SPlD, guida all'uso: come funziona, dove ottenerlo e ultime novità

27 April 2022 / Di Clarissa Falcone / 0 Comments

SPID (Sistema Pubblico di Identità Digitale) è l’identità digitale certificata più utilizzata e conosciuta in Italia, oltre che una delle più diffuse a livello europeo. Il 2021 è stato l'anno della definitiva maturità di SPID, con ben 27 milioni di utenti e attivi e oltre mezzo miliardo di accessi.

In questa guida andiamo alla scoperta dunque del vero valore di SPID per i cittadini, i privati e le PA, analizzando nel dettaglio il funzionamento, le tipologie e i principali servizi accessibili attraverso questa sistema di riconoscimento, con un occhio alle principali evoluzioni.

 

SPID e Identità Digitale sono la stessa cosa?

Premessa. Sebbene spesso utilizzati come sinonimi tra loro intercambiabili, SPID e Identità Digitale non sono la stessa cosa. Un Individuo può infatti possedere più identità digitali: tra queste c'è SPID, ma anche quella associata alla Carta d'Identità Elettronica e tante altre. Potenzialmente anche l’area personale dell’home banking può essere considerata identità digitale.

Il significato di identità digitale, pertanto, è assai ampio. Stando alla definizione fornita dall'Osservatorio Identity per identità digitale intendiamo un insieme di dati che consentono di identificare univocamente una persona, un’azienda o un oggetto e che vengono raccolti, memorizzati e condivisi digitalmente all’interno di un ecosistema di attori e attraverso tecnologie abilitanti, e che permette l’accesso a servizi digitali a valore aggiunto.

SPID è dunque uno dei principali strumenti di autenticazione digitale attualmente attivi in Italia, sistema di riconoscimento che, come vedremo, presenta il proprio ecosistema di attori, tecnologie e servizi accessibili. Più precisamente rientra nel modello di eGov ID, sistemi di identità digitale sviluppati e distribuiti da enti governativi, che riconoscono in modo univoco gli utenti e offrono l’accesso a servizi pubblici e privati.

 

Cos’è SPID e come funziona

Il Sistema Pubblico di Identità Digitale, ovvero quello che chiamiamo comunemente SPID, è uno dei sistemi di riconoscimento elettronico attivi in Italia, insieme a CIE, la Carta di Identità Elettronica, e la CNS, la Carta Nazionale dei Servizi (al momento meno usata rispetto ai primi due sistemi). SPID consente a cittadini e imprese di accedere con un’unica identità digitale ai servizi online di Pubbliche Amministrazioni e privati aderenti.

Il sistema si basa su una partnership tra Pubblico e Privato. L’Agenzia per l’Italia Digitale (AgID), infatti, ne presidia lo sviluppo normativo e strategico, supportata da 10 gestori di identità digitale (Identity Provider, IdP), costituiti prevalentemente da aziende private. Gli IdP gestiscono l’architettura federata alla base del sistema, ne facilitano la diffusione tra gli utenti finali e l’adozione da parte degli enti pubblici e delle organizzazioni private che intendono aderirvi (Service Provider, SP).

Al momento gli IdP accreditati sono: Aruba, Infocert, In.Te.S.A., Lepida, Namirial, Poste Italiane, Register, Sielte, TeamSystem, TI Trust Technologies.

 

SPID e CIE: stato di avanzamento e prospettive di evoluzione

Guarda il Webinar

 

Ecosistema SPID: gli attori coinvolti

La galassia SPID è dunque variegata. Attorno allo sviluppo del Sistema Pubblico d'Identità Digitale orbitano i seguenti cinque ruoli chiave:

  1. Gestori delle identità digitali (o Identity Provider): imprese private accreditate da AgID che identificano ciascun utente in modo certo, creando un’identità digitale univoca, assegnando credenziali di accesso e gestendo in modo sicuro e riservato i suoi attributi;
  2. Fornitori di servizi (o Service Provider): PA e imprese che erogano servizi online per la cui fruizione è richiesta l’identificazione e l’autenticazione univoca degli utenti;
  3. RAO Pubblico (Registration Authority Office), cioè enti che si occupano di riconoscere de visu l’utente finale così da facilitare la procedura di rilascio di SPID;
  4. Soggetti aggregatori, ovvero organizzazioni pubbliche o private che possono “ospitare” l’autenticazione tramite SPID o l’intero servizio di altri attori che vogliono abilitare il riconoscimento dell’utente con queste credenziali;
  5. Gestori di attributi qualificati, soggetti che possono emettere dei certificati per attestare degli attributi qualificati di un soggetto, come il conseguimento di una laurea o l’iscrizione a un albo professionale.

