SPID: storia di ordinaria sudditanza digitale
Buongiorno nexiane, sinceramente mi sento un po' cretino a parlare ANCORA, nel 2022, di interoparabilità, come se negli ultimi 40 anni (almeno) non fosse successo nulla, come se ad ogni "innovazione" (in realtà servizio, pure pubblico in questo caso) fosse necessario ripetere tutto da capo, come un disco rotto... ma qui siamo, vorrei davvero che andassimo /oltre/ (c'è tanto da fare per le persone di buona volontà) ma siamo /zavorrati/ qui. Questa è una storia di ordinaria sudditanza digitale imposta dai burocrati che "fanno le cose" APPOSITAMNETE a metà [1], perché non ci vorrebbe nulla a imporre come /requisito/ tecnico che i fornitori di SPID forniscano i dati per accedere ai loro sistemi TOTP, magari anche obbligarli a usare un servizio interoperabile (adesso lo fanno per convenienza), perché sarebbero capaci di riscriverlo da zero pur di renderlo non interoperabile! ...perché è di questo che siamo parlando, di fornire i dati TOTP per la propria utenza SPID in modo del tutto analogo a quanto succede per le utenze email con SMTP e IMAP; a meno che qualcuno mi dimostri che va bene così, che possiamo mettere in soffitta l'interoperabilità (l'email manco a dirlo, è preistoria!), perché tanto ci sono le App proprietarie (traccianti, ma non è questo il punto) Un compagno di interessi ci ha segnalato [2] questo interessante aricolo: https://www.lealternative.net/2022/02/02/quale-spid-scegliere/ «Quale SPID scegliere?» --8<---------------cut here---------------start------------->8--- Purtroppo tutti i provider SPID richiedono, per la creazione del codice OTP (cioè il codice di sei cifre che viene richiesto ogni volta), l’installazione di una loro applicazione oppure l’invio di un SMS. Secondo noi questo è un grande difetto al quale il Governo poteva (e probabilmente può ancora) trovare una soluzione. L’utilizzo di un loro codice OTP non è infatti sinonimo di maggiore sicurezza. È stato dimostrato infatti che l’algoritmo utilizzato, quantomeno da Aruba e Lepida (e verosimilmente anche da tutti gli altri), è sempre lo stesso ovvero l’algoritmo TOTP. Non c’è dunque nessuna motivazione di sicurezza dietro questa scelta scellerata ma solo evidentemente la necessità di mantenere gli utenti attaccati alle varie applicazioni proprietarie. Applicazioni che però potrebbero non funzionare su smartphone degooglizzati e che sono letteralmente superflue se lo scopo è solo quello di generare un codice che potrebbe essere generato da qualsiasi applicazione libera come ad esempio Aegis Authenticator. È anche per questo che scriviamo questo articolo: cosicché possiate scegliere l’applicazione meno impattante dal punto di vista dei traccianti e dell’usabilità. --8<---------------cut here---------------end--------------->8--- Sono pronto a scommettere che lato server usano pure software libero, ma solo perché è gratis. Se volete davvero comprendere gli insopportabili mezzucci che i provider SPID mettono in pratica per impedire ai propri utenti di venire a conoscenza dei BANALI parametri per le loro applicazioni preferite [3], leggete qua: https://archive.ph/IDvjY#selection-43.0-47.55 «SPID e Google Authenticator - Quando l'interoperabilità viene ostacolata di proposito» di Jacopo Jannone, 9 Marzo 2021 --8<---------------cut here---------------start------------->8--- Di fatto il codice QR contiene soltanto un URI con la seguente struttura: otpauth://totp/?secret=SEGRETO&algorithm=HASH&period=INTERVALLO&digits=CIFRE in cui sono ben riconoscibili i quattro parametri appena descritti. Eventualmente possono essere inclusi anche ulteriori parametri come il nome del servizio e l’username. [...] I provider SPID usano l’algoritmo standard TOTP per la generazione dei codici OTP, ma tentano di impedire che si usino app diverse dalla loro distruggendo l’interoperabilità che lo standard garantisce, e probabilmente limitando anche l’esperienza d’uso degli utenti. --8<---------------cut here---------------end--------------->8--- Per usare altro software, quindi, basterebbe che ci forniscano quei maledetti parametri... oppure possiamo fare reverse engineering, per fortuna ci è ancora concesso, esattamente come nel 1980. «Is there anybody out there?» Saluti, 380° [1] non venite a dirmi che si tratta di ignoranza o stupidità, non credo a Babbo Natale da un pezzo [2] via canale Telegram https://t.me/c18e_community della community «Cittadinanza Digitale e Tecnocivismo» [3] alcuni, tra cui io, usano OTP via riga di comando (pass-otp su https://www.passwordstore.org/)... perfino dentro Emacs; tranne che con SPID perché sono costretto a usare gli SMS per non installare quelle app che NON voglio -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
On Wed, Feb 02, 2022 14:24:20 PM +0100, 380° wrote:
Questa è una storia di ordinaria sudditanza digitale...
Grazie, con un'aggiunta: pure il semplice fatto che le applicazioni SPID, o qualsiasi altra applicazione pubblica se e' per questo, lee devi scaricare dallo store Google e' sudditanza digitale. Una delle cose ancora fattibili da tutti, per quanto inesperti, e' usare uno smartphone Android senza associarlo a nessun account Google, cioe': 1) senza facilitare a Google la scoperta che tu utente mobile sei quello stesso "tu" che naviga su Internet con un certo browser. 2) senza farti stressare ANCHE su cellulare, magari in spiaggia, da notifiche dell'account Gmail che sei costretto ad avere per lavoro tutto questo e' possibile finche' non ti serve SPID. Per installarlo DEVI accedere allo store Google, cioe' DEVI inserire nel telefono il tuo indirizzo GMail. Avvilente, davvero. D'altra parte, se devi dirgli pure quando iscrivi i figli a scuole pubbliche, perche' stupirsi: https://stop.zona-m.net/2022/01/wanna-go-to-a-public-school-tell-google/ Marco -- Help me write my NEXT MILLION WORDS for digital awareness: https://stop.zona-m.net/2021/10/funding-2021-2022/
Ciao Marco, "M. Fioretti" <mfioretti@nexaima.net> writes: [...]
Grazie, con un'aggiunta: pure il semplice fatto che le applicazioni SPID, o qualsiasi altra applicazione pubblica se e' per questo, lee devi scaricare dallo store Google e' sudditanza digitale.
hai fatto bene ad aggiungere questa cosa, questo è uno degli elementi (non il principale) che mi fa scartare in partenza il sistema becero e offensivo di distribuzione delle app di Google Play & Co: se vuoi scaricare l'app devi essere TOTALMENTE tracciabile quindi ad oggi se vuoi usare le app SPID sei triplamente sottomesso: a Google per lo store, al fornitore SPID che ti impone una app inutile... e a Google per il tracciamento :-( a quanti fossero comunque interessati ad installarsi applicazioni proprietarie di dubbia provenienza, segnalo che ci sono comunque due alternative: 1. installarsi lo store alternativo F-Droid https://f-droid.org/ (che fa sempre bene) e poi scaricarsi Aurora Store [1] che permette di scaricare e aggiornare le app da Google Play in modo anonimo 2. usare il servizio di scaricamento apk https://apps.evozi.com/apk-downloader/ installando poi "a mano" l'apk così ottenuto [...] Saluti, 380° [1] https://f-droid.org/it/packages/com.aurora.store/ -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
On Thu, Feb 03, 2022 08:43:40 AM +0100, 380° wrote:
Ciao Marco,
"M. Fioretti" <mfioretti@nexaima.net> writes:
[...]
Grazie, con un'aggiunta: pure il semplice fatto che le applicazioni SPID, o qualsiasi altra applicazione pubblica se e' per questo, lee devi scaricare dallo store Google e' sudditanza digitale.
hai fatto bene ad aggiungere questa cosa...
Grazie, e per completare il quadro con ulteriori danni e beffe segnalo che questa tua risposta mi e' arrivata insieme a una spiegazione di come e qualmente "Usare PayPal come metodo di pagamento PayPalPA sull'App IO è facilissimo"... -- Help me write my NEXT MILLION WORDS for digital awareness: https://stop.zona-m.net/2021/10/funding-2021-2022/
On Thu, Feb 03, 2022 09:20:53 AM +0100, Marco Fioretti wrote:
Grazie, con un'aggiunta: pure il semplice fatto che le applicazioni SPID, o qualsiasi altra applicazione pubblica se e' per questo, lee devi scaricare dallo store Google e' sudditanza digitale.
hai fatto bene ad aggiungere questa cosa...
Grazie, e per completare il quadro con ulteriori danni e beffe segnalo che questa tua risposta mi e' arrivata insieme a una spiegazione di come e qualmente "Usare PayPal come metodo di pagamento PayPalPA sull'App IO è facilissimo"...
dimenticavo l'epico livello successivo di presa per i fondelli costituito da (breve storia triste e vera) - essere costretto a installare SPID con le ricadute gia' dette... - perche' altrimenti non puoi cambiare medico di famiglia online... - su sito che PRETENDE SPID, cioe' uso di smartphone - ma funziona SOLO su desktop, costringendoti a chiedere da SPID su smartphone un codice via SMS, da copiare a mano su desktop per completare la procedura (l'ultimo step potrei averlo descritto male perche' e' stato mesi fa ed ero fuori dalla grazia di Dio per l'imbecillita' della cosa. Ma e' strasicuro che ho dovuto eseguire la procedura con form HTML su Firefox E SPID app aperta su smartphone, saltando a mano dall'uno all'altra) Marco -- Help me write my NEXT MILLION WORDS for digital awareness: https://stop.zona-m.net/2021/10/funding-2021-2022/
Conosco bene il tema in oggetto, in quanto lo scorso 02/01 mi sono DE-Googlizzato. Di fatto, ho recuperato un vecchio smartphone e ci ho installato sopra una distribuzione Android "libera" (quella Open-Source) e: 1- NON ho configurato l'account Google; 2- NON ho installato le G-Apps [ossia tutto lo stack di applicativi e servizi cui molte app possono far riferimento]; Faccio notare che il punto 2 implica l'impossibilita' di utilizzo (fra gli altri) di Google Maps e Google Play Store. È una esperienza che consiglio a tutti (specie ai NON tecnici), perché probabilmente è il sistema migliore (e piu' rapido) per capire quanto sia pervasiva (e subdola) la "dipendenza" che oggi il 99,9999% degli utilizzatori di smartphone Android (ed il 100% degli utilizzatore di iOS) subisce passivamente. Il fatto che una delle mie banche (IntesaSanPaolo, ramo "privati") *NON* mi consenta più l'uso dell'APP... è un conto. Il fatto che una banca dello stesso gruppo (IntesaSanPaolo, ramo "aziende") mi consenta l'uso dell'APP, ma "avvertendomi" che "..non supportiamo questo dispositivo..", è un interessante spunto di riflessione. Ma il fatto che l'app InfoCERT (mio provider SPID) dica: "MyInfoCert non funzionerà senza Google Play Services, non supportati dal tuo dispositivo" è un altro conto ancora. Molto piu' grave. Stante l'importanza di SPID, mi ero preparato e sapevo che con Lepida (nei confronti della quale mi levo il cappello) avrei potuto utilizzare SPID (in particolare, il secondo fattore di autenticazione) utilizzando _ESCLUSIVAMENTE_ tecnologie "open". Ho quindi aperto un nuovo SPID con Lepida e, nel giro di pochissimo tempo, sono effettivamente riuscito a configurare il rispettivo servizio SPID **SENZA** utilizzare niente altro che uno smartphone "libero" e applicazioni F/OSS. Questo aspetto mi ha fatto riflettere: probabilmente è la migliore dimostrazione di quel "pericolo di centralizzazione" cui Stefano Quintarelli ha fatto piu' volte riferimento. SPID è "distribuito" e cio' mi ha permesso di "cambiare provider", scegliendone uno che fosse "open-source friendly". Cosa sarebbe successo se SPID fosse stato centralizzato e l'unico provider... NON fosse stato open-source friendly? Tutto cio' premesso.... Il 02/02/22 14:24, 380° ha scritto:
[...] Questa è una storia di ordinaria sudditanza digitale imposta dai burocrati che "fanno le cose" APPOSITAMNETE a metà [non venite a dirmi che si tratta di ignoranza o stupidità, non credo a Babbo Natale da un pezzo]
...non credo affatto a questo scenario di "sudditanza imposta 'by-design'". L'esperienza maturata [da esterno] dietro le scrivanie di un ufficio tecnico di un medio Ateneo Italiano... ed il confronto che ho sempre cercato con i miei "omologhi" in giro per il Paese.... ha fortemente radicato in me la convinzione che il problema è piu' complesso: da tempo si è persa la capacità di "governare" lo sviluppo ICT, a tutti i livelli; in particolare a quelli apicali. La mancanza di "sensibilita' ICT" porta le governance a trattare l'IT come poco piu' che "accessorio" alla propria organizzazione. E di conseguenza, ad una disattenzione nella scelta dei propri dirigenti che produce conseguenze devastanti. Su questo punto, resta per me un "faro" la "Relazione della commissione parlamentare d’inchiesta sulla digitalizzazione e l’innovazione della PA" [*] che a pagina 139 dice: ============================= "La mancanza di adeguate competenze interne impedisce alla PA di contrattare adeguatamente con i fornitori, di progettare correttamente le soluzioni necessarie, di scrivere bandi di gara che selezionino il prodotto o il servizio piu' adeguato e aperto a nuove implementazioni [...] La mancanza di competenze adeguate, soprattutto nei livelli apicali [...] porta al rischio sistematico di impiego inefficiente di denaro pubblico, in alcuni casi vero e proprio spreco. [...] L'analisi dei curricula dei responsabili della transizione digitale [RTD] rende difficile affermare che il comma 1ter dell'articolo 17 del CAD [...che ha istituito tale figura...] sia rispettato, e cioe' che "il responsabile dell'ufficio (...) è dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali", in alcuni casi per stessa ammissione dei responsabili durante le audizioni" ============================= Come si fa, alla luce di quanto sopra, a sostenere che l'esistenza di dinamiche di lock-in da parte di Google rispetto ai servizi SPID sia _VOLUTA_? Scusandomi per la citazione, il "Rasoio di Hanlon" mi pare decisamente piu' appropriato.
