Identità digitale cittadini ed imprese (SPID) - tempi e modalità di adozione per le PA - D.P.C.M. del 24.10.2014
Pubblico
Mercoledì, 10 Dicembre, 2014 - 01:00
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 ottobre 2014
Definizione delle caratteristiche del sistema pubblico per la
gestione dell'identita' digitale di cittadini e imprese (SPID),
nonche' dei tempi e delle modalita' di adozione del sistema SPID da
parte delle pubbliche amministrazioni e delle imprese. (14A09376)
(GU n.285 del 9-12-2014)
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive
modificazioni, recante il Codice dell'amministrazione digitale;
Visto, in particolare, l'art. 64 del decreto legislativo n. 82 del
2005, come modificato dall'art. 17-ter del decreto-legge 21 giugno
2013, n. 69, convertito, con modificazioni, dalla legge 9 agosto
2013, n. 69 che, «per favorire la diffusione di servizi in rete e
agevolare l'accesso agli stessi da parte di cittadini e imprese,
anche in mobilita', e' istituito, a cura dell'Agenzia per l'Italia
digitale, il sistema pubblico per la gestione dell'identita' digitale
di cittadini e imprese» (SPID) e demanda a un decreto del Presidente
del Consiglio dei ministri, su proposta del Ministro delegato per
l'innovazione tecnologica e del Ministro per la pubblica
amministrazione e la semplificazione, di concerto con il Ministro
dell'economia e delle finanze, la definizione delle caratteristiche
del sistema SPID, nonche' dei tempi e delle modalita' di adozione del
sistema SPID da parte delle pubbliche amministrazioni e delle
modalita' attraverso cui le imprese possono avvalersi del sistema
SPID per la gestione dell'identita' digitale dei propri utenti;
Visto il decreto legislativo 30 giugno 2003, n. 196 e successive
modificazioni, recante il Codice in materia di protezione dei dati
personali;
Visti gli articoli da 19 a 22 del decreto-legge 22 giugno 2012, n.
83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134,
e successive modificazioni, con cui e' stata istituita l'Agenzia per
l'Italia digitale;
Visto il Regolamento (UE) n. 910/2014 del Parlamento europeo e del
Consiglio del 23 luglio 2014 in materia di identificazione
elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE, pubblicato
nella Gazzetta Ufficiale dell'Unione Europea - serie L 257 del 28
agosto 2014;
Visto il decreto del Presidente della Repubblica 21 febbraio 2014
con cui l'onorevole dott.ssa Maria Anna Madia e' stato nominata
Ministro senza portafoglio;
Visto il decreto del Presidente del Consiglio dei ministri 22
febbraio 2014 con cui al Ministro senza portafoglio onorevole
dottoressa Maria Anna Madia e' stato conferito l'incarico per la
semplificazione e la pubblica amministrazione;
Visto il decreto del Presidente del Consiglio dei ministri 23
aprile 2014 recante Delega di funzioni al Ministro senza portafoglio
onorevole dott.ssa Maria Anna Madia per la semplificazione e la
pubblica amministrazione;
Sentito il Garante per la protezione dei dati personali;
Espletata la procedura di notifica alla Commissione europea di cui
alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del
22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento
europeo e del Consiglio, del 20 luglio 1998, recepita con legge 21
giugno 1986, n. 317, modificata dal decreto legislativo 23 novembre
2000, n. 427;
Di concerto con il Ministro dell'economia e delle finanze;
Decreta:
Art. 1
Definizioni
1. Ai fini del presente decreto si intende per:
a) Agenzia: l'Agenzia per l'Italia Digitale;
b) attributi: informazioni o qualita' di un utente utilizzate per
rappresentare la sua identita', il suo stato, la sua forma giuridica
o altre caratteristiche peculiari;
c) attributi identificativi: nome, cognome, luogo e data di
nascita, sesso, ovvero ragione o denominazione sociale, sede legale,
nonche' il codice fiscale o la partita IVA e gli estremi del
documento d'identita' utilizzato ai fini dell'identificazione;
d) attributi secondari: il numero di telefonia fissa o mobile,
l'indirizzo di posta elettronica, il domicilio fisico e digitale,
nonche' eventuali altri attributi individuati dall'Agenzia,
funzionali alle comunicazioni;
e) attributi qualificati: le qualifiche, le abilitazioni
professionali e i poteri di rappresentanza e qualsiasi altro tipo di
attributo attestato da un gestore di attributi qualificati;
f) autenticazione informatica: verifica effettuata dal gestore
dell'identita' digitale, su richiesta del fornitore di servizi, della
validita' delle credenziali di accesso presentate dall'utente allo
stesso gestore, al fine di convalidarne l'identificazione
informatica;
g) codice identificativo: il particolare attributo assegnato dal
gestore dell'identita' digitale che consente di individuare
univocamente un'identita' digitale nell'ambito dello SPID;
h) credenziale di accesso: il particolare attributo di cui l'utente
si avvale, unitamente al codice identificativo, per accedere in modo
sicuro, tramite autenticazione informatica, ai servizi qualificati
erogati in rete dai fornitori di servizi che aderiscono allo SPID;
i) fornitore di servizi: il fornitore dei servizi della societa'
dell'informazione definiti dall'art. 2, comma 1, lettera a), del
decreto legislativo 9 aprile 2003, n. 70, o dei servizi di
un'amministrazione o di un ente pubblico erogati agli utenti
attraverso sistemi informativi accessibili in rete. I fornitori di
servizi inoltrano le richieste di identificazione informatica
dell'utente ai gestori dell'identita' digitale e ne ricevono l'esito.
I fornitori di servizi, nell'accettare l'identita' digitale, non
discriminano gli utenti in base al gestore dell'identita' digitale
che l'ha fornita;
l) gestori dell'identita' digitale: le persone giuridiche
accreditate allo SPID che, in qualita' di gestori di servizio
pubblico, previa identificazione certa dell'utente, assegnano,
rendono disponibili e gestiscono gli attributi utilizzati dal
medesimo utente al fine della sua identificazione informatica. Essi
inoltre, forniscono i servizi necessari a gestire l'attribuzione
dell'identita' digitale degli utenti, la distribuzione e
l'interoperabilita' delle credenziali di accesso, la riservatezza
delle informazioni gestite e l'autenticazione informatica degli
utenti;
m) gestori di attributi qualificati: i soggetti accreditati ai
sensi dell'art. 16 che hanno il potere di attestare il possesso e la
validita' di attributi qualificati, su richiesta dei fornitori di
servizi;
n) identificazione informatica: l'identificazione di cui all'art.
1, comma 1, lettera u-ter) del decreto legislativo 7 marzo 2005, n.
82 (di seguito «CAD»);
o) identita' digitale: la rappresentazione informatica della
corrispondenza biunivoca tra un utente e i suoi attributi
identificativi, verificata attraverso l'insieme dei dati raccolti e
registrati in forma digitale secondo le modalita' di cui al presente
decreto e dei suoi regolamenti attuativi;
p) revoca dell'identita' digitale: disattivazione definitiva
dell'identita' digitale;
q) sospensione dell'identita' digitale: disattivazione temporanea
dell'identita' digitale;
r) registrazione: l'insieme delle procedure informatiche,
organizzative e logistiche mediante le quali, con adeguati criteri di
gestione e protezione previsti dal presente decreto e dai suoi
regolamenti attuativi, e' attribuita un'identita' digitale a un
utente, previa raccolta, verifica e certificazione degli attributi da
parte del gestore dell'identita' digitale, garantendo l'assegnazione
e la consegna delle credenziali di accesso prescelte in modalita'
sicura;
s) registro SPID: registro, tenuto dall'Agenzia, accessibile al
pubblico, contenente l'elenco dei soggetti abilitati a operare in
qualita' di gestori dell'identita' digitale, di gestori degli
attributi qualificati e di fornitori di servizi;
t) servizio qualificato: servizio per la cui erogazione e'
necessaria l'identificazione informatica dell'utente;
u) SPID: il Sistema pubblico dell'identita' digitale, istituito ai
sensi dell'art. 64 del CAD, modificato dall'art. 17-ter del
decreto-legge 21 giugno 2013, n. 69, convertito, con modificazioni,
dalla legge 9 agosto 2013, n. 98;
v) utente: persona fisica o giuridica, titolare di un'identita'
digitale SPID, che utilizza i servizi erogati in rete da un fornitore
di servizi, previa identificazione informatica.
Art. 2
Oggetto e finalita'
1. Il presente decreto stabilisce le caratteristiche dello SPID ai
sensi dell'art. 64 del CAD, come modificato dall'art. 17-ter del
decreto-legge n. 69 del 2013.
2. Ai sensi di tali disposizioni lo SPID consente agli utenti di
avvalersi di gestori dell'identita' digitale e di gestori di
attributi qualificati, per consentire ai fornitori di servizi
l'immediata verifica della propria identita' e di eventuali attributi
qualificati che li riguardano.
