Sulla semplificazione dell'uso della CIE

SI continua l’opera di semplificazione della CIE per renderla qualcosa più simile allo SPID

Ma l’applicazione rimane closed source…

Ma perchè invece le protezioni implementate sul chip della CIE sono open source ?
Chi ha detto che un programma dello stato per i cittadini debba essere Open Source ?

Non mi è però chiaro… Non ci sono più i vari livelli di autenticazione ? Quindi solo login + password + SMS ?
Mi pare un passo indietro in quanto a sicurezza.

Nel quale si legge che le PA

L’art. 68 C.A.D. traccia una linea di condotta a cui le PP.AA. si devono uniformare.

Ma quindi @Paolo_Del_Romano l’NFC, che credo sia il maggiore ostacolo alla fruizione del servizio (per tutte le ragioni già note) non serve più in questa modalità semplificata? P.S. ma non ci avevano raccontato in tutti i modi che l’SMS per gli OTP era insicuro e quindi si doveva migrare a un altro metodo? (In ogni caso mi fa piacere che inizino a pensare anche alla fruibilità effettiva nel mondo reale ).

Premetto che ho ancora la Carta d’Identità cartacea e utilizzo (con soddisfazione ) le altre due forme di identità digitale (CNS e SPID) , forse sono la persona meno adatta a rispondere a questo tipo di domanda proprio perchè è una modalità che non ho avuto modo di sperimentare realmente . Comunque sulla base di quello che ho letto con l’annuncio di oggi sembrerebbe che non sia più necessario l’NFC

Potrebbe essere una scelta politica quella di ottenere una maggiore semplificazione sacrificando un pò di sicurezza. Quindi in tal modo avremmo uno strumento di autenticazione di rango inferiore da utilizzare in tutti quei casi dove non è necessario avere il massimo della sicurezza.

Le specifiche del chip della CIE, che contengono anche i meccanismi di protezione, sono pubblicate qui:

Lei pare essere di @IPZS-CIE

Sa darci qualche commento sul come mai le applicazioni (android, ios) non sono ancora state rilasciate a codice sorgente aperto?

Se le specifiche sono rimaste queste allora l’NFC è rimasto un dispositivo ESSENZIALE

La CIE contiene un chip NFC con le funzionalita’ di Livello 3 e va benissimo. Ora che sappiamo che il collo di bottiglia nel suo uso e’ il lettore NFC, vuoi nello smartphone vuoi esterno per desktop. Perche’ allora non prevedere una delle seguenti alternative, a richiesta e a pagamento, per facilitare veramente la vita dei cittadini

1. funzionalita’ CIE su chiavetta USB, rende superfluo il lettore NFC, driver ecc.
2. funzionalita’ CIE su dongle collegato in Bluetooth. Rende superfluo tutto il resto, Bluetooth e’ implementato in desktop, laptop, tablet, smartphone e cosi’ via.

Non e’ nemmeno necessario che lo stick o il dongle replichi (cloni) i dati della CIE. Possono benissimo essere altri dati, riferiti alla stessa persona fisica. Che e’ quello che succede gia’ se abbiamo CIE e CNS, tre se abbiamo la firma digitale.
Per il cittadino che si collega una volta l’anno e’ sufficiente la funzionalita’ legata a SPID / SMS / smartphone. Per chi si collega diverse volte a settimana, come il sottoscritto, una chiavetta dedicata o il dongle sarebbero la forma piu’ semplice, pratica e sicura. Con la protezione di possesso, il dongle, e di conoscenza, il PIN. Ma al momento mi va benissimo anche la CIE col lettore.
Ripeto quanto gia’ espresso in altri post. Non ha senso utilizzare la stessa tecnologia da parte del notaio/ commercialista/ avvocato che tratta decine di documenti al giorno con sicurezza Livello 3 e dal pensionato semianalfabeta che due volte l’anno deve prenotare una visita medica e gli e’ sufficiente il Livello 1 o 2. Le nuove riforme vanno in questa direzione, e va benissimo cosi’.
Speravo nella sinistra o nel M5S per difendere questo punto di vista, l’hanno toppato in pieno, troppo velleitari da “nativi digitali” che non vedono il resto del mondo. Ora fa benissimo la destra a spingere in questa direzione.
Resta da trovare una soluzione razionale riguardo la PEC, anch’essa non puo’ essere a pagamento e lasciata solo a privati. Per le comunicazioni ai notai e commercialisti forse va bene come e’, per la piccola Partita IVA (portapizze a domicilio) o il pensionato e’ un’assurdita’ totale. In confronto, oggi nessuno deve pagare un’azienda privata per potere ricevere raccomandate al proprio indirizzo stradale.

Altrimenti si potrebbe ipotizzare l’uso di un token esterno (come fa Aruba per l’OTP della firma digitale remota) per ricevere un codice di conferma, o inserire un numero per ricevere un codice di conferma (come facevano i vecchi lettori bancoposta). Cosi anche usb e bluetooth non sarebbero necessari.

Il token Aruba probabilmente costa meno di due Euro, cosa non in linea con i prezzi applicati dalla societa’ per il suo uso. Quando risiedevo all’estero-UE le banche presso le quali avevo il conto offrivano, una gratis e l’altra una tantum a 10 Euro, dei lettori ottici con slot per il Bancomat. Ergo - inserisci online tutti i dati di una transazione, sullo schermo appare un QR code, preso dalla microcamera del dispositivo nel quale e’ inserita la tessera bancomat, viene generato OTP a 6 cifre. Semplice, rapido ed extrasicuro in quanto prevede due fattori di possesso, dispositivo e bancomat, e uno di conoscenza, il PIN per entrare in online banking.
Sicuro, praticamente inattaccabile, made in Europe con i brevetti tutti a casa.
Cosa c’e’ che ne impedisce un uso piu’ diffuso, anche da parte della PA? Proprio questi tre aspetti

Probabilmente quando tutti avremo la CIE con la relativa attivazione dei ceritificati digitali anche la PA potrà fare come la banca che citavi tu. Il problema attuale è che solo una MINIMA parte delle CIE consegnate hanno i certificati digitali operativi. La quasi totalità delle persone che conosco e che hanno la CIE non ha le credenziali!

Le credenziali sono date di ufficio. Vuol dire che alla gente non interessa? E se questo e’ il caso, come giungeremo a un’amministrazione digitale usata attivamente?
Soluzione alternativa. Pagine Facebook della PA con comunicazione a selfie e shot dei documenti necessari. Identificazione via Avatar e scambio messaggi via Whatsapp. Dopodiche’ facciamo Zuckerberg Presidente del Consiglio.

nessuno ha spiegato loro a cosa servivano e soprattutto dell’importanza della loro custodia

Sempre che tutto sia operativo a puntino, se le persone si trovassero ad avere un aggravio di costi ogni volta che vogliono interagire con la P.A. in modo manuale-cartaceo o vogliono pagare in modo non telematico (e nel contempo fossero incentivati a farlo in modo automatico-digitale con sconti, riduzioni ed agevolazioni), sono convinto che la telematica pubblica diffusa prenderebbe piede anche tra i non-digitalizzati … è solo una questione di rendere agevoli i processi (per quanto si può) e una questione di pigrizia telematica dell’utenza…

perfettamente d’accordo!
ma i politici ce l’hanno il coraggio di prendere iniziative del genere ?!