Link alla notizia: https://edge9.hwupgrade.it/news/security/occhio-alla-truffa-spid-i-criminali-hanno-scoperto-un-modo-per-sfruttare-dei-bachi-del-sistema_137301.html

Il sistema di identità digitale SPID ha un serio problema: è possibile creare più di un'identità digitale appoggiandosi a differenti provider. Questo consente ai criminali di creare falsi profili SPID semplicemente usando documenti di identità trovati sul dark web

Click sul link per visualizzare la notizia.

a me sembra un ENORME problema, per la serie defective by design. Come se si potesse avere più carte di identità, ognuna rilasciata da un diverso Comune, ma stiamo scherzando?
Già il fatto di assegnare a dei privati una cosa che dovrebbe essere statale per definizione è un'assurdità.
E nessuno all'inizio ha avuto da ridire su questa possibilità aberrante..?
Io davo per scontato che esistesse quantomeno un database condiviso delle identità fra i gestori per impedire i doppioni. Invece si può fare DI DEFAULT. Pazzesco..

a me sembra un ENORME problema, per la serie defective by design. Come se si potesse avere più carte di identità, ognuna rilasciata da un diverso Comune, ma stiamo scherzando?
Già il fatto di assegnare a dei privati una cosa che dovrebbe essere statale per definizione è un'assurdità.
E nessuno all'inizio ha avuto da ridire su questa possibilità aberrante..?
Io davo per scontato che esistesse quantomeno un database condiviso delle identità fra i gestori per impedire i doppioni. Invece si può fare DI DEFAULT. Pazzesco..
in effetti è decisamente allarmante questa cosa.

Ma state scherzando? è un bug immenso e solo adesso ce ne siamo accorti?
A quanto leggo non ce nessun modo per difendersi anzi è il peggio del peggio.

Ma state scherzando? è un bug immenso e solo adesso ce ne siamo accorti?

E' sempre stato così. :stordita:

Se un gestore ti dà problemi, puoi sostituirlo con un altro attivando un nuovo account collegato alla tua identità. Il "bug" non sta nel sistema in sé, ma nella facilità con cui i gestori accettano il riconoscimento.

Non è possibile che non ci sia un database condiviso, su.
Può essere possibile che un altro gestore certifichi lo SPID ma dopo che l'altro ha mollato la gestione, non si può concepire due gestioni parallele e parimenti operative...

Ennesima dimostrazione che TUTTO quello che viene dalla pubblica amministrazione viene fatto e studiato da dei perfetti IMBECILLI. Sembra che lo stato sia il rifugio di cretini e disadattati, incapaci di pensiero logico .....

Passi anche che non ci sia il database condiviso.
Ma se a nome di un soggetto risulta attivato uno SPID, quanto meno per il secondo lo convochi obbligatoriamente in presenza o sconfini nella negligenza.

Io non lo sapevo e non ci ho nemmeno provato ma pensavo fosse OVVIO che se ho un profilo SPID con Poste Italiane non ne posso fare un altro con un provider diverso.
A meno di non disattivare e/o eliminare quello con Poste.

Rimango scioccato e basito.

Fermo restando tutta la faccenda dell'autenticazione ingannata da video generati da intelligenza artificiale e quant'altro è da DEMENTI non prevedere un qualsivoglia meccanismo di verifica più stringente in caso di attivazioni multiple.

Bah ! :rolleyes:

La vigna dei coglioni

l' amministrazione pubblica italiana.

Non ho capito poi il “Occhio alla truffa”

Da cittadino è IMPOSSIBILE difendersi se qualcuno apre parallelamente un altra identità digitale.
Anzi, già sarebbe tanto scoprirlo in tempo.

Lo SPID serio (livello 2, quello utilizzato per esempio per la sanità, e 3 che richiede il riconoscimento a ogni utilizzo) richiede che alla creazione dell'account l'utente sia riconosciuto di persona.

Non basta quindi mostrare una Carta di Identità, ma bisogna andare di persona o, per solo alcuni provider, utilizzare una connessione video interattiva. Per la carta di identità semplicemente non è previsto il riconoscimento telematico, e scommetto che alcuni si lamentano della necessità di andare di persona in comune.

