Domande Frequenti (FAQ) su

(A cosa serve SPID, come è fatto e perchè,
spiegato alla mia famiglia)

Aggiornamenti:
Luglio 2022: aggiunte mail storiche e domanda su deleghe
Dicembre 2022: aggiunte varie
Maggio 2023: precisazioni e aggiunta su wallet europeo
Luglio 2023: informazioni su usabilità
Agosto 2023: approvazione eIDAS e wallet

A cosa serve questa guida/FAQ? (qui la versione in PDF)

Nel 2013 fui eletto in parlamento e proposi il sistema che oggi è SPID.

Mia moglie ha pensato di farsi un account SPID per accedere al fascicolo sanitario e qualche altro servizio. Mi ha chiesto di spiegarle come funziona e il perché di certe cose che le sembravano complicazioni inutili (ad esempio perché usare un generatore di codici sul cellulare – “autenticazione a due fattori”).

Dopo che le ho spiegato tutto, rispondendo alle sue domande, ho provato a vedere online se c’era una simile guida/FAQ e non ho trovato nulla che rispondesse a tutto.

E allora, di getto, ho scritto queste FAQ che ho integrato anche con qualche domanda giuntami su twitter. (se avete altre domande, scrivetele pure nei commenti).
Spero vi sia utile!

Stefano Quintarelli (vai al blog)

29 thoughts on “FAQ su SPID, da chi l’ha inventato”

  1. Buongiorno e grazie per queste FAQ

    Segnalo un minuscolo errore di battitura:
    Una *orima* ragione riguarda la tenuta del sistema (nella risposta alla domanda “Perché ci sono tanti fornitori di servizi di autenticazione? Perché anche privati?”)

  2. Un risultato impressionante considerato che nasce da una geniale intuizione di un singolo, quasi casualmente “prestato” alla politica e con uno sforzo di volontà e collaborazione di individui dotati di mentalità aperta e sincero spirito di servizio. Ispirato poi a principi costituzionali spesso ignorati o trascurati. Grazie Quinta

  3. Una cortesia, non ho trovato una risposta chiara, forse negligenza mia nel cercare.
    Nel caso di persona invalida al 100% l’amministratore di sostegno nominato può e se sì come può richiedere uno SPID o una delega sul proprio SPID a operare per conto di quella persona?
    Grazie

    1. Stefano Quintarelli

      non ho idea come si faccia, ma è un caso che va affrontato e risolto, se non è stato fatto.
      la strada giusta per questo tipo di quesiti e’ mandare una PEC all’AgiD all’attenzione del Comitato di Indirizzo

    2. Grazie della domanda Matteo,
      avrà modo di indirizzarmi la risposta a questo quesito?

      Già solo il fatto che non vi è modo di contattare AgiD senza PEC, che non vi è un indirizzo generico (tipo info@agid.gov.it) né una lista di referenti della divisione è” impensabile”

  4. Sull’origine dei principi e delle soluzioni tecniche su cui si basa SPID, avendo tu citato il prof. Osnaghi e Massimiliano Pianciamore, bisogna dare atto e ricordare che nel 2001 venne varato il progetto PEOPLE che per primo conteneva l’idea di un sistema di identità “federato” e nel 2005 venne scritta da Pianciamore e Osnaghi la specifica del sistema SIRAC (Servizi Infrastrutturali di Registrazione Autenticazione e Comunicazione) basato su SAML 1.1.
    In Regione Lombardia ne facemmo riuso e creammo il sistema IdPC, sistema di gestione delle identità “federato” per le CNS, che andò live ad aprile 2006.
    A seguire le regioni fecero il progetto “inter-regionale” ICAR in cui il layer INF3 era un IdP basato su SAML 1.1 da cui poi nacquero diversi sistemi quali Federa di Regione Emilia Romagna ed altri.
    Nel 2012 all’interno delle regioni italiane c’era una esperienza ormai di molti anni sulla gestione di sistemi per l’identità “federata” basata su SAML.
    L’idea di “accreditare” soggetti privati a cui delegare il ruolo di IdP è la vera novità dell’ìmpianto di SPID, ma dal punto di vista tecnico era quasi tutto già stato fatto.
    Un abbraccio
    Daniele Crespi

