I problemi dello SPID.
Come accennato nel post precedente, SPID funziona – e continuerà a funzionare – come enabler. E anche con un certo successo, su questo non ho dubbi. Tuttavia, non potrà mai essere ciò che dichiara di voler essere: un servizio di identità elettronica a tutto tondo, adatto a ogni cittadino e a ogni uso.
Il Problema di Fondo: Architettura Irrimediabile
L'attuale implementazione presenta difetti congeniti:
- È progettato come strumento abilitante, per una serie di servizi , non come sistema identitario completo
- Anche se migrasse su un'architettura europea (cosa sulla quale nutro forti dubbi)
- Rimarrà comunque inadeguato per un uso universale
Il Grande Inganno del “Costo Zero per lo Stato”
Dallo slogan populista alla doppia tassazione: come SPID sta facendo pagare i cittadini due volte
Il primo grave problema risiede nella formula truffaldina del “nessun costo aggiuntivo per lo Stato”, che nasconde una realtà ben più amara:
La trappola dei gestori privati
- 2021: A soli 3 anni dal lancio, i gestori (Poste, TIM, ecc.) hanno già chiesto 50 milioni di euro di rimborsi allo Stato
- 2023: Nuova richiesta di 30 milioni per “adeguamenti tecnologici”
- Ma contemporaneamente...
- 2021: A soli 3 anni dal lancio, i gestori (Poste, TIM, ecc.) hanno già chiesto 50 milioni di euro di rimborsi allo Stato
Il canone nascosto ai cittadini
- Costo medio per utente: 15-40€/anno tra:
- Verifiche d'identità a pagamento (fino a 20€)
- Tariffe aggiuntive per livelli di sicurezza superiori
- Costi indiretti (es. commissioni bancarie per attivazione)
- Verifiche d'identità a pagamento (fino a 20€)
- Particolarmente odioso: chi non paga non accede a servizi essenziali (INPS, Agenzia Entrate, ecc.)
- Costo medio per utente: 15-40€/anno tra:
La doppia beffa
- Lo Stato ha già speso 120 milioni per sviluppare SPID
- Ora paga altri 80 milioni in sussidi ai privati
- Mentre i cittadini pagano il canone di fatto
- Totale: 200+ milioni di euro pubblici + 500+ milioni privati
- Lo Stato ha già speso 120 milioni per sviluppare SPID
L'Aggravante Finale
Quando anche l'Europa si è accorta della truffa
Nel 2022 l'UE ha aperto una procedura d'infrazione proprio per:
– Discriminazione (chi non paga è escluso)
– Violazione del principio “no profit” per i servizi pubblici essenziali
Eppure, il sistema continua imperterrito a far pagare tutti due volte.
SPID: Quando l'Enabler Diventa un Blocco
L'assurdo paradosso di un “diritto digitale” che dipende da servizi a pagamento
Lo SPID ha indubbiamente un valore come esperimento tecnico e come enabler per certi servizi. Ma qui nasce il problema fondamentale:
1. La Contraddizione di Base
- Dovrebbe essere l'equivalente digitale della carta d'identità (universale e gratuita)
- In realtà è un servizio condizionato da:
- Possesso di strumenti bancari (carte di credito)
- Capacità di sostenere costi aggiuntivi
- Accesso a intermediari privati
- Possesso di strumenti bancari (carte di credito)
Esempio concreto:
Immaginate di andare a fare la carta d'identità e scoprire che:
- Vi serve una AMEX/VISA/Mastercard per completare il processo
- Se non avete credito presso le banche, non potete averla
- Se falliti, siete esclusi automaticamente
Eppure, con SPID, questo è esattamente ciò che accade.
2. L'Esclusione di Fatto
Chi rimane fuori?
- I non bancarizzati (circa 1,5 milioni di italiani)
- I falliti (impossibilitati ad avere carte di credito)
- Gli anziani senza strumenti digitali
- I cittadini a basso reddito che non possono permettersi i costi aggiuntivi
Risultato:
Un servizio che dovrebbe essere universale diventa un privilegio per chi ha conti in banca e carta di credito.
3. La Mia Esperienza Personale (Esempio Lampante)
Da cittadino AIRE e poi residente all'estero, ho dovuto:
- Perdere giorni di ferie per burocrazia consolare
- Usare l'email (sicurissima, vero?) come canale di verifica
- Affrontare un processo kafkiano che nessun italiano dovrebbe subire per un diritto fondamentale
4. La Domanda Senza Risposta
Perché un servizio anagrafico deve dipendere da:
– Carte di credito (controllate da privati)
– Costi nascosti (15-40€/anno)
– Intermediari commerciali?
