SPlD, guida all'uso: come funziona, dove ottenerlo e ultime novità

08 marzo 2023 / Di Clarissa Falcone / 0 Comments

SPID (Sistema Pubblico di Identità Digitale) è l’identità digitale certificata più utilizzata e conosciuta in Italia, oltre che una delle più diffuse a livello europeo. Il 2022 è stato l'anno del consolidamento dell’uso di SPID nella vita quotidiana dei cittadini, con ben 33 milioni di utenti e attivi e oltre un miliardo di accessi. In questa guida andiamo alla scoperta del vero valore di SPID per i cittadini, i privati e le PA, analizzando nel dettaglio il funzionamento, le tipologie e i principali servizi accessibili attraverso questa sistema di riconoscimento, con un occhio alle principali evoluzioni.

SPID e Identità Digitale sono la stessa cosa?

Premessa. Sebbene spesso utilizzati come sinonimi tra loro intercambiabili, SPID e Identità Digitale non sono la stessa cosa. Un Individuo può infatti possedere più identità digitali: tra queste c'è SPID, ma anche quella associata alla Carta d'Identità Elettronica e tante altre. Potenzialmente anche l’area personale dell’home banking può essere considerata identità digitale.

Il significato di identità digitale, pertanto, è assai ampio. Stando alla definizione fornita dall'Osservatorio Digital Identity per identità digitale intendiamo un insieme di dati che consentono di identificare univocamente una persona, un’azienda o un oggetto e che vengono raccolti, memorizzati e condivisi digitalmente all’interno di un ecosistema di attori e attraverso tecnologie abilitanti, e che permette l’accesso a servizi digitali a valore aggiunto.

SPID è, dunque, uno dei principali strumenti di autenticazione digitale attualmente attivi in Italia, sistema di riconoscimento che, come vedremo, presenta il proprio ecosistema di attori, tecnologie e servizi accessibili. Più precisamente SPID rientra nel modello di eGov ID, sistemi di identità digitale sviluppati e distribuiti da enti governativi, che riconoscono in modo univoco gli utenti e offrono l’accesso a servizi pubblici e privati.

Cosa è lo SPID e come funziona

Il Sistema Pubblico di Identità Digitale, ovvero quello che chiamiamo comunemente lo SPID, è uno dei sistemi di riconoscimento elettronico attivi in Italia, insieme a CIE (Carta di Identità Elettronica) e a CNS (Carta Nazionale dei Servizi, al momento meno usata rispetto ai primi due sistemi). SPID consente a cittadini e imprese di accedere con un’unica identità digitale ai servizi online di Pubbliche Amministrazioni e privati aderenti.

Il sistema si basa su una partnership tra Pubblico e Privato. L’Agenzia per l’Italia Digitale (AgID), infatti, ne presidia lo sviluppo normativo e strategico, supportata da dieci gestori di identità digitale (Identity Provider, IdP), costituiti prevalentemente da aziende private. Gli IdP gestiscono l’architettura federata alla base del sistema, ne facilitano la diffusione tra gli utenti finali e l’adozione da parte degli enti pubblici e delle organizzazioni private che intendono aderirvi (Service Provider, SP).

Al momento gli IdP accreditati sono: Aruba, EHT, Infocert, Lepida, Namirial, Poste Italiane, Register, Sielte, TeamSystem e TIM.

La diffusione e utilizzo del Sistema Pubblico di Identità Digitale nel 2022

Scopri il Report

Lo SPID ed il suo ecosistema: gli attori coinvolti

La galassia SPID è dunque variegata. Attorno allo sviluppo del Sistema Pubblico d'Identità Digitale orbitano i seguenti cinque ruoli chiave:

  1. Gestori delle identità digitali (o Identity Provider): imprese private accreditate da AgID che identificano ciascun utente in modo certo, creando un’identità digitale univoca, assegnando credenziali di accesso e gestendo in modo sicuro e riservato i suoi attributi;
  2. Fornitori di servizi (o Service Provider): PA e imprese che erogano servizi online per la cui fruizione è richiesta l’identificazione e l’autenticazione univoca degli utenti;
  3. RAO Pubblico (Registration Authority Office), cioè enti che si occupano di riconoscere de visu l’utente finale così da facilitare la procedura di rilascio di SPID;
  4. Soggetti aggregatori, ovvero organizzazioni pubbliche o private che possono “ospitare” l’autenticazione tramite SPID o l’intero servizio di altri attori che vogliono abilitare il riconoscimento dell’utente con queste credenziali;
  5. Gestori di attributi qualificati, soggetti che possono emettere dei certificati per attestare degli attributi qualificati di un soggetto, come il conseguimento di una laurea o l’iscrizione a un albo professionale.

