Consenso all'uso dei cookie

Tu sei qui

Identità digitale cittadini ed imprese (SPID) - tempi e modalità di adozione per le PA - D.P.C.M. del 24.10.2014

Pubblico
Mercoledì, 10 Dicembre, 2014 - 01:00

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 ottobre 2014 
Definizione  delle  caratteristiche  del  sistema  pubblico  per   la
gestione dell'identita'  digitale  di  cittadini  e  imprese  (SPID),
nonche' dei tempi e delle modalita' di adozione del sistema  SPID  da
parte delle pubbliche amministrazioni e delle imprese. (14A09376) 
(GU n.285 del 9-12-2014)
 
              IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 
 
  Visto il decreto legislativo 7 marzo  2005,  n.  82,  e  successive
modificazioni, recante il Codice dell'amministrazione digitale; 
  Visto, in particolare, l'art. 64 del decreto legislativo n. 82  del
2005, come modificato dall'art. 17-ter del  decreto-legge  21  giugno
2013, n. 69, convertito, con  modificazioni,  dalla  legge  9  agosto
2013, n. 69 che, «per favorire la diffusione di  servizi  in  rete  e
agevolare l'accesso agli stessi da  parte  di  cittadini  e  imprese,
anche in mobilita', e' istituito, a cura  dell'Agenzia  per  l'Italia
digitale, il sistema pubblico per la gestione dell'identita' digitale
di cittadini e imprese» (SPID) e demanda a un decreto del  Presidente
del Consiglio dei ministri, su proposta  del  Ministro  delegato  per
l'innovazione  tecnologica   e   del   Ministro   per   la   pubblica
amministrazione e la semplificazione, di  concerto  con  il  Ministro
dell'economia e delle finanze, la definizione  delle  caratteristiche
del sistema SPID, nonche' dei tempi e delle modalita' di adozione del
sistema  SPID  da  parte  delle  pubbliche  amministrazioni  e  delle
modalita' attraverso cui le imprese  possono  avvalersi  del  sistema
SPID per la gestione dell'identita' digitale dei propri utenti; 
  Visto il decreto legislativo 30 giugno 2003, n.  196  e  successive
modificazioni, recante il Codice in materia di  protezione  dei  dati
personali; 
  Visti gli articoli da 19 a 22 del decreto-legge 22 giugno 2012,  n.
83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134,
e successive modificazioni, con cui e' stata istituita l'Agenzia  per
l'Italia digitale; 
  Visto il Regolamento (UE) n. 910/2014 del Parlamento europeo e  del
Consiglio  del  23  luglio  2014  in   materia   di   identificazione
elettronica e servizi fiduciari per le transazioni  elettroniche  nel
mercato interno e che  abroga  la  direttiva  1999/93/CE,  pubblicato
nella Gazzetta Ufficiale dell'Unione Europea - serie  L  257  del  28
agosto 2014; 
  Visto il decreto del Presidente della Repubblica 21  febbraio  2014
con cui l'onorevole dott.ssa  Maria  Anna  Madia  e'  stato  nominata
Ministro senza portafoglio; 
  Visto il decreto del  Presidente  del  Consiglio  dei  ministri  22
febbraio  2014  con  cui  al  Ministro  senza  portafoglio  onorevole
dottoressa Maria Anna Madia e'  stato  conferito  l'incarico  per  la
semplificazione e la pubblica amministrazione; 
  Visto il decreto del  Presidente  del  Consiglio  dei  ministri  23
aprile 2014 recante Delega di funzioni al Ministro senza  portafoglio
onorevole dott.ssa Maria Anna  Madia  per  la  semplificazione  e  la
pubblica amministrazione; 
  Sentito il Garante per la protezione dei dati personali; 
  Espletata la procedura di notifica alla Commissione europea di  cui
alla direttiva 98/34/CE del Parlamento europeo e del  Consiglio,  del
22 giugno 1998, modificata dalla direttiva  98/48/CE  del  Parlamento
europeo e del Consiglio, del 20 luglio 1998, recepita  con  legge  21
giugno 1986, n. 317, modificata dal decreto legislativo  23  novembre
2000, n. 427; 
  Di concerto con il Ministro dell'economia e delle finanze; 
 
                              Decreta: 
 
