hacker nigeriani o i servizi di Putin fare la bava per il mio stato di famiglia o verifiche sul sito INPS. Anche il conto bancario era protetto da 3 diversi step di verifica prima della 2FA, pretendere adesso anche lo smartphone complica solo le cose. Specie per chi non ce l’ha.

Cioe’ non hanno copiato dall’Estonia che e’ dietro l’angolo (cioe’, 90km di mare) con lingua e mentalita’ molto simile e soprattutto una soluzione ben funzionante?

Avevano copiato, ma come ti ho detto l’esistenza di un sistema gia’ universalmente adottato ha limitato moltissimo le richieste di carta d’identita’ elettronica (la popolazione preferisce chiedere il passaporto)…

Poi tieni presente che la Finlandia ha un rapporto coi telefoni persino piu’ esagerato del nostro

Lo smartphone non e’ sicuro, questo mi sembra pacifico. Oltre alle vulnerabilita’ del sistema operativo, che richiedono aggiornamenti mensili (che molti produttori non forniscono), c’e’ il problema delle app che contengono software malevolo e che puntano proprio a rubare dati bancari/d’identita’

Credo che anche la semplice possibilita’ di produrre certificati a tuo nome possa creare diversi problemi, quindi gli hacker nigeriani li ritengo moderatamente interessati

Per quel che riguarda le banche, avrei moltissimo da scrivere, ma non e’ questa la sede. Mi basta dire che secondo me lo smartphone portera’ piu’ problemi di quelli che c’erano prima.