Se è un diritto, deve essere garantito a tutti.
Se è un servizio a pagamento, allora non è un diritto.
Non può essere entrambe le cose.
Il “Successo” di SPID: Un Trionfo Senza Alternative
Celebrare SPID perché “meglio di niente” è la resa definitiva al minimalismo digitale
Il presunto successo di SPID va letto nella giusta prospettiva:
1. Il Paradosso del Successo Obbligato
- Numeri impressionanti? Certo, con:
- Zero alternative pubbliche
- Servizi essenziali vincolati solo a SPID
- Una popolazione affamata di digitalizzazione
- Zero alternative pubbliche
- È come vantarsi di avere , al mattino, la cella più affollata del carcere
Una situazione
– Dove il bisogno disperato viene scambiato per successo
3. Il Verdetto Finale
- Ha funzionato? Tecnicamente sì, come un treno che deraglia subito dopo essere arrivato in orario.
- È un modello da replicare? Solo se vogliamo normalizzare l'emergenza
- L'Europa ci guarda? Sì, come si guarda un esperimento sociale fallito ma intrigante
La vera domanda è:
Accetteremmo mai un'“anagrafe cartacea a pagamento”? Allora perché l'abbiamo accettata in digitale?
La Sindrome del “Digitalico”
Come il pregiudizio anti-digitale ha distorto lo sviluppo di SPID
La radice del problema sta in un'incomprensione culturale ancora dominante:
1. La Mentalità del “Premium Volontario”
- Il digitale visto come:
- Accessorio per “nerd radical-chic”
- Lusso da “pervertiti tecnologici”
- Non un diritto, ma un “giocattolo per smanettoni”
- Accessorio per “nerd radical-chic”
- Risultato:
> “Vuoi il dildo di Cicciolina? Paga per la tua lussuria digitale!”
2. L'Errore Fatali di SPID
Si è adattato a questa visione obsoleta diventando:
– Un optional a pagamento, non un servizio universale
– Un privilegio per chi ha carte di credito, non un diritto per tutti
– Un sistema “fighetto” per chi può permetterselo, non l'infrastruttura pubblica che dovrebbe essere
3. La Grande Ipocrisia
Nessuno osa dire chiaramente che:
– L'anagrafe digitale è anagrafe, punto
– Non può dipendere da:
– Carte di credito private
– Intermediari commerciali
– Logiche da “club esclusivo”
EUDI Wallet: L'Eterno Domani Digitale
Tra promesse europee e realtà italiane: perché il “nuovo” SPID resterà vecchio
1. La Favola dello “SPID Europeo”
Quando si critica SPID, la risposta magica è sempre:
> “Pazienza, arriva l'EUDI Wallet!”
Realtà dei fatti:
– Previsto per il 2026 (ma l'euro digitale doveva partire nel 2024 e non esiste)
– Già in ritardo prima ancora di nascere
– Nessuna garanzia che risolverà i problemi di SPID
2. Il Trucco del “Tutto Cambia per Non Cambiare Nulla”
Anche se EUDI dovesse davvero arrivare:
- In Italia verrà semplicemente sovrapposto a SPID
- Stessi gestori privati
- Stessi meccanismi di accesso (carte di credito, costi nascosti)
- Stessa architettura farraginosa
Esattamente come:
> “Cambiare il cuscino a un letto di spine e chiamarlo 'riforma strutturale'”
3. L'Amara Verità
SPID è come un parassita:
1. Si attacca alle istituzioni
2. Diventa impossibile da estirpare
3. Mutando forma (in “EUDI”) sopravvive comunque
Come se non bastasse, SPID viene venduto come genialata, come servizio “avveniristico” nel quale l'italia sarebbe “arrivata per prima”. Non e' vero, inutile dirlo.
| Paese | Sistema di Identità Digitale | Data di Lancio |
|---|---|---|
| Italia | SPID, CIE | 2016 (SPID) |
| Germania | eID | 2010 |
| Francia | FranceConnect | 2016 |
| Danimarca | NemID/MitID | 2007 (NemID), 2023 (MitID) |
| Paesi Bassi | DigiD | 2003 |
| Spagna | DNIe | 2006 |
| Belgio | itsme® | 2017 |
| Svezia | BankID | 2003 |
| Norvegia | BankID | 2003 |
| Estonia | e-Residency/eID | 2002 |
Ricordatevene quando ve ne parleranno come “eccellenza italiana” che tutti vi invidiano.