                               Art. 1 
 
                             Definizioni 
 
  1. Ai fini del presente decreto si intende per: 
  a) Agenzia: l'Agenzia per l'Italia Digitale; 
  b) attributi: informazioni o qualita' di un utente  utilizzate  per
rappresentare la sua identita', il suo stato, la sua forma  giuridica
o altre caratteristiche peculiari; 
  c)  attributi  identificativi:  nome,  cognome,  luogo  e  data  di
nascita, sesso, ovvero ragione o denominazione sociale, sede  legale,
nonche' il codice  fiscale  o  la  partita  IVA  e  gli  estremi  del
documento d'identita' utilizzato ai fini dell'identificazione; 
  d) attributi secondari: il numero  di  telefonia  fissa  o  mobile,
l'indirizzo di posta elettronica, il  domicilio  fisico  e  digitale,
nonche'   eventuali   altri   attributi   individuati   dall'Agenzia,
funzionali alle comunicazioni; 
  e)  attributi   qualificati:   le   qualifiche,   le   abilitazioni
professionali e i poteri di rappresentanza e qualsiasi altro tipo  di
attributo attestato da un gestore di attributi qualificati; 
  f) autenticazione  informatica:  verifica  effettuata  dal  gestore
dell'identita' digitale, su richiesta del fornitore di servizi, della
validita' delle credenziali di accesso  presentate  dall'utente  allo
stesso   gestore,   al   fine   di   convalidarne   l'identificazione
informatica; 
  g) codice identificativo: il particolare  attributo  assegnato  dal
gestore  dell'identita'  digitale   che   consente   di   individuare
univocamente un'identita' digitale nell'ambito dello SPID; 
  h) credenziale di accesso: il particolare attributo di cui l'utente
si avvale, unitamente al codice identificativo, per accedere in  modo
sicuro, tramite autenticazione informatica,  ai  servizi  qualificati
erogati in rete dai fornitori di servizi che aderiscono allo SPID; 
  i) fornitore di servizi: il fornitore dei  servizi  della  societa'
dell'informazione definiti dall'art. 2,  comma  1,  lettera  a),  del
decreto  legislativo  9  aprile  2003,  n.  70,  o  dei  servizi   di
un'amministrazione  o  di  un  ente  pubblico  erogati  agli   utenti
attraverso sistemi informativi accessibili in rete.  I  fornitori  di
servizi  inoltrano  le  richieste  di   identificazione   informatica
dell'utente ai gestori dell'identita' digitale e ne ricevono l'esito.
I fornitori di  servizi,  nell'accettare  l'identita'  digitale,  non
discriminano gli utenti in base al  gestore  dell'identita'  digitale
che l'ha fornita; 
  l)  gestori  dell'identita'   digitale:   le   persone   giuridiche
accreditate allo  SPID  che,  in  qualita'  di  gestori  di  servizio
pubblico,  previa  identificazione  certa   dell'utente,   assegnano,
rendono  disponibili  e  gestiscono  gli  attributi  utilizzati   dal
medesimo utente al fine della sua identificazione  informatica.  Essi
inoltre, forniscono i  servizi  necessari  a  gestire  l'attribuzione
dell'identita'   digitale   degli   utenti,   la   distribuzione    e
l'interoperabilita' delle credenziali  di  accesso,  la  riservatezza
delle  informazioni  gestite  e  l'autenticazione  informatica  degli
utenti; 
  m) gestori di attributi  qualificati:  i  soggetti  accreditati  ai
sensi dell'art. 16 che hanno il potere di attestare il possesso e  la
validita' di attributi qualificati, su  richiesta  dei  fornitori  di
servizi; 
  n) identificazione informatica: l'identificazione di  cui  all'art.
1, comma 1, lettera u-ter) del decreto legislativo 7 marzo  2005,  n.
82 (di seguito «CAD»); 
  o)  identita'  digitale:  la  rappresentazione  informatica   della
corrispondenza  biunivoca  tra  un  utente   e   i   suoi   attributi
identificativi, verificata attraverso l'insieme dei dati  raccolti  e
registrati in forma digitale secondo le modalita' di cui al  presente
decreto e dei suoi regolamenti attuativi; 
  p)  revoca  dell'identita'  digitale:   disattivazione   definitiva
dell'identita' digitale; 
  q) sospensione dell'identita' digitale:  disattivazione  temporanea
dell'identita' digitale; 
  r)   registrazione:   l'insieme   delle   procedure   informatiche,
organizzative e logistiche mediante le quali, con adeguati criteri di
gestione e protezione  previsti  dal  presente  decreto  e  dai  suoi
regolamenti attuativi,  e'  attribuita  un'identita'  digitale  a  un
utente, previa raccolta, verifica e certificazione degli attributi da
parte del gestore dell'identita' digitale, garantendo  l'assegnazione
e la consegna delle credenziali di  accesso  prescelte  in  modalita'
sicura; 
  s) registro SPID: registro,  tenuto  dall'Agenzia,  accessibile  al
pubblico, contenente l'elenco dei soggetti  abilitati  a  operare  in
qualita'  di  gestori  dell'identita'  digitale,  di  gestori   degli
attributi qualificati e di fornitori di servizi; 
  t)  servizio  qualificato:  servizio  per  la  cui  erogazione   e'
necessaria l'identificazione informatica dell'utente; 
  u) SPID: il Sistema pubblico dell'identita' digitale, istituito  ai
sensi  dell'art.  64  del  CAD,  modificato  dall'art.   17-ter   del
decreto-legge 21 giugno 2013, n. 69, convertito,  con  modificazioni,
dalla legge 9 agosto 2013, n. 98; 
  v) utente: persona fisica o  giuridica,  titolare  di  un'identita'
digitale SPID, che utilizza i servizi erogati in rete da un fornitore
di servizi, previa identificazione informatica. 
                               Art. 2 
 
                         Oggetto e finalita' 
 
  1. Il presente decreto stabilisce le caratteristiche dello SPID  ai
sensi dell'art. 64 del CAD,  come  modificato  dall'art.  17-ter  del
decreto-legge n. 69 del 2013. 
  2. Ai sensi di tali disposizioni lo SPID consente  agli  utenti  di
avvalersi  di  gestori  dell'identita'  digitale  e  di  gestori   di
attributi  qualificati,  per  consentire  ai  fornitori  di   servizi
l'immediata verifica della propria identita' e di eventuali attributi
qualificati che li riguardano. 
                               Art. 3 
 
