Link alla notizia: https://edge9.hwupgrade.it/news/security/spid-usato-per-anni-con-un-documento-annullato-ecco-perche-serve-il-passaggio-a-cieid_141298.html

Con 39 milioni di utenti attivi, SPID è oggi il sistema di identità digitale più diffuso in Italia. Ma il passaggio a CieID è già deciso e, come dimostra un caso concreto, anche necessario. Più sicurezza, controllo e coerenza normativa renderanno CieID lo standard del futuro

Click sul link per visualizzare la notizia.

che il nuovo metodo sia uno passo avanti non ci piove, ma non è del tutto vero che i provider attuali non possano validare l i documenti reali dietro le identità digitali. in principio potrebbero, e non costerebbe quasi niente farlo, ma manca l’altra testa di ponte (la PA)

Chiaro che i documenti non li hanno in pancia loro, ma il ministero, tuttavia un abbastanza banale brokering di identità verso l’idp nazionale sarebbe bastato ad evitare il problema.
se questo non accade è perché è il ministero a decidere di non fornire a SPID capacità di avere la propria “user pool” brokerata da IdP esterni, cosa che invece fa con Cieid (io ad esempio mi autentico presso la PA francese, col passaporto italiano, presso idp francesi che nulla hanno a che vedere con spid proprio perché il flusso cieid impone questo passaggio di contattare l’unica entità emittente delle identità, vale a dire gli stati. avrebbero potuto farlo tranquillamente anche con spid. non farlo è stata una scelta)

non raccontiamoci che i formati dati non sono compatibili, congruenti od altro. se non lo sono li mappi uno sull’altro, perché di sicuro sono equipollenti.
farlo non ha costo zero, ma quasi.

Se usi cie non si può falsificare niente . Di spid ne puoi fare a decine anche a tua insaputa come per le truffe del bonus studenti e docenti . Prima disattivano lo spid e meglio è. Ancora meglio sarebbe poter creare un solo spid e non 10

Non capisco il punto o meglio capisco sia poco corretto ma non vedo il problema. Account spid certifica la mia identità che non cambia con la scadenza del documento.
Se quando ho creato account spid sono stati fatti i dovuti controlli tra il documento presentato e il richiedente anche se scade il documento account spid può continuare a certificare chi sono, quando sono nato, riferimenti fiscali. L'unica cosa che non può certificare sono i dati variabili (es. resdenza) che però dovrebbero sempre essere recuperati da servizi terzi dietro presentazione identità spid.
Diverso se in Italia si potesse cambiare nome/sesso come nulla fosse

Non capisco il punto o meglio capisco sia poco corretto ma non vedo il problema. Account spid certifica la mia identità che non cambia con la scadenza del documento.
Se quando ho creato account spid sono stati fatti i dovuti controlli tra il documento presentato e il richiedente anche se scade il documento account spid può continuare a certificare chi sono, quando sono nato, riferimenti fiscali. L'unica cosa che non può certificare sono i dati variabili (es. resdenza) che però dovrebbero sempre essere recuperati da servizi terzi dietro presentazione identità spid.
Diverso se in Italia si potesse cambiare nome/sesso come nulla fosse

Il problema è che i "dovuti controlli" non sono così banali da fare e si prestano ad errori in buona e in cattiva fede. Senza contare che comunque è un obbrobrio che un qualcosa che serve per usare servizi statali porti lucro a provider privati.

Giusto quindi passare a CieID e io spero che presto anche le PEC vengano sostituite con un servizio identico ma totalmente pubblico.

Non capisco il punto o meglio capisco sia poco corretto ma non vedo il problema. Account spid certifica la mia identità che non cambia con la scadenza del documento.
Se quando ho creato account spid sono stati fatti i dovuti controlli tra il documento presentato e il richiedente anche se scade il documento account spid può continuare a certificare chi sono, quando sono nato, riferimenti fiscali. L'unica cosa che non può certificare sono i dati variabili (es. resdenza) che però dovrebbero sempre essere recuperati da servizi terzi dietro presentazione identità spid.
Diverso se in Italia si potesse cambiare nome/sesso come nulla fosse

Esistono numerosi casi di spid multipli e di truffe senza che l'intestatario ne fosse a conoscenza . Per cui si ,lo spid non è verificabile perché affidato a terzi . La cie è gestita dallo stato quindi sulla carta più sicura di uno spid

Il problema è che i "dovuti controlli" non sono così banali da fare e si prestano ad errori in buona e in cattiva fede. Senza contare che comunque è un obbrobrio che un qualcosa che serve per usare servizi statali porti lucro a provider privati.

