Onboarding remoto senza SPID né CIE: come dimostrare identità con valore legale per clienti esteri
Quando una banca o una fintech italiana apre un rapporto a distanza con un cliente residente in Italia, la strada più battuta passa da SPID o CIE. Il problema nasce quando dall'altra parte c'è un cittadino francese, tedesco o un imprenditore extra-UE: SPID e CIE sono strumenti nazionali italiani e non esistono per chi non è titolare di un'identità digitale rilasciata dallo Stato italiano. L'onboarding remoto senza SPID diventa così un nodo concreto per chiunque acquisisca clientela transfrontaliera. E attenzione: qui non si parla dell'inserimento di un dipendente in azienda, ma di adeguata verifica della clientela ai fini antiriciclaggio.
La normativa europea, per fortuna, prevede strumenti equivalenti: un cittadino UE si riconosce con il proprio eID notificato attraverso il nodo eIDAS, un cliente extra-UE con documento più videoidentificazione certificata. La domanda giusta, allora, non è tanto "posso farlo senza SPID", quanto "quale metodo garantisce il livello di affidabilità che il mio rischio e il mio settore richiedono". È questo criterio a reggere un onboarding remoto senza SPID con valore legale.
Questo approfondimento fa parte della guida: Stack di conformità KYC per fintech
Cos'è l'identificazione a distanza senza SPID. È la procedura con cui un soggetto obbligato riconosce un cliente non presente fisicamente e senza ricorrere all'identità digitale italiana, utilizzando strumenti equivalenti previsti dal diritto europeo: un eID notificato di un altro Stato membro, oppure una sessione di videoidentificazione con controllo del documento e verifica biometrica del volto. In Italia l'obbligo di identificazione e adeguata verifica discende dagli articoli 18 e 19 del D.Lgs. 231/2007, che ammettono l'assolvimento anche in assenza del cliente quando la procedura offre garanzie equivalenti. Le linee guida EBA sull'onboarding da remoto (EBA/GL/2022/15, applicabili dal 2 ottobre 2022) definiscono i requisiti tecnici e organizzativi: controllo di autenticità del documento, verifica della corrispondenza tra volto e documento, presidi contro manipolazioni e falsificazioni. In Italia la vigilanza sull'adeguata verifica spetta alla Banca d'Italia, le cui disposizioni attuative recepiscono gli orientamenti EBA anche per l'identificazione a distanza.
Quali sono i livelli di affidabilità dell'identificazione remota
La scelta del metodo si riduce al livello di affidabilità (assurance level) che quel metodo garantisce. Il Regolamento eIDAS 910/2014 fissa tre gradini: basso, significativo ed elevato, mappati sui livelli 2, 3 e 4 dello standard ISO/IEC 29115. Più sale il livello, più stringenti diventano i requisiti di identity proofing e di collegamento tra la persona e l'identità dichiarata. Per aprire rapporti a rischio, un onboarding basato sul solo OCR raramente basta: serve almeno il livello significativo.
| Livello di affidabilità | Metodo tipico | Cosa garantisce | Uso consigliato |
|---|---|---|---|
| Basso (low) | OCR del documento, selfie semplice | Riduce il rischio di identità palesemente false, senza controllo forte del legame persona-documento | Servizi a basso rischio, soglie ridotte, pre-verifica |
| Significativo (substantial) | Videoidentificazione certificata, documento più liveness e confronto biometrico del volto | Riduce sostanzialmente il rischio di uso improprio o alterazione dell'identità | Rapporti bancari e finanziari, adeguata verifica ordinaria |
| Elevato (high) | eID notificato con collegamento forte all'identità di Stato | Livello massimo, equivalente al riconoscimento fisico | Rapporti ad alto rischio, servizi pubblici, firma di atti rilevanti |
I tre livelli di affidabilità, in ordine crescente. 1) Livello basso: identità verificata con controlli automatici leggeri, adatto solo a contesti a rischio contenuto. 2) Livello significativo: identità verificata online con videoidentificazione certificata, controllo di autenticità del documento e verifica biometrica con liveness, che accerta la presenza reale della persona. 3) Livello elevato: identità ancorata a un eID notificato dallo Stato, con il grado di garanzia più alto. Per l'adeguata verifica antiriciclaggio ordinaria il riferimento pratico è il livello significativo, mentre i metodi di livello basso vanno riservati a soglie ridotte o usati come primo filtro. Questa graduazione riprende i tre livelli di garanzia del Regolamento eIDAS 910/2014, mappati sullo standard ISO/IEC 29115. Affidarsi al solo OCR espone a rischi già documentati, come gli attacchi deepfake all'onboarding bancario, che aggirano i controlli visivi più deboli.
eID notificati sotto eIDAS 1.0 per i cittadini UE
Per un cliente cittadino di un altro Stato membro, la via maestra è l'eID notificato del suo Paese. Il Regolamento eIDAS 910/2014 impone il mutuo riconoscimento: uno schema notificato alla Commissione europea deve essere accettato dagli altri Stati membri per l'accesso ai servizi pubblici online. Sono eID notificati, tra gli altri, il DNIe spagnolo, il Personalausweis tedesco, l'e-ID estone e itsme in Belgio, oltre a SPID e CIE per l'Italia.