                   Soggetti partecipanti allo SPID 
 
  1. I soggetti pubblici o privati che partecipano allo SPID sono: 
  a) i gestori dell'identita' digitale; 
  b) i gestori degli attributi qualificati; 
  c) i fornitori di servizi; 
  d) l'Agenzia; 
  e) gli utenti. 
  2. I soggetti di cui al comma 1, esclusi gli utenti,  costituiscono
un sistema aperto  e  cooperante  che  consente  loro  di  comunicare
utilizzando  meccanismi  di  interazione,  standard   tecnologici   e
protocolli indicati nel presente decreto  e  precisati  nelle  regole
tecniche definite dall'Agenzia nell'ambito  dei  regolamenti  di  cui
all'art. 4. 
                               Art. 4 
 
                         Ruolo dell'Agenzia 
 
  1.  L'Agenzia  cura  l'attivazione  dello   SPID,   svolgendo,   in
particolare, le seguenti attivita': 
  a) gestisce l'accreditamento dei gestori dell'identita' digitale  e
dei gestori di attributi qualificati, stipulando  con  essi  apposite
convenzioni. Con i regolamenti  di  cui  al  presente  articolo  sono
disciplinate le convenzioni per l'adesione allo  SPID  da  parte  dei
fornitori di servizi ed e'  regolato  il  contributo  che  i  gestori
dell'identita'   digitale   accreditati   allo    SPID    riconoscono
all'Agenzia, da determinarsi nella misura necessaria  alla  copertura
dei costi sostenuti da quest'ultima; 
  b) cura l'aggiornamento del registro SPID e vigila sull'operato dei
soggetti  che  partecipano  allo  SPID,  anche  con  possibilita'  di
conoscere,  tramite  il  gestore  dell'identita'  digitale,  i   dati
identificativi dell'utente e  verificare  le  modalita'  con  cui  le
identita' digitali sono state rilasciate e utilizzate; 
  c) stipula apposite convenzioni con i  soggetti  che  attestano  la
validita' degli attributi identificativi e consentono la verifica dei
documenti di identita'. A tali convenzioni i  gestori  dell'identita'
digitale e i gestori  degli  attributi  qualificati  sono  tenuti  ad
aderire secondo le modalita'  indicate  nei  regolamenti  di  cui  al
presente articolo. 
  2. Entro trenta giorni dalla pubblicazione  del  presente  decreto,
l'Agenzia, sentito il Garante per la protezione dei  dati  personali,
definisce con proprio regolamento le regole tecniche e  le  modalita'
attuative per la realizzazione dello SPID. 
  3. Entro sessanta giorni dalla pubblicazione del presente  decreto,
l'Agenzia, sentito il Garante per la protezione dei  dati  personali,
definisce con proprio regolamento le modalita' di accreditamento  dei
soggetti SPID. 
  4. Entro sessanta giorni dalla pubblicazione del presente  decreto,
l'Agenzia, sentito il Garante per la protezione dei  dati  personali,
definisce  con  proprio  regolamento  le   procedure   necessarie   a
consentire ai gestori dell'identita' digitale, tramite l'utilizzo  di
altri sistemi di identificazione informatica  conformi  ai  requisiti
dello SPID, il rilascio dell'identita' digitale. 
                               Art. 5 
 
                  Attributi dell'identita' digitale 
 
  1.  Le  identita'   digitali   rilasciate   all'utente   contengono
obbligatoriamente   il   codice   identificativo,    gli    attributi
identificativi e almeno  un  attributo  secondario,  funzionale  alle
comunicazioni tra il gestore dell'identita' digitale e l'utente. 
  2. Al momento della richiesta di rilascio dell'identita'  digitale,
l'utente puo'  chiedere  che  siano  registrati  ulteriori  attributi
secondari. 
  3.  L'Agenzia  stabilisce,  nell'ambito  dei  regolamenti  di   cui
all'art. 4, le modalita' e le regole tecniche con le quali i  gestori
dell'identita' digitale  e  i  gestori  degli  attributi  qualificati
curano e rendono disponibile la verifica degli  attributi  stessi  ai
fornitori di servizi. Gli attributi qualificati sono  verificati  dal
fornitore di servizi presso il gestore di attributi qualificati. 
                               Art. 6 
 
            Livelli di sicurezza delle identita' digitali 
 
  1. Lo SPID e' basato su tre livelli di sicurezza di  autenticazione
informatica: 
  a) nel primo livello, corrispondente al  Level  of  Assurance  LoA2
dello standard ISO/IEC DIS 29115, il gestore dell'identita'  digitale
rende disponibili sistemi di autenticazione informatica a un fattore,
quale la password, secondo quanto previsto dal presente decreto e dai
regolamenti di cui all'art. 4; 
  b) nel secondo livello, corrispondente al Level of  Assurance  LoA3
dello standard ISO/IEC DIS 29115, il gestore dell'identita'  digitale
rende  disponibili  sistemi  di  autenticazione  informatica  a   due
fattori, non basati necessariamente su certificati digitali,  le  cui
chiavi private  siano  custodite  su  dispositivi  che  soddisfano  i
requisiti di  cui  all'Allegato  3  della  Direttiva  1999/93/CE  del
Parlamento europeo, secondo quanto previsto dal  presente  decreto  e
dai regolamenti di cui all'art. 4; 
  c) nel terzo livello, corrispondente al  Level  of  Assurance  LoA4
dello standard ISO/IEC DIS 29115, il gestore dell'identita'  digitale
rende disponibili sistemi di autenticazione informatica a due fattori
basati su certificati digitali, le cui chiavi private siano custodite
su dispositivi che soddisfano i requisiti di cui all'Allegato 3 della
Direttiva 1999/93/CE del Parlamento europeo, secondo quanto  previsto
dal presente decreto e dai regolamenti di cui all'art. 4. 
  2. L'Agenzia valuta e  autorizza  l'uso  degli  strumenti  e  delle
tecnologie  di  autenticazione  informatica  consentiti  per  ciascun
livello,  nonche'  i  criteri  per  la  valutazione  dei  sistemi  di
autenticazione informatica e la loro assegnazione al relativo livello
di sicurezza. In  tale  ambito,  i  gestori  dell'identita'  digitale
rendono pubbliche le decisioni dell'Agenzia con le modalita' indicate
dalla stessa. 
  3.   I   gestori   dell'identita'   digitale    garantiscono    che
l'autenticazione informatica avvenga attraverso software e  soluzioni
tecniche che non richiedono ai fornitori di  servizi  di  dotarsi  di
dispositivi, fissi o mobili, proprietari. Sono  consentite  soluzioni
tecniche che prevedono il caricamento  del  software  necessario  per
effettuare l'autenticazione informatica. 
  4. I fornitori di servizi non  possono  discriminare  l'accesso  ai
propri servizi sulla base del gestore di identita' che l'ha fornita. 
  5.  I  fornitori  di  servizi  scelgono  il  livello  di  sicurezza
necessario per accedere ai propri servizi. 
                               Art. 7 
 
                  Rilascio delle identita' digitali 
 
  1.   Le   identita'   digitali   sono   rilasciate,    a    domanda
dell'interessato,  dal  gestore   dell'identita'   digitale,   previa
verifica dell'identita' del soggetto richiedente e mediante  consegna
in modalita' sicura delle credenziali di accesso.  Nell'ambito  della
propria struttura organizzativa, i gestori delle  identita'  digitali
individuano   il   responsabile   delle   attivita'    di    verifica
dell'identita' del soggetto richiedente. 
  2.  La  verifica  dell'identita'  del  soggetto  richiedente  e  la
richiesta di adesione avvengono in uno dei seguenti modi: 
  a) identificazione del  soggetto  richiedente  che  sottoscrive  il
modulo di adesione allo SPID, tramite esibizione a vista di un valido
documento d'identita'  e,  nel  caso  di  persone  giuridiche,  della
procura attestante i poteri di rappresentanza; 
  b)  identificazione  informatica  tramite  documenti  digitali   di
identita', validi ai sensi di legge, che prevedono il  riconoscimento
a vista del richiedente all'atto dell'attivazione, fra cui la tessera
sanitaria-carta nazionale dei servizi (TS-CNS), CNS o carte  ad  essa
conformi; 
  c) identificazione informatica  tramite  altra  identita'  digitale
SPID di livello di sicurezza pari o superiore a quella oggetto  della
richiesta; 
  d) acquisizione del modulo di adesione allo SPID  sottoscritto  con
firma elettronica qualificata o con firma digitale; 
  e)  identificazione  informatica  fornita  da  sistemi  informatici
preesistenti all'introduzione dello SPID che risultino aver adottato,
a  seguito  di   apposita   istruttoria   dell'Agenzia,   regole   di
identificazione informatica caratterizzate da  livelli  di  sicurezza
uguali o superiori a quelli definiti nel presente decreto. 
  3. Con i regolamenti di cui  all'art.  4,  l'Agenzia  definisce  le
modalita' con le quali la verifica dell'identita' di cui al  comma  2
e' effettuata secondo i piu' alti livelli di  controllo  disponibili,
anche in relazione ai livelli di sicurezza di cui all'art. 6. 
  4. Nei casi di cui alle lettere b), c) ed e) del comma 2 i dati  di
adesione  vengono  forniti   direttamente,   utilizzando   i   moduli
informatici posti a disposizione in rete dal  gestore  dell'identita'
digitale. 
  5. I gestori dell'identita' digitale, al fine di poter  documentare
la corretta attribuzione della  stessa,  conservano  per  il  periodo
prescritto  dal   comma   8,   in   relazione   alle   modalita'   di
identificazione di cui al comma 2, copia per immagine  del  documento
di identita' esibito e del modulo di cui alla lettera a),  copia  del
log della transazione di cui alle lettere b), c) ed e)  o  il  modulo
firmato digitalmente di cui alla lettera d), nonche' i documenti e  i
dati utilizzati per l'associazione e la verifica degli attributi. 
  6. I gestori dell'identita'  digitale,  ricevuta  la  richiesta  di
adesione, effettuano la verifica degli attributi  identificativi  del
richiedente utilizzando prioritariamente i servizi  convenzionali  di
cui all'art. 4, comma 1, lettera c). 
  7. Nei casi in cui le informazioni necessarie per la verifica degli
attributi identificativi non  siano  accessibili  tramite  i  servizi
convenzionali di cui al comma 6, i  gestori  dell'identita'  digitale
effettuano  tali  verifiche  sulla  base   di   documenti,   dati   o
informazioni   ottenibili   da    archivi    delle    amministrazioni
certificanti, ai  sensi  dell'art.  43,  comma  2,  del  decreto  del
Presidente della Repubblica 28  dicembre  2000,  n.  445,  secondo  i
criteri e le modalita' stabilite dall'Agenzia con  i  regolamenti  di
cui all'art. 4, fatto salvo il caso di cui al comma 2, lettera e). 
  8. I gestori dell'identita' digitale conservano  la  documentazione
inerente al processo di adesione per un periodo  pari  a  venti  anni
decorrenti dalla scadenza o  dalla  revoca  dell'identita'  digitale.
Alla scadenza del predetto termine, i gestori cancellano la  suddetta
documentazione. Salvo il subentro ai sensi dell'art. 12,  il  gestore
che cessa l'attivita' prima della scadenza  del  termine  di  cui  al
presente comma trasmette la medesima documentazione all'Agenzia,  che
la conserva fino alla scadenza del suddetto periodo. 
  9. I dati personali raccolti ai sensi  del  presente  decreto  sono
trattati e conservati nel rispetto  della  normativa  in  materia  di
tutela dei dati personali di cui al  decreto  legislativo  30  giugno
2003, n. 196. 
                               Art. 8 
 
