SPID o CIE: ha ancora senso parlare di “scontro”?

La CIE (Carta di Identità Elettronica) ha effettuato un balzo in avanti nella semplificazione del suo utilizzo con l’aggiunta dei Livelli 1 e 2. Ad oggi tramite l’indirizzo cartaidentita.interno.gov.it è possibile attivare l’accesso di Livello 1 e 2, mentre solo i servizi di Roma e Genova permettono l’accesso con questi livelli. A seguito dell’annuncio ufficiale del Ministero dell’interno, tali livelli saranno attivati su tutti i servizi nazionali.

La CIE ne ha fatta di strada da quando per utilizzarla serviva essere praticamente degli hacker, installando i giusti driver del lettore sul computer, i giusti driver della CIE, utilizzandola correttamente con un lettore NFC previo aver installato anche il middleware CIE. Ora con l’app CieID ed un’esperienza utente piuttosto semplice, dal proprio smartphone è possibile fare quello che si faceva una volta sul PC (in verità anche meno come difficoltà con i livelli 1 e 2).

Cosa quindi rende ancora diverse tra loro SPID e CIE?

Partiamo dal confronto tra CIC (carta di identità cartacea) e CIE (carta di identità elettronica). Le differenze sono visualizzabili in una tabella come segue.

Si tratta quindi di differenze sostanziali: CIE è utilizzabile per una firma elettronica avanzata (FEA) ed è anche un’identità digitale, cosa che la CIC non è.

SPID VS CIE? Ha ancora senso parlare di “scontro”?

Partiamo dall’analisi dell’owner. SPID ha come owner principale l’Agid (Agenzia per l’Italia Digitale) mentre CIE ha il Ministero dell’Interno. L’infrastruttura nel primo caso è gestita dagli IdP (Identity Provider) che sono entità private o pubbliche, nel secondo caso da Istituto Poligrafico e Zecca dello Stato (IPZS).

In particolare, ad oggi gli IdP sono: Sielte, TeamSystem, Poste, Infocert, Aruba, Etna Hitech, Telecom Italia Trust Systems, Register, Namirial, Lepida, Infocamere.

I fornitori tecnologici (IdP) di SPID sono quindi più di uno, mentre quello di CIE è uno soltanto, IPZS. Il che comporta che è possibile avere una credenziale SPID per ogni IdP (quindi anche più di uno sullo stesso smartphone) mentre è possibile avere (ovviamente) una sola CIE.

La CIE si può richiedere solo in Comune, in presenza, perché vengono richieste le impronte digitali della persona (meglio se proprio Comune di residenza, anche se tecnicamente è possibile in qualsiasi comune previo nulla osta del Comune di residenza), mentre SPID si può richiedere agli sportelli degli IdP (es. Poste), oppure online in diverse modalità (con riconoscimento in call conference, con firma digitale, mediante CIE, tanto per citarne alcuni).

Il costo di SPID varia in base all’IdP e alla modalità di riconoscimento (se in self-service con firma digitale o CIE, ad esempio, solitamente il costo è nullo), mentre il costo di CIE è 16.79 euro (per creazione carta, gestione e delivery da parte di IPZS) a cui sommare i costi di segreteria decisi dal singolo Comune.

SPID viene rilasciato su richiesta del cittadino. CIE viene rilasciato alla scadenza della CIC, oppure per usura, deterioramento, furto (previo aver fatto denuncia) della CIC o della CIE. Ogni cittadino può richiedere la CIE in ogni momento, se in sostituzione della CIC, mentre può richiedere il cambio della CIE entro 180 giorni dalla scadenza se ha già la CIE.

Il rilascio della CIE richiede 7 giorni lavorativi per l’invio dal momento delle procedure effettuate presso l’ente, con spedizione presso la propria abitazione o in comune. Lo SPID può essere rilasciato immediatamente.

SPID non si può utilizzare per il riconoscimento della persona a livello fisico (es. check-in all’aeroporto, la CIE si, mediante l’oggetto fisico).

I livelli di sicurezza associati a SPID e CIE sono 3:

• utente e password (o numero CIE e pin)
• utente e password + one time password
• utente e password + oggetto fisico

Nel caso della CIE l’oggetto fisico è incluso nell’emissione della CIE, essendo la tessera di identità stessa tale oggetto. Per il livello 3 di SPID deve essere richiesto un token dedicato.

Per entrambi (SPID e CIE) è necessario avere uno smartphone per installare l’app di riferimento e ricevere un token o poter “inquadrare” il QR code per il livello 2 e 3. Per ogni smartphone posso mettere più SPID (ad esempio di IdP diversi), ma una sola CIE. In entrambi i casi ci sono sviluppi previsti per poter avere eventualmente più identità digitali sullo stesso smartphone (opzione utile, per esempio, in caso di genitori con minori o per familiari di persone anziane), ma al momento non si hanno dati ulteriori in merito alle road map previste

SPID permette una firma ex-articolo 20 (solo con IdP Lepida). CIE permette una FEA valida a tutti gli effetti per le comunicazioni verso la PA.

Entrambe sono pronte per entrare nel wallet Europeo.

Un piccolo schema che vuole mostrare i punti salienti di confronto è il seguente:

Conclusioni

Se prima si poteva parlare di SPID e CIE come di “cugine lontane” nell’ambito delle identità digitali, ora si può parlare quasi di sorelle, per l’evoluzione tecnologica avuta da CIE che come esperienza utente la fa somigliare molto a SPID. CIE inoltre ha il valore aggiunto del riconoscimento fisico e della firma FEA, mentre in meno ha il fatto che è associata alla sola persona fisica, tanto per citare alcune differenze rimaste. Pur non volendo entrare nel tema del controllo o meno dello Stato dell’identità digitale dei cittadini, è quindi da sottolineare che le due identità digitali nazionali grazie al livello CIE 1 e 2, sono molto più equivalenti per quanto riguarda l’accesso ai servizi digitali nazionali, rispetto a prima.