Giusto quindi passare a CieID e io spero che presto anche le PEC vengano sostituite con un servizio identico ma totalmente pubblico.

Perchè siamo in Italia...
Prendiamo ad esempio la tanto "citata" Svizzera.
Servizio di mail riservata info (https://web.incamail.com/it/)
Servizio post.ch info (https://www.post.ch/it/soluzioni-commerciali/identificazione/swissid)

Che discorsi
Puoi anche trasferirti in svizzera

A me è sucesso più volte di usare una carta di identità che ufficialmente :read: è stata dichiarata smarrita alla Polizia eppure viene regolarmente accettata da banche online ed altri servzi. Non sarà scaduta ma... dove stanno dunque i controlli KYC? :O

Quindi quante truffe sono state fatte grazie allo spid ?
Chi riesce a fare truffe con lo spid.. come ha ottenuto lo spid ?

Dobbiamo passare al CIE ? Ottimo.. e avanti a farsi ridare di nuovo codici e cazzatine varie.. tanto alle aziende questi non sono mica costi.. no.. tutto gratis il tempo che si continua a perdere a fare tutte queste variazioni..

A me è sucesso più volte di usare una carta di identità che ufficialmente :read: è stata dichiarata smarrita alla Polizia eppure viene regolarmente accettata da banche online ed altri servzi. Non sarà scaduta ma... dove stanno dunque i controlli KYC? :O

Fossi in te non mi vanterei, dato che stai commettendo un reato

Perchè siamo in Italia...
Prendiamo ad esempio la tanto "citata" Svizzera.
Servizio di mail riservata info (https://web.incamail.com/it/)
Servizio post.ch info (https://www.post.ch/it/soluzioni-commerciali/identificazione/swissid)

Allora, citi un servizio che non è un'identità digitale.
Il servizio è un single sign on delle Poste svizzere, non di tutti i servizi pubblici svizzeri. Anche le Poste italiane offrono un servizio analogo.

Non c'entra con la PEC, non c'entra con la CIE, non c'entra con lo SPID. Non capisco cosa vuoi dimostrare.

Se è tutto qui, la Svizzera è anni dietro di noi.

A me sembra tutta una follia, spid, autenticazione spid, vai cambio password, una follia assoluta, una rottura di cogljoni colossale. Deve essere gestito come i telefoni, riconoscimento biometrico che sia impronta o viso, velocissimo una frazione di secondo. Basta con ste scatole cinesi di password, provider ecc, mica ho tempo da perdere dietro ste coglionate, e anche se ne avessi non ne ho la minima voglia. Vuoi autenticarmi? fai come l’iphone, una frazione di secondo, BOMM, e sei dentro.

A me sembra tutta una follia, spid, autenticazione spid, vai cambio password, una follia assoluta, una rottura di cogljoni colossale. Deve essere gestito come i telefoni, riconoscimento biometrico che sia impronta o viso, velocissimo una frazione di secondo. Basta con ste scatole cinesi di password, provider ecc, mica ho tempo da perdere dietro ste coglionate, e anche se ne avessi non ne ho la minima voglia. Vuoi autenticarmi? fai come l’iphone, una frazione di secondo, BOMM, e sei dentro.
Non è che ci voglia tanto ad entrare...Tra una frazione di secondo e meno di 10 secondi non è che ci sia tutta questa differenza....

Non è che ci voglia tanto ad entrare...Tra una frazione di secondo e meno di 10 secondi non è che ci sia tutta questa differenza....
Onestamente l'uso di spid non è il massimo della vita - ho poste ID: l'autenticazione non è sempre immediata (alcune volte devo ripeterla) e al cambio password mi tremano le gambe...

