SPID: sistema Pubblico Identità Digitale.
Con la grande quantità di userid e password che usiamo con molti dei siti web ai quali ci registriamo, avere, almeno per i siti istituzionali, una sola identità con una sola userid e password è una semplificazione che ci aiuta tantissimo.
Ecco come fare per crearsi una identità digitale unica, quella che gli addetti ai lavori hanno chiamato SPID.
Per prima cosa vediamo cosa significa SPID.
SPID è l’acronimo di Sistema Pubblico di Identità Digitale. Questa identità è stata voluta dal nostro Governo ed il sito di riferimento è quello dell’agenzia Italiana Digitale la cui URL è: http://www.agid.gov.it
Sulle pagine che spiegano questo servizio sul sito dell’INPS, leggiamo quanto segue:
Cos’è SPID.
SPID (Sistema Pubblico di Identità Digitale) è il sistema di accesso che consente di utilizzare, con un’identità digitale unica, i servizi online della Pubblica Amministrazione e dei privati accreditati dall’AGID (Agenzia per l’Italia digitale).
Inps, primo Service Provider SPID.
Inps è tra i primi e principali Service Provider della Pubblica Amministrazione, che assicura da subito la possibilità di accedere a tutti i Servizi per il cittadino utilizzando la nuova identità digitale unica (SPID).
Gli utenti possono richiedere il rilascio di SPID agli Identity Provider accreditati dall’AGID che sono:
– InfoCert S.p.a.
– Poste Italiane S.p.a.
– Telecom Italia Trust Technologies Srl.
Dal 15 marzo si può accedere ai Servizi per il cittadino disponibili nel sito, oltre che con PIN e CNS (Carta nazionale dei servizi), anche con credenziali SPID di secondo livello.
Come funziona.
Quando l’utente seleziona uno dei servizi INPS del Menu Servizi per il cittadino, visualizza la nuova maschera per l’autenticazione, nella quale può scegliere l’accesso con SPID, anziché con codice PIN o con CNS (Carta nazionale dei servizi). Quindi, se è già in possesso di SPID, una volta selezionato nella maschera di accesso “Autenticazione con SPID”, dovrà cliccare il pulsante ”Entra con SPID” e scegliere dall’elenco il proprio Identity Provider per autenticarsi e accedere ai servizi.
Vediamo come ottenere questa identità con uno dei provider accreditati, Poste Italiane.
Portiamoci alla pagina: PosteID Un’unica login per tutti: https://posteid.poste.it/index.shtml?wt.ac=hp-b2-posteidspid-241116
Su questa pagina leggiamo quanto segue:
PosteID è la soluzione di identità Digitale utilizzabile per i servizi di Poste Italiane abilitati e per l’accesso a tutti i servizi aderenti al Sistema Pubblico di Identità digitale (SPID) che espongono il logo “SPID”.
Se hai uno strumento di identificazione online, registrati subito selezionandolo.
I possessori delle APP Bancoposta, APP Ufficio Postale e APP Postepay che utilizzano il codice PosteID, possono registrarsi scegliendo di ricevere un SMS sul cellulare o con Lettore Bancoposta.
Se non hai uno strumento di identificazione online, puoi inserire i tuoi dati online e richiedere l’identificazione a domicilio oppure recarti in un ufficio postale.
Seguono una serie di link che portano alle diverse pagine per i diversi modi di registrazione.
Registrati a PosteID abilitato a SPID:
– Con SMS, sul tuo numero cellulare certificato: vai.
– Con lettore BancoPosta: vai.
– Se non hai nessuno degli strumenti elencati inserisci i tuoi dati online e vai in un ufficio postale oppure richiedi l’identificazione a domicilio: vai.
In pratica si deve usare una delle modalità per potersi dotare di questa identità digitale.
Di seguito vedremo la modalità con la registrazione tramite telefono abilitato sul sito di Poste Italiane.
Richiesta tramite telefono abilitato.
Nota bene:
1. Per poter utilizzare questa modalità di richiesta e registrazione per ottenere il codice SPID, bisogna essere registrati a http://www.poste.it
2. Si deve avere abilitato un numero di telefono cellulare per il riconoscimento a 2 fattori, quel servizio con il quale si riceve un codice tramite SMS e si inserisce nella pagina che si sta usando in un apposito campo editazione. Se si possiede una postepay o un altro servizio finanziario con Poste Italiane, il numero di cellulare è già registrato, per cui si utilizzerà quello.
3. Essendo presente alla fine della procedura un codice captcha, bisogna usare Mozilla Firefox con Webvisum abilitato o farsi dare un occhio in prestito.
Una volta aperta la pagina di Poste Italiane con il link sopra indicato, ci portiamo sul link Con SMS sul tuo numero cellulare certificato vai e premiamo invio.