Per cui non c'è nessun motivo per considerare un problema quello scritto nella notizia. Ci sono solo tre casi in cui può rivelarsi un rischio potenziale:

Come qualcuno ha già scritto se il provider non segue la normativa; nel qual caso si tratta di un difetto del provider, non dello SPID.
Se si riuscisse a creare con l'IA una connessione interattiva simulando voce e aspetto della persona; problema non prevedibile al momento della progettazione ed effettivamente poco significativo; il sistema è stato utilizzato per rubare a banche decine di milioni, l'impegno per uno SPID sarebbe come usare un cannone per prendere un passero: ricordo che nessun sistema è sicuro, e si cerca sempre un compromesso tra la difesa e il valore di ciò che si vuole difendere. Vedo che spesso gli interlocutori di queste notizie assumono un atteggiamento del tipo o tutto o niente; ahimè, il mondo non è così.
Naturalmente potrebbero esistere dipendenti infedeli che generano SPID falsi a pagamento; ma lo stesso vale per ogni sistema di riconoscimento: avendo per esempio un contatto "giusto" al Ministero degli Interni immagino tu possa avere una carta di identità falsa (non è la tua) ma vera (fatta con la tecnologia dello stato).

Io ho due account SPID e lo trovo comodo in quanto se ho un problema con una, uso l'altra.

In quanto all'affermazione che bisognerebbe creare un database unico, risolverebbe ben pochi problemi in quanto da una parte la possibilità di avere più account è definita per design (record duplicati) e dall'altra esistono milioni di persone che non hanno mai preso lo SPID (record mancanti), per cui sarebbe banale per un hacker generare migliaia di account legati a questi ultimi.

Diciamo che tutto l'allarmismo che vedo è ingiustificato. Il fatto è che qualcuno ama parlare male del pubblico a prescindere.

Io non lo sapevo e non ci ho nemmeno provato ma pensavo fosse OVVIO che se ho un profilo SPID con Poste Italiane non ne posso fare un altro con un provider diverso.
A meno di non disattivare e/o eliminare quello con Poste.

Io ormai da anni ho due SPID con due diversi provider (metti che uno non funziona in quel momento)... :stordita:
Pensavo che la cosa fosse di pubblico dominio... :fagiano:


ps: a questo punto, sarebbe meglio che ognuno lo crei con OGNI provider esistente (così si il legittimo proprietario sfrutta lui la possibilità e nessun altro può più farlo)...

Ho la Spid e la Cie, non vedo oggi la ragione di avere 2 Spid con provider diversi.

Diciamo che tutto l'allarmismo che vedo è ingiustificato. Il fatto è che qualcuno ama parlare male del pubblico a prescindere.
Visto che lo SPID è imposto dallo stato,
almeno mandare una cazzo di raccomandata a spese dello stato ad ogni creazione di un account sarebbe il minimo.

Perchè le cazzo di raccomandate, quando devono prendere dei soldi, le mandano eccome :rolleyes:

Bravi ad aver fatto lo spid, tutte le cose digitali hanno dei bug, specialmente quelle create dallo stato, tanto i dati sensibili sono i vostri😂😂😂😂

Visto che lo SPID è imposto dallo stato,
almeno mandare una cazzo di raccomandata a spese dello stato ad ogni creazione di un account sarebbe il minimo.

Perchè le cazzo di raccomandate, quando devono prendere dei soldi, le mandano eccome :rolleyes:

Guarda che i provider dello SPID non sono tenuti a comunicare allo stato chi lo ha richiesto. Non hai notato per esempio che tutte le volte che usi lo SPID (e anche la CIE) ti vengono segnalate quali sono le informazioni comunicate al sito che lo richiede? E tu devi confermare.

Per cui, lo stato non ti può mandare una raccomandato (o qualunque altra informazione) in quanto il responsabile dei tuoi dati è il provider. Semmai, potresti chiedere che la legge venga modificata per costringere il provider a mandare lui una raccomandata. Naturalmente questo inciderebbe sui costi dello SPID, e immagino che come molti italiani tu voglia servizi eccezionali a costo nullo.

Il problema, se vuoi, deriva proprio dal fatto che all'epoca c'era l'idea perversa che il privato fosse sempre meglio del pubblico, per cui si decise di farlo con provider privati che soddisfacessero certe caratteristiche. A questo punto dimmelo tu: sei uno di quelli che ritengono che si debba privatizzare tutto? da quello che chiedi sembra che tu voglia invece una maggiore presenza del settore pubblico.