Art. 3
Soggetti partecipanti allo SPID
1. I soggetti pubblici o privati che partecipano allo SPID sono:
a) i gestori dell'identita' digitale;
b) i gestori degli attributi qualificati;
c) i fornitori di servizi;
d) l'Agenzia;
e) gli utenti.
2. I soggetti di cui al comma 1, esclusi gli utenti, costituiscono
un sistema aperto e cooperante che consente loro di comunicare
utilizzando meccanismi di interazione, standard tecnologici e
protocolli indicati nel presente decreto e precisati nelle regole
tecniche definite dall'Agenzia nell'ambito dei regolamenti di cui
all'art. 4.
Art. 4
Ruolo dell'Agenzia
1. L'Agenzia cura l'attivazione dello SPID, svolgendo, in
particolare, le seguenti attivita':
a) gestisce l'accreditamento dei gestori dell'identita' digitale e
dei gestori di attributi qualificati, stipulando con essi apposite
convenzioni. Con i regolamenti di cui al presente articolo sono
disciplinate le convenzioni per l'adesione allo SPID da parte dei
fornitori di servizi ed e' regolato il contributo che i gestori
dell'identita' digitale accreditati allo SPID riconoscono
all'Agenzia, da determinarsi nella misura necessaria alla copertura
dei costi sostenuti da quest'ultima;
b) cura l'aggiornamento del registro SPID e vigila sull'operato dei
soggetti che partecipano allo SPID, anche con possibilita' di
conoscere, tramite il gestore dell'identita' digitale, i dati
identificativi dell'utente e verificare le modalita' con cui le
identita' digitali sono state rilasciate e utilizzate;
c) stipula apposite convenzioni con i soggetti che attestano la
validita' degli attributi identificativi e consentono la verifica dei
documenti di identita'. A tali convenzioni i gestori dell'identita'
digitale e i gestori degli attributi qualificati sono tenuti ad
aderire secondo le modalita' indicate nei regolamenti di cui al
presente articolo.
2. Entro trenta giorni dalla pubblicazione del presente decreto,
l'Agenzia, sentito il Garante per la protezione dei dati personali,
definisce con proprio regolamento le regole tecniche e le modalita'
attuative per la realizzazione dello SPID.
3. Entro sessanta giorni dalla pubblicazione del presente decreto,
l'Agenzia, sentito il Garante per la protezione dei dati personali,
definisce con proprio regolamento le modalita' di accreditamento dei
soggetti SPID.
4. Entro sessanta giorni dalla pubblicazione del presente decreto,
l'Agenzia, sentito il Garante per la protezione dei dati personali,
definisce con proprio regolamento le procedure necessarie a
consentire ai gestori dell'identita' digitale, tramite l'utilizzo di
altri sistemi di identificazione informatica conformi ai requisiti
dello SPID, il rilascio dell'identita' digitale.
Art. 5
Attributi dell'identita' digitale
1. Le identita' digitali rilasciate all'utente contengono
obbligatoriamente il codice identificativo, gli attributi
identificativi e almeno un attributo secondario, funzionale alle
comunicazioni tra il gestore dell'identita' digitale e l'utente.
2. Al momento della richiesta di rilascio dell'identita' digitale,
l'utente puo' chiedere che siano registrati ulteriori attributi
secondari.
3. L'Agenzia stabilisce, nell'ambito dei regolamenti di cui
all'art. 4, le modalita' e le regole tecniche con le quali i gestori
dell'identita' digitale e i gestori degli attributi qualificati
curano e rendono disponibile la verifica degli attributi stessi ai
fornitori di servizi. Gli attributi qualificati sono verificati dal
fornitore di servizi presso il gestore di attributi qualificati.
Art. 6
Livelli di sicurezza delle identita' digitali
1. Lo SPID e' basato su tre livelli di sicurezza di autenticazione
informatica:
a) nel primo livello, corrispondente al Level of Assurance LoA2
dello standard ISO/IEC DIS 29115, il gestore dell'identita' digitale
rende disponibili sistemi di autenticazione informatica a un fattore,
quale la password, secondo quanto previsto dal presente decreto e dai
regolamenti di cui all'art. 4;
b) nel secondo livello, corrispondente al Level of Assurance LoA3
dello standard ISO/IEC DIS 29115, il gestore dell'identita' digitale
rende disponibili sistemi di autenticazione informatica a due
fattori, non basati necessariamente su certificati digitali, le cui
chiavi private siano custodite su dispositivi che soddisfano i
requisiti di cui all'Allegato 3 della Direttiva 1999/93/CE del
Parlamento europeo, secondo quanto previsto dal presente decreto e
dai regolamenti di cui all'art. 4;
c) nel terzo livello, corrispondente al Level of Assurance LoA4
dello standard ISO/IEC DIS 29115, il gestore dell'identita' digitale
rende disponibili sistemi di autenticazione informatica a due fattori
basati su certificati digitali, le cui chiavi private siano custodite
su dispositivi che soddisfano i requisiti di cui all'Allegato 3 della
Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto
dal presente decreto e dai regolamenti di cui all'art. 4.