 

Le diverse tipologie di SPID

Sono normate diverse tipologie di identità SPID:

  • SPID per uso personale, rilasciato alle persone fisiche (cittadini italiani maggiorenni), la tipologia più diffusa;
  • SPID per uso professionale della persona fisica, ovvero un’identità SPID per persona fisica arricchita con un attributo (attributo L), che ne caratterizza la professione e ne consente l’utilizzo per l'accesso a servizi professionali, trasferendo i dati solo della persona fisica;
  • SPID per uso professionale della persona giuridica, ovvero un’identità SPID che contiene gli attributi della persona giuridica (azienda) e della persona fisica che la utilizza, consentendo l'accesso a servizi che richiedono i dati sia della persona fisica sia della persona giuridica.

 

I livelli di sicurezza di SPID

I livelli di sicurezza di SPID (o Level of Assurance, LoA) maggiormente utilizzati sono 1 e 2, relativi all’autenticazione dell’utente tramite le classiche username e password per il primo e con l’aggiunta di un OTP (One Time Password) per il secondo. Questo OTP è tipicamente costituito da uno dei seguenti elementi:

  • codice temporaneo inviato via SMS dal proprio IdP;
  • codice temporaneo generato dall’app mobile del proprio IdP;
  • notifica push che richiede il riconoscimento biometrico dell’utente, per esempio presentando l’impronta digitale;
  • QR code inquadrabile con lo smartphone dell’utente tramite l’app mobile del proprio IdP

Pochi servizi al momento richiedono l’autenticazione dell’utente tramite SPID di LoA3, per il quale è necessario un ulteriore fattore di sicurezza, tipicamente rappresentato dal possesso di un dispositivo fisico come carte elettroniche con chip o dispositivi per la firma digitale remota. Questo livello di sicurezza rappresenta un’area di forti sinergie con altri sistemi di identità digitale nazionali, come quello basato su CIE.

Al momento, SPID di livello 3 (ovvero SPID con LoA3) è offerto soltanto da alcuni IdP e talvolta ha un costo di attivazione per l’utente finale.

 

Come ottenere e richiedere SPID

È possibile richiedere le proprie credenziali SPID in uno dei 10 Identity Provider finora certificati registrandosi sul loro sito e quindi completando l'operazione di attivazione in uno degli uffici e punti di riconoscimento fisici abilitati oppure in modalità remota, tramite webcam. Per la registrazione sono sufficienti indirizzo e-mail, numero di telefono, documento d'identità in corso di validità e tessera sanitaria con codice fiscale.

Ogni Identity Provider garantisce, come visto, dai 2 ai 3 livelli di sicurezza e fornisce diverse modalità di attivazione che possono essere gratuite o a pagamento. Ecco quali sono le diverse modalità di attivazione al momento:

  • riconoscimento con firma digitale;
  • riconoscimento con CNS;
  • de visu (riconoscimento facciale).

Il riconoscimento tramite webcam consente all'utente di non recarsi di persona in uno degli uffici abilitati all'attivazione del servizio. Tuttavia, non è ancora implementato da tutti i fornitori. È per ora disponibile su Aruba, Infocert, Intesa, SpidItalia, TIM e Sielte.

 

Dove usare SPID

Come anticipato, SPID è utilizzabile per accedere a servizi digitali offerti sia da Pubbliche Amministrazioni sia da aziende private

SPID per l’accesso ai servizi pubblici

Per il primo gruppo è obbligatorio rendere i propri servizi accessibili con SPID e CIE: il Decreto Semplificazioni ha imposto alle PA il blocco dell’emissione di credenziali proprietarie a partire dal 28 febbraio 2021 e la totale dismissione entro il 30 settembre 2021, spingendo notevolmente l’adozione di SPID da parte degli utenti.

Tuttavia, è importante segnalare che il target di 16.076 PA imposto dal PNRR non è stato ancora raggiunto, a causa della scarsa digitalizzazione dei processi di back-end degli enti pubblici e della mancanza di competenze interne per presidiare questa trasformazione

SPID per le aziende

Molto più indietro, invece, l’adozione di SPID come strumento di riconoscimento dell’utente da parte delle aziende private: nonostante la notevole diffusione tra gli utenti cominci a destare interesse, a inizio 2022 sono 88 i Service Provider (SP) privati che hanno integrato SPID per l’accesso ai propri servizi.

Le aziende attualmente accreditate fanno riferimento ai seguenti macro-cluster:

  • fornitori di servizi di digitalizzazione per la PA, che hanno deciso di accreditarsi come SP per complementare la loro offerta o per supportare il riconoscimento dei dipendenti pubblici nell’accesso a portali della PA;
  • fornitori di servizi di digitalizzazione per aziende, che in ottica di bundle stanno offrendo l’abilitazione dell’accesso con SPID ai servizi dei loro clienti, intermediando il flusso informativo nel sistema SPID;
  • banche e operatori finanziari;
  • operatori nell’ambito utility;
  • aziende operanti in ambito sanitario.

