Liberare l'utilizzo di OTP

Generale
#1

In alcuni gruppi telegram che sto seguendo è stato citato in passato questo bel articolo:

[1] SPID e Google Authenticator: quando l'interoperabilità viene ostacolata di proposito – Jacopo Jannone - blog

Anche se l’articolo fa riferimento a SPID i concetti espressi in esso
si possono generalizzare a qualunque servizio in cui viene utilizzato OTP (one time password)
e in particolare alle app bancarie.

L’argomento è particolarmente interessante e caldo in quanto è uno dei problemi maggiori che
incontrano gli utenti che utilizzano rom modificate o sistemi linux mobile (es. ubuntu touch)
perchè si vedono costretti ad utilizzare sistemi proprietari per poter accedere ai loro account.

Scrivo questo post per avere un riferimento unico alle varie istanze che ho trovato in giro per la rete, nella speranza di poter aumentare le discussioni sul tema, la sua diffusione e la condivisione di possibili soluzioni, anche fuori da questo forum.

Infatti, anche se la percentuale degli utenti citati può essere esigua rispetto alla popolazione degli utilizzatori di tali servizi, essa si può estendere a tutto il mondo floss, fino a comprendere tutti in conseguenza delle motivazioni all’interno dell’articolo.

Anche se non strettamente in-topic vorrei collegare anche questo thread:
[2] Big Tech lotta (ancora) contro le password

Conti correnti operabili senza app proprietarie
Provider SPID e FLOSS
#2

Ciao, ti ringrazio. Secondo me il prossimo passo è, con l’aiuto di un giurista magari, capire se ciò costituisca o meno una violazione del CAD (e in che modo) così che ILS possa inoltrare una segnalazione al difensore civico AGID.

Secondo me è una questione fondamentale, viene prima anche della diffusione di GNU/Linux. Non può a mio avviso passare il principio che i servizi al cittadino possono essere erogati solo a chi ha un account Google o Apple (o, ancor peggio, è disposto a violare i termini di servizio degli store scaricando le applicazioni altrove, esponendosi tra l’altro a rischi di cybersecurity).

#3

Grazie a te per la risposta e per la passione che hai verso l’argomento.
Anche io lo reputo più interessante di altri.

Prima di intraprendere qualsiasi azione bisognerebbe analizzare come farla nel modo migliore.
Come hai detto tu prima bisogna informarsi, organizzarsi.

Vorrei appuntare alcune cose che si possono (dovrebbero) fare subito:

valutare quali gruppi/persone sono interessate all’argomento e coordinarsi con loro.

Sicuramente gli utenti di smartphone che ho citato nel primo post.
Io ho già contattato alcuni gruppi come Lealternative e UbportsITALIANO.

A riguardo ricordo che questa discussione è stata citata (e si sta svillupando in parallelo) nel fediverso (Lemmy):

Gruppi come PrivacyBeneComune e MonitoraPA in cui si potrebbero avere anche consigli riguardo all’aspetto legale/azione civica

Dato che altrove si è detto che la cosa da un punto di vista legale ha un ambito europeo, e considerato comunque il tema
FSFE potrebbe essere un contatto importante.
So che nel gruppo Merge-it ci sono dei referenti.

organizzare i dati in nostro possesso e migliorarli.

In questa discussione considerate anche quelle collegate e link esterni ci sono almeno 3 liste di servizi
anche se con punti di vista diversi:

  • quella de Lealternative:
  • quella dell’articolo di Jannone
  • quella del thread sulle app bancarie (estrapolabile dalla discussione)

vogliamo vedere come coordinare queste informazioni?
Se ne vuole creare uno unico?

Infine

Non reinventare la ruota.

Esistono altre realtà che hanno lo stesso obbiettivo del titolo della discussione?
Esistono altre realtà che hanno obbiettivi simili a quello del titolo della discussione?

#4

Forse gli utenti italiani della comunità di F-Droid potrebbero essere interessati al tema, così come svariati utenti del forum ufficiale sui servizi pubblici digitali. Non sarebbe una cattiva idea coinvolgere qualche produttore di smartphone/OS italiano (o europeo) penalizzato dalle attuali scelte. Ma anche ILS potrebbe tutelare GNU/Linux, forse esiste un motivo valido perché chi ha un laptop sia escluso dallo SPID?

Io di smartphone non ne so molto però noto le incompatibilità con il CAD, che parla solo dei servizi pubblici. Per il privato, la questione è decisamente più complessa perché servirebbe una legge apposita (a mio avviso possibile solo a livello comunitario) o forse qualche imprenditore dovrebbe investire in una banca 100% FLOSS-friendly. Io per adesso mi focalizzerei sulla PA, per la quale esiste già una legge e sulla quale il governo ha un qualche controllo (a differenza del privato).

#5

Direi di cominciare dai dati e in particolare dall’ultima lista che ho citato (app bancarie).
E’ stato creato questo repository per poter condividere e collaborare:

Per il momento é stato utilizzato markdown ma non credo sia difficile convertire il tutto in formato web.

Ho aggiunto le prime tre banche per numero di filiali.
Anche se la tendenza sembra essere quella di utilizzare le app, i risultati confermano il dubbio sull’obbligatorietà di esse.

#6

Ho cercato di portare avanti quello che ho detto:
Ho contattato tutti i gruppi che ho citato e anche qualcuno in più.

Il gruppo Merge-it si è dimostrato interessato alla discussione, e in particolare la Fsfe è stata molto disponibile.
E’ stata paventata la possibilità di una collaborazione su questi temi, anche se ancora è tutto da definire.

Non ho inserito ulteriori record nella lista anche se ne ho avuto notizia.
Questo perchè al momento sono l’unico editore del repository e non volevo togliere tempo ad altre cose tra cui impegni personali.

Nonostante ciò la lista, anche nella forma attuale, ha un valore e non e stato tempo perso:

  • Ha organizzato meglio i dati della discussione sui conti correnti rendendoli più leggibili e quindi più utili.

  • ha dimostrato che, anche se ci sono delle motivazioni ragionevoli sull’utilizzo dello smartphone come strumento di accesso, l’obbligatorietà di utilizzare le apps denunciata da alcune banche è un fake.

  • Invece che creare l’ennesima lista sul funzionamento di talune app su android sono state collegate liste esistenti aggiungendo altre tipologie di dati.

  • il repository creato può essere utilizzato da chiunque come punto di partenza per sviluppare ancora l’argomento.

  • In particolare può essere usato come base dati di partenza (da aumentare) per avvalorare campagne legate all’argomento.

Infine, nei gruppi, ho chiesto anche l’aiuto nell’individuare leggi che possano sposare la causa.
Purtroppo non ho ricevuto ancora nessun consiglio.

Credo che questa è la parte in cui ci si dovrebbe concentrare di più al momento.
Se non cambiano le priorità pensavo di aggiungere questi riferimenti (legali) poi al repository per avere ulteriori strumenti su cui basare attività future.

Salvo ove diversamente indicato, tutti i contenuti sono rilasciati in licenza libera Creative Commons BY-SA 4.0 per incoraggiare studio, modifica e condivisione 🖤
Per i crediti: «Rilasciato in CC BY-SA dagli utenti Italian Linux Society» (con l'indirizzo della pagina). Grazie e buona diffusione! 🐧