Guida pratica

Come diventare Service Provider SPID: procedura completa, costi e tempi

Una guida pratica passo-passo per accreditarsi come Service Provider SPID presso AgID, distinguendo correttamente l'iter per soggetti pubblici (qualifica come SP-Pubblico) e privati (SP-Privato a tariffa). Documenti, indirizzi PEC, oggetto della comunicazione, tempistiche reali e checklist finale aggiornata alle Linee Guida AgID vigenti.

Tempo di lettura: 12 minuti — Aggiornata al 2026

Cos'e' un Service Provider SPID

Il Service Provider (SP) e' il soggetto che eroga un servizio digitale ai cittadini e accetta l'identita' SPID come metodo di autenticazione. Tecnicamente e' un componente SAML 2.0 che instaura un flusso di autenticazione con uno qualunque degli Identity Provider (IdP) accreditati AgID: Aruba, InfoCert, Intesa, Lepida, Namirial, Poste, Register, Sielte, TeamSystem, TIM.

Per essere riconosciuto come SP ufficiale e comparire negli aggregati di metadata spid-sp-public o spid-sp-private, e' necessario completare l'iter di accreditamento presso AgID. Senza accreditamento, gli IdP non accettano richieste di autenticazione dal vostro endpoint, anche se i metadata sono tecnicamente validi.

Soggetto pubblico o privato? Conseguenze pratiche

La prima distinzione fondamentale e' la natura giuridica del soggetto richiedente. La normativa di riferimento e' il Regolamento recante le modalita' attuative per la realizzazione dello SPID (DPCM 24 ottobre 2014) e successive Linee Guida AgID. Le due strade sono:

  • SP-Pubblico: Pubbliche Amministrazioni (D.Lgs. 165/2001 art. 1 comma 2), gestori di pubblici servizi, ordini professionali nazionali e provinciali, universita', scuole, ASL. Procedura gratuita. Oggetto PEC: 00010 - Adesione SPID - elenco servizi pubblici aggiornato al GG/MM/AAAA.
  • SP-Privato: societa' commerciali, associazioni private, fondazioni non riconosciute come pubblico interesse. Procedura a tariffa secondo l'Allegato 4 alle Linee Guida (range indicativo: 0,008 - 0,40 euro a transazione di autenticazione, in base a fasce di volume e livello di sicurezza). Oggetto PEC: 00011 - Adesione SPID - elenco servizi privati aggiornato al GG/MM/AAAA.

Gli ordini professionali rientrano nella categoria SP-Pubblico in quanto enti pubblici non economici a base associativa, come ribadito anche dal parere AgID alla FNOMCeO del 2018. Federazioni come FNOMCeO, CNF, CNI, CNN possono accreditarsi a livello federale e abilitare poi i singoli ordini provinciali come servizi sotto la stessa convenzione.

Documenti da preparare

Indipendentemente dalla categoria, AgID richiede una documentazione minima. Tutti i PDF devono essere firmati digitalmente in formato PAdES (firma incorporata nel PDF) dal legale rappresentante. Le firme CAdES (file .p7m) non sono accettate per la convenzione principale.

  1. Convenzione AgID-SP compilata e firmata PAdES. Il modello e' scaricabile dal sito AgID e va personalizzato con dati anagrafici dell'ente, IPA per soggetti pubblici, codice fiscale e partita IVA.
  2. Elenco dei servizi accessibili tramite SPID (formato ODS o XLSX, modello AgID): per ogni servizio occorre indicare nome, URL, livello SPID richiesto (L1/L2/L3), attributi richiesti dal cittadino, finalita' del trattamento.
  3. Metadata SP firmati: file XML SAML 2.0 EntityDescriptor firmato XML-DSig con un certificato X.509 valido. Il certificato di firma metadata e' tipicamente lo stesso usato per firmare le AuthnRequest, ma puo' essere distinto.
  4. Visura camerale aggiornata (solo soggetti privati).
  5. Dichiarazione sostitutiva ex DPR 445/2000 di possesso dei requisiti tecnici e organizzativi.
  6. Documento di identita' del firmatario (allegato).

Preparare i metadata: requisiti tecnici

I metadata SAML del Service Provider devono rispettare scrupolosamente l'Avviso Tecnico AgID di riferimento. Errori comuni che causano rigetto della richiesta:

  • EntityID che non corrisponde esattamente all'URL pubblico dell'endpoint metadata (deve essere HTTPS e raggiungibile).
  • AssertionConsumerService (ACS) e SingleLogoutService (SLS) su URL non HTTPS o con certificato self-signed.
  • Mancanza dell'estensione SPID spid:ContactPerson con elemento spid:Entity e i campi VATNumber, IPACode (pubblici) o FiscalCode.
  • Attributi richiesti non dichiarati nel md:AttributeConsumingService.
  • Certificato di firma metadata scaduto o non chain di CA accreditata.

Validare sempre i metadata con il Validator SPID ufficiale di AgID (https://validator.spid.gov.it/) prima della trasmissione. Lo strumento esegue check XSD, XAdES, conformita' alle regole tecniche e blocca gran parte degli errori formali.