                  Gestione delle identita' digitali 
 
  1. Fatto salvo il  caso  in  cui  l'aggiornamento  degli  attributi
identificativi avvenga in modalita' automatica tramite le convenzioni
previste all'art. 4, comma 1, lettera c), gli utenti sono obbligati a
informare tempestivamente il gestore dell'identita' digitale di  ogni
variazione  degli  attributi  previamente  comunicati.   Il   gestore
dell'identita'  digitale  provvede   tempestivamente   ai   necessari
aggiornamenti, avendo verificato le informazioni fornite  secondo  le
modalita' di cui all'art. 7, comma 7. 
  2. Fatti salvi i casi previsti dall'art. 9, l'utente puo'  chiedere
al gestore dell'identita' digitale, in qualsiasi momento e  a  titolo
gratuito, la sospensione o revoca della  propria  identita'  digitale
ovvero la modifica dei propri attributi  secondari  e  delle  proprie
credenziali di accesso. A tali richieste  il  gestore  dell'identita'
digitale provvede tempestivamente. L'Agenzia, con  i  regolamenti  di
cui all'art. 4, stabilisce le procedure per consentire agli utenti la
rimozione dei dati contenuti nell'identita' digitale. 
  3. Il gestore dell'identita' digitale revoca  l'identita'  digitale
se riscontra l'inattivita' della stessa per un  periodo  superiore  a
ventiquattro mesi o in caso di decesso  della  persona  fisica  o  di
estinzione della persona giuridica, utilizzando  i  servizi  messi  a
disposizione dalle convenzioni di cui all'art. 4,  comma  1,  lettera
c), ovvero,  laddove  l'informazione  non  sia  disponibile  in  tali
ambiti,   attivando   opportune   e   documentate   verifiche   delle
informazioni ricevute. 
  4. Il gestore dell'identita' digitale,  su  richiesta  dell'utente,
gli segnala ogni avvenuto  utilizzo  delle  credenziali  di  accesso,
inviandone gli estremi ad uno degli attributi secondari a tale  scopo
indicato dall'utente stesso, secondo le regole tecniche definite  con
i regolamenti di cui all'art. 4. 
  5. I gestori  di  identita'  SPID  possono  stipulare  accordi  con
pubbliche amministrazioni al  fine  di  importare  nel  sistema  SPID
identita'  digitali  rilasciate   dalle   pubbliche   amministrazioni
conformemente a quanto previsto dall'art. 7. 
                               Art. 9 
 
                Uso illecito delle identita' digitali 
 
  1. Nel  caso  in  cui  l'utente  ritenga,  anche  a  seguito  della
segnalazione di cui all'art. 8, comma 4,  che  la  propria  identita'
digitale sia stata utilizzata abusivamente o fraudolentemente  da  un
terzo, puo' chiedere, con le modalita' indicate  nei  regolamenti  di
cui all'art. 4, la sospensione immediata dell'identita'  digitale  al
gestore della stessa e, se conosciuto, al fornitore di servizi presso
il quale essa risulta essere stata utilizzata. Salvo il caso  in  cui
la richiesta sia inviata tramite  posta  elettronica  certificata,  o
sottoscritta con firma digitale o firma elettronica  qualificata,  il
gestore  dell'identita'  digitale   e   il   fornitore   di   servizi
eventualmente contattato verificano,  anche  attraverso  uno  o  piu'
attributi secondari, la provenienza della richiesta di sospensione da
parte del soggetto titolare dell'identita' digitale e  forniscono  la
conferma della ricezione della medesima richiesta. 
  2. Nel  caso  previsto  dal  comma  1,  il  gestore  dell'identita'
digitale sospende tempestivamente l'identita' digitale per un periodo
massimo di trenta giorni informandone il  richiedente.  Scaduto  tale
periodo, l'identita' digitale e' ripristinata o revocata ai sensi del
comma 3. 
  3. Il gestore revoca l'identita' digitale se, nei termini  previsti
dal comma 2, riceve dall'interessato copia della denuncia  presentata
all'autorita' giudiziaria per gli stessi fatti su cui  e'  basata  la
richiesta di sospensione. 
                               Art. 10 
 
