/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/05/CIE-SPID-differenze-sicurezza.jpg "CIE vs SPID: differenze REALI lato sicurezza")
Per molto tempo SPID e CIE (Carta di Identità Elettronica) sono stati descritti come due strumenti sostanzialmente equivalenti: cambiano le modalità di accesso, ma il risultato finale è lo stesso. Si entra nei servizi online della Pubblica Amministrazione, si consultano documenti, si gestiscono pratiche, si accede ai dati personali. In realtà, dal punto di vista della sicurezza, le differenze sono profonde. E non riguardano soltanto il modo in cui avviene il login, ma l’intero modello di fiducia su cui si basa l’identità digitale.
Il dibattito si è concentrato quasi esclusivamente sulla comodità: SPID è più rapido? CIE è più scomoda? Serve il chip NFC? Funziona meglio l’app?
Si è invece parlato molto di meno di aspetti ben più delicati: ad esempio, quanto è forte il legame tra identità e dispositivo; quanto conta il possesso fisico del documento; quanto i sistemi resistano a phishing, furto di sessione o compromissione del telefono; cosa significhino davvero i livelli di autenticazione previsti dalla normativa italiana ed europea. Proprio rispetto a questi aspetti SPID e CIE possono divergere in modo significativo.
SPID e CIE: due architetture completamente diverse
SPID nasce come sistema federato di identità digitale. L’utente possiede un account presso un identity provider (IdP) accreditato – ad esempio Poste, Aruba, InfoCert, Namirial, Lepida e altri – che autentica l’utente e rilascia un’asserzione valida verso i servizi online aderenti: di solito portali della Pubblica Amministrazione ma anche qualche grande azienda privata. I settori in cui SPID è più diffuso sono banche e fintech, assicurazioni, utilities energia/telefonia, servizi professionali e HR, sanità privata, piattaforme di firma digitale.
Tecnicamente SPID si basa principalmente su SAML 2.0, uno standard consolidato nel mondo enterprise per la federazione delle identità. Quando l’utente effettua il login, il provider genera una risposta firmata digitalmente che certifica l’avvenuta autenticazione. In un altro articolo abbiamo presentato le 20 caratteristiche poco conosciute di SPID (spesso utilissime).
La CIE segue invece una logica molto diversa. Qui il punto centrale non è l’account, ma il documento fisico. La Carta di Identità Elettronica contiene un microchip contactless conforme agli standard ICAO utilizzati anche nei passaporti elettronici: nel chip sono presenti certificati digitali e chiavi crittografiche che permettono operazioni di autenticazione forte.
La differenza è sostanziale:
- SPID nasce account-centric e cloud-centric;
- CIE nasce hardware-centric e identity-centric.
Questa distinzione ha conseguenze molto concrete sul piano della sicurezza.
Il quadro normativo: dove si collocano SPID e CIE
Sia SPID che CIE si inseriscono all’interno del quadro europeo eIDAS (electronic IDentification, Authentication and trust Services), il regolamento UE che definisce i livelli di affidabilità delle identità elettroniche all’interno dell’Unione Europea.
eIDAS introduce tre livelli di garanzia: basso; significativo; elevato.
In Italia questi concetti si riflettono nei livelli di autenticazione previsti sia per SPID che per CIE. Molti pensano che i livelli SPID e quelli CIE siano semplicemente sovrapponibili, ma non è esattamente così. Formalmente esiste una corrispondenza, ma operativamente il modello tecnico sottostante cambia molto.
I livelli SPID: cosa significano davvero
SPID prevede tre livelli di autenticazione.
Il Livello 1 è il più semplice: bastano solo username e password associati all’identità SPID. È il livello meno robusto e oggi è usato sempre meno.
Il Livello 2 aggiunge un secondo fattore: OTP via SMS, uso di un’app authenticator messa a disposizione dall’IdP oppure notifica push. È la modalità oggi più diffusa e rappresenta cuore pulsante di SPID.
Il Livello 3 è molto meno utilizzato ma tecnicamente molto interessante: richiede dispositivi crittografici qualificati, smart card o token hardware certificati. L’autenticazione diventa in questo caso molto più vicina ai modelli enterprise e alle autenticazioni ad alta affidabilità previste da eIDAS.
