Cassandra Crossing/ Spid creepshow, la sospensione

(466) - Se dobbiamo convivere con la Spid, è meglio conoscerne le storie più oscure.


Cassandra Crossing/ Spid creepshow, la sospensione

(466) - Se dobbiamo convivere con la Spid, è meglio conoscerne le storie più oscure.

22 dicembre 2020 — Gli irriducibili 24 lettori di Cassandra ben sanno che la nostra profetessa, dopo aver mantenuto per anni una posizione fortemente critica sulla Spid, ha controvoglia iniziato a consigliarla, data la sua quasi obbligatorietà nei rapporti con le pubbliche amministrazioni.

Ma consigliare la Spid porta anche la responsabilità di dover segnalare i problemi che il suo uso spesso causa; ecco quindi una nuova serie di articoli sui lati oscuri e le sorprese che possedere una Spid può causare. Il primo articolo della serie è una storia recentissima di vita vissuta. Ma andiamo con ordine.

La Spid è un sistema centralizzato di autenticazione; per questo la sua disponibilità diventa una risorsa doppiamente critica. È critica per la nazione, perché una debacle della Spid impatta tutti i servizi delle pubbliche amministrazioni contemporaneamente; lo ha dimostrato il recente collasso di parte dell’infrastruttura Spid nazionale durante il “click-day” del cashback, come pure il precedente collasso dovuto al Bonus Mobilità.

È critica per chi la possiede; la Spid, quando diventa indispensabile, diventa critica non solo per la nazione ma anche per il singolo utente. Sì, perché i vari Pin e password per gli accessi ai siti, particolarmente delle pubbliche amministrazioni, non vengono più utilizzati, e quindi “scadono” o vengono semplicemente persi e dimenticati. E la Spid diventa, come deve, l’unica chiave di accesso al regno dei servizi pubblici.

E improvvisamente… improvvisamente Cassandra, in una tranquilla domenica, prova ad autenticarsi al sito dell’ Inps con la propria Spid2, e riceve un errore criptico. Pensando che possa essere scaduta la password (ma non dovrebbe arrivare prima una mail di avviso?), o comunque successo qualcosa di strano, estrae con baldanza la smartcard della firma digitale e ripete la procedura utilizzando la sua Spid3, che non richiede nessuna password. Ooops… errore ancora più criptico del sito dell’Inps, che denuncia un inesistente timeout; autenticazione di nuovo negata.

Ohibò, esclama Cassandra, vediamo un sito diverso; ripetendo le operazioni sul sito dell’ Agenzia delle Entrate (più stabile e “quadrato” di quello dell’Inps), prima con la Spid3 e poi con la Spid2 si ottengono altri due messaggi di errore di autenticazione fallita. Che qualche russo abbia compromesso le credenziali di Cassandra?

Beh, è difficile sovvertire la Spid3, comunque andiamo sul pannello di gestione delle credenziali e… sorpresa, le credenziali della Spid vengono accettate, ma si viene diretti alla maschera di cambio password forzato, perché la password sembra scaduta. La password non dovrebbe essere scaduta, perché dura 6 mesi, e perché la scadenza viene preannunciata da una mail 30 giorni prima, ma un cambio password non si nega a nessuno quindi cambiamo, click su invio e… “Operazione non consentita per password in stato sospesa”.

Il messaggio dice proprio “sospesa” non scaduta. Le password “scadono”, solo le credenziali vengono “sospese”. E se fosse la Spid di Cassandra ad essere stata sospesa? Come mai esista la possibilità di “sospendere” la Spid e a che cosa questo serva sarà magari oggetto di un altro articolo.

Quindi la Spid è stata sospesa, ma da chi e perché? Che qualcuno sia riuscito a disabilitare la mia credenziale Spid3 e poi a entrare nel pannello di gestione della Spid indovinando o carpendo la password? Ma dovrebbe comunque usare la Spid2… I peggiori pensieri attraversano la mente di Cassandra.

Dopo una serie di giri a vuoto sul sito del gestore della Spid di Cassandra, facciamo finta che sia quello di Aruba.it, approdando a pagine di informazioni tanto generiche quanto inutili, finalmente Cassandra giunge a una pagina di spiegazioni, solo apparentemente generica ma in realtà conclusiva che dettagliatamente annuncia:

Identità Digitale sospesa: procedura per la riattivazione
 A seguito delle attività di monitoraggio effettuate in qualità di Gestore delle identità digitali (art. 11 del DPCM 24 ottobre 2014), abbiamo temporaneamente sospeso l’identità digitale a lei intestata.
 La sospensione, eseguita a scopo cautelare, si è rivelata necessaria poiché il numero di telefono o l’indirizzo email associato alla sua identità risultano condivisi con altre identità digitali.
 Le ricordiamo che l’indirizzo email e numero di cellulare rappresentano un canale di contatto riservato e importanti
fattori di autenticazione che devono essere riconducibili ad un’unica persona.
 Per riattivare l’identità digitale e continuare ad utilizzarla come di consueto, è necessario eseguire le operazioni descritte di seguito entro 30 giorni dal tentativo di utilizzo delle credenziali Spid successivo alla sospensione.
 La informiamo che decorsi 30 giorni senza che siano state effettuate le modifiche sopra indicate, la sua identità digitale sarà revocata.

Verissimo: cellulare ed mail di Cassandra, controllati e certificati, compaiono in più credenziali fin da quando sono state rilasciate, mai modificati, perfettamente regolari. Sospendere l’identità per questo senza neppure constatare che sono il numero di telefono e l’indirizzo email associato alle credenziali fin dal loro rilascio?

