Non ho mai usato SPID per l'autenticazione, per prima cosa dovresti vedere che informazioni ti fornisce in fase di risposta all'autenticazione, così da sapere che dato univoco ti serve per associare un eventuale account già esistente.
Se ad esempio mi registro sul sistema non usando SPID, quando effettuerò in futuro l'accesso con questo metodo, il sistema dovrà essere in grado di controllare se c'è già l'utente relativo ed effettuare solo il login, se invece non esiste ancora lo dovrà creare. Ipotizzo che SPID un'email te la restituirà e probabilmente sarà quella registrata alle poste, ma sul tuo sistema più di qualcuno, verosimilmente, si registrerà con un'altra email, quindi per essere più certo dell'associazione degli account (SPID - tuo sistema) mi affiderei al codice fiscale, sempre che SPID te lo fornisca come dato di risposta all'autenticazione.