SPID Svelato: L'OTP con la Cravatta
Tecnicamente banale, politicamente controverso
1. La Cruda Definizione Tecnica
SPID è fondamentalmente:
– Un seme crittografico (certificato e associato alla tua identità)
– Un generatore di OTP (quel numerello che cambia ogni 30 secondi)
– Un fattore MFA (Multi-Factor Authentication) per accedere ai servizi
– Un sistema di credenziali, nel caso di OTP piu' username e password.
In parole povere:
> Un'autenticazione a due fattori con la firma dello Stato
2. Il Mistero della “Superiorità Inesistente”
Dal punto di vista tecnologico:
| SPID | Google Authenticator | Facebook/Google OAuth2 + MFA |
|---|---|---|
| Usa OTP | Usa OTP | Usa OTP + protocolli standard |
| Livello sicurezza: identico | Livello sicurezza: identico | Livello sicurezza: identico |
Dove sta la differenza?
– Nella burocrazia (l'identità è “validata” da gestori accreditati)
– Nell'ecosistema (solo SPID può accedere alla PA italiana)
– Nella narrazione politica (“sistema nazionale di identità”)
3. Il “Ma” che Cambia Tutto
Ecco il punto cruciale:
- Google Authenticator non può sostituire SPID non perché sia meno sicuro...
- ...ma perché lo Stato italiano ha deciso di non riconoscerlo
- Il vero valore di SPID non è tecnologico (è banale)
- È politico: è l'unico modo per:
- Accedere ai servizi pubblici
- Avere un'identità digitale “riconosciuta”
- Partecipare al sistema (volenti o nolenti)
- Accedere ai servizi pubblici
4. La Grande Truffa
SPID è superiore solo perché lo Stato ha deciso che lo sia, non per motivi tecnici. È:
– Un monopolio artificiale creato con decreti
– Un sistema chiuso che esclude alternative migliori
– Un business model (per gestori privati) spacciato per “servizio pubblico”
Morale:
A volte l'innovazione più grande è convincere tutti che un OTP sia una rivoluzione.
Ma confrontiamo il tempo necessario ad avere un OAUTH2 da Google, con quello che serve ad ottenere uno SPID.
SPID: Quando il “Diritto Digitale” Diventa una Punitiva Gabbia Burocratica
La mia esperienza con l'identità digitale obbligatoria (e come ha trasformato un diritto in un incubo)
1. La Trappola della Raccomandata Fantasma
Scenario:
– Ricevo una raccomandata dal Ministero delle Finanze (nonostante sia iscritto all'AIRE da anni)
– Siccome non sono a casa , va in giacenza.
– Ma non posso ritirarla alle poste, visto che si tratta di una giacenza “digitale”.
– Per leggerla online: “Devi avere SPID”
– Ma io non ho SPID (perché vivo all'estero)
– Risultato: Inizia l'odissea
2. Il Calvario Burocratico
Fase 1: Il Viaggio all'Inferno del BürgerBüro
– 1 giorno di ferie buttato per:
– Ottenere certificati di Anmeldung aggiornati – in cartaceo. Per email non basta.
Fase 2: Pellegrinaggio al Consolato di Köln
– Altro giorno di ferie perso per:
– Fare la fila per chiedere “come si fa”
– Ottenere il permesso di iniziare la procedura SPID – che poi si chiama “codice fiscale”.
Fase 3: La Farsa della Sicurezza via Email
– Devo usare l'email (sicurissima, vero?) per:
– Comunicare con l’ufficio consolare
– Farmi mandare un link a un sito mal fatto
– Essere reindirizzato a un gestore privato di SPID
Fase 4: Il Pizzo Digitale
– Alla fine, devo pagare con la mia carta di credito:
– Per un servizio che dovrebbe essere un diritto
– Per accedere a una raccomandata che prima ritiravi alle Poste gratis
3. L'Assurdo Finale
- Tutto questo solo per usare la mia carta d’identità
- Prima: Andavi alle Poste e ritiravi la raccomandata in 10 minuti
- Ora: Perdi 2 giorni di ferie + soldi per un diritto trasformato in privilegio
4. Die Wahrheit (La Verità)
SPID non è “innovazione”:
– È un obbligo travestito da servizio
– Un regalo ai gestori privati (che ci lucrano sopra)
– Un Mechanismus der Ausgrenzung (meccanismo di esclusione) per chi:
– Non ha una carta di credito
– Non può permettersi giorni di ferie
– Non vive in Italia
Und das Lustige? (E il bello?) Tutti applaudono perché “finalmente siamo digitali!”.
