SPID: 20 cose poco conosciute (ma utilissime) sull’identità digitale italiana

Quando si parla di SPID (Sistema Pubblico di Identità Digitale), la maggior parte degli utenti lo considera semplicemente una credenziale per accedere ai servizi online della Pubblica Amministrazione. In realtà il sistema è progettato come un’infrastruttura federata di identità digitale, con caratteristiche tecniche e normative molto più sofisticate rispetto a un semplice login.

Dietro la schermata di autenticazione SPID si nasconde uno strumento avanzato che combina federazione di identità, standard di autenticazione web, interoperabilità europea e gestione distribuita delle credenziali. Molti di questi aspetti sono poco conosciuti anche da chi utilizza SPID ogni giorno. Eppure comprenderli permette di sfruttare meglio l’identità digitale e utilizzarla senza difficoltà.

SPID è un sistema federato, non centralizzato

Una caratteristica architetturale poco compresa riguarda la struttura del sistema. SPID non è un database centrale di identità, ma una federazione di soggetti:

• Identity Provider (IdP). Gestiscono l’identità dell’utente.
• Service Provider (SP). Offrono i servizi online.
• AgID. Definisce regole e standard del sistema.

Lo Stato non gestisce direttamente le credenziali, le identità sono gestite da provider privati accreditati e i servizi pubblici delegano l’autenticazione agli IdP.

Quando si effettua l’accesso con SPID, il servizio reindirizza l’utente all’IdP; l’utente si autentica; l’IdP restituisce al servizio un’asserzione di identità firmata digitalmente. Una simile architettura riduce il rischio di concentrazione dei dati personali e consente l’interoperabilità tra operatori diversi.

Dal punto di vista tecnico, inoltre, SPID non è una tecnologia proprietaria. Il sistema si basa su standard utilizzati in tutto il mondo per il Single Sign-On federato: citiamo OpenID Connect (introdotto come protocollo principale dal 2022).

Gli Identity Provider non condividono gli utenti

Anche se SPID è una federazione di provider, gli utenti non sono condivisi tra provider. Quando si effettua il login è necessario scegliere il provider presso cui è stata creata l’identità.

Ciò avviene perché ogni IdP mantiene il proprio database utenti, non esiste alcuno scambio di dati tra provider e il sistema funziona tramite scambio di metadati tra provider e servizi, non tramite replica delle identità.

Inoltre, è interessante evidenziare che SPID è progettato per funzionare anche con servizi privati. La normativa prevede che anche aziende, banche, assicurazioni, piattaforme digitali e così via possano eventualmente avvalersi di SPID per identificare gli utenti. Le imprese possono così delegare l’identificazione a un sistema pubblico certificato, riducendo costi e responsabilità legali.

SPID non sarà dismesso a breve (e non esiste alcun obbligo di passare alla CIE)

Negli ultimi mesi si è diffusa spesso la notizia secondo cui lo SPID sarebbe destinato a scomparire a breve, sostituito completamente dalla Carta d’Identità Elettronica (CIE). In realtà, queste affermazioni non corrispondono al vero.

Le convenzioni tra lo Stato italiano, l’Agenzia per l’Italia Digitale (AgID) e i gestori delle identità digitali sono state rinnovate fino al 2030, garantendo la continuità operativa del sistema per diversi anni.

SPID continuerà quindi a funzionare normalmente; i servizi pubblici continueranno a supportarlo; cittadini e imprese potranno utilizzarlo ancora a lungo.

La narrazione dell’“addio imminente allo SPID” deriva in gran parte dal fatto che lo Stato sta promuovendo anche l’uso della CIE come strumento di autenticazione digitale, soprattutto tramite l’app CieID. Tuttavia questa evoluzione non implica la dismissione immediata dello SPID, né la sua sostituzione obbligatoria.

