SPID, acronimo di Sistema Pubblico di Identità Digitale, è una delle più importanti innovazioni che sono state introdotte in Italia nel rapporto tra cittadini, professionisti, imprese e Pubblica Amministrazione. Ha rivoluzionato il meccanismo di accesso e autenticazione sulle piattaforme Web degli enti pubblici consentendo agli interessati di servirsi di un un unico sistema per attestare la propria identità, senza più il bisogno di conservare e usare decine di credenziali differenti.
Nato nel 2013 sotto la spinta di Stefano Quintarelli, è dal 2015 che SPID è divenuto operativo dopo l’approvazione dei regolamenti AgID (Agenzia per l’Italia digitale).
Da allora è stato un crescendo: sempre più Pubbliche Amministrazioni hanno abbracciato SPID come metodo di autenticazione degli utenti in sostituzione, ad esempio, dei più tradizionali basati su nome utente o codice fiscale e PIN.
Il funzionamento di SPID prevede che, previa verifica dell’identità del richiedente, un gestore autorizzato da AgID (IdP, Identity Provider) fornisca un’identità digitale utilizzabile per accedere a qualunque servizio reso dagli enti pubblici senza più dover operare alcuna registrazione preventiva.
SPID nasce come sistema basato su un modello federato: è chiamato così perché coinvolge una serie di organizzazioni, o federazioni, che collaborano per garantire l’accesso sicuro e affidabile ai servizi digitali.
Nel modello federato, ogni organizzazione mantiene il controllo completo sui propri dati utente e sui servizi offerti ma collabora con altri soggetti attraverso un’infrastruttura comune.
Il fatto che sia un sistema federato si evince dal fatto che le specifiche di SPID sono pubbliche e che anche i soggetti privati possono eventualmente farne uso per verificare l’identità degli utenti.
Il successo di SPID è sotto gli occhi di tutti: a maggio 2022 AgID informava che il numero di identità digitali SPID era pari ormai a 30 milioni, con oltre 10 milioni di nuove identità rilasciate negli ultimi 12 mesi (oggi sono oltre 34 milioni).
Quali sono le differenze tra SPID e CIE
La Carta d’Identità Elettronica o CIE è una smart card che già oggi può essere utilizzata per accedere ai siti degli enti pubblici in alternativa rispetto all’utilizzo dello SPID.
Per autenticarsi è necessario eseguire una procedura di autenticazione che prevede l’inserimento della CIE in un lettore di smart card. Essendo presente il chip NFC, è inoltre possibile autenticarsi con gli smartphone compatibili.
In un altro articolo abbiamo visto come usare l’app CieID e come autenticarsi online al posto di SPID.
SPID, come abbiamo visto nell’articolo citato in apertura, prevede tre livelli di sicurezza che possono essere impostati e richiesti dal fornitore di servizi a seconda del livello di autenticazione necessario: il primo consente di accedere ad alcuni servizi online solo inserendo nome utente e password associati all’identità digitale; il secondo livello prevede l’accesso attraverso un nome utente e una password al quale viene aggiunto l’utilizzo di un secondo fattore (autenticazione a due fattori); il terzo e ultimo livello prevede, oltre al nome utente e alla password, un supporto fisico come una smart card. Nella maggior parte dei siti Web della Pubblica Amministrazione viene utilizzato il secondo livello.
La CIE utilizza evidentemente sempre una modalità di autenticazione di terzo livello perché, come detto, va abbinata all’uso di un lettore di smart card o NFC.
L’emissione della CIE, tuttavia, ha un costo (16,79 euro) e viene fornita con codici PIN e PUK che l’utente deve conservare e usare quando richiesto. Viceversa un’identità digitale SPID può essere ottenuta gratis e senza muoversi da casa o dall’ufficio con il riconoscimento da remoto.
Come detto, inoltre, mentre SPID non necessita di un lettore né di uno smartphone con chip NFC integrato, la CIE prevede l’utilizzo di tali strumenti (il lettore di smart card ha comunque un costo).
Il sistema di identità digitale unico
Anche se sono stati avviati colloqui e aperti tavoli di discussione con gli Identity Provider, il Governo sembra orientato a guardare a un sistema di identità digitale unico. Proprio la CIE sembra essere destinata a sostituire SPID in ottica futura.
Va detto che in termini di usabilità e utilizzo, SPID vince su tutta la linea: CIE, per i motivi descritti, risulta sulla carta più macchinoso da adoperare per i cittadini ormai abituati alla semplicità e alla velocità dell’identità digitale SPID.
Inoltre, mentre SPID è un sistema federato, l’autenticazione mediante CIE dipende da un approccio centralizzato: in questo secondo caso lo Stato accentra a sé tutte le attività di verifica dell’identità degli utenti e di corretta conservazione delle loro credenziali.
Ha senso promuovere l’utilizzo di un sistema unico che prevede la conservazione dei dati degli utenti a livello centralizzato?
È un’idea convincente cestinare gli investimenti fatti sull’identità digitale SPID obbligando eventualmente gli utenti a migrare alla CIE affrontando un esborso economico magari fino ad oggi evitabile (almeno fino alla data di rinnovo della carta d’identità)?
Inoltre, è pur vero che PIN e PUK devono essere custoditi con la massima diligenza, ma l’autenticazione a due fattori di SPID offre comunque un elevato standard di sicurezza imponendo il superamento di una seconda verifica anche per quegli utenti che, ad esempio, decidessero di memorizzare nome utente e password della propria identità digitale nel browser.
La via migliore non sembra quindi uno “spegnimento” totale di SPID ma una eventuale razionalizzazione del sistema che guardi a nuove future opportunità.