Non capisco il senso dell'articolo. Mi sembra normale che l'account spid continui ad esistere, ed è relativamente giusto che sia stato bloccato dopo la scadenza del documento (succede con tanti account, che se non carichi un documento aggiornato sia bloccato). Non ci vedo niente di anomalo.:rolleyes:

Che discorsi
Puoi anche trasferirti in svizzera

Questo è un commento del cazz* almeno in questo caso.

Lui non sta offendendo l'Italia come a volte avviene gratuitamente ma sta facendo notare una cosa effettiva e cioè che a differenza di altre nazioni alcuni controlli vengono fatti con leggerezza e per quanto io ami l'Italia non posso dire che ha torto.

Io che con certe procedure ho a che fare tutti i giorni potrei scriverti un WoT di controlli fatti male, inutili o sbagliati che vengono quotidianamente fatti in Italia e che nonostante decine di segnalazioni non si arriva mai a sistemarli.

A me è sucesso più volte di usare una carta di identità che ufficialmente :read: è stata dichiarata smarrita alla Polizia eppure viene regolarmente accettata da banche online ed altri servzi. Non sarà scaduta ma... dove stanno dunque i controlli KYC? :O

Il KYC bancario ma anche in generale non ha alcun controllo sul documento né la banca ha modo di verificare in alcun modo una cosa del genere. Il cliente dichiara e si prende la responsabilità che il documento è valido e vero e la banca trasmette tutto. Successivamente le varie agenzie statali possono o meno controllare i KYC e se è stato usato un documento falso, non valido e tutte le altre casistiche poi son cazz* amari per chi ha fatto la dichiarazione. Occhio che per dichiarazioni e autocertificazioni si rischia anche il penale anche se poi non vi è nessun'altro reato ma è stato fatto solo per sbadataggine.

Quindi quante truffe sono state fatte grazie allo spid ?
Chi riesce a fare truffe con lo spid.. come ha ottenuto lo spid ?

Dobbiamo passare al CIE ? Ottimo.. e avanti a farsi ridare di nuovo codici e cazzatine varie.. tanto alle aziende questi non sono mica costi.. no.. tutto gratis il tempo che si continua a perdere a fare tutte queste variazioni..

Truffe con lo SPID non molte. È una casistica che è avvenuta ma non particolarmente frequente. Più che altro è una forma di truffa complessa che non vale la pena. Ci sono truffe molto meno complesse che sono più facili e rendono al malfattore di più quindi non è una casistica particolarmente seguita. La mia sensazione personale, ma preciso basata sulle mie conoscenze e quindi assolutamente non statistica, è che le truffe SPID sono quasi sempre intra-familiari con lo SPID clonato usato per registrare contratti o fare procedure che avvantaggiano una parte in fase successoria o comunque una sorta di sostituzione di persona in cui un parente ormai impossibilitato ad agire per malattia o altro viene impersonato attraverso le SPID da terzi familiari. Il caso classico è il nonno in coma a fine vita che magicamente compie atti con lo SPID a distanza.

Lo SPID ottenuto illegalmente nel 90% dei casi viene ottenuto in 2 modi: sottrazione in casa dello SPID originale e non mi dilungo tanto è facilmente immaginabile, clonazione di SPID a seguito di furto di dati sensibili ad esempio se fate il check in in albergo un errore che viene spessissimo fatto è far fare foto dei documenti o fotocopie: l'albergatore deve registrare ALCUNI dati ma NON tutto il documento. Documenti incautamente custoditi nelle gallerie di telefoni o in archivi di fotocopie spesso poi finiscono per trapelare più facilmente di quello che non pensate.

Per quanto riguarda la CIE i codici vengono dati di default al momento del rilascio quindi salvo averli persi chi ha la CIE ha automaticamente anche i codici. Teoricamente non dovresti quindi aver da perdere tempo o altro se non il normale rinnovo che comunque prima o poi fai.

A me sembra tutta una follia, spid, autenticazione spid, vai cambio password, una follia assoluta, una rottura di cogljoni colossale. Deve essere gestito come i telefoni, riconoscimento biometrico che sia impronta o viso, velocissimo una frazione di secondo. Basta con ste scatole cinesi di password, provider ecc, mica ho tempo da perdere dietro ste coglionate, e anche se ne avessi non ne ho la minima voglia. Vuoi autenticarmi? fai come l’iphone, una frazione di secondo, BOMM, e sei dentro.

