• linkedin-icon
  • twitter-icon
  • facebook-ico
  • youtube-icon
  • instagram-icon
TUTTI GLI ARTICOLI > Agenda Digitale , Digital Identity

Cos'è SPID, come funziona e come poterlo ottenere

Aggiornato il / Creato il / Di Clarissa Falcone

Il Sistema Pubblico di Identità Digitale, abbreviato in SPID, è l’identità digitale certificata più utilizzata e conosciuta in Italia, ma non solo. È anche una delle più diffuse a livello europeo. Per SPID, il 2021, è stato l'anno di crescita del suo utilizzo nella vita quotidiana dei cittadini. Negli anni successivi, si è definito, poi, una conferma per questo strumento di Identità Digitale, soprattutto a livello nazionale.

In questa guida digitale andremo alla scoperta del valore di SPID per i cittadini, i privati e le Pubbliche Amministrazioni. Chiariremo nel dettaglio il suo funzionamento, le sue tipologie, i principali servizi accessibili mediante questo sistema di identità digitale e i numeri del fenomeno. Tramite la ricerca dell’Osservatorio Digital Identity della POLIMI School of Management capiremo, inoltre, come ottenerlo, come utilizzarlo e quali sono i relativi al suo utilizzo in Italia.

Cos'è e a cosa serve SPID

Il Sistema Pubblico di Identità Digitale, ovvero quello che chiamiamo comunemente SPID, è uno dei sistemi di riconoscimento elettronico attivi in Italia. Insieme alla CIE (Carta di Identità Elettronica) e alla CNS (Carta Nazionale dei Servizi,al momento meno usata), anche loro sistemi di identità digitali. SPID consente a cittadini e imprese di accedere con un’unica identità digitale ai servizi online di Pubbliche Amministrazioni e privati aderenti.

Il sistema SPID si basa su una partnership tra Pubblico e Privato. L’Agenzia per l’Italia Digitale (AgID), infatti, ne presidia lo sviluppo normativo e strategico. Viene poi supportata, infine, da dodici gestori di identità digitale (Identity Provider, IdP), costituiti in principal modo da aziende private.

Gli IdP gestiscono l’architettura federata alla base del sistema SPID. Questi agiscono come intermediari, infatti, per l'utilizzo di SPID. Ne facilitano la diffusione tra gli utenti finali e l’adozione da parte degli enti pubblici e delle organizzazioni private che intendono aderirvi (Service Provider, SP).

Al momento gli IdP accreditati per attivare SPID sono Aruba, EHT, Infocamere, Infocert, Intesi Group, Lepida, Namirial, Poste Italiane, Register, Sielte, TeamSystem e TIM.

SPID e Identità Digitale: quali differenze

Fatte queste doverose premesse, è bene ora rispondere a una domanda molto comune e allo stesso tempo molto importante per comprendere a fondo il tema: SPID e identità digitale sono la stessa cosa?

Anche se spesso sono utilizzati come sinonimi, SPID e l'identità digitale non sono la stessa cosa. Un individuo può, infatti, possedere più identità digitali: tra queste c'è SPID oppure quella associata alla Carta d'Identità Elettronica, ma ne esistono anche tante altre. Potenzialmente, ad esempio, anche l’area personale dell’home banking, cioè la pagina d'accesso ai servizi online di una banca, può essere considerata come un'identità digitale.

Il significato di identità digitale, pertanto, è assai ampio. Per cercare di comprendere esattamente la differenza tra il Sistema Pubblico di Identità Digitale e l'identità digitale stessa, ci avvarremo della definizione fornita dall'Osservatorio:

Per identità digitale si intende un insieme di dati che consentono di identificare univocamente una persona, un’azienda o un oggetto e che vengono raccolti, memorizzati e condivisi digitalmente all’interno di un ecosistema di attori e attraverso tecnologie abilitanti, e che permette l’accesso a servizi digitali a valore aggiunto.

SPID, dunque,si differenzia da questa definizione di Identità Digitale. Esso è, infatti, uno dei principali strumenti di autenticazione digitale attualmente attivi in Italia. Più precisamente, SPID rientra in un modello specifico: quello del eGov ID. Questo modello è un sistema di identità digitale sviluppato e distribuito da enti governativi. Questi enti, infine, riconoscono in modo univoco gli utenti e offrono l’accesso a servizi pubblici e privati.

Le caratteristiche di SPID: protagonisti, tipologie e livelli di sicurezza

Al suo interno, SPID presenta il proprio ecosistema di attori, tecnologie e servizi accessibili – sia per il pubblico che per il privato – ciascuno con un determinato livello di sicurezza. Di seguito approfondiamo più nel dettaglio ogni elemento.

