SPID usato per anni con un documento annullato. Ecco perché serve il passaggio a CieID

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...id_141298.html

Con 39 milioni di utenti attivi, SPID è oggi il sistema di identità digitale più diffuso in Italia. Ma il passaggio a CieID è già deciso e, come dimostra un caso concreto, anche necessario. Più sicurezza, controllo e coerenza normativa renderanno CieID lo standard del futuro

Click sul link per visualizzare la notizia.

[lollo9]

che il nuovo metodo sia uno passo avanti non ci piove, ma non è del tutto vero che i provider attuali non possano validare l i documenti reali dietro le identità digitali. in principio potrebbero, e non costerebbe quasi niente farlo, ma manca l’altra testa di ponte (la PA)

Chiaro che i documenti non li hanno in pancia loro, ma il ministero, tuttavia un abbastanza banale brokering di identità verso l’idp nazionale sarebbe bastato ad evitare il problema.
se questo non accade è perché è il ministero a decidere di non fornire a SPID capacità di avere la propria “user pool” brokerata da IdP esterni, cosa che invece fa con Cieid (io ad esempio mi autentico presso la PA francese, col passaporto italiano, presso idp francesi che nulla hanno a che vedere con spid proprio perché il flusso cieid impone questo passaggio di contattare l’unica entità emittente delle identità, vale a dire gli stati. avrebbero potuto farlo tranquillamente anche con spid. non farlo è stata una scelta)

non raccontiamoci che i formati dati non sono compatibili, congruenti od altro. se non lo sono li mappi uno sull’altro, perché di sicuro sono equipollenti.
farlo non ha costo zero, ma quasi.

[agonauta78]

Se usi cie non si può falsificare niente . Di spid ne puoi fare a decine anche a tua insaputa come per le truffe del bonus studenti e docenti . Prima disattivano lo spid e meglio è. Ancora meglio sarebbe poter creare un solo spid e non 10

[io78bis]

Non capisco il punto o meglio capisco sia poco corretto ma non vedo il problema. Account spid certifica la mia identità che non cambia con la scadenza del documento.
Se quando ho creato account spid sono stati fatti i dovuti controlli tra il documento presentato e il richiedente anche se scade il documento account spid può continuare a certificare chi sono, quando sono nato, riferimenti fiscali. L'unica cosa che non può certificare sono i dati variabili (es. resdenza) che però dovrebbero sempre essere recuperati da servizi terzi dietro presentazione identità spid.
Diverso se in Italia si potesse cambiare nome/sesso come nulla fosse

[Darkon]

Quote:

Originariamente inviato da io78bis

Non capisco il punto o meglio capisco sia poco corretto ma non vedo il problema. Account spid certifica la mia identità che non cambia con la scadenza del documento.
Se quando ho creato account spid sono stati fatti i dovuti controlli tra il documento presentato e il richiedente anche se scade il documento account spid può continuare a certificare chi sono, quando sono nato, riferimenti fiscali. L'unica cosa che non può certificare sono i dati variabili (es. resdenza) che però dovrebbero sempre essere recuperati da servizi terzi dietro presentazione identità spid.
Diverso se in Italia si potesse cambiare nome/sesso come nulla fosse

Il problema è che i "dovuti controlli" non sono così banali da fare e si prestano ad errori in buona e in cattiva fede. Senza contare che comunque è un obbrobrio che un qualcosa che serve per usare servizi statali porti lucro a provider privati.

Giusto quindi passare a CieID e io spero che presto anche le PEC vengano sostituite con un servizio identico ma totalmente pubblico.

[agonauta78]

Quote:

Originariamente inviato da io78bis

Non capisco il punto o meglio capisco sia poco corretto ma non vedo il problema. Account spid certifica la mia identità che non cambia con la scadenza del documento.
Se quando ho creato account spid sono stati fatti i dovuti controlli tra il documento presentato e il richiedente anche se scade il documento account spid può continuare a certificare chi sono, quando sono nato, riferimenti fiscali. L'unica cosa che non può certificare sono i dati variabili (es. resdenza) che però dovrebbero sempre essere recuperati da servizi terzi dietro presentazione identità spid.
Diverso se in Italia si potesse cambiare nome/sesso come nulla fosse

Esistono numerosi casi di spid multipli e di truffe senza che l'intestatario ne fosse a conoscenza . Per cui si ,lo spid non è verificabile perché affidato a terzi . La cie è gestita dallo stato quindi sulla carta più sicura di uno spid

[pitx]

Quote:

Originariamente inviato da Darkon

Il problema è che i "dovuti controlli" non sono così banali da fare e si prestano ad errori in buona e in cattiva fede. Senza contare che comunque è un obbrobrio che un qualcosa che serve per usare servizi statali porti lucro a provider privati.

Giusto quindi passare a CieID e io spero che presto anche le PEC vengano sostituite con un servizio identico ma totalmente pubblico.