Bravi ad aver fatto lo spid, tutte le cose digitali hanno dei bug, specialmente quelle create dallo stato, tanto i dati sensibili sono i vostri😂😂😂😂

Vediamo un po' le più grandi fughe con oltre un milione di dati personali daal 2008 al 2016 (da Data breach (https://it.wikipedia.org/wiki/Data_breach), dove ne puoi trovare molte altre che non ho voglia di scrivere qui):

2008
Country Financial 2,5 milioni di dati (privato)
2009
RockYou 32 milioni (privato)
Heartland Payment Systems 100 milioni (privato)
2011
Sony 77 milioni (privato)
2013
Adobe 130 milioni (privato)
Target corporation 70 milioni (privato)
Yahoo! 400 milioni (privato)
2014
Home Depot 56 milioni (privato)
2015
Tal Talk 4 milioni (privato)
Ashley Madison 37 milioni (privato)
Anthem 80 milioni (privato)
US Office Personal Management 22 milioni (finalmente uno pubblico, però US)
2016
Yahoo 500 milioni (successivamente incrementato a 3 miliardi) (privato)
Equifax 150 milioni (privato)
ecc. ecc.

Se vuoi posso continuare, ma credo che la tua affermazione «tutte le cose digitali hanno dei bug» sia confermata, mentre temo che non stia in piedi la frase «specialmente quelle create dallo stato». Ma sai, la burocrazia serve anche a mantenere la sicurezza dei dati, anche se molti la criticano.

Come ho detto in un altro commento, lo SPID venne privatizzato da gente che la pensava come te. Ora lo farebbero diversamente: non a caso la CIE è effettivamente e giustamente gestita dallo stato.

Il problema permarrà fino alla eliminazione del metodo SPID...
Ho appena fatto richiesta della CIE e spero che trovino un sistema per non autorizzare il mio CF su altri SPID per esempio!

Non capisco quale sia il problema nell'avere due o più SPID forniti da provider diversi: in caso di malfunzionamento di uno, si può usare l'altro.

Qui il problema è che i fornitori del servizio non prestano abbastanza attenzione e forniscono lo spid a chi non è il reale titolare.

Difficile che l'utente possa difendersi da una truffa del genere, ma visto che i fornitori sono autorizzati dallo stato ed è loro imposto di vigilare, dovrebbero essere civilmente e penalmente responsabili dei certificati da loro rilasciati.

Ma leggo di gente che se la prende con il pubblico con insulti pesanti quando è tutta colpa del fornitore del servizio che non ha ben verificato l'identità. Ma siete seri?!
E lo dice uno che sostiene che lo spid non abbia senso e debba morire da quando c'è la cie

Io ho lo SPID ma non mi è mai venuto in mente di fare un duplicato. Lo SPID deve funzionare. E il privato che te lo fornisce deve garantire sempre il funzionamento. Può capitare che in alcuni casi sia il sito a cui vogliamo accedere che non vada e quindi cosa facciamo? Aspettiamo il momento in cui il sito torni a funzionare. Con lo SPID se non dovesse funzionare aspetti il momento in cui riprende a funzionare o chiedi assistenza. Adesso c’è la CIE hai una possibilità in più. Oltre al fatto che se ci fosse solo la CIE come metodo di autenticazione, cosa che vogliono fare, non possiamo chiedere due CIE. Per garantire al massimo la sicurezza dei dati si sarebbe dovuto impedire il doppio o triplo SPID. Oppure inviare un alert al titolare dello SPID in caso di doppia attivazione. Io lavoro nel pubblico e tendo a difendere il mio lavoro e lo stato da molte maldicenze infondate. Ma in questo caso si sarebbe dovuto fare molto meglio.

Ma perché?! Se ci sono 10 enti accreditati e tutti fanno il loro lavoro di verifica di identità, dove è il problema nell'esistenza di più account?
Se un malintenzionato riesce a fregare il sistema di riconoscimento la vittima può anche non essere iscritta su un altro provider. La possibilità di avere più spid NON è la vulnerabilità sfruttata in questa truffa.

Lo SPID serio (livello 2, quello utilizzato per esempio per la sanità, e 3 che richiede il riconoscimento a ogni utilizzo) richiede che alla creazione dell'account l'utente sia riconosciuto di persona.

Non basta quindi mostrare una Carta di Identità, ma bisogna andare di persona o, per solo alcuni provider, utilizzare una connessione video interattiva. Per la carta di identità semplicemente non è previsto il riconoscimento telematico, e scommetto che alcuni si lamentano della necessità di andare di persona in comune.