Un eID notificato di un altro Stato UE è valido in Italia. Sì: il principio di mutuo riconoscimento sancito dal Regolamento UE 910/2014 obbliga ogni Stato membro ad accettare gli schemi di identità elettronica notificati dagli altri Stati. Tecnicamente lo scambio avviene attraverso il nodo eIDAS nazionale, gestito in Italia da AgID, che fa da ponte tra il fornitore di servizi e lo schema estero. Il cliente tedesco si autentica quindi con il proprio strumento nazionale, e l'ente italiano riceve gli attributi di identità verificati alla fonte, con il livello di affidabilità dichiarato dallo schema. Questo consente un riconoscimento del cliente da remoto senza SPID pienamente conforme, appoggiandosi all'identità digitale già emessa dallo Stato di residenza. Il mutuo riconoscimento è obbligatorio dal 29 settembre 2018 per gli schemi notificati, e nessuno Stato membro può rifiutare un'identità elettronica di livello pari o superiore a quello richiesto per il servizio.
eIDAS 2.0 e il wallet europeo di identità digitale
Il quadro sta cambiando con eIDAS 2.0 (Regolamento UE 2024/1183), che introduce lo European Digital Identity Wallet. Entro novembre 2026 ogni Stato membro dovrà offrire ai cittadini un wallet nazionale interoperabile in tutta l'UE. Per la verifica dell'identità online il vantaggio è doppio: un unico strumento per tutti i cittadini UE e la divulgazione selettiva degli attributi, che consente di condividere solo i dati necessari, in linea con la minimizzazione richiesta dal GDPR. Chi disegna oggi il proprio riconoscimento della clientela dovrebbe già guardare in questa direzione, come per eIDAS 2.0 e sigillo elettronico qualificato.
Soluzioni di riserva per i clienti extra-UE
Il cittadino extra-UE non dispone né di SPID né di un eID notificato. Il percorso praticabile è passaporto più videoidentificazione certificata: controllo di autenticità del documento, confronto biometrico tra volto e foto e verifica di liveness, che accerta la presenza reale della persona davanti alla telecamera. È il livello significativo, e regge gran parte dell'onboarding transfrontaliero. La robustezza del confronto biometrico è decisiva contro la frode di identità sintetica, cresciuta del 378% in Europa nell'ultimo anno secondo i dati di settore, e va accompagnata dalla certificazione della sessione per garantirne il valore probatorio.
Come scegliere il metodo per settore e livello di rischio
La regola pratica è allineare il metodo al rischio del rapporto e ai vincoli del settore: un conto ad alto rischio richiede almeno il livello significativo con videoidentificazione certificata, mentre un servizio a soglia ridotta può partire da controlli più leggeri, purché il rischio residuo resti presidiato. La tabella che segue orienta la scelta.
| Settore | Livello minimo consigliato | Metodo prevalente | Nota di rischio |
|---|---|---|---|
| Banche | Significativo / Elevato | eID notificato o videoidentificazione certificata | Adeguata verifica rafforzata per rapporti a rischio elevato |
| Fintech e payment | Significativo | Videoidentificazione con documento più liveness | Alti volumi transfrontalieri, forte esposizione a frodi |
| Assicurazioni | Significativo | Videoidentificazione o eID | Rilevante nei rami vita e nei contratti a premio elevato |
| Telco | Basso / Significativo | OCR con verifica biometrica per SIM | Obblighi di identificazione dell'intestatario |
| B2B e servizi professionali | Significativo | eID notificato del rappresentante legale | Verifica anche della titolarità effettiva |
Per le fintech e i payment processor che acquisiscono clienti extra-UE, TrueScreen produce una prova certificata della sessione di riconoscimento, opponibile e verificabile: è ciò che distingue, a distanza di anni, un controllo eseguito da un controllo dimostrabile, come mostra la videoidentificazione per l'adeguata verifica.
Certificare l'onboarding con valore legale: il ruolo di TrueScreen
Un metodo conforme risolve metà del problema. L'altra metà è poter dimostrare, in caso di contestazione o ispezione, che la sessione si è svolta esattamente come dichiarato. Qui interviene TrueScreen, che certifica l'intera sessione di videoidentificazione con metodologia forense, coprendo il livello significativo e integrando via API il sigillo e la marca temporale qualificata di un QTSP terzo.
Onboarding da remoto con valore legale. TrueScreen acquisisce e certifica ogni documento raccolto durante l'adeguata verifica nel momento stesso dell'acquisizione: firma digitale, marca temporale qualificata conforme a eIDAS e metadati forensi come coordinate GPS, identificativo del dispositivo e hash crittografico. La verifica dell'identità può avvenire con firma digitale autenticata via OTP SMS oppure con verifica biometrica video e liveness, in linea con le linee guida EBA sull'onboarding da remoto. Il risultato è una prova certificata della sessione di riconoscimento, opponibile e verificabile, che supporta gli obblighi di conservazione previsti da D.Lgs. 231/2007 e AMLR. Considerando che il costo medio delle operazioni di verifica supera i 72 milioni di dollari l'anno per istituto, disporre di prove difendibili riduce il rischio di rilavorazioni e contenziosi. L'adozione avviene tramite App, Web, API, SDK e MCP integrabile con lo stack esistente.
Un chiarimento sul perimetro: TrueScreen non è un QTSP né un'autorità di certificazione. Integra il sigillo di QTSP qualificati terzi e aggiunge l'acquisizione certificata alla fonte, il tassello che spesso manca in un tipico stack di conformità KYC per fintech. La stessa logica vale per la sottoscrizione degli atti collegati al rapporto, dove entra in gioco la firma elettronica avanzata secondo eIDAS.