Perchè siamo in Italia...
Prendiamo ad esempio la tanto "citata" Svizzera.
Servizio di mail riservata info
Servizio post.ch info

[agonauta78]

Che discorsi
Puoi anche trasferirti in svizzera

[giovanni69]

A me è sucesso più volte di usare una carta di identità che ufficialmente è stata dichiarata smarrita alla Polizia eppure viene regolarmente accettata da banche online ed altri servzi. Non sarà scaduta ma... dove stanno dunque i controlli KYC?

[Notturnia]

Quindi quante truffe sono state fatte grazie allo spid ?
Chi riesce a fare truffe con lo spid.. come ha ottenuto lo spid ?

Dobbiamo passare al CIE ? Ottimo.. e avanti a farsi ridare di nuovo codici e cazzatine varie.. tanto alle aziende questi non sono mica costi.. no.. tutto gratis il tempo che si continua a perdere a fare tutte queste variazioni..

[Miccia]

Quote:

Originariamente inviato da giovanni69

A me è sucesso più volte di usare una carta di identità che ufficialmente è stata dichiarata smarrita alla Polizia eppure viene regolarmente accettata da banche online ed altri servzi. Non sarà scaduta ma... dove stanno dunque i controlli KYC?

Fossi in te non mi vanterei, dato che stai commettendo un reato

[AlPaBo]

Quote:

Originariamente inviato da pitx

Perchè siamo in Italia...
Prendiamo ad esempio la tanto "citata" Svizzera.
Servizio di mail riservata info
Servizio post.ch info

Allora, citi un servizio che non è un'identità digitale.
Il servizio è un single sign on delle Poste svizzere, non di tutti i servizi pubblici svizzeri. Anche le Poste italiane offrono un servizio analogo.

Non c'entra con la PEC, non c'entra con la CIE, non c'entra con lo SPID. Non capisco cosa vuoi dimostrare.

Se è tutto qui, la Svizzera è anni dietro di noi.

[alexfri]

A me sembra tutta una follia, spid, autenticazione spid, vai cambio password, una follia assoluta, una rottura di cogljoni colossale. Deve essere gestito come i telefoni, riconoscimento biometrico che sia impronta o viso, velocissimo una frazione di secondo. Basta con ste scatole cinesi di password, provider ecc, mica ho tempo da perdere dietro ste coglionate, e anche se ne avessi non ne ho la minima voglia. Vuoi autenticarmi? fai come l’iphone, una frazione di secondo, BOMM, e sei dentro.

[tuttodigitale]

Quote:

Originariamente inviato da alexfri

A me sembra tutta una follia, spid, autenticazione spid, vai cambio password, una follia assoluta, una rottura di cogljoni colossale. Deve essere gestito come i telefoni, riconoscimento biometrico che sia impronta o viso, velocissimo una frazione di secondo. Basta con ste scatole cinesi di password, provider ecc, mica ho tempo da perdere dietro ste coglionate, e anche se ne avessi non ne ho la minima voglia. Vuoi autenticarmi? fai come l’iphone, una frazione di secondo, BOMM, e sei dentro.

Non è che ci voglia tanto ad entrare...Tra una frazione di secondo e meno di 10 secondi non è che ci sia tutta questa differenza....

[marco_iol]

Quote:

Originariamente inviato da tuttodigitale

Non è che ci voglia tanto ad entrare...Tra una frazione di secondo e meno di 10 secondi non è che ci sia tutta questa differenza....

Onestamente l'uso di spid non è il massimo della vita - ho poste ID: l'autenticazione non è sempre immediata (alcune volte devo ripeterla) e al cambio password mi tremano le gambe...

[fabius21]

Non capisco il senso dell'articolo. Mi sembra normale che l'account spid continui ad esistere, ed è relativamente giusto che sia stato bloccato dopo la scadenza del documento (succede con tanti account, che se non carichi un documento aggiornato sia bloccato). Non ci vedo niente di anomalo.

[Darkon]

Quote:

Originariamente inviato da agonauta78

Che discorsi
Puoi anche trasferirti in svizzera

Questo è un commento del cazz* almeno in questo caso.

Lui non sta offendendo l'Italia come a volte avviene gratuitamente ma sta facendo notare una cosa effettiva e cioè che a differenza di altre nazioni alcuni controlli vengono fatti con leggerezza e per quanto io ami l'Italia non posso dire che ha torto.

Io che con certe procedure ho a che fare tutti i giorni potrei scriverti un WoT di controlli fatti male, inutili o sbagliati che vengono quotidianamente fatti in Italia e che nonostante decine di segnalazioni non si arriva mai a sistemarli.

Quote:

Originariamente inviato da giovanni69

A me è sucesso più volte di usare una carta di identità che ufficialmente è stata dichiarata smarrita alla Polizia eppure viene regolarmente accettata da banche online ed altri servzi. Non sarà scaduta ma... dove stanno dunque i controlli KYC?

