Danilo Cattaneo, CEO di Tinexta Infocert, ha ricordato sui giornali che nel 2024 il 90% degli accessi ai servizi digitali della Pubblica Amministrazione è avvenuto tramite SPID, circa 1,2 miliardi di accessi in un solo anno. Proprio questa settimana (il 28 luglio) lo Spid di Infocert diventa a pagamento, dal secondo anno di abbonamento.
Il dato dell’utilizzo conferma, senza mezzi termini, come SPID sia diventato l’ossatura dell’identità digitale italiana. Eppure, proprio ora che ne abbiamo più bisogno, il futuro di questo strumento come più volte annunciato dal sottosegretario Butti, sembra essere ad un bivio cruciale: continuare a sopravvivere con un canone annuo a carico dell’utente o morire.
Indice degli argomenti
Spid a pagamento? Il paradosso del successo: quando l’eccellenza non basta
SPID rappresenta un caso quasi unico nel panorama europeo per la sua combinazione di diffusione, efficacia e semplicità d’uso. In molti altri Paesi, i sistemi di identità digitale hanno incontrato ostacoli di natura tecnica, culturale o politica che ne hanno limitato l’adozione o la funzionalità.
Germania
In Germania, ad esempio, la funzione eID integrata nella carta d’identità elettronica è disponibile da oltre un decennio, ma la sua adozione è rimasta sorprendentemente bassa. A oggi, meno del 40% della popolazione ha attivato o utilizza regolarmente il servizio, a causa di procedure complesse per l’attivazione, strumenti tecnologici non sempre compatibili (come lettori di smart card o software dedicati), e una diffusa mancanza di consapevolezza tra i cittadini.
A questo si aggiunge una certa diffidenza culturale, molto presente in Germania, verso la digitalizzazione dei dati personali, accentuata da un approccio estremamente cauto alla sicurezza. La conseguenza è che l’eID tedesco, pur essendo formalmente disponibile, fatica a diventare una soluzione realmente utilizzata nella vita quotidiana.
Francia
La Francia, dal canto suo, ha avviato nel 2016 un sistema più pragmatico e orientato all’esperienza dell’utente: FranceConnect, una piattaforma federata che consente di autenticarsi presso oltre mille servizi pubblici e privati con credenziali già esistenti (come quelle fiscali o previdenziali). Questo modello ha permesso una diffusione ampia – oltre 37 milioni di utenti – grazie alla sua accessibilità e semplicità d’uso. Tuttavia, l’evoluzione del sistema verso un livello più elevato di sicurezza, attraverso FranceConnect+, ha introdotto nuove complessità. L’uso dell’identità digitale certificata di “La Poste”, la necessità di dispositivi compatibili, e il passaggio obbligato in alcuni casi da uffici fisici o procedure complesse per il riconoscimento, hanno generato numerose critiche da parte degli utenti, che lamentano difficoltà tecniche e una maggiore rigidità rispetto alla versione precedente.
Regno Unito
Nel Regno Unito, infine, l’ambizione di dotarsi di un sistema di identità digitale si è scontrata con forti resistenze politiche e sociali. Il progetto di carte d’identità elettroniche è stato avviato nei primi anni 2000, ma nel 2011 è stato ufficialmente abbandonato dal governo Cameron, che ne ha decretato la fine citando costi sproporzionati e preoccupazioni per la privacy. Alla fine, sono stati spesi circa 257 milioni di sterline, a fronte di una previsione di spesa decennale di 5 miliardi, senza che il sistema sia mai entrato davvero in funzione. Da allora, il Regno Unito ha preferito approcci più frammentati e orientati al mercato, senza un sistema pubblico centralizzato comparabile agli altri modelli europei.
La scelta italiana
In questo scenario, l’Italia si distingue per aver adottato una soluzione che coniuga governance pubblica e gestione privata, flessibilità e sicurezza, portando SPID a diventare il principale strumento di accesso ai servizi digitali della Pubblica Amministrazione. Il sistema ha dimostrato una notevole scalabilità, con decine di milioni di identità attivate, e una capillarità d’uso che lo rende accessibile anche ai cittadini meno digitalizzati. La sua architettura, basata su più gestori accreditati, ha inoltre favorito un equilibrio tra innovazione tecnologica, competitività del mercato e tutela dell’interesse pubblico. Come stima Cattaneo, le 20.000 pubbliche amministrazioni aderenti risparmiano collettivamente oltre 100 milioni di euro all’anno solo nella gestione delle autenticazioni online.
Eppure, questo successo nasconde una fragilità strutturale: i gestori privati hanno investito tra i 20 e i 30 milioni di euro dal 2014, recuperandone solo una frazione. Il contributo PNRR di 40 milioni, pur significativo, rappresenta una tantum che non risolve il problema della sostenibilità economica di lungo periodo.
Identità, l’illusione del “digitale gratuito” e il confronto con la CIE
È interessante notare come, nonostante la Carta d’Identità Elettronica sia stata già distribuita a 48,2 milioni di cittadini, essa abbia registrato nel 2024 solo 52 milioni di accessi annui, a fronte degli 1,2 miliardi di SPID.