[...] (c'è tanto da fare per le persone di buona volontà) ma siamo /zavorrati/ qui.
Sul fatto che ci sia tanto da fare... direi che su questa lista siamo tutti d'accordo. Io, pero', continuo ad essere estremamente critico sul fatto che quello che si fa, è ancora poco. Molto poco. E ci sono moltissimi margini di miglioramento.... Sostenere di essere "zavorrati" è la scelta piu' semplice. Ridurre la dimensione della "zavorra" e spendere l'energia ritrovata in qualcosa di concreto.... è un'altra cosa. Questa lista, le splendide persone che ne fanno parte, le discussioni che la animano.... il Centro Nexa... il contesto nel quale si muove (PoliTO)... Tutto questo è una miscela "esplosiva", dal potenziale enorme. Vorrei ci adoperassimo un po' tutti... ed un po' di piu'... a de-zavorrarci, per recuperare energie da spendere sui temi a noi cari. A proposito: dato che la Relazione della Commissione Parlamentare è datata 13/10/2020 e che la prima audizione (rif. pag. 145)risale a 11/2016... perche' non provare a sentire i componenti e, magari, organizzare un bel webinar di approfondimento/discussione con loro? Il Centro NEXA avrebbe certamente l'autorita' per farlo... :-) Un caro saluto, DV [*] https://docs.italia.it/media/pdf/relazionecommissionedigitale-docs/bozza/rel... -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
Concordo con molte delle osservazioni, ma aggiungo una piccola cosa: siamo sicuri che servano app (Google o altre) per attivare lo SPID? Mi sembra che ci siano provider che inviano l'OTP con un SMS e altri che “in alternativa alla app" [specifica] permettono di usarer una card o un dispositivo fisico. Non faccio nomi e non dico che uno sia migliore dell’altro, ma mi sembra che qualche alternativa all’uso delle app ci sia. Saluti, -PA
Il giorno 3 feb 2022, alle ore 09:46, Damiano Verzulli <damiano@verzulli.it> ha scritto:
Conosco bene il tema in oggetto, in quanto lo scorso 02/01 mi sono DE-Googlizzato.
Di fatto, ho recuperato un vecchio smartphone e ci ho installato sopra una distribuzione Android "libera" (quella Open-Source) e: 1- NON ho configurato l'account Google; 2- NON ho installato le G-Apps [ossia tutto lo stack di applicativi e servizi cui molte app possono far riferimento];
Faccio notare che il punto 2 implica l'impossibilita' di utilizzo (fra gli altri) di Google Maps e Google Play Store.
È una esperienza che consiglio a tutti (specie ai NON tecnici), perché probabilmente è il sistema migliore (e piu' rapido) per capire quanto sia pervasiva (e subdola) la "dipendenza" che oggi il 99,9999% degli utilizzatori di smartphone Android (ed il 100% degli utilizzatore di iOS) subisce passivamente.
Il fatto che una delle mie banche (IntesaSanPaolo, ramo "privati") *NON* mi consenta più l'uso dell'APP... è un conto.
Il fatto che una banca dello stesso gruppo (IntesaSanPaolo, ramo "aziende") mi consenta l'uso dell'APP, ma "avvertendomi" che "..non supportiamo questo dispositivo..", è un interessante spunto di riflessione.
Ma il fatto che l'app InfoCERT (mio provider SPID) dica: "MyInfoCert non funzionerà senza Google Play Services, non supportati dal tuo dispositivo" è un altro conto ancora. Molto piu' grave.
Stante l'importanza di SPID, mi ero preparato e sapevo che con Lepida (nei confronti della quale mi levo il cappello) avrei potuto utilizzare SPID (in particolare, il secondo fattore di autenticazione) utilizzando _ESCLUSIVAMENTE_ tecnologie "open".
Ho quindi aperto un nuovo SPID con Lepida e, nel giro di pochissimo tempo, sono effettivamente riuscito a configurare il rispettivo servizio SPID **SENZA** utilizzare niente altro che uno smartphone "libero" e applicazioni F/OSS.
Questo aspetto mi ha fatto riflettere: probabilmente è la migliore dimostrazione di quel "pericolo di centralizzazione" cui Stefano Quintarelli ha fatto piu' volte riferimento. SPID è "distribuito" e cio' mi ha permesso di "cambiare provider", scegliendone uno che fosse "open-source friendly". Cosa sarebbe successo se SPID fosse stato centralizzato e l'unico provider... NON fosse stato open-source friendly?
Tutto cio' premesso....
Il 02/02/22 14:24, 380° ha scritto:
[...] Questa è una storia di ordinaria sudditanza digitale imposta dai burocrati che "fanno le cose" APPOSITAMNETE a metà [non venite a dirmi che si tratta di ignoranza o stupidità, non credo a Babbo Natale da un pezzo]
...non credo affatto a questo scenario di "sudditanza imposta 'by-design'". L'esperienza maturata [da esterno] dietro le scrivanie di un ufficio tecnico di un medio Ateneo Italiano... ed il confronto che ho sempre cercato con i miei "omologhi" in giro per il Paese.... ha fortemente radicato in me la convinzione che il problema è piu' complesso: da tempo si è persa la capacità di "governare" lo sviluppo ICT, a tutti i livelli; in particolare a quelli apicali.
La mancanza di "sensibilita' ICT" porta le governance a trattare l'IT come poco piu' che "accessorio" alla propria organizzazione. E di conseguenza, ad una disattenzione nella scelta dei propri dirigenti che produce conseguenze devastanti. Su questo punto, resta per me un "faro" la "Relazione della commissione parlamentare d’inchiesta sulla digitalizzazione e l’innovazione della PA" [*] che a pagina 139 dice:
=============================
"La mancanza di adeguate competenze interne impedisce alla PA di contrattare adeguatamente con i fornitori, di progettare correttamente le soluzioni necessarie, di scrivere bandi di gara che selezionino il prodotto o il servizio piu' adeguato e aperto a nuove implementazioni [...] La mancanza di competenze adeguate, soprattutto nei livelli apicali [...] porta al rischio sistematico di impiego inefficiente di denaro pubblico, in alcuni casi vero e proprio spreco. [...] L'analisi dei curricula dei responsabili della transizione digitale [RTD] rende difficile affermare che il comma 1ter dell'articolo 17 del CAD [...che ha istituito tale figura...] sia rispettato, e cioe' che "il responsabile dell'ufficio (...) è dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali", in alcuni casi per stessa ammissione dei responsabili durante le audizioni"
=============================
Come si fa, alla luce di quanto sopra, a sostenere che l'esistenza di dinamiche di lock-in da parte di Google rispetto ai servizi SPID sia _VOLUTA_?
Scusandomi per la citazione, il "Rasoio di Hanlon" mi pare decisamente piu' appropriato.
[...] (c'è tanto da fare per le persone di buona volontà) ma siamo /zavorrati/ qui.
Sul fatto che ci sia tanto da fare... direi che su questa lista siamo tutti d'accordo.
Io, pero', continuo ad essere estremamente critico sul fatto che quello che si fa, è ancora poco. Molto poco. E ci sono moltissimi margini di miglioramento....
Sostenere di essere "zavorrati" è la scelta piu' semplice. Ridurre la dimensione della "zavorra" e spendere l'energia ritrovata in qualcosa di concreto.... è un'altra cosa.
Questa lista, le splendide persone che ne fanno parte, le discussioni che la animano.... il Centro Nexa... il contesto nel quale si muove (PoliTO)... Tutto questo è una miscela "esplosiva", dal potenziale enorme. Vorrei ci adoperassimo un po' tutti... ed un po' di piu'... a de-zavorrarci, per recuperare energie da spendere sui temi a noi cari.
A proposito: dato che la Relazione della Commissione Parlamentare è datata 13/10/2020 e che la prima audizione (rif. pag. 145)risale a 11/2016... perche' non provare a sentire i componenti e, magari, organizzare un bel webinar di approfondimento/discussione con loro? Il Centro NEXA avrebbe certamente l'autorita' per farlo... :-)
Un caro saluto, DV
Il 03/02/22 09:56, Paolo Atzeni ha scritto:
Concordo con molte delle osservazioni, ma aggiungo una piccola cosa: siamo sicuri che servano app (Google o altre) per attivare lo SPID? Mi sembra che ci siano provider che inviano l'OTP con un SMS e altri che “in alternativa alla app" [specifica] permettono di usarer una card o un dispositivo fisico.
Confesso di _NON_ aver indagato al riguardo. Uno studente di UniMI (...dal quale ho ottenuto gli spunti ed i riferimenti a Lepida) mi ha detto che con alcuni è possibile utilizzare gli SMS ma che questi: - (potrebbero) essere costosi [il condizionale è mio; non ricordo i dettagli] - (potrebbero) essere contingentati [non piu' di un tot/mese, almeno quelli gratis]. Sull'uso di tecnologie alternative (smart-card reader o token-usb), credo che i termini siano diversi. Credo che le P.A. (penso a INPS o a Agenzia delle Entrate --ai cui servizi ho avuto modo di accedere recentemente--) supportino diversi sistemi di autenticazione. In questo preciso momento vedo: => INPS: PIN (per pochissime tipologie di utenti), SPID, CIE e CNS => Agenzia Entrate => SPID, CIE, CNS, Credenziali (per alcune tipologie di utenza) Tuttavia ritengo che la maggior parte dei "servizi pubblici" non sia cosi' solerte come INPS e AdE, e che preveda il solo SPID... (penso al Portale Dell'Automobilista, ai servizi della mia ASL o a quelli del mio Comune relativi alla scuola primaria) Bye, DV
Non faccio nomi e non dico che uno sia migliore dell’altro, ma mi sembra che qualche alternativa all’uso delle app ci sia. Saluti, -PA
Il giorno 3 feb 2022, alle ore 09:46, Damiano Verzulli <damiano@verzulli.it> ha scritto:
Conosco bene il tema in oggetto, in quanto lo scorso 02/01 mi sono DE-Googlizzato.
