Identità Digitale: istruzioni per l'uso
La pandemia ha reso evidente la centralità dell’identità digitale come strumento chiave per cittadini e imprese e per l’abilitatore delle interazioni online, che si è reso indispensabile durante l’emergenza sanitaria per garantire la continuità dei servizi. Negli ultimi anni, sia nel contesto italiano sia nel panorama internazionale, per governi, aziende e cittadini è così cresciuta la consapevolezza del valore di una chiave estremamente sicura, che apra le porte di servizi online pubblici e privati in maniera semplice e affidabile. Questa chiave è rappresentata proprio dall’identità digitale.
In Italia, SPID (il Sistema Pubblico di Identità Digitale) e CIE (la Carta d’Identità Elettronica) sono diventate le credenziali uniche per accedere ai servizi online della PA a partire dal 28 febbraio 2021. Secondo quanto stabilito dal Decreto Semplificazioni, infatti, tutte le Pubbliche Amministrazioni, centrali e locali, sono state chiamate a interrompere il rilascio di credenziali proprietarie e a integrare nei propri sistemi informativi SPID e CIE come unico sistema di identificazione per l’accesso ai servizi digitali. Le vecchie credenziali sono rimaste valide fino alla data del 1° ottobre 2021.
Tali interventi normativi, uniti alla spinta indotte dall'app IO per il Cashback e il Green Pass, hanno affermato l'importanza dell'identità digitale anche in Italia. Sebbene comunemente associata allo SPID, l’identità digitale è, in realtà, molto di più.
Grazie al contributo delle ricerche dell’Osservatorio Digital Identity del Politecnico di Milano, all’interno di questa guida vengono approfonditi i temi chiave associati all’identità digitale a livello italiano e internazionale, rispondendo alle principali domande sul tema: cosa vuol dire identità digitale, come funziona e come si ottiene? Quali sono i sistemi di autenticazione digitale oltre ai già citati SPID e Carta d’Identità Elettronica?
Oltre a definizioni e istruzioni, vengono analizzati gli aspetti di business legati all'identità digitale: gli ambiti applicativi, le prospettive di mercato, le opportunità per imprese e cittadini, le tecnologie abilitanti, nonché il quadro normativo di riferimento.
Indice dei Contenuti:
- Cos'è l'Identità Digitale
- Come funziona l'Identità Digitale
- Identità Digitale, esempi e modelli
- Le Applicazioni dell'Identità Digitale
- Gli strumenti di Identità Digitale attivi in Italia
- SPID (Sistema Pubblico per l'Identità Digitale)
- Identità Digitale in Italia: i numeri di SPID
- Identità Digitale e normativa
- PNRR e Identità Digitale, la strategia
- Identità Digitale in Europa, il Regolamento eIDAS
- Le tecnologie a servizio dell'Identità Digitale
- La Tecnologia Blockchain e l'SSI
- La Biometria
- Identità Digitale e Green Pass
Cos'è l'Identità Digitale e come funziona
Identità Digitale, una definizione
Per identità digitale si intende un insieme di dati che consentono di identificare univocamente una persona, un’azienda o un oggetto e che vengono raccolti, memorizzati e condivisi digitalmente all’interno di un ecosistema di attori e attraverso tecnologie abilitanti, e che permette l’accesso a servizi digitali a valore aggiunto.