Ma per quali motivi? Ovviamente non si hanno dati al riguardo, forse la ragione più profonda è che gli italiani vedono ancora la CIE come un documento da tenere nel portafoglio, non come una identità digitale. SPID invece è nato per essere usato online: non ha una dimensione fisica, esiste solo nel mondo digitale dove serve.
Poi SPID ha il vantaggio del primo arrivato, è nato digitale nel 2016, quando la CIE era ancora solo un documento fisico. In questi anni si è radicato nelle abitudini degli italiani e nell’infrastruttura della PA. È come WhatsApp: anche se esistono alternative tecnicamente superiori, ormai tutti lo usano e cambiare è più faticoso che continuare.
La forza della competizione: dietro SPID ci sono 12 gestori privati che competono per offrire il servizio migliore: help desk attivi da parte dei identity provider, app intuitive, procedure semplificate. La CIE invece è gestita centralmente dallo Stato con tempi e modalità tipicamente burocratici. Basta il pensiero che per rinnovare SPID bastano 10 minuti online, per rinnovare la CIE o ottenere una nuova CIE in caso di smarrimento, serve fare la fila in Comune.
È vero che l’introduzione di un canone potrebbe modificare gli equilibri attuali, ma parliamo di cifre irrisorie. Cattaneo nel suo intervento indica 6 euro l’anno – meno di due centesimi al giorno – ma anche se il costo salisse a 10 euro, resterebbe nell’ordine di un caffè al mese.
Un grande valore da Spid a pagamento, ecco perché
Una spesa irrisoria se consideriamo il valore concreto che SPID genera: ore risparmiate evitando file agli sportelli, montagne di carta non stampata, processi amministrativi velocizzati. Senza contare i costi indiretti che il sistema fa risparmiare alla collettività: meno impiegati allo sportello, meno archivi fisici da gestire, meno tempo perso in burocrazia.
In un’epoca in cui spendiamo tranquillamente 10 euro al mese per vedere serie TV o ascoltare musica in streaming, resistere a un contributo annuale equivalente per accedere digitalmente a tutti i servizi pubblici appare paradossale. È come se ci rifiutassimo di pagare l’abbonamento ai mezzi pubblici pretendendo che gli autobus continuino a circolare: prima o poi, il sistema collassa.
Un aspetto tecnico ma cruciale riguarda il riconoscimento europeo dei due sistemi.
- SPID è notificato ai sensi dell’articolo 9 del Regolamento eIDAS con tre livelli di garanzia: “basso”, “significativo” ed “elevato”. Questa gradualità è fondamentale perché permette di calibrare la sicurezza in base al servizio richiesto – non serve la stessa protezione per consultare alcune informazioni pubbliche ad accesso riservato (si pensi al catasto) o per accedere ai propri dati sanitari.
- La CIE, invece, ad oggi è notificata ai sensi del Regolamento eIDAS solo al livello “elevato”. Nella pratica, questo significa che gli utenti devono sempre affrontare la procedura più complessa – PIN, lettura del chip, verifica completa – anche per operazioni banali. È come dover usare una cassaforte per conservare gli scontrini del supermercato. E’ vero che la CIE attualmente può essere utilizzata anche con un livello di sicurezza “significativo” ma solo per l’accesso alle pubbliche amministrazioni italiane.
Questa rigidità penalizza l’esperienza utente e scoraggia l’utilizzo quotidiano della CIE. Mentre SPID, con la sua architettura modulare, può offrire un accesso semplificato quando basta (username e password per servizi base) e rafforzare la sicurezza quando serve.
In un contesto europeo dove l’interoperabilità diventerà sempre più importante, avere uno strumento flessibile che si adatta alle diverse esigenze non è un dettaglio tecnico, ma un vantaggio competitivo per cittadini e imprese italiane.
Spid e Cie: gestione delle informazioni e sicurezza
Un aspetto da tenere in considerazione riguarda la gestione dei log a cui l’identity provider può eventualmente avere accesso in occasione dell’utilizzo dell’identità digitale. Questo tema assume particolare rilevanza nel caso di SPID, mentre non si pone in relazione all’utilizzo della CIE.
La differenza è legata alla natura del prestatore: alcuni identity provider operano come soggetti “puri”, offrendo esclusivamente servizi di identificazione o fiduciari qualificati; altri, si pensi a TIM o Poste italiane, sono attivi anche in altri settori concorrenziali, prestando servizi analoghi a quelli di soggetti terzi che potrebbero anch’essi basarsi su SPID per l’identificazione dell’utente, ad esempio quelli di telefonia mobile o servizi finanziari. In questo secondo caso, si pone un potenziale rischio di conflitto di interessi: l’identity provider potrebbe avere visibilità su chi accede a determinati servizi digitali, acquisendo così — anche solo a fini statistici o di profilazione — informazioni rilevanti sul comportamento di utenti che sono, o potrebbero diventare, clienti di concorrenti. Per questo motivo, la questione merita un approfondimento specifico, al fine di valutare eventuali misure correttive volte a garantire un uso strettamente funzionale dei dati di accesso da parte dell’identity provider, in un’ottica di neutralità e tutela della concorrenza.