2. L'Agenzia valuta e autorizza l'uso degli strumenti e delle
tecnologie di autenticazione informatica consentiti per ciascun
livello, nonche' i criteri per la valutazione dei sistemi di
autenticazione informatica e la loro assegnazione al relativo livello
di sicurezza. In tale ambito, i gestori dell'identita' digitale
rendono pubbliche le decisioni dell'Agenzia con le modalita' indicate
dalla stessa.
3. I gestori dell'identita' digitale garantiscono che
l'autenticazione informatica avvenga attraverso software e soluzioni
tecniche che non richiedono ai fornitori di servizi di dotarsi di
dispositivi, fissi o mobili, proprietari. Sono consentite soluzioni
tecniche che prevedono il caricamento del software necessario per
effettuare l'autenticazione informatica.
4. I fornitori di servizi non possono discriminare l'accesso ai
propri servizi sulla base del gestore di identita' che l'ha fornita.
5. I fornitori di servizi scelgono il livello di sicurezza
necessario per accedere ai propri servizi.
Art. 7
Rilascio delle identita' digitali
1. Le identita' digitali sono rilasciate, a domanda
dell'interessato, dal gestore dell'identita' digitale, previa
verifica dell'identita' del soggetto richiedente e mediante consegna
in modalita' sicura delle credenziali di accesso. Nell'ambito della
propria struttura organizzativa, i gestori delle identita' digitali
individuano il responsabile delle attivita' di verifica
dell'identita' del soggetto richiedente.
2. La verifica dell'identita' del soggetto richiedente e la
richiesta di adesione avvengono in uno dei seguenti modi:
a) identificazione del soggetto richiedente che sottoscrive il
modulo di adesione allo SPID, tramite esibizione a vista di un valido
documento d'identita' e, nel caso di persone giuridiche, della
procura attestante i poteri di rappresentanza;
b) identificazione informatica tramite documenti digitali di
identita', validi ai sensi di legge, che prevedono il riconoscimento
a vista del richiedente all'atto dell'attivazione, fra cui la tessera
sanitaria-carta nazionale dei servizi (TS-CNS), CNS o carte ad essa
conformi;
c) identificazione informatica tramite altra identita' digitale
SPID di livello di sicurezza pari o superiore a quella oggetto della
richiesta;
d) acquisizione del modulo di adesione allo SPID sottoscritto con
firma elettronica qualificata o con firma digitale;
e) identificazione informatica fornita da sistemi informatici
preesistenti all'introduzione dello SPID che risultino aver adottato,
a seguito di apposita istruttoria dell'Agenzia, regole di
identificazione informatica caratterizzate da livelli di sicurezza
uguali o superiori a quelli definiti nel presente decreto.
3. Con i regolamenti di cui all'art. 4, l'Agenzia definisce le
modalita' con le quali la verifica dell'identita' di cui al comma 2
e' effettuata secondo i piu' alti livelli di controllo disponibili,
anche in relazione ai livelli di sicurezza di cui all'art. 6.
4. Nei casi di cui alle lettere b), c) ed e) del comma 2 i dati di
adesione vengono forniti direttamente, utilizzando i moduli
informatici posti a disposizione in rete dal gestore dell'identita'
digitale.
5. I gestori dell'identita' digitale, al fine di poter documentare
la corretta attribuzione della stessa, conservano per il periodo
prescritto dal comma 8, in relazione alle modalita' di
identificazione di cui al comma 2, copia per immagine del documento
di identita' esibito e del modulo di cui alla lettera a), copia del
log della transazione di cui alle lettere b), c) ed e) o il modulo
firmato digitalmente di cui alla lettera d), nonche' i documenti e i
dati utilizzati per l'associazione e la verifica degli attributi.
6. I gestori dell'identita' digitale, ricevuta la richiesta di
adesione, effettuano la verifica degli attributi identificativi del
richiedente utilizzando prioritariamente i servizi convenzionali di
cui all'art. 4, comma 1, lettera c).