Guarda è già così... basta che installi l'app su smartphone e puoi fare login tramite notifica sullo smartphone e impronta digitale o altro sistema biometrico. Ma è già così da oltre un anno anzi penso più anni anche se non ricordo la data esatta.

Il discorso non regge in origine.
Lo SPID è un identità digitale svincolata da una carta fisica e legata solo all'identità vera. Un identità digitale appunto con le sue regole.
Volerla legare alla carta fisica è in sostanza la CIE.
Sono due concetti diversi.

Tanti non lo vogliono capire, ma concettualmente lo SPID è meglio, che poi abbia i suoi limiti ok, primo fra tutti in mano ai privati.

Ma come siamo messi con Eid?

A me è sucesso più volte di usare una carta di identità che ufficialmente :read: è stata dichiarata smarrita alla Polizia eppure viene regolarmente accettata da banche online ed altri servzi. Non sarà scaduta ma... dove stanno dunque i controlli KYC? :O

Sei perseguibile anche a posteriori anche se dubito sia vero . In ogni caso uno che si vanta di aver commesso in reato è solo un id1ota

Il discorso non regge in origine.
Lo SPID è un identità digitale svincolata da una carta fisica e legata solo all'identità vera. Un identità digitale appunto con le sue regole.
Volerla legare alla carta fisica è in sostanza la CIE.
Sono due concetti diversi.

Tanti non lo vogliono capire, ma concettualmente lo SPID è meglio, che poi abbia i suoi limiti ok, primo fra tutti in mano ai privati.

Ma come siamo messi con Eid?

eID dovrebbe essere implementato in IT Wallet (APP IO per intendersi) e legato, sembra perché non ho riscontri certi, alla CIE.

Ho usato SPID in passato ma era un'agonia, ogni poco dovevi cambiare password e il passare forzatamente dal provider prima di entrare era agonizzante, CieID è un altro mondo.

La password per lo spid si cambia ogni 180 giorni, significa 2 volte all'anno e la procedura richiede 1 minuto .se il tuo approccio è questo forse è meglio se ti fai aiutare da qualcuno

La password per lo spid si cambia ogni 180 giorni, significa 2 volte all'anno e la procedura richiede 1 minuto .se il tuo approccio è questo forse è meglio se ti fai aiutare da qualcuno

No, perche lo uso 3 volte l'anno se ve bene e ogni volta é un "imparare" come fare sta cosa. Sinceramente mi sono rotto i cogljoni, immagine centanaia di servizi utili alla vita quotidiana che sono diventati farraginosi, ma comunque piu lunghi di mettere un'impronta e basta una volta sola senza cambiare password ne altro. Ma ti fai due conti? sono giornate intere ogni anno sprecate a cambiare password, spedire mail di verifica, moltiplicalo per 200 volte e vedrai quanto tempo rubato alla nostra gia corta vita.

Questo è un commento del cazz* almeno in questo caso.

Lui non sta offendendo l'Italia come a volte avviene gratuitamente ma sta facendo notare una cosa effettiva e cioè che a differenza di altre nazioni alcuni controlli vengono fatti con leggerezza e per quanto io ami l'Italia non posso dire che ha torto.

Io che con certe procedure ho a che fare tutti i giorni potrei scriverti un WoT di controlli fatti male, inutili o sbagliati che vengono quotidianamente fatti in Italia e che nonostante decine di segnalazioni non si arriva mai a sistemarli.


Appunto. :D
Uno che ha veramente capito. ;)

Poi dipende sempre dal fornitore del servizio SPID.

No, perche lo uso 3 volte l'anno se ve bene e ogni volta é un "imparare" come fare sta cosa. Sinceramente mi sono rotto i cogljoni, immagine centanaia di servizi utili alla vita quotidiana che sono diventati farraginosi, ma comunque piu lunghi di mettere un'impronta e basta una volta sola senza cambiare password ne altro. Ma ti fai due conti? sono giornate intere ogni anno sprecate a cambiare password, spedire mail di verifica, moltiplicalo per 200 volte e vedrai quanto tempo rubato alla nostra gia corta vita.

