Eppure qualcosa si muove: Spid / Cie

Eppur qualcosa si muove

Nel caso delle password o meglio nel campo della protezione dell’accesso alla Pubblica Amministrazione qualcosa si sta muovendo

Spid = Sistema Pubblico di Identità Digitale

L’Identità digitale diventa obbligatoria: secondo quanto previsto dal decreto Semplificazioni in vigore dal 17 Luglio 2020, sarà lo SPID lo strumento unico per l’accesso ai servizi della pubblica amministrazione, dall’INPS all’Agenzia delle Entrate

Per ottenere lo Spid occorre:

•  essere maggiorenne
• possedere carta di identità
• avere il tesserino codice fiscale
• avere una email ed un cellulare
• Chiedere il rilascio dello Spid ad “un gestore di identità” : su internet c’è l’elenco completo di questi gestori. Molti di questi gestori sono gratuiti. Io ho provato con Lepida e Poste Italiane. L’inserimento dei dati può essere fatto direttamente on line sul Personal Computer oppure occorre andare  a farsi identificare di persona. Con Lepida ho fatto tutto on line; un mio amico ha preferito la strada Poste Italiane con la identificazione di persona. Con la identificazione di persona il mio amico è riuscito ad avere lo Spid nel giro di un paio di giorni portando i documenti in uno dei tanti uffici postali.
• adottare una Password "difficile" che va scritta per non essere dimenticata
• Cambiare password periodicamente (ogni 6 mesi?)

Tramite SPID vediamo i passi necessari per entrare ad esempio nel Fascicolo Sanitario tramite personal computer (Pc)

• Con il browser del Pc si richiama il Fascicolo sanitario
• Occorre dichiarare che si vuole accedere tramite SPID
• Il Pc elenca i vari gestori di identità: occorre indicare il gestore che ha rilasciato lo Spid
• Il gestore che ha rilasciato lo Spid chiede nome utente e password
• Inserire utente e password (grazie al mio browser i dati sono già pre impostati): dare invio
• Il gestore che ha rilasciato lo Spid, mi chiede se voglio proseguire con un SMS o con un APP
• Scelgo SMS: il gestore mi invia un SMS con una OTP (one time password)
• Inserisco l’OTP ricevuta tramite SMS:  invio
• Il gestore elenca i dati che fornirà al Fascicolo Sanitario. Con un semplice invio autorizzo
• Arriva la schermata del Fascicolo Sanitario: devo ancora cliccare su “Entra con SPID” e finalmente sono arrivato

Da Fine luglio 2021 Lepida ha fornito la possibilità di accedere allo Spid tramite una app. Con questa app le fasi per accedere al fascicolo sanitario sono:

• Una tantum caricare la app sul telefonino tipo smart phone

Per accedere al fascicolo sanitario tramite app:

• Richiamare il fascicolo sanitario col il browser sul pc
• Accedi con spid
• Scegliere il gestore Spid (Lepida nel mio caso)
• Lepida risponde con una schermata su cui appare una immagine Qr
• Avviare l’app dello smartphone ed inquadrare il qr code
• L’app  chiede se procedere con qr  o Otp
• Scelgo qr ed inquadro l’immagine QR
• L’app mi chiede l’impronta digitale del proprietario del telefonino per controllo
• Fornisco l’impronta e l’app dice di aver concesso autorizzazione
• sul pc viene richiesta l’autorizzazione a procedere
• Fascicolo sanitario sul video

CIE=Carta di Identità Elettronica

La preparazione per l’utilizzo della CIE è molto semplice: occorre

• un personal computer
• un lettore smart Card (costo circa 40 euro) collegato a pc per leggere la CIE (è un lettore tipo bancomat)
• installare il software relativo (lo si scarica gratuitamente da Internet)
• inserire la Cie nel lettore Smart Card e click su aggiungi Cie
• viene chiesto il pin della CIE: inserire Pin ed Invio
• la CIE viene memorizzata nel Personal Computer
• non è necessario fornire dati personali. Non so se i dati vengono presi direttamente dalla Cie o con un collegamento al Ministero degli interni

Tramite CIE vediamo i passi necessari per accedere al Fascicolo Sanitario

• Con il browser del Pc si richiama il Fascicolo sanitario
• Accedi con CIE 
• Il sistema chiede le ultime 4 cifre del pin della Cie: inserirle ed invio
• Il fascicolo Sanitario è pronto per essere usato

Inutile parlare del vecchio metodo con accesso tramite FSE (Fascicolo Sanitario Elettronico) (da ottobre 2021 non più disponibile.

