SPID: tempi e modalità di adozione per pubbliche amministrazioni e imprese

Con la pubblicazione del DPCM 19 ottobre 2021 sulla Gazzetta Ufficiale (GU Serie Generale n. 296 del 14-12-2021), si è provveduto a novellare parzialmente il precedente DPCM del 24 ottobre 2014, recante la «Definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese».

Ciò, anche in virtù del regolamento di esecuzione (UE) 2015/1502 della Commissione dell'8 settembre 2015, relativo alla definizione delle specifiche e delle procedure tecniche minime riguardanti i livelli di garanzia per i mezzi d’identificazione elettronica, ai sensi dell'articolo 8, par. 3, del Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e, in particolare, l'articolo 1, comma 2 e il numero 2.4.1 (Disposizioni generali) del relativo allegato.

I dati personali raccolti, sono trattati e conservati nel rispetto della normativa in materia di tutela dei dati personali, di cui al Regolamento (UE) 2016/679 e al D. Lgs. n. 196/2003.

Accreditamento dei gestori dell'identità digitale– Si ricorda, anzitutto, che le modalità di richiesta di accreditamento, sono definite nei regolamenti attuativi adottati dall'Agenzia per l'Italia Digitale che possono contenere ulteriori criteri per l'accreditamento delle Pubbliche Amministrazioni.

Al fine di ottenere l'accreditamento gli interessati devono:

• avere forma giuridica di società di capitali e un capitale sociale non inferiore a 5 milioni di euro;
• essere una persona giuridica riconosciuta, con un patrimonio o un capitale sociale non inferiore a 300 mila euro e con un'organizzazione consolidata e pienamente operativa sotto tutti gli aspetti pertinenti per la fornitura dei servizi;
• garantire il possesso, da parte dei rappresentanti legali, dei soggetti preposti all'amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche, ai sensi dell'articolo 26 del D. Lgs. n. 385/1993;
• dimostrare la capacità organizzativa e tecnica necessaria per svolgere l'attività di gestione dell'identità digitale;
• disporre, per il risarcimento dei danni causati, con dolo o colpa, a qualsiasi persona fisica o giuridica a causa del mancato adempimento degli obblighi connessi alla gestione del sistema SPID, di una adeguata copertura assicurativa di almeno 1,5 milioni di euro annui e 150 mila euro per singolo sinistro;
• utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi da fornire. In particolare, il personale addetto alla realizzazione e gestione del sistema informatico deve possedere, in relazione alle attività da svolgere, la competenza gestionale, l'appropriata conoscenza e padronanza delle procedure operative e di sicurezza, nonché delle regole tecniche da applicare. Il gestore provvede al periodico aggiornamento professionale del personale;
• comunicare all'Agenzia i nominativi e il profilo professionale dei soggetti responsabili delle specifiche funzioni individuate nei regolamenti attuativi adottati dalla stessa;
• essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative (norma ISO/IEC 27001), rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia;
• • trattare i dati personali nel rispetto del regolamento (UE) 2016/679 e del D. Lgs. n. 196/2003.

Sospensione e revoca dell'attività dei gestori dell'identità digitale – Il gestore dell'identità digitale comunica all'Agenzia e agli utenti a cui ha attribuito l'identità digitale l'intenzione di cessare la propria attività almeno sessanta giorni (anziché trenta come precedentemente previsto) prima della data di cessazione, indicando i gestori sostitutivi e le modalità tecniche e operative per il trasferimento delle identità digitali, nel rispetto delle indicazioni fornite dall'Agenzia.

Il gestore sostitutivo, previo invio all'Agenzia della dichiarazione di accettazione e recepimento di eventuali prescrizioni dell'Agenzia in ordine alle modalità del trasferimento e previa acquisizione del consenso degli utenti, subentra nella gestione delle identità digitali rilasciate dal gestore cessato e nella conservazione delle informazioni.

Il DPCM in commento, novellando l’articolo 12 del DPCM del 24 ottobre 2014, inserisce il comma 5-bis il quale prevede che, nel caso in cui, a seguito della cessazione dell'attività da parte di un gestore dell'identità digitale o della revoca del suo accreditamento, nessun altro gestore è disponibile a subentrare con le modalità precedentemente descritte, l'Agenzia, con determinazione del direttore generale recante anche prescrizioni in ordine alle modalità del trasferimento, provvede a ridistribuire le identità digitali rilasciate dal gestore cessato o revocato tra tutti gli altri gestori che subentreranno nella relativa gestione in misura proporzionale alla ripartizione percentuale, di tutte le identità SPID rilasciate alla data della cessazione o della revoca.

Accreditamento dei gestori di attributi qualificati– Per quanto concerne, infine, l’accreditamento dei gestori di attributi qualificati, rimane sostanzialmente tutto immutato rispetto a quanto previsto dall’articolo 16 del DPCM 24 ottobre 2014, tranne che per quanto stabilito dal comma 3, lett. d).

È adesso previsto, quindi, nella nuova formulazione della suddetta disposizione, che su richiesta degli interessati, sono accreditati di diritto i seguenti gestori di attributi qualificati:

• a) il Ministero dello sviluppo economico in relazione ai dati contenuti nell'indice nazionale degli indirizzi PEC delle imprese e dei professionisti di cui all'articolo 6-bis del CAD;
• b) i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all'attestazione dell'iscrizione agli albi professionali;
• c) le Camere di commercio, industria, artigianato e agricoltura per l'attestazione delle cariche e degli incarichi societari iscritti nel Registro delle imprese;
• d) l'Agenzia per l’Italia Digitale in relazione ai dati contenuti nell'indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi di cui all'articolo 6-ter.