SPID e il suo ecosistema: gli attori coinvolti

Come abbiamo avuto modo di accennare, la galassia SPID è parecchio variegata. Attorno allo sviluppo del Sistema Pubblico d'Identità Digitale orbitano i seguenti cinque ruoli chiave:

  • Gestori delle identità digitali (o Identity Provider), ossia imprese private accreditate da AgID. Queste identificano ciascun utente in modo certo, creando un’identità digitale univoca, assegnando credenziali di accesso e gestendo in modo sicuro e riservato i suoi attributi;
  • Fornitori di servizi (o Service Provider), vale a dire PA e imprese che erogano servizi online. Per usufruire di questi servizi, infatti, è richiesta l’identificazione e l’autenticazione univoca degli utenti;
  • RAO Pubblico (Registration Authority Office), cioè enti che si occupano di riconoscere de visu l’utente finale così da facilitare la procedura di rilascio di SPID;
  • Soggetti aggregatori, ovvero organizzazioni pubbliche o private che possono “ospitare” l’autenticazione tramite SPID o l’intero servizio di altri attori. Questo perchè vogliono abilitare il riconoscimento dell’utente con queste credenziali;
  • Gestori di attributi qualificati, soggetti che possono emettere dei certificati per attestare degli attributi qualificati di un soggetto. Un esempio è il conseguimento di una laurea o l’iscrizione a un albo professionale.

SPID, le diverse tipologie

Dopo aver capito quali sono i diversi attori (aziende che vogliono sfruttare il sistema SPID) possiamo, ora, capire quali sono le tipologie di questo strumento di Identità Digitale. In Italia, attualmente, sono normate, infatti, diverse tipologie di identità e di accesso SPID. Di seguito, eccone alcuni esempi:

  • SPID per uso personale, rilasciato alle persone fisiche (cittadini italiani maggiorenni), è la tipologia più diffusa;
  • SPID per uso professionale della persona fisica, ovvero un’identità per persona fisica arricchita con un attributo (attributo L); questa ne caratterizza la professione e ne consente l’utilizzo per l'accesso a servizi professionali, trasferendo i dati solo della persona fisica;
  • SPID per uso professionale della persona giuridica, ovvero un’identità SPID aziendale che contiene gli attributi della persona giuridica (azienda) e della persona fisica che la utilizza; questa consente l'accesso a servizi che richiedono i dati sia della persona fisica sia della persona giuridica.

SPID, i livelli di Sicurezza

Lo SPID, come detto in precedenza, prevede dei livelli di sicurezza di autenticazione (o Level of Assurance, LoA). Quelli più utilizzati sono i livelli 1 e 2. Questi riguardano l’autenticazione dell’utente tramite le classiche username e password, per il primo. Per il secondo, invece, vi è l’aggiunta di un OTP (One Time Password). Questo OTP è tipicamente costituito da uno dei seguenti elementi:

  • un codice temporaneo inviato via SMS dal proprio IdP;
  • un codice temporaneo generato dall’app mobile del proprio IdP;
  • una notifica push che richiede il riconoscimento biometrico dell’utente, per esempio presentando l’impronta digitale;
  • un QR code inquadrabile con lo smartphone dell’utente tramite l’app mobile del proprio IdP.

Pochi servizi al momento richiedono l’autenticazione dell’utente tramite SPID di LoA3. Per questo livello di autenticazione è necessario un ulteriore fattore di sicurezza. Questo fattore è tipicamente rappresentato dal possesso di un dispositivo fisico, come carte elettroniche con chip o dispositivi per la firma digitale remota. Quest'ultimo livello di sicurezza rappresenta un’area di forti sinergie con altri sistemi di identità digitale nazionali, come quello basato su CIE.

Al momento, SPID di livello 3 (ovvero SPID con LoA3) è offerto soltanto da alcuni IdP e ha un costo di attivazione per l’utente finale.

Come fare e come richiedere SPID

Dopo aver compreso quali sono tutte le sue caratteristiche, dai livelli di autenticazione fino alle sue tipologie ora è d'obbligo capire come ottenere SPID. Di seguito una serie di risposte utili per capire come e cosa serve per attivare il Sistema Pubblico di Identità Digitale.

Come si può richiedere SPID?

È possibile fare richiesta per ottenerlo e per entrare in possesso delle proprie credenziali in uno dei dodici Identity Provider finora certificati.

Come si attiva SPID?

L'operazione di attivazione è abbastanza semplice. Ci si può registrare sul loro sito, completando l'operazione di attivazione in uno degli uffici e punti di riconoscimento fisici abilitati. Un'altra modalità di attivazione è l'utilizzo la modalità remota, cioè tramite l'utilizzo di una webcam.