Di fatto, ho recuperato un vecchio smartphone e ci ho installato sopra una distribuzione Android "libera" (quella Open-Source) e: 1- NON ho configurato l'account Google; 2- NON ho installato le G-Apps [ossia tutto lo stack di applicativi e servizi cui molte app possono far riferimento];
Faccio notare che il punto 2 implica l'impossibilita' di utilizzo (fra gli altri) di Google Maps e Google Play Store.
È una esperienza che consiglio a tutti (specie ai NON tecnici), perché probabilmente è il sistema migliore (e piu' rapido) per capire quanto sia pervasiva (e subdola) la "dipendenza" che oggi il 99,9999% degli utilizzatori di smartphone Android (ed il 100% degli utilizzatore di iOS) subisce passivamente.
Il fatto che una delle mie banche (IntesaSanPaolo, ramo "privati") *NON* mi consenta più l'uso dell'APP... è un conto.
Il fatto che una banca dello stesso gruppo (IntesaSanPaolo, ramo "aziende") mi consenta l'uso dell'APP, ma "avvertendomi" che "..non supportiamo questo dispositivo..", è un interessante spunto di riflessione.
Ma il fatto che l'app InfoCERT (mio provider SPID) dica: "MyInfoCert non funzionerà senza Google Play Services, non supportati dal tuo dispositivo" è un altro conto ancora. Molto piu' grave.
Stante l'importanza di SPID, mi ero preparato e sapevo che con Lepida (nei confronti della quale mi levo il cappello) avrei potuto utilizzare SPID (in particolare, il secondo fattore di autenticazione) utilizzando _ESCLUSIVAMENTE_ tecnologie "open".
Ho quindi aperto un nuovo SPID con Lepida e, nel giro di pochissimo tempo, sono effettivamente riuscito a configurare il rispettivo servizio SPID **SENZA** utilizzare niente altro che uno smartphone "libero" e applicazioni F/OSS.
Questo aspetto mi ha fatto riflettere: probabilmente è la migliore dimostrazione di quel "pericolo di centralizzazione" cui Stefano Quintarelli ha fatto piu' volte riferimento. SPID è "distribuito" e cio' mi ha permesso di "cambiare provider", scegliendone uno che fosse "open-source friendly". Cosa sarebbe successo se SPID fosse stato centralizzato e l'unico provider... NON fosse stato open-source friendly?
Tutto cio' premesso....
Il 02/02/22 14:24, 380° ha scritto:
[...] Questa è una storia di ordinaria sudditanza digitale imposta dai burocrati che "fanno le cose" APPOSITAMNETE a metà [non venite a dirmi che si tratta di ignoranza o stupidità, non credo a Babbo Natale da un pezzo] ...non credo affatto a questo scenario di "sudditanza imposta 'by-design'". L'esperienza maturata [da esterno] dietro le scrivanie di un ufficio tecnico di un medio Ateneo Italiano... ed il confronto che ho sempre cercato con i miei "omologhi" in giro per il Paese.... ha fortemente radicato in me la convinzione che il problema è piu' complesso: da tempo si è persa la capacità di "governare" lo sviluppo ICT, a tutti i livelli; in particolare a quelli apicali.
La mancanza di "sensibilita' ICT" porta le governance a trattare l'IT come poco piu' che "accessorio" alla propria organizzazione. E di conseguenza, ad una disattenzione nella scelta dei propri dirigenti che produce conseguenze devastanti. Su questo punto, resta per me un "faro" la "Relazione della commissione parlamentare d’inchiesta sulla digitalizzazione e l’innovazione della PA" [*] che a pagina 139 dice:
=============================
"La mancanza di adeguate competenze interne impedisce alla PA di contrattare adeguatamente con i fornitori, di progettare correttamente le soluzioni necessarie, di scrivere bandi di gara che selezionino il prodotto o il servizio piu' adeguato e aperto a nuove implementazioni [...] La mancanza di competenze adeguate, soprattutto nei livelli apicali [...] porta al rischio sistematico di impiego inefficiente di denaro pubblico, in alcuni casi vero e proprio spreco. [...] L'analisi dei curricula dei responsabili della transizione digitale [RTD] rende difficile affermare che il comma 1ter dell'articolo 17 del CAD [...che ha istituito tale figura...] sia rispettato, e cioe' che "il responsabile dell'ufficio (...) è dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali", in alcuni casi per stessa ammissione dei responsabili durante le audizioni"
=============================
Come si fa, alla luce di quanto sopra, a sostenere che l'esistenza di dinamiche di lock-in da parte di Google rispetto ai servizi SPID sia _VOLUTA_?
Scusandomi per la citazione, il "Rasoio di Hanlon" mi pare decisamente piu' appropriato.
[...] (c'è tanto da fare per le persone di buona volontà) ma siamo /zavorrati/ qui. Sul fatto che ci sia tanto da fare... direi che su questa lista siamo tutti d'accordo.
Io, pero', continuo ad essere estremamente critico sul fatto che quello che si fa, è ancora poco. Molto poco. E ci sono moltissimi margini di miglioramento....
Sostenere di essere "zavorrati" è la scelta piu' semplice. Ridurre la dimensione della "zavorra" e spendere l'energia ritrovata in qualcosa di concreto.... è un'altra cosa.
Questa lista, le splendide persone che ne fanno parte, le discussioni che la animano.... il Centro Nexa... il contesto nel quale si muove (PoliTO)... Tutto questo è una miscela "esplosiva", dal potenziale enorme. Vorrei ci adoperassimo un po' tutti... ed un po' di piu'... a de-zavorrarci, per recuperare energie da spendere sui temi a noi cari.
A proposito: dato che la Relazione della Commissione Parlamentare è datata 13/10/2020 e che la prima audizione (rif. pag. 145)risale a 11/2016... perche' non provare a sentire i componenti e, magari, organizzare un bel webinar di approfondimento/discussione con loro? Il Centro NEXA avrebbe certamente l'autorita' per farlo... :-)
Un caro saluto, DV
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
Il 03/02/22 10:14, Damiano Verzulli ha scritto:
=> INPS: PIN (per pochissime tipologie di utenti), SPID, CIE e CNS => Agenzia Entrate => SPID, CIE, CNS, Credenziali (per alcune tipologie di utenza)
Tuttavia ritengo che la maggior parte dei "servizi pubblici" non sia cosi' solerte come INPS e AdE, e che preveda il solo SPID... (penso al Portale Dell'Automobilista, ai servizi della mia ASL o a quelli del mio Comune relativi alla scuola primaria)
Oltre a INPS e Agenzia delle Entrate ci sono molti ministeri, regioni, enti, ad es.: Ministero Sviluppo Economico -> https://www.impresainungiorno.gov.it/sso/go Regione Lombardia -> https://idpcwrapper.crs.lombardia.it/PublisherMetadata/SSOService INAIL -> https://gestioneaccessi.inail.it/IAA/public/form_login_strong_authentication... Torino facile -> https://servizi.torinofacile.it/cgi-bin/accesso/base/index.cgi Basta cercare in rete "accedi con cie" e ne vengono fuori parecchi altri. Colgo l'occasione per segnalare che, nei ritagli di tempo, io e Roberto (Resoli) stiamo cercando di rendere "usabile" la CIE in ambiente Linux, ad esempio integrandone il supporto in OpenSC [1] Il SW ufficiale c'è, ma diciamo che lascia un po' a desiderare ... [1] Chi volesse contribuire può contattarci in privato. Grazie, A. [1] https://github.com/OpenSC/OpenSC/issues/2486 [2] https://github.com/italia/cie-middleware-linux/issues/
Non credo che niente di quello che dirò sia particolarmente nuovo ed originale, ma potrebbe essere utile a qualcuno. Leggendo il lungo thread, sembra che ci sia una convinzione abbastanza estesa che SPID obblighi l'utente ad usare app o cellulari. Non è vero; l'utente fortemente spinto verso l'uso di app è l'utente che usa lo smartphone come succedaneo del computer, e di questo paga il prezzo, non del fatto che la SPID sia diventata "cattiva". L'utente che non vuole tediarsi con SMS, app ed altre amenità che purtroppo talvolta sono inevitabili, non deve far altro che dotarsi di una SPID2 con 2FA hardware (il dongle col numeretto che cambia ogni minuto, oppure di SPID3, fatta utilizzando il proprio dispositivo di firma digitale (non c'e' bisogno della CIE) e senza dover spendere una lira di identificazione, che con la firma digitale è automatica, veloce e tutta online. E' una combinazione economica, facile da gestire e molto sicura, per tutte quelle persone che (giustamente) vogliono evitare che il cellulare diventi il più grande pericolo informatico della loro vita. (Disclaimer: ho opinioni estreme sulle questioni legate alla privacy, che mi conosce certamente lo sa, ma i due consigli su quale SPID avere e come usarla derivano da anni di utilizzo personale, di insegnamento e di discussioni, quindi probabilmente valgono un minimo di considerazione) Grazie a tutti per la pazienza. Marco On gio, 2022-02-03 at 11:21 +0100, Antonio Iacono wrote:
Il 03/02/22 10:14, Damiano Verzulli ha scritto:
=> INPS: PIN (per pochissime tipologie di utenti), SPID, CIE e CNS => Agenzia Entrate => SPID, CIE, CNS, Credenziali (per alcune tipologie di utenza)
Tuttavia ritengo che la maggior parte dei "servizi pubblici" non sia cosi' solerte come INPS e AdE, e che preveda il solo SPID... (penso al Portale Dell'Automobilista, ai servizi della mia ASL o a quelli del mio Comune relativi alla scuola primaria)
Oltre a INPS e Agenzia delle Entrate ci sono molti ministeri, regioni, enti, ad es.:
Ministero Sviluppo Economico -> https://www.impresainungiorno.gov.it/sso/go
Regione Lombardia -> https://idpcwrapper.crs.lombardia.it/PublisherMetadata/SSOService
INAIL -> https://gestioneaccessi.inail.it/IAA/public/form_login_strong_authentication...
Torino facile -> https://servizi.torinofacile.it/cgi-bin/accesso/base/index.cgi
Basta cercare in rete "accedi con cie" e ne vengono fuori parecchi altri.
Colgo l'occasione per segnalare che, nei ritagli di tempo, io e Roberto (Resoli) stiamo cercando di rendere "usabile" la CIE in ambiente Linux, ad esempio integrandone il supporto in OpenSC [1]
Il SW ufficiale c'è, ma diciamo che lascia un po' a desiderare ... [1]
Chi volesse contribuire può contattarci in privato.
Grazie,
A.
[1] https://github.com/OpenSC/OpenSC/issues/2486
[2] https://github.com/italia/cie-middleware-linux/issues/
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Il 03/02/22 13:01, Marco A. Calamari ha scritto:
[...] L'utente che non vuole tediarsi con SMS, app ed altre amenità che purtroppo talvolta sono inevitabili, non deve far altro che dotarsi di una SPID2 con 2FA hardware (il dongle col numeretto che cambia ogni minuto, oppure di SPID3, fatta utilizzando il proprio dispositivo di firma digitale (non c'e' bisogno della CIE) e senza dover spendere una lira di identificazione, che con la firma digitale è automatica, veloce e tutta online.
