Come utilizzare SPID per l'autenticazione sui siti

Acronimo di Sistema Pubblico di Identità Digitale SPID è uno strumento divenuto sempre più indispensabile per autenticarsi su tutti i siti della Pubblica Amministrazione (PA) italiana senza la necessità di effettuare registrazioni separate, noiose e spesso cervellotiche.

Come ottenere SPID

Dopo aver attivato SPID si ha a disposizione una propria identità digitale che può essere utilizzata per accedere ai servizi online della pubblica amministrazione: per autenticarsi bisognerà avere con sé soltanto le credenziali (nome utente e password) usate a protezione dell’identità digitale SPID e lo smartphone che ospita la SIM associata alla specifica utenza SPID.

Per ottenere la propria identità digitale SPID ci si dovrà rivolgere a uno dei gestori di identità (o Identity Provider, IdP) elencati sul sito ufficiale.
Si può ottenere SPID seguendo diverse procedure, diverse a seconda di quelle che sono supportate da ciascun IdP.

Cliccando sul nome di ciascun IdP si possono raccogliere maggiori informazioni sulle specifiche modalità per l’attivazione dell’identità digitale e i tempi medi per ottenerla.
Nella maggior parte dei casi non è più necessario recarsi personalmente presso uno sportello fisico: SPID può essere attivato online in pochi minuti da chi possiede già una TS-CNS (tessera sanitaria precedentemente attivata presso la ASL di zona), una CIE (Carta d’Identità Elettronica) o una firma digitale.
TS-CNS, CIE e firma digitale sono infatti strumenti considerati sufficienti per attestare in maniera inoppugnabile l’identità del soggetto che sta avanzando la richiesta di attivazione dell’identità digitale SPID: anche perché i tre strumenti presuppongono comunque la conoscenza di un “segreto” – solitamente un PIN – che è noto solamente al titolare. Non basta quindi la semplice disponibilità fisica del documento.

Per leggere la TS-CNS, la CIE o la firma digitale (a meno che non si tratti di un token USB o di una firma digitale remota) bisognerà ovviamente disporre di un lettore di smart card da collegare al PC.

In alternativa, per ottenere SPID online senza muoversi da casa o dall’ufficio, si può richiedere il riconoscimento tramite webcam (si verrà messi in contatto con un operatore autorizzato che confronterà la persona che appare in video con gli elementi presenti nel documento di identità comunque richiesto) oppure la modalità audio-video con bonifico della quale abbiamo parlato nell’articolo Come ottenere l’identità digitale SPID con una semplice registrazione video.

C’è infine il sistema dei RAO pubblici, introdotto più di recente, che permette di recarsi presso uno sportello delle PA aderenti e chiedere il riconoscimento al fine dell’erogazione di un token che la PA invierà tramite email e consentirà all’utente di richiedere la sua identità digitale SPID rivolgendosi a un IdP che supporta il meccanismo.
RAO è acronimo di Registration Authority Officer ed è il soggetto intermediario che si fa carico della verifica dell’identità personale dei cittadini che vogliono dotarsi di SPID.
Nella pagina che raccoglie gli IdP per SPID la colonna RAO che è stata aggiunta indica i gestori che possono effettivamente gestire i token ricevuti dal cittadino via email e concludere l’attivazione dell’identità digitale.

Nell’articolo SPID, come funziona davvero e a che cosa serve abbiamo visto fornito una visione complessiva sul funzionamento di SPID condividendo anche qualche dato sul “dietro le quinte”.

Autenticazione con SPID sui siti della Pubblica Amministrazione

SPID è stato progettato per fungere da strumento per l’autenticazione anche sui siti che non siano necessariamente servizi erogati dallo Stato o da enti pubblici. Di fatto però oggi SPID è utilizzato solo sui siti della PA: un vantaggio però non da poco perché nelle pagine web dove si vede il pulsante blu “Accedi con SPID” ci si potrà autenticare senza doversi cimentare con inutili passaggi aggiuntivi.

Dopo l’attivazione dell’identità digitale SPID, per autenticarsi sui siti della PA, si dovranno inserire le proprie credenziali SPID (nome utente e password) quindi confermare l’accesso tramite smartphone, almeno per tutti gli accessi tramite SPID configurati come di livello 2.
Mentre per l’autenticazione tramite SPID di livello 1 basta inserire le credenziali corrette, per accedere ai servizi con autenticazione di livello 2 bisognerà superare la cosiddetta autenticazione a due fattori: non basta digitare le credenziali corrette; l’accesso dovrà essere confermato effettuando un’azione che implica l’utilizzo dello smartphone.

