Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

identità digitale

SPID (Sistema Pubblico di Identità Digitale), cos’è, a cosa serve e come creare un account

Tutto ciò che c’è da sapere su Spid, in un articolo continuamente aggiornato a cura degli Osservatori Digital Innovation del Politecnico di Milano. Come si fa a ottenere una identità digitale, stato dei servizi disponibili per utilizzarla e nodi da sciogliere.

1 giorno fa
Giorgia Dragoni

Researcher at Osservatori Digital Innovation - Politecnico di Milano

Luca Gastaldi

Direttore dell'Osservatorio Agenda Digitale Politecnico di Milano


SPID, il Sistema Pubblico di Identità Digitale, “ti permette di accedere ai servizi online della Pubblica Amministrazione con un’unica coppia utente – password”, come scrive il sito ufficiale.

Un sistema di credenziali – a cui si aggiunge anche una password temporanea da generare al momento via app o da ricevere via sms, per alcuni servizi – per “loggarsi” nei siti (o app) delle diverse amministrazioni pubbliche; invece di essere costretti ad attivare un account per ciascuna (cosa che richiede al solito un passaggio di persona a uno sportello).

Presentato come “la password pigliatutto”, obiettivo di SPID è quello di favorire l’offerta di servizi online per cittadini e persone giuridiche da parte di imprese e Pubbliche Amministrazioni. Un progetto ambizioso su cui AgID lavora dal 2014 e ha debuttato nel 2016.

SPID ha superato a marzo 2020 la quota di 6,3 milioni di identità rilasciate, con un tasso di crescita su base annua di circa il 60 per cento. Si è registrato infatti un incremento di circa un milione in soli 4 mesi (da novembre 2019).

Sono circa 50 milioni gli accessi ai servizi effettuati tramite SPID nel corso del 2019 (30 milioni nel 2018) e risulta in aumento anche il tasso settimanale di identità rilasciate, che oscilla tra le 40 e le 50mila.

E grazie al coronavirus si prevede un ulteriore un boom richieste: SPID infatti permette, tra le altre cose, di accedere a numerose misure di sostegno al reddito previste dal Decreto Cura Italia del 17/03/2020 a seguito dell’emergenza Covid-19, come per esempio l’indennità Inps da 600 euro o il bonus baby sitter.

Che cosa è SPID, Sistema Pubblico di Identità Digitale

SPID è il Sistema Pubblico per l’Identità Digitale promosso dall’AgID e quindi dal Governo, che permette a cittadini e imprese di accedere con un unico login a tutti i servizi online di pubbliche amministrazioni e imprese aderenti. SPID nasce per favorire la diffusione dei servizi online e agevolarne l’utilizzo da parte di cittadini e imprese.

SPID si basa su un modello federato e collaborativo di aziende private. I “gestori delle identità digitali” sono, infatti, aziende private accreditate dall’AgID per la fornitura dei servizi di identità digitale. Cittadini e imprese possono scegliere liberamente il proprio gestore di identità digitale preferito.

Il primo passo ufficiale dello SPID è stato mosso a fine 2014 con un provvedimento di attuazione, il decreto della Presidenza del Consiglio dei Ministri del 24 ottobre 2014. A metà 2015 sono stati emanati i regolamenti attuativi a dal 15 settembre 2015 è iniziato l’accreditamento degli Identity Provider all’Agenzia. Dal 15 marzo 2016 sono attivi i primi servizi.

I numeri di Spid

La consultazione del sito dedicato a SPID dal Team digitale e quello analogo di AgID ci dice che ad aprile 2020 le pubbliche amministrazioni attive sono poco più di 4 mila e 200 (numero praticamente fermo da dicembre 2017, obiettivo sarebbe sempre 10 mila nel 2020) e sono circa 6,3 milioni (contro i 5,5 milioni di fine 2019) le credenziali rilasciate dai nove gestori dell’identità abilitati. Sono invece 7 i fornitori di servizi privati che abilitano l’accesso a servizi online con SPID: tra questi, si trovano Lottomatica, Acquirente Unico, eVoloweb, Infocert e Namirial.

Il numero di identità SPID erogate ha subito negli anni una vistosa accelerazione in concomitanza delle azioni promosse dal Governo per incentivarne l’adozione: il reddito di cittadinanza richiedibile online solo via SPID; il programma 18app e il bonus docenti che possono essere ritirati solo con un’identità digitale; la conversione delle identità regionali della Lombardia in identità SPID.

