Se deve essere una cosa seria, il codice fiscale ed altri dati delicati non vengono passati nella connessione http.

La connessione http passerà alla applicazione che deve processare i dati un token.
Questa ultima userà il token per prelevare via ssh i dati necessari dal server iniziale.
Poi li processerà come meglio crede.

Del resto bisogna dire che transitano in rete milini di dati sensibili su connessioni http, quindi intercettabili.

Dipende tutto dal livello di sicurezza che ti prefiggi...



Utilizzare GET o POST è la stessa identica cosa a livello di sicurezza, dato che i dati viaggiano in chiaro con entrambi i metodi.
ma in un post non sono leggibili palesemente nella barra degli indirizzi.

Poi volevo solo far presente che si può benissimo usare post e targhet assieme.