Tra SPID e Privati non mettere il dito.

Per esperienza diretta posso dire che lo SPID di livello 2 e 3 è un metodo di autenticazione abbastanza robusto, anzi talmente robusto, che a volte è anche una scocciatura eseguire i doppi o tripli passi necessari per l'autenticazione, dato che il livello 2 prevede oltre alla password anche un codice OTP inviato direttamente nello smartphone del titolare del profilo e il livello 3 addirittura fa uso di certificati elettronici oltre al PIN.

La polemica innescata dall'ipotesi del ministro dell'innovazione, quindi, non può essere mossa da un punto di vista dell' ignoranza tecnico-informatica e in particolare di sicurezza informatica o di privacy, perchè semplicemente non sussiste!

Tra l'altro ritengo personalmente, che le questioni sulla privacy non tengano conto di rischi ben più gravi. Ad esempio, andare ad installare un'estensione appartenemente innocua su un browser (es. un estensione che permette di scaricare video youtube) o un app su un telefonino è meno rischioso di usare la stessa password su più siti purchè questa risulti cifrata? Assolutamente NO. Il punto è che le app possono nascondere dei keylogger, che solo una doppia o tripla autenticazione come lo SPID può metterli fuori uso. E quanti di noi sono certi che le nostre password non sono memorizzate in chiaro ma sono cifrate nei database dei siti e-commerce? (visto ancora il livello di arretratezza dei siti web e i mancati aggiornamenti spesso non fatti da anni dai titolari!)

E infine, noi ci fidiamo dei browser, pensando che questi non tracciano niente, anche se prestiamo attenzione ai cookie, alle password o a robe simili!!! FALSO. Tanto per citare un esempio dal 2018, Chrome con la scusa della privacy o dell'usabilità, da una parte non fa partire subito l'autoplay, se sonorizzato, dei video dall'altra memorizza le nostre preferenze di visione dei video, tramite il MEI (Media Engagement Index). Ma quanti lo sanno?
Si tratta di un'indice che viene calcolato tenendo conto di questi fattori: la durata di visione (che deve essere superiore a 7 secondi, l'audio se è attivo o spento, se la finestra del video è attiva o ridotta ad icona, se la dimensione del video è maggiore di 200x140 px).

Questo perchè, Chrome sempre con la scusa di tutelare la nostra privacy o per questioni di "usabilità", memorizza su una tabella tutti i domini dei video che noi guardiamo con i relativi indici MEI (che controsenso!) e adotta questa politica:

  • L'autoplay, se insonoro, è sempre attivato
  • L'autoplay sonorizzato è attivo solo se: L'utente interagisce col video, oppure il MEI è superiore ad un certo valore, oppure l'utente ha aggiunto il sito nella sua home screen su un dispositivo mobile, o infine se l'attivazione avviene dentro un iframe su delega del top frame che ha una delle autorizzazioni sopra indicate.

Insomma, il Biricchino che va su youporn, pensa che cancellando la cronologia del browser, possa nascondere il suo vizietto...ma il MEI lo smaschera!

Dunque, il problema della privacy o della sicurezza è francamente irrisolvibile. Tuttavia ciò che rende criticabile l'estensione dello SPID ai privati è la manicale ricerca di una sicurezza che da una parte non c'è, e dall'altra richiede sempre nuovi costi aggiuntivi, spesso insostenibili dalle PMI, senza che per altro ciò, anche se venisse implementato risolverebbe definitivamente il problema. Basta un pò di buon senso, e mettere in pratica le misure basilari di sicurezza...come:

  • cambiare ogni tanto le password
  • scegliere password complicate
  • registrarsi in siti ecommerce di aziende di fiducia
  • tenere sempre pulito il browser dove si fanno acquisti online (senza installare schifezze come estensioni, evitando di memorizzare le password sui browser o navigando selvaggiamente), ed usare un browser alternativo per la normale navigazione su tutti gli altri siti web.

Lascia un commento