Integrare SPID e CIE come sistemi di login su WordPress è possibile, e per le agenzie che lavorano con portali istituzionali, enti pubblici o associazioni di categoria è diventato un requisito sempre più frequente. Non è una configurazione standard, richiede una valutazione tecnica specifica e, in molti casi, l’intervento di un partner abilitato. Ma non è nemmeno un progetto irraggiungibile per chi sa come è strutturata l’architettura di autenticazione federata italiana.
SPID (Sistema Pubblico di Identità Digitale) e CIE (Carta d’Identità Elettronica) sono i due sistemi di autenticazione digitale previsti dal CAF italiano. Entrambi permettono a un utente di accedere a servizi online usando credenziali certificate, senza creare un account separato sul sito. Per il gestore del sito, questo elimina la gestione delle password utente e delega la verifica dell’identità a un soggetto terzo accreditato.
Noi di Blurr abbiamo gestito diversi progetti di questo tipo per agenzie partner che seguivano clienti nel mondo associativo e istituzionale. L’aspetto che sorprende di più, la prima volta che si affronta il tema, è quanto sia rilevante la distinzione tra i casi d’uso prima ancora di parlare di tecnologia.
I casi d’uso reali: quando ha senso integrare SPID o CIE
Non tutti i siti hanno bisogno di SPID o CIE. Ha senso valutarlo quando il portale gestisce accesso a contenuti o servizi riservati a soggetti identificati in modo certo, e quando l’identità certificata dell’utente ha rilevanza per il servizio erogato.
I casi più frequenti che incontriamo attraverso le agenzie partner:
Portali di enti pubblici e PA locale. Comuni, unioni di comuni, enti strumentali della PA che offrono servizi ai cittadini online: pratiche, prenotazioni, accesso a documenti personali. In questi contesti l’uso di SPID o CIE non è solo utile, è spesso obbligatorio per norma.
Portali associativi con area riservata ai soci. Associazioni di categoria, ordini professionali, federazioni sportive. Qui l’identità SPID non è obbligatoria per norma, ma offre un vantaggio concreto: l’associazione non gestisce direttamente le credenziali dei soci, e l’accesso è possibile solo a chi ha uno SPID attivo, che di fatto implica una verifica dell’identità già avvenuta.
Piattaforme di formazione o accreditamento. Portali che erogano corsi con valore legale o attestati riconosciuti istituzionalmente, dove è necessario tracciare chi ha completato cosa con certezza di identità.
Servizi sanitari regionali e locali. Prenotazione visite, accesso al fascicolo sanitario, portali di telemedicina. Settore con requisiti stringenti e casi d’uso molto concreti.
SPID e CIE: differenze che contano per il progetto
SPID e CIE sono due sistemi distinti, con architetture tecniche diverse, anche se entrambi risolvono lo stesso problema: l’autenticazione certificata dell’utente.
SPID usa il protocollo SAML 2.0 (o in alcuni casi OIDC) e funziona attraverso i cosiddetti Identity Provider accreditati da AgID: Aruba, Infocert, Namirial, Poste Italiane e altri. Il Service Provider, cioè il sito che vuole accettare login SPID, deve essere accreditato da AgID oppure deve appoggiarsi a un intermediario tecnico già accreditato, il che semplifica molto il percorso per la maggior parte dei progetti.
CIE usa un protocollo OIDC sviluppato dal Ministero dell’Interno e richiede che l’utente abbia una Carta d’Identità Elettronica con chip NFC e un lettore compatibile, tipicamente lo smartphone. L’integrazione tecnica lato server è in alcuni aspetti più semplice di SPID, ma il requisito hardware lato utente è un elemento da valutare in base al pubblico del portale.
La domanda che le agenzie si fanno quasi sempre è: quale dei due integrare? La risposta dipende dal pubblico target e dall’obbligatorietà normativa. Per siti PA rivolti ai cittadini, entrambi sono spesso richiesti. Per portali privati o associativi, SPID ha una diffusione molto più ampia tra gli utenti e quindi una barriera d’accesso più bassa.
Come funziona l’integrazione su WordPress
WordPress non ha un sistema nativo per gestire autenticazione SPID o CIE. L’integrazione richiede un layer aggiuntivo che si occupa di gestire il dialogo tra il sito e l’Identity Provider secondo i protocolli SAML o OIDC.
Esistono plugin WordPress che gestiscono questo layer, alcuni sviluppati appositamente per il contesto italiano, altri basati su librerie SAML/OIDC più generiche adattate per SPID. La scelta del plugin giusto dipende dal livello di accreditamento richiesto, dalla struttura del portale e da come vengono gestiti i dati utente dopo l’autenticazione.