Cosa serve per attivare SPID?

Per la registrazione e la creazione online sono sufficienti indirizzo e-mail, numero di telefono, documento d'identità in corso di validità e tessera sanitaria con codice fiscale.

Ogni Identity Provider garantisce per accedere ai servizi online, come visto nel paragrafo precedente, dai 2 ai 3 livelli di sicurezza. Fornisce anche diverse modalità di attivazione SPID che possono essere gratuite o a pagamento. Le modalità di attivazione di SPID attualmente disponibili variano tra i fornitori. Tra le più comuni abbiamo:

  • Attivazione dello SPID tramite riconoscimento con firma digitale;
  • Attivazione tramite riconoscimento con CNS, CIE o passaporto elettronico;
  • Attivazione tramite riconoscimento via webcam;
  • Attivazione de visu (riconoscimento facciale).

SPID, come e dove si usa

Dopo aver spiegato come si ottiene SPID, possiamo comprendere quali sono gli utilizzi di questo sistema di identità digitale. Come anticipato, questo strumento di Identità Digitale è utilizzabile per accedere a servizi online offerti sia da Pubbliche Amministrazioni sia da aziende private.

SPID per l’accesso ai servizi pubblici

Per l'accesso ai servizi online della pubblica amministrazione, è:

Obbligatorio rendere i propri servizi accessibili con SPID e CIE. Il Decreto Semplificazioni, infatti, ha imposto alle PA il blocco dell’emissione di credenziali proprietarie. Questo, a partire dal 28 febbraio 2021. La totale dismissione, invece, è stata imposta entro il 30 settembre 2021.

Si è spinto, dunque, notevolmente per l’adozione di SPID web da parte degli utenti. Infatti, attualmente, sono oltre 18 mila le Pubbliche Amministrazioni che offrono l’accesso tramite SPID e/o la CIE.

Autenticazione SPID per le aziende

Molto più indietro, invece, l’adozione di SPID come strumento di riconoscimento dell’utente da parte delle aziende private. Nonostante, infatti, la notevole diffusione tra gli utenti sia di interesse, a oggi sono poche le realtà private che ne fanno effettivamente uso. Sono poco 204 i Service Provider (SP) privati che hanno integrato SPID per l’accesso ai propri servizi.

Le aziende attualmente accreditate per integrare l'utilizzo dello SPID fanno riferimento ai seguenti macro-cluster:

  • fornitori di servizi di digitalizzazione per la PA. Questi hanno deciso di accreditarsi come SP per complementare la loro offerta o per supportare il riconoscimento dei dipendenti pubblici nell’accesso a portali della PA;
  • fornitori di servizi di digitalizzazione per aziende. Queste, in ottica di bundle, stanno offrendo l’abilitazione dell’accesso con SPID ai servizi dei loro clienti, intermediando il flusso informativo nel sistema SPIF;
  • banche e operatori finanziari;
  • operatori nell’ambito utility;
  • aziende operanti in ambito sanitario.

Per tutti questi settori, infatti, specialmente durante l’emergenza pandemica, si è rivelato cruciale identificare e riconoscere i propri clienti da remoto. Il potenziale dell’identità digitale in ambito privato è, però, estremamente più ampio e ancora fortemente inesplorato.

Infatti, secondo la Ricerca dell’Osservatorio Digital Identity solo il 19% degli intervistati ha dichiarato di utilizzare SPID per i servizi privati. Questo, a fronte di una quasi totalità dei rispondenti che usano il sistema di autenticazione per accedere a portali istituzionali. Nonostante ciò, gli utenti internet affermano di voler potenzialmente utilizzare SPID per diversi servizi privati, in ambiti come finance e utility.

Perché usare SPID: i vantaggi pratici

Lo SPID è un servizio gratuito per tutti i cittadini e per tutte le PA che vi aderiscono. Ciò implica che ogni IdP debba fornire almeno una modalità di riconoscimento gratuita. I benefici di questo strumento di identità digitale, rispetto ad altri sistemi di identificazione digitale, sono facilmente intuibili. Eccone di seguito elencati alcuni:

  • SPID è un sistema pratico e veloce, ciò consente di svolgere diverse pratiche (prenotazioni sanitarie, cartelle esattoriali, iscrizioni scolastiche, accesso alla rete wi-fi pubblica). Il tutto, con un’unica password e da qualsiasi dispositivo (sia esso mobile o fisso);
  • SPID smaterializza l'identità digitale, perché, rispetto agli altri sistemi di autenticazione digitale, non è legato ad alcun supporto fisico come lettori di smart card o token usb;
  • SPID è sicuro, in quanto non prevede alcun tipo di profilazione all'attivazione o all’utilizzo delle credenziali.

