Spid creepshow, la sospensione

Cassandra Crossing/ Se dobbiano convivere con la Spid, è meglio conoscerne le storie più oscure.



[ZEUS News - www.zeusnews.it - 22-12-2020]

spid

Gli irriducibili 24 lettori di Cassandra ben sanno che la nostra profetessa, dopo aver mantenuto per anni una posizione fortemente critica sulla Spid, ha controvoglia iniziato a consigliarla, data la sua quasi obbligatorietà nei rapporti con le pubbliche amministrazioni.

Ma consigliare la Spid porta anche la responsabilità di dover segnalare i problemi che il suo uso spesso causa; ecco quindi una nuova serie di articoli sui lati oscuri e le sorprese che possedere una Spid può causare. Il primo articolo della serie è una storia recentissima di vita vissuta. Ma andiamo con ordine.

La Spid è un sistema centralizzato di autenticazione; per questo la sua disponibilità diventa una risorsa doppiamente critica. È critica per la nazione, perché una debacle della Spid impatta tutti i servizi delle pubbliche amministrazioni contemporaneamente; lo ha dimostrato il recente collasso di parte dell'infrastruttura Spid nazionale durante il "click-day" del cashback, come pure il precedente collasso dovuto al Bonus Mobilità.

È critica per chi la possiede; la Spid, quando diventa indispensabile, diventa critica non solo per la nazione ma anche per il singolo utente. Sì, perché i vari Pin e password per gli accessi ai siti, particolarmente delle pubbliche amministrazioni, non vengono più utilizzati, e quindi "scadono" o vengono semplicemente persi e dimenticati. E la Spid diventa, come deve, l'unica chiave di accesso al regno dei servizi pubblici.

E improvvisamente... improvvisamente Cassandra, in una tranquilla domenica, prova ad autenticarsi al sito dell'Inps con la propria Spid2, e riceve un errore criptico. Pensando che possa essere scaduta la password (ma non dovrebbe arrivare prima una mail di avviso?), o comunque successo qualcosa di strano, estrae con baldanza la smartcard della firma digitale e ripete la procedura utilizzando la sua Spid3, che non richiede nessuna password. Ooops... errore ancora più criptico del sito dell'Inps, che denuncia un inesistente timeout; autenticazione di nuovo negata.

Ohibò, esclama Cassandra, vediamo un sito diverso; ripetendo le operazioni sul sito dell'Agenzia delle Entrate (più stabile e "quadrato" di quello dell'Inps), prima con la Spid3 e poi con la Spid2 si ottengono altri due messaggi di errore di autenticazione fallita. Che qualche russo abbia compromesso le credenziali di Cassandra?

Beh, è difficile sovvertire la Spid3, comunque andiamo sul pannello di gestione delle credenziali e... sorpresa, le credenziali della Spid vengono accettate, ma si viene diretti alla maschera di cambio password forzato, perché la password sembra scaduta. La password non dovrebbe essere scaduta, perché dura 6 mesi, e perché la scadenza viene preannunciata da una mail 30 giorni prima, ma un cambio password non si nega a nessuno quindi cambiamo, click su invio e... "Operazione non consentita per password in stato sospesa".

Il messaggio dice proprio "sospesa" non scaduta. Le password "scadono", solo le credenziali vengono "sospese". E se fosse la Spid di Cassandra ad essere stata sospesa? Come mai esista la possibilità di "sospendere" la Spid e a che cosa questo serva sarà magari oggetto di un altro articolo.

Quindi la Spid è stata sospesa, ma da chi e perché? Che qualcuno sia riuscito a disabilitare la mia credenziale Spid3 e poi a entrare nel pannello di gestione della Spid indovinando o carpendo la password? Ma dovrebbe comunque usare la Spid2... I peggiori pensieri attraversano la mente di Cassandra.

Sondaggio
Fai uso del pagamento contactless?
Sì, lo trovo molto comodo.
Lascio scegliere all'esercente.
Non so cosa sia.
No, le mie carte non sono abilitate.
No, non mi fido

Mostra i risultati (2339 voti)
Leggi i commenti (21)

Dopo una serie di giri a vuoto sul sito del gestore della Spid di Cassandra, facciamo finta che sia quello di Aruba.it, approdando a pagine di informazioni tanto generiche quanto inutili, finalmente Cassandra giunge a una pagina di spiegazioni, solo apparentemente generica ma in realtà conclusiva che dettagliatamente annuncia:

Identità Digitale sospesa: procedura per la riattivazione
A seguito delle attività di monitoraggio effettuate in qualità di Gestore delle identità digitali (art. 11 del DPCM 24 ottobre 2014), abbiamo temporaneamente sospeso l'identità digitale a lei intestata.
La sospensione, eseguita a scopo cautelare, si è rivelata necessaria poiché il numero di telefono o l'indirizzo email associato alla sua identità risultano condivisi con altre identità digitali.
Le ricordiamo che l'indirizzo email e numero di cellulare rappresentano un canale di contatto riservato e importanti fattori di autenticazione che devono essere riconducibili ad un'unica persona.
Per riattivare l'identità digitale e continuare ad utilizzarla come di consueto, è necessario eseguire le operazioni descritte di seguito entro 30 giorni dal tentativo di utilizzo delle credenziali Spid successivo alla sospensione.
La informiamo che decorsi 30 giorni senza che siano state effettuate le modifiche sopra indicate, la sua identità digitale sarà revocata.

