SPID: la Pubblica Amministrazione si fa trovare (ancora) impreparata

Comunque richiedere lo SPID con la CNS è gratuito.

Se ti connetti davvero solamente con la mail gmail e una password scritta su un pezzo di carta hai proprio poco da tirar merda sull'Italia, da un punto di vista cyber è una soluzione che fa SCHIFO.

Poi se ci aggiungiamo che leggendo in 15 secondi come funziona FranceConnect (https://franceconnect.gouv.fr/) il risultato è che è IDENTICO a SPID (pulsante per login, delega autenticazione a ID Provider esterno, Strong Auth, consent a ente federato), ne deduco che tu stia qua a fare trollatine da 2 centesimi.

"thales non é altro che il provider che lo ospita"
guardando il tipo di attività che svolge direi che ben altro
che un provider, parrebbe più simile a Leonardo e a Eaton
infatti un suo nome è anche Alenia Thales Space
ed è consociata con la Leonardo in ambito aerospaziale
come socio di maggioranza.
non entro nel merito dello SPID fr dato che al momento io
uso la CIE it e lo SPID per fare le cose che vedo elencate sopra
probabilmente non mi necessita, intendo per le APP IO e CieId
ed i siti della PA che le utilizzano.
-
" siamo arrivati a fare la carta di identità elettronica, ci voleva tanto a dare un lettore
usb assieme alla consegna della carta"
basta attivare l'nfc sul cellulare (anche se ho letto che non tutte funzionano)
menomale che è un sito di esperti.

Genio, lettore USB per usarlo sul PC di casa!

Puoi usare lo smartphone/tablet con l’APP CieID per accedere da casa con il pc senza bisogno di comprare un lettore USB

quante cazzate: username + pass + secondo livello di autenticazione. FINE STOP.
il secondo livello può essere un PIN, un codice OTP, un face ID etc.. non è un 'vespaio'

allora il 'vespaio' che dici tu è è uguale identico ad un accesso ad una normalissima banca.



e' questa l'intenzione. Gli enti e le amministrazioni più grandi (stato, regioni, comuni (es: Roma / Milano), INPS) hanno già SPID da un pezzo: forse solo i comuni più piccoli ci metteranno tempo ad adeguarsi. Spesso hano il sito ancora in html del 1998.



B'è il LETTORE USB proprio una genialata. Proprio. . .

si si sul pezzo di carta

oh mi raccomando, se devi vendere la macchina vai all'agenzia ACI pero' e se devi chiede l'esenzione inail prova con la pec

La cosa divertente é che vi masturbate a discutere della soluzione tecnica, mentre l'implementazione della stessa i cittadini dovranno come al solito attendere decenni prima di vederla operativa in salsa burocratichese

Di solito ti chiedono di fare una dichiarazione sostitutiva di atto notorio per l'applicazione della marca da bollo....su un file digitale

Oppure E-distribuzione di Potenza (ENEL) che ti chiede di inviare i documenti via fax e ti spedisce i preventivi con posta cartacea che viene puntualmente persa.

O il portale CIVA dell'INAIL che a giorni alterni funziona solo con il login da username e in altri solo con il login da SPID.

O il portale del Ministero di Giustizia (Processo Civile Telematico) che da sempre impiega 30 secondi per caricare una pagina e ogni tanto ti ritorna un bell' "internal server error", mentre tu hai urgenza di inviare dei documenti al Giudice.

We ragazzi, un po' di camomilla per tutti per cortesia, non siamo allo stadio...

Cominciamo dalla domanda iniziale, SPID è un sistema di autenticazione "strong" ideato dall'Agid + Team digitale che affonda le radici ai tempi del governo Letta e poi Renzi.

Di fatto è una implementazione del protocollo SAML 2.0, quindi non inventa niente di fantascientifico.
Nonostante l'acronimo sia Servizio Pubblico di Identità Digitale tecnicamente ha ben poco, se non nulla, di pubblico.
L'utente si deve registrare presso un provider di identità (IDP) convenzionato con Agid, questo provider deve verificare che l'utente è effettivamente chi dice di essere (e questo viene fatto in diversi modi, autenticandosi con un altro sistema di identità strong, come CNS o CIE, presentandosi a uno sportello, oppure mediante verifica con webcam, questa modalità di solito è a pagamento) e in questo modo ottiene le proprie credenziali SPID, che non risiedono quindi presso un ente pubblico ma presso una società privata (non esistono IDP pubblici e non ci sono informazioni riguardo a un futuro IDP pubblico).

Quando l'utente vuole accedere a un servizio pubblico (detto Service Provider o SP) che prevede autenticazione mediante SPID l'utente viene rediretto alla pagina di login del proprio IDP e si logga.
A questo punto avviene uno scambio di informazioni tra IDP e SP (SAML assertion) mediante protocollo cifrato e l'utente viene rediretto al servizio SP, il quale "si fida" dei dati forniti dall'IDP e presenta all'utente il servizio autenticato.

