Tecnologie digitali a supporto della partecipazione pubblica
La comunità di pratica sulle tecnologie digitali a supporto della partecipazione pubblica
Autenticazione e unicità
Ultimo commento di
Partecipanti
3
Gruppi
0
Riferimento: tec-DEBA-2024-06-19
Versione 1 (di 1) vedi altre versioni
L'autenticazione su piattaforme di qualunque tipo, che sia fatta tramite SPID, CIE o CNS, o che sia fatta con e-mail e password non garantisce l'unicità della coppia account-persona.
Infatti una stessa persona può registrarsi più volte con diversi SPID, ad esempio, o con SPID, CIE e CNS creando account diversi.
Come si potrebbe capire con ragionevole certezza se si tratta di persone diverse o sempre le stesse? Confrontando il Codice fiscale? Non è univoco in maniera certa, ma è forse l'identificativo migliore se ricavato dall'autenticazione via SPID, CIE, CNS perchè lo si ottiene dal provider che ne garantisce l'autenticità. Se si trattasse di un cf fatto scrivere dall'utente nel momento della registrazione, ovviamente non si potrebbe essere certi che non ne venga usato più di uno dalla stessa persona.
Infatti una stessa persona può registrarsi più volte con diversi SPID, ad esempio, o con SPID, CIE e CNS creando account diversi.
Come si potrebbe capire con ragionevole certezza se si tratta di persone diverse o sempre le stesse? Confrontando il Codice fiscale? Non è univoco in maniera certa, ma è forse l'identificativo migliore se ricavato dall'autenticazione via SPID, CIE, CNS perchè lo si ottiene dal provider che ne garantisce l'autenticità. Se si trattasse di un cf fatto scrivere dall'utente nel momento della registrazione, ovviamente non si potrebbe essere certi che non ne venga usato più di uno dalla stessa persona.
Inoltre, la responsabile della Partecipazione in Regione Emilia-Romagna solleva anche un'altra questione: non sarebbe più apprezzata dai cittadini la possibilità di interagire in piattaforma senza autenticarsi? Quello che è consentito, per capirci, nel caso dei questionari, non potrebbe essere scelto anche per commenti o proposte, ad esempio?
Renderebbe più ampia e fluida la partecipazione? Sarebbe più inclusivo? O lo sarebbe lasciare la possibilità di altre forme di autenticazione (vedi quella google, social o classica con mail e password)?
Renderebbe più ampia e fluida la partecipazione? Sarebbe più inclusivo? O lo sarebbe lasciare la possibilità di altre forme di autenticazione (vedi quella google, social o classica con mail e password)?
Si vorrebbe discutere insieme di questi due aspetti legati all'autenticazione e all'interazione su piattaforme di partecipazione.
Elenco dei sostenitori
Segnala un problema
Questo contenuto è inappropriato?
Chiudi dibattito
Qual è la sintesi o la conclusione di questo dibattito?
Dettagli commento
Stai vedendo un singolo commento
Visualizza tutti i commenti
Conversazioni con Stefania Caputo
Considerato che Decidim consente dei botta e riposta nei commenti, è necessario sapere chi ha scritto (anche con un nickname come Waltibus89) per capire chi mi sta rispondendo. Non vedo come si possa fare senza autenticazione. Che poi si voglia distinguere tra autenticazione forte e debole, già c'è anche con SPID.
Si si una sorta di registrazione con utente e password come ogni sito ci sta ed è giusto per i commenti e sapere chi scrive, per altre cose partecipative che richiedono più certezza della persona come spid o altro allora li si serve sicurezza. Ma per i commenti io terrei solo registrazione semplice nome cognome nikname o nome utente e password e apposto. Invece per processi partecipativi concordo nel usare lo Spid e nelle votazioni ogni sistema possibile come può essere con Inbank di un conto corrente con quindi autenticazione a più fattori.
Lo SPID consente entrambe le cose, autenticazione solo con utente e password (livello 1) e autenticazione multifattore (livello 2, quella che si usa all'agenzia delle entrate per esempio). Con il vantaggio che non ci si deve ricordare una password per ogni sito cui ci si registra, perché si usa sempre la stessa. La farraginosità dell'uso dello SPID è quella del multiprovider che porta a fare 2/3 click per raggiungere il proprio gestore. Probabilmente questo si potrebbe saltare se si usasse solo un'utenza con le stesse caratteristiche (utente e pwd per livello 1, e multifattore per livello 2) associata alla carta di identità e gestita da un unico gestore (lo Stato). La scelta di affidare a privati la certificazione dell'identità delle persone e il processo di autenticazione porta ad aumentare il numero di passaggi per arrivare ad inserire l'utente e la password (oltre a rendere complicato riconoscerla univocamente).
Sto caricando i commenti ...