L'identità digitale, allo stesso modo dell'identità fisica, rappresenta l’insieme delle caratteristiche e dei tratti distintivi che descrivono un individuo e lo differenziano dagli altri. Identificare un soggetto significa poterlo riconoscere in maniera univoca: nel mondo fisico affinché questo avvenga sono necessarie la presenza e la prossimità delle parti in causa. L’identità digitale permette, invece, il riconoscimento anche da remoto, attraverso canali differenti. Sebbene entrambe contribuiscano alla funzione di identificazione e riconoscimento di un individuo, identità fisica e identità digitale presentano profonde differenze:
Identità Digitale e Identità Fisica, le differenze
- Creazione di più Identità: nel caso dell’identità fisica, ciascun individuo può possedere uno o alcuni strumenti di identità validi e riconosciuti, che sono spesso associati a un documento fisico, come carta di identità, patente o passaporto. Online, invece, è possibile attivare e possedere più di un’identità digitale in contemporanea: da quelle rilasciate dalle piattaforme di social network, all’identità digitale legate a sistemi nazionali, quali CIE e SPID, passando per identità in ambito business;
- Validità: I documenti di riconoscimento nel mondo fisico sono tipicamente accettati su tutto il territorio nazionale e in molti casi hanno validità anche a livello internazionale. L’identità digitale, invece, è riconosciuta esclusivamente all’interno dell’ecosistema di attori che hanno deciso di aderirvi e di predisporre l’adeguata infrastruttura tecnologica per integrarsi con il gestore dell’identità digitale (cosiddetto Identity Provider, IdP);
- Ecosistema Associato: Per quel che riguarda l’identità fisica, l’ente che emette il documento di riconoscimento non è coinvolto nelle successive interazioni in cui questo verrà esibito. Il contesto digitale, invece, è fortemente interconnesso;
- Dinamicità: L’identità fisica ha un set predefinito e statico di dati identificativi dell’individuo che comprende i dati anagrafici e, in alcuni casi, i dati biometrici raccolti in fase di identificazione e memorizzati sul documento di riconoscimento. L’identità digitale è, invece, costituita da un insieme di dati potenzialmente molto più dinamico. A seconda dell’ambito di riferimento, il profilo di identità digitale può essere arricchito con informazioni di natura legale, dati sanitari o finanziari.
Come funziona l'Identità Digitale
La definizione data di identità digitale, permette di mettere in luce alcune caratteristiche chiave che aiutano a spiegare come funziona nel dettaglio l’identità digitale. Queste caratteristiche, come spiegato nel dettaglio nei paragrafi successivi, sono: le tipologie di dati, l’ecosistema, le tecnologie e i servizi accessibili.
I dati costitutivi
I dati costitutivi hanno la funzione di identificare in modo univoco l’individuo, definire cosa è abilitato a fare ed eventualmente tenere traccia delle sue interazioni nel mondo digitale. Possono essere di diverse tipologie:
- dati costitutivi (anagrafici, biometrici, certificazioni e attributi) che connotano un’entità o che ne definiscono alcune qualità peculiari;
- dati dinamici derivanti dalle interazioni dell’individuo con altre entità o organizzazioni, come informazioni di natura legale e dati sanitari e finanziari.
I servizi accessibili
L’identità digitale permette all’utente di accedere a servizi a valore aggiunto, abilitare transazioni o effettuare operazioni nel mondo digitale. Per minimizzare il rischio di furti di identità e frodi, il livello di robustezza dei dati dell'identità digitale sarà strettamente legato alla criticità dei servizi accessibili. Il livello di certezza dell’identificazione dell’utente è detto Level of Assurance (LoA) e, seguendo il Regolamento eIDAS, si declina su tre livelli: Low, Substantial e High, con crescente grado di sicurezza.
L'ecosistema dell'Identità Digitale
Gli ecosistemi associati ai sistemi di identità digitale possono avere diverse configurazioni in base al presidio dei ruoli chiave da parte degli attori coinvolti:
- utente finale, che utilizza l’identità digitale per interagire, richiedere servizi e avviare transazioni;
- Identity Provider (IdP), che verifica i dati dell’utente, rilascia e gestisce la sua identità digitale, interfacciandosi con i fornitori di servizi per il trasferimento dei dati richiesti. Può essere un ente pubblico, un’azienda privata oppure una federazione di attori, sia pubblici che privati;
- Identity Verifier, che si occupa della verifica delle informazioni e dei dati dell’utente in fase di identificazione. Il ruolo può essere ricoperto dallo stesso Identity Provider oppure da altri soggetti;
- Service Provider (SP), ossia il fornitore dei servizi rivolti all’utente finale;
- Gestore di attributi qualificati, che si occupa di rilasciare e gestire informazioni associate al profilo dell’identità dell’utente che ne attestano attributi o certificazioni (ad esempio Ordini, collegi professionali, Albi, Camere di Commercio, Consigli nazionali o soggetti in grado di certificare attributi finanziari);
- Technology Provider, che fornisce e gestisce l’infrastruttura tecnologica a supporto dell’intero sistema;
- Information Provider, ente che si occupa della verifica delle informazioni dei documenti di riconoscimento utilizzati per identificare l’utente.
