Mentre l’universo digitale si espande sempre di più, i sistemi di autenticazione e autorizzazione continuano a evolversi per garantire standard di sicurezza sempre più solidi e affidabili. Su questa linea si colloca la nuova Carta Identità Elettronica 3.0, che offre ai cittadini un servizio di autenticazione forte, complementare a SPID e accessibile sia alla Pubblica Amministrazione che ai service provider di terze parti.
Che differenze ci sono tra SPID e la nuova CIE?
Un anno fa assistevamo all’estensione di SPID dalle sole Pubbliche Amministrazioni agli erogatori di servizi privati: lo SPID è il Sistema Pubblico di Identità Digitale, che permette ai cittadini italiani di accedere in maniera veloce, semplice e sicura a tutti i servizi online sia della Pubblica Amministrazione che dei provider di servizi terzi che vi hanno aderito. Si tratta di un’opportunità per chi eroga servizi di registrare e autenticare utenti mediante un sistema di autenticazione forte, demandando a terze parti (opportunamente federate) tutto l’onere di gestire il processo di digital onboarding, rilascio e rinnovo di documenti, aggiornamento delle credenziali e di fornire assistenza all’utilizzatore.
La nuova CIE (Carta d’Identità Elettronica) v3.0, documento obbligatorio di identificazione emesso dal Ministero dell’Interno, ha cominciato a offrire un servizio simile nei processi di accertamento dell’identità delle persone. Dà la possibilità di autenticare in forma forte gli utenti usando il certificato presente nella carta che – diversamente da SPID – rende disponibile l’integrazione in forma gratuita sia alle pubbliche amministrazioni che a service provider di terze parti.
Ma qual è la differenza tra SPID e CIE? Possiamo dire che i due sistemi sono per certi versi complementari:
- CIE: vengono trasmessi al service provider solo i dati salvati nel relativo certificato, cioè nome, cognome, codice fiscale (n.d.r. nulla vieta che il service provider usi la CIE e chieda all’utente di inserire dati di contatto e cellulare verificandoli dopo l’onboarding);
- SPID: sono presenti e possibili molti altri dati tra cui e-mail e cellulare, utile per l’autenticazione a due fattori (2FA) e per contattare l’utente per il recupero delle credenziali.
Con i vari servizi della PA che stanno incentivando gli accessi tramite entrambi i sistemi, ad oggi la CIE è arrivata a 15 milioni di cittadini, mentre SPID, complici i molteplici servizi che lo stanno adottando e richiedendo, da gennaio ha praticamente raddoppiato, passando dai 5,6 milioni ai 10 milioni di utenti (spinta accelerata dalle erogazioni dei recenti “bonus vacanze”, “bonus bici”, ecc.).
Il passaggio a una piena digitalizzazione delle Carte di Identità non è tanto distante: entro il 2026, infatti, il Regolamento (UE) 2019/1157 ha previsto che tutte le CI cartacee vengano sostituite con quelle nuove già conformi al regolamento eIDAS (electronic IDentification Authentication and Signature), che vedrà estendere l’applicabilità potenzialmente a tutte le PA e ai cittadini di tutta Europa.
Funzionamento e scenari della Carta Identità Elettronica
Attualmente la CIE prevede tre scenari di utilizzo per l’utente:
- Scenario desktop: dalla propria postazione dotata di un lettore di smart card “contactless” (di nuova generazione) e la propria CIE, accede ad un servizio web tramite il browser desktop;
- Scenario mobile: dal proprio dispositivo mobile dotato di lettore NFC (Near Field Communication) e la propria CIE, accede ad un servizio web tramite il browser mobile;
- Scenario ibrido: dalla propria postazione desktop e tramite il proprio dispositivo mobile dotato di lettore NFC e la propria CIE, accede ad un servizio web tramite il browser desktop.
Se il primo scenario non è nulla di nuovo rispetto a quanto si poteva fare in passato con la Tessera Sanitaria e Carta Nazionale dei Servizi, gli ultimi due scenari sono invece molto interessanti e innovativi perché, sfruttando il microchip contactless della carta e i telefoni degli utenti come lettori NFC, si rende possibile agli erogatori di servizi terzi di snellire il processo di onboarding e accreditamento di tutti cittadini italiani in possesso della nuova carta e realizzare un sistema di autenticazione e autorizzazione forte demandandolo al Ministero dell’Interno (che nello standard SAML 2.0 adottato si prefigura nel ruolo di service provider).
Per capire meglio come funziona, vediamo da vicino l’esempio dello scenario mobile:
- L’utente apre il sito su cui vuole autenticarsi e clicca sul pulsante “Entra con CIE”, viene ridirezionato sul sito del ministero;
- Viene attivata l’App Cie ID, sviluppata per l’accessi a servizi tramite CEI 3.0;
- L’utente avvicina la sua CIE e autorizza con il PIN l’utilizzo;
- Il sito del ministero mostra i dati che saranno trasmessi al service provider: nome, cognome, codice fiscale;
- L’utente viene reindirizzato autenticato al sito del service provider.
Le prossime evoluzioni del sistema della Carta Elettronica
La CIE non è solo pensata per i servizi di autenticazione e accesso ai servizi, ma è stata pensata anche per nuovi scenari tra cui:
- effettuare procedure di registrazione o check-in (strutture alberghiere, operatori telefonici, istituti e operatori finanziari, etc.) in maniera facile e sicura;
- accedere ai mezzi di trasporto (autobus, tram, tornelli della metro, car/bike sharing, etc.), sostituendo titoli di viaggio e abbonamenti;
- accedere a eventi (musei, manifestazioni sportive, concerti, etc.) in sostituzione dei biglietti;
- accedere ai luoghi di lavoro in sostituzione al badge identificativo, sia per il controllo accessi che per la rilevazione delle presenze.
Anche lo scenario per app native è in dirittura d’arrivo ed è già disponibile un SDK Android, mentre è in corso di sviluppo anche l’SDK per dispositivi Apple (che impone una versione 13 di iOS).
Il prossimo passo spetta quindi ai service provider e ai partner tecnologici che, in ottica di trasformazione digitale, possono cogliere questa opportunità per snellire, economicizzare e trasformare i propri processi andando a sfruttare a pieno questi sistemi avanzati per autenticare, autorizzare, firmare e realizzare procedure innovative.
Verifica l’identità dei tuoi clienti in pochi minuti: