SU RICHIESTA DELL’UTENTE, sarebbe utile avere notifica di tutte le attività delle identità digitali (vari SPID, CIE, TS-CNS) collegate al proprio codice fiscale.
Servirebbe come verifica del fatto che le identità non siano state manomesse.
2 Mi Piace
Che significa? Se uso la tessera sanitaria per scaricare un referto questo dev’essere monitorato da chi e a che scopo?
@ale2021 Credo intenda un tabulato di tutte le attività delle utenze legate ad un codice fiscale, ad esempio, in caso di clonazione identità SPID(soggetto terzo che si registra usando PII compromesse), si può verificare le attività dell’attaccante
come detto nel primo messaggio, chi non fosse interessato al servizio non ne farebbe richiesta e non avrebbe nessuna informazione di accesso registrata su IO.
Per chi dovesse farne richiesta il servizio restituirebbe un tabulato degli accessi tramite identità digitale distinti per:
- tipo di identità: Spid [fornitore], CIE, CNS.
- ora e data
- servizio online in cui si è entrati
- livello di sicurezza usato: 1, 2, 3.
Lo scopo, come detto nel primo messaggio, è ricevere conferma che le identità non siano state manomesse. È un servizio offerto da vari enti privati su altri tipi di profili, ne aumenta il livello di sicurezza complessivo.
Servizio sicuramente interessante, ancor più se offerto a livello nazionale (immagino AGID o qualche entità correlata che offre un’area riservata con il riepilogo degli accessi con le varie identità digitali).
Tuttavia, dal lato tecnico mi viene in mente qualche perplessità: per SPID/CIE potrebbero essere direttamente gli IdP ad inviare un flusso a questa piattaforma per tenere traccia dell’accesso; invece per la CNS, che di fatto si configura come un semplice certificato fisico, non esiste alcun modo di farlo se non demandare ai vari Service Provider l’onere di questa notifica all’atto del login…
Farne adeguare 9+1 è fattibile, imporre l’adeguamento a 13000 enti di ogni tipo e provenienza è quasi un miraggio, perlomeno in tempi umanamente ragionevoli!
L’idea comunque la trovo sensata e utile! 
interessante.
Ma chi è l’IdP della CIE?
Personalmente ho dubbi che sia facile anche su quella.
La CIE ha un chip tanto quanto la CNS. In che senso sono diverse?
Il Ministero dell’Interno.
Se ci pensi, quando clicchi su “Entra con CIE” si viene indirizzati sulla pagina standard di scelta della modalità di autenticazione, un po’ come avviene per i vari IdP.
Anche se, ora che ci ragiono meglio, credo (non vorrei sbagliarmi) che lo scenario cambi a seconda dell’uso che facciamo della CIE… Nel senso che se facciamo l’autenticazione con CIE da Smartphone o in modalità ibrida PC/Smartphone transitiamo sempre per la App CieID e/o la plancia web del Ministero, per cui sarebbe immaginabile un flusso informativo che parte da questi punti qui al termine del login; potrebbe essere più difficile un approccio in tal senso se usiamo la CIE tramite lettore NFC dal PC, perché effettivamente ricadiamo un po’ nelle stesse casistiche della CNS.
Non so se in questo caso possa essere sfruttato in qualche modo il middleware della CIE, onestamente non sono esperto in questione e non so quando e come questo entri in gioco durante l’autenticazione.
A rigor di logica, se dovesse essere fattibile con il Middleware CIE dovrebbe esserlo anche per le CNS, anche se in questo caso c’è un po’ più di “confusione” tra vari fornitori, software e driver diversi usati e scenari variegati.
Se qualcuno conosce maggiori dettagli tecnici è ben accetto!