    1. Stefano Quintarelli

      non solo.
      andai a cercare Sandro proprio per questo.
      ci sono alcune differenze nei dettagli (non tecnologici) di cui discutemmo.
      imparare dal passato e da chi ne sa più di te è sempre cosa buona…
      🙂

  5. L’unico aspetto che è restato fallimentare dell’architettura SPID è quello dei gestori di attributi qualificati, non è casuale che l’accesso alla pagina di indice
    https://registry.spid.gov.it/api/attribute-authorities generi un bell’errore. La mancanza di gestori di attributi qualificati la dice lunga sulla capacità di erogare servizi delle pubbliche amministrazioni. Certificare un attributo richiede non solo capacità tecnologiche (che si possono anche comperare all’esterno) ma anche un rigoroso controllo dei processi di produzione del dato (e qui casca l’asino).
    Alla tua breve lista di possibili gestori aggiungo un’auspicabile estensione:
    * Le Camere di commercio potrebbero certificare il ruolo di un soggetto in una azienda
    * Le PA potrebbero certificare i ruoli negli organi di governo e nell’organigramma

    1. Stefano Quintarelli

      questo è un problema di uovo e gallina al cubo…
      non puoi dire che sia fallimentare l’architettura semplicemente perche’ non ci sono ancora. (e quindi le -scarsissime- risorse e l’attenzione sono concentrate su altro, soprattutto in tempi straordinari come gli anni di covid e di predisposizione al pnrr)
      sarebbe come dire che e’ fallimentare aver previsto le finestre perche’ non ci sono i serramenti.
      arriveranno…
      certamente il nocciolo della qualità del dato non mi sfugge. ma l’alternativa è non fare.
      rendere il dato disponibile all’utente (secondo me importante il wallet – secondo framework – SSI in mano all’utente, collegato all’IdP) consente di mitigare gli effetti della bassa qualità dei dati, nel contempo non alterando equilibri di potere (che sono più ostici da modificare ch enon la bonifica dei dati, che comunque nel tempo andra’ fatta; sara’ un processo lungo che convergerà verso la correttezza – sapendo che non sarà mai 100%)
      i due esempi che citi sono attribute provision, per l’appunto.

  6. Buonasera! Dopo aver letto questa pagina di FAQ su SPID mi sono sorti alcuni dubbi sul grado di effettiva sicurezza del sistema SPID.
    In particolare leggo qui:

    https://blog.bit4id.com/spid-il-gestore-dell-identita-digitale/.

    che le condizioni per “accreditarsi” come gestori dell’identità digitale sono proibitive dal punto di vista sia economico che strutturale, e soprattutto non prevedono la partecipazione di alcuna realtà no profit al gioco.

    Perché ritengo che questo sia un problema?

    Fermo restando che l’unico database sicuro al 100% è quello che sta offline, come seconda istanza, il fatto di poter creare un proprio server di identificazione permetterebbe ai cittadini di ritirare l’accesso ai propri dati in qualsiasi momento se ritenesse che la PA o l’identity provider non sia più degno di fiducia. Attualmente, invece, il meccanismo di controllo mi pare si basi sulla legge ordinaria, col risultato di necessitare tempi e costi tali da scoraggiare la maggioranza dei cittadini.

    Per essere chiaro, quella che sto auspicando è un’architettura simile al progetto Solid di Tim Berners Lee o al Fediverso.
    Mancando questa possibilità, il rischio è che il sistema SPID finisca per promuovere ancora la cessione del controllo sui dati, in stile Web2.0.

    Aveva pensato a questo problema in fase di design?

    Se no, pensa sia possibile/desiderabile un’evoluzione di SPID in questo senso?
    Grazie.

    1. Stefano Quintarelli

      Quell’articolo è datato. I requisiti sono cambiati. Comunque deve essere soggetto pubblico o società di capitali
      https://duckduckgo.com/?q=MODALIT%C3%80+PER+L%E2%80%99ACCREDITAMENTO+E+LA+VIGILANZA+DEI+GESTORI+DELL%E2%80%99IDENTITA%E2%80%99+DIGITALE++site%3Aagid.gov.it&t=newext&atb=v294-1&ia=web
      Il requisito del capitale sociale elevato è venuto meno a seguito di un ricorso.

