Vabbè ma non si può tarare il mondo su sè stessi. Se uno vive a Milano può vivere senz’auto, ci sono servizi, tutto. Uno che sta in luoghi diversi può benissimo trovare indispensabile l’auto. Allo stesso modo per lo smartphone
Un tecnico dovrebbe sapere che l’allarme sollevato da Gabbanelli rappresenta solo una parte del problema. Non so voi, ma io di tanto in tanto faccio caso ai messaggi che compaiono nella barra di stato del browser e vedo che tutti i sit compresi quelli istituzionali usano le APIs di google, con o senza cookies, con o senza geolocalizzazione. Tra user agent, IMEI o MAC address, IP, sistema operativo e altri dettagli ce n’è abbastanza per identificare l’utente. E io parlo di navigazione dal PC. Dallo smartphone neanche ti accorgi di quello che succede in background.
Disattivare la localizzazione da solo falsa sicurezza, esiste un sistema di tracciamento centralizzato che funziona qualunque siano le precauzioni prese dall’utente.
Giustissimo. Pero’ occorre anche trovare un comune senso sociale, una “taratura collettiva”. Due generazioni fa un ventenne era strafelice con la Panda, ci faceva di tutto, e non gli veniva in mente di andare ai 150 km/h su viali di citta’. A prendere le cronache delle ultime settimane sembra che sia un diritto acquisito di molti ventenni, con o senza patente, di fare i 150 km/h su SUV da tre tonnellate e centinaia hp e se centrano un passante, peggio per il passante. Chi afferma che con la motorizzazione, specie se affidata a incoscienti, stiamo esagerando “tara il mondo su se’ stesso” o propone un’alternativa fattibilissima, ma che per diversi motivi, soprattutto commerciali, nessuno vuole promuovere? Con smartphone e social media e’ la stessa cosa. Siamo campati benissimo senza. Quando ero al liceo uno dei segni di riconoscimento individuale era l’opzione tra DiarioVitt, Diario Linus e stava arrivando Smemoranda. Oggi il neodiplomato vuole il SUV e non sa cosa si perde senza DiarioVitt. Molto meno costoso del SUV, a emissioni risibili e senza rischi per i passanti. Mentre senza l’ultimo smartphone Apple un teenager rischia di diventare rapidamente un caso da psichiatria.
Mi sembra pero’ diverso e fuori tema il discorso “auto” (ma potrbbe essere bici, armi da caccia, videoregistratori o altri riproduttpori musicali … insomma cose voluttuarie e/o volontarie … anche se e’ vero che in ambienti non urbani l’auto puo’ essere piu’ utile) e il discorso “smartphone” non come “voluttuario” (anche se ha una piu’ o meno forte componente del genere) ma nel contesto dell’accesso ai servizi della PA, l’argomento di questo forum. Tale accesso dovrebbe essere sempre consentito anche da PC, senza smartphone.
Certo, l’accesso dovrebbe sempre poter avvenire anche da pc e -anche- da pc non windows.
Ma non si può dire che lo smartphone è inutile o che sbagli la PA che considera lo smartphone come primo canale di comunicazione col cittadino. Esclusi alcuni talebani, infatti i cittadini mediogiovani hanno tutti uno smartphone in tasca e per la facilità d’uso riescono a farci un sacco di cose mentre non è assolutamente detto che abbiano un pc nè che sappiano usarlo anche a livello basico.
E’ un dato di fatto che i rapporti coi cittadini sono finalmente diventati digitali solo quando i cittadini hanno adottato lo smartphone in massa e una PA non può non tenerne conto. Prima, i canali c’erano (chi ricorda la cec-pac?) ma la gente (e la stessa PA) non li usava. Da quando c’è lo smartphone vengono usati, e questo è cosa buona.
Perchè questo canale sia diventato l’unico e a che prezzo abbiamo ottenuto questa digitalizzazione, è un’altra domanda, ma mi pare che nessuno voglia dare una risposta non superficiale.
A @GiP posso solo rivolgere l’invito a trasferirsi a vivere in un paesino appenninico (da cui passa un solo bus, una corsa alla mattina e di ritorno la sera) e fare famiglia lì, poi ne riparliamo sul poter vivere benissimo senza auto quando hai i figli da portare a scuola, allenamento, visite mediche ecc, e incastrare tutto questo col lavoro.
Qui non sono assolutamente d’accordo, o temo di essere stato travisato. Basti confrontare il traffico a Parigi, Berlino, e Roma. In parte le prime due hanno servizi pubblici efficienti, in parte e’ una questione di mentalita’. Il giorno in cui una personalita’ non verra’ messa in mostra con una cilindrata probabilmente anche da noi il traffico calera’ di un 20%.
