Occhio alla truffa SPID: i criminali hanno scoperto un modo per sfruttare dei bachi del sistema

Lo SPID serio (livello 2, quello utilizzato per esempio per la sanità, e 3 che richiede il riconoscimento a ogni utilizzo) richiede che alla creazione dell'account l'utente sia riconosciuto di persona.

Non basta quindi mostrare una Carta di Identità, ma bisogna andare di persona o, per solo alcuni provider, utilizzare una connessione video interattiva. Per la carta di identità semplicemente non è previsto il riconoscimento telematico, e scommetto che alcuni si lamentano della necessità di andare di persona in comune.

Per cui non c'è nessun motivo per considerare un problema quello scritto nella notizia. Ci sono solo tre casi in cui può rivelarsi un rischio potenziale:
[LIST=1]
[*]Come qualcuno ha già scritto se il provider non segue la normativa; nel qual caso si tratta di un difetto del provider, non dello SPID.
[*]Se si riuscisse a creare con l'IA una connessione interattiva simulando voce e aspetto della persona; problema non prevedibile al momento della progettazione ed effettivamente poco significativo; il sistema è stato utilizzato per rubare a banche decine di milioni, l'impegno per uno SPID sarebbe come usare un cannone per prendere un passero: ricordo che nessun sistema è sicuro, e si cerca sempre un compromesso tra la difesa e il valore di ciò che si vuole difendere. Vedo che spesso gli interlocutori di queste notizie assumono un atteggiamento del tipo o tutto o niente; ahimè, il mondo non è così.
[*]Naturalmente potrebbero esistere dipendenti infedeli che generano SPID falsi a pagamento; ma lo stesso vale per ogni sistema di riconoscimento: avendo per esempio un contatto "giusto" al Ministero degli Interni immagino tu possa avere una carta di identità falsa (non è la tua) ma vera (fatta con la tecnologia dello stato).
[/LIST]
Io ho due account SPID e lo trovo comodo in quanto se ho un problema con una, uso l'altra.

In quanto all'affermazione che bisognerebbe creare un database unico, risolverebbe ben pochi problemi in quanto da una parte la possibilità di avere più account è definita per design (record duplicati) e dall'altra esistono milioni di persone che non hanno mai preso lo SPID (record mancanti), per cui sarebbe banale per un hacker generare migliaia di account legati a questi ultimi.

Diciamo che tutto l'allarmismo che vedo è ingiustificato. Il fatto è che qualcuno ama parlare male del pubblico a prescindere.

E questo è quanto una paio di balle!
State dando per scontato che accedendo con due identità differenti si possa abbiano due identità separate ma non è così. Con due account, uno di poste e l'altro di infocert per esempio, loggandomi sui servizi arrivo sempre nel mio cassetto fiscale e nel mio fascicolo sanitario.
Il problema non è la possibilità di avere più account!
Se l'utente non avesse avuto lo SPID già registrato e gli avessero rubato i documenti per il riconoscimento, i truffatori sarebbero comunque riusciti a creare un account di quella persona.
Bisogna tirare le orecchie al provider che ha fatto il riconoscimento per lo SPID di secondo livello.

il problema è ANCHE la possibilità di avere più account e non lo dico solo io https://www.tomshw.it/business/truf...rpef-e-non-solo perché di fatto è un punto di debolezza il cui rischio supera il beneficio.

Ma state scherzando? è un bug immenso e solo adesso ce ne siamo accorti?