ABBIAMO ANCHE UN NOSTRO SUBREDDIT 👽, MA PREFERIAMO FEDDIT

Quale SPID scegliere?

Ultimo aggiornamento: 11 Febbraio, 2022

Questo su SPID è uno degli articoli che più ci avete richiesto nel corso di questi mesi. Quale SPID scegliere è infatti una delle domande più ricorrenti sul nostro gruppo Telegram. Vi accontentiamo e lo facciamo a modo nostro, cercheremo infatti di capire quale può essere lo SPID più interessante da fare.

Partiamo da un presupposto importante che non tutti conoscono. Potete avere tutti gli SPID che volete. Se avete già creato un vostro account SPID su un qualunque gestore potrete comunque crearne un altro da un’altra parte. Non è vietato, non è contro le policy di nessuno, non è illegale ed è perfettamente consentito.

Infatti lo SPID serve solo a riconoscere la vostra identità e per farlo potete utilizzare uno dei tanti provider.

Alcuni punti importanti, prima di iniziare con i suggerimenti:

  • se avete dubbi sullo SPID vi consigliamo la lettura di queste FAQ scritte da Stefano Quintarelli, uno dei creatori del sistema SPID;
  • esistono tre livelli di sicurezza. Non tutti i provider offrono tutti e tre i livelli di sicurezza. In base all’operazione e al servizio che dovete accedere potrebbe esservi richiesto l’accesso con diversi di livelli di sicurezza. Non è detto che abbiate sempre la necessità di accedere con il livello massimo (il livello 3);
  • la nostra non sarà una guida né un’analisi tecnica su quali protocolli vengono utilizzati o un audit di sicurezza nei confronti dei vari provider. Qualcosa di simile l’ha già fatto Giorgio Bonfiglio QUI (link Nitter) e il suo thread vale sicuramente la pena di essere letto anche se qualcosa potrebbe essere cambiato (risale all’anno scorso);
  • la nostra sarà una guida più leggera. Come sapete il pubblico a cui ci rivolgiamo non è fatto di tecnici ed esperti e vogliamo solo assicurarci di essere capiti da tutti. Parleremo di come ottenere i vari SPID e se le loro applicazioni funzionano o meno su telefoni degooglizzati e se contengono traccianti.

Tutti i provider SPID richiedono per le operazioni la creazione di un codice OTP. L’unico provider, ad oggi, che permette l’utilizzo di un token fisico per la creazione di questo codice è Aruba. Questa parte di articolo è stata di recente modificata grazie alla segnalazione di Marco Calamari.

Gli altri provider invece richiedono l’installazione della loro applicazione oppure (solo alcuni) l’invio di un SMS. Questo è un grande difetto al quale il Governo poteva (e probabilmente può ancora) trovare una soluzione. Una soluzione potrebbe essere chiedere di non vincolare l’OTP alla propria applicazione e di rilasciare il codice per usarlo su qualsiasi Authenticator ma più semplicemente forse si potrebbero obbligare i provider a fornire (gratuitamente o meno) i token fisici.

La necessità di utilizzare una loro applicazione per la creazione del codice OTP non è sinonimo di maggiore sicurezza. È stato dimostrato infatti che l’algoritmo utilizzato, quantomeno da Aruba e Lepida (e verosimilmente anche da tutti gli altri), è sempre lo stesso 1 ovvero l’algoritmo TOTP.

Non c’è dunque nessuna motivazione di sicurezza dietro questa scelta scellerata ma solo evidentemente la necessità di mantenere gli utenti attaccati alle varie applicazioni proprietarie. Applicazioni che però potrebbero non funzionare su smartphone degooglizzati e che sono letteralmente superflue se lo scopo è solo quello di generare un codice che potrebbe essere generato da qualsiasi applicazione libera come ad esempio Aegis Authenticator. È anche per questo che scriviamo questo articolo: cosicché possiate scegliere l’applicazione meno impattante dal punto di vista dei traccianti e dell’usabilità.