Riguardo lo smartphone il problema non e’ il dispositivo come tale. Anzi, che bello un micro PC potente, tascabile, con fotocamera e che fa girare tante app. Il problema sono gli ecosistemi che si sono creati al loro intorno. Concordo che per la PA e’ comodissimo avere un canale con il quale raggiungere una larghissima fetta di popolazione, e questo vale per servizi commerciali, linee aeree e cosi’ via. Il problema alla base e’ lasciare la gestione finale e il knowhow di dettaglio in mano a pochissime aziende. A Google sono stati molto piu’ bravi dei nostri governi a capire la posta in gioco. Se l’interfaccia tra smartphone e servizio fosse costruita su HTTPS/HTML questa funzionerebbe allo stesso modo su PC e su smartphone e il problema non esisterebbe. Mentre con il proliferare delle app siamo legati al fornitore, che ci piaccia o no. Io ho gia’ chiesto alla mia banca di darmi il seed per la generazione dei codici TOTP e HOTP, che ovviamente non renderei pubblico insieme al mio numero di conto e alla password di accesso. Ma hanno rifiutato. Obbligandomi cosi’ di fatto ad andare allo sportello o di mettermi nelle mani di una app e dei suoi gestori.
Di nuovo, continua a stupirmi che in Cina e in Russia, situazioni che conosco abbastanza bene, ci siano arrivati 15-20 anni fa e abbiano subito agito di conseguenza. La Commissione UE continua invece a offrire pannicelli caldi in forma di Wallet, cryptovalute, Omnibus Digitale (questa e’ dell’altro ieri), GDPR ecc.
Parigi e Roma non sono Cadelbosco di Sotto.
Una banca fa benissimo a non far circolare certe informazioni. Dovrebbe basarsi sulla parola di una persona che il giorno dopo potrebbe cedere il codice al miglior offerente, col rischio che qualcuno lo usi per scopi illeciti?
L’UE non è sovrana, Russia e Cina sì.
Si tratta dopotutto del MIO conto. Il peggio che puo’ succedere e’ che lo svuotino. Per altre azioni illegali quali riciclaggio non e’ che se installo una app e vendo lo smartphone al miglior offerente dandogli anche una password la questione cambi molto. Il masochismo non e’ illegale.
Forse dovrei fare un tentativo dicendo di avere bisogno del seed per programmare Google Authenticator. Forse ‘Google’ e’ la parola magica che sblocca tutto. I prossimi giorni passo in banca e provo.
Cioe’ potrebbero risparmiarsi tutto il resto della legislazione IT, a iniziare da GDPR e DMA? Se producono in questo senso, potrebbero concentrarsi su alcuni, pochi aspetti veramente strategici e iniziare da quelli. Se la UE puo’ dev\cidere che la BCE emette Euro perche’ non puo’ decidere anche su un canale bancario per le transazioni, ma in mani europee? Siamo al 30,9 (periodico), ma del 31 non se ne parla proprio.
Segnalo l’ottimo report di @Patrizia_Saggini sulle novità della Convenzione Spid recentemente rinnovata e soprattutto sulla transizione dallo Spid al Wallet
Anche lo spid di poste diventa con canone annuale, tranne alcune eccezioni.
ma esattamente cosa ha la gente contro la CIE?
Probabilmente che viene vissuta come un adempimento burocratico in piu’ senza particolari vantaggi. La CIE e’ una buona (ottima?) soluzione ma commercializzata male/ malissimo.
Nella miriade di leggi dedicate ad IT i nostri politici italiani ed UE hanno dimenticato di scrivere una semplice frase: “Ogni fornitore pubblico o privato di servizi che richiedono login deve riconoscere anche la CIE o documento equivalente UE”. Cosi’, volendolo, eviteremmo app, codici sul cellulare, link email di conferma e anche i baluba digitali un po’ alla volta capirebbero i vantaggi della CIE.
Quello che governi ed UE non sono stati in grado di fare l’hanno capito benissimo i Big Tech americani. Su sempre piu’ siti appare la finestrella “Entra con…” e alcuni social a scelta.
Ancora un po’ e questa finestrella apparira’ anche per accedere ai servizi pubblici, tipo l’Agenzia delle Entrate, o per il Fascicolo sanitario. I nostri politici lo festeggeranno come collaborazione pubblico-privato e semplificazione per il cittadino. UvdL parlera’ di “punto di incontro” tra gli interessi europei e quelli USA.