Temo mi sfugga qualcosa. Premetto che ho un dispositivo di "firma digitale", tra l'altro utilizzato proprio per firmare il contratto di sottoscrizione con Lepida, per l'ottenimento dello SPID. Di quello che scrivi NON ho capito la questione SPID2 con secondo fattore hardware: ad esempio, nella pagina di Infocert [1] e Lepida [2] _NON_ c'e' alcuna traccia di questo "device". Puoi dettagliare? Ripeto: sono cosciente del fatto che: - posso utilizzare la mia "firma digitale" per accedere a questi siti, come INPS e AgenziaEntrate, che la accettano come forma di autenticazione; - posso "comprare" uno SPID senza pagare nulla e senza muovermi dalla sedia, se decido di firmare digitalmente i relativi contratti (con la "firma digitale") ...ma _NON_ credo di poter riuscire ad ottenere un TOKEN-hardware da utilizzare come secondo fattore per SPID. Bye, DV P.S.: se stiamo diventando troppo tecnici, cortesemente fatecelo notare che... smettiamo subito :-) [1] https://www.infocert.it/identitadigitale-infocert-it/prodotti/spid-infocert-... [2] https://id.lepida.it/idm/app/ -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
On gio, 2022-02-03 at 16:07 +0100, Damiano Verzulli wrote:
Il 03/02/22 13:01, Marco A. Calamari ha scritto:
[...] L'utente che non vuole tediarsi con SMS, app ed altre amenità che purtroppo talvolta sono inevitabili, non deve far altro che dotarsi di una SPID2 con 2FA hardware (il dongle col numeretto che cambia ogni minuto, oppure di SPID3, fatta utilizzando il proprio dispositivo di firma digitale (non c'e' bisogno della CIE) e senza dover spendere una lira di identificazione, che con la firma digitale è automatica, veloce e tutta online.
Temo mi sfugga qualcosa.
Premetto che ho un dispositivo di "firma digitale", tra l'altro utilizzato proprio per firmare il contratto di sottoscrizione con Lepida, per l'ottenimento dello SPID.
Di quello che scrivi NON ho capito la questione SPID2 con secondo fattore hardware: ad esempio, nella pagina di Infocert [1] e Lepida [2] _NON_ c'e' alcuna traccia di questo "device".
Puoi dettagliare?
Buonasera Damiano e lista, magari in privato posso farmi un po' di pubblicità fornendo materiale da miei corsi, ma qui penso sia meglio fare semplicemente l'esempio di come ho risolto PER ME i problemi di SPID. Quindi non faccio pubblicità,ad un fornitore, ma racconto solo cosa ho fatto per me. Chiunque può partire da questa pagina piena di indicazioni e link https://www.spid.gov.it/cos-e-spid/come-scegliere-tra-gli-idp/ probabilmente la miglior pagina che abbia visto su di un sito di una PP.AA. Io ho letto bene la tabella e sono andato sul sito di Aruba. Colà ho comprato per 10 euro una SPID2 + OTP hardware. E' il dongle verde che Banca Intesa dava già 10 anni fa. Per identificarmi e poter avere la SPID subito ho usato la modalità di identificazione (gratuita) con dispositivo di firma digitale. In questo modo ho ottenuto la SPID2 con OTP hardware (ed in omaggio anche quella con app, che non ho mai attivato). Poi ho comprato la SPID3 (altri circa 10 euro), abbinandola sempre al mio dispositivo di firma digitale (si può fare facilmente) Quindi solo una Smartcard per fare tutto in tasca, ed un otp nel mazzo di chiavi se per caso devo usare un laptop privo di lettore di smartcard, oppure un cellulare (usando il web browser e non una app). Fine della storia. Se guardate la tabella che vi ho linkato, questo giochetto di può fare con almeno altri 3 provider. Chi è invece vittima (l'80% degli italiani) del diabolico marchingegno a base di app creato da Poste Italiane non ne può uscire, se non buttando tutto e ricominciando da capo. E per finire, è noto a tutti che è tecnicamente e legalmente possibile avere più di un dispositivo di firma e più di una credenziale SPID? Questo può essere un ottimo trucco per comporre la propria soluzione, ed ovviamente per avere un backup di firma e credenziali ... ... ma questa ... (come dice la voce fuori campo nel finale di "Conan il barbaro") ... questa è un'altra storia! Buona serata a tutti. Marco
Ripeto: sono cosciente del fatto che:
- posso utilizzare la mia "firma digitale" per accedere a questi siti, come INPS e AgenziaEntrate, che la accettano come forma di autenticazione; - posso "comprare" uno SPID senza pagare nulla e senza muovermi dalla sedia, se decido di firmare digitalmente i relativi contratti (con la "firma digitale")
...ma _NON_ credo di poter riuscire ad ottenere un TOKEN-hardware da utilizzare come secondo fattore per SPID.
Bye, DV
P.S.: se stiamo diventando troppo tecnici, cortesemente fatecelo notare che... smettiamo subito :-)
[1] https://www.infocert.it/identitadigitale-infocert-it/prodotti/spid-infocert-...
On Thu, Feb 03, 2022 13:01:41 PM +0100, Marco A. Calamari wrote:
Non credo che niente di quello che dirò sia particolarmente nuovo ed originale, ma potrebbe essere utile a qualcuno.
Leggendo il lungo thread, sembra che ci sia una convinzione abbastanza estesa che SPID obblighi l'utente ad usare app o cellulari.
Non è vero; l'utente fortemente spinto verso l'uso di app è l'utente che usa lo smartphone come succedaneo del computer, e di questo paga il prezzo, non del fatto che la SPID sia diventata "cattiva".
L'utente che non vuole tediarsi con SMS...
Buonasera Marco C., e lista Giusto per completare il quadro: io sono andato avanti ANNI senza installare alcuna applicazione di alcun tipo, ESATTAMENTE perche' so e voglio che quello che e' lo smartphone tipico di oggi non diventi mai un succedaneo del computer. Usando solo, e il meno possibile, solo le applicazioni preinstallate (per dire, quando mi servono youtube, vimeo, reddit... carico i rispettivi siti mobili, rifiutando tutti gli inviti a vivere la "vera esperienza" con l'app), senza mai collegarle all'account google che sono obbligato ad avere da prima degli smartphone, altra storia. Pero', pure se sai tutto questo, capitano i momenti in cui semplicemente non ti puoi permettere di perdere mezza giornata, se va bene, di "tediarsi" come dici tu con SMS e ricerca di documentazione e supporto online. Io le forti spinte di cui parli le ho evitate con successo per anni, poi e' arrivato il singolo momento in cui non potevo ne' evitarle ne' sprecare mezza giornata su questioni di principio, per quanto sacrosante. I motivi precisi per cui non potevo sono solo affari miei, di sicuro non da lista archiviata pubblicamente. Volevo solo ricordare che fra quanto e' vero tecnicamente e quanto e' possibile concretamente a ogni singolo, c'e' uno spazio abbastanza grande. Pure per i singoli che quelle cose le sannoo eccome. E quindi, come sicuramente tutti concordiamo, l'unica vera soluzione e' eliminare quello spazio, facendo cadere quelle idiozie che lo creano. Non aspettarsi che tutti *possano* smanettare per ore per superarlo. Marco -- Help me write my NEXT MILLION WORDS for digital awareness: https://stop.zona-m.net/2021/10/funding-2021-2022/
io uso hermit... :-) On 03/02/22 16:13, M. Fioretti wrote:
Usando solo, e il meno possibile, solo le applicazioni preinstallate (per dire, quando mi servono youtube, vimeo, reddit... carico i rispettivi siti mobili, rifiutando tutti gli inviti a vivere la "vera esperienza" con l'app), senza mai collegarle all'account google che sono obbligato ad avere da prima degli smartphone, altra storia.
Il 03/02/22 16:23, Stefano Quintarelli ha scritto:
io uso hermit... :-)
https://chimbori.com/help/source-code Mah ... rob
Il 03/02/22 21:48, Roberto Resoli ha scritto:
Il 03/02/22 16:23, Stefano Quintarelli ha scritto:
io uso hermit... :-)
https://chimbori.com/help/source-code
Mah ...
Attuamente uso Webapps: https://f-droid.org/it/packages/com.tobykurien.webapps/ che per il mio utilizzo di FB e Twitter è sufficiente. rob
grazie si impara sempre qualcosa butto hermit On 03/02/22 21:50, Roberto Resoli wrote:
Il 03/02/22 21:48, Roberto Resoli ha scritto:
Il 03/02/22 16:23, Stefano Quintarelli ha scritto:
io uso hermit... :-)
https://chimbori.com/help/source-code
Mah ...
Attuamente uso Webapps:
https://f-droid.org/it/packages/com.tobykurien.webapps/
che per il mio utilizzo di FB e Twitter è sufficiente.
rob _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Anzi, invece di "cercare", andate qui: https://federazione.servizicie.interno.gov.it/listSP sono ben 2880 le Pubbliche Amministrazioni che hanno già integrato l'accesso con ENTRA CON CIE ai propri servizi A. Il 03/02/22 11:21, Antonio Iacono ha scritto:
Basta cercare in rete "accedi con cie" e ne vengono fuori parecchi altri.
Il 03/02/22 17:17, Antonio Iacono ha scritto:
Anzi, invece di "cercare", andate qui:
Grazie Antonio, non conoscevo! rob
ciao personalmente ho un telefono e.foundation (degoogled) e uso SPID di sielte (non faccio promozione, solo info) ciao, s. On 03/02/22 09:56, Paolo Atzeni wrote:
Concordo con molte delle osservazioni, ma aggiungo una piccola cosa: siamo sicuri che servano app (Google o altre) per attivare lo SPID? Mi sembra che ci siano provider che inviano l'OTP con un SMS e altri che “in alternativa alla app" [specifica] permettono di usarer una card o un dispositivo fisico. Non faccio nomi e non dico che uno sia migliore dell’altro, ma mi sembra che qualche alternativa all’uso delle app ci sia. Saluti, -PA
Il giorno 3 feb 2022, alle ore 09:46, Damiano Verzulli <damiano@verzulli.it> ha scritto:
Conosco bene il tema in oggetto, in quanto lo scorso 02/01 mi sono DE-Googlizzato.
Di fatto, ho recuperato un vecchio smartphone e ci ho installato sopra una distribuzione Android "libera" (quella Open-Source) e: 1- NON ho configurato l'account Google; 2- NON ho installato le G-Apps [ossia tutto lo stack di applicativi e servizi cui molte app possono far riferimento];
Faccio notare che il punto 2 implica l'impossibilita' di utilizzo (fra gli altri) di Google Maps e Google Play Store.
È una esperienza che consiglio a tutti (specie ai NON tecnici), perché probabilmente è il sistema migliore (e piu' rapido) per capire quanto sia pervasiva (e subdola) la "dipendenza" che oggi il 99,9999% degli utilizzatori di smartphone Android (ed il 100% degli utilizzatore di iOS) subisce passivamente.
Il fatto che una delle mie banche (IntesaSanPaolo, ramo "privati") *NON* mi consenta più l'uso dell'APP... è un conto.
Il fatto che una banca dello stesso gruppo (IntesaSanPaolo, ramo "aziende") mi consenta l'uso dell'APP, ma "avvertendomi" che "..non supportiamo questo dispositivo..", è un interessante spunto di riflessione.
Ma il fatto che l'app InfoCERT (mio provider SPID) dica: "MyInfoCert non funzionerà senza Google Play Services, non supportati dal tuo dispositivo" è un altro conto ancora. Molto piu' grave.
Stante l'importanza di SPID, mi ero preparato e sapevo che con Lepida (nei confronti della quale mi levo il cappello) avrei potuto utilizzare SPID (in particolare, il secondo fattore di autenticazione) utilizzando _ESCLUSIVAMENTE_ tecnologie "open".
Ho quindi aperto un nuovo SPID con Lepida e, nel giro di pochissimo tempo, sono effettivamente riuscito a configurare il rispettivo servizio SPID **SENZA** utilizzare niente altro che uno smartphone "libero" e applicazioni F/OSS.