7. Nei casi in cui le informazioni necessarie per la verifica degli
attributi identificativi non siano accessibili tramite i servizi
convenzionali di cui al comma 6, i gestori dell'identita' digitale
effettuano tali verifiche sulla base di documenti, dati o
informazioni ottenibili da archivi delle amministrazioni
certificanti, ai sensi dell'art. 43, comma 2, del decreto del
Presidente della Repubblica 28 dicembre 2000, n. 445, secondo i
criteri e le modalita' stabilite dall'Agenzia con i regolamenti di
cui all'art. 4, fatto salvo il caso di cui al comma 2, lettera e).
8. I gestori dell'identita' digitale conservano la documentazione
inerente al processo di adesione per un periodo pari a venti anni
decorrenti dalla scadenza o dalla revoca dell'identita' digitale.
Alla scadenza del predetto termine, i gestori cancellano la suddetta
documentazione. Salvo il subentro ai sensi dell'art. 12, il gestore
che cessa l'attivita' prima della scadenza del termine di cui al
presente comma trasmette la medesima documentazione all'Agenzia, che
la conserva fino alla scadenza del suddetto periodo.
9. I dati personali raccolti ai sensi del presente decreto sono
trattati e conservati nel rispetto della normativa in materia di
tutela dei dati personali di cui al decreto legislativo 30 giugno
2003, n. 196.
Art. 8
Gestione delle identita' digitali
1. Fatto salvo il caso in cui l'aggiornamento degli attributi
identificativi avvenga in modalita' automatica tramite le convenzioni
previste all'art. 4, comma 1, lettera c), gli utenti sono obbligati a
informare tempestivamente il gestore dell'identita' digitale di ogni
variazione degli attributi previamente comunicati. Il gestore
dell'identita' digitale provvede tempestivamente ai necessari
aggiornamenti, avendo verificato le informazioni fornite secondo le
modalita' di cui all'art. 7, comma 7.
2. Fatti salvi i casi previsti dall'art. 9, l'utente puo' chiedere
al gestore dell'identita' digitale, in qualsiasi momento e a titolo
gratuito, la sospensione o revoca della propria identita' digitale
ovvero la modifica dei propri attributi secondari e delle proprie
credenziali di accesso. A tali richieste il gestore dell'identita'
digitale provvede tempestivamente. L'Agenzia, con i regolamenti di
cui all'art. 4, stabilisce le procedure per consentire agli utenti la
rimozione dei dati contenuti nell'identita' digitale.
3. Il gestore dell'identita' digitale revoca l'identita' digitale
se riscontra l'inattivita' della stessa per un periodo superiore a
ventiquattro mesi o in caso di decesso della persona fisica o di
estinzione della persona giuridica, utilizzando i servizi messi a
disposizione dalle convenzioni di cui all'art. 4, comma 1, lettera
c), ovvero, laddove l'informazione non sia disponibile in tali
ambiti, attivando opportune e documentate verifiche delle
informazioni ricevute.
4. Il gestore dell'identita' digitale, su richiesta dell'utente,
gli segnala ogni avvenuto utilizzo delle credenziali di accesso,
inviandone gli estremi ad uno degli attributi secondari a tale scopo
indicato dall'utente stesso, secondo le regole tecniche definite con
i regolamenti di cui all'art. 4.
5. I gestori di identita' SPID possono stipulare accordi con
pubbliche amministrazioni al fine di importare nel sistema SPID
identita' digitali rilasciate dalle pubbliche amministrazioni
conformemente a quanto previsto dall'art. 7.
Art. 9
Uso illecito delle identita' digitali
1. Nel caso in cui l'utente ritenga, anche a seguito della
segnalazione di cui all'art. 8, comma 4, che la propria identita'
digitale sia stata utilizzata abusivamente o fraudolentemente da un
terzo, puo' chiedere, con le modalita' indicate nei regolamenti di
cui all'art. 4, la sospensione immediata dell'identita' digitale al
gestore della stessa e, se conosciuto, al fornitore di servizi presso
il quale essa risulta essere stata utilizzata. Salvo il caso in cui
la richiesta sia inviata tramite posta elettronica certificata, o
sottoscritta con firma digitale o firma elettronica qualificata, il
gestore dell'identita' digitale e il fornitore di servizi
eventualmente contattato verificano, anche attraverso uno o piu'
attributi secondari, la provenienza della richiesta di sospensione da
parte del soggetto titolare dell'identita' digitale e forniscono la
conferma della ricezione della medesima richiesta.
2. Nel caso previsto dal comma 1, il gestore dell'identita'
digitale sospende tempestivamente l'identita' digitale per un periodo
massimo di trenta giorni informandone il richiedente. Scaduto tale
periodo, l'identita' digitale e' ripristinata o revocata ai sensi del
comma 3.