Nella pratica quotidiana, quasi tutti gli utenti usano SPID Livello 2 e il sistema continua a dipendere fortemente dal contesto software e dal dispositivo utilizzato.
Anche CIE ha i livelli 1, 2 e 3 ma il modello cambia
La Carta d’Identità Elettronica è spesso descritta come un sistema “tutto hardware“: in realtà non è propriamente così. Anche CIE prevede il supporti di differenti livelli di autenticzione.
Il Livello 1 utilizza credenziali tradizionali; il Livello 2 introduce un secondo fattore tramite l’app CieID, biometria o PIN locale sul dispositivo registrato; il Livello 3, invece, coinvolge direttamente il chip NFC della carta e la verifica crittografica associata (lo smartphone deve a sua volta supportare NFC e disporre di un lettore compatibile).
Con SPID Livello 2, il secondo fattore autentica prevalentemente l’utente. Con CIE Livello 3, l’autenticazione coinvolge direttamente un elemento hardware fisico: la carta.
I livelli SPID e CIE sono progettati per essere interoperabili rispetto ai requisiti eIDAS. Tuttavia, SPID Livello 2 e CIE Livello 2 possono sembrare equivalenti sulla carta, ma i meccanismi di autenticazione, il binding hardware (collegamento stretto con l’hardware), il ruolo del dispositivo, la resistenza al phishing possono differire sensibilmente a seconda della modalità concreta di utilizzo.
| Modalità CIE | Serve carta/NFC? | Serve CieID? | Livello |
|---|---|---|---|
| Username + password | No | No | 1 |
| Username + password + OTP SMS | No | No | 2 |
| Username + password + QR/app CieID | No NFC | Sì | 2 |
| Lettura CIE con NFC/lettore + PIN | Sì | Dipende dal caso | 3 |
Perché phishing e session hijacking colpiscono SPID più facilmente
Negli ultimi anni gli attacchi contro le identità digitali si sono evoluti: spesso gli aggressori non rubano la password ma intercettano sessioni già autenticate.
Gli attacchi AiTM (Adversary-in-the-Middle) funzionano proprio così: l’utente apre un sito clone, inserisce le credenziali, approva la notifica push o l’OTP e l’attaccante utilizza immediatamente la sessione autenticata verso il servizio reale.
È uno scenario particolarmente efficace contro SPID Livello 2, perché il secondo fattore autentica l’utente ma non sempre autentica anche il contesto della sessione.
Molti attacchi moderni non puntano più a sottrarre la password dell’utente ma direttamente i token di sessione generati dopo l’autenticazione. Una volta completato il login SPID, infatti, il browser conserva cookie e token temporanei che attestano l’avvenuta autenticazione verso il servizio richiesto.
Se un attaccante riesce a intercettare o riutilizzare questi elementi – ad esempio tramite reverse proxy phishing o malware infostealer – può in alcuni casi impersonare l’utente senza dover ripetere l’autenticazione a due fattori.
La CIE Livello 3, basata sul chip NFC e sulla presenza fisica del documento, introduce invece una forma di binding hardware molto più difficile da replicare a distanza. Non significa che la CIE sia invulnerabile, ma che la complessità operativa richiesta all’attaccante aumenta enormemente.
Furto di sessione e nuove identità: come cambiano gli attacchi contro SPID
Negli ultimi anni AgID ha più volte richiamato l’attenzione sui rischi legati agli attacchi di phishing avanzato contro SPID, soprattutto quelli basati su tecniche AiTM e reverse proxy phishing. In questi scenari l’aggressore non si limita a rubare username e password: l’obiettivo reale è intercettare la sessione autenticata e i token temporanei generati dopo il login.
Il meccanismo è sofisticato ma efficace: la vittima apre un sito clone quasi indistinguibile da quello reale, inserisce le credenziali SPID e approva la richiesta OTP o la notifica push. L’attaccante, operando in tempo reale come intermediario tra utente e servizio legittimo, può così impossessarsi della sessione autenticata senza dover conoscere direttamente il secondo fattore.
