Il Sistema Pubblico di Identità Digitale, abbreviato in SPID, è l’identità digitale certificata più utilizzata e conosciuta in Italia, ma non solo. È anche una delle più diffuse a livello europeo. Per lo SPID, il 2021, è stato l'anno di crescita del suo utilizzo nella vita quotidiana dei cittadini. Nel biennio successivo, si è definito, poi, una conferma per questo strumento di Identità Digitale, soprattutto a livello nazionale.
In questa guida digitale andremo alla scoperta del valore dello SPID per i cittadini, i privati e le Pubbliche Amministrazioni. Chiariremo nel dettaglio il suo funzionamento, le sue tipologie, i principali servizi accessibili mediante questo sistema di identità digitale e i numeri del fenomeno. Tramite la ricerca dell’Osservatorio Digital Identity del Politecnico di Milano capiremo, inoltre, come ottenerlo, come utilizzarlo e quali sono i relativi al suo utilizzo in Italia.
SPID e Identità Digitale sono la stessa cosa?
Occorre, prima di capire in modo esatto cos'è e come funziona lo SPID, fare una premessa. Anche se spesso sono utilizzati come sinonimi, lo SPID e l'Identità Digitale non sono la stessa cosa. Un individuo può, infatti, possedere più identità digitali: tra queste c'è SPID, ma anche quella associata alla Carta d'Identità Elettronica, ma ne esistono anche tante altre. Potenzialmente, ad esempio, anche l’area personale dell’home banking, cioè la pagina d'accesso ai servizi online di una banca, può essere considerata come un'identità digitale.
Quindi, per cercare di comprendere esattamente la differenza tra il Sistema Pubblico di Identità Digitale e l'identità digitale stessa, ci avvaleremo della Ricerca dell'Osservatorio Digital Identity. L'Osservatorio specifica, infatti, che Il significato di identità digitale non si limita ad essere associato allo SPID, ma è assai più ampio.
Stando ad una prima definizione puntuale fornita dall'Osservatorio, si può dire, infatti, che:
Per identità digitale intendiamo un insieme di dati che consentono di riconoscere in modo univoco una persona, un’azienda o un oggetto. Questi dati, poi, vengono raccolti, memorizzati e condivisi digitalmente all’interno di un ecosistema di attori, attraverso tecnologie abilitanti. Tutto ciò, infine, permette l’accesso a servizi digitali a valore aggiunto.
Lo SPID, dunque, si differenzia da questa definizione di Identità Digitale. Esso è, infatti, uno dei principali strumenti di autenticazione digitale attualmente attivi in Italia. Un sistema di riconoscimento digitale che, come vedremo, presenta il proprio ecosistema di attori, tecnologie e servizi accessibili sia per il pubblico che per il privato.
Più precisamente lo SPID rientra in un modello specifico: quello del eGov ID. Questo modello è un sistema di identità digitale sviluppato e distribuito da enti governativi. Questi enti, infine, riconoscono in modo univoco gli utenti e offrono l’accesso a servizi pubblici e privati.
Cos'è e a cosa serve lo SPID
Il Sistema Pubblico di Identità Digitale, ovvero quello che chiamiamo comunemente SPID, è uno dei sistemi di riconoscimento elettronico attivi in Italia. Insieme alla CIE (Carta di Identità Elettronica) e alla CNS (Carta Nazionale dei Servizi, al momento meno usata), anche loro sistemi di identità digitali. SPID consente a cittadini e imprese di accedere con un’unica identità digitale ai servizi online di Pubbliche Amministrazioni e privati aderenti.
Il sistema SPID si basa su una partnership tra Pubblico e Privato. L’Agenzia per l’Italia Digitale (AgID), infatti, ne presidia lo sviluppo normativo e strategico. Viene poi supportata, infine, da dodici gestori di identità digitale (Identity Provider, IdP), costituiti in principal modo da aziende private.
Gli IdP gestiscono l’architettura federata alla base del sistema SPID. Questi agiscono come intermediari, infatti, per l'utilizzo dello SPID. Ne facilitano la diffusione tra gli utenti finali e l’adozione da parte degli enti pubblici e delle organizzazioni private che intendono aderirvi (Service Provider, SP).
Al momento gli IdP accreditati per attivare lo SPID sono, ad esempio, Aruba, EHT, Infocamere, Infocert, Intesi Group, Lepida, Namirial, Poste Italiane, Register, Sielte, TeamSystem e TIM.
