Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SPID (Sistema Pubblico di Identità Digitale), cos’è, a cosa serve e come creare un account

Tutto ciò che c’è da sapere su Spid, in un articolo continuamente aggiornato a cura degli Osservatori Digital Innovation del Politecnico di Milano. Come si fa a ottenere una identità digitale, stato dei servizi disponibili per utilizzarla e nodi da sciogliere.

09 Ott 2018

Valeria Portale, Giovanni Miragliotta, Osservatori Digital Innovation del Politecnico di Milano


A marzo del 2016 è partito SPID, il Sistema Pubblico di Identità Digitale per rendere più digitale il nostro paese. SPID vuole favorire l’offerta di servizi online per cittadini e persone giuridiche da parte di imprese e Pubbliche Amministrazioni. È un progetto ambizioso su cui AgID lavora dal 2014 e su cui il Governo ha riposto molte aspettative, e AgID si attendeva oltre 10 milioni di cittadini dotati di SPID entro fine 2017.

Secondo il sito ufficiale, “Il Sistema Pubblico di Identità Digitale ti permette di accedere ai servizi online della Pubblica Amministrazione con un’unica coppia utente – password”

La consultazione del sito dedicato a SPID dal Team digitale (dati aggiornati al 19 marzo 2018) e quello analogo di AgID ci dice però che a marzo 2018 che le pubbliche amministrazioni attive sono 3.866 e 2.279.000 sono le credenziali rilasciate dagli otto gestori dell’identità abilitati.

Alcune amministrazioni, tra l’altro hanno attivato un solo servizio o servizi solo parzialmente fruibili online.

Oltre il 61% delle identità sono state rilasciate a donne, solo il 3,55% a persone sopra i 65 anni e 620.000 circa a diciottenni (il 27% circa del totale).

Per le donne è ipotizzabile la massa critica della richiesta di credenziali SPID da parte di personale docente; per i diciottenni è rilevante il numero dei richiedenti certamente incentivato dal contributo di 500 euro previsto dal programma APP18.

Il numero di identità SPID erogate sta crescendo velocemente negli ultimi mesi grazie alle azioni promosse dal Governo per incentivarne l’adozione, come ad esempio il bonus 18enni e il bonus docenti che possono essere ritirati solo con un’identità SPID. Se a settembre (6 mesi dal lancio) c’erano 90.000 identità SPID erogate, a fine novembre (a 8 mesi e mezzo dal via) erano 430.000 e a gennaio hanno superato il milione. Non vi sono informazioni ufficiali sul reale utilizzo delle identità SPID.

Che cosa è SPID, Sistema Pubblico di Identità Digitale?

SPID è il Sistema Pubblico per l’Identità Digitale promosso dall’AgID e quindi dal Governo, che permette a cittadini e imprese di accedere con un unico login a tutti i servizi online di pubbliche amministrazioni e imprese aderenti. SPID nasce per favorire la diffusione dei servizi online e agevolarne l’utilizzo da parte di cittadini e imprese.

SPID si basa su un modello federato e collaborativo di aziende private. I “gestori delle identità digitali” sono, infatti, aziende private accreditate dall’AgID per la fornitura dei servizi di identità digitale. Cittadini e imprese possono scegliere liberamente il proprio gestore delle identità digitale preferito.

Il primo passo ufficiale dello SPID è stato mosso a fine 2014 con un provvedimento di attuazione, il decreto della Presidenza del Consiglio dei Ministri del 24 ottobre 2014. A metà 2015 sono stati emanati i regolamenti attuativi a dal 15 settembre 2015 è iniziato l’accreditamento degli Identity Provider all’Agenzia. Dal 15 marzo 2016 sono attivi i primi servizi.

Come richiedere e attivare account SPID di identità digitale

L’identità digitale SPID è rilasciata dai Gestori di Identità Digitale (Identity Provider) che forniscono le identità digitali e gestiscono l’autenticazione degli utenti.

Richiedere, ottenere ed attivare un’identità digitale con SPID è molto semplice.

Per ottenere e attivare un’identità SPID l’utente deve farne richiesta al gestore, il quale, dopo aver verificato i dati del richiedente, emette l’identità digitale rilasciando le credenziali all’utente. Per richiedere l’identità digitale con SPID è necessario presentare un modulo di richiesta di adesione che contiene tutte le informazioni necessarie per l’identificazione del soggetto richiedente (nome, cognome, sesso, data e luogo di nascita, codice fiscale, estremi del documento di identità) e le informazioni per essere contattati (un indirizzo di posta elettronica – univoco per ogni identità SPID – e un recapito di telefonia mobile).