      L’utente SPID puo’ sempre sospendere o revocare il proprio account direttamente dal sito del gestore che aveva scelto.

      Solid e Mastodon sono cose molto diverse…Pero’ l’insieme degli IdP e’ una federazione.

      Qui non c’è alcuna cessione di dati. Ci sono sanzioni pesantissime (e anche reati) e ci sono tre soggetti indipendenti che verificano: AgiD, il garante privacy e la magistratura.

  7. Paolo Marchiori

    Riporto qui da un rapido scambio su Twitter la Grande Domanda che scaturisce dalla tua osservazione: “SPID non è come avrei voluto io, ma è il miglior compromesso possibile. Compromesso, in democrazia, è una parola alta.”

    Come lo avresti voluto – terminologia (cfr. primo commento) a parte?

    1. Stefano Quintarelli

      dal punto di vista tecnico avrei voluto subito un wallet associato ad ogni identità digitale (tipo oggi SSI), ed un servizio – tipo dns – di discovery di quali IDP possono autneticare il tuo CF.
      avrei preferito che fosse IDP originated e non SP originated. Ovvero: fai login al tuo IDP, e li’ c’e’ una directory di servizi e da li’ accedi. questo avrebbe contribuito ad una migliore sostenibilità economica nel tempo.
      poi avrei voluto che una identità digitale potesse essere creata non solo con un procedimento di KYC e con CIE ma anche un’altra identità digitale. (facilita la concorrenza che cosi’ spinge a migliorare i servizi) e che il generatore OTP potesse fornire anche altri servizi fiduciari (firma, conservazione, recapito…)
      e altre cose minori…

  8. Da cittadino sono abbastanza soddisfatto del sistema, sono anche riuscito a insegnare come si usa ai miei genitori (che hanno una certa età e non sono molto avezzi alla tecnologia), lo trovo molto comodo, ma questo è forse anche influenzato dal fatto che sono nato durante la bolla del dot-com.

    L’unica critica riguarda la generazione dei codici OTP. Dal punto di vista di un utente normale, per esempio i miei genitori, non ci sono problemi con l’applicazione fornita dal provider, ma da un punto di vista di un utente più “informatico” è una vera scocciatura avere un’applicazione proprietaria limitata ai soli sistemi Android (e spesso non tutte le sue varianti come la LineageOS) e iOS. Il motivo è che i provider usano lo stesso standard TOTP e basta avere un’applicazione che genera OTP qualsiasi. Secondo me si doveva fornire la possibilità al cittadino di usare o l’applicazione proprietaria del provider o un’applicazione che genera OTP di terze parti. È vero che ci sono metodi di reverse engineering[0] per fare in modo di evitare di usare l’applicazione, ma sono metodi di appannaggio solo per chi sa la materia in questione, cioè in pochissimi.

    [0]: Un esempio è questo articolo in cui vengono analizzati alcuni provider, io personalmente sono riuscito a fare lo stesso con un altro provider non citato nell’articolo: https://blog.jacopo.io/it/post/spid-google-authenticator/

  9. Intanto Grazie.
    Grazie per essere riuscito a rendere reale un sistema, di fondo “semplice”, efficente ed efficace alla portata di tutti.
    C’è un ma… e non è un ma personale ma “diffuso” in alcuni utilizzatori di SPID: se io lavoro per un’azienda privata e devo accedere per lavoro a dei servizi, perché devo usare il mio spid personale non posso averne uno aziendale? Perché mica voglio che i miei dati personali (leggasi fasciolo sanitario) possano essere letti in caso di furto di credenziali!
    Pur provando a spiegare che non è il SP, ne tanto meno l’azienda che autentica l’utente e, con tutti i miei limiti, provando a spiegare che lo SPID identifica sempre la persona fisica, al limite associata alla persona giuridica (SPID di tipo 3), ma ci sono persone che insistono che dovrebbe essere l’azienda a fornire uno SPID di tipo 2 (che non mi pare trovi applicazione in nessun SP) o di tipo 4 (che in ogni caso identifica la PF e anche la PG, ma non solo la seconda e in ogni caso nessun SP attualmente lo prevede).
    Siccome insistono, anche sul potere di delega rispetto all’uso di SPID professionale, e io continuo a provare a spiegare che in ogni caso è il SP che decide come e chi si deve e può autenticare, al limite inibendo l’accesso agli utenti “non professionali” o inibendo l’accesso agli altri, adducendo fantomatici problemi di responsabilità legale nell’uso di SPID personale per cose di laoro (ps persone che spesso usano la propria patente per guidare auto aziendali…), come posso fare compredere in modo “for dummies” che la loro “convinzione” non trova fondamento, o meglio che il sistema è tale per cui lo SPID è “analogo” all’uso di una documento fisico atto a riconoscere una persona, che magari in quel preciso momento svolge attività lavorative per un’azienda?