Le tecnologie abilitanti
Centrali per lo sviluppo e la diffusione di un sistema di identità digitale, si dividono in tre principali categorie:
- tecnologie architetturali, costituiscono la base infrastrutturale del sistema e ne determinano la configurazione (es. Blockchain, Cloud);
- tecnologie di integrazione, supportano l’interoperabilità tra sistemi diversi (es. sistemi di gestione API);
- tecnologie di processo, costituiscono il front-end con l’utente e consentono la gestione dell’intero ciclo di vita dell’identità digitale, dall’identificazione all’autorizzazione (es. biometria, Machine Learning e Intelligenza Artificiale).
Identità Digitale, esempi e modelli
Social ID
Il Social ID è l’insieme di dati auto-dichiarati dall’utente al momento di iscrizione ad una piattaforma social, caratterizzati da un livello minimo di verifica, come i profili Facebook o Google. Tramite il Google ID button, l’utente può autenticarsi su un sito web o un’app mobile trasferendo al fornitore del servizio alcune informazioni del proprio account Google.
eCommerce ID
Si tratta di sistemi con caratteristiche affini al modello Social ID, che consentono l’accesso a piattaforme di eCommerce o marketplace, come gli account creati su Amazon o Shopify. Amazon Login consente l’autenticazione di un utente presso siti web e applicazioni mobile tramite il trasferimento di alcune informazioni del relativo account Amazon.
Mobile ID
I sistemi Mobile ID sono basati sull’utilizzo della SIM card come secure element per i dati dell’identità, come avviene per il sistema belga itsme®, basato su un’infrastruttura mobile che utilizza la SIM come secure element. Tuttavia, è frequente la nascita di sistemi di Mobile ID basati su SIM virtuali, in cui il centro di memorizzazione dei dati è spostato su un cloud.
eGov ID
Questa categoria raccoglie i sistemi di identità digitale sviluppati e distribuiti da enti governativi, eventualmente in partnership con uno o più attori privati, che riconoscono in modo univoco gli utenti e offrono l’accesso a servizi pubblici e privati, come il sistema italiano CIE oppure il Sistema Pubblico di Identità Digitale (SPID).
Financial ID
I sistemi Financial ID sono basati sul profilo di dati identificativi raccolti da un istituto bancario per identificare un cliente e, in seguito, resi interoperabili e valorizzabili da altre aziende come modalità di riconoscimento. Sono esempi di Financial ID l’identità PayPal e il BankID svedese che consente l'accesso a diversi servizi pubblici e privati.
Le Applicazioni dell'Identità Digitale
A livello internazionale l’identità digitale è valorizzabile in numerosi contesti come strumento abilitante di interazioni sicure online e offline, fungendo da sistema di riconoscimento agile per accedere a un’ampia gamma di servizi. Ecco alcuni esempi all'interno di diversi ambiti applicativi:
- Pubblica Amministrazione: accesso a servizi online offerti da enti locali e centrali, come servizi anagrafici, catastali o tributari;
- Sanità: accesso al Fascicolo Sanitario Elettronico, per la prenotazione di prestazioni sanitarie ed esami;
- eCommerce: acquisto di prodotti e servizi;
- Mobility: attivazione di account per la sharing mobility; pagamento di ticket urbani con biometria;
- Finanza & Assicurazioni: accesso all’online banking; sottoscrizione di polizze da remoto;
- Viaggi & Turismo: prenotazione di biglietti e soggiorni, check-in;
- Cultura & Intrattenimento: consultazione di contenuti personalizzati; accesso a musei fisici e digitali e gaming online.
