L’Unione Europea e in particolare il regolamento eIDAS 2.0 impongono che tutti gli Stati membri garantiscano ai cittadini la possibilità di ottenere un’identità digitale riconosciuta a livello europeo. L’obiettivo è permettere l’accesso sicuro ai servizi pubblici e privati in tutti i Paesi UE senza barriere tecnologiche o burocratiche. Le identità digitali (l’Italia attualmente ne usa due: SPID e CIE, Carta d’Identità Elettronica) devono poter funzionare non solo all’interno dello Stato membro che le rilascia, ma anche in altri Paesi UE: ciò implica l’adozione di standard comuni e procedure uniformi per il riconoscimento reciproco.

SPID (Sistema Pubblico di Identità Digitale) ha riscosso un grande successo in Italia per diversi motivi, sia tecnici sia sociali, nonostante alcune criticità rimaste sul tappeto. Dal lancio nel 2016, SPID ha raggiunto oltre 40 milioni di identità digitali attive (dato 2025) e solo a luglio 2025 le identità SPID sono state utilizzate oltre 107 milioni di volte per altrettanti accessi ai servizi in rete.

La semplicità di registrazione, anche via app e identità digitale certificata da terzi, ha facilitato l’adozione su larga scala. SPID è accessibile da PC, smartphone e tablet, senza necessità di smartcard o lettori NFC, rendendolo immediato per chiunque abbia uno smartphone. È inoltre un sistema SSO (single sign-on): con una sola identità si accede a centinaia di servizi pubblici (teoricamente anche di privati, anche se l’adozione non è mai decollata).

SPID sostituita perché non sicura? Non è vero

Nessun sistema digitale può garantire sicurezza totale senza compromessi: aumentare le verifiche di sicurezza migliora la protezione ma riduce l’usabilità. In un altro articolo abbiamo visto le principali differenze tra SPID e CIE.

Il processo di emissione e gestione delle identità digitali SPID è trasparente e tracciabile, anche se vi è comunque un rischio sistemico legato a bug software o vulnerabilità delle app degli identity provider (i soggetti che si occupano di verificare l’identità del richiedente e rilasciare, a valle dei controlli, l’identità digitale SPID). Ad ogni modo, proprio per la natura “federata” di SPID (più identity provider diversi, tra i quali gli utenti possono scegliere) eventuali problemi su un provider non bloccano l’intero sistema nazionale.

SPID è soggetto a vigilanza da parte di magistratura, Garante Privacy e AgID, con obblighi stringenti per gli identity provider che non possono accedere ai dati degli utenti.

In tanti sostengono che SPID sia intrinsecamente insicuro perché non supporta il livello 3 (autenticazione forte basata su certificati, smartcard o dispositivi crittografici sicuri): in realtà alcuni identity provider offrono meccanismi di autenticazione conformi a questo livello. Il livello 2 si ferma all’accesso con username e password abbinato a verifica OTP (One-Time Password) generalmente via app o token.

Quanto alla normativa europea eIDAS, essa parla tre livelli di assurance per l’identità elettronica: basso, sostanziale e alto. Il livello alto non è direttamente sovrapponibile con il livello 3 italiano.

La differenza tra “sostanziale” ed “elevato” ha essenzialmente a che fare con il riconoscimento de visu del cittadino e le modalità tecniche di conservazione dei certificati digitali nei dispositivi hardware.

E allora perché il futuro di SPID è da molti descritto come “incerto”?

Il Governo italiano sembra sempre più orientato a spostare l’ago della bilancia sulla CIE (Carta di Identità Elettronica). E ciò nonostante il successo di SPID. Quali sono le reali ragioni di questo orientamento?

Intanto, non c’è un obbligo da parte dell’Europa: ogni Stato si deve attrezzare (entro il 2026) con almeno un’applicazione certificata — il cosiddetto EU Digital Identity / eID Wallet — e che i sistemi siano interoperabili e riconosciuti reciprocamente. L’obbligo di interoperabilità non equivale a un ordine di dismissione dei sistemi nazionali esistenti: significa invece che qualunque soluzione nazionale (SPID, CIE, wallet nazionali,…) deve poter dialogare con il wallet europeo e con gli altri Stati.

Lo SPID è nato nel 2016 come progetto pubblico-privato con convenzioni biennali tra lo Stato e, oggi, 12 identity provider privati, che gestiscono l’identità digitale degli utenti. Gli identity provider avevano diritto a un contributo economico da parte dello Stato per compensare i costi operativi. Tuttavia, il finanziamento pubblico promesso e stanziato per il 2023, pari a 40 milioni di euro, è stato congelato e bloccato per quasi due anni. Solo il 7 ottobre 2025, Assocertificatori ha annunciato l’intesa con AgID e il Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio dei Ministri per prolungare la convenzione per la gestione di SPID, con validità fino ad ulteriori cinque anni.

