Guida normativa

Normativa SPID e CIE aggiornata al 2026: cosa devi sapere

Mappa ragionata della normativa italiana e europea che regola SPID, CIE ed eIDAS, con i riferimenti puntuali per chi deve giustificare scelte tecniche e organizzative. Include gli Avvisi Tecnici AgID piu' recenti e l'impatto del Regolamento eIDAS 2.0 in vigore dal 2024.

Tempo di lettura: 10 minuti — Aggiornata al 2026

Il quadro a tre livelli: nazionale primario, regolamentare, tecnico

La normativa SPID-CIE in Italia si articola su tre livelli:

  1. Norme primarie: leggi e decreti legislativi (CAD, GDPR, eIDAS).
  2. Norme regolamentari: DPCM, regolamenti AgID, determinazioni AgID.
  3. Specifiche tecniche: avvisi e linee guida tecniche di AgID e del Ministero dell'Interno.

Livello 1 - Norme primarie

D.Lgs. 82/2005 (CAD - Codice dell'Amministrazione Digitale)

Pilastro dell'identita' digitale italiana. Articoli rilevanti:

  • Art. 64: stabilisce che le PA e i gestori di servizi pubblici "consentono l'accesso ai servizi in rete da loro erogati che richiedono identificazione informatica attraverso lo SPID, nonche' tramite la Carta di Identita' Elettronica". Aggiornato dal D.L. 76/2020 ("Semplificazioni") che ha reso obbligatoria CIE in aggiunta a SPID.
  • Art. 64-bis: punto di accesso telematico ai servizi (AppIO).
  • Art. 65: efficacia probatoria delle istanze e dichiarazioni presentate tramite SPID o CIE: equivalente alla sottoscrizione autografa per il diritto privato.

DPCM 24 ottobre 2014

"Definizione delle caratteristiche del sistema pubblico per la gestione dell'identita' digitale di cittadini e imprese (SPID), nonche' dei tempi e delle modalita' di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese". Atto fondativo dello SPID, definisce ruoli (IdP, SP, gestore attributi), livelli, principi di funzionamento.

Regolamento (UE) 910/2014 - eIDAS 1

Regolamento europeo che definisce i livelli di garanzia (LoA - Level of Assurance) "low", "substantial", "high" e impone il mutuo riconoscimento delle identita' digitali tra Stati membri. Mapping italiano: L1 = low, L2 = substantial, L3 = high.

Regolamento (UE) 2024/1183 - eIDAS 2.0

In vigore dal 2024. Introduce l'European Digital Identity Wallet (EUDIW), obbligatorio per ogni Stato membro entro fine 2026. Cambia profondamente il paradigma: dal modello "IdP centralizzato" al modello "wallet sotto controllo del cittadino con Verifiable Credentials". Per gli SP italiani significa una integrazione aggiuntiva (non sostitutiva) tramite OpenID4VP.

Regolamento (UE) 2016/679 - GDPR

Si applica ovviamente anche a SPID/CIE. Per gli SP gli articoli chiave sono:

  • Art. 6 - base giuridica del trattamento (per la PA: esercizio di pubblici poteri; per i privati: contratto o consenso).
  • Art. 13 - informativa obbligatoria al cittadino prima del trattamento.
  • Art. 32 - misure di sicurezza adeguate al rischio.
  • Art. 35 - DPIA obbligatoria per trattamenti su larga scala di dati identificativi (es. portale di un ordine professionale nazionale).

Livello 2 - Regolamenti AgID

Regolamenti SPID (numerati AgID)

  • Regolamento sulle modalita' di accreditamento: l'iter dei SP e degli IdP.
  • Regolamento Linee Guida operative: regole operative correnti per SP e IdP.
  • Allegato 4 alle Linee Guida: tariffario delle autenticazioni per SP privati.

Importante: gli "allegati" alle Linee Guida vengono aggiornati indipendentemente dal testo principale. L'Allegato 4 sulle tariffe e' stato aggiornato l'ultima volta nel 2024.