Per cui non c'è nessun motivo per considerare un problema quello scritto nella notizia. Ci sono solo tre casi in cui può rivelarsi un rischio potenziale:

Come qualcuno ha già scritto se il provider non segue la normativa; nel qual caso si tratta di un difetto del provider, non dello SPID.
Se si riuscisse a creare con l'IA una connessione interattiva simulando voce e aspetto della persona; problema non prevedibile al momento della progettazione ed effettivamente poco significativo; il sistema è stato utilizzato per rubare a banche decine di milioni, l'impegno per uno SPID sarebbe come usare un cannone per prendere un passero: ricordo che nessun sistema è sicuro, e si cerca sempre un compromesso tra la difesa e il valore di ciò che si vuole difendere. Vedo che spesso gli interlocutori di queste notizie assumono un atteggiamento del tipo o tutto o niente; ahimè, il mondo non è così.
Naturalmente potrebbero esistere dipendenti infedeli che generano SPID falsi a pagamento; ma lo stesso vale per ogni sistema di riconoscimento: avendo per esempio un contatto "giusto" al Ministero degli Interni immagino tu possa avere una carta di identità falsa (non è la tua) ma vera (fatta con la tecnologia dello stato).

Io ho due account SPID e lo trovo comodo in quanto se ho un problema con una, uso l'altra.

In quanto all'affermazione che bisognerebbe creare un database unico, risolverebbe ben pochi problemi in quanto da una parte la possibilità di avere più account è definita per design (record duplicati) e dall'altra esistono milioni di persone che non hanno mai preso lo SPID (record mancanti), per cui sarebbe banale per un hacker generare migliaia di account legati a questi ultimi.

Diciamo che tutto l'allarmismo che vedo è ingiustificato. Il fatto è che qualcuno ama parlare male del pubblico a prescindere.
puoi dire quel che ti pare, fatto sta che un sistema di identità digitale che permette by design di averne più di una all'insaputa dello Stato è fallato alla base e questo è quanto.
La persona fisica è una sola e tale deve essere anche l'identità digitale, altrimenti viene meno il concetto stesso.
La ridondanza del servizio la fai a monte, non a valle.

E questo è quanto una paio di balle!
State dando per scontato che accedendo con due identità differenti si possa abbiano due identità separate ma non è così. Con due account, uno di poste e l'altro di infocert per esempio, loggandomi sui servizi arrivo sempre nel mio cassetto fiscale e nel mio fascicolo sanitario.
Il problema non è la possibilità di avere più account!
Se l'utente non avesse avuto lo SPID già registrato e gli avessero rubato i documenti per il riconoscimento, i truffatori sarebbero comunque riusciti a creare un account di quella persona.
Bisogna tirare le orecchie al provider che ha fatto il riconoscimento per lo SPID di secondo livello.

E questo è quanto una paio di balle!
State dando per scontato che accedendo con due identità differenti si possa abbiano due identità separate ma non è così. Con due account, uno di poste e l'altro di infocert per esempio, loggandomi sui servizi arrivo sempre nel mio cassetto fiscale e nel mio fascicolo sanitario.
Il problema non è la possibilità di avere più account!
Se l'utente non avesse avuto lo SPID già registrato e gli avessero rubato i documenti per il riconoscimento, i truffatori sarebbero comunque riusciti a creare un account di quella persona.
Bisogna tirare le orecchie al provider che ha fatto il riconoscimento per lo SPID di secondo livello.
il problema è ANCHE la possibilità di avere più account e non lo dico solo io https://www.tomshw.it/business/truffa-del-doppio-spid-la-usano-per-rubare-rimborsi-irpef-e-non-solo perché di fatto è un punto di debolezza il cui rischio supera il beneficio.

Ma è lo stesso articolo del sole la fonte dell'altro articolo...
Se uno non ha lo SPID e qualcun altro riesce ad attivare lo SPID usando i suoi documenti, il fatto che si possano attivare 1 o 25 SPID, non cambia nulla; anzi pensa se qualcuno fosse riuscito ad attivare lo SPID prima del tuo e tu non riuscissi ad attivarlo su un altro provider...
Lo SPID esiste da più di 10 anni se fosse stato un vero problema avere più account ce ne saremmo accorti prima, non credi?

il problema è ANCHE la possibilità di avere più account e non lo dico solo io https://www.tomshw.it/business/truffa-del-doppio-spid-la-usano-per-rubare-rimborsi-irpef-e-non-solo perché di fatto è un punto di debolezza il cui rischio supera il beneficio.