Si apre una pagina sulla quale leggiamo:
Registrati a PosteID abilitato a SPID, con SMS sul tuo numero cellulare certificato.
Esegui l’identificazione tramite SMS su cellulare certificato.
Chiedi il codice OTP di verifica via SMS sul tuo numero certificato e completa l’abilitazione di PosteID anche ai servizi in ambito SPID.
Inserisci le credenziali di registrazione a Poste Italiane.
Più sotto troviamo un form per inserire i propri dati, quindi inseriamo userid e password dell’account di Poste Italiane posseduto.
Compilati i campi, ci portiamo sul pulsante Chiedi codice OTP, e premiamo invio.
Dopo pochi secondi, sul cellulare registrato e verificato, riceviamo un codice PIN a 6 cifre da inserire nella pagina che si è aggiornata e presenta un campo editazione apposito.
Leggiamo il messaggio SMS, rileviamo il codice e lo inseriamo nel campo editazione.
Ci spostiamo sul pulsante verifica codice e premiamo invio.
Si aggiorna la pagina e, se il codice è stato inserito correttamente, ci vengono chiesti numero e scadenza del documento di riconoscimento con il quale siamo registrati al servizio, quindi, si inserisce nei campi appositi numero documento e data di scadenza.
Attenzione: da tener presente che non è ben etichettato il campo data di nascita dove inseriremo GG/MM/AAAA.
Raggiungiamo il pulsante prosegui e premiamo invio.
Si ricarica la pagina e ci viene chiesto di inserire un indirizzo email che sarà il nostro nome utente. La email si inserisce due volte e si conferma sul pulsante prosegui per inviare i dati al sito.
Si apre una nuova pagina, viene mostrato l’indirizzo email inserito nella pagina precedente e si chiede di decifrare il captcha, quindi, facciamo riconoscere il codice da Webvisum o da un occhio in prestito. Lo inseriamo nel campo editazione apposito e premiamo invio sul pulsante continua.
All’indirizzo email viene inviato un codice a 6 cifre da inserire per conferma in un apposito campo editazione che è presente nella pagina che si è aggiornata. Nel caso in cui non arrivasse l’email, controllare nella cartella dello spam.
Inserito il codice, ci viene presentata una pagina nella quale inseriamo due volte la password. È indicato in modo molto chiaro come deve essere scelta la password. Attenersi alle indicazioni scrupolosamente, non solo perché altrimenti non si può andare avanti, ma soprattutto per scegliere una password adatta all’importanza di questa identità digitale.
Una volta inserita la password ed il controllo della stessa, si preme invio sul pulsante continua.
Si presenta una pagina nella quale è indicato il cellulare abilitato al sito di Poste Italiane che si può scegliere, come si può inserire un altro numero di cellulare, nel caso non volessimo usare lo stesso che usiamo per il servizio di Poste Italiane.
Scelto il cellulare o indicato nuovo numero, Quando si da invio sul pulsante continua, sul cellulare viene inviato un SMS con il codice di 6 cifre da inserire in un campo apposito della pagina che nel frattempo si è aggiornata.
Inserito il codice, si preme invio sul pulsante controllo codice.
Se tutto è stato inserito correttamente, si apre una nuova pagina nella quale possiamo scegliere una nuova email per contatti. Anche questa nuova email si deve inserire due volte. Dando invio sul pulsante continua, si apre una nuova pagina con indicata tale email e si deve riconoscere il captcha.
Da tener presente che questo secondo captcha non viene rilevato da Webvisum e non so dire se perché avevo appena riconosciuto un captcha o perché non viene proprio rilevata l’immagine proposta. Farsi dare un occhio in prestito per inserire anche questo captcha.
Quando diamo invio sul pulsante continua, viene inviato un codice a 6 cifre all’email indicata e si deve inserire tale codice all’interno di un campo editazione apposito che si è presentato nella pagina che nel frattempo si è aggiornata.
Quando si preme invio sul pulsante continua, si apre la pagina per l’accettazione delle clausole del servizio, per cui si devono leggere le clausole e si devono attivare due caselle di controllo.
Queste due caselle, come avviene con la pagina del contratto per la Firma Digitale, con Jaws 16 non si riescono ad intercettare facilmente. Infatti, per poter attivare queste due caselline, è necessario scorrere con freccia giù tutto il testo delle clausole. Quando siamo arrivati in fondo e non si può procedere oltre, si preme tab e si riesce ad intercettare ed attivare le due caselle. Se non vogliamo perdere tutto il tempo che occorre farsi aiutare da un vedente e fare attivare le due caselle con un click con il mouse fisico.
Una volta attivate le due caselle delle clausole obbligatorie ed attivati i pulsanti radio delle clausole facoltative, sempre nello stesso form, si conclude la procedura, prima inserendo nell’apposito campo editazione la password della registrazione a Poste Italiane e poi premendo invio sul pulsante di accettazione.