Spid Con Otp

• pro
  • Lo Spid è abbastanza facile da ottenere specie tramite Poste Italiane
  • Abbastanza  semplice da usare

• Contro
  • Bisogna fornire tutti i dati personali (Carta di identità, codice fiscale) ad un ente non statale
  • Tanti passaggi per arrivare all’obiettivo.
  • Bisogna passare dal sito del Gestore per essere autorizzati
  • Bisogna inserire nome utente e password (anche se il browser le imposta automaticamente)
  • Bisogna avere un telefonino (e guai a dimenticarlo in ufficio, da un amico o perderlo) per inserire OTP. Senza telefonino è impossibile operare
  • Il browser può intercettare e memorizzare utente e password
  • password complicata
  • cambio periodico della password

Spid con App

• pro
  • Abbastanza facile da ottenere
  • Abbastanza  semplice da usare
  • Con l’app Lepida su smartphone non occorre più né otp né username/password
  • Si può usare un qualsiasi smartphone: è sufficiente caricare l’app e il proprio account ( fornito dal gestore Spid)
• Contro
  • Bisogna fornire tutti i dati personali (Carta di identità, codice fiscale) al gestore Spid
  • Tanti passaggi per arrivare all’obiettivo anche se tutti molto semplici
  • Bisogna passare dal sito del Gestore per essere autorizzati
  •  Bisogna avere uno smartphone  per usare l’App
  • Procedura poco sicura: l’impronta digitale è quella del proprietario dello smartphone (e quindi non necessariamente quella dell’utente dello Spid). Se qualcuno viene a conoscenza del nostro username/password può accedere ai servizi della pubblica amministrazione e “pocciare” sui ns. dati a piacere
  • cambio periodico della password
  
  

Cie

• Pro
  • Pochi passaggi per arrivare all’obiettivo
  • Facile da usare: è più facile dell’uso di un  bancomat
  • Non occorre telefonino per OTP, non occorre App, non occorre email
  • Il browser non è in grado di intercettare e memorizzare il Pin
  • Non occorre fornire i propri dati a terzi (i gestori Spid): i dati forniti tramite CIE sono quelli presso il Ministero degli Interni
• Contro
  • Bisogna acquistare il lettore Smart Card e scaricare il software da Internet
  • Occorre inserire ultime 4 cifre Pin (il browser non le memorizza)
  • Bisogna avere la CIE

Proposta

Se

• Il lettore Smart Card avesse anche un lettore di impronta digitale (come gli smartphone) e si potesse usare l’impronta digitale come password al posto del Pin 

Allora

• L’uso della Cie sarebbe molto sicuro, perfetto e banale 

Mi auguro che il decreto Semplificazioni in vigore dal 17 Luglio 2020, preveda l’uso della Cie (con le aggiunte di cui sopra) per l’accesso ai servizi della pubblica amministrazione,

Inoltre

- Come ulteriore sicurezza, non sarebbe male se la Pubblica Amministrazione a cui abbiamo acceduto, desse avviso all'utente dell'avvenuto accesso tramite email e/o sms

Conclusione

Non avendo un lettore Smart Card, l’uso dell’App Lepida è il metodo più veloce ma certamente non il più sicuro. Ricordo che la password Lepida vuole: 8 caratteri di cui uno maiuscolo, con almeno un numero ed un carattere speciale. Chi è in grado di tenere a mente queste password? E allora le scriviamo. Se qualcuno trova il ns. foglietto con username e password i ns. contatti con la pubblica amministrazione sono a rischio.

(vedi anche "Password: quale scegliere")