Lo SPID ed il suo ecosistema: gli attori coinvolti
La galassia SPID è, dunque, variegata. Attorno allo sviluppo del Sistema Pubblico d'Identità Digitale orbitano i seguenti cinque ruoli chiave:
- Gestori delle identità digitali (o Identity Provider), ossia imprese private accreditate da AgID. Queste identificano ciascun utente in modo certo, creando un’identità digitale univoca, assegnando credenziali di accesso e gestendo in modo sicuro e riservato i suoi attributi;
- Fornitori di servizi (o Service Provider), vale a dire PA e imprese che erogano servizi online. Per usufruire di questi servizi, infatti, è richiesta l’identificazione e l’autenticazione univoca degli utenti;
- RAO Pubblico (Registration Authority Office), cioè enti che si occupano di riconoscere de visu l’utente finale così da facilitare la procedura di rilascio di SPID;
- Soggetti aggregatori, ovvero organizzazioni pubbliche o private che possono “ospitare” l’autenticazione tramite SPID o l’intero servizio di altri attori. Questo perchè vogliono abilitare il riconoscimento dell’utente con queste credenziali;
- Gestori di attributi qualificati, soggetti che possono emettere dei certificati per attestare degli attributi qualificati di un soggetto. Un esempio è il conseguimento di una laurea o l’iscrizione a un albo professionale.
SPID, le diverse tipologie
Dopo aver capito quali sono i diversi attori (aziende che vogliono sfruttare il sistema SPID) possiamo, ora, capire quali sono le tipologie di questo strumento di Identità Digitale. In Italia, attualmente, sono normate, infatti, diverse tipologie di identità e di accesso SPID. Di seguito, eccone alcuni esempi:
- SPID per uso personale, rilasciato alle persone fisiche (cittadini italiani maggiorenni), è la tipologia più diffusa;
- SPID per uso professionale della persona fisica, ovvero un’identità per persona fisica arricchita con un attributo (attributo L). Questa ne caratterizza la professione e ne consente l’utilizzo per l'accesso a servizi professionali, trasferendo i dati solo della persona fisica;
- SPID per uso professionale della persona giuridica, ovvero un’identità SPID aziendale che contiene gli attributi della persona giuridica (azienda) e della persona fisica che la utilizza. Questa consente l'accesso a servizi che richiedono i dati sia della persona fisica sia della persona giuridica.
SPID, i livelli di Sicurezza
Lo SPID, come detto in precedenza, prevede dei livelli di sicurezza di autenticazione (o Level of Assurance, LoA). Quelli più utilizzati i livelli di autenticazione 1 e 2. Questi livelli riguardano l’autenticazione dell’utente tramite le classiche username e password, per il primo. Per il secondo, incece, vi è l’aggiunta di un OTP (One Time Password). Questo OTP è tipicamente costituito da uno dei seguenti elementi:
- un codice temporaneo inviato via SMS dal proprio IdP;
- un codice temporaneo generato dall’app mobile del proprio IdP;
- una notifica push che richiede il riconoscimento biometrico dell’utente, per esempio presentando l’impronta digitale;
- un QR code inquadrabile con lo smartphone dell’utente tramite l’app mobile del proprio IdP.
Pochi servizi al momento richiedono l’autenticazione dell’utente tramite SPID di LoA3. Per questo livello di autenticazione è necessario un ulteriore fattore di sicurezza. Questo fattore è tipicamente rappresentato dal possesso di un dispositivo fisico, come carte elettroniche con chip o dispositivi per la firma digitale remota. Quest'ultimo livello di sicurezza rappresenta un’area di forti sinergie con altri sistemi di identità digitale nazionali, come quello basato su CIE.
Al momento, lo SPID di livello 3 (ovvero SPID con LoA3) è offerto soltanto da alcuni IdP e ha un costo di attivazione per l’utente finale.
Come fare e come richiedere lo SPID
Dopo aver compreso quali sono tutte le sue caratteristiche, dai livelli di autenticazione fino alle sue tipologie ora è d'obbligo capire come ottenere lo SPID. Di seguito una serie di risposte utili per capire come e cosa serve per attivare il Sistema Pubblico di Identità Digitale.
Come si può richiedere lo SPID?
È possibile fare richiesta per ottenenerlo e per entrare in possesso delle proprie credenziali in uno dei dodici Identity Provider finora certificati.
Come si attiva lo SPID?