Gli strumenti di Identità Digitale attivi in Italia
Attualmente il panorama italiano dell’identità digitale presenta molteplici strumenti per accedere ai servizi digitali pubblici e privati, come SPID, CIE e CNS. Tuttavia, se da un lato sarebbe auspicabile avere un’unica identità digitale “universale”, come annunciato nell’ultima revisione del regolamento europeo eIDAS del 3 luglio 2021 e come accennato anche nella strategia disegnata dal PNRR (Piano Nazionale di Ripresa e Resilienza), dall’altro gli strumenti attualmente disponibili costituiscono un abilitatore cruciale per le interazioni digitali degli utenti in ambito pubblico e – soprattutto – privato. Inoltre, non è ancora chiaro come i diversi strumenti potranno convergere.
Di seguito sono elencati i principali strumenti di identità digitale attualmente attivi nel contesto italiano, i rispettivi servizi offerti, le modalità di acquisizione e le principali differenze.
SPID (Sistema Pubblico per l'Identità Digitale)
SPID (Sistema Pubblico di Identità Digitale) è uno strumento promosso dall’Agenzia per l’Italia Digitale (AgID) che consente ai cittadini di accedere a servizi online di oltre 8.000 PA e delle circa 50 imprese private aderenti attraverso un’unica identità digitale.
Alcuni esempi di servizi ai quali è possibile accedere sul fronte pubblico sono la richiesta di certificati anagrafici, il pagamento delle tasse, l’accesso al fascicolo sanitario elettronico e ai servizi Inps; su quello privato vi sono il supporto alla verifica dell’identità in fase di apertura di un conto corrente e l’accesso a servizi di firma digitale.Al momento, possono richiedere il rilascio di SPID tutti i cittadini maggiorenni in possesso di documento di riconoscimento e tessera sanitaria. SPID può essere rilasciato da dieci gestori di identità digitale, chiamati Identity Provider (IdP) accreditati da AgID, quali Aruba, EHT, Infocert, Lepida, Namirial, Poste Italiane, Register, Sielte, TeamSystem e TIM.
CIE (Carta d'Identità Elettronica)
La CIE o Carta di Identità Elettronica è l’evoluzione della tradizionale carta di identità cartacea, rilasciata dall’ufficio anagrafe del proprio Comune di residenza.
La tessera, oltre a riportare i dati anagrafici del cittadino, è dotata di un microchip che contiene ulteriori dati per la fruizione di servizi a valore aggiunto in Italia e in Europa. È inoltre abbinata a un codice PIN fornito al momento del rilascio della carta fisica, utilizzabile per l’accesso a servizi online con elevato livello di criticità.
Per la lettura della carta è necessario essere in possesso di un lettore di carte elettroniche o in alternativa dell’app CieID, disponibile nei principali store digitali a partire da aprile 2020, in combinazione con uno smartphone dotato di NFC.
CNS (Carta Nazionale dei Servizi)
La CNS o Carta Nazionale dei Servizi è anch’essa una smartcard dotata di microchip che contiene un certificato digitale a supporto del riconoscimento dell’utente per l’accesso ai servizi online di alcune PA.
Per i cittadini, la tessera sanitaria ha anche valore di CNS e, tramite il supporto di un lettore di carte elettroniche, offre l’accesso a servizi quali Inps, Inail o Agenzia delle Entrate. Dall’altro lato, le CNS erogate a imprese e professionisti permettono anche di consultare le informazioni relative alla propria azienda nel Registro Imprese.
Identità Digitale SPID e Carta d'Identità Elettronica (CIE), differenze e similitudini
Sebbene di primo acchito SPID e CIE possano sembrare concorrenti, alcune considerazioni più approfondite rivelano la loro sinergica complementarietà.
- Livello di Robustezza: In primis, per loro costruzione tecnologica, sono valorizzabili su servizi diversi: CIE ha di default un livello di robustezza (LoA) massimo, corrispondente al livello 3 definito dal regolamento eIDAS, che consentirebbe l’accesso a servizi fortemente critici, come l’apertura di un conto corrente e la firma della relativa contrattualistica. Nel 2022 è stata attivata anche la possibilità di utilizzare CIE per servizi di livello inferiore, attraverso l’utilizzo di username e password ed eventualmente un codice OTP ricevuto tramite SMS o notifica dall’app CieID. SPID, invece, è al momento ampiamente usato come un sistema di livello 2, abilitando l’accesso a servizi con un livello di criticità minore, come la richiesta di certificati anagrafici. Vi è anche la possibilità di attivare SPID di livello 3 per servizi più critici, offerta però solo da alcuni gestori di identità digitale.
