Le differenze tra CIE e SPID sul piano della sicurezza sono molto più profonde di quanto la maggior parte delle persone immagina. Per anni questi due strumenti sono stati raccontati come sostanzialmente equivalenti: cambia il metodo di accesso, ma alla fine si arriva sempre allo stesso punto, ovvero i servizi online della Pubblica Amministrazione. Documenti, pratiche, dati personali. Tutto uguale, apparentemente. Eppure, scavando appena sotto la superficie, il quadro cambia parecchio. E non si tratta solo di comodità o velocità nel fare il login: quello che distingue davvero CIE e SPID è l’intero modello di fiducia su cui poggia l’identità digitale.
Il dibattito pubblico si è concentrato quasi esclusivamente sull’esperienza d’uso. SPID è più rapido? CIE è più macchinosa? Serve il chip NFC? L’app funziona bene? Domande legittime, certo, ma che hanno oscurato questioni ben più delicate: quanto è forte il legame tra identità e dispositivo, quanto conta il possesso fisico del documento, quanto i due sistemi resistano ad attacchi come il phishing, il furto di sessione o la compromissione dello smartphone.
Due architetture che non potrebbero essere più diverse
SPID nasce come sistema federato. L’utente ha un account presso un identity provider accreditato (Poste, Aruba, InfoCert, Namirial, Lepida e altri), che autentica l’identità e rilascia un’asserzione valida verso i servizi aderenti. Tecnicamente si basa su SAML 2.0, uno standard consolidato nel mondo enterprise per la federazione delle identità. Quando si effettua il login, il provider genera una risposta firmata digitalmente che certifica l’avvenuta autenticazione.
La CIE, la Carta di Identità Elettronica, segue una logica completamente diversa. Il punto centrale non è l’account, ma il documento fisico. La carta contiene un microchip contactless conforme agli standard ICAO (gli stessi dei passaporti elettronici), con certificati digitali e chiavi crittografiche che permettono operazioni di autenticazione forte. In pratica: SPID è un sistema account e cloud centric, CIE è hardware e identity centric. Questa distinzione ha conseguenze molto concrete.
Entrambi gli strumenti si inseriscono nel quadro europeo eIDAS, il regolamento UE che definisce tre livelli di garanzia per le identità elettroniche: basso, significativo, elevato. In Italia questi concetti si riflettono nei livelli di autenticazione previsti sia per SPID che per CIE. Molti pensano che i livelli siano semplicemente sovrapponibili, ma operativamente il modello tecnico sottostante cambia molto. SPID Livello 1 prevede solo username e password, il Livello 2 aggiunge un secondo fattore (OTP via SMS, app authenticator o notifica push) ed è la modalità più diffusa, mentre il Livello 3 richiede dispositivi crittografici qualificati ed è molto meno utilizzato. Anche CIE prevede tre livelli: il primo con credenziali tradizionali, il secondo con un fattore aggiuntivo tramite l’app CieID, biometria o PIN locale, il terzo che coinvolge direttamente il chip NFC della carta e la verifica crittografica associata.
Perché phishing e furto di sessione colpiscono SPID più facilmente
Negli ultimi anni gli attacchi contro le identità digitali si sono evoluti parecchio. Spesso gli aggressori non rubano la password, ma intercettano sessioni già autenticate. Gli attacchi AiTM (Adversary in the Middle) funzionano proprio così: l’utente apre un sito clone, inserisce le credenziali, approva la notifica push o l’OTP, e l’attaccante utilizza immediatamente la sessione autenticata verso il servizio reale. Uno scenario particolarmente efficace contro SPID Livello 2, perché il secondo fattore autentica l’utente ma non sempre autentica anche il contesto della sessione. Una volta completato il login, il browser conserva cookie e token temporanei: se un attaccante riesce a intercettarli, tramite reverse proxy phishing o malware infostealer, può impersonare l’utente senza dover ripetere l’autenticazione a due fattori.
CIE Livello 3, basata sul chip NFC e sulla presenza fisica del documento, introduce una forma di binding hardware molto più difficile da replicare a distanza. Non significa che la CIE sia invulnerabile, ma la complessità operativa richiesta all’attaccante aumenta enormemente.
AgID ha richiamato l’attenzione anche su un’altra categoria di attacchi: il furto d’identità tramite SPID. In questi casi l’obiettivo non è sottrarre lo SPID esistente, ma creare una nuova identità digitale intestata alla vittima presso un altro identity provider. Per riuscirci, i criminali raccolgono fotografie dei documenti, selfie, video identificativi, dati anagrafici, codice fiscale e numero di telefono. Con un set sufficiente di informazioni, possono tentare di attivare un nuovo SPID e poi modificare IBAN, intercettare rimborsi, accedere a servizi fiscali o previdenziali. Come confermato da Assocertificatori, prossimamente saranno messi a disposizione strumenti per monitorare in tempo reale gli SPID attivi associati al proprio codice fiscale.
Quando il problema è lo smartphone, non l’identità digitale
Con l’evoluzione dell’app CieID e l’introduzione della Carta di Identità Elettronica obbligatoria in Italia dal 3 agosto 2026, anche la CIE sta diventando progressivamente device centric. Molti accessi non avvengono più leggendo ogni volta la carta via NFC, ma tramite lo smartphone registrato in precedenza. Questo schema, applicabile per le piattaforme che permettono l’autenticazione con il Livello 2, sposta una parte della fiducia dal documento fisico al dispositivo mobile. La biometria utilizzata dall’app CieID non autentica direttamente l’identità civile del cittadino, bensì il possessore del dispositivo.
Il punto è che quando l’autenticazione si sposta sempre più sullo smartphone, il livello di sicurezza reale non dipende più soltanto dalla robustezza dell’identità digitale in sé, ma anche dall’affidabilità tecnica del dispositivo. Un telefono Android compromesso, alterato o con malware a privilegi elevati può interferire con il processo di autenticazione in modi profondi. Anche su iOS, pur con un modello più chiuso, jailbreak o vulnerabilità locali possono alterare il percorso sicuro tra utente e applicazione. Per questo diventano fondamentali componenti come Secure Enclave su iPhone e Trusted Execution Environment (TEE) su Android: aree hardware isolate, progettate per custodire chiavi crittografiche, token, dati biometrici e operazioni sensibili.
Un aspetto spesso sottovalutato riguarda i servizi di accessibilità su Android: nati per aiutare utenti con disabilità, rappresentano anche uno dei vettori preferiti dai malware bancari moderni. Se un’app malevola ottiene questi privilegi può leggere lo schermo, intercettare notifiche, simulare tocchi, osservare codici OTP. Ancora più insidiosi sono gli overlay attack, dove il malware sovrappone schermate fasulle sopra applicazioni legittime come login SPID, autorizzazioni CieID o app bancarie. Quando SPID o CIE diventano “mobile first”, il telefono smette di essere un semplice strumento di accesso e diventa parte integrante dell’infrastruttura di fiducia.
