Guida pratica
Onboarding CIE presso il Ministero dell'Interno: la procedura completa
L'integrazione della CIE (Carta d'Identita' Elettronica) richiede un onboarding separato da SPID, gestito direttamente dal Ministero dell'Interno tramite il portale federazione di cartaidentita.interno.gov.it. Questa guida raccoglie l'iter reale documentato dalle Linee Guida e dalle FAQ ministeriali, con le particolarita' che differiscono significativamente da SPID.
Cosa cambia rispetto a SPID
L'onboarding CIE non passa da AgID. Il referente unico e' il Ministero dell'Interno, in particolare la Direzione Centrale per i Servizi Demografici. Tre differenze critiche:
- Esiste un solo Identity Provider, gestito dal Ministero:
idserver.servizicie.interno.gov.it. Non c'e' federazione con provider privati. - La fornitura ai SP del modulo software ufficiale di test (lato server e lato app) e' subordinata alla firma di un accordo NDA.
- Il protocollo SAML CIE ha differenze rispetto al profilo SPID: gli attributi sono in italiano, c'e' un elemento
cie:namespace dedicato e gli algoritmi di firma accettati sono leggermente piu' restrittivi (no SHA-1, no RSA-1024).
Requisiti preliminari
- Essere una Pubblica Amministrazione, un gestore di servizi pubblici, oppure un soggetto privato. I privati possono accedere ma con un iter di verifica piu' approfondito sulla finalita' del servizio.
- Disporre di un sito o servizio digitale che abbia bisogno di autenticare cittadini italiani.
- Disporre di un endpoint HTTPS pubblico con certificato pubblico valido per i metadata SP.
- Aver implementato (o stare per implementare) un Service Provider SAML 2.0 conforme alle Linee Guida CIE.
Le 4 fasi dell'onboarding
Fase 1: registrazione sul portale federazione
Si parte dal portale federazione CIE: federazione.servizicie.interno.gov.it. Il legale rappresentante o un delegato dell'ente effettua la prima registrazione caricando:
- dati anagrafici dell'ente, partita IVA, codice fiscale;
- codice IPA (se PA);
- documento di identita' del legale rappresentante;
- delega scritta se il caricamento e' fatto da un delegato.
Il Ministero verifica la richiesta entro 5-10 giorni lavorativi e abilita l'utenza al portale per le fasi successive.
Fase 2: configurazione ambiente di pre-produzione
Una volta autenticati al portale, si carica:
- il file XML dei metadata SP firmati XML-DSig;
- la descrizione del servizio: nome, URL, livello SPID/CIE richiesto (L1/L2/L3), attributi richiesti tra quelli ammessi (cognome, nome, dataNascita, codiceFiscale, ecc.);
- finalita' del trattamento ex GDPR;
- contact person tecnico e di servizio.
Il Ministero fornisce le coordinate dell'ambiente di pre-produzione: un IdP CIE di test, completo di carte di prova virtualizzate, su cui il SP puo' verificare il flusso end-to-end senza interferire con la produzione.
Fase 3: test funzionali e validazione
Il SP esegue una serie di test imposti dal Ministero (la "test suite"):
- autenticazione corretta L1/L2/L3;
- fallimenti gestiti correttamente: utente annulla, IdP irraggiungibile, assertion scaduta;
- logout SLO funzionante con LogoutRequest e LogoutResponse firmate;
- respinta correttamente di assertion con firma invalida;
- gestione di IsPassive=true e ForceAuthn=true.
I log dei test vanno raccolti e inviati come prova al Ministero (in genere export dei log SAML del SP, ben formattati). Questa fase richiede 1-3 settimane di lavoro lato SP, plus eventuali correzioni.
Fase 4: passaggio in produzione
Approvata la test suite, il Ministero approva il passaggio in produzione. Il SP aggiorna i metadata indicando l'EntityID di produzione (puo' essere diverso o uguale a quello di pre-produzione), che vengono pubblicati nel federation registry. A questo punto le carte CIE reali dei cittadini possono autenticarsi al servizio.
Specificita' tecniche da non sottovalutare
- Namespace cie: i metadata e le assertion hanno un namespace dedicato
xmlns:cie="https://www.servizicie.interno.gov.it"per gli attributi specifici della carta (es.cie:NumeroCarta). - Attributi in italiano:
nome,cognome,dataNascita,codiceFiscale,luogoNascita,provinciaNascita,statoNascita,indirizzoDomicilio, ecc. - Algoritmi firma: solo RSA-SHA256 o RSA-SHA512. SHA-1 esplicitamente rifiutato dal 2021. RSA-2048 minimo, ECDSA accettato.
- SLO obbligatorio: il SingleLogout e' obbligatorio. Un SP CIE deve gestire LogoutRequest firmata e rispondere con LogoutResponse firmata.
- Validita' assertion: NotOnOrAfter massimo 60 secondi dopo NotBefore. Tolleranza orologio massima 5 minuti.
- Lettura QR per desktop: il flusso desktop richiede l'integrazione del modulo JavaScript ufficiale che genera il QR code per l'app CieID. Non e' opzionale per servizi pubblici.
L'app CieID e il flusso utente
Dal punto di vista del cittadino il flusso e':
- Clicca su "Entra con CIE" sul portale del SP.
- Viene rediretto su
idserver.servizicie.interno.gov.it(URL del Ministero). - Sceglie la modalita': smartphone NFC + QR (piu' diffusa) o lettore desktop o app CieID mobile diretta se gia' su mobile.
- Inserisce il PIN della carta (8 cifre, scelto al momento del rilascio o ricavato dalla seconda meta' nella ricevuta del Comune).
- Conferma il consenso al rilascio dei dati al SP.
- Torna sul sito del SP gia' autenticato.
Il PIN e' un punto critico UX: circa il 18% dei tentativi di login CIE fallisce per PIN errato o dimenticato (dato MinInterno 2025). Il SP non puo' fare nulla per questo, ma puo' migliorare la conversion mostrando preventivamente un avviso del tipo "Tieni a portata di mano il PIN che hai ricevuto in due meta', una dal Comune e una nella busta separata".
Vuoi integrare CIE senza scrivere SAML da zero?
Il nostro modulo CIE e' gia' validato dal Ministero, gestisce QR desktop, NFC mobile e lettore USB con la stessa API.