Alcuni provider hanno deciso di far pagare il servizio SPID. Il che porta a una riflessione sul sistema di identità digitale statuale
Il sistema di identità digitale statuale sta attraversando una fase che si può definire di progressivo e deciso sviluppo delle identità digitali legali o forti. Oggigiorno, l’ecosistema complessivo è sostanzialmente caratterizzato dalla compresenza del Sistema pubblico di identità digitale (SPID) e della Carta di identità elettronica (CIE). In tale ecosistema, è in via di forte consolidamento l’identità digitale statuale unificata, imperniata sulla CIE rispetto allo SPID, quest’ultimo un mercato in via di evoluzione con la recente introduzione di canoni annuali a pagamento, da parte di provider come Aruba e InfoCert.
I dati relativi alla diffusione di queste due modalità di identificazione digitale supportano tale considerazione di fondo. Durante quest’anno, difatti, si è verificato uno storico sorpasso da parte della CIE, rispetto allo SPID. Al 2025, la prima ha superato il secondo in termini di utenti attivi, con 50 milioni di carte rilasciate, contro i 40 milioni di credenziali SPID attive. I dati mostrano una crescita esponenziale della CIE: le installazioni attive dell’app CieID sono passate da 5,3 milioni, a maggio 2024, ai 7,3 milioni, a maggio 2025, con un aumento del 37,7%.
Al contrario, SPID registra un rallentamento, anche dovuto alle maggiori vulnerabilità informatiche. La sicurezza informatica della CIE, difatti, è maggiore rispetto allo SPID, come dimostrano tre aspetti chiave:
a) Autenticazione obbligatoria di livello elevato, in quanto la CIE utilizza esclusivamente il livello 3, che combina possesso fisico della carta (con chip NFC), utilizzo del PIN (8 cifre) e verifica biometrica opzionale (impronte digitali). Al contrario, il 70% degli accessi SPID avviene con livelli 1 o 2 (solo password o OTP via SMS), più vulnerabili ad attacchi di phishing e brute-force.
b) Architettura centralizzata versus federata, poiché con la CIE, essendo gestita da un’autorità statale (rilasciata dal ministero dell’Interno e prodotta dall’Istituto poligrafico e zecca dello Stato), si riduce la superficie di attacco. SPID, invece si basa su 12 identity provider, permettendo in tesi una moltiplicazione delle vulnerabilità informatiche.
A solo titolo esemplificativo, dalle notizie di stampa, InfoCert sembra aver subito un data breach nel dicembre 2024 (5,5 milioni di dati rubati). Campagne di phishing mirate possono sfruttare domini falsi (es. agidgov.com) per sottrarre le credenziali degli utenti. Gli attacchi recenti confermano queste criticità: nel primo trimestre 2025, il CERT-AGID ha registrato diverse campagne malevole contro SPID. La CIE, grazie alla necessità di interazione fisica con la carta, risulta finora immune da simili vulnerabilità.
Difesa contro frodi e rischio del “doppio SPID”, in quanto la CIE elimina il rischio di identità multiple: ogni cittadino ha una sola carta, mentre SPID permette di attivare credenziali con più provider senza che attualmente siano possibili controlli incrociati. L’assenza di un registro centralizzato, difatti, permette a un utente di attivare credenziali SPID multiple con diversi provider, facendo uso degli stessi dati anagrafici.
Per quanto riguarda le tendenze all’utilizzo delle due modalità di autenticazione digitale si registra una costante riduzione del gap tra le stesse. Tuttavia, SPID mantiene un vantaggio proporzionale, dovuto al fatto di essere presente sul mercato da molto più tempo della CIE: nel 2024, ogni accesso CIE corrispondeva a 10 accessi SPID, sebbene il rapporto si stia riducendo (1:7 nel primo trimestre 2025). Questo divario è anche legato alla maggiore familiarità degli utenti con SPID e alla percezione di complessità della CIE, che richiede l’utilizzo di hardware specifico (smartphone NFC).
A livello di mercato dello SPID, si deve evidenziare il predominio di PosteID, di Poste Italiane, la quale controlla il 70% del mercato, con oltre 23 milioni di utenti, mentre Aruba e InfoCert rappresentano rispettivamente il 5% e il 4% (1,8 milioni ciascuno). La decisione di PosteID di mantenere la gratuità del servizio, a differenza di Aruba (4,90 €/anno) e InfoCert (5,98 €/anno), potrebbe ulteriormente accentuare questa disparità, spingendo gli utenti verso provider senza costi aggiuntivi.
Un ultimo aspetto che fa propendere verso un progressivo e deciso rafforzamento della CIE è l’integrazione con il portafoglio digitale nazionale IT-Wallet, lanciato a dicembre 2024, seppur è prevista anche un’autenticazione iniziale tramite SPID.
In conclusione, la transizione verso un modello a pagamento per SPID, almeno per alcuni provider, unita alla crescita strutturale della CIE, segna un punto di svolta per l’identità digitale in Italia. Mentre SPID continua ad affrontare sfide legate a sicurezza, frammentazione e sostenibilità economica, la CIE emerge come soluzione integrata, sicura e allineata alle politiche governative. In questo senso, la CIE rappresenterebbe il ritorno a una originaria garanzia statuale dell’identità digitale individuale.
L’integrazione con IT-Wallet e l’abbandono progressivo di SPID, potrebbe ottimizzare risorse e ridurre i rischi sistemici, se accompagnati anche da campagne di formazione per mitigare il digital divide tecnologico rivolto soprattutto alla popolazione anziana. In questo senso, si deve intendere la strategia di diffusione dei Punti Digitale Facile, distribuiti in maniera capillare su tutto il territorio nazionale (repubblicadigitale.gov.it), i quali rappresentano luoghi di facilitazione dove i cittadini possono ricevere assistenza per l’utilizzo autonomo e consapevole dei servizi digitali. I cittadini vengono, difatti, supportati e formati dai “Facilitatori”, i quali sono dipendenti pubblici oppure volontari del Terzo settore.
L’obiettivo strategico, dunque, è sostituire gradualmente lo SPID con la CIE, come evidenziato anche dalle dichiarazioni programmatiche del Sottosegretario di Stato alla Presidenza del Consiglio con delega all’Innovazione, Alessio Butti. Questo perché la CIE è l’unica identità digitale certificata dallo Stato.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