         Accreditamento dei gestori dell'identita' digitale 
 
  1. Le modalita' di richiesta di accreditamento  sono  definite  nei
regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4, che
possono  contenere  ulteriori  criteri  per  l'accreditamento   delle
pubbliche amministrazioni. 
  2. A seguito dell'accoglimento della richiesta,  l'Agenzia  stipula
apposita convenzione  secondo  lo  schema  definito  nell'ambito  dei
regolamenti di cui all'art. 4 e dispone l'iscrizione del  richiedente
nel registro SPID, consultabile in via telematica. 
  3. Al fine di ottenere l'accreditamento gli interessati devono: 
  a) avere forma giuridica di societa'  di  capitali  e  un  capitale
sociale non inferiore a cinque milioni di euro; 
  b) garantire il possesso, da parte dei rappresentanti  legali,  dei
soggetti preposti all'amministrazione e dei componenti  degli  organi
preposti al controllo, dei requisiti  di  onorabilita'  richiesti  ai
soggetti  che  svolgono  funzioni  di  amministrazione,  direzione  e
controllo presso banche ai sensi dell'art. 26 del decreto legislativo
1° settembre 1993, n. 385; 
  c) dimostrare la capacita' organizzativa e tecnica  necessaria  per
svolgere l'attivita' di gestione dell'identita' digitale; 
  d)  utilizzare  personale  dotato  delle   conoscenze   specifiche,
dell'esperienza e  delle  competenze  necessarie  per  i  servizi  da
fornire. In particolare, il personale addetto  alla  realizzazione  e
gestione del sistema informatico deve possedere,  in  relazione  alle
attivita'  da  svolgere,  la  competenza  gestionale,   l'appropriata
conoscenza e padronanza delle procedure  operative  e  di  sicurezza,
nonche' delle regole tecniche da applicare. Il  gestore  provvede  al
periodico aggiornamento professionale del personale; 
  e) comunicare all'Agenzia i nominativi e il  profilo  professionale
dei soggetti responsabili delle specifiche funzioni  individuate  nei
regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4; 
  f) essere in  possesso  della  certificazione  di  conformita'  del
proprio sistema di gestione per la sicurezza  delle  informazioni  ad
essi relative, alla norma  ISO/IEC  27001,  rilasciata  da  un  terzo
indipendente a tal fine  autorizzato  secondo  le  norme  vigenti  in
materia; 
  g) trattare i dati personali nel rispetto del  decreto  legislativo
30 giugno 2003, n. 196; 
  h) essere in possesso della certificazione di  qualita'  ISO  9001,
successive modifiche o norme equivalenti. 
  4. Le lettere a) e b) del comma 3 non si applicano  alle  pubbliche
amministrazioni che chiedono l'accreditamento  al  fine  di  svolgere
l'attivita' di gestore dell'identita' digitale. 
  5. L'Agenzia procede,  d'ufficio  o  su  segnalazione  motivata  di
soggetti pubblici o  privati,  a  controlli  volti  ad  accertare  la
permanenza della sussistenza  dei  requisiti  previsti  dal  presente
decreto.  Se,  all'esito  dei  controlli,  accerta  la  mancanza  dei
requisiti richiesti per l'iscrizione nel registro  SPID,  decorso  il
termine fissato per consentire il ripristino degli stessi, l'Agenzia,
con provvedimento motivato notificato all'interessato, puo'  adottare
le azioni previste dall'art. 12. 
                               Art. 11 
 
            Obblighi dei gestori dell'identita' digitale 
 
  1. I gestori dell'identita' digitale, nel rispetto dei  regolamenti
di cui all'art. 4: 
  a) utilizzano sistemi  affidabili  che  garantiscono  la  sicurezza
tecnica e crittografica dei procedimenti, in conformita' a criteri di
sicurezza riconosciuti in ambito europeo o internazionale; 
  b) adottano adeguate misure contro la contraffazione, idonee  anche
a garantire  la  riservatezza,  l'integrita'  e  la  sicurezza  nella
generazione delle credenziali di accesso; 
  c)  effettuano  un  monitoraggio  continuo  al  fine  rilevare  usi
impropri o tentativi  di  violazione  delle  credenziali  di  accesso
dell'identita'  digitale   di   ciascun   utente,   procedendo   alla
sospensione dell'identita' digitale in caso di attivita' sospetta; 
  d) effettuano, con cadenza almeno annuale, un'analisi dei rischi; 
  e) definiscono il piano per  la  sicurezza  dei  servizi  SPID,  da
trasmettere all'Agenzia, e ne garantiscono l'aggiornamento; 
  f)   allineano   le   procedure   di   sicurezza   agli    standard
internazionali,  la  cui  conformita'  e'  certificata  da  un  terzo
abilitato; 
  g) conducono, con cadenza almeno semestrale, il «Penetration Test»; 
  h) garantiscono la continuita' operativa dei servizi afferenti allo
SPID; 
  i) effettuano ininterrottamente l'attivita' di  monitoraggio  della
sicurezza dei sistemi, garantendo  la  gestione  degli  incidenti  da
parte di un'apposita struttura interna; 
  l) garantiscono la gestione sicura delle componenti riservate delle
identita' digitali degli utenti, assicurando che le stesse non  siano
rese disponibili a terzi, ivi compresi i fornitori di servizi stessi,
neppure in forma cifrata; 
  m) garantiscono la disponibilita'  delle  funzioni,  l'applicazione
dei modelli architetturali e il rispetto delle disposizioni  previste
dal  presente  decreto   e   dai   regolamenti   attuativi   adottati
dall'Agenzia ai sensi dell'art. 4; 
  n) si sottopongono, con cadenza almeno biennale, ad una verifica di
conformita' alle disposizioni vigenti da parte  di  un  organismo  di
valutazione accreditato ai sensi  del  Regolamento  CE  765/2008  del
Parlamento Europeo  e  del  Consiglio  del  9  luglio  2008.  Inviano
all'Agenzia  l'esito  della  verifica,  redatto   dall'organismo   di
valutazione in lingua inglese, entro tre giorni lavorativi dalla  sua
ricezione; 
  o)  informano  tempestivamente  l'Agenzia  e  il  Garante  per   la
protezione  dei  dati  personali  su  eventuali  violazioni  di  dati
personali, secondo le modalita' individuate nei regolamenti  adottati
ai sensi dell'art. 4; 
  p) adeguano i propri sistemi a seguito degli aggiornamenti  emanati
dall'Agenzia; 
  q) inviano all'Agenzia,  in  forma  aggregata,  i  dati  da  questa
richiesti a fini statistici, che potranno essere resi pubblici. 
                               Art. 12 
 