Secondo la roadmap esplicitata dal Sottosegretario alla Presidenza del Consiglio per l’Innovazione Alessio Butti entro qualche anno è quello che accadrà ma con IT-Wallet
Assieme al mio commento di 20gg fa ho scritto una richiesta ufficiale al gruppo che per la UE segue il Wallet e che per regolamento deve rispondere. In particolare ho chiesto come garantire la sicurezza delle informazioni considerato che il wallet puo girare solo su smartphone, cioe’ su Android e Apple. La loro risposta:
The European Digital Identity Wallet(s) (EUDI Wallet(s)) enable(s) citizens and organizations to securely identify themselves to administrations and companies in the European Union (EU). In addition to an identity proof, EUDI Wallets can be used to store and manage a variety of other digital proofs, such as dirver’s licenses, educational and health certificates, registration certificates or travel documents. If required, these documents can be used for authentication or for presentation to third parties such as authorities, banks, etc. Citizens will also be able to use EUDI Wallets to execute qualified electronic signatures.
It is foreseen that these functionality are available through a smartphone.
Per chi volesse reagire direttamente verso UE presentando commenti riguardo l’uso del software libero puo’ farlo fino a mezzanotte. L’identificazione e’ con SPID o CIE. Si puo’ scrivere anche in italiano (o in maltese, gaelico, lettone ecc.)
1 Mi Piace
In contemporanea al mio ultimo post ho riscritto alle autorita’ UE chiedendo come la mettessero con la sicurezza. La nuova risposta e’ molto piu’ articolata.
Thank you for raising these important questions regarding the functional independence of the EUDI Wallet and the role of smartphone operating systems.
From a technical and regulatory perspective, the Wallet is designed to operate as an encapsulated application within the device. Its architecture ensures that any communication between the Wallet and relying parties is fully end-to-end encrypted. As a result, neither the smartphone operating system nor the device manufacturer is able to access the content of the data exchanged, including user attributes or attestations.
Furthermore, the regulatory framework explicitly requires that the Wallet must not communicate any information about its use to third parties. Wallets are therefore required to be designed in such a way that the collection, transmission, or exposure of usage data is technically prevented. This obligation is not based on assurances by operating system providers, but rather on enforceable technical and legal requirements placed on Wallet implementations.
Importantly, based on the current design as described in the Architecture and Reference Framework (ARF) and the relevant reference standards, there is no mechanism that would allow smartphone operating system providers or device manufacturers to gain insight into the identity of the user, the data stored in the Wallet, the attestations used, or the transactions performed. The operating system acts solely as a hosting environment and does not have visibility into Wallet data or communications.
In this sense, the EU’s approach does not rely on trust in proprietary platform providers, but on a combination of strict regulatory obligations, privacy-by-design principles, and cryptographic safeguards that ensure functional independence and data protection regardless of the underlying operating system.
E’ esattamente la stessa riflessione che stavo facendo leggendo i vari interventi di questo tread: ho avuto l’impressione che ci sia un po’ di disinformazione.
Ho richiesto la nuova CIE perchè la mia vecchia Carta di Identità cartacea era in scadenza e l’ho subito attivata, addirittura senza neanche aver ricevuto ancora la carta fisica, e funziona benissimo, esattamente come lo SPID.
Confermo che il lettore NFC (dello smartphone o collegato al PC) è necessario solo per l’autenticazione di terzo livello, ma con l’autenticazione di primo o secondo livello riesco ad accedere praticamente dappertutto: finora non mi sono ancora imbattuto in un sito che abbia richiesto l’autenticazione di terzo livello…
Quindi, non riesco giustificare molto questa levata di scudi contro la CIE enche se, in parte, la capisco: dopo che ci hanno rotto le scatole in tutti i modi possibili e immaginabili per “invitarci” ad attivare SPID, adesso che si è diffuso e ci siamo abituati ad usarlo (e dobbiamo cominciare a pagarcelo…) dobbiamo riprogrammare il nostro cervello e adottare un diverso sistema di autenticazione… anche se, comunque, non mi sembra il male peggiore.
Se, poi, vogliamo discutere, ancora più a monte, se sia legittimo o meno che, per fruire di certi servizi della P.A. ai quali dovremmo avere diritto, siamo costretti a disporre di uno smartphone, di un PC, di una connessione Internet e di non so bene quali altre diavolerie tecnologiche, discutiamone pure, però… dove la mettiamo la comodità di fare una prenotazione alla ASL o ritirare i referti degli esami on-line, o richiedere un certificato anagrafico o eseguire un semplice bonico o spedire un telegramma, senza sobbarcarsi ore di fila agli sportelli e dover, il più delle volte, scontrarsi con la poca formazione (ignoranza?) e/o l’arrogante maleducazione di molti degli addetti ai vari sportelli?