3. Il gestore revoca l'identita' digitale se, nei termini previsti
dal comma 2, riceve dall'interessato copia della denuncia presentata
all'autorita' giudiziaria per gli stessi fatti su cui e' basata la
richiesta di sospensione.
Art. 10
Accreditamento dei gestori dell'identita' digitale
1. Le modalita' di richiesta di accreditamento sono definite nei
regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4, che
possono contenere ulteriori criteri per l'accreditamento delle
pubbliche amministrazioni.
2. A seguito dell'accoglimento della richiesta, l'Agenzia stipula
apposita convenzione secondo lo schema definito nell'ambito dei
regolamenti di cui all'art. 4 e dispone l'iscrizione del richiedente
nel registro SPID, consultabile in via telematica.
3. Al fine di ottenere l'accreditamento gli interessati devono:
a) avere forma giuridica di societa' di capitali e un capitale
sociale non inferiore a cinque milioni di euro;
b) garantire il possesso, da parte dei rappresentanti legali, dei
soggetti preposti all'amministrazione e dei componenti degli organi
preposti al controllo, dei requisiti di onorabilita' richiesti ai
soggetti che svolgono funzioni di amministrazione, direzione e
controllo presso banche ai sensi dell'art. 26 del decreto legislativo
1° settembre 1993, n. 385;
c) dimostrare la capacita' organizzativa e tecnica necessaria per
svolgere l'attivita' di gestione dell'identita' digitale;
d) utilizzare personale dotato delle conoscenze specifiche,
dell'esperienza e delle competenze necessarie per i servizi da
fornire. In particolare, il personale addetto alla realizzazione e
gestione del sistema informatico deve possedere, in relazione alle
attivita' da svolgere, la competenza gestionale, l'appropriata
conoscenza e padronanza delle procedure operative e di sicurezza,
nonche' delle regole tecniche da applicare. Il gestore provvede al
periodico aggiornamento professionale del personale;
e) comunicare all'Agenzia i nominativi e il profilo professionale
dei soggetti responsabili delle specifiche funzioni individuate nei
regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4;
f) essere in possesso della certificazione di conformita' del
proprio sistema di gestione per la sicurezza delle informazioni ad
essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo
indipendente a tal fine autorizzato secondo le norme vigenti in
materia;
g) trattare i dati personali nel rispetto del decreto legislativo
30 giugno 2003, n. 196;
h) essere in possesso della certificazione di qualita' ISO 9001,
successive modifiche o norme equivalenti.
4. Le lettere a) e b) del comma 3 non si applicano alle pubbliche
amministrazioni che chiedono l'accreditamento al fine di svolgere
l'attivita' di gestore dell'identita' digitale.
5. L'Agenzia procede, d'ufficio o su segnalazione motivata di
soggetti pubblici o privati, a controlli volti ad accertare la
permanenza della sussistenza dei requisiti previsti dal presente
decreto. Se, all'esito dei controlli, accerta la mancanza dei
requisiti richiesti per l'iscrizione nel registro SPID, decorso il
termine fissato per consentire il ripristino degli stessi, l'Agenzia,
con provvedimento motivato notificato all'interessato, puo' adottare
le azioni previste dall'art. 12.