    Spero di essere stato chiaro e spero che possa derimere questo dubbio di alcuni.

    Grazei ancora

    1. Stefano Quintarelli

      personalmente non sono d’accordo sulla differenziazione SPID per persona fisica e per persona giuridica.
      è stata una scorciatoia dettata dalla mancanza, al momento, della possibilita’ di delega.
      non potendo delegare accessi in azienda (dall’AD a un collaboratore, per esempio), si e’ pensato di fare delle credenziali “aziendali” che potessero essere date al collaboratore con un semplice verbale interno all’azienda.
      spero che in futuro si possa superare la doppia categoria, implementando le deleghe.

  10. Buongiorno, si potrebbe avere una versione semplificata di questa pagina, magari in pdf, come era stato fatto per il post “Mo’ scendo”? Non tanto per stamparla fisicamente, quanto perché volevo salvarmela in un formato comodo, e non sono riuscito a trovare un trucco per stampare la pagina con tutte le FAQ aperte

  11. Grazie Quintarelli per il suo prezioso e lungo impegno in questo settore così importante.
    Ho provato a installare una app italiana per gestire il mio nuovo SPID, ma il cellulare de-googlizzato dice che l’app non può funzionare perché blablabla.
    L’app contiene 3 tracker: Google CrashLytics, Google Firebase Analytics e New Relic.
    Questi tracker sono congruenti con la gestione (di una parte) degli SPID italiani?
    Mi viene in mente Shoshana Zuboff…

    1. Stefano Quintarelli

      l’abitudine di usare (almeno) analytics provenienti dai monopolisti è fortemente consolidata.
      difficile trovare qualcosa che ne prescinda.
      magra consolazione, comunque, dato che quell’app e’ usata solo per generare un token e non da’ alcuna informazione su dove e a cosa si stia accedendo.
      cmq. quello che uso io ne usa uno solo.
      puo’ provare ad installare le app dei vari IdP e vedere quale e’ piu’ rispettosa.

  12. Caro Quinta
    c’è il mio amico Emilio che ha fatto quest’interessante considerazioni.
    Che ne pensi ?
    Saluti e grazie per l’attenzione

    Antonio
    _____________________________________________________________
    Autenticazione CIE/CNS in Ubuntu (Linux)
    di Emilio GUIDI
    Le specifiche del sito ufficiale per l’installazione delle autenticazioni CIE/CNS o non esistono
    (CNS) o sono parziali e limitative (CIE), oltre a presentare degli errori nell’applicativo.
    Chiarimenti Sogei
    Sono inutili in quanto le risposte sono contrastanti ed errate e costituiscono, a loro detta, solo suggerimenti (esperienza su tre telefonate con apertura di due ticket) o sono vaghe (alla domanda cose succede dopo il 31/12/2023 a seguito dell’allungamento della scadenza della vecchia CNS la risposta è stata: c’è un anno e mezzo!).
    Considerazioni
    A seguito di ciò ho accertato che l’autenticazione CIE/CNS segue la metodologia PKCS #11 creata dall’esercito americano.
    Accedendo quindi alle specifiche dell’esercito americano (ho acceduto al sito: https://militarycac.com/linux.htm) ho potuto eseguire l’autenticazione:
    • sia con la CIE
    • che con la CNS
    anche con browser diversi da Firefox (il sito specifica tutti i browser Chrome/Chromium; io ho utilizzato Vivaldi) contrariamente a quanto indicato dalle specifiche ufficiali!
    Per fare ciò occorre comunque installare:
    • Java (necessario solo per l’applicazione CIE e non indicato nelle specifiche) e
    • le applicazioni
    o modutil (sudo apt install libnss3-tools),
    o pcscd
    I software di autenticazione dovrebbero averlo installato automaticamente e quindi configurare, dalla propria home, i browser per l’applicazione/i di autenticazione desiderata/e:
    • per cns: modutil – dbdir sql:.pki/nssdb/ -add “nome di fantasia: es. CNS” -libfile /usr/lib/bit4id/libbit4xpki.so


