Addio allo SPID, secondo Butti lo utilizzano poche persone (30 Mln).....

simonebortolin
Nel 2022 spero che gli account siano predisposti per la 2FA, se l'infrastruttura si basa su quella di Microsoft 365 allora si può usare l'app Authenticator per avere gli OTP (probabilmente idem per Google workspace).

Ma come detto da me per ora nessuno spid obbligatorio e nessuna necessità di usare OTP, poi si vedrà quando faranno cambiamenti

simonebortolin Buona parte delle università usano esse3+shibboleth tutto fatto da cineca... Manco è predisposto all'accesso via spid, han dovuto fare un accrocchio e la cosa più semplice è delegare il login 2FA a spid

Anche la mia uni utilizza esse3 fatto da cineca, da tempo hanno messo anche il log-in con lo spid (non so se sia un accrocchio oppure no).

simonebortolin Beh la circolare è di un anno fa... Sempre più università si stanno adeguando

Al massimo farò sapere se mai cambieranno qualcosa... se devono fare un log in tramite 2FA che sia tramite microsoft authenticator (o simili) a questo punto.

simonebortolin in realta' no, era equipollente pure quella (articolo 35 comma 2 D.P.R. 445/2000), c'e' solo un sacco di disinformazione in merito. Ma quelle ormai sono cmq tutte scadute...

Puoi rifiutarti di accettare la patente (o gli altri documenti infiniti della normativa di cui sopra, eccetto il passaporto ovviamente) solo se sei un agente di controllo documenti alla frontiera visto che non e' valida per l'espatrio ne' come documento di riconoscimento all'estero

simonebortolin Le patenti cartacee sono molto simpatiche..

A un controllo, un carabiniere disse a mio padre "mi dia l'altra patente" insinuando che quella che gli aveva dato fosse falsa.. Questo perché aveva guardato il numero originario della patente e non il numero sul bollino del rinnovo..
Ovviamente sono stati momenti poco divertenti, ma pensandoci ora mi fa ridere

Una settimana dopo gli è arrivata la patente di plastica come quelle di tutti ahahah

LATIITAY Quella di mio padre sarebbe stata valida ancora per 1 o 2 anni, evidentemente l'ha rinnovata proprio all'ultimo col bollino ahahah

simonebortolin No no c'è un decreto legge del 2015/6 che vieta l'uso di essa per riconoscimento... so che c'è anche tanta disinformazione dietro...

Sinceramente non mi risulta proprio, visto che anche le banche non si facevano problemi ad accettarla come documento di riconoscimento, anche oltre il 2016... In ogni caso quella a tesserino e' equipollente sicuramente ad oggi, uso sempre quella io ovunque e nessuno mi ha mai fatto problemi, non voglio certo rischiare che mi clonino la buona vecchia carta d'identita' cartacea... Finche' non scade non me la toglie nessuno, per l'identita' digitale voglio un documento fisicamente separato, non remotizzato come SPID, e soprattutto non solo contactless come CIE... ossia la TS-CNS (che e' pure totalmente gratuita per il cittadino...)

ag23900 ti davano il bollino se c'era ancora spazio, invece del foglio di rinnovo provvisorio, ma sempre in attesa della consegna della nuova patente a tesserino... Che cmq sul retro riporta anche il numero della vecchia patente scaduta (questo sempre, anche con rinnovi da tesserino a tesserino)

LATIITAY Sinceramente non mi risulta proprio, visto che anche le banche non si facevano problemi ad accettarla come documento di riconoscimento, anche oltre il 2016... In ogni caso quella a tesserino e' equipollente sicuramente ad oggi, uso sempre quella io ovunque e nessuno mi ha mai fatto problemi, non voglio certo rischiare che mi clonino la buona vecchia carta d'identita' cartacea... Finche' non scade non me la toglie nessuno, per l'identita' digitale voglio un documento fisicamente separato, non remotizzato come SPID, e soprattutto non solo contactless come CIE... ossia la TS-CNS (che e' pure totalmente gratuita per il cittadino...)

Sono abbastanza certo che nelle elezioni del 2018 in numerosi seggi si rifiutavano le patenti cartacee citando un decreto legge del 2015/6 in vigore da almeno 6-10 mesi. E nelle elezioni europee del 2019 c'era un cartello fuori da ogni singolo seggio e all'ingresso della scuola citando il decreto legge... (almeno nel mio comune e nel comune capoluogo di provincia, però era un foglio con la serigrafia del ministero)

simonebortolin La "vecchia" patente (in corso di validità, ovviamente) - che veniva rilasciata da un'amministrazione statale - è perfettamente equipollente alla carta di identità. Che io sappia non esiste alcun decreto legge che vieta il suo utilizzo come documento di riconoscimento. Se me lo trovi mi fai un grande favore perché mi sarebbe utile, oltre che per smentirmi

La diatriba - squisitamente tecnica - potrebbe nascere, invece, con la patente plastificata. Possiede tutti i requisiti indicati dall'art. 35 D.P.R. 445/200, tranne il fatto che non è rilasciata da un'amministrazione Statale, ma dalla Motorizzazione Civile (Ente Pubblico). Che forse è quello che @[cancellato] poteva intendere inizialmente.

simonebortolin Che io sappia è fabbricata dalla zecca di stato, come la CIE, quindi è rilasciata dal ministero che ha appaltato alla zecca di stato la stampa e non dal comune ecc

Negativo, sulla patente (come su tutti i documenti di riconoscimento) è indicato l'ente di rilascio. Nel caso delle nuove patenti è MCTC-xx (motorizzazione xx->provincia) o MIT-UCO (patente duplicata, Roma).

E come suggerivo prima, la motorizzazione civile non è la pubblica amministrazione, pur essendo incardinata nel Ministero dei Trasporti.

LATIITAY il fatto e' che il comma 2 di quell'articolo parla esplicitamente di patente di guida, quindi per le patenti non si applica l'ultimo punto generico per i tesserini di riconoscimento con foto e segnatura rilasciati dalle amministrazioni statali.

L'articolo 1 c.1 fornisce la definizione di documento di riconoscimento (di fatto i requisiti anche della Patente di Guida a cui mi riferivo):

c) DOCUMENTO DI RICONOSCIMENTO ogni documento munito di fotografia del titolare e rilasciato, su supporto cartaceo, magnetico o informatico, da una pubblica amministrazione italiana o di altri Stati, che consente l'identificazione personale del titolare;

Diego91 in teoria gli uffici, le direzioni, i distaccamenti, etc dei Ministeri dovrebbero essere classificati come PA, perche' facenti parte (come unita' o strutture, "sedi" se vogliamo) dei Ministeri stessi che sono organi di rilievo costituzionale e quindi sempre classificati a prescindere come Pubblica Amministrazione Centrale... A meno che non abbiano personalita' giuridica autonoma (con propri CF/PI), allora in tal caso potrebbero essere semplici enti pubblici e non amministrazioni pubbliche, sempre che non vengano pero' inclusi nell'apposito elenco Istat delle PA (ovvero rientrino cmq nei requisiti normativi per essere considerati PA).

matteoc EDIT, /OT, ok, visto ora

eutampieri l'autenticazione con CIE pero' (cosi' come con la tanto bistrattata e dimenticata ma fondamentale CNS...) puo' essere implementata senza gateway centralizzati... SPID no, invece.

Con SPID bisogna accreditarsi, pagare, e gli utenti devono pure dipendere sempre dalle terze parti private, non solo all'atto dell'emissione dell'identita' digitale ma anche ogni volta che la si vuol utilizzare.

CNS e CIE invece sono sistemi decentralizzati per natura, basati su autorita' di certificazioni (CA, e relative liste di revoca CRL) in una lista ben definita che chiunque puo' scaricare ed utilizzare per realizzare il proprio sistema decentralizzato di autenticazione con i certificati di CNS o CIE. Invece che stare a pagare per delegare, basta un cron job per tenere sincronizzate le liste (e che avvisi gli admin quando qualcosa va storto nell'aggiornamento, magari)... C'e' pure un progetto Docker dell'AgID che puo' essere utilizzato come base...