Dal punto di vista normativo, quindi, SPID e CIE sono strumenti alternativi, entrambi validi per accedere ai servizi online della Pubblica Amministrazione. Smantellare rapidamente SPID sarebbe irragionevole e tecnicamente complesso, oltre a creare problemi di accesso a milioni di cittadini.

SPID supporta il Single Sign-On

Come accennato in precedenza, SPID supporta il Single Sign-On (SSO), una funzione spesso ignorata ma molto utile.

Quando si effettua l’accesso a un servizio tramite SPID, la sessione può essere riutilizzata per accedere ad altri servizi senza reinserire le credenziali. Il meccanismo è simile a quello utilizzato da sistemi come Google Identity, Microsoft Azure AD e meccanismi di autenticazione aziendali.

Nel caso di SPID, il SSO è disponibile soprattutto per il livello di autenticazione base. Dal punto di vista della sicurezza e dell’usabilità, l’approccio riduce drasticamente il numero di autenticazioni richieste all’utente.

L’identità digitale è una facoltà, non un obbligo

L’identità digitale non è obbligatoria per i cittadini. È una facoltà prevista dalla normativa, anche se nella pratica molti servizi pubblici la richiedono come modalità preferenziale.

In teoria la Pubblica Amministrazione dovrebbe sempre prevedere modalità alternative di accesso ai servizi. Il principio è rilevante dal punto di vista del diritto amministrativo e della tutela dei cittadini meno digitalizzati.

SPID non è legato a un dispositivo specifico

Un altro elemento progettuale importante è che SPID non richiede hardware specifico. L’identità digitale deve poter essere utilizzata da qualsiasi dispositivo, sistema operativo e browser Web.

La scelta architetturale era uno degli obiettivi originali del sistema: evitare il vincolo di smart card o dispositivi dedicati, rendendo l’identità digitale portabile e universale.

In altre parole, SPID è progettato per essere device-agnostic.

Il livello 3 di SPID utilizza supporti crittografici fisici

Pochi utenti sanno che SPID prevede un terzo livello di sicurezza. In altre parole, non è solo la Carta d’Identità Elettronica (CIE), opportunamente attivata, ad offrire il massimo livello di sicurezza: anche SPID permette di ottenerlo “by design“.

Mentre la maggior parte degli utenti utilizza quasi esclusivamente il livello 2, esiste anche un livello 3, più avanzato dal punto di vista tecnico e della sicurezza informatica. Il livello 3 introduce infatti un meccanismo di autenticazione forte basato su dispositivi crittografici fisici, superando i limiti delle credenziali tradizionali.

Per comprendere il livello 3 è utile ricordare brevemente la differenza tra i tre livelli previsti dal sistema SPID.

Il livello 1 richiede soltanto l’inserimento di username e password. Il livello 2, oggi il più diffuso, introduce un secondo fattore di autenticazione. Dopo aver inserito username e password è necessario confermare l’accesso tramite:

• codice OTP generato da app;
• codice ricevuto via SMS;
• notifica di conferma sull’app del provider.

Il livello 3 aggiunge un ulteriore elemento: un dispositivo crittografico fisico in grado di gestire chiavi private certificate.

I dispositivi utilizzati nel livello 3

Nel livello 3 l’autenticazione si basa su strumenti che custodiscono chiavi crittografiche protette, generalmente all’interno di hardware sicuro. Tra i dispositivi più utilizzati rientrano:

• smart card con microchip crittografico;
• token USB crittografici;
• dispositivi di firma digitale qualificata;
• Hardware Security Module (HSM) o sistemi di firma remota certificata.

Questi dispositivi contengono certificati digitali qualificati rilasciati da Certification Authority (CA) riconosciute. La chiave privata associata al certificato non può essere estratta dal dispositivo, ma è utilizzata internamente per generare operazioni crittografiche. In pratica, quando un utente effettua l’autenticazione SPID di livello 3, il sistema richiede non solo le credenziali ma anche una prova crittografica generata dal dispositivo fisico.