SPID, le diverse tipologie

Sono normate diverse tipologie di identità SPID:

  • SPID per uso personale, rilasciato alle persone fisiche (cittadini italiani maggiorenni), è la tipologia di SPID più diffusa;
  • SPID per uso professionale della persona fisica, ovvero un’identità SPID per persona fisica arricchita con un attributo (attributo L), che ne caratterizza la professione e ne consente l’utilizzo per l'accesso a servizi professionali, trasferendo i dati solo della persona fisica;
  • SPID per uso professionale della persona giuridica, ovvero un’identità SPID che contiene gli attributi della persona giuridica (azienda) e della persona fisica che la utilizza, consentendo l'accesso a servizi che richiedono i dati sia della persona fisica sia della persona giuridica.

I livelli di sicurezza di SPID

I livelli di sicurezza di SPID (o Level of Assurance, LoA) maggiormente utilizzati sono 1 e 2, relativi all’autenticazione dell’utente tramite le classiche username e password per il primo e con l’aggiunta di un OTP (One Time Password) per il secondo. Questo OTP è tipicamente costituito da uno dei seguenti elementi:

  • codice temporaneo inviato via SMS dal proprio IdP;
  • codice temporaneo generato dall’app mobile del proprio IdP;
  • notifica push che richiede il riconoscimento biometrico dell’utente, per esempio presentando l’impronta digitale;
  • QR code inquadrabile con lo smartphone dell’utente tramite l’app mobile del proprio IdP.

Pochi servizi al momento richiedono l’autenticazione dell’utente tramite SPID di LoA3, per il quale è necessario un ulteriore fattore di sicurezza, tipicamente rappresentato dal possesso di un dispositivo fisico come carte elettroniche con chip o dispositivi per la firma digitale remota. Questo livello di sicurezza rappresenta un’area di forti sinergie con altri sistemi di identità digitale nazionali, come quello basato su CIE.

Al momento, SPID di livello 3 (ovvero SPID con LoA3) è offerto soltanto da alcuni IdP e talvolta ha un costo di attivazione per l’utente finale.

Come ottenere e richiedere lo SPID

È possibile richiedere le proprie credenziali SPID in uno dei 10 Identity Provider finora certificati registrandosi sul loro sito e completando l'operazione di attivazione in uno degli uffici e punti di riconoscimento fisici abilitati,oppure in modalità remota, tramite webcam. Per la registrazione sono sufficienti indirizzo e-mail, numero di telefono, documento d'identità in corso di validità e tessera sanitaria con codice fiscale.

Ogni Identity Provider garantisce, come visto, dai 2 ai 3 livelli di sicurezza e fornisce diverse modalità di attivazione che possono essere gratuite o a pagamento. Le modalità di attivazione di SPID attualmente disponibili variano tra i fornitori. Tra le più comuni abbiamo:

  • riconoscimento con firma digitale;
  • riconoscimento con CNS, CIE o passaporto elettronico;
  • riconoscimento via webcam;
  • de visu (riconoscimento facciale).

Dove usare lo SPID

Come anticipato, SPID è utilizzabile per accedere a servizi digitali offerti sia da Pubbliche Amministrazioni sia da aziende private.

SPID per l’accesso ai servizi pubblici

Per il primo gruppo è obbligatorio rendere i propri servizi accessibili con SPID e CIE: il Decreto Semplificazioni ha imposto alle PA il blocco dell’emissione di credenziali proprietarie a partire dal 28 febbraio 2021 e la totale dismissione entro il 30 settembre 2021, spingendo notevolmente l’adozione di SPID da parte degli utenti. Attualmente oltre 15 mila PA offrono l’accesso con SPID e/o CIE, con una copertura del 98% rispetto al target imposto dal PNRR.

SPID per le aziende

Molto più indietro, invece, l’adozione di SPID come strumento di riconoscimento dell’utente da parte delle aziende private: nonostante la notevole diffusione tra gli utenti cominci a destare interesse, a inizio 2023 sono 164 i Service Provider (SP) privati che hanno integrato SPID per l’accesso ai propri servizi.

Le aziende attualmente accreditate fanno riferimento ai seguenti macro-cluster:

  • fornitori di servizi di digitalizzazione per la PA, che hanno deciso di accreditarsi come SP per complementare la loro offerta o per supportare il riconoscimento dei dipendenti pubblici nell’accesso a portali della PA;
  • fornitori di servizi di digitalizzazione per aziende, che in ottica di bundle stanno offrendo l’abilitazione dell’accesso con SPID ai servizi dei loro clienti, intermediando il flusso informativo nel sistema SPID;
  • banche e operatori finanziari;
  • operatori nell’ambito utility;
  • aziende operanti in ambito sanitario.