L'operazione di attivazione è abbastanza semplice. Ci si può registrare sul loro sito, completando l'operazione di attivazione in uno degli uffici e punti di riconoscimento fisici abilitati. Un'altra modalità di attivazione è l'utilizzo la modalità remota, cioè tramite l'utilizzo di una webcam.
Cosa serve per attivare lo SPID?
Per la registrazione e la creazione online sono sufficienti indirizzo e-mail, numero di telefono, documento d'identità in corso di validità e tessera sanitaria con codice fiscale.
Ogni Identity Provider garantisce per accedere ai servizi online, come visto nel paragrafo precedente, dai 2 ai 3 livelli di sicurezza. Fornisce anche diverse modalità di attivazione SPID che possono essere gratuite o a pagamento. Le modalità di attivazione ID SPID attualmente disponibili variano tra i fornitori. Tra le più comuni abbiamo:
- Attivazione dello SPID tramite riconoscimento con firma digitale;
- Attivazione tramite riconoscimento con CNS, CIE o passaporto elettronico;
- Attivazione tramite riconoscimento via webcam;
- Attivazione de visu(riconoscimento facciale).
SPID ID, come e dove si usa
Dopo aver spiegato come si ottiene lo SPID, possiamo comprendere quali sono gli utilizzi di questo sistema di identità digitale. Come anticipato, questo strumento di Identità Digitale è utilizzabile per accedere a servizi online offerti sia da Pubbliche Amministrazioni sia da aziende private.
SPID Online per l’accesso ai servizi pubblici
Per l'accesso ai servizi online della pubblica amministrazione, è:
Obbligatorio rendere i propri servizi accessibili con SPID e CIE. Il Decreto Semplificazioni, infatti, ha imposto alle PA il blocco dell’emissione di credenziali proprietarie. Questo, a partire dal 28 febbraio 2021. La totale dismissione, invece, è stata imposta entro il 30 settembre 2021.
Si è spinto, dunque, notevolmente per l’adozione di SPID web da parte degli utenti. Infatti, attualmente, sono circa 15 mila le Pubbliche Amministrazioni che offrono l’accesso tramite lo SPID e/o la CIE.
Autenticazione SPID per le aziende
Molto più indietro, invece, l’adozione di SPID come strumento di riconoscimento dell’utente da parte delle aziende private. Nonostante, infatti, la notevole diffusione tra gli utenti cominci a destare interesse, a oggi sono poche le realtà private che ne fanno effettivamente uso. Sono, infatti, poco più di 220 i Service Provider (SP) privati che hanno integrato SPID per l’accesso ai propri servizi.
Le aziende attualmente accreditate per integrare l'utilizzo dello SPID fanno riferimento ai seguenti macro-cluster:
- fornitori di servizi di digitalizzazione per la PA. Questi hanno deciso di accreditarsi come SP per complementare la loro offerta o per supportare il riconoscimento dei dipendenti pubblici nell’accesso a portali della PA;
- fornitori di servizi di digitalizzazione per aziende. Queste, in ottica di bundle, stanno offrendo l’abilitazione dell’accesso con SPID ai servizi dei loro clienti, intermediando il flusso informativo nel sistema SPIF;
- banche e operatori finanziari;
- operatori nell’ambito utility;
- aziende operanti in ambito sanitario.
Per tutti questi settori, infatti, specialmente durante l’emergenza pandemica, si è rivelato cruciale identificare e riconoscere i propri clienti da remoto. Il potenziale dell’identità digitale in ambito privato è, però, estremamente più ampio e ancora fortemente inesplorato.
Infatti, secondo la Ricerca dell’Osservatorio Digital Identity solo il 19% degli intervistati ha dichiarato di utilizzare SPID per i servizi privati. Questo, a fronte di una quasi totalità dei rispondenti che usano il sistema di autenticazione per accedere a portali istituzionali. Nonostante ciò, gli utenti internet affermano di voler potenzialmente utilizzare SPID per diversi servizi privati, in ambiti come finance e utility.