Perché il livello 3 è ancora poco diffuso

Nonostante il livello 3 offra un livello di sicurezza molto elevato, al momento è poco utilizzato nei servizi pubblici online. Le principali ragioni sono di carattere pratico.

L’uso di dispositivi fisici introduce maggiore complessità per gli utenti e richiede spesso hardware dedicato, configurazioni specifiche, installazione di driver o software. Per la maggior parte dei servizi amministrativi il livello 2 rappresenta un compromesso sufficiente tra sicurezza e semplicità d’uso.

La CIE permette un livello di sicurezza equivalente al livello 3 SPID con l’accesso tramite chip NFC, avvicinando la carta al dorso dello smartphone. Tale livello è pensato per quei contesti che richiedono identificazione digitale con il massimo livello di affidabilità, ad esempio:

• operazioni con elevato valore legale;
• servizi finanziari regolamentati;
• accesso a sistemi critici della Pubblica Amministrazione;
• operazioni che richiedono firma digitale qualificata.

Dal punto di vista normativo, questo livello è progettato per soddisfare i requisiti più stringenti previsti dal regolamento europeo eIDAS, che disciplina l’identificazione elettronica e i servizi fiduciari digitali.

In prospettiva, con l’evoluzione delle identità digitali europee e dei portafogli digitali (Digital Identity Wallet), il modello di autenticazione basato su chiavi crittografiche protette da hardware sicuro potrebbe diventare sempre più centrale nei sistemi di identità digitale.

SPID è una delle identità digitali più diffuse in Europa

La diffusione dello SPID ha raggiunto livelli molto elevati rispetto ad altri sistemi nazionali. Nel 2025 il numero di identità SPID ha superato 41 milioni, rendendolo uno dei sistemi di identificazione digitale più utilizzati in Europa.

Questo livello di adozione ha reso possibile digitalizzare molte procedure amministrative; ridurre l’uso di certificati cartacei; accelerare servizi pubblici online.

SPID non trasmette sempre tutti i dati dell’utente

Un dettaglio tecnico importante riguarda gli attributi di identità. Quando un servizio richiede l’autenticazione SPID può chiedere solo alcune informazioni, ad esempio nome, cognome, codice fiscale, email certificata.

Il sistema utilizza il principio del minimal disclosure, cioè la trasmissione del minimo set di attributi necessario per completare l’operazione. Questo modello è fondamentale per la protezione dei dati personali.

Anche in ottica di verifica dell’età, dal momento che SPID può essere erogato anche ai minori, il sito potrebbe semplicemente richiedere l’attributo maggiorenne/minorenne senza il trasferimento di altre informazioni.

Le credenziali SPID possono essere multiple

Non esiste alcun vincolo che imponga di avere una sola identità digitale SPID. Un cittadino può possedere più identità SPID rilasciate da provider diversi, tutte con lo stesso valore legale. Può essere utile soprattutto in termini di ridondanza (ad esempio se il servizio di un IdP fosse momentaneamente indisponibile).

Va detto, tuttavia, che questa caratteristica è ripetutamente abusata da parte di criminali informatici: sfruttando dati personali degli utenti (compresi documenti di riconoscimento, foto e brevi video, magari acquisiti attraverso altri canali) gli aggressori possono provare a richiedere identità SPID a nome di vittime inconsapevoli.

La truffa SPID che ha permesso di rubare l’identità digitale di ignari cittadini è qualcosa che deve essere tenuto ben presente. In alcuni casi i criminali hanno cercato di sfruttare lo SPID per entrare nel cassetto fiscale dell’Agenzia delle Entrate, modificare l’IBAN associato ai rimborsi o richiedere bonus e incentivi statali.

È importante sottolineare che questi casi non dipendono da vulnerabilità del sistema SPID in sé, ma piuttosto dall’uso illecito di dati personali sottratti alle vittime. Proprio per questo i provider hanno rafforzato le procedure di identificazione e i controlli antifrode, rendendo più difficile creare identità digitali fraudolente.

