Testo dell'articoloVigente
Art. 64 D.Lgs. 82/2005 CAD — Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni
In vigore dal 01/01/2006
1. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179 .
2. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179 .
2-bis. Per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell'Agenzia per l'Italia digitale, il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID). (28)
2-ter. Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'AgID, secondo modalità definite con il decreto di cui al comma 2-sexies, identificano gli utenti per consentire loro il compimento di attività e l'accesso ai servizi in rete.
2-quater. L'accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID, nonché tramite la carta di identità elettronica. Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo le modalità definiti con il decreto di cui al comma
2-sexies. Resta fermo quanto previsto dall'articolo 3-bis, comma
01. 2-quinquies. Ai fini dell'erogazione dei propri servizi in rete, è altresì riconosciuta ai soggetti privati, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell'identità digitale dei propri utenti, nonché la facoltà di avvalersi della carta di identità elettronica. L'adesione al sistema SPID ovvero l'utilizzo della carta di identità elettronica per la verifica dell'accesso ai propri servizi erogati in rete per i quali è richiesto il riconoscimento dell'utente esonera i predetti soggetti da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell' articolo 17 del decreto legislativo 9 aprile 2003, n. 70 .
2-sexies. Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro delegato per l'innovazione tecnologica e del Ministro per la pubblica amministrazione e la semplificazione, di concerto con il Ministro dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali, sono definite le caratteristiche del sistema SPID, anche con riferimento: a) al modello architetturale e organizzativo del sistema; b) alle modalità e ai requisiti necessari per l'accreditamento dei gestori dell'identità digitale; c) agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l'interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell'identità digitale nei riguardi di cittadini e imprese; (28) d) alle modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete; (28) e) ai tempi e alle modalità di adozione da parte delle pubbliche amministrazioni in qualità di erogatori di servizi in rete; f) alle modalità di adesione da parte delle imprese interessate in qualità di erogatori di servizi in rete.
2-septies. COMMA ABROGATO DAL D.LGS. 13 DICEMBRE 2017, N. 217 .
2-octies. COMMA ABROGATO DAL D.LGS. 13 DICEMBRE 2017, N. 217 . 2-nonies. L'accesso di cui al comma 2-quater può avvenire anche con la carta nazionale dei servizi.
2-decies. Le pubbliche amministrazioni, in qualità di fornitori dei servizi, usufruiscono gratuitamente delle verifiche rese disponibili dai gestori di identità digitali e dai gestori di attributi qualificati. 2-undecies. I gestori dell'identità digitale accreditati sono iscritti in un apposito elenco pubblico, tenuto da AgID, consultabile anche in via telematica. 2-duodecies. La verifica dell'identità digitale con livello di garanzia almeno significativo, ai sensi dell' articolo 8, paragrafo 2, del Regolamento (UE) n. 910/2014 del Parlamento e del Consiglio europeo del 23 luglio 2014, produce, nelle transazioni elettroniche o per l'accesso ai servizi in rete, gli effetti del documento di riconoscimento equipollente, di cui all'articolo 35 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 . ((La disposizione di cui al periodo precedente si applica altresì in caso di identificazione elettronica ai fini dell'accesso ai servizi erogati dalle pubbliche amministrazioni e dai soggetti privati tramite canali fisici)) . L'identità digitale, verificata ai sensi del presente articolo e con livello di sicurezza almeno significativo, attesta gli attributi qualificati dell'utente, ivi compresi i dati relativi al possesso di abilitazioni o autorizzazioni richieste dalla legge ovvero stati, qualità personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche, ((ovvero gli altri dati, fatti e informazioni funzionali alla fruizione di un servizio attestati da un gestore di attributi qualificati,)) secondo le modalità stabilite da AgID con Linee guida.