Perché usare SPID: i vantaggi pratici
Lo SPID è un servizio gratuito per tutti i cittadini e per tutte le PA che vi aderiscono. Ciò implica che ogni IdP debba fornire almeno una modalità di riconoscimento gratuita. I benefici di questo strumento di identità digitale, rispetto ad altri sistemi di identificazione digitale, sono facilmente intuibili. Eccone di seguito elencati alcuni:
- Lo SPID è un sistema pratico e veloce. Ciò consente di svolgere diverse pratiche (prenotazioni sanitarie, cartelle esattoriali, iscrizioni scolastiche, accesso alla rete wi-fi pubblica). Il tutto, con un’unica password e da qualsiasi dispositivo (sia esso mobile o fisso);
- Lo SPID smaterializza l'identità digitale. Questo perchè, rispetto agli altri sistemi di autenticazione digitale, non è legato ad alcun supporto fisico come lettori di smart card o token usb;
- Lo SPID è sicuro. Questo perché non prevede alcun tipo di profilazione all'attivazione o all’utilizzo delle credenziali.
SPID, aggiornamenti e ultime novità
SPID è un sistema in costante evoluzione, specialmente alla luce delle forti dinamiche di diffusione registrate negli ultimi mesi. Ecco quali sono le principali novità per l’ecosistema:
Sistema di gestione delle deleghe
Da ottobre 2021 è possibile delegare a terzi l’utilizzo della propria identità SPID. Questa delega viene utilizzata per poter accedere a servizi online da parte di utenti impossibilitati a un utilizzo autonomo di queste credenziali.
Migliore integrazione
Un passo avanti sul tema dell’integrazione è stato compiuto a dicembre 2021. L'AgID ha, infatti, pubblicato le Linee Guida per adottare in SPID lo standard di autenticazione OpenID Connect. Questo standard, rispetto al precedente (ovvero SAML), consente una maggiore sicurezza e una migliore integrazione negli applicativi di front-end con l’utente.
Soggetti aggregatori di servizi privati
Un’evoluzione molto attesa per il sistema SPID è l’entrata nel suo ecosistema di soggetti aggregatori. Questi sono aziende o entri privati che semplificano il processo di integrazione del sistema per le aziende da un punto di vista amministrativo e tecnologico. Facendo ciò si spinge di molto la sua diffusione tra i service provider e la sua valorizzazione tra gli utenti. A inizio aprile 2022 è stata pubblicato lo schema di Convenzione per l’entrata di questi attori nell’ecosistema.
SPID per minori
A marzo 2022, AgID ha pubblicato le Linee Guida che normano il rilascio dell’identità SPID a cittadini minorenni al di sopra dei cinque anni. Questo rilascio avviene sotto la stretta supervisione del genitore, a cui lo SPID del minore è collegato. Lo SPID per i minori, infatti, consente l’accesso a servizi scolastici e ad alcuni servizi pubblici e privati per gli over14.
Gestori di attributi qualificati
A partire da luglio 2022 l’ecosistema di SPID si è allargato ulteriormente attraverso l'inclusione di nuovi attori. Questi, infatti, consentono di integrare i dati basici dell’utente con attributi e certificati che supportino il suo riconoscimento nell’accesso ai servizi online. Inoltre, aumentano il valore di questa identità digitale per utenti e fornitori di servizi.
SPID nella strategia europea dell’identità digitale
Alla luce della revisione del regolamento eIDAS, una tra le evoluzioni più interessanti su SPID (e CIE) riguarda l'integrazione tra questi due asset nazionali abilitanti. Essi vengono, così, integrati all’interno del modello prospettato dalla revisione del regolamento europeo.
SPID, i numeri del fenomeno
Come visto in fase introduttiva, il 2022 e il 2023 sono stati due anni caratterizzati da una fase di consolidamento per l'utilizzo dello SPID. Sia in ambito privato che in ambito pubblico. Vediamo ora, attraverso la Ricerca dell'Osservatorio Digital Identity, quali sono i numeri della diffusione dello SPID in Italia.
Le identità SPID rilasciate alla popolazione, infatti, hanno superato i 36 milioni di utenze attive a fine 2023, con una crescita dell’% su base annua. Inoltre, sono stati effettuati oltre un miliardo di accessi nel corso dell’anno.
Questo si delinea come un assestamento su un utilizzo più strutturale di SPID. Esso, infatti, viene considerato uno strumento sempre più valorizzato dai cittadini per accedere in maniera “organica” a servizi digitali. Anche al di là di obblighi normativi, come, per esempio, per l’utilizzo del Green Pass.
Vuoi conoscere le opportunità dell'Identità Digitale per la tua azienda?
- Autore
Ricercatrice dell'Osservatorio Digital Identity
Gli ultimi articoli di Clarissa Falcone
Rimani aggiornato sui trend dell’Innovazione Digitale
Inserisci qui la tua email
Potrebbe interessarti
Come funziona il MePA: l’e-commerce per la PA
Articoli più letti