L’effetto del Decreto di marzo 2020 che prevede la possibilità di richiedere via SPID i bonus da 600 euro o baby sitter sarà senza dubbio lo stesso: un boom delle identità digitali rilasciate nei mesi di marzo e aprile.

Guardando al dettaglio delle identità attiva, oltre il 61% sono state rilasciate a donne, solo il 3,55% a persone sopra i 65 anni e 1 milione 750 mila circa nella fascia d’età 18-24 anni (il 28% del totale).

Per le donne, appunto, è ipotizzabile la massa critica della richiesta di credenziali SPID da parte di personale docente; per i diciottenni è rilevante il numero dei richiedenti certamente incentivato dal contributo di 500 euro previsto dal programma 18app.

La crescita, segnalata dal sito del team digitale, è del 490% rispetto a gennaio 2017. Sono in aumento anche gli accessi ai servizi effettuati tramite SPID, che hanno raggiunto una quota di 50 milioni nel corso del 2019 (30 milioni nel 2018). È però da segnalare che alcune amministrazioni hanno attivato un solo servizio o servizi solo parzialmente fruibili online.

Come richiedere e attivare account SPID di identità digitale

L’identità digitale SPID è rilasciata dai Gestori di Identità Digitale (Identity Provider) che forniscono le identità digitali e gestiscono l’autenticazione degli utenti.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Richiedere, ottenere ed attivare un’identità digitale con SPID è molto semplice. Primo passo è andare al sito Spid.gov.it. Qui, per ottenere e attivare un’identità SPID l’utente deve farne richiesta al gestore, il quale, dopo aver verificato i dati del richiedente, emette l’identità digitale rilasciando le credenziali all’utente. Per richiedere l’identità digitale con SPID è necessario presentare un modulo di richiesta di adesione che contiene tutte le informazioni necessarie per l’identificazione del soggetto richiedente (nome, cognome, sesso, data e luogo di nascita, codice fiscale, estremi del documento di identità) e le informazioni per essere contattati (un indirizzo di posta elettronica – univoco per ogni identità SPID – e un recapito di telefonia mobile).

Fine modulo

L’autenticazione dell’utente può avvenire in presenza o a distanza.

1) L’autenticazione in presenza prevede l’esibizione di documentazione cartacea e moduli sottoscritti e può avvenire in due modi:

  • presso una sede fisica del gestore dell’identità;
  • a domicilio su appuntamento (ad esempio Poste Italiane offre la possibilità che un postino possa accertare l’identità direttamente a casa del richiedente), a pagamento (15 euro).

2) L’autenticazione a distanza può avvenire in quattro modalità:

  • “identificazione a vista da remoto tramite webcam”: un operatore verifica in una sessione audio/video con il richiedente l’identità tramite la presentazione dei documenti di identità e dichiarazioni del richiedente (a pagamento, 10-15 euro, salvo promozioni temporanee);
  • “identificazione informatica tramite documenti digitali di identità”: il richiedente viene identificato sulla base della verifica digitale di credenziali informatiche già in proprio possesso;
  • Con smart cart: come la CIE (Carta di Identità Elettronica 3.0) o la CNS (Carta nazionale servizi o tessera sanitaria abilitata);
  • Con firma digitale qualificata e token usb o smart card.

Quest’ultima soluzione è consigliata a utenti esperti.

A dicembre 2019 l’AgID ha reso ufficiale la notizia secondo la quale attivare SPID sarà gratuito per sempre (almeno per i livelli di sicurezza 1 e 2).

Quali attori e ruoli prevede SPID, e chi lo può utilizzare?

Lo SPID identifica differenti ruoli.