Inoltre, il modello prevede una remunerazione per l’uso di SPID tra privati, ma di fatto la maggior parte degli accessi è verso la Pubblica Amministrazione, quindi il ritorno economico è di fatto nullo da questo punto di vista.

Il blocco prolungato dei fondi ha spinto alcuni tra i principali identity provider SPID, come Aruba, InfoCert e presto anche Poste Italiane a introdurre un canone annuale per gli utenti, a partire dal 2025, per garantire la sostenibilità economica del servizio.

Un impegno per la sostenibilità

Nella nota di Assocertificatori del 7 ottobre 2025 si legge quanto segue:

Le Parti hanno ribadito la necessità di assicurare, in tutte le forme consentite, la sostenibilità economica e operativa del servizio, considerati gli importanti investimenti sostenuti autonomamente dai Gestori nei dieci anni di erogazione del servizio SPID e i costi significativi che il suo mantenimento continua a comportare, per garantire un accesso sicuro e continuativo ai servizi digitali per cittadini, pubbliche amministrazioni, professionisti e aziende italiane, oltre che l’impegno costante dei gestori ad offrire assistenza e diffusione del servizio. In questa ottica i Gestori hanno ricevuto conferma dell’erogazione dei contributi annunciati dal Governo a sostegno degli investimenti per lo SPID già nel prossimo futuro, ed inoltre della possibilità di introdurre una valorizzazione economica della base utenti secondo logiche di mercato, fattispecie già da tempo perseguibile con la precedente convenzione e solo recentemente perseguita da alcuni gestori.

Costi principali per un identity provider SPID

Il riconoscimento iniziale dell’utente, volto al rilascio dell’identità digitale SPID, è certamente l’aspetto più costoso.

Questa fase include infatti la verifica dell’identità, che può essere fatta di persona (sportello) o da remoto (video identificazione, selfie + documento). Il costo varia: può arrivare a 10 euro o più per utente se il riconoscimento avviene in negozi, uffici o tramite personale specializzato.

C’è poi la parte di gestione dell’app e del sistema di autenticazione: sviluppo, manutenzione, aggiornamenti di sicurezza, server, helpdesk e infrastruttura IT. Gli aspetti legati alla sicurezza e conformità normativa (protezione dei dati secondo GDPR, audit periodici e controlli da parte di AgID, certificazione e monitoraggi per garantire affidabilità e prevenire frodi), il supporto utenti e integrazione con la Pubblica Amministrazione rappresentano anch’essi voci di costo.

Il costo marginale per ogni singola autenticazione è invece basso (si parla di 40 centesimi all’anno per utente) rispetto al costo iniziale di registrazione.

Perché la CIE è considerata come la sostituta di SPID?

Il comportamento dell’esecutivo italiano lascia intendere, tra le righe – almeno allo stato attuale e salvo improvvisi “cambi di rotta” – come la CIE sia ritenuta la sostituta migliore per SPID.

Il Governo si sbarazzerebbe in questo modo dei problemi di gestione economica e delle convenzioni contrattuali con operatori privati. La CIE, infatti, è emessa direttamente dal Ministero dell’Interno tramite la Zecca, senza ricorrere ad intermediari privati. Inoltre, la CIE nasce intrinsecamente come sistema di autenticazione di livello 3: è una smart card il cui contenuto può essere letto e gestito tramite apposito lettore. E non è neppure necessario dotarsi di un lettore di smart card perché tutti gli smartphone moderni sono dotati di chip NFC: basta installare l’app CieID per Android e iOS e avvicinare la propria CIE per autenticarsi immediatamente.

La CIE è un documento rilasciato dal Ministero dell’Interno, la cui sicurezza è garantita da un microchip contactless che contiene dati personali e biometrici protetti da sistemi avanzati di sicurezza e conformi agli standard internazionali ICAO. È quindi vigilata dal Ministero dell’Interno, con un sistema di garanzie dettagliato per la protezione dei dati contenuti nel microchip (al netto di eventuali bug proprio a livello di microchip che possano richiedere la sospensione delle carte e la loro sostituzione, come accaduto per esempio in Estonia nel 2017).

Tuttavia, in confronto allo SPID, la CIE ha caratteristiche di utilizzo e modalità di gestione differenti. Lo SPID è un sistema di identità digitale basato su credenziali fornite da provider accreditati e prevede meccanismi di tutela e convenzioni specifiche, spesso più articolate in termini di sicurezza digitale e privacy.

Un miglioramento possibile potrebbe consistere nell’estendere alcune tutele e garanzie previste per il sistema SPID anche per la CIE, ad esempio in termini di regolamentazioni più dettagliate sulla gestione delle identità digitali e della sicurezza.

Un cittadino può avere più identità digitali SPID: un aspetto che ha destato preoccupazione

L’inventore di SPID, Stefano Quintarelli, imprenditore e informatico italiano ha l’innegabile merito di aver concepito un sistema che ha facilitato e che continua a semplificare l’accesso dei cittadini ai servizi digitali della Pubblica Amministrazione, superando il problema delle molteplici credenziali d’accesso con una identità digitale unica.

