Come è composto lo SPID: struttura, livelli e componenti spiegati
Indice
- Cos'è lo SPID e perché esiste
- I soggetti del sistema SPID
- I tre livelli di sicurezza SPID
- Come funzionano le credenziali SPID
- Gli Identity Provider: chi sono e cosa fanno
- Come ottenere lo SPID: guida pratica
- Errori comuni e troubleshooting
- FAQ sullo SPID
Introduzione
Hai mai aperto il sito dell'INPS, dell'Agenzia delle Entrate o di un qualsiasi sportello digitale della pubblica amministrazione e ti sei trovato davanti alla schermata "Accedi con SPID"? Probabilmente sì. Ma sai davvero come è composto lo SPID e come funziona il meccanismo dietro a quel pulsante?
Lo SPID, ovvero il Sistema Pubblico di Identità Digitale , è l'infrastruttura italiana che permette ai cittadini di autenticarsi online in modo sicuro e univoco. Non è semplicemente una password: è un sistema articolato, con più attori, più livelli di sicurezza e una governance ben definita.
Capire la sua struttura non è solo un esercizio teorico. Ti aiuta a scegliere il fornitore giusto, a usare il livello di accesso corretto e a risolvere problemi quando qualcosa non funziona.
In Italia, al 2025, lo SPID conta oltre 36 milioni di identità digitali attivate , rendendolo uno dei sistemi di identità digitale più diffusi in Europa. Il sistema è regolato dall' AgID (Agenzia per l'Italia Digitale) ed è conforme al regolamento europeo eIDAS che standardizza le identità digitali nell'Unione Europea.
In questo articolo scoprirai:
- Chi sono i soggetti coinvolti nel sistema SPID
- Cosa significano i tre livelli di sicurezza
- Come sono strutturate le credenziali
- Come funziona tecnicamente l'autenticazione
Cos'è lo SPID e perché esiste 🎯
Lo SPID nasce nel 2016 con l'obiettivo di risolvere un problema storico della pubblica amministrazione italiana: ogni ente aveva il suo sistema di accesso, con password diverse, procedure diverse e livelli di sicurezza incompatibili tra loro.
Lo SPID unifica tutto sotto un'unica identità digitale. Un solo set di credenziali per accedere a migliaia di servizi pubblici e privati.
Il sistema si basa su uno standard internazionale chiamato SAML 2.0 (Security Assertion Markup Language), lo stesso usato da sistemi enterprise in tutto il mondo. Non è una soluzione improvvisata: è un'architettura solida e collaudata.
💡 Curiosità: Lo SPID è interoperabile con i sistemi di identità digitale degli altri paesi UE grazie al nodo eIDAS italiano, gestito da AgID.
Schema dell'architettura SPID: i tre attori principali e le loro relazioni
I soggetti del sistema SPID 🖥️
La struttura di SPID coinvolge tre categorie di soggetti distinti. Capire il ruolo di ciascuno è fondamentale per capire come è composto il sistema.
AgID – L'autorità regolatrice
L'
Agenzia per l'Italia Digitale
è il soggetto istituzionale che:
- Definisce le regole tecniche e di sicurezza
- Accredita gli Identity Provider
- Supervisiona il funzionamento del sistema
- Gestisce il nodo eIDAS per l'interoperabilità europea
AgID non rilascia direttamente identità SPID ai cittadini. Stabilisce le regole e vigila sulla loro applicazione.
Identity Provider (IdP) – I fornitori di identità
Gli
Identity Provider
sono le aziende private accreditate da AgID che:
- Verificano l'identità del cittadino
- Emettono le credenziali SPID
- Gestiscono il processo di autenticazione
- Conservano i dati in modo sicuro
Ogni IdP deve rispettare standard tecnici e di sicurezza molto rigidi per ottenere e mantenere l'accreditamento AgID.
Service Provider (SP) – I fornitori di servizi
I
Service Provider
sono tutti i soggetti (PA e privati) che:
- Integrano SPID nei propri portali
- Richiedono l'autenticazione SPID agli utenti
- Ricevono dagli IdP solo i dati strettamente necessari
⚠️ Importante: Il Service Provider non vede mai le tue credenziali SPID. Riceve solo una "conferma" che sei chi dici di essere, firmata digitalmente dall'Identity Provider.