Se la cosa sembra sospetta può essere ragionevole sospendere la credenziale contattando subito l’interessato, lo fanno anche i gestori di carte di credito, ma sospendere l’identità senza darne comunicazione, e oltretutto revocarla permanentemente dopo 30 giorni è… lasciamo perdere ciò che direbbe Fantozzi, diciamo solo che è assurdo! Un insulto e un grave danno potenziale per il cliente.

E ora come venirne fuori? La password non può essere cambiata perché la credenziale Spid è sospesa, senza password non si possono confermare il numero di telefono e l’indirizzo di posta elettronica, e se non li si conferma non si può riattivare l’identità. Non c’è soluzione, è un incubo.

Rimangono tuttavia due possibilità, estreme ma praticabili. La prima può sembrare strana, ma è ragionevole, gratuita e abbastanza veloce; farsi un’altra Spid e aggirare il problema. Non sapevate di poter avere più di una Spid? La seconda è lunga e foriera di imprevisti; aprire un ticket all’assistenza, senza poter entrare nell’area utente, ma dovendo utilizzare il portale “generico”. Un viaggio periglioso ma che potrebbe risolvere rapidamente il problema. Bene, vista la situazione, meglio fare addirittura le due cose contemporaneamente: vediamo quale finisce prima.

Dopo una mezz’ora di navigazione in un portale di customer care in cui le pagine vanno in timeout due volte su tre, riesco finalmente a postare un ticket, e passo subito a richiedere un’altra Spid, questa volta non ad Aruba ma a Poste Italiane. Utilizzando come metodo di riconoscimento la mia firma digitale, e stavolta con un po’ di fortuna, riesco a richiedere la Spid, facendomi identificare tramite la firma digitale apposta sul contratto, scaricato in formato Pdf e uploadato come Pdf firmato. Vado a vedere in posta se la nuova Spid è stata rilasciata e, sorpresa, trovo un messaggio di Aruba che dice che il problema è stato risolto. Ah… ma cosa devo fare?

Cerco di tornare sul portale di assistenza clienti, e dopo un quarto d’ora di tentativi trovo la risposta del consulente che dice di avermi inviato una password temporanea. Torno nella mail. Nessuna password. Stanno invece cominciando ad arrivare le mail di Poste Italiane, che scandiscono le varie fasi del processo di rilascio della nuova Spid. Avendo scelto un riconoscimento online è tutto molto più facile e funziona anche di domenica.

Torno sul portale del customer care di Aruba, e con un ulteriore quarto d’ora di sforzi riesco ad aprire un secondo ticket di mancato arrivo password. Già che ci sono, non confermo la chiusura del primo ticket e segnalo il mancato arrivo della password anche come commento al primo ticket. Torno nella posta e trovo la mail di conferma della creazione della Spid di Poste Italiane con le istruzioni su come procedere per la prima autenticazione. Dopo poco arriva anche la password temporanea di Aruba, seguita a ruota dal secondo annuncio di risoluzione del problema.

Proviamo. Riesco a cambiare la password e a entrare nel pannello di gestione della Spid, dove scopro che nel frattempo (ma come mai?) è stata già annullata la sospensione della Spid. Che qualcuno si sia accordo dell’orrido loop che aveva creato e che inghiottiva i suoi clienti? Verifico le credenziali Spid di Aruba, che ora funzionano ambedue, e passo a creare e collaudare la nuova Spid di Poste Italiane. Dovrebbe essere velocissimo, invece ci vuole un bel po’; le procedure sono diverse e bisogna familiarizzarsi, ma dopo un’altra ora arrivo alla fine; ne riparleremo in un’altra puntata della nostra rubrica. Questo scherzo è costato mezza giornata di ambasce e lavoro.

Cosa dire, oltre che segnalare con questo articolo la situazione ad Aruba, che sarà certo in grado di riconoscere quale loro cliente si nasconde sotto l’identità di Cassandra? Che la Spid è ancora ingestibile da parte di utenti che non siano naviganti di vecchia data, smaliziati e induriti nell’uso quotidiano della Rete e nella frequentazione di help desk? Che la Spid non è un posto per vecchi pensionati? Troppo ovvio.

Sottolineiamo invece che Cassandra, come qualunque altro utente Spid, avrebbe dovuto prevedere la possibilità di imprevisti; dopotutto la qualità e l’affidabilità dei servizi informatici nel Belpaese non sono mai state particolarmente buone. Quindi avere una seconda Spid con un diverso fornitore diventa necessario. Perché? Per non dipendere da una singola credenziale che può essere improvvisamente “vittima” di errori dell’utente (non è questo il caso) oppure di problemi del fornitore (è proprio questo il caso).

Altrettanto vale per un’altra risorsa informatica che può divenire indispensabile e critica: la firma digitale. Cosa succede se il vostro dispositivo di firma si guasta, o vi accorgete di averlo smarrito, quando vi apprestate ad apporre una firma urgente? Potenzialmente una tragedia. Magari sforate senza rimedio un termine per depositare una perizia o rispondere a un bando di gara. Possedendo una seconda firma digitale, proprio come una seconda Spid, è invece possibile utilizzare quella “di scorta” e poi, con calma, ripristinare quella che ha fallito.

Quindi, fatelo! Fatevi (orrore!) non una sola Spid ma due. E fatevi anche due dispositivi di firma digitale, non uno. Oltretutto, la Spid2 è ancora gratis fino a fine 2020, e con certi fornitori anche la Spid3. Quindi non una Spid, ma due, sono la soluzione in questo Paese dove l’informatica è spesso fatta di servizi mal realizzati e trappole rivestite di buone intenzioni.

Poi non dite che Cassandra non vi aveva avvertito.


Originally published at https://www.zeusnews.it.

By Marco A. L. Calamari on February 4, 2021.

Canonical link

Exported from Medium on January 2, 2024.