Un aspetto che spesso viene sottovalutato in fase di brief: l’autenticazione è solo l’ingresso. Dopo che l’utente si è autenticato con SPID, il sito deve sapere cosa fare con quell’identità. L’utente va associato a un profilo nel database WordPress? Va creato automaticamente alla prima autenticazione? Come vengono mappati i dati anagrafici che SPID restituisce (nome, cognome, codice fiscale) sui campi del profilo utente? Queste decisioni impattano l’architettura del portale molto più della semplice integrazione del pulsante di login.
L’anno scorso abbiamo seguito per un’agenzia di Torino un portale per un’associazione di categoria nel settore delle costruzioni: circa 1.200 soci, accesso a documentazione tecnica riservata e possibilità di scaricare certificazioni. Il cliente aveva chiesto “il login con SPID” come se fosse un’aggiunta rapida a un sito già fatto. La fase di analisi ha rivelato che il sito non aveva nessuna struttura utente preesistente, i dati dei soci erano in un gestionale esterno e non in WordPress, e la sincronizzazione tra chi era socio in regola e chi poteva accedere ai documenti richiedeva una logica custom. Il login SPID era la parte più semplice del progetto.
GDPR e gestione dei dati: un punto che va chiarito prima
Integrare SPID o CIE significa che il sito riceve dati personali certificati dell’utente: nome, cognome, codice fiscale, data di nascita, in alcuni livelli di autenticazione anche l’indirizzo. Questi dati devono essere gestiti in conformità al GDPR, con informativa aggiornata, base giuridica esplicita per il trattamento e misure di sicurezza adeguate.
Il punto che genera più confusione nelle agenzie: i dati ricevuti da SPID non possono essere usati per scopi diversi da quelli dichiarati nell’atto di accreditamento o nella richiesta di autenticazione. Se il portale chiede solo i dati necessari per identificare il socio e dargli accesso ai contenuti, non può usare quegli stessi dati per inviargli newsletter commerciali senza consenso separato.
Questo aspetto va allineato con il DPO o il consulente privacy del cliente prima dello sviluppo, non dopo. Noi di Blurr lo segnaliamo sistematicamente alle agenzie partner come punto di attenzione nel brief iniziale, insieme ai requisiti di accessibilità web AGID per i portali che rientrano nel perimetro PA.
Perché questo tipo di progetto si gestisce meglio con un partner tecnico
L’integrazione SPID e CIE su WordPress non è un progetto che si improvvisa. Richiede familiarità con i protocolli di autenticazione federata, capacità di testare l’integrazione in ambiente di staging con gli Identity Provider di test messi a disposizione da AgID, e attenzione alla gestione dei dati personali fin dall’architettura.
Per le agenzie che incontrano questo requisito per la prima volta, la soluzione più efficiente è affidarsi a un partner tecnico che abbia già gestito progetti simili. Blurr, studio WordPress white label con sede a Calliano (Trento), supporta le agenzie partner nella valutazione e sviluppo di portali WordPress con autenticazione SPID e CIE, inclusa l’analisi dei requisiti tecnici e la gestione del layer di integrazione.
Per capire se il progetto del tuo cliente rientra in questo perimetro e come strutturare la collaborazione, puoi contattarci su blurr.it/contatti/.
FAQ
Un sito WordPress privato (non PA) può integrare SPID? Sì. L’obbligo di integrare SPID riguarda le pubbliche amministrazioni, ma i soggetti privati possono farlo volontariamente. Per farlo senza accreditarsi direttamente da AgID, che è un percorso lungo e costoso, si può utilizzare un aggregatore o intermediario tecnico già accreditato che fornisce il servizio in modalità SaaS. Questa è la soluzione più praticabile per portali associativi o piattaforme private.
SPID e CIE possono coesistere sullo stesso sito? Sì, è la configurazione più completa per portali PA rivolti ai cittadini. Le due integrazioni sono indipendenti a livello tecnico: l’utente sceglie con quale sistema autenticarsi, e il portale riceve i dati identitari in entrambi i casi. Il layer di autenticazione deve gestire entrambi i flussi e mappare correttamente i dati sul profilo utente.
Quanto tempo richiede mediamente un progetto di integrazione SPID su WordPress? Dipende molto dalla complessità del portale. Un’integrazione SPID su un sito con struttura utente semplice, senza sincronizzazione con sistemi esterni, richiede generalmente 2-4 settimane di sviluppo, inclusi i test con gli Identity Provider. Portali con gestionale esterno dei soci, logiche di autorizzazione complesse o requisiti GDPR particolarmente articolati richiedono tempi più lunghi e una fase di analisi dedicata.
Cosa succede se l’utente non ha SPID o CIE? Se il portale usa SPID o CIE come unico sistema di accesso, chi non ha queste credenziali non può autenticarsi. Per portali PA questo è accettabile, perché l’utenza target è cittadini italiani tenuti ad avere uno SPID. Per portali privati o associativi con utenza internazionale o anziana, può essere utile mantenere un sistema di login tradizionale come alternativa, con SPID come opzione preferenziale.