Quale SPID scegliere?

Questo su SPID è uno degli articoli che più ci avete richiesto nel corso di questi mesi. Quale SPID scegliere è infatti una delle domande più ricorrenti sul nostro gruppo Telegram. Vi accontentiamo e lo facciamo a modo nostro, cercheremo infatti di capire quale può essere lo SPID più interessante da fare.

Partiamo da un presupposto importante che non tutti conoscono. Potete avere tutti gli SPID che volete. Se avete già creato un vostro account SPID su un qualunque gestore potrete comunque crearne un altro da un’altra parte. Non è vietato, non è contro le policy di nessuno, non è illegale ed è perfettamente consentito.

Infatti lo SPID serve solo a riconoscere la vostra identità e per farlo potete utilizzare uno dei tanti provider.

Alcuni punti importanti, prima di iniziare con i suggerimenti:

• se avete dubbi sullo SPID vi consigliamo la lettura di queste FAQ scritte da Stefano Quintarelli, uno dei creatori del sistema SPID;

• esistono tre livelli di sicurezza. Non tutti i provider offrono tutti e tre i livelli di sicurezza. In base all’operazione e al servizio che dovete accedere potrebbe esservi richiesto l’accesso con diversi livelli di sicurezza. Non è detto che abbiate sempre la necessità di accedere con il livello massimo (il livello 3);

• la nostra non sarà una guida né un’analisi tecnica su quali protocolli vengono utilizzati o un audit di sicurezza nei confronti dei vari provider. Qualcosa di simile l’ha già fatto Giorgio Bonfiglio QUI (link Nitter) e il suo thread vale sicuramente la pena di essere letto anche se qualcosa potrebbe essere cambiato (risale all’anno scorso);

• la nostra sarà una guida più leggera. Come sapete il pubblico a cui ci rivolgiamo non è fatto di tecnici ed esperti e vogliamo solo assicurarci di essere capiti da tutti. Parleremo di come ottenere i vari SPID e se le loro applicazioni funzionano o meno su telefoni degooglizzati e se contengono traccianti.

Tutti i provider SPID richiedono per le operazioni la creazione di un codice OTP. L’unico provider, ad oggi, che permette l’utilizzo di un token fisico per la creazione di questo codice è Aruba. Questa parte di articolo è stata di recente modificata grazie alla segnalazione di Marco Calamari.

Gli altri provider invece richiedono l’installazione della loro applicazione oppure (solo alcuni) l’invio di un SMS. Questo è un grande difetto al quale il Governo poteva (e probabilmente può ancora) trovare una soluzione. Una soluzione potrebbe essere chiedere di non vincolare l’OTP alla propria applicazione e di rilasciare il codice per usarlo su qualsiasi Authenticator ma più semplicemente forse si potrebbero obbligare i provider a fornire (gratuitamente o meno) i token fisici.

La necessità di utilizzare una loro applicazione per la creazione del codice OTP non è sinonimo di maggiore sicurezza. È stato dimostrato infatti che l’algoritmo utilizzato, quantomeno da Aruba e Lepida (e verosimilmente anche da tutti gli altri), è sempre lo stesso ¹ ovvero l’algoritmo TOTP.

Non c’è dunque nessuna motivazione di sicurezza dietro questa scelta scellerata ma solo evidentemente la necessità di mantenere gli utenti attaccati alle varie applicazioni proprietarie. Applicazioni che però potrebbero non funzionare su smartphone degooglizzati e che sono letteralmente superflue se lo scopo è solo quello di generare un codice che potrebbe essere generato da qualsiasi applicazione libera come ad esempio Aegis Authenticator. È anche per questo che scriviamo questo articolo: cosicché possiate scegliere l’applicazione meno impattante dal punto di vista dei traccianti e dell’usabilità.

Se siete esperti potete dare un occhio a questa (link Teddit) e a quest’altra (link Archive) guida dove viene spiegato per filo e per segno come utilizzare la propria applicazione per i codici OTP senza assurdi vincoli proprietari. Questo invece è uno script per Aruba.

Di recente, aggiungiamo, è stata introdotta la possibilità di registrarsi come SPID livello 2 identificandosi tramite la CIE (Carta di identità elettronica), il CNS (Carta Nazionale dei Servizi) oppure la firma digitale.

Quale SPID scegliere?

Per stilare la lista abbiamo usato il sito ufficiale del Governo sullo SPID che però non sembra essere aggiornato costantemente. Abbiamo dunque cercato anche di documentarci sui singoli siti per capirne un po’ di più.

Attenzione: se state cercando un modo per utilizzare lo SPID2 senza installare alcuna applicazione né ricevere SMS allora dovete rivolgervi ad Aruba con il suo token fisico. Attualmente è l‘unico provider a proporlo.

Se utilizzate uno di questi provider e abbiamo scritto qualcosa di non corretto, segnalatecelo pure. Iniziamo in ordine alfabetico:

Aruba

disponibile token fisico, a pagamento, al posto dell’applicazione
applicazione contiene 2 traccianti e richiede 10 permessi
no SMS per il codice OTP
3 livelli di sicurezza

Aruba permette accedere a tutti e tre i livelli di sicurezza. Potete effettuare il riconoscimento online gratuitamente. Una delle caratteristiche più interessanti per chi non vuole installare applicazioni è che viene data, a pagamento, la possibilità di usare un token fisico per i codici OTP.
L’applicazione Aruba OTP contiene 2 traccianti: Google CrashLytics e Google Firebase Analytics ² e sembra funzionare bene su smartphone degoolizzati.

