Liberare l'utilizzo di OTP

Generale
1

In alcuni gruppi telegram che sto seguendo è stato citato in passato questo bel articolo:

[1] SPID e Google Authenticator: quando l'interoperabilità viene ostacolata di proposito – Jacopo Jannone - blog

Anche se l’articolo fa riferimento a SPID i concetti espressi in esso
si possono generalizzare a qualunque servizio in cui viene utilizzato OTP (one time password)
e in particolare alle app bancarie.

L’argomento è particolarmente interessante e caldo in quanto è uno dei problemi maggiori che
incontrano gli utenti che utilizzano rom modificate o sistemi linux mobile (es. ubuntu touch)
perchè spesso queste apps non funzionano correttamente con essi e dunque non è possibile ottenere l’OTP, costringendo l’utente ad utilizzare un altro telefono per lo scopo o a desistere nell’utilizzare altri sistemi.

Scrivo questo post per avere un riferimento unico alle varie istanze che ho trovato in giro per la rete, nella speranza di poter aumentare le discussioni sul tema, la sua diffusione e la condivisione di possibili soluzioni, anche fuori da questo forum.

Infatti, anche se la percentuale degli utenti citati può essere esigua rispetto alla popolazione degli utilizzatori di tali servizi, essa si può estendere a tutto il mondo floss, fino a comprendere tutti in conseguenza delle motivazioni all’interno dell’articolo.

Anche se non strettamente in-topic vorrei collegare anche questo thread:
[2] Big Tech lotta (ancora) contro le password

In conseguenza a questa discussione e a quelle linkate è stata creata questa:

Lista Servizi

Ultima modifica: 27/11/2025

N.B. Le informazioni della tabella sono frutto di segnalazioni di diverse utenze del forum o esterne per cui potrebbero essere inesatte o non aggiornate.

‘tipo’= tipologia di servizio
‘OTP alt’ = otp alternativi
‘apps’= apps utilizzate dal servizio (per ricerche nelle altre liste)
‘url’= fonti web
‘NOTE’= riguardo il servizio/otp alternativo

Servizio/Ente tipo OTP alt apps url NOTE
Allianz Bank home_bank sms, telefono App Allianz Bank link
Banca Cambiano home_bank sms? CambianOnline, Plainpay link1link2 [3]
Banca di Pisae Fornacette home_bank token_fisico, sms RelaxBanking, MyCartaBCC link [3]
Banca Etica home_bank sms, telefono Symantec Vip Access link [3]
Banco BPM home_bank sms,token_fisico,card YouApp link
BdM Banca home_bank token_fisico Mi@ (Mobile Banking BdM Banca e CRO) link
Deutsche Bank home_bank token_fisico DB Secure Authenticator link
Intesa Sanpaolo home_bank sms Intesa Sanpaolo Mobile link [6]
Poste Italiane home_bank sms Bancoposta, Postepay link
Sparkasse home_bank telefono Sparkasse ON link
Unicredit home_bank token_fisico Mobile Banking Unicredit link
Webank home_bank token_fisico Webank - Conto Online (Gruppo Banco BPM) link
IntesaID SPID sms link
SpidItalia SPID sms link
TIM ID SPID sms link

[3]. Sembra che la banca utilizzi questa piattaforma per l’home banking: MITO-Cabel
[4]. costo del token-fisico 20€
[6]. Servizio sms a pagamento

Lista servizi senza supporto

  • Banca Popolare di Sondrio da novembre 2025 sta deprecando il token fisico, costringendo all’intallazione di SCRIGNOApp (proprietaria).

Risorse (Altre Liste)

Nella lista sopra si cercherà di mostrare solo servizi con OTP alternativi.
Per tutti gli altri o per approfondire l’utilizzo delle apps associate potete ricercare info quì:

1 Mi Piace
2

Ciao, ti ringrazio. Secondo me il prossimo passo è, con l’aiuto di un giurista magari, capire se ciò costituisca o meno una violazione del CAD (e in che modo) così che ILS possa inoltrare una segnalazione al difensore civico AGID.

Secondo me è una questione fondamentale, viene prima anche della diffusione di GNU/Linux. Non può a mio avviso passare il principio che i servizi al cittadino possono essere erogati solo a chi ha un account Google o Apple (o, ancor peggio, è disposto a violare i termini di servizio degli store scaricando le applicazioni altrove, esponendosi tra l’altro a rischi di cybersecurity).

1 Mi Piace
3

Grazie a te per la risposta e per la passione che hai verso l’argomento.
Anche io lo reputo più interessante di altri.

Prima di intraprendere qualsiasi azione bisognerebbe analizzare come farla nel modo migliore.
Come hai detto tu prima bisogna informarsi, organizzarsi.

Vorrei appuntare alcune cose che si possono (dovrebbero) fare subito:

valutare quali gruppi/persone sono interessate all’argomento e coordinarsi con loro.

Sicuramente gli utenti di smartphone che ho citato nel primo post.
Io ho già contattato alcuni gruppi come Lealternative e UbportsITALIANO.

A riguardo ricordo che questa discussione è stata citata (e si sta svillupando in parallelo) nel fediverso (Lemmy):

Gruppi come PrivacyBeneComune e MonitoraPA in cui si potrebbero avere anche consigli riguardo all’aspetto legale/azione civica

Dato che altrove si è detto che la cosa da un punto di vista legale ha un ambito europeo, e considerato comunque il tema
FSFE potrebbe essere un contatto importante.
So che nel gruppo Merge-it ci sono dei referenti.

organizzare i dati in nostro possesso e migliorarli.

In questa discussione considerate anche quelle collegate e link esterni ci sono almeno 3 liste di servizi
anche se con punti di vista diversi:

  • quella de Lealternative:
  • quella dell’articolo di Jannone
  • quella del thread sulle app bancarie (estrapolabile dalla discussione)

vogliamo vedere come coordinare queste informazioni?
Se ne vuole creare uno unico?

Infine

Non reinventare la ruota.

Esistono altre realtà che hanno lo stesso obbiettivo del titolo della discussione?
Esistono altre realtà che hanno obbiettivi simili a quello del titolo della discussione?

4

Forse gli utenti italiani della comunità di F-Droid potrebbero essere interessati al tema, così come svariati utenti del forum ufficiale sui servizi pubblici digitali. Non sarebbe una cattiva idea coinvolgere qualche produttore di smartphone/OS italiano (o europeo) penalizzato dalle attuali scelte. Ma anche ILS potrebbe tutelare GNU/Linux, forse esiste un motivo valido perché chi ha un laptop sia escluso dallo SPID?

Io di smartphone non ne so molto però noto le incompatibilità con il CAD, che parla solo dei servizi pubblici. Per il privato, la questione è decisamente più complessa perché servirebbe una legge apposita (a mio avviso possibile solo a livello comunitario) o forse qualche imprenditore dovrebbe investire in una banca 100% FLOSS-friendly. Io per adesso mi focalizzerei sulla PA, per la quale esiste già una legge e sulla quale il governo ha un qualche controllo (a differenza del privato).

5

Direi di cominciare dai dati e in particolare dall’ultima lista che ho citato (app bancarie).
E’ stato creato questo repository per poter condividere e collaborare:

Per il momento é stato utilizzato markdown ma non credo sia difficile convertire il tutto in formato web.

Ho aggiunto le prime tre banche per numero di filiali.
Anche se la tendenza sembra essere quella di utilizzare le app, i risultati confermano il dubbio sull’obbligatorietà di esse.

6

Ho cercato di portare avanti quello che ho detto:
Ho contattato tutti i gruppi che ho citato e anche qualcuno in più.

Il gruppo Merge-it si è dimostrato interessato alla discussione, e in particolare la Fsfe è stata molto disponibile.
E’ stata paventata la possibilità di una collaborazione su questi temi, anche se ancora è tutto da definire.

Non ho inserito ulteriori record nella lista anche se ne ho avuto notizia.
Questo perchè al momento sono l’unico editore del repository e non volevo togliere tempo ad altre cose tra cui impegni personali.

Nonostante ciò la lista, anche nella forma attuale, ha un valore e non e stato tempo perso:

  • Ha organizzato meglio i dati della discussione sui conti correnti rendendoli più leggibili e quindi più utili.

  • ha dimostrato che, anche se ci sono delle motivazioni ragionevoli sull’utilizzo dello smartphone come strumento di accesso, l’obbligatorietà di utilizzare le apps denunciata da alcune banche è un fake.

  • Invece che creare l’ennesima lista sul funzionamento di talune app su android sono state collegate liste esistenti aggiungendo altre tipologie di dati.

  • il repository creato può essere utilizzato da chiunque come punto di partenza per sviluppare ancora l’argomento.

  • In particolare può essere usato come base dati di partenza (da aumentare) per avvalorare campagne legate all’argomento.

Infine, nei gruppi, ho chiesto anche l’aiuto nell’individuare leggi che possano sposare la causa.
Purtroppo non ho ricevuto ancora nessun consiglio.

Credo che questa è la parte in cui ci si dovrebbe concentrare di più al momento.
Se non cambiano le priorità pensavo di aggiungere questi riferimenti (legali) poi al repository per avere ulteriori strumenti su cui basare attività future.

7

Potremmo aggiungere anche i fornitori di firma digitale in cloud a questa lista? Ho notato che parecchi richiedono l’installazione della propria app proprietaria per l’OTP.

8

Non sono un gran conoscitore della materia ma si può inserire qualsiasi servizio.
La tabella si limita però a quelli con un otp alternativo.
Nel caso specifico quale sarebbe? Ne esistono?

9

Pare che Infocamere supporti l’invio di OTP per firma remota via SMS.

Fonte: Firma digitale Remota | ID InfoCamere

10

Bene.
Se sei sufficientemente sicuro delle informazioni in tuo possesso
crea una nuova riga nella tabella e inserisci i campi.
Aggiorna la data dell’ultima modifica.

11

Aggiornamento novembre 2025:

Banca Popolare di Sondrio ha deprecato il token fisico, costringendo ad installazione dell’app ufficiale proprietaria “IdentiTEL”.

12

Nel frattempo ho trovato questa discussione molto interessante:

13

Mi sono sentito con @Lost e ho spostato Banca Popolare di Sondrio in piccolo elenco “Lista servizi senza supporto”. Sicuramente possiamo aggiungere altro lì. Segnalate o modificate direttamente :+1: grazie

14

P.S. Banca Etica proprio questa mattina mi ha confermato che anche per le associazioni c’è il servizio di “Secure Call”. Aggiungo quindi “telefono” (tradizionale) al già presente “sms” nella colonna “OTP alt”.