3. COMMA ABROGATO DAL D.LGS. 30 DICEMBRE 2010, N. 235 . (11)
3-bis. Fatto salvo quanto previsto dal comma 2-nonies, i soggetti di cui all'articolo 2, comma 2, lettera a), utilizzano esclusivamente le identità digitali SPID e la carta di identità elettronica ai fini dell'identificazione dei cittadini che accedono ai propri servizi in rete. Con uno o più decreti del Presidente del Consiglio dei ministri o del Ministro delegato per l'innovazione tecnologica e la transizione digitale è stabilita la data a decorrere dalla quale i soggetti di cui all'articolo 2, comma 2, lettera a), utilizzano esclusivamente le identità digitali SPID, la carta di identità elettronica e la Carta Nazionale dei servizi per consentire l'accesso delle imprese e dei professionisti ai propri servizi in rete, nonché la data a decorrere dalla quale i soggetti di cui all'articolo 2, comma 2, lettere b) e c) utilizzano esclusivamente le identità digitali SPID, la carta di identità elettronica e la carta Nazionale dei servizi ai fini dell'identificazione degli utenti dei propri servizi on-line. ((3-ter. I gestori dell'identità digitale accreditati, in qualità di gestori di pubblico servizio, prima del rilascio dell'identità digitale a una persona fisica, verificano i dati identificativi del richiedente, ivi inclusi l'indirizzo di residenza e, ove disponibili, il domicilio digitale o altro indirizzo di contatto, mediante consultazione gratuita dei dati disponibili presso l'ANPR di cui all'articolo 62, anche tramite la piattaforma prevista dall'articolo
50-ter. Tali verifiche sono svolte anche successivamente al rilascio dell'identità digitale, con cadenza almeno annuale, anche ai fini della verifica dell'esistenza in vita. Il direttore dell'AgID, previo accertamento dell'operatività delle funzionalità necessarie, fissa la data a decorrere dalla quale i gestori dell'identità digitale accreditati sono tenuti ad effettuare le verifiche di cui ai precedenti periodi))
Commento
L'articolo 64 ha modificato strutturalmente il modo in cui i cittadini italiani interagiscono con la pubblica amministrazione digitale. Prima dell'introduzione di SPID, ogni amministrazione gestiva autonomamente le credenziali dei propri utenti: si accumulavano decine di username e password, ognuna con regole diverse, scadenze diverse, livelli di sicurezza disomogenei. Per accedere all'INPS occorreva il PIN INPS, per l'Agenzia delle Entrate il PIN Fisconline, per l'INAIL un altro PIN, per il Comune un altro ancora. Il sistema era inefficiente, insicuro e impediva di fatto la diffusione dei servizi online. SPID risolve il problema centralizzando l'identità digitale e federandola: un'unica credenziale, certificata da un Identity Provider accreditato, consente l'accesso a tutti i servizi della PA.
L'architettura «federata» di SPID è uno dei suoi punti di forza. Il sistema non è gestito da un unico ente, ma da una pluralità di Identity Provider privati (Aruba, InfoCert, Namirial, Poste, Sielte, TIM, Lepida, Register, intesa) accreditati da AgID. Il cittadino sceglie il proprio gestore in base a preferenze di costo, usabilità o servizi aggiuntivi. I tre livelli di sicurezza permettono di calibrare l'autenticazione al rischio del servizio: livello 1 sufficiente per consultare un proprio fascicolo, livello 2 per la maggior parte degli atti dispositivi, livello 3 per operazioni ad alto impatto come accesso a dati sanitari sensibili o operazioni bancarie. La scelta è coerente con il principio di proporzionalità del Regolamento (UE) 2016/679 e con le best practice europee sull'autenticazione forte (PSD2 per i pagamenti).
Il comma 2-quater è particolarmente incisivo perché impone l'obbligo: le PA «devono» adottare SPID per i servizi che richiedono identificazione informatica. L'unica alternativa ammessa è la CIE, la carta di identità elettronica, che con il chip a contatto e con il sistema di autenticazione tramite app dedicata («CIEid») fornisce un livello di sicurezza analogo a SPID di livello 3. Le credenziali proprietarie residue sono in fase di dismissione: l'AgID ha più volte ribadito che a regime SPID e CIE saranno gli unici strumenti di identificazione verso la PA. La carta nazionale dei servizi (CNS) resta uno strumento alternativo, in particolare per professionisti che la usano insieme alla firma digitale, ma il suo ruolo è progressivamente residuale.
L'apertura al settore privato del comma 2-quinquies è una scelta strategica: trasforma SPID in un'identità digitale di sistema-Paese, utilizzabile anche oltre la PA. Banche, assicurazioni, gestori di servizi online possono evitare di onboardare autonomamente i propri clienti, sfruttando la verifica già operata dall'Identity Provider. L'esonero dall'obbligo generale di sorveglianza è un incentivo importante: il provider che usa SPID per identificare l'utente non è equiparabile a chi consente l'accesso «senza sapere» chi entra, ma può fare affidamento sulla verifica eIDAS-compliant. I problemi applicativi tipici riguardano: il digital divide, perché chi non ha SPID né CIE rischia di essere escluso dai servizi digitali (esistono procedure di assistenza presso CAF, Patronati, Postamat); l'interoperabilità transfrontaliera ai sensi del Regolamento eIDAS (UE 910/2014), che richiede ad ogni Stato membro di accettare le identità digitali notificate degli altri Stati membri (eIDAS notification); il futuro EUDI Wallet, che integrerà SPID e CIE in un portafoglio europeo di identità digitale entro il 2026. Il coordinamento con il Regolamento (UE) 2016/679 sulla protezione dei dati impone agli Identity Provider misure rigorose: tracciamento degli accessi, conservazione dei log, minimizzazione dei dati condivisi con i Service Provider. L'articolo 64 è la base normativa di una rivoluzione silenziosa che ha portato milioni di italiani a interagire quotidianamente con la PA in modo digitale.