Questo aspetto mi ha fatto riflettere: probabilmente è la migliore dimostrazione di quel "pericolo di centralizzazione" cui Stefano Quintarelli ha fatto piu' volte riferimento. SPID è "distribuito" e cio' mi ha permesso di "cambiare provider", scegliendone uno che fosse "open-source friendly". Cosa sarebbe successo se SPID fosse stato centralizzato e l'unico provider... NON fosse stato open-source friendly?
Tutto cio' premesso....
Il 02/02/22 14:24, 380° ha scritto:
[...] Questa è una storia di ordinaria sudditanza digitale imposta dai burocrati che "fanno le cose" APPOSITAMNETE a metà [non venite a dirmi che si tratta di ignoranza o stupidità, non credo a Babbo Natale da un pezzo]
...non credo affatto a questo scenario di "sudditanza imposta 'by-design'". L'esperienza maturata [da esterno] dietro le scrivanie di un ufficio tecnico di un medio Ateneo Italiano... ed il confronto che ho sempre cercato con i miei "omologhi" in giro per il Paese.... ha fortemente radicato in me la convinzione che il problema è piu' complesso: da tempo si è persa la capacità di "governare" lo sviluppo ICT, a tutti i livelli; in particolare a quelli apicali.
La mancanza di "sensibilita' ICT" porta le governance a trattare l'IT come poco piu' che "accessorio" alla propria organizzazione. E di conseguenza, ad una disattenzione nella scelta dei propri dirigenti che produce conseguenze devastanti. Su questo punto, resta per me un "faro" la "Relazione della commissione parlamentare d’inchiesta sulla digitalizzazione e l’innovazione della PA" [*] che a pagina 139 dice:
=============================
"La mancanza di adeguate competenze interne impedisce alla PA di contrattare adeguatamente con i fornitori, di progettare correttamente le soluzioni necessarie, di scrivere bandi di gara che selezionino il prodotto o il servizio piu' adeguato e aperto a nuove implementazioni [...] La mancanza di competenze adeguate, soprattutto nei livelli apicali [...] porta al rischio sistematico di impiego inefficiente di denaro pubblico, in alcuni casi vero e proprio spreco. [...] L'analisi dei curricula dei responsabili della transizione digitale [RTD] rende difficile affermare che il comma 1ter dell'articolo 17 del CAD [...che ha istituito tale figura...] sia rispettato, e cioe' che "il responsabile dell'ufficio (...) è dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali", in alcuni casi per stessa ammissione dei responsabili durante le audizioni"
=============================
Come si fa, alla luce di quanto sopra, a sostenere che l'esistenza di dinamiche di lock-in da parte di Google rispetto ai servizi SPID sia _VOLUTA_?
Scusandomi per la citazione, il "Rasoio di Hanlon" mi pare decisamente piu' appropriato.
[...] (c'è tanto da fare per le persone di buona volontà) ma siamo /zavorrati/ qui.
Sul fatto che ci sia tanto da fare... direi che su questa lista siamo tutti d'accordo.
Io, pero', continuo ad essere estremamente critico sul fatto che quello che si fa, è ancora poco. Molto poco. E ci sono moltissimi margini di miglioramento....
Sostenere di essere "zavorrati" è la scelta piu' semplice. Ridurre la dimensione della "zavorra" e spendere l'energia ritrovata in qualcosa di concreto.... è un'altra cosa.
Questa lista, le splendide persone che ne fanno parte, le discussioni che la animano.... il Centro Nexa... il contesto nel quale si muove (PoliTO)... Tutto questo è una miscela "esplosiva", dal potenziale enorme. Vorrei ci adoperassimo un po' tutti... ed un po' di piu'... a de-zavorrarci, per recuperare energie da spendere sui temi a noi cari.
A proposito: dato che la Relazione della Commissione Parlamentare è datata 13/10/2020 e che la prima audizione (rif. pag. 145)risale a 11/2016... perche' non provare a sentire i componenti e, magari, organizzare un bel webinar di approfondimento/discussione con loro? Il Centro NEXA avrebbe certamente l'autorita' per farlo... :-)
Un caro saluto, DV
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Il 03/02/22 11:15, Stefano Quintarelli ha scritto:
ciao personalmente ho un telefono e.foundation (degoogled) e uso SPID di sielte (non faccio promozione, solo info) ciao, s.
e.foundation credo (chiedo conferma, Stefano) installi microg, per l'accesso all'infrastruttura di G. senza account G. Personalmente uso per SPID LepidaID, che è priva di tracker noti, secondo Exodus Privacy[1]. Fino a poco tempo fa prescindeva anche da push notifications google, e credo funzioni ancora comunque con qualche limitazione (niente sbocco con QR) rob [1] https://reports.exodus-privacy.eu.org/it/reports/it.lepida.id.authenticator/...
Buongiorno Damiano, 3 février 2022 09:46 "Damiano Verzulli" <damiano@verzulli.it> a écrit:
Conosco bene il tema in oggetto, in quanto lo scorso 02/01 mi sono DE-Googlizzato.
...
Ma il fatto che l'app InfoCERT (mio provider SPID) dica: "MyInfoCert non funzionerà senza Google Play Services, non supportati dal tuo dispositivo" è un altro conto ancora. Molto piu' grave.
Sono nella tua stessa situazione, ormai da anni. Tuttavia FYI InfoCERT che uso anche io ha un servizio, a pagamento, per inviare OTP tramite SMS, in alternativa all'uso dell'app. Il fastidio e' doverla rinnovare manualmente periodicamente. Anche la mia banca offre questa tipologia di servizio alternativo. Nella mia testa mi sono giustificato questa scelta con la considerazione che la gestione e l'invio di SMS da parte del fornitore di servizi sia piu' costoso rispetto allo sviluppo di una app per Android e IOS. Ma ho ancora dei dubbi a riguardo; sarebbe interessante capire quanto davvero costa ai fornitori una soluzione rispetto all'altra. Saluti -- Ing. E.Roberto-Richiardone
Il 03/02/22 10:16, ERR ha scritto:
Nella mia testa mi sono giustificato questa scelta con la considerazione che la gestione e l'invio di SMS da parte del fornitore di servizi sia piu' costoso rispetto allo sviluppo di una app per Android e IOS. Ma ho ancora dei dubbi a riguardo; sarebbe interessante capire quanto davvero costa ai fornitori una soluzione rispetto all'altra.
Io credo che, prima ancora che un problema "strettamente economico", sia un problema "culturale". Mi spiego: A) è una APP che usa i GoogleServices per interfacciarsi con lo smartphone e con le librerie (di google) di gestione del secondo fattore (sensore biometrico se presente; o TOTP con relative librerie software); B) è una APP che genera il secondo fattore e lo manda via SMS C) è una APP che genera il secondo fattore e lo gestisce via standard TOTP (ad esempio, via FreeOTP+) Secondo me, A) è la piu' economica (in quanto la sviluppi piu' facilmente, attraverso un numero relativamente alto di sviluppatori, incluso lo stagista neolaureato). B) è un epsilon piu' complessa di A), ma comporta un contratto con un qualche operatore. E questo e' un costo addizionale, che in A) non c'e'. C) è implementabile a costo zero, come A)... ma lo sviluppatore _DEVE_ capire come funziona TOTP e come implementarla _SENZA_ utilizzare i servizi Google. È questo l'ostacolo principale. Di fatto deve spendere (lo sviluppatore) due ore a capire cosa e' TOTP + un'ora a capire come implementarlo + lo stesso tempo di A) per "implementare" Chiaramente basterebbe un manager che gli dica: "Usa TOTP!"... ed il problema è risolto. Ma questo manager non c'e'.... ...anzi. Ora che ci penso.... mando adesso una mail a Mazzini (D.G. di Lepida) e gli linko questo thread :-) Essendo una persona di cui ho grande stima (non solo "tecnica"), chissa' che non ne esca qualcosa di interessante :-) Saluti, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
3 février 2022 10:29 "Damiano Verzulli" <damiano@verzulli.it> a écrit:
Il 03/02/22 10:16, ERR ha scritto:
Nella mia testa mi sono giustificato questa scelta con la considerazione che la gestione e l'invio di SMS da parte del fornitore di servizi sia piu' costoso rispetto allo sviluppo di una app per Android e IOS. Ma ho ancora dei dubbi a riguardo; sarebbe interessante capire quanto davvero costa ai fornitori una soluzione rispetto all'altra.
Io credo che, prima ancora che un problema "strettamente economico", sia un problema "culturale". Mi spiego:
A) è una APP che usa i GoogleServices per interfacciarsi con lo smartphone e con le librerie (di google) di gestione del secondo fattore (sensore biometrico se presente; o TOTP con relative librerie software);
B) è una APP che genera il secondo fattore e lo manda via SMS
C) è una APP che genera il secondo fattore e lo gestisce via standard TOTP (ad esempio, via FreeOTP+)
Scusa nel mio "costi" intendevo fattori economici nel senso piu' ampio dei costi/benefici aziendali dell'installare un'app rispetto ai soli SMS. - Con i soli SMS per OTP, non ci sono ulteriori sviluppi oltre alla funzione OTP. - Con l'app usata per OTP (che sia nei vari modi che elenchi, anche se dubito che la B) venga impiegata), hai la flessibilita' di poter proporre ulteriori servizi di comunicazione all'utente, poter avere qualche informazione sull'utente proveniente dall'ambiente Android/IOS, avere la possibilita' in futuro di poter evolvere la soluzione, chi piu' ne ha piu' ne metta. Oltre che offrire una soluzione che l'utente medio si aspetta in quanto la concorrenza fa' cosi' e questo e' lo standard. Sono costi che vanno a finire in gran parte nelle spese di marketing. Saluti -- Ing. E.Roberto-Richiardone
Buongiorno Roberto, ERR <e@richiardone.eu> writes: [...]
- Con l'app usata per OTP
[...]
hai la flessibilita' di poter proporre ulteriori servizi di comunicazione all'utente, poter avere qualche informazione sull'utente proveniente dall'ambiente Android/IOS, avere la possibilita' in futuro di poter evolvere la soluzione, chi piu' ne ha piu' ne metta. Oltre che offrire una soluzione che l'utente medio si aspetta in quanto la concorrenza fa' cosi' e questo e' lo standard. Sono costi che vanno a finire in gran parte nelle spese di marketing.
sì mi pare più che evidente che i provider lo fanno - cioè nascondono le informazioni per usare applicazioni alternative - esattamente per poter "catturare" un nuovo potenziale cliente attraverso gli altri servizi proposti via app (app che io non ho mai neanche visto col binocolo, vado a intuito) è esattamente per questo che dovrebbe essere consentito agli utenti di _scegliere_ se usare l'app ufficiale del fornitore o una applicazione alternativa che fornisca loro /solo/ il servizio SPID (che _ripeto_ è un banalissimo servizio OTP con protocollo TOTP) [...] saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Damiano Verzulli <damiano@verzulli.it> writes:
Il 03/02/22 10:16, ERR ha scritto:
[...]
Ma ho ancora dei dubbi a riguardo; sarebbe interessante capire quanto davvero costa ai fornitori una soluzione rispetto all'altra.
Io credo che, prima ancora che un problema "strettamente economico", sia un problema "culturale". Mi spiego:
A) è una APP che usa i GoogleServices per interfacciarsi con lo smartphone e con le librerie (di google) di gestione del secondo fattore (sensore biometrico se presente; o TOTP con relative librerie software);
B) è una APP che genera il secondo fattore e lo manda via SMS
C) è una APP che genera il secondo fattore e lo gestisce via standard TOTP (ad esempio, via FreeOTP+)
immagino tu ti stia riferendo all'applicazione client ma la sola e unica cosa importante è il /protocollo/ usato lato server, che deve essere (ed è) interoperabile da quello che ho letto è molto probabile che lato server utilizzino software libero (FreeIPA?); il VERO servizio erogato /tecnicamente/ è questo e a quanto pare tutti i provider utilizzano di propria spontanea volontà TOTP: ottimo! lato client potrebbero /semplicemente/ consigliare uno degli N client a disposizione (es. FreeOTP come hai scritto), un po' come succede con i fornitori di caselle email; questo non ha NULLA a che fare con il servizio erogato, non abbiamo bisogno che i fornitori ci "regalino" la app: vogliamo _solo_ i nostri parametri di configurazione poi, ripeto, nessuno dovrebbe essere costretto ad usare un'app - anche se libera - per ottenere la propria OTP, visto che ci sono sistemi perfettamente integrati lato deskop - come ad esempio KeepassCX [1] o PasswordStore con interfacce multiple [2] come qtpass [3] - che con una semplice combinazione di tasti consentono di copincollare l'OTP dove serve [...]