Il KYC bancario ma anche in generale non ha alcun controllo sul documento né la banca ha modo di verificare in alcun modo una cosa del genere. Il cliente dichiara e si prende la responsabilità che il documento è valido e vero e la banca trasmette tutto. Successivamente le varie agenzie statali possono o meno controllare i KYC e se è stato usato un documento falso, non valido e tutte le altre casistiche poi son cazz* amari per chi ha fatto la dichiarazione. Occhio che per dichiarazioni e autocertificazioni si rischia anche il penale anche se poi non vi è nessun'altro reato ma è stato fatto solo per sbadataggine.

Quote:

Originariamente inviato da Notturnia

Quindi quante truffe sono state fatte grazie allo spid ?
Chi riesce a fare truffe con lo spid.. come ha ottenuto lo spid ?

Dobbiamo passare al CIE ? Ottimo.. e avanti a farsi ridare di nuovo codici e cazzatine varie.. tanto alle aziende questi non sono mica costi.. no.. tutto gratis il tempo che si continua a perdere a fare tutte queste variazioni..

Truffe con lo SPID non molte. È una casistica che è avvenuta ma non particolarmente frequente. Più che altro è una forma di truffa complessa che non vale la pena. Ci sono truffe molto meno complesse che sono più facili e rendono al malfattore di più quindi non è una casistica particolarmente seguita. La mia sensazione personale, ma preciso basata sulle mie conoscenze e quindi assolutamente non statistica, è che le truffe SPID sono quasi sempre intra-familiari con lo SPID clonato usato per registrare contratti o fare procedure che avvantaggiano una parte in fase successoria o comunque una sorta di sostituzione di persona in cui un parente ormai impossibilitato ad agire per malattia o altro viene impersonato attraverso le SPID da terzi familiari. Il caso classico è il nonno in coma a fine vita che magicamente compie atti con lo SPID a distanza.

Lo SPID ottenuto illegalmente nel 90% dei casi viene ottenuto in 2 modi: sottrazione in casa dello SPID originale e non mi dilungo tanto è facilmente immaginabile, clonazione di SPID a seguito di furto di dati sensibili ad esempio se fate il check in in albergo un errore che viene spessissimo fatto è far fare foto dei documenti o fotocopie: l'albergatore deve registrare ALCUNI dati ma NON tutto il documento. Documenti incautamente custoditi nelle gallerie di telefoni o in archivi di fotocopie spesso poi finiscono per trapelare più facilmente di quello che non pensate.

Per quanto riguarda la CIE i codici vengono dati di default al momento del rilascio quindi salvo averli persi chi ha la CIE ha automaticamente anche i codici. Teoricamente non dovresti quindi aver da perdere tempo o altro se non il normale rinnovo che comunque prima o poi fai.

Quote:

Originariamente inviato da alexfri

A me sembra tutta una follia, spid, autenticazione spid, vai cambio password, una follia assoluta, una rottura di cogljoni colossale. Deve essere gestito come i telefoni, riconoscimento biometrico che sia impronta o viso, velocissimo una frazione di secondo. Basta con ste scatole cinesi di password, provider ecc, mica ho tempo da perdere dietro ste coglionate, e anche se ne avessi non ne ho la minima voglia. Vuoi autenticarmi? fai come l’iphone, una frazione di secondo, BOMM, e sei dentro.

Guarda è già così... basta che installi l'app su smartphone e puoi fare login tramite notifica sullo smartphone e impronta digitale o altro sistema biometrico. Ma è già così da oltre un anno anzi penso più anni anche se non ricordo la data esatta.

[frankie]

Il discorso non regge in origine.
Lo SPID è un identità digitale svincolata da una carta fisica e legata solo all'identità vera. Un identità digitale appunto con le sue regole.
Volerla legare alla carta fisica è in sostanza la CIE.
Sono due concetti diversi.

Tanti non lo vogliono capire, ma concettualmente lo SPID è meglio, che poi abbia i suoi limiti ok, primo fra tutti in mano ai privati.

Ma come siamo messi con Eid?

[agonauta78]

Quote:

Originariamente inviato da giovanni69

A me è sucesso più volte di usare una carta di identità che ufficialmente è stata dichiarata smarrita alla Polizia eppure viene regolarmente accettata da banche online ed altri servzi. Non sarà scaduta ma... dove stanno dunque i controlli KYC?

Sei perseguibile anche a posteriori anche se dubito sia vero . In ogni caso uno che si vanta di aver commesso in reato è solo un id1ota

[Darkon]

Quote:

Originariamente inviato da frankie

Il discorso non regge in origine.
Lo SPID è un identità digitale svincolata da una carta fisica e legata solo all'identità vera. Un identità digitale appunto con le sue regole.
Volerla legare alla carta fisica è in sostanza la CIE.
Sono due concetti diversi.

Tanti non lo vogliono capire, ma concettualmente lo SPID è meglio, che poi abbia i suoi limiti ok, primo fra tutti in mano ai privati.

Ma come siamo messi con Eid?

eID dovrebbe essere implementato in IT Wallet (APP IO per intendersi) e legato, sembra perché non ho riscontri certi, alla CIE.