Pochi giorni fa l’Agenzia per l’Italia Digitale (Agid) e ciascun Identity provider (Gestori) hanno sottoscritto un “atto aggiuntivo” alla precedente convenzione SPID, valido fino ad almeno il 2027.
Indice degli argomenti
Nuova convenzione Spid tra Agid e Identity provider
Dalla lettura del documento ciò che si coglie è che non si tratta di un semplice aggiornamento burocratico, ma di una vera e propria roadmap che ridefinisce il ruolo dell’identità digitale nel panorama nazionale ed europeo. Di fatto trasforma un progetto legato al PNRR ad una infrastruttura permanente, da sistema relativamente chiuso a ecosistema aperto e wallet-ready. Come cambia SPID e perché queste scelte contano davvero.
La nuova architettura della convenzione spid: stabilità temporale e apertura al mercato
La prima novità sostanziale riguarda la durata della Convenzione: l’originario schema biennale (due anni rinnovabili per altri due) cambia completamente in quattro anni rinnovabili fino a 36 mesi (previo accordo scritto almeno tre mesi prima della scadenza). Questo il senso del passaggio testuale esplicito dell’atto aggiuntivo che sostituisce l’art. 11, comma 1 della Convenzione relativo alla durata. Nella Convenzione base l’orizzonte era infatti biennale rinnovabile con la stessa clausola di preavviso, oltre alla risoluzione della convenzione precedente e al collegamento con gli atti attuativi dell’art. 18-bis.
Questa stabilità temporale significa certezza degli investimenti per i Gestori: quattro anni sono il respiro minimo per pianificare roadmap su sicurezza, UX e compliance, ammortizzando i costi, orchestrando con PA e privati. Il rinnovo successivo fino a tre anni aggiunge flessibilità regolata, senza precipitare nel rinnovo “indefinito”. In breve: SPID non è più da considerare un “progetto PNRR”, ma un asset a ciclo lungo.
Ma la vera discontinuità riguarda l’apertura al mercato. Già la Convenzione base collocava SPID in un percorso evolutivo, richiamando l’interesse pubblico nel consolidamento del sistema e la sua progressiva evoluzione verso soluzioni di wallet nazionale ed europeo; soprattutto, sanciva che tali soluzioni fossero aperte agli operatori di mercato e che i Gestori potessero evolvere progressivamente il proprio ruolo. L’atto aggiuntivo non attenua questa traiettoria: la rafforza, integrandola con ulteriori garanzie e strumenti.
In concreto, in linea con il Regolamento eIDAS 2.0, si sancisce la coesistenza di wallet pubblici e privati in un quadro di pari valore legale. E’ quindi possibile l’accesso degli operatori privati ad attributi di natura pubblica (es. documenti, patente) lungo binari regolati, ponendo così le basi all’ecosistema interoperabile allineato al disegno regolamentare dell’EUDI Wallet, dove pubblico e privato co-innovano su basi paritarie
Il punto critico è evidente: “pari valore legale” significa pari affidabilità e pari verificabilità. Servono standard di interoperabilità chiari, test di conformità robusti e una governance multilivello (Agid, Dipartimento dell’innovazione, Garante privacy) per evitare frammentazioni nella implementazione.
Tre pilastri operativi della convenzione spid: sostenibilità economica, uso professionale e minori
Il vero nodo irrisolto degli ultimi anni era la copertura dei costi sostenuti dai Gestori per autenticazioni verso fornitori di servizi pubblici. L’atto aggiuntivo della convenzione Spid riscrive l’art. 10, comma 1 della Convenzione in modo chiarissimo: AgID si impegna a individuare la fonte di finanziamento, per tutta la durata della Convenzione, legata ai costi che i Gestori sostengono per gestire le autenticazioni verso servizi di natura pubblica.
Senza un meccanismo strutturale e prevedibile, la sostenibilità del circuito SPID rischia di reggersi su ricavi privati o su ristori saltuari – con effetti negativi su livelli di servizio, sicurezza e innovazione. Il nuovo impegno contrattuale chiude un buco che i Gestori segnalavano da tempo.
Nella Convenzione base, il quadro PNRR (Addendum 18-bis, riduzioni o revoche in caso di target mancati) era già dettagliato, ma si trattava di coperture legate al progetto e ai suoi obiettivi, non di un funding “di sistema” come quello ora sancito per le autenticazioni verso la PA. Del resto, gli accessi SPID ai sistemi della PA non sono solo un vantaggio per i cittadini, ma lo sono anche per le Pubbliche amministrazioni che diventano più efficienti: la digitalizzazione produce risparmi.
Le scadenze originarie fissate nella Convenzione base per l’uso professionale di SPID (tipo 3 e 4) erano ambiziose: 31.12.2023 per professionisti/intermediari; 1.7.2024 per persone giuridiche e incaricati/dipendenti. Adesso Agid deve emanare entro il 31.12.2025 specifici avvisi per abilitare l’accesso ai servizi destinati a professionisti, intermediari e dipendenti/collaboratori di imprese e PA mediante SPID ad uso professionale (tipo 3 e 4), oltre allo SPID di tipo 1, con abilitazione dal 1.7.2026.