Alleluja.
Lo SPID Esploderà? Quando il Sistema Andrà in Tilt
Dall'enabler di nicchia all'uso comune.
1. Il problema dello scaling
Oggi SPID è usato da:
– Utenti occasionali (1-2 volte l'anno per servizi PA)
– Aziende (Camera di Commercio, Fisco)
Ma cosa succederà quando:
– Facebook/Twitter richiederanno (magari per direttiva UE) SPID per accedere?
– I siti porno dovranno verificare l'età via SPID? (sempre per legge?)
– Le banche lo imporranno come unico login?
2. Il problema della scalabilita'
Numeri attuali:
– Qualche milione di accessi al giorno (gestibili)
Scenario futuro:
– Decine di milioni di richieste CONTINUE
– Ogni login richiede una chiamata ai gestori privati
– Architettura attuale NON progettata per questo carico
Risultato:
> *“Signore e signori, abbiamo un Acher Attack“*
> (aka: “È colpa degli hacker, non nostra!”)
3. Il Problema di Fondo
- SPID è un OTP glorificato, non un sistema distribuito. Oltre all' OTP, deve anche riconoscere le credenziali.
- I gestori privati diventano single point of failure
LA domanda sorge spontanea, ovvero se ci limitiamo al sistema di OTP, quanto e' sicuro , e perche' serve autenticare le credenziali? Non si potrebbe usare solo OTP?
Calcolo delle collisioni
- Formula di stima:
Applichiamo l’approssimazione del paradosso del compleanno per collisioni in spazi ridotti:
Formula delle collisioni:
Collisioni ≈ n² / (2·N) = (4·10⁷)² / (2·10⁶) = 1.6·10¹⁵ / 2·10⁶ = 800.000.000
Spiegazione simboli:
- ≈ : approssimativamente uguale
- n² : n al quadrato (n × n)
- 10⁷ : 10 elevato alla 7
- · : simbolo di moltiplicazione
- Probabilità di collisione:
Supera il 99,9999% già con ~2.500 utenti. A 40 milioni, la probabilità è praticamente certa (100%).
Rischi amplificati
| Fattore | Impatto a 40M utenti |
|---|---|
| Scalabilità critica | Ogni codice verrebbe generato in media da 40 utenti, rendendo gli OTP inefficaci. |
| Attacchi simultanei | Un utente malintenzionato potrebbe sfruttare collisioni per accedere a più account. |
| Debolezze sistemiche | Anche piccoli errori implementativi (es. validità prolungata) moltiplicherebbero i rischi. |
Confronto con 10M utenti
| Utenti | Collisioni stimate | Rischio relativo |
|---|---|---|
| 10 milioni | 50 milioni | Critico, ma gestibile con validità ≤1 minuto e single-use. |
| 40 milioni | 800 milioni | Inaccettabile: richiede OTP più lunghi (8+ cifre) o sistemi alternativi. |
Soluzioni raccomandate
- OTP a 8+ cifre: Aumenta le combinazioni a 100 milioni (8 cifre) o 1 miliardo (9 cifre).
- Autenticazione contestuale: Collegare l’OTP a dispositivo, geolocalizzazione o azione specifica.
- FIDO2/WebAuthn: Standard sicuro basato su crittografia asimmetrica, immune alle collisioni.
Conclusione
Con 40 milioni di utenti, un OTP a 6 cifre non è sicuro e le collisioni diventano un vettore di attacco plausibile. L’unica soluzione efficace è aumentare la lunghezza dell’OTP o adottare protocolli moderni come FIDO2.
Per questo, avete bisogno ANCHE delle credenziali. Per grandi numeri, OTP a sei cifre ha un serio problema di collisioni.
Se qualcuno si impadronisse delle vostre credenziali, cioe', potrebbe sfruttare il meccanismo delle collisioni per superare OTP.
Onestamente, lo SPID era qualcosa di addirittura apprezzabile quando e' nato, e non c'erano alternative.
Ma volerlo integrare in un sistema europeo... uhm. Ha almeno bisogno di qualche ritocchino, IMHO.
Uriel Fanelli
Il blog e' visibile dal Fediverso facendo il follow a: @uriel@keinpfusch.net
Contatti:
- Fediverse: @uriel@x.keinpfusch.net
- MATRIX: @uriel:mtrx.keinpfusch.net
- GNU JAMI: ufanelli