Come ulteriore misura di difesa, sarà opportuno implementare un meccanismo che provveda a informare il cittadino ogni volta che viene creata una nuova identità digitale SPID a suo nome. Attualmente non esiste ancora un sistema pubblico che consenta al cittadino di verificare facilmente tutte le identità SPID eventualmente attivate a suo nome.

SPID è destinato a convergere nel portafoglio digitale europeo

L’evoluzione dell’identità digitale in Europa non si fermerà ai sistemi nazionali come SPID. Il prossimo passo è rappresentato dallo European Digital Identity Wallet (EUDI Wallet), il progetto con cui l’Unione Europea punta a creare un’infrastruttura comune per la gestione delle identità e delle credenziali digitali dei cittadini.

L’EUDI Wallet sarà, in sostanza, un portafoglio digitale installato sullo smartphone o su altri dispositivi personali, attraverso il quale i cittadini potranno conservare e presentare diverse credenziali digitali certificate. Non si tratterà solo di un sistema di autenticazione, ma di una piattaforma per gestire documenti ufficiali e attestazioni digitali.

Tra le credenziali che potranno essere memorizzate nel wallet rientrano, ad esempio:

• documenti di identità digitali;
• patente di guida;
• certificati anagrafici;
• titoli di studio;
• certificazioni professionali;
• attestazioni sanitarie o assicurative.

Il modello su cui si basa il sistema è quello delle verifiable credentials, credenziali digitali firmate crittograficamente da enti autorizzati e conservate direttamente nel dispositivo dell’utente. In questo modo il cittadino potrà condividere solo le informazioni necessarie con un servizio pubblico o privato, mantenendo il controllo sui propri dati.

Il ruolo dello SPID nel nuovo ecosistema

I sistemi nazionali di identità digitale già esistenti, come lo SPID, rappresentano una delle fondamenta su cui verrà costruito l’ecosistema europeo dell’identità digitale. SPID è già compatibile con il regolamento europeo eIDAS, che disciplina i sistemi di identificazione elettronica negli Stati membri.

In prospettiva, l’identità SPID potrà essere utilizzata per verificare l’identità del cittadino, attivare o inizializzare il wallet europeo, accedere ai servizi pubblici e privati online.

In altre parole, lo SPID non scomparirà, ma tenderà a diventare uno dei meccanismi di autenticazione che alimentano il portafoglio digitale europeo.

Che fine farà l’app IO

A questo punto sorge una domanda naturale: che ruolo avrà l’app IO, già oggi utilizzata da milioni di cittadini per interagire con la Pubblica Amministrazione?

L’app IO non è un sistema di identità digitale come SPID, ma una piattaforma che consente di ricevere comunicazioni dalla Pubblica Amministrazione, effettuare pagamenti tramite pagoPA, gestire bonus, notifiche e servizi digitali.

Per questo motivo non è destinata a essere sostituita dal wallet europeo. Piuttosto, è probabile che in futuro l’app IO integri alcune delle funzionalità del portafoglio digitale europeo oppure dialoghi direttamente con esso.

In altre parole, lo scenario più plausibile è questo:

• SPID e CIE continueranno a essere strumenti di autenticazione;
• il wallet europeo diventerà il contenitore delle credenziali digitali;
• l’app IO resterà l’interfaccia dei servizi della Pubblica Amministrazione italiana.

In questo modo i tre sistemi svolgerebbero ruoli diversi ma complementari: identità, credenziali e accesso ai servizi.

Con SPID è possibile firmare documenti digitali

Una funzionalità poco conosciuta è la firma elettronica con SPID. In alcuni servizi digitali è possibile sottoscrivere documenti semplicemente autenticandosi con la propria identità SPID. Questo tipo di firma è generato dal fornitore del servizio (Service Provider) dopo l’autenticazione dell’utente presso il proprio IdP.

Il processo funziona così: l’utente accede con SPID, il provider verifica l’identità, il sistema genera una firma elettronica avanzata associata all’identificazione.

