CIE vs CieID: Perché la password scade con le credenziali ma non con l’app | Guida tecnica

Posted by By Francesco D'Accico 3 Min per Leggere 5 Aprile 2026

Scopri perché accedere con CIE tramite password quest’ultima scade, mentre l’app CieID funziona sempre, tutto dipende dall’architettura di autenticazione

Chi utilizza i servizi digitali della Pubblica Amministrazione italiana si sarà trovato almeno una volta davanti a un comportamento apparentemente inspiegabile per chi usa come strumento di autenticazione la CIE.

Infatti accedendo con CIE tramite username e password, il sistema segnala che la password è scaduta e ne chiede il rinnovo; eppure, accedendo con l’app CieID, tutto funziona perfettamente (lo stesso comportamento che avviene con la SPID).

Bug? Incoerenza del sistema? Niente di tutto questo. Si tratta, invece, della conseguenza diretta di due architetture di autenticazione profondamente diverse che coesistono sotto la stessa infrastruttura per renderla ancor più efficiente.

L’architettura dietro la CIE

La Carta d’Identità Elettronica non è solo un documento fisico ma è il fulcro di un sistema centralizzato di identità digitale gestito dal Ministero dell’Interno. I portali della PA non autenticano direttamente l’utente, ma delegano questa operazione a un Identity Provider (IdP) centrale.

Il sistema CIE che restituisce al portale (Service Provider) un’asserzione firmata crittograficamente, certificando l’avvenuta autenticazione. Il portale non vede mai la password: riceve solo una conferma firmata. È lo stesso principio che governa l’accesso tramite SPID.

Il sistema si basa su protocolli standard come SAML 2.0 e OpenID Connect (OIDC), largamente utilizzati nei moderni sistemi di federazione delle identità digitali che rafforzano la sicurezza dell’utilizzo della CIE.

Credenziali vs Asserzioni: Ecco la differenza tra CIE e CieID

Quando si accede con username e password, il sistema CIE lavora su una credenziale esplicita la password viene trasmessa, verificata e sottoposta a tutte le policy di sicurezza previste, inclusa la scadenza. Se la password è scaduta, l’autenticazione si blocca e l’accesso viene negato.

Con l’app CieID, invece, il flusso è radicalmente diverso dove l’utente si autentica tramite PIN o biometria direttamente sul proprio smartphone, senza inserire alcuna password nel browser. L’app dialoga con il backend CIE, dimostra il possesso del dispositivo associato all’identità e ottiene un’asserzione firmata che certifica l’autenticazione.

In quest’ultimo processo la password non entra mai in gioco e non può quindi essere verificata, né può bloccare l’accesso per scadenza. Non si tratta di un bypass delle regole di sicurezza, ma semplicemente dell’assenza dell’oggetto su cui tali regole si applicano.

Conclusioni

La differenza tra CIE e CieID è di fatto che il primo è uno strumento, il secondo è un componente strutturale del sistema di autenticazione, vicino agli standard FIDO2/WebAuthn, che definiscono l’autenticazione passwordless moderno e solo con il livello 3 di autenticazione subentra l’utilizzo della CIE fisica via NFC.

Tags:
Francesco D'Accico
Visualizza altri post
Sono appassionato di tecnologia sin dalla tenera età, coltivo la mia passione con aggiornamenti quotidiani e non mi lascio scappare proprio nulla. Ho creato HowTechIsMade per condividere con voi le mie passioni ed aiutarvi ad avere un approccio più semplice con la tecnologia.
Exit mobile version