C) è implementabile a costo zero, come A)... ma lo sviluppatore _DEVE_ capire come funziona TOTP e come implementarla _SENZA_ utilizzare i servizi Google. È questo l'ostacolo principale. Di fatto deve spendere (lo sviluppatore) due ore a capire cosa e' TOTP + un'ora a capire come implementarlo + lo stesso tempo di A) per "implementare"
non è affatto necessario che i fornitori SPID sviluppino una propria app per l'invio del codice OTP, così come non è affatto necessario che i fornitori di caselle email sviluppino un proprio client email interoperabilità, appunto [...] saluti, 380° [1] https://keepassxc.org/docs/#faq-security-totp [2] https://www.passwordstore.org/#other [3] https://qtpass.org/ -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Il 03/02/22 10:29, Damiano Verzulli ha scritto:
[...]
Chiaramente basterebbe un manager che gli dica: "Usa TOTP!"... ed il problema è risolto. Ma questo manager non c'e'....
...anzi. Ora che ci penso.... mando adesso una mail a Mazzini (D.G. di Lepida) e gli linko questo thread :-) Essendo una persona di cui ho grande stima (non solo "tecnica"), chissa' che non ne esca qualcosa di interessante :-)
Gianluca Mazzini, DG di Lepida, mi ha risposto, segnalandomi che: "[...] Molto interessante l'analisi [che fate]. Credo che il pubblico debba in ogni caso possibile essere il più neutrale possibile. Anni orsono ero un radicale dell'open source oggi credo che un giusto mix debba esistere per vari motivi. La filiera però non è tra open e closed ma probabilmente tra neutralità e multiscelta, tra linguaggi e middleware. Per quello che posso sarei molto propenso ad ampliare questa discussione in modo laico. [...]" Suggerirei alla segreteria Nexa di tener conto di tale disponibilita' e, alla prima occasione utile, di coinvolgere Mazzini su questo tema specifico. Ovviamente ho segnalato a Mazzini che questa lista è pubblica e, quindi, lui e/o qualche suo collaboratore/collaboratrice puo' certamente seguirne i lavori, senza alcuna preclusione. Saluti, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
Anni orsono ero un radicale dell'open source oggi credo che un giusto mix debba esistere per vari motivi.
Si nasce comunista e si muore democristiano ... Scusate, mi è scappato questo refluo di prima repubblica.
La filiera però non è tra open e closed ma probabilmente tra neutralità e multiscelta, tra linguaggi e middleware.
Tradotto: "Voi sfigati programmatori di software libero continuate a produrre codice che noi, dentro i nostri "bunker", pardon, "cloud" facciamo una "scelta" e decidiamo cosa metterci. Tutt'al più, ogni tanto, doniamo qualche centone ad una "fondazione" pro-free. Grazie a Stefano & C. per averlo scritto in modo più "diplomatico" [1]. Forse sarebbe il caso di tradurre/pubblicare quell'articolo nei media italiani. A. [1] https://www.monde-diplomatique.fr/2022/01/O_NEIL/64221
Il 11/02/22 09:40, Antonio Iacono ha scritto:
[...]
La filiera però non è tra open e closed ma probabilmente tra neutralità e multiscelta, tra linguaggi e middleware.
Tradotto: "Voi sfigati programmatori di software libero continuate a produrre codice che noi, dentro i nostri "bunker", pardon, "cloud" facciamo una "scelta" e decidiamo cosa metterci. Tutt'al più, ogni tanto, doniamo qualche centone ad una "fondazione" pro-free.
Trovo di cattivo gusto questo tono e questo genere di commenti, che certamente NON appartengono a Mazzini. Non sta a me difendere né Mazzini, né Lepida (entrambi "grossi e vaccinati"). Personalmente, pero', credo che fino a quando fra "tecnici" e "manager", fra "sviluppatori" e "manager", fra "sistemisti" e "manager", o anche fra "manager" e "politica" esisteranno muri di questa portata (o, piu' precisamente, l'incapacità di confrontarsi su terreni fatti di fatti concreti).... si fa veramente fatica ad evolvere. Saluti, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
Non sta a me difendere né Mazzini, né Lepida (entrambi "grossi e vaccinati").
Non conosco né Mazzini, né la Lepida e se il mio intervento può essere apparso come un attacco personale me ne scuso, non era assolutamente mia intenzione. A tutto questo, continuo a non capire la frase: "La filiera però non è tra open e closed ma probabilmente tra neutralità e multiscelta, tra linguaggi e middleware", così come non capisco i "muri tra tecnici e manager", ecc. Si parlava di software libero e quello a cui mi riferivo era l'articolo di Stefano Zacchiroli su come i GAFAM (e non solo) l'hanno "sfruttato". A.
Buonasera Damiano, Damiano Verzulli <damiano@verzulli.it> writes:
Il 03/02/22 10:29, Damiano Verzulli ha scritto:
Chiaramente basterebbe un manager che gli dica: "Usa TOTP!"... ed il problema è risolto. Ma questo manager non c'e'....
...anzi. Ora che ci penso.... mando adesso una mail a Mazzini (D.G. di Lepida) e gli linko questo thread :-) Essendo una persona di cui ho grande stima (non solo "tecnica"), chissa' che non ne esca qualcosa di interessante :-)
Gianluca Mazzini, DG di Lepida, mi ha risposto, segnalandomi che:
quindi ha risposto alla tua curiosità di come mai in Lepida non c'è un manager che gli dica "Usa TOTP!"? [...]
Per quello che posso sarei molto propenso ad ampliare questa discussione in modo laico. [...]"
Grazie di aver fatto da latore, purtroppo non mi pare Mazzini abbia aggiunto nulla di concreto ma solo considerazioni generiche un po' criptiche Non rispondo a quanto hai riportato perché non mi pare il caso di interloquire per interposta persona Tra l'altro, se qualcuno di Lepida volesse potrebbe anche approfittarne per fare un blog post ufficiale di chiarimento, non solo per questo thread ma anche per articoli che ho citato: il paese è piccolo, la gente mormora :-) Per quanto mi riguarda, in questo thread (nonostante la difficoltà a rimanere in tema), ho cercato di descrivere "fatti tecnici" concreti e su quelli vorrei confrontarmi /tecnicamente/, possibilmente sgomberando il campo da quello che ho percepito come un rimprovero di non essere sufficientemente laico (ma posso anche sbagliarmi perché le email non hanno tono e non si può leggere tra le righe), che non so nemmeno bene cosa vuol dire Ancora oggi rimangono senza risposta le principali questioni sollevate nei confronti di Lepida: 1. perché impiega un sistema di cifratura (banale, per ora) dei dati di autenticazione inclusi nel traffico di rete tra app e server? 2. perché (come gli altri) non fornisce i dati ai propri clienti lasciandoli liberi di installare l'app che preferiscono? [...] Grazie mille, 380° P.S.: faccio umilmente notare che molti "tecnici", "sviluppatori" e "sistemisti" sono /anche/ "manager" ai quali magari piacerebbe poter offrire software e servizi /interoperabili/ con SPID (per esempio come system integrators); i muri quindi io li vedo tra chi sfrutta una posizione dominante (anche guadagnata e mantenuta a fatica, magari) e quelli che la /subiscono/. A conti fatti siamo TUTTI molto più utenti che fornitori ;-) -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Per offrire servizi usando spid https://www.spid.gov.it/cos-e-spid/diventa-fornitore-di-servizi/ In data 12 febbraio 2022 00:54:31 380° <g380@biscuolo.net> ha scritto:
Buonasera Damiano,
Damiano Verzulli <damiano@verzulli.it> writes:
Il 03/02/22 10:29, Damiano Verzulli ha scritto:
Chiaramente basterebbe un manager che gli dica: "Usa TOTP!"... ed il problema è risolto. Ma questo manager non c'e'....
...anzi. Ora che ci penso.... mando adesso una mail a Mazzini (D.G. di Lepida) e gli linko questo thread :-) Essendo una persona di cui ho grande stima (non solo "tecnica"), chissa' che non ne esca qualcosa di interessante :-)
Gianluca Mazzini, DG di Lepida, mi ha risposto, segnalandomi che:
quindi ha risposto alla tua curiosità di come mai in Lepida non c'è un manager che gli dica "Usa TOTP!"?
[...]
Per quello che posso sarei molto propenso ad ampliare questa discussione in modo laico. [...]"
Grazie di aver fatto da latore, purtroppo non mi pare Mazzini abbia aggiunto nulla di concreto ma solo considerazioni generiche un po' criptiche
Non rispondo a quanto hai riportato perché non mi pare il caso di interloquire per interposta persona
Tra l'altro, se qualcuno di Lepida volesse potrebbe anche approfittarne per fare un blog post ufficiale di chiarimento, non solo per questo thread ma anche per articoli che ho citato: il paese è piccolo, la gente mormora :-)
Per quanto mi riguarda, in questo thread (nonostante la difficoltà a rimanere in tema), ho cercato di descrivere "fatti tecnici" concreti e su quelli vorrei confrontarmi /tecnicamente/, possibilmente sgomberando il campo da quello che ho percepito come un rimprovero di non essere sufficientemente laico (ma posso anche sbagliarmi perché le email non hanno tono e non si può leggere tra le righe), che non so nemmeno bene cosa vuol dire
Ancora oggi rimangono senza risposta le principali questioni sollevate nei confronti di Lepida:
1. perché impiega un sistema di cifratura (banale, per ora) dei dati di autenticazione inclusi nel traffico di rete tra app e server?
2. perché (come gli altri) non fornisce i dati ai propri clienti lasciandoli liberi di installare l'app che preferiscono?
[...]
Grazie mille, 380°
P.S.: faccio umilmente notare che molti "tecnici", "sviluppatori" e "sistemisti" sono /anche/ "manager" ai quali magari piacerebbe poter offrire software e servizi /interoperabili/ con SPID (per esempio come system integrators); i muri quindi io li vedo tra chi sfrutta una posizione dominante (anche guadagnata e mantenuta a fatica, magari) e quelli che la /subiscono/. A conti fatti siamo TUTTI molto più utenti che fornitori ;-)
-- 380° (Giovanni Biscuolo public alter ego)
«Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché»
Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Il 12/02/22 00:54, 380° ha scritto:
Ancora oggi rimangono senza risposta le principali questioni sollevate nei confronti di Lepida:
1. perché impiega un sistema di cifratura (banale, per ora) dei dati di autenticazione inclusi nel traffico di rete tra app e server?
2. perché (come gli altri) non fornisce i dati ai propri clienti lasciandoli liberi di installare l'app che preferiscono?
Concordo, credo che una maggiore apertura sarebbe un vantaggio per tutti, e costituirebbe una singolarità notevole a favore di Lepida nel desolante panorama dei provider SPID rob
Ciao Damiano, rispondo a te ed alla lista, mettendo in copia anche Gianluca Mazzini (ad una casella che ho trovato sul web[1]) nella speranza che ne possa nascere una chiacchierata costruttiva, persino da un punto di vista commerciale. Spero che non si offenda e che prenda in considerazione di iscriversi alla mailing list Nexa (che certamente arricchirebbe con la propria prospettiva imprenditoriale), ma sarei comunque felice di proseguire la chiacchierata in privato qualora decidesse altrimenti. On Fri, 11 Feb 2022 08:46:52 +0100 Damiano Verzulli wrote:
Gianluca Mazzini, DG di Lepida, mi ha risposto, segnalandomi che:
"[...] Credo che il pubblico debba in ogni caso possibile essere il più neutrale possibile.