Il realismo temporale offre più tempo per integrare ruoli, deleghe, audit e per adeguare i verticali di mercato. L’approccio modulare tramite avvisi consente sequenziamento e granularità settoriale, evitando il “big bang” che spesso genera deroghe o proroghe last minute. La coerenza con il quadro base è preservata: la spinta a un piano di comunicazione istituzionale e alla crescita delle Attribute Authority resta un pilastro per dare sostanza agli usi professionali (e non solo).
La Convenzione base già impegnava Agid ad assicurare la diffusione dell’identità digitale per i minori, con intese operative e attenzione al Registro Elettronico Scolastico, nonché alla definizione di garanzie e modalità con il Ministero competente. L’atto aggiuntivo allinea la tempistica all’anno scolastico 2025-2026 ribadendo che l’Agid opera d’ufficio (ai sensi dell’art. 18-bis CAD) per monitorare il rispetto dell’art. 64, comma 3-bis del CAD per l’accesso al Registro Elettronico Scolastico e altri servizi scolastici per minori.
Si passa così da una fase “pilota” a implementazione vigilata. È un ambito delicato (privacy, consenso genitoriale, responsabilità) che richiede linee guida operative univoche per scuole, famiglie e fornitori. Il monitoraggio d’ufficio riduce difformità territoriali e accelera l’adozione, a patto di dotarsi di template procedurali, informative privacy e metriche di audit condivise.
Sicurezza e interoperabilità dello spid
L’atto aggiuntivo innalza la sicurezza introducendo due novità concrete. Primo: un tavolo permanente mensile attivo dal 1° novembre 2025 per analizzare problematiche emergenti e definire contromisure/aggiornamenti dei regolamenti. Secondo: un sistema centralizzato operativo entro il 30 giugno 2026 che, dopo autenticazione CAD, fornisce all’utente un report sulle eventuali identità SPID associate al proprio codice fiscale.
La Convenzione base già imponeva ai Gestori obblighi informativi (esiti dei livelli di servizio, avvisi sull’uso delle credenziali, canali informativi), nonché la possibilità di richiedere ad Agid la sospensione di fornitori privati non conformi, a tutela della qualità complessiva del circuito. Le nuove misure si aggiungono a tale impianto, spostando l’asse verso una sicurezza partecipata: l’utente vede quante identità sono associate al suo CF e può attivare azioni correttive.
Il tavolo istituzionalizza il ciclo threat intelligence / policy update: cruciale contro phishing avanzato, SIM-swap, supply-chain attacks. Il report centralizzato è un game changer: trasparenza e early warning su anomalie identitarie; ma richiederà anti-enumeration, rate limiting, autenticazione forte e log granulari per ridurre la superficie di attacco.
Sul fronte dell’interoperabilità con i wallet, l’atto aggiuntivo introduce un equilibrio importante. La Convenzione base vietava l’uso di SPID, presso soggetti diversi dal gestore, per creare altre identità o sistemi di autenticazione (a tutela degli investimenti e della sicurezza del circuito).
L’atto aggiuntivo conferma il divieto ma introduce un’eccezione mirata: è possibile utilizzare SPID in combinazione con la prova di possesso della CIE per l’attivazione dell’IT Wallet pubblico o privato dello stesso Gestore, con verifiche periodiche almeno trimestrali; Agid assicura inoltre che l’uso delle identità digitali avvenga nel rispetto della normativa, linee guida e pareri del Garante.
È una scelta equilibrata: preserva SPID dal rischio di “fork” incontrollati (l’identità SPID non diventa materia prima per identità ombra in ecosistemi terzi), ma abilita la migrazione verso paradigmi wallet-centrici attraverso una valvola endogena, sicura, sottoposta a controlli periodici. Il requisito della CIE aggiunge un layer fisico-documentale che rafforza l’assurance, anche se non sarà facile da gestire da parte degli utenti che spesso hanno smarito le credenziali collegate alla CIE.
Alla base della scalabilità dei casi d’uso c’è la crescita del circuito delle Attribute Authority: la Convenzione base invita Agid a favorire l’adesione al circuito SPID di Attribute Authority pubbliche o private (albi, elenchi, registri) e a promuovere la sperimentazione di digitalizzazione di attributi/documenti (tessera sanitaria, patente), premessa naturale per i futuri wallet. È previsto anche un piano di comunicazione istituzionale per rassicurare tutti gli attori sulla centralità ed evoluzione di SPID, evitando dispersioni di valore informativo.
L’atto aggiuntivo porta in dote wallet e pari valore legale: questo è credibile solo se si investe in qualità dei dati e autorevolezza degli attributi. Le Attribute Authority sono il “tessuto connettivo” che trasforma l’identità in capacità transazionale; la comunicazione istituzionale è l’’abbrivio’ culturale per evitare confusione fra SPID, CIE e wallet nella percezione di PA, imprese e cittadini.