- Rilascio ed Attivazione, In secondo luogo, le modalità di attivazione ed erogazione di SPID e CIE sono profondamente diverse: CIE viene rilasciata dal Ministero dell’Interno al momento della naturale scadenza della carta di identità cartacea o in casi particolari di furto, smarrimento o deterioramento, seguendo quindi dei vincoli amministrativi per il rilascio. Per quel che riguarda SPID, invece, in qualsiasi momento un cittadino può richiederne il rilascio presso un IdP. Dal 2022, anche un minore può richiedere SPID, che viene poi collegato a quello dei genitori, consentendo l’accesso a servizi scolastici e ad alcuni servizi pubblici e privati per gli over14). Le differenti tipologie di rilascio delineano anche due modalità di diffusione tra la popolazione fortemente diverse, che influenzano anche i successivi utilizzi dei sistemi.
- Futuro: Infine, il PNRR delinea per questi due sistemi una linea di sviluppo futuro estremamente interessante: sono, infatti, considerati come fondamenta di una piattaforma integrata di identità digitale, che costituisce un abilitatore cruciale per un ampio set di progetti e servizi, sia in ambito pubblico sia privato.
Identità Digitale in Italia: i numeri di SPID
Definizioni, esempi e applicazioni non bastano da soli a descrivere la centralità e l'importanza dell'identità digitale. Occorre, infatti, guardare ai numeri del fenomeno nel nostro Paese: dopo l’accelerazione della diffusione dei sistemi di identità digitale avvenuta fino al 2021, a partire dal 2022 il mercato ha iniziato una fase di consolidamento.
SPID, o Sistema Pubblico di Identità Digitale, è l’identità digitale certificata più utilizzata e conosciuta in Italia, oltre che una delle più diffuse identità full-digital, ovvero non basate su smartcard, a livello europeo. Il numero di rilasci è passato da poco più di 9 milioni di utenti a luglio 2020 a oltre 33 milioni a fine 2022, registrando una crescita del 23%. SPID è ormai nelle mani di oltre un maggiorenne su due, anche se con differenze sostanziali tra le diverse fasce d’età. Di pari passo con i rilasci, è fortemente cresciuto anche il suo effettivo impiego: nel corso del 2022 si è superato il miliardo di accessi, con una crescita del 78% rispetto all’anno precedente. Inoltre, l’utilizzo di SPID è diventato più organico, slegandosi da obblighi imposti, come l’utilizzo del GreenPass.
Il dato segnala una crescente maturità digitale per i cittadini, sempre più avvezzi e familiari con la loro identità digitale. La strada da percorrere è certamente ancora lunga, tanto è vero che l’identità digitale è ancora sottoutilizzate. Una delle principali ragioni è un portafoglio di servizi accessibili ancora limitato: mentre la quasi totalità delle PA consente l’accesso ai propri servizi con SPID e/o CIE, le imprese private faticano a percepire il valore dei sistemi di identità digitale nazionali.
In questa sezione raccontiamo nel dettaglio come sta evolvendo lo scenario dell'identità digitale nel nostro Paese attraverso webinar, report e approfondimenti realizzati dagli esperti del tema in Italia.
WEBINAR
Identità Digitale ed Ecosistema Startup
Scopri il report aggiornato con i dati del 2022 sull'utilizzo dell'Identità Digitale SPID in Italia

APPROFONDIMENTO
I Sistemi di Identità Digitale
Leggi l'approfondimenti esclusivo prodotto dall'Osservatorio Digital Identity sull'European Digital Wallet.

Identità Digitale e normativa
Nella sua ricerca l’Osservatorio Digital Identity, ha analizzato come l’Identità Digitale viene tutelata a livello normativo. In questo caso, per avere un quadro a 360 gradi delle tematiche relative alle norme vigenti in Italia ed in Europa si sono analizzati due aspetti principali: uno che riguarda strettamente l’Italia e come intende regolare l’utilizzo di dell’identificazione digitale tramite il PNRR, l’altro è un aspetto europeo e riguarda il regolamento eIDAS.
