Sky
Vittorio vb Bertola
Wandering on the Web since 1995

Fri 1 - 7:15
Hello, unidentified human being!
Italiano English Piemonteis
home
home
home
about me
about me
site help
site help
site news
site news
license
license
contact me
contact me
blog
near a tree [it]
near a tree [it]
old blogs
old blogs
personal
documents
documents
photos
photos
videos
videos
music
music
activities
net governance
net governance
town council
town council
software
software
help
howto
howto
internet faq
internet faq
usenet & faqs
usenet & faqs
stuff
piemonteis
piemonteis
conan
conan
mononoke hime
mononoke hime
ancient software
ancient software
biz
consultancy
consultancy
talks
talks
job placement
job placement
business angel
business angel
sites & software
sites & software
admin
login
login
your vb
your vb
register
register
mercoledì 21 Dicembre 2022, 08:58

Su SPID e carta d’identit√† elettronica

Sul possibile pensionamento dello SPID ho letto tante cose, da chi pensa che sia solo una boutade per far parlare i giornali a chi √® contento perch√© vuole che tutto sia sempre gestito dallo Stato. Credo dunque, da persona un po’ pi√Ļ addentro alle cose, di dovervi fornire alcuni elementi di riflessione.

Per prima cosa, l’idea di usare al posto di SPID la carta d’identit√† elettronica (CIE, dotata di chip digitale da leggere con un apposito dispositivo) non √® nuova. Non ci siamo solo noi; il maggior sostenitore dell’idea √® la Germania, dove SPID non esiste, ma che negli anni ha messo in piedi ripetuti e costosissimi progetti di identit√† digitale, tutti falliti. La Germania ha una CIE come la nostra: ha poche centinaia di migliaia di utenti e fa in un mese il numero di transazioni che SPID fa in due ore.

Il motivo √® semplice: la CIE √® molto pi√Ļ complicata da usare di un sistema basato sui cellulari, che non a caso √® quello che usano tutte le piattaforme americane. Serve un cellulare moderno con lettore NFC (SPID funziona anche sul Nokia del nonno via SMS…), oppure un lettore da attaccare al computer; e serve un PIN, che la gente o si dimentica o si scrive. Poi, quando la perdi o scade, aspetti per mesi il nuovo documento e nel frattempo che fai? Se poi, come successo in Estonia, si scopre che il chip √® fallato e insicuro e che le carte vanno bloccate in massa, di botto tutto il Paese resta senza identit√† digitale fin che non hai riemesso tutte le carte, mentre SPID si aggiorna al volo via software.

Tuttavia, pochi giorni fa Germania e Francia hanno imposto al Consiglio Europeo una posizione che renderebbe illegali i sistemi come SPID perch√© “insicuri”, in quanto il cellulare sarebbe craccabile pi√Ļ facilmente di un pezzo di plastica. √ą una stupidaggine, perch√© i sistemi di identit√† non vengono craccati informaticamente, ma corrompendo uno all’anagrafe di Roccacannuccia perch√© rilasci un documento falso, oppure facendo phishing delle credenziali; e a quel punto, il metodo di autenticazione √® irrilevante, anzi, la CIE pu√≤ essere rubata e usata fisicamente. Del resto, non risulta che SPID sia mai stato craccato per via informatica.

Ma allora, perch√© il governo italiano va dietro a questo trend e prova a distruggere l’unica esperienza di identit√† digitale che funziona davvero in tutta Europa, con quasi 35 milioni di utenti? La risposta io non la so, ma temo sia molto banale. Il PNRR prevede l’istituzione di una nuova mega software house di stato, partecipata da INPS, INAIL e ISTAT; due settimane fa, il governo Meloni ha nominato il suo amministratore delegato. Ma una software house deve pur avere qualcosa da fare, e quindi, cosa meglio di una commessa per fare un nuovo sistema di identit√† nazionale e migrare a esso tutti gli SPID gi√† esistenti? Ci sono tutti i soldi del PNRR da spendere. E se non fossero loro a farla, comunque questa commessa la si pu√≤ dare a qualche ente pubblico che piaccia, come il Poligrafico che gi√† stampa le carte d’identit√†, magari con subappalto ad altre aziende che piacciano: rifare qualcosa che gi√† esiste √® un gran motivo per spendere soldi dei contribuenti.