Questo in soldoni è il processo di base, su questo si agganciano tutta una serie di aspetti secondari, come autenticazione multifattore (gestita sempre dall'IDP e MAI dal servizio pubblico) in alcuni casi con app su cellulare (sempre gestita dall'IDP e MAI dal servizio pubblico), in altri con SMS (sigh... ), dipende un po' dall'IDP.

SPID in linea di principio si basa quindi su uno standard universalmente riconosciuto, peccato che l'implementazione faccia acqua da tutte le parti proprio dal pdv della sicurezza e della tutela della riservatezza dei dati, soprattutto rispetto al precedente processo di autenticazione strong usato dalla PA (ovvero CRS/CNS).
[LIST]
[*]gli IDP sono tutte società private (con la CNS l'unico soggetto che rilasciava i fattori di autenticazione era un ente pubblico)
[*]tutti i fattori di autenticazione sono materialmente dello stesso tipo (username, password e fattore di autenticazione secondario) e risiedono tutti presso lo stesso soggetto (IDP), mentre con la CNS erano di tipo diverso (un certificato materialmente presente solo sulla smartcard della tessera CNS, un pin conosciuto solo dall'utente che lo poteva modificare a piacimento, e poi un ulteriore fattore di autenticazione - es pin - inviato dall'ente pubblico)
[*]l'IDP (ripeto, società privata) ha elevata visibilità dell'attività dell'utente (già solo il dominio del servizio che avvia l'asserzione SAML è un requisito necessario per la compilazione dei campi cifrati passati tra IDP e SP)
[*]l'unica garanzia per l'utente è una convenzione (puramente formale) tra Agid e IDP, senza nessun audit pubblico, in pratica l'IDP promette (giurin giurella ) di custodire con la massima diligenza le credenziali dell'utente che danno accesso a tutti i dati più personali e sensibili per possiamo immaginare (fascicolo sanitario, fascicolo previdenziale, anagrafica, storia giuridica, etc etc etc...)
[*]la notifica di avvenuto accesso viene inviata dall'IDP stesso, non dal SP, quindi in caso di compromissione (o utilizzo malevono delle credenziali da parte dell'IDP) anche la notifica ha origine dallo stesso soggetto (compromesso o malevolo).
[*]un account SPID non può essere creato da un minorenne (con buona pace di chi vorrebbe usarlo per autenticarsi ai social)
[*]un account SPID non può essere creato da uno cittadino straniero (quindi un turista che si becca una multa mentre è in vacanza in Italia non può pagarla online se l'ente che deve riscuoterla permette l'accesso unicamente con SPID).
[/LIST]

Poi ci sarebbero tante altre ragioni per cui SPID è una pessima soluzione, ragioni economiche (la PA ha speso decine, se non centinaia di milioni di € per implementare SPID sui proprio servizi dopo che erano già state spese decine, se non centinaia di milioni di € per implementare CRS/CNS negli anni precedenti), ridondanza (CNS, CIE e SPID fanno lo stesso lavoro) e mille altri aspetti tecnici assurdi (es lo stesso utente con N account SPID presso N IDP quando si logga per la prima volta su un servizio pubblico crea N account diversi sul servizio, questo genera una ridondanza mostruosa con costi che lievitano all'infinito, pensate davvero che servizi da milioni di euro utilizzino OpenLDAP per gestire la directory degli utenti o qualche servizio di identity management free? Più utenti = più licenze, e la lira si impenna! ).

In pratica però la gente va in brodo di giuggiole per SPID (fregandosene di tutti gli aspetti sostanziali) per un unico motivo: è semplice da usare.
Di fatto per la stragrande maggioranza degli utenti è una username e password salvata sul browser affiancata da una app (o un sms) installata su un device (smartphone) che non da nessuna garanzia di solidità e sicurezza, e che anzi è spesso molto più infestato di malware di quanto non sia un normale pc.
Al contrario CNS/CRS era odiato perchè considerato complicato da usare, dove tutta questa complessità in realtà risiedeva nel mezzo fisico (smartcard) che richiedeva un lettore e relativo software (driver + sw di gestione del pin); questa era una necessità data dal mezzo fisico (ricordiamoci che CRS/CNS risalgono ad almeno 15 anni fa, un secolo dal pdv tecnologico) facilmente superabile cambiando il protocollo di comunicazione (cosa fatta da CIE con NFC); tecnicamente poi CNS e CIE di fatto sono una semplice autenticazione con certificati x509 (detta anche mutua autenticazione), un processo solidissimo e basato sul concetto di chiave asimmetrica alla base di praticamente ogni protocollo cifrato attualmente usato.
Insomma se la storia dell'informatica ha insegnato qualcosa all'uomo è che più una soluzione è semplice e più è solida (KISS principle), CNS o CIE lo sono, SPID no.

Benvenuti nell'era dell'agenda digitale, identità digitale, transizione digitale, scegliete voi lo slogan che preferite, io son 20 anni che li sento ripetere dai clienti presso cui lavoro...

installi app (posteID va per la maggiore), segui le istruzioni e poi vai a farti riconoscere, cosa c'è di difficile oggi?