Per tutti questi settori, infatti, specialmente durante l’emergenza pandemica, si è rivelato cruciale identificare e riconoscere i propri clienti da remoto. Il potenziale dell’identità digitale in ambito privato è, però, estremamente più ampio e ancora fortemente inesplorato.

Perché usare SPID: i vantaggi pratici

Lo SPID è un servizio gratuito per tutti i cittadini e per tutte le PA che vi aderiscono, che implica che ogni IdP debba fornire almeno una modalità di riconoscimento gratuita. I benefici rispetto ad altri sistemi di identificazione digitale sono facilmente intuibili:

  • è un sistema pratico e veloce che consente di svolgere diverse pratiche (prenotazioni sanitarie, cartelle esattoriali, iscrizioni scolastiche, accesso alla rete wi-fi pubblica, ...) con un’unica password e da qualsiasi dispositivo (sia esso mobile o fisso);
  • smaterializza l'identità digitale, in quanto rispetto agli altri sistemi di autenticazione digitale non è legato ad alcun supporto fisico come lettori di smart card o token usb;
  • è sicuro perché non prevede alcun tipo di profilazione all'attivazione o all’utilizzo delle credenziali.

Le ultime novità su SPID

SPID è un sistema in costante evoluzione, specialmente alla luce delle forti dinamiche di diffusione registrate negli ultimi mesi. Ecco quali sono le principali aree di lavoro già normate o ancora da normare.

SPID per minori

A marzo 2022 AgID ha pubblicato le Linee Guida che normano il rilascio dell’identità SPID a cittadini minori di 18 anni. Questo rilascio avviene sotto la stretta supervisione del genitore del minore, a cui lo SPID del minore è collegato.

Sistema di gestione delle deleghe

Da ottobre 2021 è possibile delegare a terzi l’utilizzo della propria identità SPID per accedere a servizi online da parte di utenti impossibilitati a un utilizzo autonomo di queste credenziali.

Migliore integrazione

Un passo avanti sul tema dell’integrazione è stato compiuto a dicembre 2021, quando AgID ha pubblicato le Linee Guida per adottare in SPID lo standard di autenticazione OpenID Connect che, rispetto al precedente (ovvero SAML), consente una maggiore sicurezza e una migliore integrazione negli applicativi di front-end con l’utente.

Soggetti aggregatori di servizi privati

Un’evoluzione molto attesa per il sistema SPID è l’entrata nel suo ecosistema di questi attori, che semplificherebbero il processo di integrazione del sistema per le aziende da un punto di vista amministrativo e tecnologico, spingendo di molto la sua diffusione tra i SP e la sua valorizzazione tra gli utenti. A inizio aprile 2022 è stata pubblicato lo schema di Convenzione per l’entrata di questi attori nell’ecosistema SPID.

Gestori di attributi qualificati

A partire da luglio 2022 l’ecosistema di SPID si è allargato ulteriormente attraverso l'inclusione di nuovi attori che consentono di integrare ai dati basici dell’utente anche attributi e certificati che supportino il suo riconoscimento nell’accesso ai servizi in diversi ambiti e che aumentino il valore di questa identità digitale per utenti e fornitori di servizi.

SPID nella strategia europea dell’identità digitale

Alla luce della revisione del regolamento eIDAS, una tra le evoluzioni più interessanti su SPID (e CIE) riguarda l'integrazione tra questi due asset nazionali abilitanti all’interno del modello del Digital Identity Wallet prospettato dalla revisione del regolamento europeo.

SPID: i numeri del fenomeno

Come visto in fase introduttiva, il 2022 è stato un anno volto a rafforzare l’ecosistema di SPID, anche nell’ottica dell’European Digital Identity Wallet. Le identità SPID rilasciate alla popolazione hanno raggiunto i 33 milioni di utenze attive a fine gennaio 2023, con una crescita del 23% su base annua. Inoltre, sono stati effettuati oltre un milardo di accessi nel corso del 2022 (quasi raddoppiando rispetto all'anno precedente).

Questo si delinea come un assestamento su un utilizzo più strutturale di SPID, strumento sempre più valorizzato dai cittadini per accedere in maniera “organica” a servizi digitali, anche al di là di obblighi normativi.

Scopri la diffusione e l'utilizzo di SPID per uso personale e professionale

Guarda il Webinar