Se tutto è stato eseguito correttamente, si riceve su una nuova pagina un messaggio di avvenuta registrazione e siamo avvisati che riceveremo una email con tutti i dati di registrazione e con un codice di blocco delle credenziali.
Per chiudere, basta premere alt più F4 e chiudiamo Mozilla Firefox.
Abbiamo creato il nostro utente PosteID ed il nostro utente SPID che, tramite il sito di Poste Italiane, ci consente di accedere a qualsiasi sito che concede l’accesso tramite questo innovativo strumento digitale.
Conclusioni:
Controllo e variazioni dati di sottoscrizione.
Avendo registrato l’ID digitale di Poste, si possono controllare credenziali e modificare i dati, accedendo a: https://posteid.poste.it/index.shtml?wt.ac=hp-b2-posteidspid-241116
Aprendo il proprio browser per la navigazione Internet e digitando questo indirizzo sopra indicato, si apre il sito di Poste sulla pagina che ci interessa.
Provando con i tre browser che si possono usare con uno screen-reader, avviene quanto segue:
Con Internet Explorer 11 si intercettano tutti i link e si può aprire anche la parte protetta con nome utente e password impostate per PosteID. Una volta avuto accesso alla parte protetta, si possono modificare tutti i dati, sia quelli personali della registrazione, sia quelli dello SPID.
Se si usa come browser Mozilla Firefox o Google Chrome, con Jaws non tutti i link vengono intercettati. Inoltre, usando NVDA che riesce ad intercettare i link, con questi due browser, quando si inserisce il codice OTP ricevuto sul telefonino registrato con un SMS, tale codice non viene riconosciuto e il sistema continua ad inviare SMS.
Con le credenziali di PosteID si accede a tutti i siti che consentono di accedere con un codice SPID. Durante l’accesso, è il sito di poste a fornire lo SPID al sito al quale ci vogliamo loggare.
Ho provato con il sito dell’agenzia delle entrate per fare una prova concreta di utilizzo e ho usato il link che consente di accedere con SPID.
Si è aperto il form e, nei campi per inserire nome utente e password, ho inserito le credenziali di PosteID.
Il sito ha chiesto a quale servizio SPID ero registrato e, una volta che l’ho scelto, si è collegato al sito di Poste Italiane e mi è stato inviato un SMS con il codice OTP.
Nel frattempo, si è aperta una pagina nella quale era presente il campo editazione per inserire tale codice.
Digitato il codice rilevato dal messaggio SMS, ho potuto leggere sulla pagina che il sito richiedeva i miei dati e venivo invitato a dare il mio consenso dando invio su prosegui.
Una volta premuto invio sul pulsante prosegui, si è aperto il sito che mi dava il benvenuto chiamandomi per nome e cognome.
Considerazioni.
Questo strumento non è solo una ottima semplificazione che ci aiuta tanto nella gestione delle password che si utilizzano, ma ci mette immediatamente in sicurezza con gli accessi ai siti con i nostri dati sensibili ed importanti che usiamo come, ad esempio, quelli di INPS e Agenzia delle Entrate.
Il motivo è molto semplice: dovendo ogni volta dare conferma tramite un codice che viene inviato sul telefonino registrato tramite SMS, diventa praticamente impossibile accedere da parte di estranei, a meno che non forniamo la email con la quale siamo registrati, la password e gli forniamo anche il telefono cellulare registrato.
Trovo questo sistema molto sicuro, perché è uguale a quello che molti provider di posta stanno promuovendo da tempo. Infatti l’ho sottoscritto per tutti i miei account di posta che lo consentono.
Si comprende facilmente che se questo sistema fosse possibile usarlo per qualsiasi accesso, saremmo protetti da tutti i malintenzionati e soprattutto dai web-criminali.
Comunque, nonostante tutta la sicurezza che consente, c’è da considerare che:
1. Si può essere in condizioni di assenza di segnale.
2. Si può avere il telefonino scarico e non essere in grado di alimentarlo.
3. Si deve avere la capacità e la destrezza di leggere il codice OTP, di inserirlo sulla pagina a schermo e dare la conferma in tempo utile preimpostato e prima del time-out.
Nota bene: si consiglia caldamente di evitare di inserire le credenziali di PosteID sul telefonino registrato per il servizio stesso. Immaginatevi se smarrite o vi viene rubato il cellulare. Ovviamente , questo vale per le credenziali di qualsiasi servizio che usa questo tipo di controllo.
Speriamo che tutti i siti di una certa importanza si adeguino al Sistema Personale di Identità Digitale, perché è una opportunità che è molto vantaggiosa anche per noi disabili della vista.
Nunziante Esposito, nunziante.esposito@uici.it