SPID

Il Sistema Pubblico di Identità Digitale (in acronimo SPID) è il sistema unico di accesso con identità digitale ai servizi online della pubblica amministrazione italiana e dei privati aderenti. Cittadini e imprese possono accedere a tali servizi con un'identità digitale unica che ne permette l'accesso e la fruizione da qualsiasi dispositivo.

Logo SPID

È stato introdotto per ovviare al moltiplicarsi di servizi in rete, che costringeva i cittadini ad avere un numero sempre crescente di credenziali di accesso, e per aumentare la digitalizzazione dei servizi. È stato calcolato che l'identità digitale ha avuto un impatto positivo nel corso del 2023 per oltre 45,5 miliardi di euro, ovvero circa il 2,2% del PIL, per oltre il 97% riconducibili a SPID^[1].

Il sottosegretario all'Innovazione, Alessio Butti, ha dichiarato in audizione alla Camera dei deputati la progressiva dismissione del servizio.^[2]

Storia

L'inizio dei lavori del sistema SPID è avvenuto nel marzo 2013 su proposta del deputato Stefano Quintarelli, successivamente divenuto Presidente del comitato di indirizzo dell'AgID, che ne ha curato la regolamentazione e implementazione.^[3][4]Il primo provvedimento di attuazione è stato il decreto del Presidente del Consiglio dei Ministri del 24 ottobre 2014, pubblicato sulla Gazzetta Ufficiale n. 285 del 9 dicembre 2014.^[5] Lo SPID è stato anche riconosciuto a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014,^[6] consentendo ai cittadini che ne saranno dotati di utilizzare il sistema anche per l'accesso ai servizi resi disponibili in Rete dalle pubbliche amministrazioni di tutta l'Unione europea e, facoltativamente, dai soggetti privati e il processo di notifica è stato ultimato e lo SPID è stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea C318 del 10 settembre 2018.

Il 28 luglio 2015, con la Determinazione n. 44/2015, sono stati emanati da AgID i quattro regolamenti (accreditamento gestori, utilizzo identità pregresse, modalità attuative, regole tecniche) previsti dall'articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014 con cui il sistema SPID è divenuto operativo.^[7] Il regolamento che disciplina le modalità di accreditamento dei gestori di identità digitale è entrato in vigore il 15 settembre 2015, data dalla quale i soggetti interessati hanno potuto presentare domanda all'Agenzia per l'Italia Digitale.^[8] Il 19 dicembre 2015, nel rispetto delle procedure previste dalle norme, AgID ha accreditato i primi tre gestori di Identità SPID: InfoCert S.p.A., Poste Italiane S.p.A. e Telecom Italia Trust Technologies S.r.l.^[9] Il 15 settembre 2016 sono stati accreditati Aruba PEC S.p.A. e Sielte S.p.A.,^[10] il 12 maggio 2017 Namirial S.p.A. e Register.it S.p.A.^[11]

Dal 15 marzo 2016 i primi tre gestori di identità digitale hanno incominciato a rilasciare le prime identità SPID a cittadini e imprese richiedenti.^[12] Entro il mese di giugno 2016 era prevista l'adesione a SPID di 14 amministrazioni pilota: Agenzia delle entrate, Equitalia, INPS, INAIL, Comune di Firenze, Comune di Venezia, Comune di Lecce, Comune di Genova, Regione Toscana, Regione Liguria, Regione Emilia-Romagna, Regione Friuli-Venezia Giulia, Regione Lazio, Regione Piemonte e Regione Umbria.^[12] I servizi vengono attivati il 15 marzo 2016 per Regione Toscana e INPS,^[13] l'11 aprile 2016 per Regione Friuli-Venezia Giulia e Comune di Venezia,^[14] il 15 aprile 2016 per Agenzia delle entrate con servizio 730 precompilato,^[15] il 28 aprile 2016 per Equitalia.^[16]

A partire dal febbraio 2018 tutte le pubbliche amministrazioni dovranno aver aderito al sistema SPID, inoltre per l’autenticazione è possibile utilizzare anche l'impronta digitale, il timbro vocale, la retina o l'iride, o altre caratteristiche di riconoscimento biometriche.

