Capita a molti di trovarsi davanti a una situazione che sembra non avere senso: provando ad accedere con CIE tramite codice fiscale e password, il sistema chiede di cambiare la password perché scaduta. Eppure, aprendo l’app CieID, tutto funziona al primo colpo. Nessun errore, nessun blocco. Non è un malfunzionamento. È il risultato di come funziona davvero il sistema di autenticazione dietro la Carta d’Identità Elettronica.
La CIE non è soltanto un documento fisico da portare nel portafoglio. Funziona come punto di accesso a un sistema centrale di identità digitale gestito dal Ministero dell’Interno. I portali della Pubblica Amministrazione non verificano direttamente chi sta cercando di entrare: delegano tutto a un sistema centrale, il cosiddetto CieID Server. Quando qualcuno prova ad accedere, il portale riceve in risposta una sorta di certificazione firmata digitalmente che conferma l’identità della persona. Tutto si basa su protocolli standard come SAML 2.0 o OpenID Connect. Il sito della PA, in pratica, non vede mai la password e non gestisce le credenziali. Riceve solo la conferma che l’autenticazione è andata a buon fine. Lo stesso principio vale per SPID: il portale non conosce la password dell’utente, sa solo che l’identità è stata verificata.
Ed è proprio qui che nasce quella che sembra una contraddizione. Quando si accede con CIE inserendo numero di carta, codice fiscale o email e poi la password, il sistema centrale la riceve, la controlla e la sottopone a tutte le regole previste: correttezza, scadenza, eventuale blocco. Se la password risulta scaduta, l’autenticazione si ferma lì. Niente accesso. Con l’app CieID, invece, la password non entra proprio nel processo. Non viene trasmessa, non viene verificata e quindi non può bloccare nulla. Non è un modo per aggirare le regole di sicurezza: semplicemente, in quel flusso, la password non esiste come elemento del processo.
Come funziona davvero l’app CieID
Definire CieID come una semplice interfaccia sarebbe fuorviante. L’app svolge un ruolo strutturale nel sistema di autenticazione CIE. Quando viene attivata, crea un collegamento stabile tra lo smartphone e l’identità digitale dell’utente. Questo legame si appoggia ai meccanismi di sicurezza del dispositivo stesso: storage protetto, keystore, protezione biometrica.
Al momento dell’accesso, l’app gestisce in locale la verifica dell’utente tramite un PIN oppure tramite un dato biometrico come l’impronta digitale o il riconoscimento facciale. Questa verifica locale non chiude il processo ma serve a sbloccare l’uso dell’identità digitale. Da quel punto in poi, l’app comunica con il backend CIE attraverso canali protetti, dimostra il possesso del dispositivo associato e trasmette la richiesta di autenticazione. Se serve un livello di sicurezza più alto (livello 3), entra in gioco anche la CIE fisica tramite NFC, con accesso ai certificati presenti nel chip e operazioni crittografiche basate su infrastruttura a chiave pubblica.
Il modello che CieID implementa è concettualmente vicino ai sistemi passwordless moderni, come FIDO2 e WebAuthn: l’identità non si dimostra con una password, ma combinando il possesso del dispositivo, l’autenticazione locale e la validazione lato server. Con la particolarità che, nel caso della CIE, il sistema è integrato con un’infrastruttura statale e con una smart card fisica.
Il nodo del codice sorgente
Un aspetto che merita attenzione riguarda il fatto che CieID non è open source, nonostante quanto previsto dall’articolo 69 del Codice dell’Amministrazione Digitale. L’app gestisce flussi crittografici tra dispositivo e backend, accesso a credenziali hardware tramite chip NFC, processi di identificazione forte con livelli di garanzia elevati e meccanismi di associazione tra identità e dispositivo. L’esposizione integrale del codice sorgente potrebbe, almeno in teoria, facilitare analisi approfondite dei flussi di autenticazione.
È plausibile che il mancato rilascio rientri nelle eccezioni previste dal CAD per ragioni di sicurezza pubblica, anche se la scelta contribuisce a una percezione di minore trasparenza rispetto ad altri progetti della PA. Il funzionamento architetturale del sistema resta comunque deducibile dalle specifiche pubbliche, dai protocolli adottati e dal comportamento osservabile nei flussi di autenticazione.