Infocert

applicazione contiene 3 traccianti e richiede 27 permessi
SMS per codice OTP a pagamento
2 livelli di sicurezza

Da quanto abbiamo potuto capire la versione gratuita di Infocert permette di arrivare solo fino al livello di sicurezza 2 mentre, a pagamento, si può ottenere il livello di sicurezza 3. Il riconoscimento si può fare online. È necessario installare la loro applicazione per il codice OTP. L’applicazione contiene 3 traccianti: Google CrashLytics, Google Firebase Analytics e New Relic ³. Sembra funzionare su smartphone degoogleizzati.

Lepida ID

applicazione non contiene traccianti e richiede 4 permessi
4 SMS gratuiti a quadrimestre, gli altri a pagamento
2 livelli di sicurezza

Si può arrivare solo al livello 2 di sicurezza, ci si può far riconoscere gratuitamente con diversi metodi online oppure, via webcam, a pagamento. La loro applicazione è l’unica senza alcun tracciante ⁴ e sembra funzionare su smartphone degoogleizzati. Si possono anche usare gli SMS per ricevere i codici OTP ma gratuiti sono solo 4 a quadrimestre.

Namirial ID

applicazione contiene 2 traccianti e richiede 10 permessi
codice OTP via SMS gratuitamente
2 livelli di sicurezza

Anche in questo caso si può arrivare solamente al livello 2 di sicurezza. Il riconoscimento è gratuito online se si ha a disposizione la Carta di Identità Elettronica o altri servizi simili, oppure si può fare via webcam a pagamento. La loro applicazione contiene 2 traccianti: Google CrashLytics e Google Firebase Analytics e chiede 10 permessi per funzionare ⁵ e sembra funzionare su smartphone degoogleizzati. L’invio del codice OTP via SMS sembra essere gratuito anche se non è esplicitamente scritto.

Poste ID

applicazione contiene 3 traccianti e richiede 17 permessi
codice OTP via SMS con limite 8 accessi a trimestre
3 livelli di sicurezza
non funziona senza i servizi di Google attivi

Tre livelli di sicurezza per le Poste, riconoscimento gratuito con diversi metodi oppure a pagamento presso gli Uffici Postali. L’applicazione contiene 3 traccianti: Google Experience Cloud, Google CrashLytics e Google Firebase Analytics e richiede 17 permessi ⁶. Funziona su smartphone degooglizzati Non funziona su smartphone completamente degooglizzati, cioè senza microG e senza Play Services. Funziona invece con smartphone che hanno installato microG. Grazie ad una vostra segnalazione ⁷ scopriamo che dal 9 Marzo 2022 sarà ripristinato il limite di 8 accessi a trimestre con codice SMS ⁸. Solo chi ha più di 75 anni potrà utilizzare gli SMS senza limiti.

Come segnalato su Codeberg ⁹ l’utilizzo degli SMS potrebbe essere un po’ caotico: L’OTP tramite SMS a quanto pare è disabilitato di default su alcuni portali (tipo quelli della PA). Si può attivare loggandosi nella propria area utente PosteID da Browser. La foto in allegato indica la sezione del livello 2 con SMS, che sarà contrassegnato “da attivare” e sarà appunto attivabile tramite la voce evidenziata all’interno del riquadro.

Per i più esperti è possibile utilizzare il progetto libero spostid-cli: Spostid-cli è un client per il servizio PosteID delle Poste Italiane che permette di utilizzare il servizio ad esempio per fare login tramite lo SPID delle Poste oppure accettare/rifiutare le richieste di autenticazione. La differenza con l’omonimo client ufficiale è che è software libero e che si usa da linea di comando es scritto in GO.

Sielte ID

applicazione contiene 1 tracciante e richiede 13 permessi
qualche codice OTP via SMS gratuito, gli altri a pagamento
3 livelli di sicurezza
funziona senza i servizi di Google attivi

Anche per Sielte sono 3 i livelli di sicurezza. La registrazione online è gratuita, quella via webcam è gratuita (ma ci sono pochi disponibili) oppure a pagamento per via prioritaria. Ci si può però identificare anche di persona gratuitamente. L’applicazione contiene 1 tracciante: Google Firebase Analytics e richiede 13 permessi per funzionare ¹⁰. Offrono pochi SMS gratuiti per ricevere il codice OTP, se li si vogliono usare con costanza si devono pagare.

SPID Italia

codice OTP via SMS a pagamento
3 livelli di sicurezza

Un servizio offerto da Register, si può arrivare fino a 3 livelli di sicurezza (il terzo è a pagamento). Ci si può far riconoscere gratuitamente con la Carta Nazionale dei Servizi o la Firma Digitale, mentre il servizio via webcam è a pagamento (49€). Il codice OTP si può attivare a pagamento (30€).

TIM ID

codice OTP via SMS gratuitamente
2 livelli di sicurezza

TIM ID offre fino a 2 livelli di sicurezza. Il riconoscimento può avvenire gratuitamente online (con Firma Digitale o Carta Nazionale dei Servizi) e di persona. Oppure via webcam a pagamento. Non ci sembra sia prevista un’applicazione e i codici OTP arrivano gratuitamente e via SMS.

Speriamo dunque che questa guida su quale SPID scegliere torni utile a qualcuno se vi va di darci qualche suggerimento o idea vi aspettiamo su Codeberg oppure su Telegram o su Matrix.

1. SPID e Google Authenticator. Quando l’interoperabilità viene ostacolata di proposito[↩]
2. Rapporto Exodus su Aruba OTP[↩]
3. Rapporto Exodus su MyInfoCert[↩]
4. Rapporto Exodus su Lepida ID[↩]
5. Rapporto Exodus su Namirial OTP[↩]
6. Rapporto Exodus su PosteID[↩]
7. Segnalazione su Telegram[↩]
8. Avviso di PosteID[↩]
9. Segnalazione su Codeberg[↩]
10. Rapporto Exodus su MySielteID[↩]

Unisciti alle comunità