Guida pratica
Accreditamento AgID per SPID: tempi reali, costi nascosti e iter passo-passo
Un'analisi onesta dei tempi e dei costi effettivi di un accreditamento Service Provider SPID presso AgID, basata su decine di onboarding effettivi tra il 2022 e il 2026. Include le voci di costo "non dichiarate" che molte aziende scoprono solo a meta' del progetto.
Cosa AgID dichiara ufficialmente
La pagina ufficiale dei Service Provider SPID di AgID indica una tempistica massima di "30 giorni lavorativi" dalla protocollazione della PEC di richiesta accreditamento. Il sito riporta inoltre che l'iter di accreditamento e' "gratuito" e che le sole voci di costo sono quelle tariffarie a transazione (per i privati) regolate dall'Allegato 4.
Tecnicamente e' vero. Praticamente, nessuno arriva mai a quella tempistica al primo invio e il "costo zero" e' largamente ottimistico.
I tempi reali, fascia per fascia
Fase 1: preparazione tecnica e documentale (2-8 settimane prima della PEC)
Prima ancora di scrivere ad AgID occorre:
- implementare il SP SAML 2.0 con profilo AgID (firma XML-DSig, attributi, codifica AuthnRequest);
- generare i metadata, firmarli e pubblicarli su HTTPS valido;
- validarli con il Validator SPID fino a passare tutti i check;
- compilare la convenzione, firmare in PAdES;
- preparare l'ODS con i servizi;
- (se privati) ottenere visura camerale recente.
Tempi tipici: 2 settimane per team con esperienza SAML, 6-8 settimane per team che parte da zero. Questa fase non e' contata nei "30 giorni AgID" ma e' quella che determina il vero costo del progetto.
Fase 2: protocollazione e prima lavorazione (5-15 giorni)
Inviata la PEC, AgID conferma il protocollo entro 48-72 ore. La prima lavorazione tecnica comincia tipicamente 5-15 giorni dopo, a seconda del carico del momento. In questa fase un tecnico AgID controlla i metadata, la coerenza tra ODS e XML, la validita' della convenzione.
Fase 3: iterazioni di correzione (0-60 giorni aggiuntivi)
E' la fase piu' variabile. Se la documentazione e' perfetta, si salta direttamente alla pubblicazione. Se ci sono problemi (e' il caso piu' frequente al primo invio), AgID risponde via PEC con una "richiesta di integrazione" indicando puntualmente cosa correggere. Tempistica per chiudere l'iterazione: 1-2 settimane lato vostro per correggere e re-inviare, poi nuova attesa di 5-15 giorni per la verifica successiva.
I casi reali si distribuiscono cosi':
- 30%: zero iterazioni, accreditamento al primo tentativo (tipicamente realta' che si appoggiano a service provider tecnici esperti).
- 50%: 1-2 iterazioni, accreditamento in 45-75 giorni.
- 15%: 3-5 iterazioni, oltre 90 giorni.
- 5%: blocco prolungato, richieste tecniche complesse, oltre 6 mesi.
Fase 4: pubblicazione nel Registry (1-3 giorni)
Una volta che AgID approva, la pubblicazione del SP nello SPID Registry avviene di solito entro 24-72 ore. Da quel momento gli IdP propagano i metadata e l'autenticazione e' operativa.
Costi diretti: SP pubblico vs SP privato
Soggetto pubblico
La procedura e' completamente gratuita. Non si pagano ne' AgID ne' gli IdP. I cittadini si autenticano senza costo per il SP. Il SP pubblico paga solo i propri costi infrastrutturali (server, gestione metadata).
Soggetto privato: tariffazione per autenticazione
Allegato 4 stabilisce range tariffari per autenticazione SPID, in 3 fasce di volume annuale. Le tariffe sono pattuite con il singolo IdP. Negli ultimi 2 anni si sono stabilizzate intorno a:
- Fino a 100.000 auth/anno: 0,29 - 0,40 EUR (L2), 0,40 - 0,60 EUR (L3).
- 100k - 1M: 0,17 - 0,29 EUR (L2), 0,25 - 0,40 EUR (L3).
- Oltre 1M: 0,008 - 0,17 EUR (L2).
L'SP privato deve stipulare contratti separati con ogni IdP che vuole offrire (consigliato almeno 4-5, idealmente tutti, per massimizzare conversione). Ogni IdP ha la sua scala e le sue minime annuali.
Costi nascosti che il progetto SPID porta con se'
- Sviluppo SAML interno: implementare da zero un SP conforme richiede tra 3 e 6 mesi-uomo, secondo l'esperienza del team. Costo indicativo 25.000-60.000 EUR. Le librerie open source (SimpleSAMLphp, OneLogin SAML, agid/spid-php) abbattono questo numero ma richiedono manutenzione costante perche' AgID rilascia avvisi tecnici 2-3 volte l'anno che richiedono adeguamenti.
- Certificati X.509: serve un certificato per firmare metadata + uno per firmare AuthnRequest + idealmente uno separato per decriptare le assertion. Tipicamente 3 certificati di firma a 200-400 EUR/anno l'uno presso CA accreditate.
- Hosting metadata HTTPS: i metadata devono essere serviti H24, con certificato pubblico valido. Per la stragrande maggioranza degli enti non e' un costo aggiuntivo ma lo diventa per piccole realta' che ospitavano staticamente.
- Adeguamenti normativi ricorrenti: ogni 12-18 mesi AgID pubblica un avviso tecnico che richiede modifiche (rotazione algoritmi crittografici, nuovi attributi, nuovi requisiti firma metadata). Budget 5-15 giorni-uomo l'anno di manutenzione.
- Audit GDPR e DPIA: se trattate dati sanitari, di minori, o di particolare interesse, una DPIA e' obbligatoria. Costo tipico 5.000-15.000 EUR ad audit esterno.
- Test di sicurezza periodici: i provider seri eseguono penetration test annuali sull'endpoint SAML. Costo 3.000-10.000 EUR.
Confronto con alternative as-a-service
Per molti SP, soprattutto PMI e ordini professionali medi, la strada in-house non e' la piu' efficiente. Un servizio Auth-as-a-Service per SPID e CIE delega l'integrazione SAML a un fornitore specializzato che mantiene i metadata, applica gli avvisi tecnici e gestisce gli IdP. Il SP paga un canone mensile fisso e si concentra sul proprio servizio applicativo. Il costo totale di possesso a 3 anni e' tipicamente 40-70% inferiore alla soluzione in-house, soprattutto considerando i ricambi di personale.
Vuoi tagliare l'iter AgID da 90 a 30 giorni?
Forniamo metadata pre-validati, supporto alla PEC con oggetto corretto, e gestiamo le iterazioni con AgID al posto vostro.