gestione OTP di conferma per disporre operazioni rischiose

[frhack]

Scusate, non sono riuscito a trovare una risposta nella documentazione.

Il caso d'uso è il seguente. Un applicazione permette di autenticare gli utenti tramite spid 2FA e una volta autenticati sono autorizzati ad una serie di funzioni.

Alcune funzioni possono essere particolarmente rischiose sotto il profilo della sicurezza e quindi per la loro esecuzione si vuole avere un' ulteriore conferma dispositiva tramite la verifica di un OTP.

Per esempio un utente accede alla applicazione tramite spid, poi si assenta dalla postazione PC e qualcuno al suo posto potrebbe eseguire tutte le funzioni senza ulteriore conferma.

Non so se è previsto dal sistema SPID a due fattori, sarebbe utile poter chiedere un OTP dispositivo per la conferma di operazioni rischiose e poterlo validare lato app tramite apposite API spid.

Esiste questa possibilità ?

In alternativa si potrebbe ottenere questa funzionalità chiedendo all'utente di confermare l'operazione richiesta accedendo ad una seconda app di supporto che costringe quindi l'utente a ri-autenticarsi con SPID 2fa.

In alternativa ulteriore, se l'app offre solo funzioni rischiose, si puo' impostare una durata di sessione molto breve.

Ovviamente sarebbe preferibile poter gestire questo caso nativamente, quindi senza dover ricorrere allo stratagemma del doppio login.

grazie