Il risultato è un documento firmato senza bisogno di smart card, token USB e certificati qualificati installati localmente. Il sistema è stato utilizzato, ad esempio, per la sottoscrizione digitale delle proposte di referendum.

L’identità SPID è progettata per gestire attributi certificati

Un aspetto spesso ignorato riguarda la possibilità di associare attributi qualificati all’identità digitale.

In prospettiva, SPID può trasmettere informazioni certificate come qualifica professionale, appartenenza a un ordine, ruolo aziendale, autorizzazioni amministrative. Una caratteristica che apre le porte a sistemi di identità professionale digitale.

Quando lo SPID risulta bloccato: cosa significa davvero e come intervenire

Può capitare che, tentando di accedere a un servizio online con la propria identità digitale, compaia un messaggio che indica che lo SPID è bloccato oppure temporaneamente sospeso. Per molti utenti questa situazione genera confusione, perché non è sempre chiaro se si tratti di un problema tecnico, di sicurezza o di credenziali.

In realtà il blocco dello SPID può avvenire per diverse ragioni e quasi sempre esistono procedure relativamente semplici per risolvere la situazione.

Perché lo SPID può essere bloccato

Il blocco di un’identità SPID è normalmente una misura di sicurezza automatica o preventiva. I provider adottano queste procedure per proteggere l’account da tentativi di accesso non autorizzati o da utilizzi impropri delle credenziali. Le cause più comuni sono diverse.

Una delle più frequenti è l’inserimento ripetuto di password errate. Dopo un certo numero di tentativi falliti il sistema può bloccare temporaneamente l’accesso per evitare attacchi di tipo brute-force.

Un’altra situazione comune riguarda problemi con il secondo fattore di autenticazione, ad esempio quando il codice OTP non è inserito correttamente più volte oppure quando l’app di autenticazione non riesce a sincronizzarsi con il sistema del provider.

Il blocco può verificarsi anche quando il provider rileva un accesso anomalo, ad esempio un login da un Paese o da un dispositivo mai utilizzato prima. In questi casi il sistema può sospendere l’identità fino a una verifica.

Infine, esistono situazioni più rare in cui lo SPID è sospeso su richiesta dell’utente stesso, ad esempio dopo lo smarrimento dello smartphone o il sospetto che le credenziali siano compromesse.

La differenza tra blocco temporaneo e sospensione dell’identità

Non tutti i blocchi sono uguali. In genere si distinguono due situazioni principali.

Il blocco temporaneo è il caso più comune. Si tratta di una limitazione automatica che impedisce l’accesso per un periodo limitato, spesso da pochi minuti a qualche ora. Serve semplicemente a prevenire tentativi di accesso fraudolenti.

La sospensione dell’identità SPID, invece, è una misura più seria. In questo caso l’identità digitale è disabilitata fino a quando l’utente non effettua una procedura di riattivazione tramite il proprio IdP.

Nella maggior parte dei casi il problema si risolve semplicemente effettuando il reset della password tramite la procedura di recupero credenziali disponibile sul sito del provider. Se il blocco riguarda l’autenticazione a due fattori, può essere necessario riassociare l’app di autenticazione o richiedere nuovi codici OTP.

Quando invece l’identità fosse sospesa per motivi di sicurezza, il provider può richiedere una nuova verifica dell’identità. Tale verifica può avvenire tramite accesso con CIE o CNS, riconoscimento tramite app ufficiale del provider o procedura di identificazione online.

Attivare SPID gratis oggi è possibile, ma spesso è diventato più complicato

Per molti anni ottenere SPID gratis era piuttosto semplice: diversi IdP offrivano procedure di riconoscimento online senza costi e senza la necessità di recarsi fisicamente presso uno sportello.

Negli ultimi tempi, tuttavia, attivare SPID a costo zero può risultare meno immediato, perché alcune modalità gratuite sono state ridotte oppure richiedono requisiti tecnici specifici. Ciò non significa che sia impossibile ottenere SPID gratuitamente: significa piuttosto che bisogna conoscere quali metodi di identificazione restano effettivamente gratuiti e attivabili da remoto.

