Inserisci una parola chiave per iniziare la ricerca
Ricerca in corso...
C'è un momento in cui ogni transizione tecnologica espone al rischio maggiore: non quando il vecchio sistema è ancora pienamente operativo, né quando il nuovo è già consolidato, ma nel mezzo, quando i due coesistono e le responsabilità si sovrappongono senza che nessuno le abbia chiarite fino in fondo. È esattamente la situazione che stanno vivendo oggi milioni di cittadini italiani, sospesi tra lo SPID che si avvia al tramonto e la Carta d'Identità Elettronica che avanza come unico strumento di autenticazione pubblica.
Le novità previste entro il corso dell'anno indicano la progressiva sostituzione dello SPID con la CIE e l'introduzione dell'IT Wallet digitale: si tratta di un cambiamento epocale nell'identità digitale in Italia, con l'addio graduale allo SPID in favore di un sistema unico basato sulla Carta d'Identità Elettronica. La decisione nasce dalla volontà di creare un sistema di identificazione digitale unico, più sicuro e pienamente controllato dallo Stato: a differenza dello SPID, gestito da diversi provider privati come Poste Italiane, Aruba e Infocert, la CIE è emessa direttamente dallo Stato, dal Ministero dell'Interno, ed è al contempo un documento fisico e digitale con elevati standard di sicurezza, basati su microchip e autenticazione a più livelli.
Fin qui, la narrazione ufficiale. Ma il giurista che guarda questa transizione con occhio critico vede un problema che nessuna campagna istituzionale ha ancora affrontato con chiarezza: durante la fase di coesistenza dei due sistemi, e in caso di utilizzo abusivo dell'identità digitale, chi paga? L'utente che non ha ancora aggiornato i documenti, l'Identity Provider che non ha verificato con sufficiente rigore, o la Pubblica Amministrazione che ha erogato un servizio a chi non ne aveva diritto?
Il quadro penale: frode informatica e identità digitale, un'aggravante sempre più ampia
Il punto di partenza è l'art. 640-ter del codice penale, che disciplina la frode informatica. Il terzo comma prevede un'aggravante specifica per i fatti commessi con "furto o indebito utilizzo dell'identità digitale." La giurisprudenza della Cassazione ha progressivamente ampliato il perimetro di questa nozione fino a comprendervi non solo le credenziali SPID o CIE, ma qualsiasi forma di accesso autenticato a sistemi informatici, pubblici o privati.
In tema di frode informatica, la nozione di "identità digitale" che integra l'aggravante di cui all'art. 640-ter, comma terzo, c.p., non presuppone una procedura di validazione adottata dalla Pubblica Amministrazione, ma trova applicazione anche nel caso di utilizzo di credenziali di accesso a sistemi informatici gestiti da privati: così ha stabilito la Cassazione penale, Sez. II, sentenza n. 13559 del 14 febbraio 2024.
Questa linea interpretativa è stata ribadita e consolidata più di recente. Come chiarito dalla Cass. Pen., Sez. II, sentenza n. 3177 del 26 gennaio 2026, quando l'induzione in errore della persona offesa è posta in essere al fine di ottenere le credenziali di accesso a un sistema informatico, ma l'atto di disposizione patrimoniale avviene mediante intervento abusivo sul sistema stesso, la fattispecie integra il reato di frode informatica e non quello di truffa. La distinzione non è di poco conto: la frode informatica comporta la procedibilità d'ufficio e pene più severe rispetto alla truffa ordinaria.
Sul versante della sostituzione di persona, il quadro si è chiarito ulteriormente. Il furto di identità digitale trova la sua principale tutela penale nel reato di sostituzione di persona ex art. 494 c.p., che la giurisprudenza ha esteso alle condotte telematiche. La Cassazione Penale, Sez. II, sentenza n. 14467 del 14 aprile 2025, ha precisato che il delitto è configurabile nella forma del tentativo quando l'agente abbia compiuto solo una parte delle condotte necessarie al perfezionamento della sostituzione.
Infine, le recenti modifiche introdotte dalla legge n. 90/2024 hanno significativamente inasprito le pene per i reati informatici, introducendo una nuova circostanza aggravante per i fatti commessi "a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione."
La zona grigia: responsabilità civile degli Identity Provider e lacune di tutela
Se il diritto penale ha raggiunto una discreta coerenza nell'inquadrare le condotte del reo, la responsabilità civile degli attori del sistema rimane terreno quasi inesplorato. Quando uno SPID viene attivato fraudolentemente — perché l'Identity Provider non ha eseguito con sufficiente rigore il riconoscimento del richiedente — e con quelle credenziali false viene commessa una frode ai danni del cittadino che ne ignorava l'esistenza, chi risponde?
La questione non è teorica. L'ecosistema digitale pubblico italiano continua a basarsi su una fiducia implicita nel comportamento diligente del cittadino, ma lo fa senza fornirgli strumenti reali di controllo e autodifesa; le piattaforme degli Identity Provider, da PosteID a Lepida, da Aruba a TIM, non sempre adottano misure robuste di verifica dei duplicati, né procedure di audit trasparente.
Il GDPR offre un aggancio normativo rilevante. Dal punto di vista giuridico, occorre chiarire la responsabilità solidale tra Identity Provider e utenti, anche alla luce degli artt. 5, 24 e 32 del GDPR, che impongono misure tecniche e organizzative adeguate al rischio. In concreto, un Identity Provider che abbia adottato procedure di riconoscimento inadeguate, consentendo così a un terzo di attivare un'identità digitale a nome altrui, potrebbe essere chiamato a rispondere ai sensi dell'art. 82 del Regolamento europeo per il danno subito dall'interessato, fatta salva la prova liberatoria che l'evento non fosse ad esso imputabile.