Ciao a tutti - Andrea
P.S.; certo, se banche, poste, istituzioni varie si decidessero ad adottare un sistema di autenticazione univoco ed uguale per tutti, saremo liberati dalla schiavitu di dover utilizzare centomila sistemi di autenticazione diversi, ma pare che ciascun Ente adotti il sistema di autenticazione più sicuro di tutti gli altri e così siamo costretti ad utilizzare “molti” sistemi di autenticazione “più sicuri”…
2 Mi Piace
Infatti basterebbe che utilizzassero la CIE, almeno come opzione rispetto agli altri metodi. Tutta la procedura e’ gestita dal Ministero. Per il fornitore di servizi sarebbe solo uno scambio di query/ response. “Chi e’?” “E’ Mario Rossi, C.F. xxx, identita’ verificata”.
Si ricade sempre nella stessa questione. A chi spetta prendere l’iniziativa, e non lo fa?
Ciao A tutti.
Io sono pro CIE!
Non entro nel merito del pagamento o meno dei servizi di provider che forniscono il servizio SPID, non ritengo chi decida di farsi pagare un servizio debba essere messo alla gogna, d’altronde altri provider, prima di Poste, aveva ed ha deciso di fornire servizi a pagamento per il servizio digitale di identificazione digitale e non mi sembra che siano stati messi da parte, anzi continuano a fornire servizi! Essenzialmente da utenti e cittadini si ha la possibilità di voler e poter scegliere se utilizzarli, non credo che ci siano obblighi che impongono di pagare necessariamente lo SPID, è una semplice scelta.
La CIE, emessa dal Poligrafico di Stato, con elementi di sicurezza informatica per la corretta gestione dei propri dati personali, permette di accedere ai servizi delle Pubbliche Amministrazioni gratuitamente, in pratica un Servizio dello Stato per le PA. Macchinoso? Ma insomma mica tanto, lo SPID di POSTEiD si utilizza inquadrando il QR code e con l’App CIEid …. anche. Se è complesso per persone un “po” avanti negli anni, ricordo che, per i settantacinquenni è gratuito.
A presto
Agos
Anch’io sono pro CIE.
Mi domando solo se la questione del level 1/2/3 e di tutta la messaggistica intermedia sia proprio necessaria.
Con la CNS (che ho “sempre” usato per FSE, AdE e INPS) metto la CNS sul lettore,. faccio logn dal browser (ossia inserisco il PIN) clicco OK quando mi mostra il certificato e sono dentro. Perfetto.
Con SPID (vado a memoria) … scelgo il provider (poste), entro username e password (che scade ogni 6 mesi), poi devo selezionare due o tre volte che voglio usare SMS, entro l’OTP, mi arriva una schermata di poste che dice che sta per passare la info al comune o chi altro e vuole il consenso. E ricevo anche uno o due mail che dice che qualcuno ha usato il mio spid. Che palle!
Con CIE livello 3 e’ un misto. Vado sempre a memoria. Appoggio la CIE sul lettore e faccio il login col; PIN nel browser (come la CNS), Poi vedo la schermata ministeriale e devo scegliere due volte di usare il lettore del computer. Poi al popup del certificato devo dare OK. Poi c’e’ una schermata di consenso. E mi pare almeno un mail che qualciuno ha usato la mia CIE. Una mistura di pallosita’ tra CNS e SPID.
Nel caso di CIE livello 2 mi pare sia username e password, poi arriva l’OTP per SMS. mi pare ci sia sempre schermata di consenso e mail di log.
Con la mia banca basta codice cliente e PIN, poi arriva OTP per SMS e sono dentro.
Dopo l’inserimento del PIN due richieste di approvazione di invio del certificato e una che si e’ d’accordo al fatto che nome/ cognome/ data di nascita/ codice fiscale siano inviati all’ente nel quale vogliamo fare login.
Per me questa e’ prova provata dell’influenza di giuristi o nominati dalla peggiore politica sul lavoro di ingegneri. Devono dimostrare a ogni costo di esserci anche quando il loro contributo e’ superfluo se non nocivo. Se non intendo inviare nome o cognome a un certo ente, perche’ allora dovrei fare login con la CIE? Negli altri sistemi europei che conosco queste domande non vengono poste affatto. Fai login, entri.