    Il software dell’applicazione CIE presenza degli inconvenienti a causa di errori di
    programmazione.
    1) Infatti se per l’autenticazione si utilizza un lettore di smarcard:
    • che presenta più di uno slot (come il “minilector air di” della bit4id che utilizza lo slot 1 per leggere le tessere no-contactless e lo slot 4 per quelle contactless)
    e la smartcard non è rilevata sul primo slot si ha,
    • indipendentemente dall’installazione adottata (quella descritta nelle specifiche ufficiali o dell’esercito americano)
    il totale blocco del browser: non sarà più possibile utilizzare il browser; si dovrà reinizzializzarlo!
    Per ovviare all’inconveniente si dovrà, con l’applicazione modutil, disabilitare, ma solo per l’applicazione di autenticazione in questione, tutti gli slot tranne quello su cui è rilevata la smartcard!
    Questo inconveniente l’ho risolto avendo creato un programma ad hoc in gambas3.

    2) Un ulteriore baco nel software di autenticazione CIE si ha nell’abbinamento della CIE con il PC, scritto in java!.
    Da ubuntu 22.04 l’applicazione, dopo aver fornito il pin completo e premuto il tasto
    “Abbina” si chiude inaspettatamente e quindi non sarà più possibile autenticarsi presso qualunque sito!
    Di questo errore non ho rilevato il motivo; ho rilevato che nella home viene generato un file di dump di diverse centinaia di migliaia di byte.

    Proposta
    Un’interessante prospettiva potrebbe essere, a seguito di uno studio sui software di
    autenticazione, verificare se fosse possibile, previa memorizzazione del contenuto del cip della tessera, autenticarsi senza la necessità di rileggere la tessera stessa. Sarebbe una comodità per esempio per chi ha persone, genitori parenti o amici, che non risiedono nello stessa città evitando quindi di recarsi presso di loro per ritirare e riconsegnare la tessera.

    1. Stefano Quintarelli

      velocemente
      meglio usare spid
      c’e’ oggi un sistema di virtualizzazione del chip delle carte su smartphone, per le carte si andrà li..

  13. Purtroppo anche leggendo queste Faq non trovo risoluzione per i continui problemi con i quali mi scontro ogni qualvolta mi serve lo Spid. Ribadisco il mio parere che le ho espresso tramite e-mail, lo Spid ci ha rovinato l’ esistenza !

    1. Stefano Quintarelli

      Se non lo trova, forse è perchè non ha letto tutto.
      Legga le parti relative alla difficoltà di utilizzo ed alla possibilità d ideegare.

  14. ormai da mesi combatto con il sistema SPID applicato al sito dell’INPS. Questa cosa doveva nascere per semplificare la vita, giusto? Provate a far cambiare il PIN dell’INPS ad un 80 enne. Vorrei capire come è possibile che da forse un anno sostituisco il vecchio pin con il vecchio pin dove nemmeno il più banale sito internet accetta questa cosa. Altra cosa se cambio il pin dal mio telefono, lo stesso pin non viene accettato in un altro telefono, ma da quando in qua un pin è associato ad un dispositivo elettronico? Quali menti diaboliche possono aver messo a punto una gestione software così pessima poco sicura è di difficile fruibilità? Provi a segnalare lei queste cose a qualcuno di INPS. Grazie

    1. Stefano Quintarelli

      come giustamente osserva, ci sono aree di miglioramento per tutti, in particolare per l’inps.
      (il problema e’ loro, non di spid)

Leave a Reply

Your email address will not be published. Required fields are marked *