Se siete esperti potete dare un occhio a questa (link Teddit) e a quest’altra (link Archive) guida dove viene spiegato per filo e per segno come utilizzare la propria applicazione per i codici OTP senza assurdi vincoli proprietari. Questo invece è uno script per Aruba.

Quale SPID scegliere?

Per stilare la lista abbiamo usato il sito ufficiale del Governo sullo SPID che però non sembra essere aggiornato costantemente. Abbiamo dunque cercato anche di documentarci sui singoli siti per capirne un po’ di più.

Attenzione: se state cercando un modo per utilizzare lo SPID2 senza installare alcuna applicazione né ricevere SMS allora dovete rivolgervi ad Aruba con il suo token fisico. Attualmente è l‘unico provider a proporlo.

Se utilizzate uno di questi provider e abbiamo scritto qualcosa di non corretto, segnalatecelo pure. Iniziamo in ordine alfabetico:

Aruba

Aruba permette accedere a tutti e tre i livelli di sicurezza. Potete effettuare il riconoscimento online gratuitamente. Una delle caratteristiche più interessanti per chi non vuole installare applicazioni è che viene data, a pagamento, la possibilità di usare un token fisico per i codici OTP.
L’applicazione Aruba OTP contiene 2 traccianti: Google CrashLytics e Google Firebase Analytics 2 e sembra funzionare bene su smartphone degoolizzati.

Disponibile token fisico, a pagamento, al posto dell’applicazione
Applicazione contiene 2 traccianti e richiede 10 permessi
No SMS per il codice OTP

Infocert

Da quanto abbiamo potuto capire la versione gratuita di Infocert permette di arrivare solo fino al livello di sicurezza 2 mentre, a pagamento, si può ottenere il livello di sicurezza 3. Il riconoscimento si può fare online. È necessario installare la loro applicazione per il codice OTP. L’applicazione contiene 3 traccianti: Google CrashLytics, Google Firebase Analytics e New Relic 3. Sembra funzionare su smartphone degoogleizzati.

Applicazione contiene 3 traccianti e richiede 27 permessi
SMS per codice OTP a pagamento

Intesa ID

Con Intesa ID si può arrivare fino al livello 3 di sicurezza secondo il sito del Governo 4 ma sul manuale Intesa ID c’è scritto che il terzo livello non è ancora implementato 5. Il riconoscimento è possibile farlo gratuitamente online solo se si è in possesso di una Firma Elettronica Qualificata. In alternativa si devono pagare quasi 30€. Il codice OTP sembra disponibile solo via SMS e sembra essere gratuito.

Codice OTP via SMS gratuitamente (da verificare e confermare)

Lepida ID

Si può arrivare solo al livello 2 di sicurezza, ci si può far riconoscere gratuitamente con diversi metodi online oppure, via webcam, a pagamento. La loro applicazione è l’unica senza alcun tracciante 6 e sembra funzionare su smartphone degoogleizzati. Si possono anche usare gli SMS per ricevere i codici OTP ma gratuiti sono solo 4 a quadrimestre.

Applicazione non contiene traccianti e richiede 4 permessi
4 SMS gratuiti a quadrimestre, gli altri a pagamento

Namirial ID

Anche in questo caso si può arrivare solamente al livello 2 di sicurezza. Il riconoscimento è gratuito online se si ha a disposizione la Carta di Identità Elettronica o altri servizi simili, oppure si può fare via webcam a pagamento. La loro applicazione contiene 2 traccianti: Google CrashLytics e Google Firebase Analytics e chiede 10 permessi per funzionare 7 e sembra funzionare su smartphone degoogleizzati. L’invio del codice OTP via SMS sembra essere gratuito anche se non è esplicitamente scritto.