Un aspetto centrale nel dibattito tra SPID e CIE riguarda la sicurezza, tema su cui il sottosegretario Butti è intervenuto più volte sottolineando la maggiore robustezza della CIE rispetto al sistema SPID. Tuttavia, questa valutazione merita un approfondimento più articolato.
Quando si tratta di identità digitali, il monitoraggio costante dei processi e dei sistemi per identificare potenziali vulnerabilità è fondamentale. I rischi di frode o sostituzione di persona richiedono un’attenzione permanente, e le eventuali criticità devono essere affrontate tempestivamente attraverso il miglioramento delle procedure di attribuzione dell’identità digitale e l’aggiornamento dei protocolli di comunicazione. Ogni soluzione di identità digitale necessita di una manutenzione continua, una sorta di “tagliando” periodico per mantenere elevati standard di sicurezza e questo è prima di tutto un interesse proprio degli identity provider.
Infatti, se da un lato il progresso tecnologico può offrire nuovi strumenti ai malintenzionati, dall’altro rappresenta anche un’opportunità per gli identity provider di rafforzare la sicurezza delle proprie soluzioni, sempre nel rispetto della conformità alle normative europee e della usabilità delle soluzioni. Questa dinamica richiede però una certa cautela nelle affermazioni relative alla sicurezza informatica: l’evoluzione dei crimini informatici procede di pari passo con lo sviluppo e la diffusione delle tecnologie, rendendo quello che oggi consideriamo sicuro potenzialmente vulnerabile domani.
La percezione di maggiore sicurezza della CIE deriva principalmente dal fatto che essa opera esclusivamente con il livello di garanzia “elevato” secondo gli standard europei. Questa caratteristica, tuttavia, comporta anche una riduzione dell’usabilità in contesti a minor rischio, dove un livello di sicurezza inferiore potrebbe essere sufficiente e più pratico.
È importante precisare che in Italia la CIE può essere utilizzata anche con un livello di garanzia “significativo”, ma in questo caso funziona come sistema di identità nazionale piuttosto che europeo, non essendo ancora stata notificata con tale livello di sicurezza secondo il Regolamento eIDAS. Questa limitazione, unita al ridotto numero di accessi registrati, può determinare uno scarso interesse da parte degli utilizzatori, creando un circolo vizioso che ne limita l’adozione. La sfida consiste nel trovare il giusto equilibrio tra sicurezza e usabilità
Il futuro di SPID: dal dibattito ideologico alle soluzioni concrete
Il dibattito sul canone SPID rivela un problema più profondo: la difficoltà di comprendere il valore delle infrastrutture digitali pubbliche. Come nota giustamente Cattaneo, “gratuito non significa senza costo: significa solo che lo sta pagando qualcun altro”.
Invece di arenarci su posizioni ideologiche, possiamo trasformare questa sfida in opportunità attraverso l’approfondimento di modelli innovativi. Ad esempio, pensando ad un modello freemium differenziato: garantire l’accesso gratuito ai servizi essenziali – sanità, anagrafe, INPS – introducendo il canone solo per funzionalità avanzate o per chi supera una certa soglia di utilizzo. Chi accede a SPID una volta al mese per la ricetta medica non pagherebbe nulla; chi lo usa quotidianamente per servizi multipli contribuirebbe alla sostenibilità del sistema. Oppure valutando la deducibilità fiscale totale del canone: non un costo, ma un investimento che lo Stato restituisce ai cittadini digitalmente attivi, incentivando al contempo l’alfabetizzazione digitale del Paese.
Dal punto di vista della resilienza, mantenere più sistemi di identità digitale (SPID e CIE) è strategicamente vantaggioso. Un ecosistema diversificato protegge dai rischi del “single point of failure”: se un sistema subisce attacchi o interruzioni, gli altri garantiscono continuità.
La ridondanza non è solo backup, ma robustezza: sistemi diversi usano crittografia e protocolli differenti, rendendo improbabile che una vulnerabilità comprometta tutto simultaneamente. La competizione tra fornitori stimola inoltre innovazione continua.
L’Europa stessa ha adottato questa filosofia con eIDAS, prevedendo il riconoscimento di multiple soluzioni nazionali. Concentrare tutto su un unico sistema significherebbe rinunciare a flessibilità e capacità evolutiva.
Queste proposte dimostrano che esistono strade percorribili oltre il “tutto gratis” o il “tutti pagano”. SPID non è solo un sistema di autenticazione: è la prova che l’Italia, quando vuole, sa innovare e creare eccellenze tecnologiche riconosciute in Europa. Lasciarlo morire per una questione ideologica, rinunciando ai benefici di resilienza di un ecosistema plurale, sarebbe miope e autolesionista. Come afferma Cattaneo, se davvero consideriamo SPID un bene comune, dobbiamo trattarlo come tale: sostenendolo insieme, con intelligenza e pragmatismo, per garantirne il futuro. Perché un’infrastruttura digitale efficiente non è un lusso, ma la base su cui costruire il Paese dei prossimi decenni.