Per tutti questi settori, infatti, specialmente negli ultimi mesi, si è rivelato cruciale identificare e riconoscere i propri clienti da remoto. Il potenziale dell’identità digitale in ambito privato è, però, estremamente più ampio e ancora fortemente inesplorato.

 

Perché usare SPID: i vantaggi pratici

SPID è un servizio gratuito per tutti i cittadini e per tutte le PA che vi aderiscono. I benefici rispetto ad altri sistemi di identificazione digitale sono facilmente intuibili:

  • è un sistema pratico e veloce che consente di svolgere diverse pratiche (prenotazioni sanitarie, cartelle esattoriali, iscrizioni scolastiche, accesso alla rete wi-fi pubblica, ...) con un’unica password e da qualsiasi dispositivo (sia esso mobile o fisso);
  • smaterializza l'identità digitale, in quanto rispetto agli altri sistemi di autenticazione digitale non è legato ad alcun supporto fisico come lettori di smart card o token usb;
  • è sicuro perché non prevede alcun tipo di profilazione all'attivazione o all’utilizzo delle credenziali.

 

Le ultime novità su SPID

SPID è un sistema in costante evoluzione, specialmente alla luce delle forti dinamiche di diffusione registrate negli ultimi mesi. Ecco quali sono le principali aree di lavoro già normate o ancora da normare.

✔ SPID per minori

A marzo 2022 AgID ha pubblicato le Linee Guida che normano il rilascio dell’identità SPID a cittadini minori di 18 anni. Questo rilascio, che al momento è ancora in fase di implementazione tecnica, avverrà sotto la stretta supervisione del genitore del minore.

✔ Sistema di gestione delle deleghe

Da qualche mese è possibile delegare a terzi l’utilizzo della propria identità SPID per accedere a servizi online da parte di utenti impossibilitati a un utilizzo autonomo di queste credenziali.

✔ Migliore integrazione

Un passo avanti sul tema dell’integrazione è stato compiuto a dicembre 2021, quando AgID ha pubblicato le Linee Guida per adottare in SPID lo standard di autenticazione OpenID Connect che, rispetto al precedente (ovvero SAML), consentirà una maggiore sicurezza e una migliore integrazione negli applicativi di front-end con l’utente.

✔ Soggetti aggregatori di servizi privati

Un’evoluzione molto attesa per il sistema SPID è l’entrata nel suo ecosistema di questi attori, che semplificherebbero il processo di integrazione del sistema per le aziende da un punto di vista amministrativo e tecnologico, spingendo di molto la sua diffusione tra i SP e la sua valorizzazione tra gli utenti. A inizio aprile 2022 è stata pubblicato lo schema di Convenzione per l’entrata di questi attori nell’ecosistema SPID.

✘ Gestori di attributi qualificati

Normare questi attori all’interno dell’ecosistema di SPID consentirebbe di integrare nei dati basici dell’utente ulteriori attributi e certificati che supportino il suo riconoscimento nell’accesso ai servizi in diversi ambiti e che aumentino il valore di questa identità digitale per utenti e fornitori di servizi.

✘ SPID nella strategia europea dell’identità digitale

Alla luce della revisione del regolamento eIDAS, una tra le evoluzioni più interessanti su SPID (e CIE) sarà come integrare questi due asset nazionali abilitanti all’interno del modello del Digital Identity Wallet prospettato dalla revisione del regolamento europeo.

 

SPID: i numeri del fenomeno

Come visto in fase introduttiva, il 2021 è stato un anno importante per il destino di SPID. Sono più che raddoppiate le identità SPID rilasciate alla popolazione per un totale di 27,2 milioni di utenze attive a fine dicembre, con oltre 567 milioni di accessi nel corso dell'anno (quasi il triplo rispetto all'anno precedente).

Tale boom è stato in parte trainato dai recenti interventi normativi legati allo switch-off della PA, al Cashback e all'obbligo di Green Pass, ma anche dagli sforzi degli stessi Identity Provider e dei Service Provider. Nonostante la crescente diffusione, le identità digitali appaiono ancora sottoutilizzate: secondo l’indagine a un campione statisticamente rappresentativo di utenti internet condotta dall’Osservatorio Digital Identity a settembre 2021, meno di un utente su sei (il 15% degli intervistati, per la precisione) dichiara di utilizzare SPID frequentemente più volte a settimana, mentre il restante 85% lo utilizza sporadicamente oppure mai.

 

La diffusione e l'utilizzo dell'identità digitale da parte degli utenti italiani: i dati aggiornati

Guarda il Webinar