Determinazioni AgID

Atti puntuali (es. l'accreditamento di un nuovo IdP, la modifica di un parametro tecnico). Da monitorare nella sezione "Atti" del sito AgID.

Livello 3 - Avvisi e Linee Guida Tecniche

Avvisi Tecnici SPID

Numerati progressivamente, definiscono dettagli implementativi del protocollo SAML SPID. Quelli piu' rilevanti per gli SP:

  • Avviso 1: registrazione di IdP e SP.
  • Avviso 5/6: regole tecniche di firma metadata.
  • Avviso 18: requisiti tecnici SP per il livello SPID per le PA.
  • Avviso 19 e successivi: rotazione algoritmi crittografici (deprecazione SHA-1, requisiti RSA-2048+).
  • Avviso 41: linee guida sulle interfacce utente (bottone smart SPID, scelta IdP).

Documenti di test e conformita'

  • Test Plan SP: documento AgID che elenca i test che un SP deve superare nel validator.
  • Regole tecniche per SP-pubblico e SP-privato: documenti distinti che dettagliano le differenze (tariffe, attributi richiedibili, audit).

Normativa CIE

Le fonti CIE sono in parte sovrapposte e in parte distinte:

  • D.M. 8 settembre 2022: definisce le caratteristiche tecniche della CIE 3.0 e le modalita' di utilizzo per l'autenticazione.
  • Linee Guida per il SP CIE, emanate dal Ministero dell'Interno: dettano specifiche SAML differenti da quelle SPID (namespace cie:, attributi italiani, ecc.).
  • Convenzione SP-Ministero Interno: l'analogo della convenzione AgID per SP SPID, da firmare per l'onboarding CIE.

Normativa correlata che impatta gli SP

Legge 4/2004 (Accessibilita')

La "Legge Stanca" impone l'accessibilita' dei siti delle PA e dei concessionari di servizi pubblici. Le pagine di login SPID/CIE sono coperte: devono superare i requisiti WCAG 2.1 livello AA. Il bottone smart SPID e' progettato AgID per essere conforme.

D.Lgs. 196/2003 + GDPR per categorie particolari

Se il SP tratta dati di salute (es. portali sanitari), si applicano gli articoli sui dati genetici, biometrici, di salute (art. 9 GDPR), con regole rinforzate: DPIA quasi sempre obbligatoria, minimizzazione attributi richiesti, cifratura at rest.

D.L. 76/2020 e D.L. 77/2021

I "Decreti Semplificazioni" 2020 e 2021 hanno spinto l'obbligo di SPID/CIE per la PA e introdotto l'AppIO come "punto di accesso telematico" universale.

Tabella sintetica per consultazione rapida

TemaRiferimento
Obbligo PA di accettare SPID e CIEArt. 64 D.Lgs. 82/2005
Valore legale firma SPIDArt. 65 D.Lgs. 82/2005
Livelli di garanzia LoAReg. UE 910/2014 art. 8
Wallet europeoReg. UE 2024/1183
Definizione SPIDDPCM 24/10/2014
Tariffe SP privatiAllegato 4 Linee Guida AgID
Accessibilita' bottoneLegge 4/2004 + WCAG 2.1 AA
DPIA obbligatoriaArt. 35 GDPR
Specifiche CIED.M. 8/9/2022 + Linee Guida MinInterno
Test plan SP SPIDSez. Documenti tecnici AgID

Come restare aggiornati

Le fonti ufficiali da monitorare:

  • AgID sezione "Notizie" e "Avvisi Tecnici" per SPID.
  • cartaidentita.interno.gov.it per CIE.
  • Gazzetta Ufficiale per decreti e regolamenti.
  • Newsletter AgID per addetti ai lavori.

Vuoi un partner che ti tiene aggiornato sulla normativa?

IngressoDigitale recepisce gli Avvisi Tecnici AgID e li applica al nostro gateway senza che tu debba modificare il tuo software.

IngressoDigitale fa parte dell'ecosistema Ordix, suite completa di gestionali per enti pubblici e ordini professionali. Scopri Ordix