Citi un articolo che non aggiunge niente alla discussione.

Come altri (e anch'io) hanno osservato, anche avere un unico SPID non cambia la situazione. Se hai un documento di una persona che lo SPID non l'ha mai attivato (e sono decine di milioni), e se il provider non fa i controlli dovuti per legge, l'hacker può comunque utilizzare l'account che si è creato, che sia unico o duplicato. Per cui, criticare la possibile duplicazione è solo strumentale a inventarsi delle critiche per sembrare fighi (e sono anche buono nel criticare l'estensore dell'articolo citato).

Io sono d'accordo sul fatto che bisogna smettere di privatizzare e rendere di nuovo di proprietà pubblica tutta una serie di servizi, e il passaggio dallo SPID alla CIE va in questa direzione. O accetti questa idea oppure smetti di criticare lo Stato per il comportamento opposto che in questo secondo caso dovresti condividere, ovvero privatizzare i servizi per avere una maggiore efficienza (ottenuta però al costo di minori controlli per ridurre i costi).

Ma state scherzando? è un bug immenso e solo adesso ce ne siamo accorti?
Non e' un bug, perche' sulle pagine ufficiali lo presentano come una fantastica possibilita'

Il problema non è tanto il doppio/triplo SPID, ma che esistano provider che te lo aprono senza NESSUN controllo fisico!

(Ora non so se sia cambiato qualcosa, ma io l'ho fatto un 3/4 anni fa per i miei genitori e loro non hanno dovuto fare NULLA, è bastata la copia dei loro documenti)

Lo SPID, essendo un documento d'identita', deve essere rilasciato dal Comune, esattamente come la carta d'identita'.
Lo sostengo da quando e' nato.

Io l'ho fatto senza presentarmi da nessuna parte ma per avere il livello 2 ho dovuto usare la CNS con il lettore. Fu un cinema farlo funzionare con Firefox.

Il problema non è tanto il doppio/triplo SPID, ma che esistano provider che te lo aprono senza NESSUN controllo fisico!

(Ora non so se sia cambiato qualcosa, ma io l'ho fatto un 3/4 anni fa per i miei genitori e loro non hanno dovuto fare NULLA, è bastata la copia dei loro documenti)

Esatto. Come detto da vari utenti il problema, se c'è, è dovuto ad alcuni provider non affidabili. Il fatto di poter avere più account SPID non è di per sé un problema, anche se, per qualche motivo, i giornalisti insistono su quello.

Lo SPID, essendo un documento d'identita', deve essere rilasciato dal Comune, esattamente come la carta d'identita'.
Lo sostengo da quando e' nato.

La CIE (Carta di Identità Elettronica) non viene rilasciata dal Comune: questi controlla i tuoi dati e si fa intermediario, ma viene rilasciata e realizzata dal Ministero degli Interni (vedi anche La carta (https://www.cartaidentita.interno.gov.it/la-carta/)).

Lo SPID non è un documento ma un sistema di autenticazione. Non essendo in senso stretto un documento (ovvero non lo presenti per strada dietro richiesta dei carabinieri) non c'è nessuna necessità che debba essere rilasciato da un ente pubblico. Sono d'accordo che avrebbe dovuto essere gestito dal pubblico, ma quando è stato fatto c'era la febbre di privatizzare tutto. Prenditela con i maniaci delle privatizzazioni, influenzati dai privati che cercano di guadagnare sui servizi. E, magari, quando vedi che si vuole privatizzare qualcosa, protesta. Dopo ti tocca subirla.

Stavo per scrivere il mio parere sulle privatizzazioni, ma mi sono reso conto che non voglio essere bannato da questo sito.

Contento di averli sfanculati non appena hanno inserito l'opzione di poter utilizzare CIE e CIEid per loggarsi ovunque (quasi, perché qualche sito ancora non supporta CIE).

ho visto ieri un video dove emerge un problema simile con la fatturaizone elettronica...

in pratica se riesci a registrarti attraverso un provider diverso da quello "vero" della ditta bersaglio, puoi iniziare ad emettere fatture per conto della ditta bersaglio e farle automaticamente caricare sul cassetto fiscale...

è una cosa inconcepibile ma abbiamo i primi casi...

bio