/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2023/05/img_25691.jpg "Differenza tra SPID e CIE: perché se ne parla tanto")
SPID, acronimo di Sistema Pubblico di Identità Digitale, è una delle più importanti innovazioni introdotte in Italia nel rapporto tra cittadini, professionisti, imprese e Pubblica Amministrazione. Ha rivoluzionato il meccanismo di accesso e autenticazione sulle piattaforme Web degli enti pubblici consentendo agli interessati di servirsi di un un unico sistema per attestare la propria identità, senza più il bisogno di conservare e usare decine di credenziali differenti.
Cos’è SPID in breve
Nato nel 2013 sotto la spinta di Stefano Quintarelli, è dal 2015 che SPID è divenuto operativo dopo l’approvazione dei regolamenti AgID (Agenzia per l’Italia digitale). Da allora è stato un crescendo: sempre più Pubbliche Amministrazioni hanno abbracciato SPID come metodo di autenticazione degli utenti in sostituzione, ad esempio, dei più tradizionali basati su username o codice fiscale e PIN.
Il funzionamento di SPID prevede che, previa verifica dell’identità del richiedente, un gestore autorizzato da AgID (IdP, Identity Provider) fornisca un’identità digitale utilizzabile per accedere a qualunque servizio reso dagli enti pubblici senza più dover operare alcuna registrazione preventiva.
SPID nasce come sistema basato su un modello federato: è chiamato così perché coinvolge una serie di organizzazioni, o federazioni, che collaborano per garantire l’accesso sicuro e affidabile ai servizi digitali.
Nel modello federato, ogni organizzazione mantiene il controllo completo sui propri dati utente e sui servizi offerti ma collabora con altri soggetti attraverso un’infrastruttura comune. Il fatto che sia un sistema federato si evince dal fatto che le specifiche di SPID sono pubbliche e che anche i soggetti privati possono eventualmente farne uso per verificare l’identità degli utenti.
Il successo di SPID è sotto gli occhi di tutti: a inizio 2025 AgID informava che il numero di identità digitali SPID aveva superato i 40 milioni.
Quali sono le differenze tra SPID e CIE
La Carta d’Identità Elettronica o CIE è una smart card che già oggi può essere utilizzata per accedere ai siti degli enti pubblici in alternativa rispetto all’utilizzo dello SPID.
Per autenticarsi è necessario eseguire una procedura di autenticazione che prevede l’inserimento della CIE in un lettore di smart card. Essendo presente il chip NFC, è inoltre possibile autenticarsi con gli smartphone compatibili. In un altro articolo abbiamo visto come usare l’app CieID e come autenticarsi online al posto di SPID.
Tre livelli di sicurezza in entrambi i casi
SPID, come abbiamo visto nell’articolo citato in apertura, prevede tre livelli di sicurezza che possono essere impostati e richiesti dal fornitore di servizi a seconda del livello di autenticazione necessario: il primo consente di accedere ad alcuni servizi online solo inserendo nome utente e password associati all’identità digitale; il secondo livello prevede l’accesso attraverso un nome utente e una password al quale viene aggiunto l’utilizzo di un secondo fattore (autenticazione a due fattori); il terzo e ultimo livello prevede, oltre al nome utente e alla password, un supporto fisico come una smart card. Nella maggior parte dei siti Web della Pubblica Amministrazione è utilizzato il secondo livello.
La CIE utilizza evidentemente sempre una modalità di autenticazione di terzo livello perché, come detto, va abbinata all’uso di un lettore di smart card o NFC.
L’emissione della CIE, tuttavia, ha un costo (16,79 euro solo per il ristoro delle spese di gestione sostenute dallo Stato) ed è fornita con codici PIN e PUK che l’utente deve conservare e usare quando richiesto. Viceversa un’identità digitale SPID può essere ottenuta gratis e senza muoversi da casa o dall’ufficio con il riconoscimento da remoto.
Come detto, inoltre, mentre SPID non necessita di un lettore né di uno smartphone con chip NFC integrato, la CIE prevede l’utilizzo di tali strumenti (il lettore di smart card ha comunque un costo).
Il sistema di identità digitale unico
Il Governo italiano sembra orientato a guardare a un sistema di identità digitale unico. E proprio la CIE sembra essere destinata a sostituire SPID in ottica futura. Al momento, però, la situazione sembra piuttosto cristallizzata: da un lato perché SPID vanta oltre 40 milioni di identità digitali già rilasciate, dall’altro perché si sta lavorando per estendere l’IT-Wallet e inserirlo nel solco del Digital Identity Wallet europeo, anticipando se possibile i tempi.
In termini di usabilità e utilizzo, SPID vince su tutta la linea: CIE, per i motivi descritti, risulta sulla carta più macchinoso da adoperare per i cittadini ormai abituati alla semplicità e alla velocità dell’identità digitale SPID.
Inoltre, mentre SPID è un sistema federato, l’autenticazione mediante CIE dipende da un approccio centralizzato: in questo secondo caso lo Stato accentra a sé tutte le attività di verifica dell’identità degli utenti e di corretta conservazione delle loro credenziali.
