Si possono avere due SPID? Opportunità e rischi

SPID (Sistema Pubblico di Identità Digitale) è un sistema che permette ai cittadini italiani di accedere con un’unica identità digitale a tutti i servizi online della Pubblica Amministrazione e dei soggetti privati aderenti. Attraverso SPID, ogni utente può autenticarsi in modo sicuro, veloce e gratuito, utilizzando credenziali uniche (username e password) rilasciate da uno degli Identity Provider accreditati. Di per sé SPID non è un documento d’identità ma quando la Pubblica Amministrazione è tenuta a controllare il documento d’identità di chi accede a un servizio, identificarsi con SPID equivale (anche) a presentarlo.

Perché SPID è utile

L’identità digitale è un concetto al centro del dibattito tecnologico e amministrativo.

In un sistema analogico, il riconoscimento avviene di persona, con un documento d’identità valido. Questa dinamica, traslata nel digitale, richiede meccanismi equivalenti di verifica: un’identità digitale forte, certificata da un soggetto fidato. Per i privati regolati dalla legge (banche, assicurazioni, compagnie telefoniche) e, in modo ancora più stringente, per la Pubblica Amministrazione, è essenziale verificare l’identità prima di fornire servizi che hanno rilevanza legale, economica o sanitaria.

Il passato: smartcard e ostacoli strutturali

Prima dell’introduzione di SPID, l’accesso ai servizi online della PA passava attraverso meccanismi come la smartcard, una tessera fisica, dotata di microchip, da usare con un PIN personale. Ma le difficoltà pratiche erano numerose:

• Complessità nel rilascio: ricezione della tessera per posta, riconoscimento fisico in ASL, ricezione scaglionata di codici via posta.
• Hardware dedicato: la necessità di un lettore di smartcard, raramente posseduto dai cittadini.
• Scarsa usabilità: interfacce poco intuitive, sistemi non interoperabili e mancanza di standard tecnici uniformi.

Queste barriere tecniche hanno limitato la diffusione dei servizi digitali, generando un circolo vizioso: pochi utenti, pochi servizi, con un ulteriore disincentivo all’uso. Solo realtà locali molto strutturate sono riuscite a superare questi ostacoli attraverso investimenti mirati e continuità strategica.

SPID: identità digitale condivisa e interoperabilità tra enti

SPID è nato con l’obiettivo di centralizzare e uniformare il processo di identificazione, rendendo sostenibile la transizione digitale. Il sistema consente a ogni cittadino italiano di accedere a una molteplicità di servizi utilizzando una sola identità certificata.

I vantaggi sono evidenti:

• Riduzione dei costi: ogni ente non deve più gestire internamente le identità.
• Interoperabilità: SPID è riconosciuto a livello nazionale e, sempre più, anche nei contesti europei.
• Flessibilità: il cittadino può usare SPID su qualsiasi dispositivo, senza necessità di hardware specifico.

Oltre all’identificazione, SPID ha una funzione strategica più profonda: armonizzare l’accesso ai dati personali detenuti da enti diversi. Uno dei principali problemi dell’e-government è infatti l’assenza di un substrato comune tra le diverse amministrazioni. Basti riflettore che ogni ente (Agenzia delle Entrate, comune, ospedale, motorizzazione, università,…) utilizza un proprio identificativo univoco.

SPID, ancorandosi al codice fiscale, diventa un collante efficace per “orchestrare” i dati provenienti da sistemi diversi. L’approccio è anche la base per la realizzazione di servizi “inter-ente”, in cui il cittadino non deve fornire ogni volta le stesse informazioni.

Perché si possono avere due SPID in Italia?

La normativa italiana consente a ogni cittadino di attivare più di una identità digitale SPID, anche presso diversi provider (Identity Provider). Questa possibilità è stata introdotta principalmente per garantire maggiore disponibilità e continuità del servizio: se un provider SPID avesse problemi tecnici, fosse sotto attacco informatico o non temporaneamente raggiungibile, l’utente può comunque accedere ai servizi digitali della Pubblica Amministrazione utilizzando un altro SPID attivato presso un diverso provider.

Inoltre, avere due SPID può essere utile in alcuni casi specifici:

• Gestione separata di identità personali e professionali: per esempio, un professionista o titolare di partita IVA può avere uno SPID personale e uno aziendale, soprattutto se deve accedere a servizi per conto della propria azienda o come rappresentante legale.
• Esperienza utente: se non si è soddisfatti del servizio offerto da un provider (per motivi di sicurezza, costi o praticità), si può attivare un secondo SPID con un altro gestore senza dover necessariamente revocare il primo.
• Continuità di accesso: in caso di smarrimento delle credenziali o difficoltà di recupero, si può temporaneamente utilizzare un secondo SPID, anche se in questi casi è generalmente consigliato tentare il recupero delle credenziali piuttosto che creare un nuovo SPID.

Quando conviene (o non conviene) avere due SPID

Le situazioni in cui potrebbe essere utile avere due identità SPID attivate presso provider diversi sono molteplici. Le abbiamo in parte menzionate al precedente paragrafo.

Ad esempio quando si volesse disporre di una soluzione di backup in caso di problemi tecnici con un provider, quando si gestiscono ruoli diversi (ad esempio, persona fisica e rappresentante legale di una società), quando si desidera passare a un provider che offre un servizio giudicato migliore (ad esempio per una migliore gestione della procedura di login), pur mantenendo attivo il vecchio SPID durante la transizione.

È possibile attivare lo SPID per un familiare, ad esempio un anziano o un figlio, anche utilizzando un numero di cellulare e un indirizzo email che non siano intestati alla persona richiedente lo SPID, purché rappresentino in modo corretto e siano gestiti con responsabilità.

