MATERIALE WORKSHOP: I NUOVI SCENARI DELLA DIGITALIZZAZIONE DEI SERVIZI DEMOGRAFICI – 2025
Sintesi dell'intervento della Dott.ssa Lorella Capezzali del 19/05/2025
AGID – 19 febbraio 2025
Servizi Comunali Modalità accesso ai servizi digitali Servizi digitaliAGID
SPID e CIE: importante aggiornamento per i fornitori di servizi che utilizzano le librerie .NET
A causa di una vulnerabilità su una parte di codice sviluppato da terze parti occorre procedere al più presto al suo aggiornamento.
19/02/2025
I siti internet e le app che permettono l’accesso ai servizi online con SPID o CIE utilizzando le librerie .NET per l’autenticazione devono procedere al più presto al loro aggiornamento.
Recentemente, infatti, è stata individuata una vulnerabilità in queste librerie, sviluppate da terze parti nell’ambito di una challenge realizzata nel 2017.
Cosa sono le librerie .NET
Le librerie .NET sono componenti software sviluppate per facilitare la creazione di applicazioni, fornendo numerose funzionalità pronte all’uso per la gestione di operazioni comuni come l’autenticazione, l’elaborazione dei dati e la comunicazione tra sistemi diversi. In questo caso, le librerie .NET per SPID e CIE consentono ai fornitori di servizi digitali di integrare facilmente il sistema di accesso ai propri siti web, senza dover scrivere il codice partendo da zero.
Azioni intraprese e misure di mitigazione
Una volta scoperta la vulnerabilità, gli sviluppatori hanno aggiornato due librerie con nuove versioni sicure, mentre una terza libreria è stata definitivamente dismessa. Inoltre, AgID ha migliorato ulteriormente il sistema di verifica per i fornitori di servizi, introducendo due nuovi controlli nel Validator SAML SP per SPID (lo strumento utilizzato dai Service Provider nella fase di collaudo).
Cosa devono fare i Service Provider
Si raccomanda ai Service Provider che utilizzano librerie .NET per l'autenticazione SPID o CIE di aggiornarle immediatamente con le versioni più recenti e di verificare con attenzione i controlli 112 e 113 durante il collaudo SPID.
Nessuna azione, invece, è richiesta per i Provider che non hanno implementato l’autenticazione a SPID o CIE utilizzando queste librerie.
Ulteriori dettagli e informazioni sono disponibili nell'approfondimento del CERT-AgID.
Riferimenti alle librerie interessate:
Fonte: Agid
Sintesi dell'intervento della Dott.ssa Lorella Capezzali del 19/05/2025
Dipartimento per la trasformazione digitale – 16 aprile 2025
Dipartimento per la trasformazione digitale – 16 aprile 2025
Ministro per la Pubblica Amministrazione – 24 aprile 2025
Presidenza del Consiglio dei Ministri - Dipartimento per la trasformazione digitale - Decreto 29 gennaio 2025
Ricevi via email i nuovi contenuti pubblicati nel portale
In collaborazione con:
