SPID: i provider chiedono fondi al governo. E minacciano di non erogare più il servizio

ma se basta un telefono con NFC lol (cioè un qualunque smartphone degno di questo nome uscito dopo il 2012)

cosa che spero sia nelle mani di chiuque ormai: tutti i telefoni degni di questo nome hanno l'NFC da 10 anni..

Il furto di identità dagli identity providers non è proprio cosa.
Nel design adottato per lo SPID (come per la CIE), un identity provider NON ha proprio accesso a quei dati nemmeno volendo. Utilizzano un modello assolutamente standard per l'autenticazione, pur con tutta la rigidità del caso visto la delicatezza della materia.
In generale, ogni IdP se ne guarda bene dall'avere dati in chiaro presso di lui, visto che è una responsabilità enorme maneggiarli, oltre a praticamente mettersi un bersaglio sulla testa.

Le chiavi crittografiche private sono in mano solo e soltanto alla PA, com'è giusto che sia. Non è roba che ha a che vedere col processo di autenticazione.
Il lavoro degli IdP è fare da enti certificatori intermedi per costruire una catena di fiducia durante l'autenticazione.
È questo aspetto che non può e non deve assolutamente fare lo stato. Ma non tanto per questioni filosofiche o politiche, è che se devi stabilire fiducia su una trasmissione elettronica non puoi avere a che fare solo con un soggetto che alla fine se la canta e se la suona.



L'identità completa, e, soprattutto, le chiavi per validarla sono in mano solo e soltanto alla PA.
Quello che tu non capisci è come funzionano i processi di autenticazione prima presso gli identity providers, e di autorizzazione poi presso la PA.
Nel modello SPID/CIE, gli IdP sono solo broker, dei passacarte se si vuole, i dati stanno in pancia solo alla PA.
https://www.agid.gov.it/sites/default/files/repository_files/circolari/spid-regole_tecniche_v1.pdf"]Modello SPID[/URL]. Gli IdP se ne fregano altamente di chi tu sia e di cosa tu stia facendo presso la PA. Il loro lavoro è costruire fiducia non appena ti autentichi, e basta.

Il problema non banale ma comunque tutt'altro che inedito, è che hai da un lato un ente che deve erogare un servizio e dall'altro un cittadino che deve potersi fidare. Se dai tutto in mano all'oste, la PA, non puoi costruire alcuna fiducia.

Non esiste principio di autorità in questi casi. Di norma il tuo browser non si fida quando fai una qualunque operazione online, non importa presso chi. L'infrastruttura che coinvolge soggetti esterni alla PA serve a "dire" al tuo PC che "guarda, questo dice di essere l'ufficio delle entrate, e ci sono altri 25 soggetti intermedi con nome e cognome che garantiscono per lui. questi soggetti, gli IdP, anche se non hanno accesso ai dati, possono comunque garantire al 100% che le firme crittografiche non siano state manomesse. direi che adesso possiamo fidarci".
Il tutto con un ente nazionale dietro, l'AgID, che stabilisce quali IdP possono accreditarsi come broker d'identità e quali no. È sempre la PA che controlla il flusso, è la PA che controlla quali informazioni davvero transitino presso gli IdP (ovvero quasi niente) ed è la PA che proprio bisogno che qualcuno di diverso da lei si prenda in carico di certificare che tutto è andato per il verso.
la PA non può davvero certificare per sé stessa, in genale nessuno può.


Discorso diverso è se uno dice che SPID, CIE e compagnia dovrebbero già essere tutti coperti dalla fiscalità generale senza dovervi far pagare oboli diversi. Questo ci può anche stare, ma è un discorso diverso.
In Australia ogni tot anni fanno dei bandi per stabilire almeno tot IdP per la digital identity, i vincitori vengono remunerati dallo stato ed il cittadino utilizza un servizio "già pagato". In Francia con France Connect hanno un sistema ibrido, ci sono IdP accreditati che si fanno pagare dagli utilizzatori finali, ed altri invece che si fanno pagare una quota flat dalla PA.
In Italia la parte del modello da rivedere è questa, non altro.

Si però magari impara ad usare le "H"

Grazie

insomma...
xiaomi sulla serie note l'ha aggiunto non so se dalla serie 8 o addirittura dalla 9