Se lo Stato fosse "neutrale", smetterebbe di essere Stato. Ogni Stato è necessariamente politico. E la rinuncia ad esercitare tale funzione politica, l'appiattimento sulla narrazione economica liberista, sulla fantasiosa "mano invisibile", sull'ottimizzazione di breve periodo, ha prodotto il disastro culturale, sociale ed economico che la pandemia ha rivelato. Poi la "neutralità" presuppone parti contrapposte in un conflitto cui si rifiuta di prendere parte. Come sappiamo non esiste alcuna effettiva contrapposizione fra open source e software proprietario, per il semplice fatto che le aziende software hanno inventato moltissimi modi per sottrarre alla comunità le libertà formalmente garantite dalle licenze open source: - l'embrace, extend, extinguish nel software proprietario adottato con qualsiasi software che venga distribuito con licenze permissive - i walled garden degli store per Android o iPhone - il "Software as a Service" - incremento della complessità del codice - il controllo degli enti di standardizzazione Non vi è più alcun conflitto in atto fra open source e software proprietario: prova ne sia il fatto che fra i maggiori finanziatori della Free Software Foundation EUROPE ci sono HP, Intel, IBM, Siemens, Amazon e ovviamente Google che da quasi 10 anni, paga più del 10% degli stipendi della FSFE (ma meno del 20%! ci tengono a sottolinearlo!) [2] In assenza dunque di un conflitto, cosa significa essere "neutrali"? Lasciare che i soggetti più forti approfittino dello status quo per diventare ancora più forti? Uno stato democratico non può essere neutrale rispetto alla disponibilità dei sorgenti del software da cui dipende, semplicemente perché quel codice norma e dirige la vita dei cittadini come e talvolta più delle leggi. Uno stato in cui esistono leggi segrete cui tutti sono sottoposti senza poterle conoscere e comprendere può essere molte cose, ma certamente non uno stato democratico. Dunque la "neutralità" nei confronti della disponibilità dei sorgenti del software su cui si basa il funzionamento dello Stato, è neutralità dello Stato rispetto alla democrazia. Vogliamo vivere in uno Stato "neutrale rispetto alla democrazia"?
Anni orsono ero un radicale dell'open source oggi credo che un giusto mix debba esistere per vari motivi. Per quello che posso sarei molto propenso ad ampliare questa discussione in modo laico. [...]"
Sono d'accordo: come cattolico, ritengo molto importante la laicità! :-) Si direbbe che abbiamo effettuato percorsi simili [3]: sono molto critico nei confronti dei limiti del software libero nel prevenire il "corporate capture" del potere che il codice esprime [4], e vedo bene come l'open source non sia altro che uno strumento di marketing. Ci sono certamente casi in cui rendere disponibile un pezzo di codice può renderlo inutile. E' ad esempio il caso di alcuni componenti del progetto Trackin Exposed di Claudio Agosti & friends [5]: rendere disponibile a Facebook, YouTube, PornHub e Amazon certi componenti dei web crowler in questione permetterebbe loro di evitarne il monitoraggio. Sarebbe molto interessante approfondire la prospettiva di Lepida in proposito: che tipo di mix consideri "giusto" Gianluca Mazzini, quali componenti ne facciano parte e perché.
La filiera però non è tra open e closed ma probabilmente tra neutralità e multiscelta, tra linguaggi e middleware.
Questa frase è effettivamente molto criptica. Invece di provare ad interpretarla, pongo una domanda: con la diffusione di SPID, è nata una domanda, a livello nazionale, di servizi compatibili con App open source come FreeOTP [6]. Ovviamente Lepida, come azienda, non deve nulla a nessuno: fintanto che il legislatore non impone (come dovrebbe) interoperabilità client e standard aperti per legge, Lepida ha il diritto di perseguire i propri interessi come meglio crede. Tuttavia, mi chiedo: non si tratta anche di una opportunità? Come ha spiegato bene Giovanni Biscuolo in questo thread, lo standard TOTP permetterebbe di configurare qualsiasi applicazione compatibile in modo non molto diverso da come configuriamo un client email (ed anzi, persino più semplice). Se un qualsiasi fornitore di email vi costringesse a scaricare la propria APP per accedere alla vostra casella probabilmente vi rivolgereste altrove [7]. Ma se TUTTI i fornitori di caselle email facessero lo stesso, nonostante l'interoperabilità del protocollo sottostante? Non sarebbe ridicolo e disfunzionale? Questa è la situazione attuale con SPID. Lepida è ad un passo dall'essere la prima a permettere ai propri clienti di poter scegliere liberamente il proprio client TOTP. E c'è una domanda, destinata a crescere con la diffusione di tale servizio (come è evidente in questa mailing list ed altrove). Dunque perché non soddisfare questa domanda? Perché non accaparrarsi il first mover advantage ed allargare la propria fetta di mercato ad una nicchia crescente? Non sono domande polemiche: mi piacerebbe davvero comprendere i ragionamenti che sottostanno a determinate scelte commerciali. A presto! Giacomo [1] https://www.lepida.it/lavora-con-noi/avvisorif-2018-007 [2] https://fsfe.org/donate/thankgnus [3] http://www.tesio.it/2018/02/14/what-i-wish-i-knew-before-contributing-to-ope... [4] tanto da adottare una licenza libera che NON permette tale privatizzazione: http://www.tesio.it/documents/HACK.txt [5] https://tracking.exposed/ https://github.com/tracking-exposed/ [6] https://freeotp.github.io/ [7] Persino Google evita di rendere esplicito questo ricatto agli utenti GMail, imponendo ai produttori di cellulari che adottano Android l'installazione di GMail come software "di sistema" (e dunque non disinstallabile senza invalidare la garanzia). In questo modo gli utenti non si sentono costretti ed abusati, da Google. "Nudging", lo chiamano quelli che NON capiscono come funziona.
On sab, 2022-02-12 at 16:00 +0100, Giacomo Tesio wrote:
Non vi è più alcun conflitto in atto fra open source e software proprietario: prova ne sia il fatto che fra i maggiori finanziatori della Free Software Foundation EUROPE ci sono HP, Intel, IBM, Siemens, Amazon e ovviamente Google che da quasi 10 anni, paga più del 10% degli stipendi della FSFE (ma meno del 20%! ci tengono a sottolinearlo!) [2]
Sono in forte disaccordo con questa affermazione, non è che se ho la convenienza di pagarti allora non ho anche quella di strangolarti. Magari le cose fossero così semplici.
Buongiorno Damiano e nexiane, se possibile mi piacerebbe che questo thread rimanesse specifico su SPID, anche se è evidente che ci sono anche altre questioni collegate Damiano Verzulli <damiano@verzulli.it> writes: [...]
Ho quindi aperto un nuovo SPID con Lepida e, nel giro di pochissimo tempo, sono effettivamente riuscito a configurare il rispettivo servizio SPID **SENZA** utilizzare niente altro che uno smartphone "libero" e applicazioni F/OSS.
molto interessante grazie! appena riesco provo quel servizio ma nel frattempo per favore potresti dirci come hai fatto ad ottenere l'URI OTP tipo questo: otpauth://totp/<provider>:<user>?secret=<secret>&algorithm=<hash>&period=<interval>&digits=<digits> ti forniscono un qrcode nella tua area riservata dell'account Lepida SPID?
Tutto cio' premesso....
[...]
ha fortemente radicato in me la convinzione che il problema è piu' complesso: da tempo si è persa la capacità di "governare" lo sviluppo ICT, a tutti i livelli; in particolare a quelli apicali.
stai forse dicendo che in AgID, che governa SPID, non sanno scrivere le regole tecniche per garantire che i servizi vengano erogati in modo interoperabile? l'interoperabilità è un diritto (e dovrebbe essere sancita anche nell'ultima versione del CAD ma boh), NON dovrebbe essere lasciata alla "libera concorrenza", perché siamo in quattro gatti ad avere questo tipo di "sensibilità digitale" e le minoranze vanno protette :-D (e domani mattina Lepida potrebbe essere acquistata da un grosso gruppo o - non lo aguro! - fallire) [...]
Su questo punto, resta per me un "faro" la "Relazione della commissione parlamentare d’inchiesta sulla digitalizzazione e l’innovazione della PA" [*] che a pagina 139 dice:
sì ma qui non stiamo parlando di transizione digitale delle miriadi di uffici centrali e periferici della PA, non stiamo parlando di come Regione Lombardia o Regione Lazio gestiscono le gare di appalto ICT stiamo parlando un un servizio _banale_ come SPID (OTP), basato su SAML, che oltre ad avere l'evidente difetto di non essere interoparabile per /evidente/ malizia di quasi tutti i fornitori, ha pure il meno evidente difetto che le varie istanze SAML NON sono federate tra loro, rendendo più macchinosa di come dovrebbe essere l'esperienza utente: il punto di accesso SPID dovrebbe essere uno solo - tipo spid.gov.it - mica uno per ogni provider tutto questo è banalmente risolvibile con un aggiornamento dei requisiti tecnici e un adeguamento in tempi ragionevoli
Come si fa, alla luce di quanto sopra, a sostenere che l'esistenza di dinamiche di lock-in da parte di Google rispetto ai servizi SPID sia _VOLUTA_?
Scusandomi per la citazione, il "Rasoio di Hanlon" mi pare decisamente piu' appropriato.
che dice: «Mai attribuire a malafede quel che si può adeguatamente spiegare con la stupidità.» [1] ultimamente sento questo motto troppo spesso e... no Damiano, non sono per nulla d'accordo: è ora di smetterla di pensare che chi prende le decisioni in quel modo lo fa perché è stupido, è una scorciatoia dialettica ingannevole e (perdonami) un po' presuntuosa per capirci, io mi sto riferendo alla decisione di AgID di NON imporre ai provider SPID, attraverso le regole tecniche, l'uso di un sistema OTP standard (tipo TOTP) e l'obbligo di fornire ai clienti tutte le informazioni necessarie per connettersi al sistema attraverso /qualsiasi/ client OTP sono /sicuro/ non essere frutto di stupidità (o incompetenza) è una decisione politica [...] Saluti, 380° [1] che fa letteralmente a pezzi il ben più elevato principio di economia del rasoio di Occam «è futile fare con più mezzi ciò che si può fare con meno», che sostanzialmente invita a non complicare inutilmente le cose complesse -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Il 03/02/22 11:15, 380° ha scritto:
[...] ma nel frattempo per favore potresti dirci come hai fatto ad ottenere l'URI OTP tipo questo:
otpauth://totp/<provider>:<user>?secret=<secret>&algorithm=<hash>&period=<interval>&digits=<digits>
Utilizzando il codice python che trovi nei commenti a questo thread: https://www.reddit.com/r/ItalyInformatica/comments/oxateo/da_lepidaid_a_totp... Bye, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
Damiano Verzulli <damiano@verzulli.it> writes: [...]
Utilizzando il codice python che trovi nei commenti a questo thread:
https://www.reddit.com/r/ItalyInformatica/comments/oxateo/da_lepidaid_a_totp...
interessante articolo grazie! mi pare un'istanza di quanto già segnalato: https://blog.jacopo.io/it/post/spid-google-authenticator/ --8<---------------cut here---------------start------------->8--- Se qualcuno leggesse da Lepida, mettiamo in chiaro che apprezziamo molto l'uso degli standard, e ci lamentiamo di come siano stati offuscati invece di essere sfruttati appieno. [...] Se il contenuto di questo post per qualche motivo fosse considerato un problema da Lepida, il modo migliore per risolverlo sarebbe implementare nella gestione account un enrolling standard col QR per chi già usa TOTP con altri siti, volendo continuando a consigliare la app che ha qualche feature in più. --8<---------------cut here---------------end--------------->8--- quindi per ottenere i dati occorre installate mitmproxy, la app, sniffare il traffico e applicare la sostituzione monoalfabetica (ma che davero?!?!) al secret: non è proprio alla portata di tutti (anche con script python), non trovi? per chi fosse interessato, poi il thread reddit spiega altri due modi alternativi: uno che utilizza uno script python che non necessita di app e mitmproxy, l'altro che utilizza un URI specifico e la funzione "network debugger" del browser per curiosità: hai provato a chiedere a Lepida i tuoi dati per TOTP? grazie, 380° [...] -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Il 03/02/22 12:24, 380° ha scritto:
Damiano Verzulli <damiano@verzulli.it> writes:
[...]