Il flusso di autenticazione: l'utente non condivide le credenziali con il sito che vuole usare
I tre livelli di sicurezza SPID ⚙️
Questa è una delle componenti più importanti e spesso meno compresa dello SPID. Esistono tre livelli di autenticazione, con requisiti di sicurezza crescenti.
Livello 1 – Username e password
Il
Livello SPID 1
richiede solo:
- Nome utente
- Password
È il livello più semplice e corrisponde a una normale autenticazione web. Nella pratica è poco usato, perché la maggior parte dei servizi pubblici richiede almeno il Livello 2.
Livello 2 – Autenticazione a due fattori
Il
Livello SPID 2
è il più diffuso. Richiede:
- Nome utente e password (primo fattore)
- Un codice OTP (One-Time Password) valido per pochi secondi (secondo fattore)
L'OTP può arrivare tramite:
-
App authenticator
(installata sullo smartphone)
-
SMS
al numero registrato
-
Token hardware
(un dispositivo fisico che genera codici)
Questo livello protegge anche in caso di furto della password: senza il secondo fattore, l'accesso è impossibile.
Livello 3 – Autenticazione con dispositivo fisico
Il
Livello SPID 3
è il più sicuro e richiede:
- Nome utente e password
- Un dispositivo fisico certificato (smart card, USB token, o altro hardware crittografico)
Questo livello è pensato per accedere a servizi che trattano dati sensibili o operazioni ad alto impatto (firme digitali qualificate, accessi a sistemi critici). Nella pratica è raro per l'utente comune.
| Livello | Fattori richiesti | Sicurezza | Uso tipico |
|---|---|---|---|
| SPID 1 | Solo password | Bassa | Quasi inutilizzato |
| SPID 2 | Password + OTP | Alta | Portali PA, INPS, AE |
| SPID 3 | Password + dispositivo fisico | Molto alta | Servizi critici |
✅ Best practice: Attiva sempre il Livello 2 fin dall'inizio. È quello richiesto dalla quasi totalità dei servizi e offre protezione reale contro gli accessi non autorizzati.
Come funzionano le credenziali SPID 💻
Le credenziali SPID sono composte da elementi specifici che variano leggermente tra i diversi Identity Provider, ma seguono sempre uno schema comune.
Username (identificativo utente)
L'
username
è un identificativo unico assegnato dall'Identity Provider. Solitamente è:
- Un indirizzo email
- Un codice alfanumerico generato automaticamente
- Un identificativo scelto dall'utente al momento della registrazione
Password
La
password
deve rispettare criteri di complessità definiti da AgID:
- Minimo 8 caratteri
- Combinazione di lettere maiuscole, minuscole, numeri e simboli
- Non può coincidere con il codice fiscale o altri dati personali
- Ha una scadenza periodica (di solito 180 giorni, varia per IdP)
Secondo fattore (per Livello 2)
Il secondo fattore è la componente più tecnica. Funziona con il protocollo TOTP (Time-based One-Time Password):
Algoritmo TOTP:
OTP = HMAC-SHA1(chiave_segreta, timestamp_corrente / 30)
In pratica: ogni 30 secondi viene generato un codice a 6 cifre unico, calcolato combinando una chiave segreta (registrata durante l'attivazione) con l'orario attuale. Questo codice è valido solo per quel preciso finestra temporale.
La schermata tipica di autenticazione SPID 2: username, password e codice OTP
🔧 Requisito tecnico: Per usare l'app authenticator, lo smartphone deve avere l'orologio sincronizzato correttamente. Un orologio sfasato anche di pochi minuti causa errori OTP.
Gli Identity Provider: chi sono e cosa fanno 📱
Al momento dell'attivazione dello SPID, devi scegliere un Identity Provider . Ogni IdP accreditato da AgID offre lo stesso prodotto (l'identità SPID), ma con modalità operative, prezzi e UX differenti.
