turn on security.wantMessagesSigned

[simevo]

regole tecniche:

1.3.1. REGOLE DI PROCESSAMENTO DELLA < RESPONSE> Alla ricezione qualunque sia il binding utilizzato il Service Provider prima di utilizzare l’asserzione deve operare almeno le seguenti verifiche: controllo delle firme presenti nella e nella ...

[simevo]

the underlying package can be easily configured to request signed Responses (just set security.wantMessagesSigned in https://github.com/simevo/spid-php2/blob/master/src/Config/OneLoginConfig.php#L97) but the signature then becomes mandatory, which is not what we want, see regole tecniche page 28:

nell’ elemento ... può [essere] presente l’elemento riportante la firma

also see:
italia/spid-testenv2#67