Spidgo AutoVerify: Identity Proofing certificato con SPID e CIE di livello 2 fino al LoIP Extended

Da maggio 2026, una verifica dell’identità da remoto effettuata esclusivamente mediante mezzi di identificazione elettronica SPID o CIE di livello 2 non è più sufficiente per l’emissione di un certificato qualificato o di un attestato elettronico qualificato di attributi.
Questa evoluzione normativa impone ai Prestatori di Servizi Fiduciari Qualificati (QTSP) l’adeguamento ai nuovi requisiti di sicurezza introdotti dal quadro europeo eIDAS 2.
In questo contesto normativo si inserisce il processo Spidgo Autoverify di TocToc, certificato ufficialmente dall’organismo di controllo CSQA. Il sistema eleva il livello di affidabilità dell’identificazione tramite SPID e CIE in modalità completamente automatica, soddisfacendo i requisiti dell’articolo 24 del Regolamento eIDAS (UE n. 910/2014).
I QTSP possono così continuare a emettere firme qualificate, firme digitali remote e sigilli elettronici senza interrompere l’esperienza utente e senza esporre l’azienda a rischi di sanzioni o non-conformità.

Come funziona Spidgo Autoverify
Il processo parte da un’autenticazione con SPID o CIE di livello 2 (livello di garanzia sostanziale) e integra una serie di controlli automatici che consentono di raggiungere il livello di verifica dell’identità (LoIP) “Extended”, definito dalla norma ETSI 119 461 v.2.1.1. e richiesto dal Regolamento eIDAS per l’emissione di servizi fiduciari qualificati.
L’architettura del flusso di corroboration in 5 step:
- Autenticazione: l’utente si autentica tramite i mezzi di identificazione elettronica “Entra con SPID” o “Entra con CIE” di livello 2.
- Acquisizione del documento: il sistema richiede l’acquisizione del documento d’identità (CIE, patente o passaporto).
- Controllo biometrico: la piattaforma acquisisce un’immagine del volto dell’utente in tempo reale.
- Verifiche automatiche: gli algoritmi OCR e i controlli documentali analizzano l’autenticità del documento, mentre i sistemi di liveness detection e face matching accertano la presenza di un utente reale e la corrispondenza tra il volto acquisito e la fotografia presente sul documento.
- Validazione dati: il sistema confronta gli attributi identificativi restituiti dall’Identity Provider SPID o CIE con le informazioni estratte dal documento di identità.
La caratteristica distintiva del sistema è la totale assenza di interventi manuali da parte degli operatori di back-office. L’intero processo è istantaneo, standardizzato e integrabile via API nei sistemi informativi e nei processi aziendali già in uso. Questa automazione, inoltre, garantisce la conformità e prepara le organizzazioni all’integrazione con il futuro EUDI Wallet europeo.

Applicazioni pratiche per aziende e settori regolamentati
L’adozione di un processo di identity proofing automatizzato, certificato e conforme ai requisiti dell’articolo 24 del Regolamento eIDAS 2 azzera le frizioni tipiche delle identificazioni tradizionali, riduce i tentativi di frode identitaria ed eleva quindi i livelli di sicurezza.
Un processo di corroboration basato su identità digitali, quali SPID e CIE, supera il perimetro dei soli servizi fiduciari e risponde alle esigenze di diversi ambiti in cui è necessario identificare con elevato grado di certezza un utente da remoto.
- Emissione di servizi fiduciari qualificati: accelera il rilascio di certificati qualificati, firme elettroniche qualificate e sigilli elettronici qualificati, riducendo significativamente il rischio di frodi derivanti dalla compromissione delle credenziali di identità digitale.
- Onboarding remoto (Banche, Assicurazioni, Fintech e Telco): gestisce processi di onboarding remoto, apertura di rapporti e la contrattualizzazione di servizi in modo rapido e conforme ai requisiti KYC (Know Your Customer), eliminando la necessità di videochiamate con operatore e migliorando l’esperienza utente.
Più in generale, il modello si presta a tutti quei contesti regolamentati in cui è richiesta un’identificazione remota certa, eventualmente integrata con ulteriori controlli previsti dalle normative di settore, come quelle in materia di antiriciclaggio.
Questi scenari dimostrano come l’identità digitale stia evolvendo da semplice strumento di accesso ai servizi online a vera e propria infrastruttura trasversale di fiducia, su cui costruire processi aziendali sicuri e interoperabili.

FAQ
Cosa è cambiato da maggio 2026 per SPID e CIE di livello 2?
Da maggio 2026, la norma ETSI 119 46 indica che l’uso esclusivo di credenziali SPID o CIE di livello 2 (garanzia sostanziale) non è più sufficiente per l’emissione di certificati fiduciari qualificati. È obbligatorio un processo di irrobustimento dell’identità per raggiungere il livello LoIP Extended (Level of Identity Proofing Extended), integrando controlli biometrici e documentali automatizzati o presidiati. TocToc realizza questo processo in modo totalmente automatico, integrabile tramite API e certificato dall’organismo CSQA.
Il processo di Identity Proofing irrobustito richiede la verifica di un operatore umano?
No. Tutti i controlli di liveness, face matching e OCR sui documenti avvengono tramite la piattaforma di Digital Trust in tempo reale, eliminando i costi e i tempi del back-office manuale.
Quali requisiti soddisfa l’architettura di Spidgo Autoverify?
Il processo Identity Proofing automatizzato con SPID e CIE per irrobustire le identità digitali di livello 2, soddisfa i requisiti di verifica stabiliti dall’Articolo 24 del Regolamento eIDAS (Regolamento UE n. 910/2014) per i Prestatori di Servizi Fiduciari Qualificati, con certificazione ufficiale rilasciata da CSQA.