L’attacco è particolarmente efficace contro le autenticazioni di Livello 2, sia SPID sia CIE, quando il secondo fattore dipende principalmente da OTP SMS, da approvazioni push, da smartphone trusted, da meccanismi software-based.
Furti d’identità tramite SPID
AgID parla anche di una categoria di attacchi molto diversa dal classico phishing delle credenziali. In questi casi l’obiettivo degli aggressori non è sottrarre lo SPID già esistente della vittima, ma creare una nuova identità digitale intestata alla stessa persona presso un altro IdP.
Per riuscirci, i criminali cercano di raccogliere fotografie dei documenti, selfie, video identificativi, registrazioni vocali, dati anagrafici, codice fiscale e numero di telefono. Sono elementi che molti sistemi di onboarding SPID utilizzabili da remoto sfruttano per verificare l’identità dell’utente durante il rilascio delle credenziali SPID.
Una volta ottenuto un set sufficientemente completo di informazioni, l’aggressore può tentare di attivare un nuovo SPID presso un IdP differente rispetto a quello già utilizzato dalla vittima. In molti casi l’obiettivo finale è:
- modificare IBAN per sottrarre denaro;
- intercettare rimborsi;
- accedere a servizi fiscali o previdenziali;
- sottrarre fondi o bonus erogati dalla Pubblica Amministrazione.
È una differenza fondamentale rispetto agli attacchi AiTM o al furto di sessione: in questo caso il bersaglio non è l’autenticazione corrente ma il processo di identificazione iniziale dell’utente.
Come confermato da Assocertificatori, prossimamente saranno messi a disposizione degli utenti possessori di una o più identità digitali SPID strumenti per monitorare e verificare in tempo reale e in modo semplice gli SPID attivi associati al proprio codice fiscale.
Il ruolo dello smartphone nel caso della CIE
Con l’evoluzione dell’app CieID, con l’introduzione della Carta di Identità Elettronica obbligatoria in Italia dal 3 agosto 2026, anche la CIE sta progressivamente diventando device-centric. Molti accessi non avvengono più leggendo ogni volta la carta via NFC, ma tramite lo smartphone certificato (“trusted“) registrato in precedenza.
Un approccio del genere, applicabile esclusivamente per le piattaforme (PA e non) che permettono l’autenticazione con il Livello 2, introduce uno schema differente: una parte della fiducia si sposta dal documento fisico al dispositivo mobile. La biometria utilizzata dall’app CieID, infatti, non autentica direttamente l’identità civile del cittadino bensì autentica il possessore del dispositivo. In alternativa, l’autenticazione di Livello 2 tramite CIE può avvenire tramite OTP gestito via SMS (quindi anche senza app CieID) e con PIN locale.
Dalla carta fisica al trusted device: cosa cambia
Di conseguenza, quando l’autenticazione si sposta sempre di più sullo smartphone – come avviene con CieID o con molte implementazioni SPID basate su app mobili – il livello di sicurezza reale non dipende più soltanto dalla robustezza dell’identità digitale in sé, ma anche dall’affidabilità tecnica del dispositivo utilizzato.
Nel modello tradizionale della CIE via NFC, il fulcro della fiducia è il chip fisico della carta: l’autenticazione richiede il possesso materiale del documento e l’interazione diretta con il microchip. Quando invece l’utente autorizza accessi tramite smartphone registrato, biometria o PIN locale, una parte significativa della fiducia è trasferita al telefono stesso.
L’integrità del sistema operativo diventa centrale: un dispositivo Android compromesso, alterato o che esegue malware con privilegi elevati può interferire con il processo di autenticazione in modi molto più profondi di quanto l’utente immagini. Anche su iOS, pur con un modello di sicurezza più chiuso, jailbreak o vulnerabilità locali possono alterare il trusted path tra utente e applicazione.
Per questo motivo diventano fondamentali componenti come Secure Enclave su iPhone oppure Trusted Execution Environment (TEE) su Android: si tratta di aree hardware isolate dal sistema operativo principale, progettate per custodire chiavi crittografiche, token di autenticazione, dati biometrici e operazioni sensibili.
