eutampieri l'autenticazione con CIE pero' (cosi' come con la tanto bistrattata e dimenticata ma fondamentale CNS...) puo' essere implementata senza gateway centralizzati... SPID no, invece.
Con SPID bisogna accreditarsi, pagare, e gli utenti devono pure dipendere sempre dalle terze parti private, non solo all'atto dell'emissione dell'identita' digitale ma anche ogni volta che la si vuol utilizzare.
CNS e CIE invece sono sistemi decentralizzati per natura, basati su autorita' di certificazioni (CA, e relative liste di revoca CRL) in una lista ben definita che chiunque puo' scaricare ed utilizzare per realizzare il proprio sistema decentralizzato di autenticazione con i certificati di CNS o CIE. Invece che stare a pagare per delegare, basta un cron job per tenere sincronizzate le liste (e che avvisi gli admin quando qualcosa va storto nell'aggiornamento, magari)... C'e' pure un progetto Docker dell'AgID che puo' essere utilizzato come base...
Le CA di CNS e CIE sono sempre private purtroppo (ad esempio Actalis by Aruba ha emesso il certificato della mia TS-CNS 😢), ma almeno il ruolo attivo di questi privati consiste solo nel generare i certificati ed eventualmente revocarli ove necessario (ad es. a seguito di denuncia di furto/smarrimento). Tali privati non hanno invece ruolo attivo nell'uso di tutti i giorni di CNS e CIE da parte degli utenti, differenza fondamentale rispetto a SPID.
Quindi insomma non e' colpa di CIE/CNS se il servizio che volevi usare centralizzava l'autenticazione addirittura attraverso il gateway eIDAS, che dovrebbe servire solo per le autenticazioni di cittadini e/o servizi esteri... (ed il gateway eIDAS italiano usa internamente le medesime liste di certificati di cui sopra per autenticare gli utenti con CIE) 😅