PNRR e Identità Digitale, la strategia
Come già detto in diverse parti della guida, in Italia il Piano Nazionale di Ripresa e Resilienza (PNRR) prevede tra i suoi obiettivi la diffusione dell’identità digitale, partendo dai sistemi già esistenti – in primis SPID e CIE – per poi convergere verso una soluzione integrata e di sempre più facile utilizzo per gli utenti. Nello specifico, il Piano ambisce a incrementare il tasso di penetrazione della popolazione fino a raggiungere il 70% di cittadini in possesso di un’identità digitale sicura entro il 2026, puntando soprattutto sulla user experience e sull’ampliamento della rosa di servizi a valore accessibili con questi strumenti.
Identità Digitale in Europa, il Regolamento eIDAS
Volgendo lo sguardo al contesto europeo, l’ultima revisione del Regolamento eIDAS (acronimo di electronic IDentification, Authentication and trust Services, la disposizione comunitaria che stabilisce i meccanismi di implementazione dei sistemi di identità digitale nei diversi Stati membri) getta le basi per la costruzione di un European digital identity wallet, un’identità digitale europea che utilizzerà i sistemi di riconoscimento dei cittadini già presenti nei diversi Stati come chiave di accesso e che consentirà a tutti i cittadini e a tutte le imprese all’interno del territorio europeo di archiviare e utilizzare dati identificativi e documenti per l’accesso a un set di servizi ampio e diversificato a livello internazionale e di firmare documenti in formato digitale.
Le tecnologie a servizio dell'Identità Digitale
La tecnologia rappresenta una delle quattro dimensioni chiave sulle quali si poggia il concetto di identità digitale. Le scelte in ambito tecnologico rappresentano, per molteplici ragioni, un elemento cruciale nei sistemi di identità digitale.
Le tecnologie possono influenzare la definizione dell'ecosistema e del conseguente modello di business e sono inoltre determinanti per migliorare l'esperienza e il livello di sicurezza del sistema di identificazione e autenticazione.
La Tecnologia Blockchain e l'SSI
Le tecnologie Blockchain e Distributed Ledger stanno favorendo e accelerando lo sviluppo di nuovi modelli decentralizzati di identità digitale. La massima decentralizzazione si trova nei modelli Self Sovereign Identity (SSI) che consentono all’utente di non delegare la custodia e il controllo delle informazioni personali a un attore terzo, ma gli utenti stessi diventano gli unici proprietari e gestori della propria identità.
La Biometria
I fattori biometrici, come impronta digitale, iride e tratti somatici del volto, sostituiscono i tradizionali fattori di autenticazione basati sulla conoscenza di una password o di un PIN. I sistemi ad autenticazione biometrica, oltre a rendere l’esperienza dell’utente piacevole e immediata, garantiscono un maggiore grado di sicurezza, in quanto il riconoscimento è legato a un fattore univoco, peculiare del singolo soggetto.
Identità Digitale e Green Pass
Indipendentemente dalle eventuali considerazioni sulla sua utilità nel contrasto alla pandemia, il Green Pass è stato per il nostro Paese un esperimento significativo di digitalizzazione dell’identità. L’emissione di un certificato di questo tipo ha rappresentato un primo e concreto passo verso un modello di Self Sovereign Identity (SSI). Tra evidenti potenzialità e qualche limite, questa scelta tecnologica ha rappresentato un passo in avanti decisivo per il futuro dell'identità digitale.
Hai bisogno di maggiori informazioni sui servizi di Osservatori Digital Innovation? Contattaci
+39 345 5898 554 alessia.barone@osservatori.netInizia ora il tuo aggiornamento professionale
PROGRAMMA TEMATICO 2023
Digital Identity: come farsi trovare pronti
L’identità digitale è ormai un tema di grandissimo interesse per aziende pubbliche e private. L'Osservatorio Digital Identity del Politecnico di Milano offre un’occasione unica per rimanere aggiornati sulle tematiche chiave del mondo identità digitale: un programma di Webinar e Workshop, per comprendere le caratteristiche e le opportunità dei sistemi di autenticazione digitale, che puoi seguire in diretta e/o On Demand.