L’autenticazione dell’utente può avvenire in presenza o a distanza.

1) L’autenticazione in presenza prevede l’esibizione di documentazione cartacea e moduli sottoscritti e può avvenire in due modi:

  • presso una sede fisica del gestore dell’identità;
  • a domicilio su appuntamento (ad esempio Poste Italiane offre la possibilità che un postino possa accertare l’identità direttamente a casa del richiedente).

2) L’autenticazione a distanza può avvenire in due modalità:

  • “identificazione a vista da remoto tramite webcam”: un operatore verifica in una sessione audio/video con il richiedente l’identità tramite la presentazione dei documenti di identità e dichiarazioni del richiedente;
  • “identificazione informatica tramite documenti digitali di identità”: il richiedente viene identificato sulla base della verifica digitale di credenziali informatiche già in proprio possesso, mentre.

Ogni Identity Provider può decidere se rilasciare l’identità gratuitamente o a pagamento per l’utente.

Quali attori e ruoli prevede SPID, e chi lo può utilizzare?

Lo SPID identifica differenti ruoli.

  • Gestori dell’identità digitale (o Identity Provider), sono imprese private accreditate allo SPID (ottengono la “licenza” da AgID) con il compito di identificare l’utente in modo certo, di creare le identità digitali, di assegnare le credenziali, di gestire gli attributi degli utenti. Essi inoltre, in qualità di gestori di servizio pubblico, forniscono i servizi a pubbliche amministrazioni e imprese private aderenti di identificazione degli utenti, garantendo la correttezza dell’identità digitale e la riservatezza delle informazioni. A gennaio 2017 ci sono 4 Identity Provider attivi.
  • Fornitori di servizi (o Service Provider) sono i soggetti privati e le Pubbliche Amministrazioni che erogano servizi online, per la cui fruizione è richiesta l’identificazione e l’autenticazione degli utenti. A gennaio 2017 vi sono solo Pubbliche Amministrazione che erogano l’identificazione SPID, ma ci si attende che nel corso del 2017 alcuni Service Provider privati inizieranno ad utilizzare l’identificazione SPID per far accedere ai propri servizi online i cittadini italiani.
  • Utente: persona fisica o giuridica, titolare di un’identità digitale SPID, che utilizza i servizi erogati in rete da un fornitore di servizi, previa identificazione informatica.
  • Agenzia è l’organismo di vigilanza che si occupa di gestire l’accreditamento e di monitorare i gestori dell’identità digitale e i gestori degli attributi qualificati.
  • Gestori di attributi qualificati sono soggetti che hanno il potere di attestare gli attributi qualificati su richiesta dei fornitori di servizi.

Un utente si registra al servizio tramite un Identity Provider che crea un’identità digitale e gli assegna le credenziali per il riconoscimento. L’utente può utilizzare la sua identità digitale per l’accesso ai servizi online offerti dai Service Provider, che sono collegati a tutti gli Identity Provider. Sarà compito dell’Identity Provider verificare la correttezza dei dati di login immessi dall’utenti e fornire al Service Provider solo gli attributi dell’utente strettamente necessari alla fornitura del servizio.

Quali i servizi abilitati attraverso SPID?

Sono partiti i primi 4.200 servizi. I servizi della Pubblica Amministrazione a cui si può già accedere sono molteplici: dal pagamento della Tasi al bollo auto, dalle prestazioni sanitarie al fascicolo dell’Inps, dal riscatto della laurea, richiesta degli assegni familiari, dalla consultazione Cud, alla richiesta bollettini, dal saldo di tributi regionali, al pagamento delle mensa scolastica e ticket sanitari via web. A questi servizi si aggiungono tutti i servizi per le persone giuridiche e i liberi professionisti.

