SPID
Quale soluzione SPID scegliere per accedere al sito dell'INPS e non solo
di Alberto Falchi pubblicata il 14 Settembre 2020, alle 17:01 nel canale InnovazioneCon l'annuncio dell'eliminazione del PIN per accedere ai servizi dell'INPS, lo SPID è diventato uno strumento quasi indispensabile. Scopriamo come creare un'identità SPID e quale provider scegliere fra i tanti che erogano il servizio
28 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoCon l'annuncio dell'eliminazione del PIN per accedere ai servizi dell'INPS, lo SPID è diventato uno strumento quasi indispensabile. Scopriamo come creare un'identità SPID e quale provider scegliere fra i tanti che erogano il servizio
Click sul link per visualizzare la notizia.
Aruba come per la pec. Tocca averlo per forza...ma mi ero già premunito l'anno scorso, immaginavo sarebbe finita cosi'...e' il progresso !
Speriamo solo che l'efficienza proceda con la stessa velocità !
Io dopo aver cambiato 2 lettori, ho scoperto mio malgrado che alcune tessere, sono dotate di un chip "rognoso" che le rende incompatibili con alcuni lettori e browser.
Comunque...in un'epoca in cui ci si connette in mobilità ovunque e dovunque, non so quanto possa avere oggi senso un accrocchio elettronico USB che devi portarti sempre dietro e che non funziona su nessun dispositivo mobile diverso da un PC.
La comodità dello SPID, è innegabile: funziona sempre ovunque e con qualunque dispositivo.
Il fatto che allora si sia optato per una smartcard non significa che non si possa cambiare, faccio presente che le prime implementazioni al pubblico dell'autenticazione strong con CRS risalgono al 2006/2007, per intenderci gli anni in cui uscì il primo iPhone, e ciò nonostante è ancora oggi un meccanismo molto più solido di SPID.
Non a caso i protocolli di autenticazione più sofisticati e solidi prevedono l'uso di dispositivi hardware come "chiavette usb" o simili che usano bluetooth come protocollo di comunicazione.
Riguardo a questo il caso di SPID è emblematico, anzichè preoccuparsi di quanto sia solido dal punto di vista della sicurezza tutti si concentrano su quanto sia comodo da usare, della serie "who cares as long as it works"
Il fatto che tutti i fattori di autenticazione risiedano presso lo stesso soggetto (identity provider, ovvero i soggetti citati in questo articolo) non interessa a nessuno (già perchè in caso di autenticazione di livello 2 il token OTP viene inviato dallo stesso soggetto via SMS o app sviluppata e distribuita dallo stesso soggetto).
Anzi la gran parte degli utenti si illude che in realtà i dati di autenticazione (che ricordo danno accesso a tutti i dati più sensibili e personali che ci siano in questo paese) risiedano presso gli enti pubblici, proprio perchè SPID è l'acronimo di sistema pubblico di identità digitale, niente di più lontano dalla realtà...
A questo punto, non vedo l'ora che diventi la CIE il nuovo protocollo di comunicazione. Non avrei alcun tipo di problema ad usarlo. Però lo voglio fare su tutti i dispositivi in mio possesso e non solo su un PC e basta.
Tutto questo verrebbe buttato alle ortiche e rifatto da capo per tornare al modello della mutua autenticazione con certificati (non conosco nel dettaglio CIE 3.0 ma è presumibile che la strada sia questa).
Con nome e cognome di un soggetto, qualunque persona qua dentro può scoprire senza alcun tipo di problema quante case possiedi, quante auto ecc ecc. E lo fai senza alcuna autorizzazione e senza firmare nulla che registri che il tot giorno, alla tot ora, guido rossi ha avuto accesso a tali dati. Francamente, a me che i miei dati finiscano in mano a un provider che mi fornisce un servizio non è che mi interessa più di tanto.
Quello che davvero mi da fastidio, è che qualsiasi persona fisica dal web può sapere su di me molti altri dati importanti che vorrei rimanessero privati.
Oppure a una nota società di telecomunicazioni che ti bombarda di offerte commerciali?
Tanto per citarne un paio eh
Lasciamo perdere il complottismo, però se ci pensi un attimo i dati che hai citato non sono nulla (anche solo a livello quantitativo) rispetto ai dati accessibili tramite spid.
Parliamo di fascicoli sanitari con tutto quello che comporta (ricette, esami, invalidità, patologie), redditi e patrimonio (Agenzia Entrate), fascicolo previdenziale (INPS), dati di dettaglio sul nucleo famigliare (pensiamo alle iscrizioni ai servizi scolastici, mense), tutti i dettagli più intimi a livello anagrafico (servizi delle varie amministrazioni che passano da ANPR, prima ancora le varie banche dati anagrafiche delle città/provincie/regioni) e molto molto altro (giustizia, trasporti etc etc...).
E non stiamo parlando di complesse e costose analisi o faticoso data mining in stile social network, no stiamo parlando di tutti questi dati su un piatto d'argento, senza nessuno sforzo per qualsiasi soggetto che opera all'interno di uno degli idp, o di qualunque soggetto che possa introdurre un malware all'interno di essi...
E francamente non stiamo parlando del dipartimento di IA del MIT, stiamo parlando in alcuni casi di società elefantiache, in alcuni casi parastatali (es Poste), che come tali si portano dietro un parco applicativo decennale e quindi non propriamente una cassaforte dal pdv della sicurezza (cosa normalissima in organizzazioni di quelle dimensioni eh, lo dico per esperienza).
Poi a uno può anche star bene tutto questo, dal mio punto di vista è importante che per lo meno ne sia consapevole, questo sarebbe già tanto rispetto al "spid è una figata perchè è comodo da usare" (non è riferito a te, è un commento molto comune).
Tutto questo verrebbe buttato alle ortiche e rifatto da capo per tornare al modello della mutua autenticazione con certificati (non conosco nel dettaglio CIE 3.0 ma è presumibile che la strada sia questa).)
Però dai, non possono obbligare ad usare esclusivamente spid quando alla CIE (la quale equivale di fatto ad uno spid di livello 3, cioè il più sicuro) ci passa/passerà obbligatoriamente ogni cittadino italiano al momento del rinnovo e basterà, anche nell'intera UE, solo quella.
Vi spiego il problema: se voglio usare sullo stesso telefono l'account mio e di mio padre è possibile con qualche operatore facendo login e logout all'occorrenza?
Ma non dovrebbe essere una cosa personale... o sbaglio?
sì, però se uno non possiede uno smartphone(oppure semplicemente ne ha uno vecchio) come fa? Di personale ci sono i dati inseriti (nome utente, email e cellulare)...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".