Art. 11
Obblighi dei gestori dell'identita' digitale
1. I gestori dell'identita' digitale, nel rispetto dei regolamenti
di cui all'art. 4:
a) utilizzano sistemi affidabili che garantiscono la sicurezza
tecnica e crittografica dei procedimenti, in conformita' a criteri di
sicurezza riconosciuti in ambito europeo o internazionale;
b) adottano adeguate misure contro la contraffazione, idonee anche
a garantire la riservatezza, l'integrita' e la sicurezza nella
generazione delle credenziali di accesso;
c) effettuano un monitoraggio continuo al fine rilevare usi
impropri o tentativi di violazione delle credenziali di accesso
dell'identita' digitale di ciascun utente, procedendo alla
sospensione dell'identita' digitale in caso di attivita' sospetta;
d) effettuano, con cadenza almeno annuale, un'analisi dei rischi;
e) definiscono il piano per la sicurezza dei servizi SPID, da
trasmettere all'Agenzia, e ne garantiscono l'aggiornamento;
f) allineano le procedure di sicurezza agli standard
internazionali, la cui conformita' e' certificata da un terzo
abilitato;
g) conducono, con cadenza almeno semestrale, il «Penetration Test»;
h) garantiscono la continuita' operativa dei servizi afferenti allo
SPID;
i) effettuano ininterrottamente l'attivita' di monitoraggio della
sicurezza dei sistemi, garantendo la gestione degli incidenti da
parte di un'apposita struttura interna;
l) garantiscono la gestione sicura delle componenti riservate delle
identita' digitali degli utenti, assicurando che le stesse non siano
rese disponibili a terzi, ivi compresi i fornitori di servizi stessi,
neppure in forma cifrata;
m) garantiscono la disponibilita' delle funzioni, l'applicazione
dei modelli architetturali e il rispetto delle disposizioni previste
dal presente decreto e dai regolamenti attuativi adottati
dall'Agenzia ai sensi dell'art. 4;
n) si sottopongono, con cadenza almeno biennale, ad una verifica di
conformita' alle disposizioni vigenti da parte di un organismo di
valutazione accreditato ai sensi del Regolamento CE 765/2008 del
Parlamento Europeo e del Consiglio del 9 luglio 2008. Inviano
all'Agenzia l'esito della verifica, redatto dall'organismo di
valutazione in lingua inglese, entro tre giorni lavorativi dalla sua
ricezione;
o) informano tempestivamente l'Agenzia e il Garante per la
protezione dei dati personali su eventuali violazioni di dati
personali, secondo le modalita' individuate nei regolamenti adottati
ai sensi dell'art. 4;
p) adeguano i propri sistemi a seguito degli aggiornamenti emanati
dall'Agenzia;
q) inviano all'Agenzia, in forma aggregata, i dati da questa
richiesti a fini statistici, che potranno essere resi pubblici.
Art. 12
Cessazione, subentro, sospensione e revoca dell'attivita'
dei gestori dell'identita' digitale
1. Il gestore dell'identita' digitale comunica all'Agenzia e agli
utenti a cui ha attribuito l'identita' digitale l'intenzione di
cessare la propria attivita' almeno trenta giorni prima della data di
cessazione, indicando gli eventuali gestori sostitutivi, ovvero
segnalando la necessita' di revocare le identita' digitali dallo
stesso rilasciate.
2. Il gestore sostitutivo, previo invio all'Agenzia della
dichiarazione di accettazione e previa acquisizione del consenso
degli utenti, subentra nella gestione delle identita' digitali
rilasciate dal gestore cessato e nella conservazione delle
informazioni di cui all'art. 7, comma 8.
3. Salvo quanto disposto al comma 2, il gestore dell'identita'
digitale che cessa la propria attivita', scaduto il termine del
periodo previsto al comma 1, revoca le identita' digitali rilasciate.
4. L'Agenzia, previo accertamento della violazione delle
disposizioni di cui al presente decreto e dei regolamenti attuativi
adottati ai sensi dell'art. 4, puo' disporre la sospensione
dell'attivita' di attribuzione di identita' digitali per un periodo
minimo di un mese e massimo di un anno o, nei casi piu' gravi, la
revoca dell'accreditamento del gestore dell'identita' digitale.
5. In caso di revoca dell'accreditamento del gestore dell'identita'
digitale si applicano le disposizioni relative alle cessazioni di cui
al presente articolo.
Art. 13
Adesione ed obblighi dei fornitori di servizi
1. I fornitori di servizi possono aderire allo SPID stipulando
apposita convenzione con l'Agenzia il cui schema e' definito
nell'ambito dei regolamenti attuativi di cui all'art. 4.
2. I fornitori di servizi conservano per ventiquattro mesi le
informazioni necessarie a imputare, alle singole identita' digitali,
le operazioni effettuate sui propri sistemi tramite SPID.
3. Nel caso in cui i fornitori di servizi rilevino un uso anomalo
di un'identita' digitale, informano immediatamente l'Agenzia e il
gestore dell'identita' digitale che l'ha rilasciata.
4. I fornitori di servizi trattano i dati personali nel rispetto
del decreto legislativo 30 giugno 2003, n. 196. Nell'ambito
dell'informativa di cui all'art. 13 del decreto legislativo n. 196
del 2003, i fornitori di servizi informano l'utente che l'identita'
digitale e gli eventuali attributi qualificati saranno verificati,
rispettivamente, presso i gestori dell'identita' digitale e i gestori
degli attributi qualificati.
5. I fornitori di servizi, fatto salvo quanto previsto dall'art. 14
per le pubbliche amministrazioni, possono affidare la gestione delle
interfacce di autenticazione informatica ai propri servizi in rete ai
gestori di identita' SPID.