La PEC di accreditamento

Una volta che documenti e metadata sono pronti, si invia una PEC unica a:

Destinatario: protocollo@pec.agid.gov.it

Oggetto: rispettare la forma esatta richiesta:

  • Soggetto pubblico: 00010 - Adesione SPID - elenco servizi pubblici aggiornato al GG/MM/AAAA
  • Soggetto privato: 00011 - Adesione SPID - elenco servizi privati aggiornato al GG/MM/AAAA

Allegati: convenzione PAdES, file ODS dei servizi, metadata XML, visura (se privato), dichiarazione sostitutiva, documento identita'.

Nel corpo della PEC non e' necessario altro testo formale: AgID processa partendo dall'oggetto codificato. Una PEC di conferma protocollo arriva tipicamente entro 48 ore.

Tempi reali di accreditamento

I tempi dichiarati da AgID sono "fino a 30 giorni lavorativi" dalla protocollazione, ma la realta' osservata su decine di accreditamenti effettivi e':

  • 30-45 giorni: pratica completa, metadata validi al primo invio, ente pubblico noto.
  • 60-90 giorni: presenza di una integrazione iterativa con AgID che richiede correzioni a metadata o convenzione.
  • oltre 90 giorni: soggetti privati con richieste complesse di attributi (es. attributi sanitari), prima volta in assoluto del soggetto, picchi di lavoro AgID (es. fine anno).

Una volta accolta la richiesta, AgID pubblica il SP nel SPID Registry e dal quel momento gli IdP riconoscono le AuthnRequest in arrivo. Dal momento della pubblicazione, il login SPID e' operativo immediatamente.

Errori comuni che fanno respingere la richiesta

  1. EntityID non univoco: usare un identificativo che e' gia' registrato come SP da un altro soggetto.
  2. Convenzione firmata in CAdES anziche' PAdES: AgID rigetta automaticamente.
  3. Elenco servizi disallineato dai metadata: i nomi servizio nell'ODS devono combaciare con gli AttributeConsumingService SAML.
  4. Attributi non motivati: richiedere attributi sensibili senza giustificazione (es. placeOfBirth per un servizio che non ne ha bisogno).
  5. Livello SPID sproporzionato: chiedere L3 per servizi a basso rischio (download moduli, lettura informazioni) viene contestato.

E dopo? CIE, accessibilita', GDPR

Diventare SP SPID non vi rende automaticamente SP CIE. L'iter di onboarding presso il Ministero dell'Interno per CIE e' separato e va affrontato in parallelo. Praticamente tutti i servizi pubblici sono oggi obbligati ad accettare anche la CIE oltre allo SPID (art. 64 CAD).

Inoltre, in quanto SP che tratta dati di identificazione, siete Titolare del trattamento dei dati personali raccolti dall'autenticazione SPID. Andra' aggiornata l'informativa privacy, valutata una DPIA se trattate dati sanitari o di soggetti vulnerabili, e configurati i registri ex art. 30 GDPR.

Checklist finale di pre-invio

  • Endpoint metadata raggiungibile via HTTPS, certificato pubblico valido.
  • Metadata validati senza errori dal Validator AgID.
  • Convenzione PAdES sottoscritta dal legale rappresentante con dati anagrafici corretti.
  • Elenco servizi ODS coerente con i metadata.
  • Documento di identita' del firmatario in corso di validita'.
  • (Privati) Visura camerale non oltre 6 mesi.
  • PEC del mittente attiva e accreditata.
  • Oggetto della PEC esattamente nel formato AgID, con la data aggiornata.

Hai bisogno di accreditarti senza perdere mesi?

IngressoDigitale fornisce metadata pre-validati AgID, supporto alla PEC e setup completo dell'integrazione SAML in pochi giorni.

Domande frequenti

Posso accreditarmi come SP prima di avere il software pronto?

Tecnicamente si', ma e' sconsigliato. I metadata devono puntare a endpoint reali e raggiungibili. Meglio completare almeno la fase di test con un IdP demo prima di richiedere l'accreditamento.

Quanto costa l'accreditamento per un soggetto privato?

L'iter in se' e' gratuito. Il costo deriva dalle transazioni: ogni autenticazione SPID di un cittadino viene tariffata secondo l'Allegato 4 (fasce di volume, livello SPID, tipologia servizio). Si pagano gli IdP, non AgID.

Devo accreditarmi separatamente per ogni servizio?

No. Un SP accredita una "entita' SAML" (EntityID) che puo' raggruppare piu' servizi distinti tramite AttributeConsumingService diversi. Aggiungere un nuovo servizio richiede pero' un aggiornamento dell'elenco ODS e una nuova PEC di "aggiornamento elenco servizi".

Posso usare un EntityID di test (.local, .test) ?

No. EntityID deve essere un URL HTTPS pubblico, raggiungibile, che produce i metadata firmati. Per la fase di sviluppo si usa l'IdP demo SPID (validator), ma anche li' serve un endpoint pubblico.

IngressoDigitale è il modulo di identità digitale della piattaforma Ordix: 1.800 ordini professionali e PA lo usano. Vai al sito Ordix