In pratica, un familiare può fare da delegato per l’attivazione dello SPID di un’altra persona, utilizzando il proprio numero di cellulare per ricevere i codici OTP necessari all’autenticazione. Questo è particolarmente utile per anziani o persone non autonome che non dispongono di un proprio smartphone o numero di telefono. Tuttavia, il titolare dello SPID rimane sempre la persona per cui l’identità digitale è attivata, e deve quindi essere identificata in maniera certa al momento dell’emissione dell’identità digitale SPID.

Molti servizi erogati dalla Pubblica Amministrazione prevedono la delega per l’uso dello SPID: in altre parole, un soggetto può autorizzare un altro individuo (a sua volta dotato di identità SPID) ad accedere con la sua identità personale e fare le proprie veci.

Situazioni in cui non conviene o non è possibile avere due SPID

Se non si hanno esigenze particolari, gestire più identità digitali può essere fonte di confusione (più password e codici da ricordare) e può generare costi aggiuntivi, dato che l’attivazione dello SPID non è sempre gratuita.

Ogni identità SPID deve essere associata a una email diversa, mentre il numero di telefono può essere lo stesso se l’identità è intestata alla medesima persona. L’avviso di AgID numero 31 del 5 ottobre 2020 chiarisce che non è possibile usare lo stesso numero di cellulare su più di un’identità SPID associata a titolari diversi. Tuttavia, il documento sembra concentrarsi sul singolo Identity Provider che si vede arrivare due o più richieste di attivazione di un’identità SPID associata al medesima utenza mobile.

In generale, è opportuno evidenziare che i provider SPID non scambiano dati tra di loro e non esiste l’obbligo per cui il numero di cellulare sia intestato alla stessa persona richiedente SPID.

Frodi digitali e SPID: il nuovo volto del furto d’identità

Gli attacchi informatici non riguardano più solo le reti aziendali o le banche dati. Oggi il bersaglio può essere anche l’identità digitale personale.

SPID è uno strumento di successo: basti pensare che sono oltre 40 milioni le identità digitali attivate e utilizzate in Italia (fonte AgID, aprile 2025). Una platea di utenti così estesa che ha evidentemente “ingolosito” anche i criminali informatici.

Sono stati segnalati casi di vittime, da nord a sud, che si sono viste aprire conti correnti a loro nome oppure modificare i codici IBAN per gli accrediti provenienti dalle Pubbliche Amministrazioni.

C’è però un filo conduttore comune: il dito non va puntato contro SPID perché le aggressioni avvengono fuori dallo spazio di manovra di SPID.

Siamo infatti spesso portati a condividere documenti personali (carta d’identità, tessera sanitaria, codice fiscale,…) tramite posta elettronica o altri canali poco sicuri come WhatsApp. Il dark web pullula di archivi contenenti i documenti degli italiani insieme con altre informazioni personali.

Così è facile per un aggressore ingannare gli utenti creando campagne phishing che invitano a confermare i propri dati, a inviare dei selfie con il proprio documento o brevi video. Tutto questo materiale può essere utilizzato dai criminali informatici per creare identità digitali SPID a nome delle inconsapevoli vittime, superando con successo i controlli degli Identity Provider.

“Una catena è forte quanto il suo anello più debole”

È una massima coniata dal chirurgo Christiaan Barnard, noto per aver eseguito il primo trapianto di cuore. Ha un notevole valore se applicata al mondo dei sistemi di sicurezza, progettati per impedire attacchi informatici. Ed è sovente citata anche da Stefano Quintarelli, che SPID l’ha inventata.

L’utente, purtroppo, è spesso l’anello debole della catena. Tuttavia, una parte significativa dei furti d’identità non trae origine da moduli compilati dagli utenti (phishing personale) o informazioni personali condivise con superficialità, ma da attacchi a banche dati contenenti documenti d’identità. Sebbene vi sia un dibattito sull’entità specifica di questi furti, le vulnerabilità delle banche dati pubbliche è un problema: che, come abbiamo sottolineato ripetutamente, è in taluni casi preso un po’ troppo sotto gamba.

A maggio 2024 citavamo lo studio di Veracode (il 59% delle applicazioni del settore pubblico sono vulnerabili), citavamo l’esempio virtuoso della Svizzera che ha istituito un bug bounty di Stato e le discussioni sulla protezione legale per i ricercatori di vulnerabilità nelle piattaforme della Pubblica Amministrazione, in corso in Germania.

Identità digitali clonate: un fenomeno in crescita

Il problema degli attacchi SPID e delle identità clonate è reale e serio. Richiede un impegno congiunto: i provider devono rafforzare le misure di sicurezza e prevedere sistemi di allerta; le autorità investigative e giudiziarie necessitano di maggiori mezzi e preparazione; la Pubblica Amministrazione deve migliorare la protezione dei dati dei cittadini; e, parallelamente, è cruciale promuovere l’alfabetizzazione digitale per rendere gli utenti finali più consapevoli dei rischi e capaci di proteggersi.

Nel caso di SPID, sarebbe importante offrire al cittadino uno strumento – facilmente collegabile con il codice fiscale – che permetta di verificare se fossero aperte altre identità digitali a sua insaputa. O meglio ancora implementare un meccanismo “intra-provider” che notifichi l’utente (ad esempio via email), circa l’attivazione di ulteriori identità digitali a suo nome.

L’uso della CIE (Carta di Identità Elettronica) come soluzione perché più sicura? Non è propriamente così. Ne parliamo nell’articolo sulle differenze tra SPID e CIE.