Verissimo: cellulare e mail di Cassandra, controllati e certificati, compaiono in più credenziali fin da quando sono state rilasciate, mai modificati, perfettamente regolari. Sospendere l'identità per questo senza neppure constatare che sono il numero di telefono e l'indirizzo email associato alle credenziali fin dal loro rilascio?

Se la cosa sembra sospetta può essere ragionevole sospendere la credenziale contattando subito l'interessato, lo fanno anche i gestori di carte di credito, ma sospendere l'identità senza darne comunicazione, e oltretutto revocarla permanentemente dopo 30 giorni è... lasciamo perdere ciò che direbbe Fantozzi, diciamo solo che è assurdo! Un insulto e un grave danno potenziale per il cliente.

E ora come venirne fuori? La password non può essere cambiata perché la credenziale Spid è sospesa, senza password non si possono confermare il numero di telefono e l'indirizzo di posta elettronica, e se non li si conferma non si può riattivare l'identità. Non c'è soluzione, è un incubo.

Rimangono tuttavia due possibilità, estreme ma praticabili. La prima può sembrare strana, ma è ragionevole, gratuita e abbastanza veloce; farsi un'altra Spid e aggirare il problema. Non sapevate di poter avere più di una Spid? La seconda è lunga e foriera di imprevisti; aprire un ticket all'assistenza, senza poter entrare nell'area utente, ma dovendo utilizzare il portale "generico". Un viaggio periglioso ma che potrebbe risolvere rapidamente il problema. Bene, vista la situazione, meglio fare addirittura le due cose contemporaneamente: vediamo quale finisce prima.

Dopo una mezz'ora di navigazione in un portale di customer care in cui le pagine vanno in timeout due volte su tre, riesco finalmente a postare un ticket, e passo subito a richiedere un'altra Spid, questa volta non ad Aruba ma a Poste Italiane. Utilizzando come metodo di riconoscimento la mia firma digitale, e stavolta con un po' di fortuna, riesco a richiedere la Spid, facendomi identificare tramite la firma digitale apposta sul contratto, scaricato in formato Pdf e uploadato come Pdf firmato. Vado a vedere in posta se la nuova Spid è stata rilasciata e, sorpresa, trovo un messaggio di Aruba che dice che il problema è stato risolto. Ah... ma cosa devo fare?

Cerco di tornare sul portale di assistenza clienti, e dopo un quarto d'ora di tentativi trovo la risposta del consulente che dice di avermi inviato una password temporanea. Torno nella mail. Nessuna password. Stanno invece cominciando ad arrivare le mail di Poste Italiane, che scandiscono le varie fasi del processo di rilascio della nuova Spid. Avendo scelto un riconoscimento online è tutto molto più facile e funziona anche di domenica.

Torno sul portale del customer care di Aruba, e con un ulteriore quarto d'ora di sforzi riesco ad aprire un secondo ticket di mancato arrivo password. Già che ci sono, non confermo la chiusura del primo ticket e segnalo il mancato arrivo della password anche come commento al primo ticket. Torno nella posta e trovo la mail di conferma della creazione della Spid di Poste Italiane con le istruzioni su come procedere per la prima autenticazione. Dopo poco arriva anche la password temporanea di Aruba, seguita a ruota dal secondo annuncio di risoluzione del problema.

Proviamo. Riesco a cambiare la password e a entrare nel pannello di gestione della Spid, dove scopro che nel frattempo (ma come mai?) è stata già annullata la sospensione della Spid. Che qualcuno si sia accordo dell'orrido loop che aveva creato e che inghiottiva i suoi clienti? Verifico le credenziali Spid di Aruba, che ora funzionano ambedue, e passo a creare e collaudare la nuova Spid di Poste Italiane. Dovrebbe essere velocissimo, invece ci vuole un bel po'; le procedure sono diverse e bisogna familiarizzarsi, ma dopo un'altra ora arrivo alla fine; ne riparleremo in un'altra puntata della nostra rubrica. Questo scherzo è costato mezza giornata di ambasce e lavoro.