Applicazione contiene 2 traccianti e richiede 10 permessi
Codice OTP via SMS gratuitamente

Poste ID

Tre livelli di sicurezza per le Poste, riconoscimento gratuito con diversi metodi oppure a pagamento presso gli Uffici Postali. L’applicazione contiene 3 traccianti: Google Experience Cloud, Google CrashLytics e Google Firebase Analytics e richiede 17 permessi 8. Funziona su smartphone degooglizzati. Il codice OTP si può ricevere anche via SMS anche se non è del tutto chiaro se e quanti gratuiti se ne possono ricevere. Grazie ad una vostra segnalazione 9 scopriamo che dal 9 Marzo 2022 sarà ripristinato il limite di 8 accessi a trimestre con codice SMS 10. Solo chi ha più di 75 anni potrà utilizzare gli SMS senza limiti.

Applicazione contiene 3 traccianti e richiede 17 permessi
Codice OTP via SMS con limite 8 accessi a trimestre

Sielte ID

Anche per Sielte sono 3 i livelli di sicurezza. La registrazione online è gratuita, quella via webcam è gratuita (ma ci sono pochi disponibili) oppure a pagamento per via prioritaria. Ci si può però identificare anche di persona gratuitamente. L’applicazione contiene 1 tracciante: Google Firebase Analytics e richiede 13 permessi per funzionare 11. Offrono pochi SMS gratuiti per ricevere il codice OTP, se li si vogliono usare con costanza si devono pagare.

Applicazione contiene 1 tracciante e richiede 13 permessi
Qualche codice OTP via SMS gratuito, gli altri a pagamento

SPID Italia

Un servizio offerto da Register, si può arrivare fino a 3 livelli di sicurezza (il terzo è a pagamento). Ci si può far riconoscere gratuitamente con la Carta Nazionale dei Servizi o la Firma Digitale, mentre il servizio via webcam è a pagamento (49€). Il codice OTP, da quanto abbiamo capito, può arrivare solo via SMS ed è gratuito.

Codice OTP via SMS gratuitamente

TIM ID

TIM ID offre fino a 2 livelli di sicurezza. Il riconoscimento può avvenire gratuitamente online (con Firma Digitale o Carta Nazionale dei Servizi) e di persona. Oppure via webcam a pagamento. Non ci sembra sia prevista un’applicazione e i codici OTP arrivano gratuitamente e via SMS.

Codice OTP via SMS gratuitamente

Speriamo dunque che questa guida su quale SPID scegliere torni utile a qualcuno se vi va di darci qualche suggerimento o idea vi aspettiamo su Codeberg oppure su Telegram o su Matrix.

Hai domande o qualche commento su questo articolo? Puoi parlarne su Feddit, un'alternativa italiana e decentralizzata a Reddit gestita da noi: clicca qui!

  1. SPID e Google Authenticator. Quando l’interoperabilità viene ostacolata di proposito[]
  2. Rapporto Exodus su Aruba OTP[]
  3. Rapporto Exodus su MyInfoCert[]
  4. Come scegliere tra i gestori di identità digitale, Archive[]
  5. D.7.3. Livello 3 SPID – Pagina 19[]
  6. Rapporto Exodus su Lepida ID[]
  7. Rapporto Exodus su Namirial OTP[]
  8. Rapporto Exodus su PosteID[]
  9. Segnalazione su Telegram[]
  10. Avviso di PosteID[]
  11. Rapporto Exodus su MySielteID[]

Se ti piace il nostro lavoro da oggi puoi anche donare grazie!

Aiutaci a condividere privacy

Di skariko

Autore ed amministratore del progetto web LeAlternative

Novità!

Da oggi puoi seguire e soprattutto commentare Le Alternative sul fediverso! Se hai un account Mastodon, Pleroma, Friendica, Hubzilla, PixelFed, SocialHome, Misskey puoi seguire l'autore skariko cercando @skariko@www.lealternative.net.

Dopo averlo seguito potrai trovare i post (non quelli precedenti alla tua iscrizione) e commentarli. Il commento che farai si vedrà automaticamente anche qui permettendo così una grande e bellissima condivisione anche con il fediverso.

TRE ARTICOLI RANDOM