Utilizzando il codice python che trovi nei commenti a questo thread:
https://www.reddit.com/r/ItalyInformatica/comments/oxateo/da_lepidaid_a_totp...
interessante articolo grazie! mi pare un'istanza di quanto già segnalato: https://blog.jacopo.io/it/post/spid-google-authenticator/
Si, sono entrambe letture interessanti per un tecnico. Grazie a te e Damiano.
--8<---------------cut here---------------start------------->8---
Se qualcuno leggesse da Lepida, mettiamo in chiaro che apprezziamo molto l'uso degli standard, e ci lamentiamo di come siano stati offuscati invece di essere sfruttati appieno.
[...] Se il contenuto di questo post per qualche motivo fosse considerato un problema da Lepida, il modo migliore per risolverlo sarebbe implementare nella gestione account un enrolling standard col QR per chi già usa TOTP con altri siti, volendo continuando a consigliare la app che ha qualche feature in più.
--8<---------------cut here---------------end--------------->8---
Che poi (l'enrolling standard con QR) è esattamente quello che si fa per identificarsi preso moltissimi fornitori di servizi, Google incluso!
quindi per ottenere i dati occorre installate mitmproxy, la app, sniffare il traffico e applicare la sostituzione monoalfabetica (ma che davero?!?!) al secret: non è proprio alla portata di tutti (anche con script python), non trovi?
Già. Non capisco perchè anche chi apparentemente non infila cose assurde e inammissibili nel proprio codice (come Lepida, a quanto pare) debba essere più realista del re insistendo con la "sicurezza attraverso l'oscurità".
per chi fosse interessato, poi il thread reddit spiega altri due modi alternativi: uno che utilizza uno script python che non necessita di app e mitmproxy, l'altro che utilizza un URI specifico e la funzione "network debugger" del browser
molto interessante, infatti.
per curiosità: hai provato a chiedere a Lepida i tuoi dati per TOTP?
Spero ben che non abbia il secret totp degli utenti, se capisco cosa intendi ... (in ogni caso occorre fidarsi se si usa l'app) rob
Il 3 febbraio 2022 16:34:24 CET, Roberto Resoli <roberto@resolutions.it> ha scritto: ...
per curiosità: hai provato a chiedere a Lepida i tuoi dati per TOTP?
Spero ben che non abbia il secret totp degli utenti,
Che sciocchezza ho scritto. Ovviamente lo ha, essendo l'elemento base condiviso per la generazione pseudocasuale. Visto che lo trasmette in un POST all'utente, dopo l'identificazione, tanto varrebbe esibirlo con un QR, invece di fidare nell'oscurità di una app. rob
Scusate: Ieri sono stato costretto da ospedale Monza a pagare una cartella clinica con PagoPA. Un cinema a partire dall'uso dello Spid. Mezz'ora transitando dal mio conto corrente (non ho cmq aderito a PagoPA) e alla fine del processo c'era una ricevuta per l'ospedale piena di miei dati. Ho chiesto inutilmente di pagare con. Bonifico. Idem per spedizione contrassegno, due cose "normali" un tempo. L'alternativa era più vessatoria: andare a Monza da Milano e pagare in contanti al CUP previa kilometrica fila. Domanda: ma è LEGALE una cosa del genere? Se non lo è fornitemi benzina e io faccio un esposto alla magistratura. D'accordo. Non servirà, direte voi. Ma esiste anche la dignità. Si può fare tramite PEC. Io di fronte a cose del genere mi sento letteralmente violentato. Grazie per le info operative che state dando sui telefoni degloogghizzati. Grazie. Cordialità varie. Joanne Maria Pini Il gio 3 feb 2022, 09:46 Damiano Verzulli <damiano@verzulli.it> ha scritto:
Conosco bene il tema in oggetto, in quanto lo scorso 02/01 mi sono DE-Googlizzato.
Di fatto, ho recuperato un vecchio smartphone e ci ho installato sopra una distribuzione Android "libera" (quella Open-Source) e: 1- NON ho configurato l'account Google; 2- NON ho installato le G-Apps [ossia tutto lo stack di applicativi e servizi cui molte app possono far riferimento];
Faccio notare che il punto 2 implica l'impossibilita' di utilizzo (fra gli altri) di Google Maps e Google Play Store.
È una esperienza che consiglio a tutti (specie ai NON tecnici), perché probabilmente è il sistema migliore (e piu' rapido) per capire quanto sia pervasiva (e subdola) la "dipendenza" che oggi il 99,9999% degli utilizzatori di smartphone Android (ed il 100% degli utilizzatore di iOS) subisce passivamente.
Il fatto che una delle mie banche (IntesaSanPaolo, ramo "privati") *NON* mi consenta più l'uso dell'APP... è un conto.
Il fatto che una banca dello stesso gruppo (IntesaSanPaolo, ramo "aziende") mi consenta l'uso dell'APP, ma "avvertendomi" che "..non supportiamo questo dispositivo..", è un interessante spunto di riflessione.
Ma il fatto che l'app InfoCERT (mio provider SPID) dica: "MyInfoCert non funzionerà senza Google Play Services, non supportati dal tuo dispositivo" è un altro conto ancora. Molto piu' grave.
Stante l'importanza di SPID, mi ero preparato e sapevo che con Lepida (nei confronti della quale mi levo il cappello) avrei potuto utilizzare SPID (in particolare, il secondo fattore di autenticazione) utilizzando _ESCLUSIVAMENTE_ tecnologie "open".
Ho quindi aperto un nuovo SPID con Lepida e, nel giro di pochissimo tempo, sono effettivamente riuscito a configurare il rispettivo servizio SPID **SENZA** utilizzare niente altro che uno smartphone "libero" e applicazioni F/OSS.
Questo aspetto mi ha fatto riflettere: probabilmente è la migliore dimostrazione di quel "pericolo di centralizzazione" cui Stefano Quintarelli ha fatto piu' volte riferimento. SPID è "distribuito" e cio' mi ha permesso di "cambiare provider", scegliendone uno che fosse "open-source friendly". Cosa sarebbe successo se SPID fosse stato centralizzato e l'unico provider... NON fosse stato open-source friendly?
Tutto cio' premesso....
Il 02/02/22 14:24, 380° ha scritto:
[...] Questa è una storia di ordinaria sudditanza digitale imposta dai burocrati che "fanno le cose" APPOSITAMNETE a metà [non venite a dirmi che si tratta di ignoranza o stupidità, non credo a Babbo Natale da un pezzo]
...non credo affatto a questo scenario di "sudditanza imposta 'by-design'". L'esperienza maturata [da esterno] dietro le scrivanie di un ufficio tecnico di un medio Ateneo Italiano... ed il confronto che ho sempre cercato con i miei "omologhi" in giro per il Paese.... ha fortemente radicato in me la convinzione che il problema è piu' complesso: da tempo si è persa la capacità di "governare" lo sviluppo ICT, a tutti i livelli; in particolare a quelli apicali.
La mancanza di "sensibilita' ICT" porta le governance a trattare l'IT come poco piu' che "accessorio" alla propria organizzazione. E di conseguenza, ad una disattenzione nella scelta dei propri dirigenti che produce conseguenze devastanti. Su questo punto, resta per me un "faro" la "Relazione della commissione parlamentare d’inchiesta sulla digitalizzazione e l’innovazione della PA" [*] che a pagina 139 dice:
=============================
"La mancanza di adeguate competenze interne impedisce alla PA di contrattare adeguatamente con i fornitori, di progettare correttamente le soluzioni necessarie, di scrivere bandi di gara che selezionino il prodotto o il servizio piu' adeguato e aperto a nuove implementazioni [...] La mancanza di competenze adeguate, soprattutto nei livelli apicali [...] porta al rischio sistematico di impiego inefficiente di denaro pubblico, in alcuni casi vero e proprio spreco. [...] L'analisi dei curricula dei responsabili della transizione digitale [RTD] rende difficile affermare che il comma 1ter dell'articolo 17 del CAD [...che ha istituito tale figura...] sia rispettato, e cioe' che "il responsabile dell'ufficio (...) è dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali", in alcuni casi per stessa ammissione dei responsabili durante le audizioni"
=============================
Come si fa, alla luce di quanto sopra, a sostenere che l'esistenza di dinamiche di lock-in da parte di Google rispetto ai servizi SPID sia _VOLUTA_?
Scusandomi per la citazione, il "Rasoio di Hanlon" mi pare decisamente piu' appropriato.
[...] (c'è tanto da fare per le persone di buona volontà) ma siamo /zavorrati/ qui.
Sul fatto che ci sia tanto da fare... direi che su questa lista siamo tutti d'accordo.
Io, pero', continuo ad essere estremamente critico sul fatto che quello che si fa, è ancora poco. Molto poco. E ci sono moltissimi margini di miglioramento....
Sostenere di essere "zavorrati" è la scelta piu' semplice. Ridurre la dimensione della "zavorra" e spendere l'energia ritrovata in qualcosa di concreto.... è un'altra cosa.
Questa lista, le splendide persone che ne fanno parte, le discussioni che la animano.... il Centro Nexa... il contesto nel quale si muove (PoliTO)... Tutto questo è una miscela "esplosiva", dal potenziale enorme. Vorrei ci adoperassimo un po' tutti... ed un po' di piu'... a de-zavorrarci, per recuperare energie da spendere sui temi a noi cari.
A proposito: dato che la Relazione della Commissione Parlamentare è datata 13/10/2020 e che la prima audizione (rif. pag. 145)risale a 11/2016... perche' non provare a sentire i componenti e, magari, organizzare un bel webinar di approfondimento/discussione con loro? Il Centro NEXA avrebbe certamente l'autorita' per farlo... :-)
Un caro saluto, DV
[*]
https://docs.italia.it/media/pdf/relazionecommissionedigitale-docs/bozza/rel...
-- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
ciao, On 03/02/22 11:32, Joanne Maria Pini wrote:
Ieri sono stato costretto da ospedale Monza a pagare una cartella clinica con PagoPA.
avevo messo nel CAD l'obbligo di accettare pagamenti anche con bonifico e pubblicare l'IBAN sul sito dell'ente. poi e' stato tolto... ciao, s.
Ciao Stefano, On February 3, 2022 11:00:18 AM UTC, Stefano Quintarelli <stefano@quintarelli.it> wrote:
avevo messo nel CAD l'obbligo di accettare pagamenti anche con bonifico e pubblicare l'IBAN sul sito dell'ente. poi e' stato tolto...
Perché è stato tolto? Giacomo
bisogna chiederlo a chi l'ha tolto... mi pare durante l'esecutivo precedente On 03/02/22 12:46, Giacomo Tesio wrote:
Ciao Stefano,
On February 3, 2022 11:00:18 AM UTC, Stefano Quintarelli <stefano@quintarelli.it> wrote:
avevo messo nel CAD l'obbligo di accettare pagamenti anche con bonifico e pubblicare l'IBAN sul sito dell'ente. poi e' stato tolto...
Perché è stato tolto?
Giacomo
participants (11)
-
380° -
Antonio Iacono -
Damiano Verzulli -
ERR -
Giacomo Tesio -
Joanne Maria Pini -
M. Fioretti -
Marco A. Calamari -
Paolo Atzeni -
Roberto Resoli -
Stefano Quintarelli