I metodi che permettono ancora di attivare SPID gratis da casa

Esistono alcune modalità che consentono ancora oggi di attivare SPID senza pagare e senza doversi recare presso uffici fisici. Tuttavia richiedono strumenti digitali che non tutti possiedono.

• Identificazione tramite Carta d’Identità Elettronica (CIE). Uno dei metodi più affidabili per ottenere SPID gratuitamente consiste nell’utilizzare la Carta d’Identità Elettronica con CieID e chip NFC. Il sistema è spesso gratuito perché la verifica avviene tramite documento elettronico già certificato dallo Stato. Che senso ha richiedere SPID se si è già attivata la CIE? Principalmente perché molti utenti ritengono più immediato SPID e perché non tutti i servizi supportano contemporaneamente SPID e CIE.
• Identificazione tramite CNS o firma digitale. Un’altra modalità gratuita prevede l’uso di strumenti già dotati di certificati digitali, come Carta Nazionale dei Servizi (CNS) e firma digitale qualificata. La CNS è però oggi supportata da pochi IdP.
• Identificazione tramite SPID già esistente. Un meccanismo poco conosciuto riguarda la possibilità di creare una nuova identità SPID utilizzando uno SPID già attivo. Il metodo permette di ottenere un secondo SPID senza ulteriori procedure di riconoscimento.

Perché alcune attivazioni gratuite sono diventate più rare

Negli anni passati molti provider offrivano anche video-riconoscimento gratuito, cioè una verifica tramite webcam con un operatore. Oggi questo servizio è spesso diventato a pagamento.

La ragione è principalmente economica: il riconoscimento remoto comporta costi operativi per il provider (personale, infrastrutture, verifiche documentali). Senza un rimborso pubblico stabile, alcuni gestori hanno deciso di applicare una tariffa per coprire queste spese.

Di conseguenza, le modalità gratuite oggi si basano soprattutto su identificazione tramite strumenti digitali già certificati, come CIE, CNS o firma digitale. E ciò non avviene neppure sempre.

SPID sta diventando a pagamento con alcuni provider, ma esistono ancora molte identità digitali gratuite

Negli ultimi anni si è diffusa una novità che ha sorpreso molti utenti: alcuni IdP hanno iniziato a introdurre un canone annuale per l’utilizzo dello SPID. Il cambiamento ha alimentato la percezione che lo SPID stia diventando progressivamente un servizio a pagamento. In realtà la situazione è più articolata.

Lo SPID, l’abbiamo già detto, non è un servizio gestito direttamente dallo Stato. È un’infrastruttura regolata da norme pubbliche ma operata da soggetti privati accreditati. Negli anni iniziali dello SPID molti provider hanno offerto il servizio gratuitamente, anche perché erano previsti contributi pubblici per sostenere l’adozione dell’identità digitale.

Con il progressivo esaurimento di questi incentivi e con l’aumento dei costi operativi, alcuni gestori hanno iniziato a introdurre abbonamenti annuali.

SPID gratuito non è scomparso

Nonostante questi cambiamenti, è importante chiarire un punto fondamentale: lo SPID gratuito non è scomparso.

Diversi IdP continuano a offrire identità digitali senza costi per i cittadini, soprattutto nelle modalità di attivazione che utilizzano strumenti di identificazione già certificati come CIE, CNS e firma digitale. In questi casi la verifica dell’identità è automatizzata e non richiede operatori umani, permettendo ai provider di mantenere il servizio gratuito.

Un dettaglio spesso ignorato riguarda la flessibilità del sistema SPID: l’identità digitale non è legata in modo permanente a un singolo provider. Se un gestore introduce un canone annuale e l’utente preferisce evitare costi, è possibile attivare una nuova identità SPID presso un altro provider che offre ancora il servizio gratuitamente.