Prassi e linee guida
· 2024
AgID
Leggi il documento su www.agid.gov.itCasi pratici
Caso 1: Accesso al fascicolo sanitario elettronico tramite SPID
Un cittadino vuole consultare il proprio fascicolo sanitario elettronico (FSE) per scaricare referti e prescrizioni. La Regione gestisce il FSE come servizio in rete con accesso autenticato. Ai sensi dell'articolo 64, comma 2-quater, del CAD, l'accesso avviene tramite SPID o CIE. Trattandosi di dati sanitari sensibili (categoria particolare ai sensi dell'articolo 9 GDPR), la Regione può richiedere SPID di livello 2 o 3 in base a valutazione del rischio. Il cittadino entra con username, password e codice OTP ricevuto via app dell'Identity Provider; la Regione, attraverso il protocollo SAML 2.0, riceve la conferma dell'identità dal provider senza acquisire la password. L'accesso è tracciato, archiviato per i log di sicurezza e accessibile al cittadino stesso ai sensi dell'articolo 15 GDPR.
Caso 2: Banca che usa SPID per identificare il cliente in apertura del conto
Una banca italiana adotta SPID come strumento di identificazione per l'apertura di un conto online. Ai sensi dell'articolo 64, comma 2-quinquies, del CAD, la banca può avvalersi del sistema SPID per gestire l'identità digitale dei propri utenti e è esonerata dall'obbligo generale di sorveglianza dell'articolo 17 del D.Lgs. 70/2003. Il cliente accede al sito della banca, sceglie l'opzione «accedi con SPID», viene reindirizzato all'Identity Provider, si autentica con livello 2, autorizza il rilascio dei propri dati anagrafici alla banca. La banca riceve nome, cognome, codice fiscale, data di nascita, indirizzo e prosegue con le altre verifiche antiriciclaggio del D.Lgs. 231/2007. L'integrazione riduce drasticamente i tempi di onboarding e i costi di KYC.
Domande frequenti
SPID è gratuito?
Dipende dal gestore. La maggior parte degli Identity Provider offre SPID di livello 2 in modo gratuito per il cittadino (Poste Italiane, Lepida, Sielte). Alcuni gestori applicano costi per la prima attivazione (per esempio per il riconoscimento via webcam) o per servizi aggiuntivi (firma elettronica con SPID, autenticazione livello 3, supporto premium). Il livello 3 con dispositivo fisico è generalmente a pagamento. Il cittadino può scegliere liberamente il proprio gestore e cambiarlo successivamente. La gratuità di SPID livello 2 per l'accesso ai servizi della PA è un principio politico più che normativo: il decreto attuativo dell'articolo 64 ha favorito il modello «freemium».
Posso accedere ai servizi della PA senza SPID né CIE?
In molti casi no, perché l'articolo 64, comma 2-quater, impone alle PA di consentire l'accesso ai servizi in rete che richiedono identificazione tramite SPID o CIE. Esistono però alternative limitate: la carta nazionale dei servizi (CNS) per chi ne è in possesso, in particolare professionisti; il livello 1 di SPID con username/password per servizi a basso rischio; canali offline (sportello fisico, telefono, raccomandata cartacea) per servizi che lo consentono. La giurisprudenza ha riconosciuto che la PA non può rifiutare di erogare un servizio essenziale per la sola mancanza di SPID/CIE: in caso di impossibilità tecnica del cittadino deve garantire vie alternative. Il digital divide resta un tema rilevante, gestito tramite assistenza CAF, patronati e Postamat.
I tre livelli SPID a cosa servono?
Livello 1 (username e password): basso rischio, consente di consultare i propri dati non sensibili. Livello 2 (username, password e secondo fattore via app o SMS): rischio medio, è il livello più diffuso per accedere a INPS, Agenzia delle Entrate, sanità, servizi comunali. Livello 3 (livello 2 più dispositivo fisico aggiuntivo, per esempio chiavetta): rischio alto, richiesto per operazioni ad alta delicatezza come accesso a dati sanitari sensibili, dichiarazioni di volontà rilevanti, transazioni economiche elevate. La PA che progetta un servizio digitale sceglie il livello SPID minimo richiesto in base a una valutazione del rischio, applicando il principio di proporzionalità.
SPID funziona all'estero?
Sì, in modo limitato. Il sistema SPID è stato notificato dall'Italia ai sensi del Regolamento eIDAS (UE 910/2014) come «mezzo di identificazione elettronica» con livello di garanzia alto. Gli altri Stati membri UE sono quindi obbligati ad accettare SPID per l'accesso ai propri servizi pubblici online, secondo la procedura di interoperabilità eIDAS. In pratica, un cittadino italiano può accedere con SPID a servizi pubblici tedeschi, francesi, spagnoli che hanno integrato il sistema eIDAS. Il livello di copertura cresce progressivamente. Entro il 2026 è prevista l'integrazione di SPID nell'EUDI Wallet, il portafoglio europeo di identità digitale che renderà l'esperienza transfrontaliera fluida e standardizzata.
Vedi anche