      Cessazione, subentro, sospensione e revoca dell'attivita' 
                 dei gestori dell'identita' digitale 
 
  1. Il gestore dell'identita' digitale comunica all'Agenzia  e  agli
utenti a cui  ha  attribuito  l'identita'  digitale  l'intenzione  di
cessare la propria attivita' almeno trenta giorni prima della data di
cessazione,  indicando  gli  eventuali  gestori  sostitutivi,  ovvero
segnalando la necessita' di  revocare  le  identita'  digitali  dallo
stesso rilasciate. 
  2.  Il  gestore  sostitutivo,  previo   invio   all'Agenzia   della
dichiarazione di accettazione  e  previa  acquisizione  del  consenso
degli  utenti,  subentra  nella  gestione  delle  identita'  digitali
rilasciate  dal  gestore  cessato   e   nella   conservazione   delle
informazioni di cui all'art. 7, comma 8. 
  3. Salvo quanto disposto al  comma  2,  il  gestore  dell'identita'
digitale che cessa la  propria  attivita',  scaduto  il  termine  del
periodo previsto al comma 1, revoca le identita' digitali rilasciate. 
  4.  L'Agenzia,   previo   accertamento   della   violazione   delle
disposizioni di cui al presente decreto e dei  regolamenti  attuativi
adottati  ai  sensi  dell'art.  4,  puo'  disporre   la   sospensione
dell'attivita' di attribuzione di identita' digitali per  un  periodo
minimo di un mese e massimo di un anno o, nei  casi  piu'  gravi,  la
revoca dell'accreditamento del gestore dell'identita' digitale. 
  5. In caso di revoca dell'accreditamento del gestore dell'identita'
digitale si applicano le disposizioni relative alle cessazioni di cui
al presente articolo. 
                               Art. 13 
 
            Adesione ed obblighi dei fornitori di servizi 
 
  1. I fornitori di servizi  possono  aderire  allo  SPID  stipulando
apposita  convenzione  con  l'Agenzia  il  cui  schema  e'   definito
nell'ambito dei regolamenti attuativi di cui all'art. 4. 
  2. I fornitori di  servizi  conservano  per  ventiquattro  mesi  le
informazioni necessarie a imputare, alle singole identita'  digitali,
le operazioni effettuate sui propri sistemi tramite SPID. 
  3. Nel caso in cui i fornitori di servizi rilevino un  uso  anomalo
di un'identita' digitale, informano  immediatamente  l'Agenzia  e  il
gestore dell'identita' digitale che l'ha rilasciata. 
  4. I fornitori di servizi trattano i dati  personali  nel  rispetto
del  decreto  legislativo  30  giugno  2003,  n.   196.   Nell'ambito
dell'informativa di cui all'art. 13 del decreto  legislativo  n.  196
del 2003, i fornitori di servizi informano l'utente  che  l'identita'
digitale e gli eventuali attributi  qualificati  saranno  verificati,
rispettivamente, presso i gestori dell'identita' digitale e i gestori
degli attributi qualificati. 
  5. I fornitori di servizi, fatto salvo quanto previsto dall'art. 14
per le pubbliche amministrazioni, possono affidare la gestione  delle
interfacce di autenticazione informatica ai propri servizi in rete ai
gestori di identita' SPID. 
                               Art. 14 
 
             Adesione allo SPID da parte delle pubbliche 
         amministrazioni in qualita' di fornitori di servizi 
 