Il passaggio alla CIE dovrebbe, almeno in teoria, ridurre questo rischio: ogni identità digitale ha un "livello di sicurezza" riconosciuto anche dall'Unione Europea a seconda delle modalità con cui viene rilasciata; in questo ambito, la CIE si configura come un'identità digitale più sicura e forte rispetto allo SPID. Ma la sicurezza del documento fisico non elimina il rischio di compromissione delle credenziali digitali che su di esso si appoggiano, specie se il titolare non attiva i meccanismi di autenticazione a doppio fattore.
Un aspetto che merita riflessione critica è la questione della provenienza della colpa nella catena di responsabilità. In molti dei casi giurisprudenziali esaminati, la vittima del furto di identità si trova a dover dimostrare di non aver mai autorizzato le operazioni contestate, in un rovesciamento di fatto dell'onere probatorio che contraddice il principio dell'actori incumbit probatio ma che nella pratica è spesso imposto dalla difficoltà di accedere ai log degli Identity Provider. Il brocardo latino, qui, non è decorativo: segnala un vulnus reale nel quale la vittima è costretta a provare un fatto negativo, ovvero di non aver agito, con strumenti tecnici cui raramente ha accesso autonomo.
È inaccettabile che, in caso di frode, la vittima si ritrovi in un limbo: abbandonata dalla Pubblica Amministrazione, ignorata dagli operatori, in balia di un labirinto procedurale per "dimostrare" di non aver mai fatto certe operazioni. Questo passaggio, che proviene dall'analisi di un osservatorio specializzato nel settore, fotografa con precisione la condizione di chi subisce l'abuso dell'identità digitale: non un soggetto garantito, ma un soggetto che deve guadagnarsi la propria innocenza.
È Norberto Bobbio a ricordare, ne L'età dei diritti, che un diritto proclamato ma privo di strumenti effettivi di tutela è destinato a restare sulla carta. La tutela dell'identità digitale, oggi, soffre esattamente di questa malattia: esiste normativamente, ma difetta degli strumenti procedurali che la renderebbero concretamente azionabile dalla persona che la subisce.
Cosa fare in concreto: tutele, tempistiche e passi da compiere
Chi scopre che la propria identità digitale SPID è stata attivata o utilizzata abusivamente deve agire su più fronti in parallelo, senza attendere che le cose si chiariscano da sole.
Il primo passo è bloccare immediatamente l'identità SPID compromessa contattando l'Identity Provider di riferimento, richiedendo la revoca delle credenziali e la conservazione dei log di accesso: questi ultimi sono fondamentali per qualsiasi procedimento successivo e devono essere richiesti tempestivamente, prima che decorrano i termini di conservazione dei dati.
Il secondo passo è la denuncia alla Polizia Postale, con la quale si avvia il procedimento penale per frode informatica o sostituzione di persona. È importante allegare alla denuncia tutto ciò che si possiede: screenshot degli accessi anomali, comunicazioni dell'Identity Provider, estratti dei servizi PA acceduti abusivamente.
Il terzo fronte è quello civile: valutare se e in che misura l'Identity Provider abbia negligentemente omesso controlli che avrebbero impedito la frode, e in caso affermativo formulare una richiesta risarcitoria ai sensi dell'art. 82 GDPR, eventualmente supportata da un reclamo al Garante per la protezione dei dati personali.
Dal 3 agosto prossimo le carte d'identità cartacee cesseranno di essere riconosciute come valide, in conformità alle disposizioni europee; per evitare blocchi nell'accesso ai servizi, gli utenti sono invitati a verificare e aggiornare i propri dati inserendo un documento valido come la CIE, la patente di guida o il passaporto. Questo aggiornamento non è solo un adempimento burocratico: la dismissione del vecchio documento ha conseguenze anche sul fronte dell'identità digitale, poiché l'utilizzo dello SPID potrebbe subire interruzioni se associato a una carta d'identità cartacea ormai non più valida.
Chi gestisce credenziali SPID associate a un documento cartaceo — e dunque in scadenza di validità — è esposto a un rischio aggiuntivo e sottovalutato: la disattivazione improvvisa dell'identità digitale potrebbe rendere impossibile accedere ai servizi PA in momenti critici, senza che la colpa sia dell'utente. Questo è un profilo di danno che, in astratto, potrebbe fondare una richiesta risarcitoria nei confronti dell'amministrazione che non ha comunicato adeguatamente le conseguenze operative della transizione.
La transizione verso un sistema di identità digitale esclusivamente statale, accentrato sulla CIE, è una scelta di politica del diritto che ha argomenti solidi a proprio favore: maggiore sicurezza, eliminazione della frammentazione tra provider privati, allineamento agli standard europei dell'eIDAS 2. Ma ogni accentramento comporta anche una concentrazione dei rischi. Se il sistema CIE venisse compromesso — a livello tecnico o gestionale — non esisterebbe più alcuna alternativa per il cittadino. La resilienza di un ecosistema digitale dipende anche dalla sua diversificazione. È una contraddizione di sistema che il legislatore, nel ragionevole entusiasmo per la semplificazione, non ha ancora affrontato con la necessaria profondità.
Redazione - Staff Studio Legale MP