I principali Identity Provider
Ecco i provider attualmente accreditati con le loro caratteristiche principali:
| Identity Provider | Metodo attivazione | Costo | Livelli supportati |
|---|---|---|---|
| Poste Italiane | Online, sportello, domicilio | Gratuito | 1, 2, 3 |
| Aruba | Online con webcam/CIE/firma | Gratuito | 1, 2 |
| Infocert | Online, sportello | Gratuito (base) | 1, 2, 3 |
| TIM | Online con CIE | Gratuito | 1, 2 |
| Namirial | Online con webcam | Gratuito | 1, 2 |
| Sielte | Online, sportello | Gratuito | 1, 2 |
| Register.it | Online con webcam | Gratuito | 1, 2 |
| Lepida | Online (solo residenti Emilia-Romagna) | Gratuito | 1, 2 |
💡 Suggerimento: Se hai già la CIE (Carta d'Identità Elettronica) e un lettore NFC, l'attivazione online con CIE è il metodo più rapido e non richiede alcun riconoscimento via webcam.
Cosa fa l'IdP durante l'autenticazione
Quando fai clic su "Accedi con SPID" su un sito, avviene questo flusso in pochi secondi:
- Il Service Provider invia una richiesta SAML al tuo IdP
- L' IdP mostra la schermata di login
- Inserisci le credenziali (e l'OTP se Livello 2)
- L' IdP verifica e genera un' asserzione SAML firmata digitalmente
- L'asserzione viene inviata al Service Provider
- Il SP verifica la firma e ti dà accesso
Tutto avviene tramite il tuo browser come intermediario, senza che le due parti si comunichino direttamente i tuoi dati sensibili.
Il flusso tecnico SAML 2.0: il browser fa da tramite tra SP e IdP
Come ottenere lo SPID: guida pratica ✅
Passo 1: Scegli l'Identity Provider
Vai sul sito ufficiale
spid.gov.it
e consulta la lista degli IdP accreditati. Scegli in base a:
- Metodo di riconoscimento disponibile (webcam, CIE, CAF, sportello)
- Disponibilità nella tua area geografica
- Preferenze personali (es. usi già Poste Italiane)
Dove:
spid.gov.it > Ottieni SPID > Scegli il tuo provider
Passo 2: Prepara i documenti necessari
Prima di iniziare, tieni a portata di mano:
-
Codice fiscale
(tessera sanitaria)
-
Documento d'identità
(CIE, passaporto o patente)
-
Email
attiva (quella che userai come username)
-
Numero di cellulare
attivo in Italia
-
Se hai CIE
: smartphone con NFC o lettore di smart card
⚠️ Attenzione: Il numero di telefono deve essere intestato a te. Alcuni provider lo verificano.
Passo 3: Registrazione online
Cosa fare:
- Accedi al sito del tuo IdP scelto
- Clicca su "Registrati" o "Ottieni SPID"
- Compila il form con i tuoi dati anagrafici
- Carica o inquadra il documento d'identità
- Completa il riconoscimento (webcam, CIE via NFC, o altro metodo)
Risultato atteso:
- Ricevi un'email di conferma con le istruzioni per finalizzare l'identità
Se non funziona:
⚠️ Se la webcam non viene riconosciuta, prova da un altro browser (Chrome o Firefox sono i più compatibili). Se il problema persiste, opta per il riconoscimento in ufficio postale o CAF.
Passo 4: Attiva il secondo fattore
- Scarica l'app del tuo IdP (es. PosteID, ArubaOTP, ecc.)
- Scansiona il QR code mostrato durante la registrazione
- L'app è ora collegata al tuo account SPID
Passo 5: Testa l'accesso
-
Vai su un servizio che supporta SPID (es.
inps.it) - Clicca "Entra con SPID"
- Seleziona il tuo Identity Provider
- Inserisci username, password e OTP
Risultato atteso: Accesso effettuato con successo al servizio.