  1. Nel rispetto dell'art.  64,  comma  2,  del  CAD,  le  pubbliche
amministrazioni che erogano in rete servizi qualificati, direttamente
o tramite altro fornitore di  servizi,  consentono  l'identificazione
informatica degli utenti attraverso l'uso dello SPID. 
  2. Ai fini  del  comma  1,  le  pubbliche  amministrazioni  di  cui
all'art. 2, comma  2,  del  CAD  aderiscono  allo  SPID,  secondo  le
modalita' stabilite  dall'Agenzia  ai  sensi  dell'art.  4,  entro  i
ventiquattro mesi successivi  all'accreditamento  del  primo  gestore
dell'identita' digitale. 
  3. Le pubbliche amministrazioni  possono  affidare  ai  gestori  di
identita'  dello  SPID  le  funzioni  di  autenticazione  informatica
previste dalla normativa vigente in materia. 
  4. Le pubbliche amministrazioni  possono  affidare  ai  gestori  di
identita' SPID le funzioni di autenticazione informatica basate sugli
strumenti per i quali il diritto dell'Unione europea prevede il mutuo
riconoscimento. 
  5. Le pubbliche  amministrazioni,  in  qualita'  di  fornitori  dei
servizi, usufruiscono gratuitamente delle verifiche rese  disponibili
dai  gestori  di  identita'  digitali  e  dai  gestori  di  attributi
qualificati.  Per  l'adeguamento  allo  SPID   dei   propri   sistemi
informatici, le amministrazioni  utilizzano  le  risorse  finanziarie
disponibili a legislazione vigente, senza nuovi e  maggiori  oneri  a
carico della finanza pubblica. 
                               Art. 15 
 
           Adesione allo SPID da parte di soggetti privati 
                        fornitori di servizi 
 
  1. Non possono aderire allo SPID i soggetti  privati  fornitori  di
servizi   il   cui   rappresentante   legale,    soggetto    preposto
all'amministrazione o componente  di  organo  preposto  al  controllo
risulta condannato  con  sentenza  passata  in  giudicato  per  reati
commessi a mezzo di sistemi informatici. 
  2. Ai sensi dell'art. 64, comma 2-quinquies, del  CAD,  i  soggetti
privati che aderiscono allo SPID  per  la  verifica  dell'accesso  ai
servizi erogati in rete, nel rispetto  del  presente  decreto  e  dei
regolamenti attuativi adottati dall'Agenzia  ai  sensi  dell'art.  4,
soddisfano gli obblighi di cui all'art.  17,  comma  2,  del  decreto
legislativo 9 aprile 2003, n. 70  con  la  comunicazione  del  codice
identificativo dell'identita' digitale utilizzata dall'utente. 
  3. Nella convenzione che i fornitori di servizi  privati  stipulano
con l'Agenzia, nell'ambito dei regolamenti attuativi di cui  all'art.
4, possono essere regolati i corrispettivi dovuti  dai  fornitori  di
servizi  ai  gestori  dell'identita'  digitale  e  ai  gestori  degli
attributi qualificati per i servizi di verifica. 
                               Art. 16 
 
         Accreditamento dei gestori di attributi qualificati 
 
  1. I soggetti che hanno il potere, in base alle norme  vigenti,  di
attestare gli attributi qualificati si accreditano indicando  i  dati
che intendono  rendere  disponibili  nello  SPID,  nel  rispetto  del
presente decreto e secondo  le  modalita'  indicate  nei  regolamenti
attuativi adottati ai sensi dell'art. 4. 
  2. L'Agenzia inserisce in  un  apposito  registro,  accessibile  da
parte dei fornitori di servizi, le tipologie di dati resi disponibili
da ciascun gestore di attributi qualificati. 
  3. Su richiesta degli interessati, sono accreditati  di  diritto  i
seguenti gestori di attributi qualificati: 
    a) il Ministero dello sviluppo economico  in  relazione  ai  dati
contenuti nell'indice nazionale degli indirizzi PEC delle  imprese  e
dei professionisti di cui all'art. 6-bis del CAD; 
    b)  i  consigli,  gli  ordini  e  i  collegi  delle   professioni
regolamentate  relativamente  all'attestazione  dell'iscrizione  agli
albi professionali; 
    c) le camere di commercio, industria, artigianato  e  agricoltura
per l'attestazione delle cariche e degli incarichi societari iscritti
nel registro delle imprese; 
    d) l'Agenzia in relazione ai  dati  contenuti  nell'indice  degli
indirizzi della pubblica amministrazione e dei  gestori  di  pubblici
servizi di cui all'art. 57-bis del CAD. 
                               Art. 17 
 
                         Disposizione finale 
 
  1. I soggetti interessati a  ottenere  l'accreditamento  allo  SPID
possono presentare domanda all'Agenzia successivamente all'emanazione
dei regolamenti attuativi di cui all'art. 4. 
  Il presente decreto e' inviato ai competenti organi di controllo  e
pubblicato nella Gazzetta Ufficiale della Repubblica italiana. 
    Roma, 24 ottobre 2014 
 
                          p. Il Presidente del Consiglio dei ministri 
                              Il Ministro per la semplificazione      
                                e la pubblica amministrazione         
                                             Madia                    
 
Il Ministro dell'economia 
     e delle finanze 
         Padoan 
 
Registrato alla Corte dei conti il 24 novembre 2014 
Ufficio controllo atti P.C.M. Ministeri  giustizia  e  affari  esteri
Reg.ne - Prev. n. 3020 
 

Registrati

Registrati per accedere Gratuitamente ai contenuti riservati del portale (Massime e Commenti) e ricevere, via email, le novità in tema di Diritto delle Pubbliche Amministrazioni.

Contenuto bloccato! Poiché non avete dato il consenso alla cookie policy (nel banner a fondo pagina), questo contenuto è stato bloccato. Potete visualizzare i contenuti bloccati solo dando il consenso all'utilizzo di cookie di terze parti nel suddetto banner.