Sky
Vittorio vb Bertola
Affacciato sul Web dal 1995

Mar 19 - 15:05
Ciao, essere umano non identificato!
Italiano English Piemonteis
home
home
home
chi sono
chi sono
guida al sito
guida al sito
novità nel sito
novità nel sito
licenza
licenza
contattami
contattami
blog
near a tree [it]
near a tree [it]
vecchi blog
vecchi blog
personale
documenti
documenti
foto
foto
video
video
musica
musica
attività
net governance
net governance
cons. comunale
cons. comunale
software
software
aiuto
howto
howto
guida a internet
guida a internet
usenet e faq
usenet e faq
il resto
il piemontese
il piemontese
conan
conan
mononoke hime
mononoke hime
software antico
software antico
lavoro
consulenze
consulenze
conferenze
conferenze
job placement
job placement
business angel
business angel
siti e software
siti e software
admin
login
login
your vb
your vb
registrazione
registrazione
mercoledì 21 Dicembre 2022, 08:58

Su SPID e carta d’identità elettronica

Sul possibile pensionamento dello SPID ho letto tante cose, da chi pensa che sia solo una boutade per far parlare i giornali a chi è contento perché vuole che tutto sia sempre gestito dallo Stato. Credo dunque, da persona un po’ più addentro alle cose, di dovervi fornire alcuni elementi di riflessione.

Per prima cosa, l’idea di usare al posto di SPID la carta d’identità elettronica (CIE, dotata di chip digitale da leggere con un apposito dispositivo) non è nuova. Non ci siamo solo noi; il maggior sostenitore dell’idea è la Germania, dove SPID non esiste, ma che negli anni ha messo in piedi ripetuti e costosissimi progetti di identità digitale, tutti falliti. La Germania ha una CIE come la nostra: ha poche centinaia di migliaia di utenti e fa in un mese il numero di transazioni che SPID fa in due ore.

Il motivo è semplice: la CIE è molto più complicata da usare di un sistema basato sui cellulari, che non a caso è quello che usano tutte le piattaforme americane. Serve un cellulare moderno con lettore NFC (SPID funziona anche sul Nokia del nonno via SMS…), oppure un lettore da attaccare al computer; e serve un PIN, che la gente o si dimentica o si scrive. Poi, quando la perdi o scade, aspetti per mesi il nuovo documento e nel frattempo che fai? Se poi, come successo in Estonia, si scopre che il chip è fallato e insicuro e che le carte vanno bloccate in massa, di botto tutto il Paese resta senza identità digitale fin che non hai riemesso tutte le carte, mentre SPID si aggiorna al volo via software.

Tuttavia, pochi giorni fa Germania e Francia hanno imposto al Consiglio Europeo una posizione che renderebbe illegali i sistemi come SPID perché “insicuri”, in quanto il cellulare sarebbe craccabile più facilmente di un pezzo di plastica. È una stupidaggine, perché i sistemi di identità non vengono craccati informaticamente, ma corrompendo uno all’anagrafe di Roccacannuccia perché rilasci un documento falso, oppure facendo phishing delle credenziali; e a quel punto, il metodo di autenticazione è irrilevante, anzi, la CIE può essere rubata e usata fisicamente. Del resto, non risulta che SPID sia mai stato craccato per via informatica.

Ma allora, perché il governo italiano va dietro a questo trend e prova a distruggere l’unica esperienza di identità digitale che funziona davvero in tutta Europa, con quasi 35 milioni di utenti? La risposta io non la so, ma temo sia molto banale. Il PNRR prevede l’istituzione di una nuova mega software house di stato, partecipata da INPS, INAIL e ISTAT; due settimane fa, il governo Meloni ha nominato il suo amministratore delegato. Ma una software house deve pur avere qualcosa da fare, e quindi, cosa meglio di una commessa per fare un nuovo sistema di identità nazionale e migrare a esso tutti gli SPID già esistenti? Ci sono tutti i soldi del PNRR da spendere. E se non fossero loro a farla, comunque questa commessa la si può dare a qualche ente pubblico che piaccia, come il Poligrafico che già stampa le carte d’identità, magari con subappalto ad altre aziende che piacciano: rifare qualcosa che già esiste è un gran motivo per spendere soldi dei contribuenti.

In fondo, quello che dà fastidio di SPID è che è un sistema misto pubblico-privato, in cui, orrore, il cittadino può scegliere a chi far gestire la propria identità, magari cercando qualcuno che abbia un’app che funzioni meglio delle altre o che garantisca meglio la privacy. Perché invece non rimettere tutto in mano ai luminari che hanno prodotto siti come quelli dell’Agenzia delle Entrate e dell’INPS, fulgidi esempi di usabilità ed efficienza? Sicuramente, con il monopolio informatico pubblico, verrà fuori un sistema migliore.

divider

2 commenti a “Su SPID e carta d’identità elettronica”

  1. John:

    Uriello è sempre sui generis e non ama SPID, ma le vostre due spiegazioni sembrano complementari: se si uniscono, magari si arriva ad una ragionevole quota di verità…

    https://keinpfusch.net/lo-spid-sta-finendo/

  2. mfp:

    Mah… sono due cagate di pari livello. C’e’ da dire 2 cose a favore dello SPID:

    1. essendoci altri operatori di mezzo è più probabile che emergano eventuali cagate di stato. Se invece e’ tutto chiuso in prefettura, la cagata di stato (crimini di stato) non uscira’ mai fuori neanche per sbaglio. Però preferivo quando gli “operatori in mezzo” erano i Comuni e i loro dipendenti; anzichè grossi operatori privati.

    2. SPID genera un token e sulla rete viaggia quel token, che di per se e’ anonimo senza avere a disposizione elementi che solo la persona e il suo gestore spid ha, e non devono rivelare per generare il token. La CIE invece … brrr … identità che corrono sui fili … brutta cosa. Sembra come quando Facebook cercava di convincere tutti di dover usare il proprio nome e cognome reali e la polizia postale cercava disperata di richiamare i genitori all’educazione dei propri figli (“non rivelare mai la propria identità, l’indirizzo della propria casa, …”). Solo che nel caso della CIE è lo stato a costringerti a esporti a rischi.

    Il modo sicuro di fare questa cosa è di utilizzare il modello impiegato dai keyserver GPG… chissa’ se esistono ancora… solo che invece di fare i key signing party, gli autenticatori sono mamma, papa’, zio, zia, amichetto del cuore, e chiunque altro nel corso della vita abbia voglia di venire con te in comune a “firmarti l’identità”. E poi con la chiave “certificata” generare i token anonimi (ma de-anonimizzabili in caso di richieste della magistratura) per gli acquisti, il green pass, e via discorrendo. Chissa’ se prima o poi ci arriveranno…

 
Creative Commons License
Questo sito è (C) 1995-2024 di Vittorio Bertola - Informativa privacy e cookie
Alcuni diritti riservati secondo la licenza Creative Commons Attribuzione - Non Commerciale - Condividi allo stesso modo
Attribution Noncommercial Sharealike