Liberare l'utilizzo di OTP

Lost · 5 Novembre 2022, 11:53pm

In alcuni gruppi telegram che sto seguendo è stato citato in passato questo bel articolo:

[1] SPID e Google Authenticator: quando l'interoperabilità viene ostacolata di proposito – Jacopo Jannone - blog

Anche se l’articolo fa riferimento a SPID i concetti espressi in esso
si possono generalizzare a qualunque servizio in cui viene utilizzato OTP (one time password)
e in particolare alle app bancarie.

L’argomento è particolarmente interessante e caldo in quanto è uno dei problemi maggiori che
incontrano gli utenti che utilizzano rom modificate o sistemi linux mobile (es. ubuntu touch)
perchè spesso queste apps non funzionano correttamente con essi e dunque non è possibile ottenere l’OTP, costringendo l’utente ad utilizzare un altro telefono per lo scopo o a desistere nell’utilizzare altri sistemi.

Scrivo questo post per avere un riferimento unico alle varie istanze che ho trovato in giro per la rete, nella speranza di poter aumentare le discussioni sul tema, la sua diffusione e la condivisione di possibili soluzioni, anche fuori da questo forum.

Infatti, anche se la percentuale degli utenti citati può essere esigua rispetto alla popolazione degli utilizzatori di tali servizi, essa si può estendere a tutto il mondo floss, fino a comprendere tutti in conseguenza delle motivazioni all’interno dell’articolo.

Anche se non strettamente in-topic vorrei collegare anche questo thread:
[2] Big Tech lotta (ancora) contro le password

In conseguenza a questa discussione e a quelle linkate è stata creata questa:

Lista Servizi

Ultima modifica: 25/2/2025
N.B. Le informazioni della tabella sono frutto di segnalazioni di diversi utenti del forum o esterne per cui potrebbero essere inesatte o non aggiornate.

‘tipo’= tipologia di servizio
‘OTP alt’ = otp alternativi
‘apps’= apps utilizzate dal servizio (per ricerche nelle altre liste)
‘url’= fonti web
‘NOTE’= riguardo il servizio/otp alternativo

Servizio/ Ente	tipo	OTP alt	apps	url	NOTE
Allianz Bank	home_bank	sms, telefono	App Allianz Bank	link
Banca Cambiano	home_bank	sms?	CambianOnline, Plainpay	link1 link2	[3]
Banca di Pisa e Fornacette	home_bank	token_fisico, sms	RelaxBanking, MyCartaBCC	link	[3]
Banca Etica	home_bank	sms	Symantec Vip Access	link	[3]
Banca Popolare di Sondrio	home_bank	token_fisico	SCRIGNOApp	link	[4]
Banco BPM	home_bank	sms, token_fisico, card	YouApp	link
BdM Banca	home_bank	token_fisico	Mi@ (Mobile Banking BdM Banca e CRO)	link
Deutsche Bank	home_bank	token_fisico	DB Secure Authenticator	link
Intesa Sanpaolo	home_bank	sms	Intesa Sanpaolo Mobile	link	[6]
Poste Italiane	home_bank	sms	Bancoposta, Postepay	link
Sparkasse	home_bank	telefono	Sparkasse ON	link
Unicredit	home_bank	token_fisico	Mobile Banking Unicredit	link
Webank	home_bank	token_fisico	Webank - Conto Online (Gruppo Banco BPM)	link
IntesaID	SPID	sms		link
SpidItalia	SPID	sms		link
TIM ID	SPID	sms		link

[3]. Sembra che la banca utilizzi questa piattaforma per l’home banking: MITO-Cabel
[4]. costo del token-fisico 20€
[6]. Servizio sms a pagamento

Risorse (Altre Liste)

Nella lista sopra si cercherà di mostrare solo servizi con OTP alternativi.
Per tutti gli altri o per approfondire l’utilizzo delle apps associate potete ricercare info quì:

pentautonic · 7 Novembre 2022, 8:26am

Ciao, ti ringrazio. Secondo me il prossimo passo è, con l’aiuto di un giurista magari, capire se ciò costituisca o meno una violazione del CAD (e in che modo) così che ILS possa inoltrare una segnalazione al difensore civico AGID.

Secondo me è una questione fondamentale, viene prima anche della diffusione di GNU/Linux. Non può a mio avviso passare il principio che i servizi al cittadino possono essere erogati solo a chi ha un account Google o Apple (o, ancor peggio, è disposto a violare i termini di servizio degli store scaricando le applicazioni altrove, esponendosi tra l’altro a rischi di cybersecurity).

Lost · 8 Novembre 2022, 10:31am

Grazie a te per la risposta e per la passione che hai verso l’argomento.
Anche io lo reputo più interessante di altri.

Prima di intraprendere qualsiasi azione bisognerebbe analizzare come farla nel modo migliore.
Come hai detto tu prima bisogna informarsi, organizzarsi.

Vorrei appuntare alcune cose che si possono (dovrebbero) fare subito:

valutare quali gruppi/persone sono interessate all’argomento e coordinarsi con loro.

Sicuramente gli utenti di smartphone che ho citato nel primo post.
Io ho già contattato alcuni gruppi come Lealternative e UbportsITALIANO.