Da sistema federato (SPID) a centralizzato (CIE)?
Ha senso promuovere l’utilizzo di un sistema unico che prevede la conservazione dei dati degli utenti a livello centralizzato?
È un’idea convincente cestinare gli investimenti fatti sull’identità digitale SPID obbligando eventualmente gli utenti a migrare alla CIE affrontando un esborso economico magari fino ad oggi evitabile (almeno fino alla data di rinnovo della carta d’identità)?
Inoltre, è pur vero che PIN e PUK devono essere custoditi con la massima diligenza, ma l’autenticazione a due fattori di SPID offre comunque un elevato standard di sicurezza imponendo il superamento di una seconda verifica anche per quegli utenti che, ad esempio, decidessero di memorizzare nome utente e password della propria identità digitale nel browser.
La via migliore non sembra quindi uno “spegnimento” totale di SPID ma una eventuale razionalizzazione del sistema che guardi a nuove future opportunità.
CIE è davvero più sicura di SPID?
Si legge spesso che CIE offrirebbe un livello di sicurezza superiore rispetto a SPID. Ma è davvero così?
Sia CIE che SPID mirano a garantire accessi sicuri, ma presentano architetture e logiche di fiducia differenti, che comportano impatti rilevanti sia in termini di sicurezza sia di usabilità e resilienza.
SPID: registrazioni, tracciabilità e approccio modulare
Il processo di rilascio delle credenziali SPID è strutturato su diversi livelli:
- Registrazione audio/video dell’utente, inclusa la voce, il numero di telefono e l’indirizzo IP.
- Verifica di un documento d’identità preesistente e del codice fiscale.
- Controlli successivi e background check da parte degli Identity Provider.
- Consegna delle credenziali da parte di operatori privati (poste, banche, aziende ICT) che agiscono come incaricati di pubblico servizio.
- In alternativa, è possibile ottenere SPID tramite CIE o firma digitale già in possesso, purché queste ultime siano state rilasciate in seguito a un processo identificativo conforme. Il sistema SPID è vigilato da Autorità pubbliche: magistratura, Garante per la Privacy e AgID, garantendo una separazione tra chi gestisce l’identità e chi ne usufruisce. Gli operatori non possono accedere ai dati: nemmeno visualizzarli.
CIE: identificazione di prossimità, ma minor tracciabilità
La Carta d’Identità Elettronica, pur essendo una smartcard sicura, adotta una logica diversa:
- L’identificazione può avvenire avvalendosi di due testimoni, senza necessità di esibire documenti precedenti.
- Nessuna registrazione audio/video o log tracciabile dell’evento.
- L’identificazione è demandata a funzionari pubblici, ma la consegna materiale avviene spesso tramite operatori postali.
- La vigilanza ricade sul Ministero dell’Interno, con un impianto normativo meno articolato rispetto a SPID in termini di controlli esterni e accountability.
In generale, SPID – con la sua architettura distribuita e le registrazioni obbligatorie – offre un livello di tracciabilità e controllo successivo più elevato, mentre CIE presenta vantaggi in termini di affidabilità del supporto hardware e dell’autorità emittente, ma mostra limiti in trasparenza e tracciabilità.
Avere più Identity Provider, ciascuno vigilato, riduce l’effetto domino in caso di vulnerabilità. Inoltre, SPID è intrinsecamente più “antifragile“, poiché la sua natura modulare consente aggiornamenti dinamici, analisi complete e possibilità di verifiche forensi in caso di violazione.
Le differenze tra SPID e CIE a colpo d’occhio
| Aspetto | CIE | SPID |
|---|---|---|
| Base di fiducia | Due testimoni o documenti precedenti | Documenti verificati / Video / Firma digitale |
| Identificazione | Funzionari pubblici | Operatori privati (Identity Provider) |
| Registrazione dell’evento | Assente | Completa (audio/video, IP, voce) |
| Controlli successivi | Background check minimale | Numerosi controlli successivi |
| Consegna credenziali | Da privati (es. Poste) | Da privati (Identity Provider) |
| Vigilanza | Ministero dell’Interno | Magistratura, Garante Privacy, AgID |
| Resilienza del sistema | Bassa in caso di vulnerabilità hardware | Alta grazie a componenti software aggiornabili |
| Trasparenza e controllabilità | Limitata | Alta (registrazioni, log, vigilanza esterna) |
/https://www.ilsoftware.it/app/uploads/2023/07/LinkedIn.jpg "LinkedIn il sistema di verifica dell'identità utilizzabile anche su servizi esterni")
/https://www.ilsoftware.it/app/uploads/2025/04/PEC-personale-amministratore-societa.jpg "PEC obbligatoria per gli amministratori di società: fino a 1.000 euro di multa per chi ne è sprovvisto")
/https://www.ilsoftware.it/app/uploads/2025/03/app-noipa-dispositivo-non-sicuro.jpg "App NoiPA dispositivo non sicuro: cosa significa")
/https://www.ilsoftware.it/app/uploads/2025/02/posizione-geografica-privacy-mobile.jpg "Chiunque può risalire alla vostra posizione geografica: ecco come")