Errori comuni e troubleshooting ⚠️
1. OTP non valido
Causa:
Orologio del telefono non sincronizzato
Soluzione:
Vai in
Impostazioni > Data e ora > Usa orario di rete
2. Password scaduta
Causa:
Le password SPID scadono periodicamente
Soluzione:
Usa il link "Password dimenticata" sul sito del tuo IdP per reimpostarla
3. "Utente non riconosciuto" sul Service Provider
Causa:
Il SP potrebbe richiedere attributi SPID specifici che non hai fornito
Soluzione:
Controlla se il SP richiede un livello SPID superiore a quello che stai usando
4. App authenticator scollegata
Causa:
Reinstallazione dell'app o cambio di smartphone
Soluzione:
Contatta il supporto del tuo IdP per rieseguire la procedura di collegamento
5. Identità SPID sospesa
Causa:
Mancato rinnovo dati o segnalazioni di sicurezza
Soluzione:
Accedi all'area personale del tuo IdP e segui la procedura di ripristino
FAQ sullo SPID
🤔 Domande frequenti
Posso avere lo SPID con più Identity Provider?
Sì. Puoi avere identità SPID attive con provider diversi contemporaneamente. Alcune persone lo fanno per avere un backup in caso di problemi con un provider.
Lo SPID scade?
Le credenziali (password) scadono periodicamente. L'identità SPID invece non scade, ma deve essere mantenuta aggiornando i dati se cambiano (es. documento d'identità scaduto).
Lo SPID è gratuito?
Il Livello 1 e 2 sono gratuiti con quasi tutti gli IdP. Il Livello 3, che richiede dispositivi hardware certificati, può avere costi per l'acquisto del token fisico.
Cosa succede se perdo lo smartphone con l'app OTP?
Contatta immediatamente il tuo Identity Provider per bloccare l'accesso e procedere con il recupero. Molti IdP offrono SMS come metodo alternativo di ricezione OTP.
Lo SPID funziona all'estero?
Sì, puoi accedere ai servizi SPID da qualsiasi paese. Grazie al nodo eIDAS, alcuni servizi europei riconoscono lo SPID come identità digitale valida.
Posso usare lo SPID per i servizi privati?
Sì. Oltre alla PA, molti soggetti privati (banche, assicurazioni, utilities) hanno integrato SPID nei propri portali.
Devo aggiornare i dati se cambio documento d'identità?
Dipende dall'IdP. Alcuni richiedono l'aggiornamento del documento, altri no. Verifica nella tua area personale del provider scelto.
Qual è la differenza tra SPID e CIE per accedere ai servizi online?
La CIE (Carta d'Identità Elettronica) con PIN può essere usata al posto di SPID su molti portali. Tecnicamente offrono lo stesso livello di sicurezza, ma richiedono strumenti diversi (lettore NFC per CIE). Lo SPID è più versatile perché accessibile via smartphone senza hardware aggiuntivo.
Conclusione
Lo SPID non è un semplice sistema di login. È un'infrastruttura complessa ma ben progettata, che bilancia sicurezza e usabilità attraverso:
- Una governance chiara con AgID come autorità centrale
- Identity Provider competitivi e accreditati che gestiscono le identità
- Tre livelli di sicurezza graduali, adatti a contesti diversi
- Uno standard aperto (SAML 2.0) che garantisce interoperabilità
Per la stragrande maggioranza degli utenti, il Livello 2 con app authenticator è la scelta ideale: sicuro, pratico e compatibile con tutti i servizi pubblici.
Se stai ancora rimandando l'attivazione dello SPID, questo è il momento giusto. In meno di 20 minuti puoi avere la tua identità digitale attiva e accedere a centinaia di servizi della PA senza code e senza carta. La procedura è semplice, gratuita e completamente online con quasi tutti i provider.
Hai dubbi sulla scelta del provider o hai incontrato problemi durante l'attivazione? Lascia un commento: siamo qui per aiutarti.
Risorse utili
Siti ufficiali:
-
spid.gov.it
– Portale ufficiale SPID con lista IdP e guide
-
AgID – agid.gov.it
– Agenzia per l'Italia Digitale, regolatore del sistema
-
eIDAS – digital-strategy.ec.europa.eu
– Regolamento europeo sulle identità digitali
Documentazione tecnica:
-
Regole tecniche SPID (AgID)
– Specifiche complete per sviluppatori e IdP
-
SAML 2.0 – Wikipedia
– Spiegazione dello standard alla base di SPID
App ufficiali degli Identity Provider:
-
PosteID
(Poste Italiane) – disponibile su App Store e Google Play
-
ArubaOTP
(Aruba) – disponibile su App Store e Google Play
-
InfoCert ID
(Infocert) – disponibile su App Store e Google Play