Quando il problema non è SPID o CIE ma lo smartphone compromesso
Se il sistema funziona correttamente, neppure Android o iOS possono accedere direttamente ai dati biometrici grezzi: il confronto dell’impronta o del volto avviene all’interno dell’ambiente sicuro (Secure Enclave/TEE). Ma la robustezza complessiva dipende anche dalla qualità dell’implementazione hardware e software adottata dal produttore del dispositivo.
Un altro aspetto spesso sottovalutato riguarda i servizi di accessibilità su Android: sono strumenti progettati per aiutare utenti con disabilità, ma rappresentano anche uno dei vettori preferiti dai malware bancari moderni. Se un’app malevola ottiene questi privilegi può leggere ciò che appare sullo schermo, intercettare notifiche, simulare tocchi, premere pulsanti automaticamente, osservare codici OTP e richieste di autorizzazione. Molti banking trojan Android funzionano proprio così.
Ancora più insidiosi sono gli overlay attack. In questo caso il malware sovrappone schermate fasulle sopra applicazioni legittime: login SPID, autorizzazioni CieID, app bancarie, richieste OTP. L’utente pensa di interagire con l’app reale, ma sta inserendo credenziali o autorizzazioni dentro un’interfaccia controllata dall’attaccante.
Quando SPID o CIE diventano “mobile-first”, il telefono smette di essere un semplice strumento di accesso e diventa parte integrante dell’infrastruttura di fiducia.
Conclusioni
SPID e CIE non sono semplicemente due modi diversi per effettuare il login sui portali della Pubblica Amministrazione. Dietro la stessa schermata di accesso esistono architetture profondamente differenti, con modelli di fiducia, superfici d’attacco e implicazioni di sicurezza che cambiano sensibilmente a seconda del livello di autenticazione utilizzato e del dispositivo impiegato.
SPID nasce come sistema federato e software-centric: punta su interoperabilità, semplicità d’uso e autenticazione distribuita attraverso Identity Provider differenti. La CIE nasce invece come sistema hardware-centric, fortemente legato al documento fisico e alla presenza di un elemento crittografico sicuro integrato nella carta.
Negli anni, però, la distinzione si è progressivamente attenuata. Con CieID, autenticazione biometrica, smartphone trusted e accessi mobile-first, anche la CIE sta spostando una parte significativa della fiducia verso il dispositivo utilizzato dall’utente (a seconda del livello di accesso richiesto dalla piattaforma alla quale l’utente desidera accedere).
La sicurezza dell’identità digitale non dipende più soltanto dalle credenziali o dal documento fisico, ma sempre di più dall’affidabilità tecnica dello smartphone. Concetti un tempo confinati alla sicurezza mobile – Secure Enclave, TEE, device attestation, malware Android, overlay attack – stanno diventando parte integrante dell’infrastruttura di identità digitale.
Con l’arrivo di eIDAS 2.0 e dell’European Digital Identity (EUDI) Wallet, questi aspetti diventeranno ancora più importanti: l’identità digitale europea non servirà più soltanto ad accedere ai servizi della PA, ma anche a firmare documenti, conservare attestazioni, utilizzare credenziali professionali e autenticarsi su piattaforme transfrontaliere.
/https://www.ilsoftware.it/app/uploads/2026/05/grapheneos-contestazione-attestazione-hardware.jpg "GrapheneOS accusa l'attestazione hardware di favorire i monopoli: cosa significa")
/https://www.ilsoftware.it/app/uploads/2026/04/stop-anonimato-social-network.jpg "Un altro Paese europeo vuole dire addio all'anonimato online: identità obbligatoria sui social")
/https://www.ilsoftware.it/app/uploads/2026/04/vulnerabilita-sicurezza-app-verifica-eta-ue.jpg "App UE verifica età bucata in 2 minuti: rischio sicurezza utenti")
/https://www.ilsoftware.it/app/uploads/2026/04/app-verifica-eta-europa.jpg "L'app UE per verificare l'età è pronta: come cambia il Web")