In fondo, quello che d√† fastidio di SPID √® che √® un sistema misto pubblico-privato, in cui, orrore, il cittadino pu√≤ scegliere a chi far gestire la propria identit√†, magari cercando qualcuno che abbia un’app che funzioni meglio delle altre o che garantisca meglio la privacy. Perch√© invece non rimettere tutto in mano ai luminari che hanno prodotto siti come quelli dell’Agenzia delle Entrate e dell’INPS, fulgidi esempi di usabilit√† ed efficienza? Sicuramente, con il monopolio informatico pubblico, verr√† fuori un sistema migliore.

divider

2 commenti a “Su SPID e carta d’identit√† elettronica”

  1. John:

    Uriello √® sempre sui generis e non ama SPID, ma le vostre due spiegazioni sembrano complementari: se si uniscono, magari si arriva ad una ragionevole quota di verit√†…

    https://keinpfusch.net/lo-spid-sta-finendo/

  2. mfp:

    Mah… sono due cagate di pari livello. C’e’ da dire 2 cose a favore dello SPID:

    1. essendoci altri operatori di mezzo √® pi√Ļ probabile che emergano eventuali cagate di stato. Se invece e’ tutto chiuso in prefettura, la cagata di stato (crimini di stato) non uscira’ mai fuori neanche per sbaglio. Per√≤ preferivo quando gli “operatori in mezzo” erano i Comuni e i loro dipendenti; anzich√® grossi operatori privati.

    2. SPID genera un token e sulla rete viaggia quel token, che di per se e’ anonimo senza avere a disposizione elementi che solo la persona e il suo gestore spid ha, e non devono rivelare per generare il token. La CIE invece … brrr … identit√† che corrono sui fili … brutta cosa. Sembra come quando Facebook cercava di convincere tutti di dover usare il proprio nome e cognome reali e la polizia postale cercava disperata di richiamare i genitori all’educazione dei propri figli (“non rivelare mai la propria identit√†, l’indirizzo della propria casa, …”). Solo che nel caso della CIE √® lo stato a costringerti a esporti a rischi.

    Il modo sicuro di fare questa cosa √® di utilizzare il modello impiegato dai keyserver GPG… chissa’ se esistono ancora… solo che invece di fare i key signing party, gli autenticatori sono mamma, papa’, zio, zia, amichetto del cuore, e chiunque altro nel corso della vita abbia voglia di venire con te in comune a “firmarti l’identit√†”. E poi con la chiave “certificata” generare i token anonimi (ma de-anonimizzabili in caso di richieste della magistratura) per gli acquisti, il green pass, e via discorrendo. Chissa’ se prima o poi ci arriveranno…

Lascia un commento, grazie!

Se sei un utente registrato, i dati vengono estratti automaticamente dal tuo account: usa il pannello per modificarli una volta per tutte. In caso contrario, puoi registrarti per non doverli inserire ogni volta!

ATTENZIONE: I commenti non sono moderati, ma vengono filtrati in automatico contro lo spam. Se il vostro commento non appare immediatamente, è probabile che sia stato erroneamente considerato spam, ad esempio perchè contiene un numero eccessivo di link - in questo caso, contattatemi in privato per risolvere il problema. In alcuni casi, invece, sarò io a rimuovere commenti inappropriati, pubblicitari o non collegati all'argomento.

 
Creative Commons License
This site (C) 1995-2023 by Vittorio Bertola - Privacy and cookies information
Some rights reserved according to the Creative Commons Attribution - Non Commercial - Sharealike license
Attribution Noncommercial Sharealike