Cosa dire, oltre che segnalare con questo articolo la situazione ad Aruba, che sarà certo in grado di riconoscere quale loro cliente si nasconde sotto l'identità di Cassandra? Che la Spid è ancora ingestibile da parte di utenti che non siano naviganti di vecchia data, smaliziati e induriti nell'uso quotidiano della Rete e nella frequentazione di help desk? Che la Spid non è un posto per vecchi pensionati? Troppo ovvio.

Sottolineiamo invece che Cassandra, come qualunque altro utente Spid, avrebbe dovuto prevedere la possibilità di imprevisti; dopotutto la qualità e l'affidabilità dei servizi informatici nel Belpaese non sono mai state particolarmente buone. Quindi avere una seconda Spid con un diverso fornitore diventa necessario. Perché? Per non dipendere da una singola credenziale che può essere improvvisamente "vittima" di errori dell'utente (non è questo il caso) oppure di problemi del fornitore (è proprio questo il caso).

Altrettanto vale per un'altra risorsa informatica che può divenire indispensabile e critica: la firma digitale. Cosa succede se il vostro dispositivo di firma si guasta, o vi accorgete di averlo smarrito, quando vi apprestate ad apporre una firma urgente? Potenzialmente una tragedia. Magari sforate senza rimedio un termine per depositare una perizia o rispondere a un bando di gara. Possedendo una seconda firma digitale, proprio come una seconda Spid, è invece possibile utilizzare quella "di scorta" e poi, con calma, ripristinare quella che ha fallito.

Quindi, fatelo! Fatevi (orrore!) non una sola Spid ma due. E fatevi anche due dispositivi di firma digitale, non uno. Oltretutto, la Spid2 è ancora gratis fino a fine 2020, e con certi fornitori anche la Spid3. Quindi non una Spid, ma due, sono la soluzione in questo Paese dove l'informatica è spesso fatta di servizi mal realizzati e trappole rivestite di buone intenzioni.

Poi non dite che Cassandra non vi aveva avvertito.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
SPID con le Poste, il riconoscimento adesso si paga
Guerra Fredda nell'Internet delle Cose

Commenti all'articolo (ultimi 5 di 21)

Infatti la CIE con lo smartphone si usa scaricando la app CieID e abilitando NFC poi si effettua la procedura di abbinamento fra lo smartphone e la CIE.
1-5-2021 14:22

Mai sentito parlare di NFC? La CIE si usa così. Buona fortuna!
28-4-2021 10:56

Ma no, lo SPID raramente mi ha dato problemi, e non ho nessuna intenzione di portarmi in giro un lettore di smartcard. E poi come usi la CIE con lo smartphone? Leggi tutto
6-2-2021 21:40

Personalmente ho uno SPID di livello 2 OTP Mobile e non ho mai avuto problemi ne con l'attivazione ne con il funzionamento nell'uso dello SPID stesso, sarò stato più fortunato di altri, almeno fino ad ora. Spero continui così.
6-2-2021 14:02

{Ruz}
Carta di identita' elettronica con pin per convalida, con verifica di secondo livello via QRCode o SMS. Lo SPID quando serve non funziona mai, un ministero che non funziona "fisicamente" continuera' a non funzionare anche sul cloud.
3-2-2021 10:46

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te, come nascono la maggior parte delle bufale che girano su Internet?
Come scherzi rivolti esclusivamente ad amici e conoscenti (che poi involontariamente li propagano in giro)
Dalla "buona volontà" di persone che credono di fare un favore al mondo diffondendo dicerie e stranezze dandole automaticamente per buone
Dalla curiosità di vedere se una propria invenzione possa diventare "famosa" sulla rete, ma anche quanta gente ci arriverà a credere e con che velocità si propagherà
Dalla volontà di creare disinformazione su determinati argomenti
Altro (specificare)

Mostra i risultati (2260 voti)
Dicembre 2021
Perché Intel accumula hardware obsoleto in Costa Rica?
Antitrust, 30 aziende contro Microsoft per colpa di OneDrive
Novembre 2021
L'app va in crash, e la Tesla non parte più
La Rete telefonica italiana agli americani di KKR
Se il furgone di Amazon ti tampona... la colpa è di Amazon!
Il Blue Screen of Death... ritorna blu
MediaWorld sotto attacco ransomware: hacker vogliono 200 milioni in bitcoin
SPID con le Poste, il riconoscimento adesso si paga
Facebook rinuncia ufficialmente al riconoscimento facciale
Ottobre 2021
Il Nobel ad Assange
Windows 11, finalmente si possono eseguire anche le app Android
FreeOffice 2021, la suite gratuita compatibile con Microsoft Office
Apple presenta i MacBook Pro con il notch
UE, addio all'anonimato per i domini Internet
Windows 11 è disponibile. Ecco come installarlo anche senza TPM
Tutti gli Arretrati
Accadde oggi - 6 dicembre


web metrics