Il 3 marzo 2022, l'AGiD ha pubblicato le linee guida per il rilascio dello Spid ai minorenni: dai 5 anni fino ai 14 può essere utilizzato solo per l'accesso ai servizi scolastici, mentre gli over-14 possono accedere a tutti i servizi che li riguardano, nei limiti imposti dalla minore età.^[17]

Il 21 febbraio 2023, Intesa (società del gruppo Kyndryl) è il primo gestore di identità ad annunciare la cessazione del servizio, prevista per il 23 aprile dello stesso anno, a causa del mancato rinnovo della convenzione con l'Agid.^[18]

All'avvio del progetto, lo Stato garantì ai provider un contributo economico tramite convenzioni pubbliche, consentendo ai cittadini di ottenere e rinnovare lo Spid gratuitamente, ma a causa della sospensione dei finanziamenti statali in favore dello sviluppo di IT-Wallet, alcuni provider hanno deciso di introdurre tariffe per coprire i costi di gestione a seguito di un accordo con AgID che ha permesso introdurre formule a pagamento;^[19] l'ultima sovvenzione, approvata con un emendamento al decreto Pnrr, è stata di 40 milioni di euro per il 2024.^[20]

Caratteristiche e funzionamento

L'identità SPID può essere ottenuta dai cittadini italiani maggiorenni muniti di un documento di riconoscimento in Italia in corso di validità facendone richiesta a uno dei gestori di identità digitale (Identity Provider) accreditato presso l'"Agenzia per l'Italia Digitale" e da essa autorizzato, previa verifica identità personale del richiedente da parte del gestore. I dipendenti della pubblica aministrazione possono ottenerlo mediante procedura semplificata online attivabile con l'accesso al sito NoiPA, tramite autenticazione nella propria area riservata.

SPID soddisfa la necessità di poter disporre di un unico set di credenziali in grado di garantire l’accesso a qualsiasi servizio web in maniera integrabile al sistema europeo. SPID fa parte del sistema definito dal regolamento UE eIDAS. Oltre alle funzioni previste da eIDAS a livello europeo, una innovazione solo italiana è la possibilità del suo utilizzo per firmare digitalmente documenti (cosiddetta "Firma SPID"), cosa che ha consentito dal 2021 la sottoscrizione digitale delle proposte referendarie.^[21]

Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'Agenzia per l'Italia Digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni.^[22] AgID, d'intesa con il Garante per la protezione dei dati personali, ha definito le regole tecniche per l'adozione del sistema SPID. Essa gestisce inoltre le procedure di accreditamento dei gestori di identità digitale e svolge inoltre attività di vigilanza sull'operato dei gestori delle identità.

Nel sistema SPID si distinguono i ruoli di:^[23]

• Gestore delle identità (Identity Provider o IdP), che fornisce le credenziali di accesso al sistema (identità digitali) e gestisce i processi di autenticazione degli utenti.
• Fornitore di servizi (Service Provider o SP), che gestisce l'autorizzazione tramite l'accesso digitale ed eroga il servizio.
• Gestore di attributi qualificati (Attribute Authority o AA), che fornisce attributi che qualificano gli utenti (stati, ruoli, titoli, cariche), finalizzati alla fruizione dei servizi.

L'Attribute Provider, che fornisce gli attributi qualificati secondo le regole tecniche SPID, è inserito nell’apposito registro AGID (Agenzia per l’Italia Digitale) e consente di rilevare il possesso di particolari requisiti ai fornitori di servizi.

Sicurezza

Privacy

Con lo SPID i fornitori di servizi possono richiedere solo le informazioni minime necessarie all'erogazione del servizio e tali dati sono mantenuti solo per il tempo necessario alla verifica.^[24] Ad esempio, per accedere a un servizio di chat dedicato ai minori, l'unica informazione necessaria al gestore del servizio sarebbe l'età del soggetto che accede.

Livelli di sicurezza

L'identità SPID è costituita da credenziali con caratteristiche differenti in base al livello di sicurezza richiesto per l'accesso. Esistono tre livelli di sicurezza:^[25][26]

• Il primo livello permette di accedere ai servizi online attraverso un nome utente e una password scelti dall'utente;
• Il secondo livello permette l'accesso con nome utente e password più un codice temporaneo di accesso (one-time password), fornito tramite SMS o app;
• Il terzo livello, oltre al nome utente e la password, richiede un supporto fisico per l'identificazione, ad esempio una carta intelligente.