SPID, aggiornamenti e ultime novità

SPID è un sistema in costante evoluzione, specialmente alla luce delle forti dinamiche di diffusione registrate negli ultimi mesi. Ecco quali sono le principali novità per l’ecosistema:

Sistema di gestione delle deleghe

Da ottobre 2021 è possibile delegare a terzi l’utilizzo della propria identità SPID. Questa delega viene utilizzata per poter accedere a servizi online da parte di utenti impossibilitati a un utilizzo autonomo di queste credenziali.

Migliore integrazione

Un passo avanti sul tema dell’integrazione è stato compiuto a dicembre 2021. L'AgID ha, infatti, pubblicato le Linee Guida per adottare in SPID lo standard di autenticazione OpenID Connect. Questo standard, rispetto al precedente (ovvero SAML), consente una maggiore sicurezza e una migliore integrazione negli applicativi di front-end con l’utente.

Soggetti aggregatori di servizi privati

Un’evoluzione molto attesa per il sistema SPID è l’entrata nel suo ecosistema di soggetti aggregatori. Questi sono aziende o entri privati che semplificano il processo di integrazione del sistema per le aziende da un punto di vista amministrativo e tecnologico. Facendo ciò si spinge di molto la sua diffusione tra i service provider e la sua valorizzazione tra gli utenti. A inizio aprile 2022 è stata pubblicato lo schema di Convenzione per l’entrata di questi attori nell’ecosistema.

SPID per minori

A marzo 2022, AgID ha pubblicato le Linee Guida che normano il rilascio dell’identità SPID a cittadini minorenni al di sopra dei cinque anni. Questo rilascio avviene sotto la stretta supervisione del genitore, a cui SPID del minore è collegato. SPID per i minori, infatti, consente l’accesso a servizi scolastici e ad alcuni servizi pubblici e privati per gli over14.

Gestori di attributi qualificati

A partire da luglio 2022 l’ecosistema di SPID si è allargato ulteriormente attraverso l'inclusione di nuovi attori. Questi, infatti, consentono di integrare i dati basici dell’utente con attributi e certificati che supportino il suo riconoscimento nell’accesso ai servizi online. Inoltre, aumentano il valore di questa identità digitale per utenti e fornitori di servizi.

SPID nella strategia europea dell’identità digitale

Alla luce della revisione del regolamento eIDAS, una tra le evoluzioni più interessanti su SPID (e CIE) riguarda la convergenza di questi due asset nazionali all’interno del modello di wallet. Essi vengono, così, ad abilitare il nuovo modello di fruizione dell’identità digitale prospettato da eIDAS2.

SPID, i numeri del fenomeno

Come visto in fase introduttiva, gli ultimi anni, tra cui il 2024, sono stati caratterizzati da una fase di consolidamento per la diffusione e l'utilizzo dello SPID. Sia in ambito privato che in ambito pubblico. Vediamo ora, attraverso la Ricerca dell'Osservatorio Digital Identity, quali sono i numeri della diffusione dello SPID in Italia.

Le identità SPID rilasciate alla popolazione, infatti, hanno superato i 39 milioni di utenze attive a fine 2024, con una crescita dell’+7% su base annua. Inoltre, sono stati effettuati oltre un miliardo di accessi nel corso dell’anno.

Questo si delinea come un assestamento su un utilizzo più strutturale di SPID nel contesto della Pubblica Amministrazione. Lo strumento, infatti, viene sempre più valorizzato dai cittadini per accedere in maniera “organica” a servizi digitali, anche al di là di obblighi normativi.

Programma-tematico-bianco

  • Autore
Clarissa Falcone

Ricercatrice dell'Osservatorio Digital Identity

Ricerca nel blog

    Potrebbe interessarti

    19 lug 2023
    Come funziona il MePA: l’e-commerce per la PA
    3 lug 2023
    Indice DESI e DMI: lo stato della digitalizzazione in Italia
    6 ott 2021
    Responsabile Transizione Digitale (RTD): nomina, compiti e requisiti
    5 lug 2023
    PNRR e digitalizzazione PA: la Missione 1 per l'Innovazione della PA
    30 ago 2024
    eGovernment Benchmark, cos'è e come funziona

    Articoli più letti

    7 mag 2024
    ChatGPT, cos’è e come funziona: limiti e opportunità
    23 apr 2024
    Storia dell’Intelligenza Artificiale: da Turing ai giorni nostri
    17 apr 2023
    Cos'è il Natural Language Processing (NLP) e come funziona
    14 mar 2024
    Come funziona l'AI Generativa: significato e applicazioni
    3 giu 2024
    Cos'è il Social Engineering, come difendersi e come riconoscerlo