Le CA di CNS e CIE sono sempre private purtroppo (ad esempio Actalis by Aruba ha emesso il certificato della mia TS-CNS ), ma almeno il ruolo attivo di questi privati consiste solo nel generare i certificati ed eventualmente revocarli ove necessario (ad es. a seguito di denuncia di furto/smarrimento). Tali privati non hanno invece ruolo attivo nell'uso di tutti i giorni di CNS e CIE da parte degli utenti, differenza fondamentale rispetto a SPID.

Quindi insomma non e' colpa di CIE/CNS se il servizio che volevi usare centralizzava l'autenticazione addirittura attraverso il gateway eIDAS, che dovrebbe servire solo per le autenticazioni di cittadini e/o servizi esteri... (ed il gateway eIDAS italiano usa internamente le medesime liste di certificati di cui sopra per autenticare gli utenti con CIE)

eutampieri Mai speso niente

Parlavo di un servizio che vuol far autenticare utenti con SPID.

E cmq anche gli utenti devono spesso pagare, per il riconoscimento de visu ad esempio, a meno che non hanno gia' attivato la TS-CNS gratuita o altre identita' digitali, ad esempio. Anche il "famoso" SPID delle Poste oggi costa 5 Euro allo sportello, ad esempio.

eutampieri Lepida io non lo considero molto privato

Ma per usarlo devi sempre passare per un'app su piattaforma proprietaria Google o Apple. Puoi sempre bypassare l'app ed estrarre e "decifrare" il segreto TOTP, ma almeno la prima volta devi usare il dispositivo proprietario per il setup, e in futuro il sistema cerchera' cmq di comunicare ad ogni accesso SPID con il dispositivo proprietario mediante Google Firebase o Apple Push Notification Service, esponendo quindi dati personali e anche metadati (quando accedi, dove accedi) ad altre terze parti private (e pure estere...).

eutampieri Vero, devi avere le CA trusted però…

Le ho linkate prima infatti https://eidas.agid.gov.it/TL/TSL-IT.xml

eutampieri CNS e TS-CNS si, ma sei sicuro/a invece per la CIE? La mia mi sembrava fosse AgID

Per la CIE in realta' mi sta venendo il dubbio che la CA sia unica del Ministero dell'Interno... Non saprei come controllare al momento pero' non avendo CIE ne' io ne' i miei familiari

Anche se nel file delle CA ci sono queste:

C=IT, O=Ministero dell'Interno, OU=Direz. Centr. per i Servizi Demografici - CNSD, CN=National root CA for the Italian Electronic Identity Card
C=IT, O=Ministero dell'Interno, OU=Direz. Centr. per i Servizi Demografici - CNSD, CN=Issuing sub CA for the Italian Electronic Identity Card - SUBCA1
C=IT, O=Ministero dell'Interno, OU=Direz. Centr. per i Servizi Demografici - CNSD, CN=Issuing sub CA for the Italian Electronic Identity Card - SUBCA002

[cancellato] Sicuro che Actalis non abbia firmato la CA intermedia della tua Regione?

Si', sono abbastanza sicuro che Actalis gestisce la CA Cittadini del Lazio, ed ha emesso il mio certificato... Non credo si sia solo limitata a firmare la CA:

Issuer: C=IT, O=Actalis S.p.A., OU=Servizi di Certificazione, CN=Regione Lazio - CA Cittadini
Subject: C=IT, O=Actalis S.p.A., OU=REGIONE LAZIO, CN=[codicefiscale + PAN tessera sanitaria TEAM + altro ID univoco in base64], GN=[nome], SN=[cognome]

[cancellato] Sì però le liste di revoca sono un po' una presa in giro... si portano dietro un mare di altri problemi.

Si' ma infatti vanno mantenute in cache per massimo un giorno, forse anche meno, dipende da quanto "sensibile" sia il servizio che si vuol offrire (come sempre, tradeoff tra sicurezza e il resto...). L'alternativa ossia OCSP leakerebbe in tempo reale l'uso dei certificati utente alla CA, non mi piacerebbe che fosse implementata qui (e non mi risulta che lo sia, per il mio certificato ci sono CRL HTTP e CRL LDAP [!], EDIT no in realta' c'e' anche OCSP).