Al febbraio 2023 solo Aruba, Etna, Poste Italiane, Sielte e SpidItalia forniscono il terzo livello di sicurezza.^[27]

SPID supporta l'autenticazione unica single sign-on (SSO): dopo aver fatto l'accesso per un servizio non è necessario ripetere l'autenticazione se si accede ad altri servizi; questa funzione è attiva solo per il primo livello.

Tecnologia

Lo SPID si basa su una federazione SAML 2.0.^[23] (dal 1º maggio 2022 con OpenID Connect^[28]). L'aggiunta di un nuovo Gestore dei servizi alla rete SPID avviene tramite lo scambio di metadati col Gestore delle identità con il quale si vuole accoppiare. La federazione permette quindi al Service Provider di estendere la platea dei suoi utenti a quelli attualmente iscritti all'Identity Provider di aggancio. Purtroppo a oggi,^[quando?] non risulta una federazione tra i vari Identity Provider per cui è necessario, al momento dell'accesso, selezionare l'Identity Provider in cui l'utente risultato accreditato.

Per l'utente sia le credenziali sia l'uso dei servizi non devono imporre vincoli come l'uso di uno specifico dispositivo.

Fornitori del servizio

Attivi

Nome servizio	Gestore	Livello di sicurezza[29]	area geografica	Compatibilità DMA (GAFAM indipendente)	Gratuità	fruibile senza cellulare	riconoscimento di persona	riconoscimento da remoto	riconoscimento CIE/CNS	OTP anche via sms	Conformità eIDAS	RAO	note
Etna ID[30]	EHT S.C.p.A.	3	Italia	dipende da Google o Microsoft per riconoscimento via webcam				(webcam)			?
ID InfoCamere[31]	InfoCamere S.p.A.	3	Italia	?	solo con firma digitale o CNS (non CIE)						?
InfoCert ID	InfoCert S.p.A.	2	mondo	?	solo il primo anno, se attivato con con firma digitale o CNS (non CIE)			a pagamento (webcam)			?
Intesi Group SPID[32]	Intesi Group	2	Italia	?
Lepida ID	Lepida S.c.p.A.	2	mondo					webcam: a pagamento Audio-video con bonifico: pagamento in beneficenza			?		non accetta password oltre 16 caratteri o con caratteri consecutivi o parole comuni, rifiuta anche alcune combinazioni di lettere riconoscendole erroneamente come parole
Namirial ID	Namirial S.p.A.	2	mondo		solo con CIE	a pagamento		a pagamento (webcam)			?
PosteID	Poste Italiane S.p.A.	3	mondo	?				a pagamento se con documento elettronico senza PIN o bonifico			?
SPID Aruba ID	Aruba PEC S.p.A	3	mondo		solo il primo anno, se attivato online con CNS (non CIE)			a pagamento se via webcam, firma digitale, TSCNS/CNS			?
SpidItalia	Register.it S.p.A.	3	mondo	?				a pagamento (webcam)			?
SielteID	Sielte S.p.A.	3	mondo			limitato o a pagamento					?
TeamSystem ID	TeamSystem S.p.A.	2	Italia	?	con firma digitale o CNS						?
TIM id	Telecom Italia Trust Technologies S.r.l.	2	Europa	?				a pagamento (webcam)			?

Cessati

• IntesaID di In.Te.S.A. S.p.A.

Dati statistici

In data 31 ottobre 2024 il numero di identità digitali erogate ammonta a 39 247 026, corrispondenti a circa il 66,6% della popolazione.^[33]

Di seguito il numero delle amministrazioni che hanno adottato SPID progressivamente alla data indicata^[34][33]:

Data	Amministrazioni attive
15 marzo 2016	0 (avvio del sistema in Italia)
15 gennaio 2017	3 720
2 novembre 2017	3 783
14 maggio 2019	4 000
4 ottobre 2019	4 109
24 settembre 2020	4 478
15 dicembre 2020	5 595
19 dicembre 2020	5 739
23 febbraio 2021	6 235
28 giugno 2021	7 653
30 marzo 2022	12 297
29 novembre 2024	18 777