Problemi accesso con CieID ai siti della PA. Nessun problema con gli accessi tramite SPID

Vero, ciò non toglie che però ci siano gli strumenti per mitigare questo rischio.

Riguardo a SPID hai ragione, gli IDP sono diversi e indipendenti l'uno dall'altro, nella pratica però si sono comunque verificati grossi problemi in passato perchè gli utenti non sono ben distribuiti, anzi potremmo dire che sono drammaticamente sbilanciati su uno degli IDP (Poste).
A prescindere da ciò anche SPID ha un grosso tallone d'Achille che è Agid, una volta attaccato i loro sistemi si blocca tutta l'infrastruttura di gestione dei certificati SPID e crolla tutto il castello.

Aggiungiamo poi che questa "distribuzione" del carico (cosa ben nota e voluta dai progettisti di SPID, che poi in fin dei conti non è altro che una federazione SAML 2.0 eh, non è che abbiamo scoperto il motore a curvatura...) presta il fianco a una grossa criticità etica, di privacy e potenzialmente di mercato, ovvero si da un grande potere a dei soggetti privati che hanno tutto l'interesse a carpire informazioni dagli utenti.

E attenzione perchè chi sostiene che l'IDP SPID non sa nulla del sito a cui l'utente sta tentando di accedere (cosa che ho letto da più parti) dice palesemente il falso, perchè sia dal referer degli access logs che dall'asserzione SAML, l'IDP ottiene senza alcun dubbio il dominio e la url del sito che ha scatenato la richiesta di login.

Questo problema con CIE si risolve perchè di fatto l'IDP è un soggetto pubblico, lato SPID tecnicamente non esiste un IDP pubblico, praticamente quello che più gli si avvicina è Lepida (società partecipata dalla regione Emilia-Romagna).

Poi queste emergenze ci fanno capire quanto sia utile avere almeno una forma di accesso alternativo se una è KO.

Certo ma dipende anche se abbiano o meno l'intenzione di usarli questi strumenti. Penso che bisogna anche pensare a un data breach dove una istituzione pubblica è molto più semplice da attaccare di una privata, basti vedere il mezzo terabyte di dati divulgati dei pazienti della sanità dell'Aquila. Essere distribuiti limita i danni.



Non sono ben distribuiti, questo è vero. Non so bene come è fatta l'infrastruttura ma l'Agid non credo mantenga i dati degli utenti per cui se attaccata non dovrebbe rappresentare un danno per i dati ma solo un fuori servizio.



Sì, questo è un problema. Occorre valutarlo. Ma mi chiedo se sia più probabile che le Poste o Lepida o Sielte "venda" i dati oppure che se li faccia rubare. Secondariamente i server dello Stato è molto facile bucarli e rubare i dati. Quindi il problema della privacy è relativo, sfortunatamente.