SPID: cos’è, come attivarlo e a cosa serve nel 2026

Lo SPID — Sistema Pubblico di Identità Digitale — è il sistema italiano di autenticazione per accedere ai servizi online della Pubblica Amministrazione con un’unica coppia di credenziali. Attivo dal 2016 e gestito dall’AgID (Agenzia per l’Italia Digitale), conta oggi oltre 40 milioni di identità digitali attive e copre più di 11.000 servizi pubblici e privati. A differenza di account isolati per singolo ente, SPID funziona come un unico pass federato: ci si registra una volta, si accede ovunque.

Cos’è lo SPID e come è strutturato

Lo SPID è un sistema federato: non esiste un unico ente che rilascia le credenziali, ma dodici Identity Provider (IdP) accreditati da AgID. Tra i principali: Poste Italiane (PosteID), InfoCert, Aruba, Namirial, TIM, Intesa (ex Sielte), Lepida. Ogni provider ha le proprie procedure di riconoscimento e i propri livelli di servizio, ma tutti devono rispettare le specifiche tecniche AgID e il quadro normativo definito dal DPCM 24 ottobre 2014.

Dodici provider sembrano molti, ma nella pratica il mercato si è concentrato su tre o quattro operatori principali. La frammentazione iniziale ha rallentato l’adozione: trovarsi davanti a dodici opzioni senza criteri chiari ha spinto molti utenti a rimandare o scegliere l’operatore telefonico di cui conoscevano già il nome.

Dodici provider sembrano molti, ma nella pratica il mercato si è concentrato su tre o quattro operatori principali. La frammentazione iniziale ha rallentato l’adozione: trovarsi davanti a dodici opzioni senza criteri chiari ha spinto molti utenti a rimandare o scegliere l’operatore telefonico di cui conoscevano già il nome.

Lo SPID è articolato in tre livelli di sicurezza:

• Livello 1: username e password. Usato per servizi a basso rischio, come la consultazione di informazioni non sensibili.
• Livello 2: username, password e OTP (one-time password). È il livello richiesto dalla maggior parte dei servizi PA, tra cui INPS, Agenzia delle Entrate e portali regionali. L’OTP può essere ricevuto via SMS o generato da un’app authenticator.
• Livello 3: autenticazione con dispositivo fisico certificato (smart card o chiave hardware FIDO2). Riservato a contesti ad alto rischio, raramente richiesto nella pratica quotidiana.

Secondo AgID, il 94% degli accessi avviene a livello 2. Il livello 3 è disponibile solo su pochi IdP — tra cui InfoCert e Namirial — e viene utilizzato principalmente in contesti professionali specializzati come alcune procedure giudiziarie telematiche.

Come si attiva lo SPID: procedura passo dopo passo

Per richiedere lo SPID servono: documento d’identità valido (carta d’identità, passaporto o patente), codice fiscale, numero di telefono e indirizzo email attivi. Il processo varia a seconda dell’Identity Provider e del metodo di riconoscimento scelto. La registrazione avviene interamente online per la maggior parte dei metodi.

Metodi di riconoscimento disponibili

• CIE + NFC: il metodo più rapido. Basta la Carta d’Identità Elettronica e uno smartphone con NFC abilitato. Il riconoscimento è istantaneo e automatizzato, disponibile con Poste Italiane, InfoCert, Aruba e altri provider. Nessuna attesa.
• Passaporto elettronico: disponibile da 2024 con alcuni provider (Poste, InfoCert). Funziona con la stessa logica NFC della CIE.
• Webcam (video-identificazione): videoriconoscimento tramite operatore in carne e ossa. Disponibile con la maggior parte degli IdP. Tempi di attesa variabili: da pochi minuti a qualche ora secondo il carico del provider.
• Di persona: recandosi agli sportelli abilitati — Uffici Postali, CAF convenzionati, tabaccai aderenti al circuito. Il rilascio è immediato, utile per chi non ha dimestichezza con la procedura online.
• Bonifico bancario: si invia un piccolo versamento dal proprio conto intestato. Il conto bancario fa da prova d’identità. Attivazione in 2-3 giorni lavorativi. Solo per chi ha già un conto intestato a proprio nome.
• CNS/TS-CNS: tramite Carta Nazionale dei Servizi (tessera sanitaria con chip attivato) e un lettore smart card compatibile.

Costi dell’attivazione SPID

Lo SPID base (livello 1 e 2) è gratuito con tutti gli Identity Provider accreditati AgID. Alcuni servizi accessori — come il riconoscimento tramite operatore fisico dedicato fuori dagli sportelli standard, o l’ottenimento del livello 3 — possono avere un costo che varia da 5 a 29 euro una tantum. Poste Italiane, Aruba e Namirial offrono il livello 2 completamente senza spese. Il rinnovo è automatico e gratuito: lo SPID non scade finché non si decide di revocarlo.

A quali servizi accede lo SPID nel 2026

Lo SPID è richiesto per l’accesso alla quasi totalità dei servizi PA online italiani. Ecco i principali per categoria:

Previdenza e fisco

• INPS: pensioni, NASpI, bonus, CU (Certificazione Unica), domande telematiche, estratto contributivo.
• Agenzia delle Entrate: 730 precompilato, cassetto fiscale, F24, visure catastali, registrazione contratti.
• Agenzia delle Entrate-Riscossione: situazione debiti, rottamazione cartelle, piani di rateizzazione.