  • Gestori dell’identità digitale (o Identity Provider), sono imprese private accreditate allo SPID (ottengono la “licenza” da AgID) con il compito di identificare l’utente in modo certo, di creare le identità digitali, di assegnare le credenziali, di gestire gli attributi degli utenti. Essi inoltre, in qualità di gestori di servizio pubblico, forniscono i servizi a pubbliche amministrazioni e imprese private aderenti di identificazione degli utenti, garantendo la correttezza dell’identità digitale e la riservatezza delle informazioni. A marzo 2020 ci sono 9 Identity Provider attivi. Aruba, Infocert, Intesa, Lepida, Namirial, Tim, Poste – che ha attivato oltre l’80 per cento delle identità – Sielte, SpidItalia (Register).
  • Fornitori di servizi (o Service Provider) sono i soggetti privati e le Pubbliche Amministrazioni che erogano servizi online, per la cui fruizione è richiesta l’identificazione e l’autenticazione degli utenti. A marzo 2020, sono 7 i Service Provider privati che hanno iniziato a utilizzare l’identificazione SPID per far accedere ai propri servizi online i cittadini italiani (tra questi, Lottomatica, Acquirente Unico, eVoloweb, Infocert e Namirial).
  • Utente: persona fisica o giuridica, titolare di un’identità digitale SPID, che utilizza i servizi erogati in rete da un fornitore di servizi, previa identificazione informatica.
  • Agenzia è l’organismo di vigilanza che si occupa di gestire l’accreditamento e di monitorare i gestori dell’identità digitale e i gestori degli attributi qualificati.
  • Gestori di attributi qualificati sono soggetti che hanno il potere di attestare gli attributi qualificati su richiesta dei fornitori di servizi.

Un utente si registra al servizio tramite un Identity Provider che crea un’identità digitale e gli assegna le credenziali per il riconoscimento. L’utente può utilizzare la sua identità digitale per l’accesso ai servizi online offerti dai Service Provider, che sono collegati a tutti gli Identity Provider. Sarà compito dell’Identity Provider verificare la correttezza dei dati di login immessi dall’utenti e fornire al Service Provider solo gli attributi dell’utente strettamente necessari alla fornitura del servizio.

Quali i servizi abilitati attraverso SPID (Inps, Agenzia delle Entrate…)?

Sono molteplici i servizi della Pubblica Amministrazione a cui si può già accedere tramite Spid. Quelli dei servizi Inps (pensione, disoccupazione, iscrizione lavoratori domestici…), Agenzia delle Entrate (pagamento tasse, modello 730 pre compilato, cassetto fiscale, consultazione cud, CU, controllo situazione debitoria, versamenti fatti o da fare…) e Inail sono nazionali.

Alcuni servizi valgono solo per i cittadini di certe regioni e città, quindi fruibili solo da chi risiede in zone non digitalmente arretrate. Li si può cercare da qui: www.spid.gov.it/servizi.

Tra i servizi attivi: richiesta di certificati anagrafici online dal sito dal comune, pagamento della Tasi, consultazione contravvenzioni (e pagamento), ICI, Imu, sportello unico delle attività produttive; bollo auto e delle prestazioni sanitarie; accesso al fascicolo sanitario elettronico, cambio medico online, ritiro referti online.

A questi servizi si aggiungono tutti i servizi per le persone giuridiche e i liberi professionisti.

La maggior parte dei servizi abilitati sono quelli con un “livello di sicurezza 2”, solo utente e password statica. Ci si attende un maggior sviluppo dei servizi con “livello di sicurezza 3” (con password temporanea).

Da febbraio 2019, SPID è anche il solo modo per richiedere online il Reddito di Cittadinanza. Da marzo 2020, inoltre, grazie a SPID è possibile accedere a indennità e bonus previsti dal decreto governativo per il contrasto alla pandemia da Coronavirus.

Dal punto di vista professionale, sono online da novembre 2019 le “Linee guida per il rilascio delle identità digitali per uso professionale” di AgID. SPID è diventato quindi anche uno strumento che consente alle pubbliche amministrazioni e ai privati di verificare l’appartenenza di una persona fisica ad un’organizzazione e/o la sua qualità di professionista.

Infine, da marzo 2020 è possibile firmare documenti online, come atti e contratti, attraverso SPID con lo stesso valore giuridico della firma autografa.

Ecco l’elenco completo servizi disponibili con SPID:

  • Agricoltura, pesca, silvicoltura e prodotti alimentari
  • Finanziamenti
  • Invio e richiesta documenti
  • Iscrizione a servizi
  • Servizi INAIL
  • Servizi di Certificazione e Autocertificazione
  • Visure, controllo e consultazione dati
  • Ambiente
  • Edilizia
  • Invio e richiesta documenti
  • Portali del cittadino
  • Servizi INAIL
  • Servizi di pagamento, controllo pagamenti, tasse e tributi
  • Visure, controllo e consultazione dati
  • Economia e finanze
  • Anagrafe
  • Fatturazione elettronica
  • Finanziamenti
  • Richieste e prenotazioni
  • Servizi INAIL
  • Servizi INPS
  • Servizi Sociali e della Comunità
  • Servizi di Certificazione e Autocertificazione
  • Servizi di pagamento,
  • controllo pagamenti,
  • tasse e tributi
  • Servizi per le famiglie
  • Utilità
  • Visure, controllo e consultazione dati
  • Giustizia, sistema giuridico e sicurezza pubblica
  • Servizi INPS
  • Utilità
  • Governo e settore pubblico
  • Anagrafe
  • Edilizia
  • Finanziamenti
  • Invio e richiesta documenti
  • Iscrizione a servizi
  • Portali del cittadino
  • Richieste e prenotazioni
  • SUAP Sportello Unico Attività Produttive
  • Servizi INAIL
  • Servizi INPS
  • Servizi Sociali e della Comunità
  • Servizi di Certificazione e Autocertificazione
  • Servizi di avvisi e notifiche
  • Servizi di pagamento, controllo pagamenti, tasse e tributi
  • Servizi per dipendenti pubblici
  • Utilità
  • Visure, controllo e consultazione dati
  • Istruzione, cultura e sport
  • Finanziamenti
  • Invio e richiesta documenti
  • Iscrizione a servizi
  • Richieste e prenotazioni
  • Servizi Audio, Video e Multimediali
  • Servizi INAIL
  • Servizi INPS
  • Servizi Scuola e Università
  • Servizi di pagamento,
  • controllo pagamenti,
  • tasse e tributi
  • Servizi per le famiglie
  • Visure,
  • controllo e consultazione dati
  • Popolazione e società
  • Anagrafe
  • Edilizia
  • Finanziamenti
  • Invio e richiesta documenti
  • Servizi Sociali e della Comunità
  • Servizi di Certificazione e Autocertificazione
  • Servizi di avvisi e notifiche
  • Servizi di connettività pubblica
  • Servizi per le famiglie
  • Visure, controllo e consultazione dati
  • Regioni e città
  • Invio e richiesta documenti
  • Salute
  • Anagrafe
  • Fascicolo Sanitario Elettronico
  • Servizi INAIL
  • Servizi INPS
  • Servizi Sanitari
  • Scienza e tecnologia
  • Servizi INAIL
  • Trasporti
  • Invio e richiesta documenti
  • Servizi INAIL
  • Servizi di Certificazione e Autocertificazione

Quali sono i veri vantaggi di SPID?

I Service Provider che aderiscono allo SPID, sia Pubbliche Amministrazioni sia imprese private, possono disporre di un parco utenti senza censirli, non avranno gli oneri derivanti dalla conservazione dei dati personali, non dovranno preoccuparsi di evitare attacchi volti al furto delle credenziali. Inoltre, i Service Provider possono avere profili con un’identità certa, eliminando i cosiddetti “falsi profili”, ed univoca, eliminando i duplicati.

L’obiettivo del legislatore è quello di incentivare la nascita di nuovi servizi pubblici digitali, permettendo così l’accesso online a servizi finora disponibili solo allo sportello.

Per gli utenti, SPID consente di semplificare la vita di cittadini e imprese nell’interazione con la Pubblica Amministrazione e con i fornitori di servizi privati, permettendo di accedere a un ampio range di servizi online grazie ad un unico login. Il sistema garantisce la massima sicurezza e privacy. SPID assicura la massima riservatezza dei dati ed è pensato proprio per aumentare la trasparenza sulla gestione dei propri dati ed erogare servizi secondo il principio dei dati minimi. Il Service Provider non può conservare i dati dell’utente che riceve dall’Identity Provider ed è assolutamente vietata la tracciatura delle attività di un individuo.

Quanto costa l’identità digitale con SPID?

Per gli utenti, è stato stabilito da AgID che SPID sarà gratuito per sempre (per i livelli 1 e 2 di sicurezza). Gli Identity Provider possono mettere a pagamento i servizi aggiuntivi (ad esempio l’autenticazione da remoto). Il tema dei costi e in generale del business model è il più delicato.

Per le Pubbliche Amministrazioni SPID è gratuito e continuerà ad esserlo.

Per i Service Provider privati, SPID è invece a pagamento e prevede che gli Identity Provider vengano pagati per l’utilizzo del servizio. Il modello di pricing è stato definito a giugno 2019 secondo una logica di tipo “pay per user” ed è uniforme tra i Service Provider; non vi sarà quindi competizione sul prezzo dei servizi core, ma su eventuali servizi aggiuntivi che potranno essere offerti.