A gennaio 2017 la maggior parte dei servizi abilitati sono quelli con un “livello di sicurezza 2”. Nel 2017 ci si attende un maggior sviluppo dei servizzi con “livello di sicurezza 3”. Ecco alcuni dei servizi disponibili con SPID:

  • Agricoltura, pesca, silvicoltura e prodotti alimentari
  • Servizi INAIL
  • Ambiente
  • Edilizia
  • Servizi INAIL
  • Servizi di pagamento,
  • controllo pagamenti,
  • tasse e tributi
  • Visure,
  • controllo e consultazione dati
  • Economia e finanze
  • Anagrafe
  • Fatturazione elettronica
  • Finanziamenti
  • Invio e richiesta documenti
  • Richieste e prenotazioni
  • Servizi INAIL
  • Servizi INPS
  • Servizi di Certificazione e Autocertificazione
  • Servizi di pagamento,
  • controllo pagamenti,
  • tasse e tributi
  • Utilità
  • Giustizia, sistema giuridico e sicurezza pubblica
  • Servizi INPS
  • Utilità
  • Governo e settore pubblico
  • Anagrafe
  • Edilizia
  • Invio e richiesta documenti
  • Iscrizione a servizi
  • Richieste e prenotazioni SUAP Sportello Unico Attività Produttive
  • Servizi INAIL
  • Servizi INPS
  • Servizi di Certificazione e Autocertificazione
  • Servizi di avvisi e notifiche
  • Istruzione, cultura e sport
  • Finanziamenti
  • Iscrizione a servizi
  • Richieste e prenotazioni
  • Servizi Audio, Video e Multimediali
  • Servizi INAIL
  • Servizi INPS
  • Servizi Scuola e Università
  • Servizi di pagamento,
  • controllo pagamenti,
  • tasse e tributi
  • Visure,
  • controllo e consultazione dati
  • Popolazione e società
  • Anagrafe
  • Finanziamenti
  • Iscrizione a servizi
  • Servizi Sociali e della Comunità
  • Servizi di Certificazione e Autocertificazione
  • Servizi di avvisi e notifiche
  • Servizi di connettività pubblica
  • Servizi per la viabilità
  • Regioni e città
  • Portali del cittadino
  • Visure,
  • controllo e consultazione dati
  • Salute
  • Anagrafe
  • Fascicolo Sanitario Elettronico
  • Servizi INAIL
  • Servizi INPS
  • Servizi Sanitari
  • Visure,
  • controllo e consultazione dati
  • Scienza e tecnologia
  • Servizi INAIL
  • Trasporti
  • Invio e richiesta documenti
  • Servizi INAIL
  • Servizi di Certificazione e Autocertificazione
  • Utilità

Quali sono i veri vantaggi di SPID?

I Service Provider che aderiscono allo SPID, sia Pubbliche Amministrazioni sia imprese private, possono disporre di un parco utenti senza censirli, non avranno gli oneri derivanti dalla conservazione dei dati personali, non dovranno preoccuparsi di evitare attacchi volti al furto delle credenziali. Inoltre, i Service Provider possono avere profili con un’identità certa, eliminando i cosiddetti “falsi profili”, ed univoca, eliminando i duplicati.

Per gli utenti, SPID consente di semplificare la vita di cittadini e imprese nell’interazione con la Pubblica Amministrazione tramite servizi online grazie ad un unico login. Il sistema garantisce la massima sicurezza e privacy. SPID assicura la massima riservatezza dei dati ed è pensato proprio per aumentare la trasparenza sulla gestione dei propri dati ed erogare servizi secondo il principio dei dati minimi. Il Service Provider non può conservare i dati dell’utente che riceve dall’Identity Provider ed è assolutamente vietata la tracciatura delle attività di un individuo.

Quanto costa l’identità digitale con SPID?

Per gli utenti, SPID è gratuito per almeno due anni dal lancio (per i livelli 1 e 2 di sicurezza). Gli Identity Provider possono mettere a pagamento i servizi aggiuntivi (ad esempio l’autenticazione da remoto).Il tema dei costi e in generale del business model è il più delicato.

Per le Pubbliche Amministrazioni SPID è gratuito e continuerà ad esserlo.

Per i Service Provider privati, SPID sarà a pagamento e dovranno pagare gli Identity Provider per l’utilizzo del servizio (potrà essere un canone annuale, una fee per ogni identificazione o una fee per ogni utente attivo nell’anno). Il modello di pricing non è ancora stato definito nel dettaglio e sarà uniforme tra i Service Provider; non vi sarà quindi competizione sul prezzo dei servizi core, ma la competizione sarà fatta su eventuali servizi aggiuntivi che potranno essere offerti.