Servizi digitali del Governo

• App IO: notifiche e pagamenti PA, accesso a bonus statali (es. Bonus Cultura, Carta Giovani). Guida completa ad App IO.
• PagoPA: pagamento di tributi, tasse e bollettini PA su tutti i canali aderenti.
• ANPR (Anagrafe Nazionale): certificati anagrafici online gratuiti, cambio residenza.

Sanità

• Fascicolo Sanitario Elettronico: referti, prescrizioni, accesso a dati clinici regionali tramite i portali delle ASL.
• CUP online: prenotazione visite specialistiche in molte Regioni.
• Invalidità civile INPS: domande telematiche e stato delle pratiche.

Imprese e professioni

• Registro Imprese / SUAP: pratiche per imprese e partite IVA presso la Camera di Commercio.
• Albo Pretorio: accesso a documenti ufficiali dei Comuni.
• Università: iscrizioni, carriere studenti, borse di studio presso la maggior parte degli Atenei italiani.

Dal 2021 lo SPID è accettato anche da enti privati aderenti alla federazione AgID: banche, assicurazioni, società di gestione del credito. Il numero di service provider privati abilitati ha superato i 200 nel 2025, con una crescita del 40% rispetto al 2023.

SPID vs CIE: quale conviene scegliere

La CIE (Carta d’Identità Elettronica) è l’altra opzione di accesso riconosciuta dal sistema italiano di identità digitale. I due strumenti non sono in competizione: sono complementari e accedono agli stessi servizi PA.

Per chi usa spesso i servizi PA da smartphone, SPID è più pratico: non richiede NFC e funziona con qualsiasi dispositivo. Per chi vuole un’unica soluzione fisica riconosciuta anche all’estero, la CIE è preferibile. Con l’entrata in vigore del portafoglio eIDAS 2.0, entrambi convergeranno verso uno standard europeo unificato. Cosa cambia con eIDAS 2.0 e il wallet europeo.

SPID e sicurezza: i rischi reali e come mitigarli

Lo SPID utilizza il protocollo SAML 2.0 (Security Assertion Markup Language) per l’autenticazione federata. Ogni accesso genera una sessione temporanea: le credenziali non vengono mai trasmesse al sito del servizio, ma gestite interamente dall’IdP scelto. Questo riduce significativamente il rischio di phishing tradizionale rispetto all’autenticazione classica username/password per sito.

I rischi concreti da considerare sono:

• SIM swapping: l’OTP via SMS è vulnerabile alla sostituzione fraudolenta della SIM. Alcuni IdP offrono app authenticator (TOTP) come alternativa più sicura. Preferire questa opzione dove disponibile.
• Phishing mirato: siti che imitano la pagina di login SPID. AgID e Polizia Postale hanno segnalato campagne attive nel 2025. Verificare sempre l’URL prima di inserire le credenziali: il dominio deve corrispondere a quello dell’IdP registrato.
• Accesso fisico non autorizzato: se lo smartphone viene rubato con l’app IdP aperta. Attivare sempre PIN o biometria sul dispositivo e impostare il blocco automatico.
• Malware su PC: keylogger che intercettano username e password. Mantenere aggiornato il sistema operativo e usare un antivirus attivo.

In caso di smarrimento o compromissione delle credenziali SPID, è possibile bloccare l’identità digitale dall’area personale dell’IdP o chiamando il numero verde del provider. Il blocco è immediato e revoca l’accesso a tutti i servizi collegati fino al ripristino.

PEC e SPID: due strumenti distinti del sistema digitale italiano

Lo SPID non sostituisce la PEC (Posta Elettronica Certificata), ma i due strumenti sono sempre più integrati nel sistema di identità digitale italiano. La PEC è obbligatoria per professionisti e imprese per le comunicazioni ufficiali con la PA, mentre SPID è il sistema di autenticazione per accedere ai portali online. Guida completa alla PEC nel 2026.

Dal 2025, alcune PA accettano la PEC qualificata come secondo fattore di autenticazione in combinazione con SPID, in linea con l’evoluzione del CAD (Codice dell’Amministrazione Digitale). Il domicilio digitale iscritto all’INAD (Indice Nazionale dei Domicili Digitali) completa il quadro: chi ha sia SPID sia PEC registrata all’INAD dispone di un sistema completo per interagire con la PA interamente in modalità digitale.

Novità 2026: SPID verso il Digital Wallet europeo

Con il regolamento eIDAS 2.0 entrato in applicazione progressiva dal 2024, l’Italia è impegnata a integrare SPID nel futuro EU Digital Identity Wallet. Il progetto pilota italiano, coordinato da AgID e dal Dipartimento per la Trasformazione Digitale, ha già prodotto IT-Wallet — accessibile tramite App IO dal 2025 — che consente di aggiungere patente digitale, tessera sanitaria e carta europea della disabilità.

Attualmente, lo SPID è riconosciuto come eID notificato a livello “sostanziale” (Substantial) secondo la classificazione eIDAS. Il target è raggiungere il livello “elevato” (High) con l’introduzione del wallet certificato, che garantirà riconoscimento automatico in tutti i Paesi UE per una serie di servizi transfrontalieri: apertura di conti bancari, registrazione di imprese, accesso ai servizi sanitari in trasferta.