Spid rinnovato: un vantaggio per tutti
La sottoscrizione dell’atto aggiuntivo tra Agid e Gestori derivano vantaggi per tutti. Spid è lo strumento di accesso più utilizzato in Italia dai cittadini per “parlare” con la Pubblica amministrazione, spegnere Spid sarebbe stato folle.
Per i cittadini, le novità si traducono in più controlli sull’identità (report basato su CF), maggiore protezione grazie al tavolo permanente e alla vigilanza sugli usi scolastici per i minori. La gratuità del primo rilascio (livelli 1 e 2) resta garanzia di accessibilità. I percorsi wallet-ready aprono alla possibilità di attivare l’IT Wallet SPID + CIE presso il medesimo Gestore, con verifiche periodiche per minimizzare rischi di identity sprawl.
Le imprese beneficiano di SPID professionale con timeline realistica e attuazione per avvisi, che consente pianificazione settoriale e integrazioni graduali di ruoli/deleghe. Il mercato dei wallet aperto e con pari valore legale diventa abilitante per nuovi casi d’uso B2B e B2C, a condizione di conformità tecnica e legale coerente.
Le Pubbliche Amministrazioni ottengono percorsi chiari per l’accesso dei minori e monitoraggio d’ufficio (riduzione disallineamenti territoriali), strumenti di trasparenza che possono ridurre contenzioso e chiamate al supporto (l’utente vede e capisce), e migliore integrazione prospettica con il nascente ecosistema EUDI Wallet grazie all’eccezione SPID+CIE e al quadro anti-fork.
I Gestori acquisiscono certezza temporale (4+3 anni) e impegno sulla fonte di finanziamento PA: meno rischio-Paese, più capex su sicurezza/UX. Nuove linee di servizio: IT Wallet attivabile con SPID+CIE, SPID professionale per ruoli e deleghe; ma anche oneri aggiuntivi (tavolo, report centralizzato, audit).
Rischi da monitorare dopo la convenzione spid
Con l’apertura al mercato e ai wallet, serve una tassonomia di standard chiara e test di conformità omogenei; gli avvisi di Agid dovranno essere coordinati con linee guida e regolamenti per evitare interpretazioni divergenti e lock-in tecnologici. La base normativa consolidata (DPCM, CAD, eIDAS, GDPR) è un ancoraggio, ma la manutenzione regolatoria dovrà essere agile.
Tavolo mensile, report CF, scadenze professionali, minori: la curva è ripida. Gli impegni sulla fonte di finanziamento e i meccanismi PNRR pre-esistenti (piani di rientro, verifiche) attenuano il rischio, ma serviranno prioritizzazioni e milestone realistiche, con telemetria comune su progressi e criticità.
Il report basato sul CF è uno strumento potentissimo… quindi sensibile. Progettazione privacy-by-design, data minimization, cifratura end-to-end in transito e a riposo, hardening degli endpoint, rate limiting, alerting e segregazione dei log sono prerequisiti non negoziabili. Il testo prevede l’autenticazione tramite strumenti CAD: ottimo, ma servirà UX chiara su “cosa fare dopo” in caso di anomalie (sospensione, revoca, denuncia).
L’allineamento all’anno scolastico 2025-26 e il monitoraggio d’ufficio sono passi avanti; resta la necessità di linee guida operative su consenso, revoche, responsabilità e integrazione con il Registro Elettronico per evitare difformità e contenziosi anche guardando alla privacy dei minori.
Nuova convenzione spid: i punti chiave
L’atto aggiuntivo non è dunque mera cosmetica amministrativa.
È una ridefinizione strategica del ruolo di SPID nel medio-lungo periodo.
Il sistema passa da ‘progetto PNRR’ a infrastruttura nazionale a ciclo lungo, con stabilità temporale (4+3 anni) e finanziaria “di sistema” per le autenticazioni verso la PA, apertura controllata al mercato dei wallet ancorata a pari valore legale e a un’eccezione SPID+CIE che dovrebbe preservare il circuito ed evitare ‘fork’ incontrollati, governance della sicurezza più matura e partecipativa (tavolo mensile, report identità), e roadmap realistiche per SPID professionale e per i minori, con attuazione tramite avvisi e monitoraggio d’ufficio.
I rischi – frammentazione regolatoria, carico operativo, protezione del nuovo report, uniformità nelle prassi per i minori – sono gestibili se gli avvisi Agid saranno chiari, sequenziati e coerenti con le regole tecniche, e se l’impegno sulla fonte di finanziamento si tradurrà in meccanismi stabili e verificabili.
In tal caso, SPID non solo reggerà la transizione verso i wallet europei, ma potrà capitalizzare la base utenti e la fiducia costruita, evolvendo – finalmente – da programma temporaneo a architettura istituzionale del Paese digitale. Una trasformazione importante e fino a qualche settimana fa non scontata.