Si supponga di autenticarsi da PC desktop o notebook su un servizio della PA che richiede un’autenticazione di livello 2: si dovrà cliccare su “Accedi con SPID” o “Entra con SPID” quindi selezionare dalla lista l’IdP scelto in fase di attivazione dell’identità digitale (ad esempio Poste Italiane, TIM, Aruba, Infocert, Sielte, SpidItalia, Lepida, Namirial, Intesa-IBM,…).

Digitando nome utente e password SPID corretti entrerà in gioco la cosiddetta autenticazione a due fattori. A seconda dell’IdP scelto bisognerà inserire un codice OTP (one-time password) che viene generato o inviato sullo smartphone oppure avviare sul telefono un’apposita app dello stesso IdP attraverso la quale si potrà confermare la propria identità e autorizzare l’accesso con SPID.

Si tratta questo di uno scoglio che per alcuni utenti può rappresentare un problema.
Non è possibile fornire indicazioni generali per tutti gli IdP perché ciascun gestore delle identità digitali SPID utilizza una sua soluzione, spesso proprietaria. Suggeriamo quindi di controllare quanto segue:

1) Se l’IdP permette l’invio dell’OTP via SMS (vedere anche la colonna Invio del codice OTP anche via SMS nella tabella in questa pagina).
In questo caso l’OTP, ovvero il codice con scadenza breve ricevuto via SMS sull’utenza telefonica collegata all’identità digitale SPID, dovrà essere inserito al momento della richiesta dopo la pressione del pulsante blu “Accedi con SPID“/”Entra con SPID” e l’inserimento delle credenziali corrette.
È il caso ad esempio di TIM (TIM id), Intesa (Intesa ID), Lepida (Lepida ID), Namirial (Namirial ID), Sielte (Sielte ID).

2) Se l’IdP fornisce un’app installabile sullo smartphone che genera l’OTP da inserire al momento del login con SPID.
Tanti IdP SPID, infatti, non inviano alcun SMS (oppure presentando tale servizio come a pagamento) e puntano invece sull’utilizzo dell’app gratuita messa a disposizione tramite Google Play Store e Apple App Store.
Le app che generano gli OTP su smartphone Android e iOS altro non sono che strumento come Google Authenticator, Microsoft Authenticator e similari: appena avviate presentano un codice OTP che scade a breve termine. Esso dovrà essere digitato nella procedura di accesso tramite SPID quando richiesto.
È il caso ad esempio di Aruba (Aruba ID), Infocert (Infocert ID), Lepida (Lepida ID), Namirial (Namirial ID), Sielte (Sielte ID).

3) Se l’IdP offre un’applicazione, anch’essa installabile tramite Play Store o App Store, che permette di autorizzare l’accesso con la semplice pressione di un pulsante sul display dello smartphone (ad esempio Concedi autorizzazione).
L’accesso a quest’applicazione è protetto mediante inserimento di un nome utente e password specifici per l’accesso all’app (non le credenziali SPID) oppure si può attivare l’autenticazione biometrica (ad esempio riconoscimento dell’impronta digitale) su tutti gli smartphone dotati del sensore. Un modo semplice, veloce e sicuro per accedere all’app per autorizzare l’accesso con SPID.
È il caso di Poste Italiane (PosteID).

A meno di non utilizzare IdP che si basano sull’invio dei codici OTP via SMS, le app dovranno essere collegate con l’identità digitale SPID che si desidera utilizzare.
Di solito ciò avviene con una procedura semi-automatica che consiste nell’indicare all’IdP il proprio numero di telefono mobile e nel lasciare che l’app installata sullo smartphone verifichi tale numero di telefono.
In alternativa viene chiesto di effettuare il login con le credenziali dell’account creato sui server dell’IdP e utilizzato per richiedere l’attivazione dell’identità digitale SPID.

Il livello 3 è poco utilizzato per l’autenticazione con SPID ma oltre all’inserimento delle credenziali richiede l’utilizzo di un supporto fisico come una smart card o comunque l’uso di certificati digitali.