Art. 14
Adesione allo SPID da parte delle pubbliche
amministrazioni in qualita' di fornitori di servizi
1. Nel rispetto dell'art. 64, comma 2, del CAD, le pubbliche
amministrazioni che erogano in rete servizi qualificati, direttamente
o tramite altro fornitore di servizi, consentono l'identificazione
informatica degli utenti attraverso l'uso dello SPID.
2. Ai fini del comma 1, le pubbliche amministrazioni di cui
all'art. 2, comma 2, del CAD aderiscono allo SPID, secondo le
modalita' stabilite dall'Agenzia ai sensi dell'art. 4, entro i
ventiquattro mesi successivi all'accreditamento del primo gestore
dell'identita' digitale.
3. Le pubbliche amministrazioni possono affidare ai gestori di
identita' dello SPID le funzioni di autenticazione informatica
previste dalla normativa vigente in materia.
4. Le pubbliche amministrazioni possono affidare ai gestori di
identita' SPID le funzioni di autenticazione informatica basate sugli
strumenti per i quali il diritto dell'Unione europea prevede il mutuo
riconoscimento.
5. Le pubbliche amministrazioni, in qualita' di fornitori dei
servizi, usufruiscono gratuitamente delle verifiche rese disponibili
dai gestori di identita' digitali e dai gestori di attributi
qualificati. Per l'adeguamento allo SPID dei propri sistemi
informatici, le amministrazioni utilizzano le risorse finanziarie
disponibili a legislazione vigente, senza nuovi e maggiori oneri a
carico della finanza pubblica.
Art. 15
Adesione allo SPID da parte di soggetti privati
fornitori di servizi
1. Non possono aderire allo SPID i soggetti privati fornitori di
servizi il cui rappresentante legale, soggetto preposto
all'amministrazione o componente di organo preposto al controllo
risulta condannato con sentenza passata in giudicato per reati
commessi a mezzo di sistemi informatici.
2. Ai sensi dell'art. 64, comma 2-quinquies, del CAD, i soggetti
privati che aderiscono allo SPID per la verifica dell'accesso ai
servizi erogati in rete, nel rispetto del presente decreto e dei
regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4,
soddisfano gli obblighi di cui all'art. 17, comma 2, del decreto
legislativo 9 aprile 2003, n. 70 con la comunicazione del codice
identificativo dell'identita' digitale utilizzata dall'utente.
3. Nella convenzione che i fornitori di servizi privati stipulano
con l'Agenzia, nell'ambito dei regolamenti attuativi di cui all'art.
4, possono essere regolati i corrispettivi dovuti dai fornitori di
servizi ai gestori dell'identita' digitale e ai gestori degli
attributi qualificati per i servizi di verifica.
Art. 16
Accreditamento dei gestori di attributi qualificati
1. I soggetti che hanno il potere, in base alle norme vigenti, di
attestare gli attributi qualificati si accreditano indicando i dati
che intendono rendere disponibili nello SPID, nel rispetto del
presente decreto e secondo le modalita' indicate nei regolamenti
attuativi adottati ai sensi dell'art. 4.
2. L'Agenzia inserisce in un apposito registro, accessibile da
parte dei fornitori di servizi, le tipologie di dati resi disponibili
da ciascun gestore di attributi qualificati.
3. Su richiesta degli interessati, sono accreditati di diritto i
seguenti gestori di attributi qualificati:
a) il Ministero dello sviluppo economico in relazione ai dati
contenuti nell'indice nazionale degli indirizzi PEC delle imprese e
dei professionisti di cui all'art. 6-bis del CAD;
b) i consigli, gli ordini e i collegi delle professioni
regolamentate relativamente all'attestazione dell'iscrizione agli
albi professionali;
c) le camere di commercio, industria, artigianato e agricoltura
per l'attestazione delle cariche e degli incarichi societari iscritti
nel registro delle imprese;
d) l'Agenzia in relazione ai dati contenuti nell'indice degli
indirizzi della pubblica amministrazione e dei gestori di pubblici
servizi di cui all'art. 57-bis del CAD.
Art. 17
Disposizione finale
1. I soggetti interessati a ottenere l'accreditamento allo SPID
possono presentare domanda all'Agenzia successivamente all'emanazione
dei regolamenti attuativi di cui all'art. 4.
Il presente decreto e' inviato ai competenti organi di controllo e
pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 24 ottobre 2014
p. Il Presidente del Consiglio dei ministri
Il Ministro per la semplificazione
e la pubblica amministrazione
Madia
Il Ministro dell'economia
e delle finanze
Padoan
Registrato alla Corte dei conti il 24 novembre 2014
Ufficio controllo atti P.C.M. Ministeri giustizia e affari esteri
Reg.ne - Prev. n. 3020