Per gli Identity Provider, SPID è un investimento nella fase di avvio del servizio (infrastruttura tecnologica, accreditamento all’Agenzia, etc.), un costo per l’autenticazione degli utenti e un costo per la gestione delle identità. I ricavi per coprire i costi potranno provenire dagli utenti (dopo due anni il servizio potrà essere a pagamento ed eventuali servizi aggiuntivi saranno a pagamento) e dai Service Provider privati.

Quali i livelli di sicurezza per la propria identità digitale?

Il modello SPID per il Sistema Pubblico di Identità Digitale prevede 3 livelli di sicurezza.

  • Livello 1 (userID e password) garantisce con un buon grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio moderato e compatibile con l’impiego di un sistema autenticazione a singolo fattore, ad es. la password; questo livello può essere considerato applicabile nei casi in cui il danno causato, da un utilizzo indebito dell’identità digitale, ha un basso impatto per le attività del cittadino/impresa/amministrazione. Per il livello 1 la credenziale sarà dunque una password di almeno 8 caratteri, da rinnovarsi ogni 180 giorni, formulata secondo i consueti criteri di sicurezza.
  • Livello 2 (userID, password + ulteriore fattore di autenticazione) garantisce con un alto grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio ragguardevole e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori non necessariamente basato su certificati digitali; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’identità digitale può provocare un danno consistente. Per il livello 2, oltre alla password sarà necessario inserire il codice proveniente da un dispositivo a chiave variabile (c.d. One Time Password) che potrebbe essere anche un’applicazione sul cellulare.
  • Livello 3 (userID, password + ulteriore fattore di autenticazione basato su certificati digitali) garantisce con un altissimo grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio altissimo e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori basato su certificati digitali e criteri di custodia delle chiavi private su altri dispositivi; questo è il livello di garanzia più elevato e da associare a quei servizi che possono subire un serio e grave danno per cause imputabili ad abusi di identità; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’ identità digitale può provocare un danno serio e grave.

Ci attendiamo che nel corso del 2017 vengano attivati i primi servizi con il livello più alto di sicurezza.

Chi sono gli identity provider nello SPID?

Gli attori che possono assumere il ruolo di Identity Provider sono molteplici (banche, operatori di telefonia mobile, certification authority, fornitori di soluzioni IT) e giocano un ruolo fondamentale nel decretare il successo del sistema perché portano in “dote” allo SPID il proprio bacino di utenti potenziali. Ad oggi, febbraio 2018, sono sette gli Identity Provider che hanno richiesto e ottenuto la certificazione da parte dell’AgID: Infocert, PosteItaliane (PosteID), SielteID, Telecom Italia Trust Technologies. Spid Italia Register.it, Intesa (Gruppo Ibm), Aruba.

La condizione ottimale è che il numero di Identity provider sia sufficientemente elevato per raggiungere il maggior numero di utenti, e contemporaneamente limitato per minimizzare il numero di relazioni tra Service Provider e Identity Provider.

È importante sottolineare che per gli Identity Provider gli investimenti sono certi, mentre i ricavi un po’ meno certi. Lato investimenti, gli Identity Provider devono configurare il sistema seguendo le indicazioni dell’AgID. Lato ricavi, hanno due fonti di remunerazione: dagli utenti (dopo due anni il servizio potrà essere a pagamento in particolare per i servizi al terzo livello); dai Service Provider privati (qualsiasi azienda che aderirà a SPID pagherà gli Identity Provider per i servizi forniti), mentre per le Pubbliche amministrazioni il servizio sarà gratuito.

Quali Service Provider (Pubbliche Amministrazioni e attori privati) sono già attivi?

Le Pubbliche Amministrazioni sono un attore fondamentale per la diffusione del Sistema Pubblico di Identità Digitale e sono obbligate ad aderire a SPID entro la fine del 2017. Sono oltre 3.800 quelle attive a gennaio 2018, tuttavia sono poche quelle che hanno scelto SPID come metodo esclusivo per riconoscere nuovi utenti. Solo le PA che non avevano ancora investito in sistemi di identificazione esistenti si stanno infatti affidando a SPID come metodo esclusivo per riconoscere i cittadini, mentre le altre stanno affiancando SPID ai metodi di riconoscimento “tradizionali” già attivi.

Invece, non vi sono ancora Service Provider privati che hanno scelto di aderire a SPID.

Articolo 1 di 4