A riguardo ricordo che questa discussione è stata citata (e si sta svillupando in parallelo) nel fediverso (Lemmy):

Gruppi come PrivacyBeneComune e MonitoraPA in cui si potrebbero avere anche consigli riguardo all’aspetto legale/azione civica

Dato che altrove si è detto che la cosa da un punto di vista legale ha un ambito europeo, e considerato comunque il tema
FSFE potrebbe essere un contatto importante.
So che nel gruppo Merge-it ci sono dei referenti.

organizzare i dati in nostro possesso e migliorarli.

In questa discussione considerate anche quelle collegate e link esterni ci sono almeno 3 liste di servizi
anche se con punti di vista diversi:

quella de Lealternative:
quella dell’articolo di Jannone
quella del thread sulle app bancarie (estrapolabile dalla discussione)

vogliamo vedere come coordinare queste informazioni?
Se ne vuole creare uno unico?

Infine

Non reinventare la ruota.

Esistono altre realtà che hanno lo stesso obbiettivo del titolo della discussione?
Esistono altre realtà che hanno obbiettivi simili a quello del titolo della discussione?

pentautonic · 8 Novembre 2022, 12:35pm

Forse gli utenti italiani della comunità di F-Droid potrebbero essere interessati al tema, così come svariati utenti del forum ufficiale sui servizi pubblici digitali. Non sarebbe una cattiva idea coinvolgere qualche produttore di smartphone/OS italiano (o europeo) penalizzato dalle attuali scelte. Ma anche ILS potrebbe tutelare GNU/Linux, forse esiste un motivo valido perché chi ha un laptop sia escluso dallo SPID?

Io di smartphone non ne so molto però noto le incompatibilità con il CAD, che parla solo dei servizi pubblici. Per il privato, la questione è decisamente più complessa perché servirebbe una legge apposita (a mio avviso possibile solo a livello comunitario) o forse qualche imprenditore dovrebbe investire in una banca 100% FLOSS-friendly. Io per adesso mi focalizzerei sulla PA, per la quale esiste già una legge e sulla quale il governo ha un qualche controllo (a differenza del privato).

Lost · 20 Novembre 2022, 12:47pm

Direi di cominciare dai dati e in particolare dall’ultima lista che ho citato (app bancarie).
E’ stato creato questo repository per poter condividere e collaborare:

Per il momento é stato utilizzato markdown ma non credo sia difficile convertire il tutto in formato web.

Ho aggiunto le prime tre banche per numero di filiali.
Anche se la tendenza sembra essere quella di utilizzare le app, i risultati confermano il dubbio sull’obbligatorietà di esse.

Lost · 12 Gennaio 2023, 2:52pm

Ho cercato di portare avanti quello che ho detto:
Ho contattato tutti i gruppi che ho citato e anche qualcuno in più.

Il gruppo Merge-it si è dimostrato interessato alla discussione, e in particolare la Fsfe è stata molto disponibile.
E’ stata paventata la possibilità di una collaborazione su questi temi, anche se ancora è tutto da definire.

Non ho inserito ulteriori record nella lista anche se ne ho avuto notizia.
Questo perchè al momento sono l’unico editore del repository e non volevo togliere tempo ad altre cose tra cui impegni personali.

Nonostante ciò la lista, anche nella forma attuale, ha un valore e non e stato tempo perso:

Ha organizzato meglio i dati della discussione sui conti correnti rendendoli più leggibili e quindi più utili.
ha dimostrato che, anche se ci sono delle motivazioni ragionevoli sull’utilizzo dello smartphone come strumento di accesso, l’obbligatorietà di utilizzare le apps denunciata da alcune banche è un fake.
Invece che creare l’ennesima lista sul funzionamento di talune app su android sono state collegate liste esistenti aggiungendo altre tipologie di dati.
il repository creato può essere utilizzato da chiunque come punto di partenza per sviluppare ancora l’argomento.
In particolare può essere usato come base dati di partenza (da aumentare) per avvalorare campagne legate all’argomento.

Infine, nei gruppi, ho chiesto anche l’aiuto nell’individuare leggi che possano sposare la causa.
Purtroppo non ho ricevuto ancora nessun consiglio.

Credo che questa è la parte in cui ci si dovrebbe concentrare di più al momento.
Se non cambiano le priorità pensavo di aggiungere questi riferimenti (legali) poi al repository per avere ulteriori strumenti su cui basare attività future.

pentautonic · 4 Aprile 2025, 5:20pm

Potremmo aggiungere anche i fornitori di firma digitale in cloud a questa lista? Ho notato che parecchi richiedono l’installazione della propria app proprietaria per l’OTP.

Lost · 5 Aprile 2025, 10:53pm

Non sono un gran conoscitore della materia ma si può inserire qualsiasi servizio.
La tabella si limita però a quelli con un otp alternativo.
Nel caso specifico quale sarebbe? Ne esistono?

pentautonic · 6 Aprile 2025, 5:28am

Pare che Infocamere supporti l’invio di OTP per firma remota via SMS.

Fonte: Firma digitale Remota | ID InfoCamere

Lost · 6 Aprile 2025, 3:17pm

Bene.
Se sei sufficientemente sicuro delle informazioni in tuo possesso
crea una nuova riga nella tabella e inserisci i campi.
Aggiorna la data dell’ultima modifica.