Nel tuo caso anche inutile vita direi

No, perche lo uso 3 volte l'anno se ve bene e ogni volta é un "imparare" come fare sta cosa. Sinceramente mi sono rotto i cogljoni, immagine centanaia di servizi utili alla vita quotidiana che sono diventati farraginosi, ma comunque piu lunghi di mettere un'impronta e basta una volta sola senza cambiare password ne altro. Ma ti fai due conti? sono giornate intere ogni anno sprecate a cambiare password, spedire mail di verifica, moltiplicalo per 200 volte e vedrai quanto tempo rubato alla nostra gia corta vita.

Guarda che se imposti il riconoscimento biometrico tutto ciò l'hai risolto a monte.

Fossi in te non mi vanterei, dato che stai commettendo un reato

Sei perseguibile anche a posteriori anche se dubito sia vero . In ogni caso uno che si vanta di aver commesso in reato è solo un id1ota

Guarda che è stata smarrita dopo e sono le banche o i servizi online che non se ne sono accorti e non hanno effettuato le verifiche dopo la denuncia....

Ho usato SPID in passato ma era un'agonia, ogni poco dovevi cambiare password e il passare forzatamente dal provider prima di entrare era agonizzante, CieID è un altro mondo.

Beh, ha anch'essa i suoi problemi con i lettori incompatibili dato che il servizio di Stato, per non far torto a nessuno, non ha mai creato un ambiente di 'DropCopy' in cui i produttori potssero testare adeguatamente i lettori ed essere certificati a tutela e garanzia dell'utenza finale. :read:

Ad esempio riesco ad usare tranquillamente un lettore di smartcard su qualunque browser di un vecchio Windows 8.1, mentre in Windows 10 se non uso la funzione 'incognito' del browser , ottengo il maledetto errore qualcosa è andato storto oppure la smart card non è riconosciuta...:muro:

E quando hai casini con la CIE il servizio via email ai Cittadini, è del tutto inutile. Ed presso forum ti danno una risposta standard e finisce lì... E meno male che la CIE la usa ancora solo il 10/15% degli Italiani...

Guarda che è stata smarrita dopo e sono le banche o i servizi online che non se ne sono accorti e non hanno effettuato le verifiche dopo la denuncia.

Calma, il KYC è una istantanea del momento quindi quello che dici ha poco senso.

Se al momento in cui è stato fatto il KYC te avevi il documento ed era valido e non è cambiato niente se non il documento perché il giorno dopo l'hai smarrito la banca NON deve rifare il KYC ma aspettare che scada e solo DOPO aggiornarlo.

Quindi se ho capito bene che i fatti sono KYC-->smarrimento allora correttamente la banca non ti ha chiesto nulla perché quel KYC è ancora valido e lo smarrimento del documento non cambia nulla.
Lo scopo del KYC infatti non è tanto identificarti quanto valutare il tuo profilo di rischio che non cambia al cambiare del documento.

Bene, meglio così. Grazie.:mano:

Nel tuo caso anche inutile vita direi

Non hai davvero un caxxo di cosa sia la vita te. Vabè finiamola lì.

Onestamente l'uso di spid non è il massimo della vita - ho poste ID: l'autenticazione non è sempre immediata (alcune volte devo ripeterla) e al cambio password mi tremano le gambe...

io uso quello di Aruba e confermo che quello di poste fa pena..
ho molti clienti che lo hanno e con la storia del QRcode da inquadrare ogni tanto il codice arriva in ritardo e devono rifare tutto
io con aruba e il cellulare con otp non ho mai avuto problemi
quando scade accedo al sistema e cambio le credenziali se è passato troppo tempo decade e devo rifarlo con nuova autenticazione via postino o via webcam con operatore fisico

mi trovo bene e lo ho da oltre 10 anni..

L'unica cosa abberrante dello SPID è che un servizio di identità digitale sia stato distribuito in gestione a privati...e non uno, ma veramente tanti... troppi. E' ovvio che poi nascano problemi.
Ben venga CIE, anche se devo dire che non sempre il log con CIE è privo di intoppi rispetto SPID, ma scpero che lo sviluppo lo migliori ulteriormente.