Lo stesso Quintarelli ammette che SPID è suscettibile di miglioramenti, che anzi dovrebbero essere implementati. Alla domanda “si possono avere due account SPID con uno stesso numero cellulare?” risponde affermativamente:

Il numero di telefono è un requisito che abbiamo inserito per avere un punto di contatto rapido con i cittadini e, oltretutto, facilita la registrazione e la generazione dei codici. Quindi per ogni identity provider il numero di cellulare è legato ad una persona, e sarebbe meglio che la corrispondenza fosse univoca, anche per possibili ragioni di privacy. Per identity provider diversi, tuttavia, lo stesso cellulare potrebbe corrispondere a persone diverse (es. marito e moglie), se loro consapevolmente fanno registrazioni diverse con Identity Provider diversi con lo stesso numero di cellulare. In definitiva, se questa è una esigenza proprio non evitabile, basta usare due identity provider diversi tra quelli esistenti.

Il fatto è che non solo si possono avere due SPID legati al medesimo numero di cellulare (scegliendo identity provider diversi) ma si possono ottenere due SPID per lo stesso cittadino.

Una libertà che richiede responsabilità e controlli più forti

Se la scelta di attivare due SPID può essere motivata da alcune ragioni pratiche, delle quali parliamo nell’articolo, si è fatto un gran parlare delle attività poste in essere da truffatori che attivano identità SPID a nome di altri utenti e poi si spacciano per loro sui siti della Pubblica Amministrazione (ad esempio per dirigere su conti sotto il loro controllo stipendi, pensioni e rimborsi).

Il problema da un lato è figlio delle scarse cautele con cui spesso sono conservati i documenti degli utenti (ad esempio da parte di certe strutture ricettive e di tanti soggetti privati che gestiscono tali documenti): gli stessi che possono essere utilizzati per richiedere l’emissione di un’identità digitale SPID presso un identity provider accreditato. Dall’altro, la natura federata di SPID è un po’ la leva sulla quale possono provare ad agire i criminali informatici.

Il principale punto di forza del modello federato su cui si basa SPID — la decentralizzazione — rappresenta oggi anche un “neo” da non sottovalutare. L’assenza di un registro centralizzato delle identità digitali, unita alla piena autonomia gestionale degli identity provider crea di fatto una frammentazione che impedisce controlli incrociati efficaci tra i gestori. Questa mancanza di interconnessione rende tecnicamente possibile l’attivazione di più SPID a nome dello stesso cittadino, senza che sia generato alcun alert o notifica.

In altre parole, il sistema non dispone di un meccanismo nativo per rilevare tentativi sospetti di duplicazione o usurpazione d’identità. Tale lacuna è diventata il principale vettore sfruttato dai truffatori: grazie a documenti rubati o clonati, ottenuti tramite phishing o infostealer, un malintenzionato può procedere con la creazione di un’identità SPID fraudolenta senza che il cittadino ne sia immediatamente informato (gli identity provider non si scambiano nemmeno il dato relativo al codice fiscale del cittadino, cosa che farebbe emergere registrazioni duplicate).

Come abbiamo osservato in precedenza, SPID è soggetto a vigilanza da parte di magistratura, Garante Privacy e AgID ma sono comunque emersi casi di identità create da parte di criminali informatici impossessatisi dei documenti personali delle vittime. A questo proposito, in assenza di una modifica tecnica sul funzionamento di SPID (i.e. verifica del codice fiscale tra più identity provider, che sarà comunque a breve introdotta), la solidità dell’intero ecosistema sembra dipendere oggi in larga misura dalla qualità — e dalla severità — dei processi di onboarding adottati dai singoli provider.

Conclusioni

Alla luce di quanto esposto, appare chiaro che la contrapposizione tra SPID e CIE non è una questione di sicurezza tecnica, bensì di modello economico, gestionale e politico.

SPID, pur con alcune criticità strutturali legate alla sua natura federata e alla pluralità di identity provider, ha dimostrato di essere un sistema maturo, sicuro e ampiamente adottato. Il suo successo — oltre 40 milioni di identità attive e più di 100 milioni di autenticazioni mensili — evidenzia come gli utenti ne apprezzino la semplicità e la flessibilità d’uso.

La spinta verso la CIE risponde soprattutto a una logica di razionalizzazione dei costi e di centralizzazione della gestione: la Carta d’Identità Elettronica è emessa e gestita interamente dallo Stato, senza intermediari privati e senza necessità di convenzioni o compensazioni economiche. In un contesto in cui i fondi per il mantenimento del sistema SPID sono stati congelati e gli identity provider hanno dovuto introdurre canoni annuali per garantirne la sostenibilità, la scelta politica di puntare sulla CIE appare, più che tecnica, eminentemente economica.