Per gli Identity Provider, SPID è un investimento nella fase di avvio del servizio (infrastruttura tecnologica, accreditamento all’Agenzia, etc.), un costo per l’autenticazione degli utenti e un costo per la gestione delle identità. I ricavi per coprire i costi potranno quindi provenire dai Service Provider privati e dagli utenti in caso di servizi con livello di sicurezza 3.

Quali i livelli di sicurezza per la propria identità digitale?

Il modello SPID per il Sistema Pubblico di Identità Digitale prevede 3 livelli di sicurezza.

  • Livello 1 (userID e password) garantisce con un buon grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio moderato e compatibile con l’impiego di un sistema autenticazione a singolo fattore, ad es. la password; questo livello può essere considerato applicabile nei casi in cui il danno causato, da un utilizzo indebito dell’identità digitale, ha un basso impatto per le attività del cittadino/impresa/amministrazione. Per il livello 1 la credenziale sarà dunque una password di almeno 8 caratteri, da rinnovarsi ogni 180 giorni, formulata secondo i consueti criteri di sicurezza.
  • Livello 2 (userID, password + ulteriore fattore di autenticazione) garantisce con un alto grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio ragguardevole e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori non necessariamente basato su certificati digitali; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’identità digitale può provocare un danno consistente. Per il livello 2, oltre alla password sarà necessario inserire il codice proveniente da un dispositivo a chiave variabile (c.d. One Time Password) che potrebbe essere anche un’applicazione sul cellulare.
  • Livello 3 (userID, password + ulteriore fattore di autenticazione basato su certificati digitali) garantisce con un altissimo grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio altissimo e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori basato su certificati digitali e criteri di custodia delle chiavi private su altri dispositivi; questo è il livello di garanzia più elevato e da associare a quei servizi che possono subire un serio e grave danno per cause imputabili ad abusi di identità; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’ identità digitale può provocare un danno serio e grave.

Chi sono gli identity provider nello SPID?

Gli attori che possono assumere il ruolo di Identity Provider sono molteplici (banche, operatori di telefonia mobile, certification authority, fornitori di soluzioni IT) e giocano un ruolo fondamentale nel decretare il successo del sistema perché portano in “dote” allo SPID il proprio bacino di utenti potenziali. Ad oggi, aprile 2020, sono nove gli Identity Provider che hanno richiesto e ottenuto la certificazione da parte dell’AgID: Aruba, Infocert, Intesa (Gruppo Ibm), Lepida, PosteItaliane (PosteID), SielteID, Telecom Italia Trust Technologies, Namirial, Register.it.

La condizione ottimale è che il numero di Identity provider sia sufficientemente elevato per raggiungere il maggior numero di utenti, e contemporaneamente limitato per minimizzare il numero di relazioni tra Service Provider e Identity Provider.

È importante sottolineare che per gli Identity Provider gli investimenti sono certi, mentre i ricavi un po’ meno certi. Lato investimenti, gli Identity Provider devono configurare il sistema seguendo le indicazioni dell’AgID. Lato ricavi, hanno due fonti di remunerazione: dagli utenti, relativamente ai servizi al terzo livello di sicurezza; dai Service Provider privati (qualsiasi azienda che aderisce a SPID pagherà gli Identity Provider per i servizi forniti), mentre per le Pubbliche amministrazioni il servizio sarà gratuito.

Quali Service Provider (Pubbliche Amministrazioni e attori privati) sono già attivi?

Le Pubbliche Amministrazioni sono un attore fondamentale per la diffusione del Sistema Pubblico di Identità Digitale e sarebbero state obbligate ad aderire a SPID entro la fine del 2017 (ma senza sanzioni). Sono poco più di 4 mila quelle attive ad aprile 2020, tuttavia sono poche quelle che hanno scelto SPID come metodo esclusivo per riconoscere nuovi utenti. Solo le PA che non avevano ancora investito in sistemi di identificazione esistenti si stanno infatti affidando a SPID come metodo esclusivo per riconoscere i cittadini, mentre le altre stanno affiancando SPID ai metodi di riconoscimento “tradizionali” già attivi.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

Ad aprile 2020, inoltre, sono 7 i service provider privati attivi. Tra questi, sono già noti i nomi delle 5 aziende che hanno già terminato la procedura di autorizzazione con AgID e abilitato l’accesso a servizi in rete con SPID: Lottomatica, Acquirente Unico, eVoloweb, Infocert e Namirial.

Articolo 1 di 4