ElectroYou

Ritenendo cosa buona e giusta divulgare informazioni del genere, apro questo thread per dare visibilità ad una potenziale criticità insita nel sistema SPID.

Non so a quanti sia noto ma è un fatto l'inesistenza di un registro istituzionale che raccolga gli SPID attivati dai provider che forniscono il servizio SPID; questi, se non erro, per l'Italia sono dodici.
Un altro fatto, particolarità di questo sistema, è che questi provider tra loro non comunicano per cui un utente, volendo, potenzialmente, può registrare uno SPID per ogni provider e tutte le operazioni andrebbero a buon fine.

Ora, fino a che a farlo è l'utente titolare della identità digitale non sussiste alcun problema, a parte doversi gestire una più che inutile ridondanza; ma se il profilo dell'identità è carpito da malintenzionati, per quanto sopra, ecco che questi possono procedere alla registrazione d'un duplicato SPID su un provider anche se quello originale è già presente su un altro provider.

Questa situazione porta, all'insaputa di chi subisce il furto d'identità(a meno che lo stesso danneggiabile non si sia appunto già registrato con ogni provider), alle conseguenze del caso: il titolare dell'identità non si accorge di nulla, nessuno se ne accorge, almeno sino a quando il danneggiato non riceve qualche comunicazione conseguenza di azioni commesse a sua insaputa o quando dopo una prima scadenza si rende conto di un mancato accredito.

Con l'occasione segnalo anche una trasmissione dove se n'è parlato, nella puntata di Fuori TG del 29 aprile scorso hanno affrontato l'argomento delle truffe telematiche: questo il link, dal minuto 4:40.

Saluti

WALTERmwp ha scritto:
Non so a quanti sia noto ma è un fatto l'inesistenza di un registro istituzionale che raccolga gli SPID attivati dai provider che forniscono il servizio SPID

Non mi ero mai posto il problema.
L'utente dovrebbe per lo meno poter verificare a quali servizi SPID è iscritto, o meglio ricevere una comunicazione quando ha SPID multipli.

Mancando un processo di verifica non viene comunicato nulla.

Saluti

Un modo per aqbbattere i tempi processuali è quello di imporre la pec a tutti i cittadini.
Nella mia ignoranza sostengo che la pec c'è l'abbiamo già fin dalla nascita: codice fiscale@pec.it che può ben diventare codicefiscale@pec.gov.it lo stesso per la partita IVA.
Questo problema mi sembra facilmente risolvibile. Un ente statale fornisce una pec istituzionale.

Identità elettronica.
Qui le cose cambiano un poco ma mi sembra di aver capito che se un unico ente provvede allo SPID una doppia richiesta non verrà accettata, ergo: con tutti i soldi che paghiamo di tassee sicuramente questo ente potremmo permettercelo... m

Theodoro ha scritto:imporre la pec a tutti i cittadini.

No dai, di imposizioni ce ne sono già troppe.
E poi gli analfabeti informatici? O chi non vuole uno smartphone o un PC?

No dai, di imposizioni ce ne sono già troppe

Si è vero, glielo sentito dire ad un magistrato... e mi ha convinto...

Non ho mai registrato uno SPID, perche' e' clonabile (e' gia successo) e gestito malissimo e quindi non sicuro per definizione ... per lo stesso motivo non ho mai registrato una PEC da privato, oltre che per il fatto che si presta a troppe truffe da parte dello stato , che magari ti manda una comunicazione importante via PEC, e poi se non la ricevi o non l'hai potuta leggere, non importa per quale motivo (potresti essere ricoverato, non avere accesso sempre ad una linea, non avere un PC funzionante, o decine di altri motivi), loro ti dicono "non ce ne frega nulla, il nostro server dice che il tuo server l'ha ricevuta, quindi sono ca**i tuoi" (anche questo gia successo molte volte)

Peraltro la PEC, cosi come e' stata fatta nel nostro paese, e' uno schifo (e questo, a fargli un grosso complimento), perche' contrariamente alle raccomandate cartacee NON certifica che il destinatario l'ha ricevuta, ma solo che "il server di posta elettronica" che il destinatario usa, insieme a migliaia di altri utenti, l'ha presa in carico ... un po come dire, mettiamo un bidone in mezzo alla piazza del paese, le raccomandate le buttiamo tutte li dentro, e si considerano tutte consegnate ai destinatari, anche se nessuno di loro sa di averle ricevute.

Etemenanki ha scritto:non ho mai registrato una PEC da privato, oltre che per il fatto che si presta a troppe truffe da parte dello stato , che magari ti manda una comunicazione importante via PEC, e poi se non la ricevi o non l'hai potuta leggere, non importa per quale motivo (potresti essere ricoverato, non avere accesso sempre ad una linea, non avere un PC funzionante, o decine di altri motivi), loro ti dicono "non ce ne frega nulla, il nostro server dice che il tuo server l'ha ricevuta, quindi sono ca**i tuoi"

Confermo che tali episodi possano succedere e che sono successi, però so anche di persone che non hanno potuto leggere una raccomandata (ritirata dal portiere) perché si trovavano all'estero per lavoro e hanno perso (in quel caso) la possibilità di pagare una sanzione in misura ridotta

Questo per sfatare il mito che i vecchi metodi siano migliori di quelli nuovi e tecnologici

Etemenanki ha scritto:Peraltro la PEC, cosi come e' stata fatta nel nostro paese, e' uno schifo (e questo, a fargli un grosso complimento), perche' contrariamente alle raccomandate cartacee NON certifica che il destinatario l'ha ricevuta, ma solo che "il server di posta elettronica" che il destinatario usa, insieme a migliaia di altri utenti, l'ha presa in carico ... un po come dire, mettiamo un bidone in mezzo alla piazza del paese, le raccomandate le buttiamo tutte li dentro, e si considerano tutte consegnate ai destinatari, anche se nessuno di loro sa di averle ricevute.

Credo che la tua affermazione abbia qualche limite:
https://www.ardesia.it/il-valore-legale ... da-sapere/

Etemenanki ha scritto:Non ho mai registrato uno SPID, perche' e' clonabile (e' gia successo)

Da quello che si dice in questa discussione, non registrando uno SPID è anche peggio, in quanto dai una possibilità in più a chi ha intenzione di registrare uno SPID a nome tuo (nel senso che avendo già una registrazione presso lo stesso ente - gli identity providers sono dodici in tutto - si presume che non se ne possa fare un'altra presso lo stesso provider).
Per quanto riguarda la PEC, dimentichi che serve anche per inviare, non solo per ricevere, e in alcuni casi svolge un ruolo essenziale (es. in caso di richiesta/revoca di un servizio alla pubblica amministrazione o anche ad una società, oppure invio di comunicazioni/contestazioni ad una banca, ecc.). In questo caso, il destinatario NON può dire di non aver ricevuto la comunicazione.
Il fatto che gli allegati di una PEC non siano certificati è facilmente risolvibile inserendo nel testo gli elementi essenziali della comunicazione, ripetuti poi in forma grafica migliore nell'allegato.

P.S.
Se proprio sei "allergico" alla PEC, la soluzione migliore è la raccomandata online di Poste Italiane, che oltre a certificare la consegna (il destinatario firma per la ricezione della parte cartacea) certifica anche il contenuto del testo e degli allegati, che Poste Italiane conserva per tre mesi nei propri archivi digitali.

Non so, ma mi pare che la PEC non abbia a che vedere col discorso della vulnerabilità dello SPID.

Saluti