In questo articolo parliamo dei gestori di identità digitali SPID, che fanno parte del Sistema Pubblico di Identità Digitale. Di SPID ci siamo già occupati in un precedente articolo.
SPID permetterà di usare credenziali uniche per accedere a tutti i servizi digitali della PA e dei privati che aderiranno al sistema.
I fornitori dei servizi pubblici e privati (service provider) riceveranno i dati degli utenti da un soggetto terzo chiamato Gestore dell’identità digitale o Identity Provider (IdP).
Chi sono i gestori di identità digitali SPID
I gestori dell’identità digitale o identity provider saranno soggetti, soprattutto privati, abilitati a vendere SPID a cittadini e aziende e a fornirla gratuitamente alla PA. Risulta che alcune grosse aziende del calibro di Poste Italiane e Telecom, insieme ad alcune banche, abbiano già manifestato il proprio interesse a diventare gestori dell’identità digitale.
La scelta di affidare ad aziende private il rilascio dell’identità digitale SPID nasce da una serie di motivazioni:
1) Principio della libertà di scelta dell’utente. Ogni cittadino è libero di scegliere il gestore che meglio soddisferà le sue esigenze, sia in termini di servizio che di qualità/prezzo. Si potrà scegliere anche più di un gestore contemporaneamente, avendo più di un’identità digitale SPID, e smettere di usare un gestore quando lo si desidera.
2) Nessuna banca dati centralizzata delle identità. Per proteggere la privacy degli utenti, ogni gestore sarà responsabile dello svolgimento in modo sicuro delle attività connesse, mentre ogni service provider – pubblico o privato – avrà accesso solo ai dati di cui ha bisogno per erogare il servizio.
3) Sicurezza. Avendo diversi gestori, il sistema è più sicuro e meno vulnerabile; non esiste, infatti, un unico punto di vulnerabilità e nessuna banca dati centralizzata che disponga di tutti i dati in un unico luogo.
4) Sviluppo di un mercato. I gestori privati potranno sviluppare servizi utilizzabili sia dal settore pubblico che privato, con conseguente riduzione dei costi.
5) Sfruttare al massimo la tecnologia disponibile. La tecnologia e i metodi per la verifica delle identità sono in continua evoluzione e il settore privato, operando già in questo ambito, riesce a stare al passo con il mercato molto di più rispetto a qualunque PA.
Come si diventa gestori di identità SPID
Per diventare gestore dell’identità digitale bisogna essere accreditati da AgID e possedere una serie di requisiti:
1. dimostrare l’affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere l’attività di gestore dell’identità digitale;
2. utilizzare congruo personale dotato delle conoscenze specifiche, dell’esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore e della dimestichezza con procedure di sicurezza appropriate e che sia in grado di rispettare le norme del CAD e le regole tecniche previste;
3. essere titolari di certificazione UNI EN ISO 9001 e ISO/IEC 27001 nelle edizioni applicabili e metodi e tecniche amministrative consolidate per la realizzazione dei servizi SPID;
4. adottare adeguate misure di protezione idonee a garantire la riservatezza, l’autenticità, l’immodificabilità, l’integrità dei dati e la fruibilità dei servizi;
5. fornire al personale preposto le conoscenze necessarie a garantire, nelle rispettive attività, la protezione dei dati personali.
Il gestore, se soggetto privato, in aggiunta a quanto previsto dai precedenti punti, deve inoltre:
6. avere forma giuridica di società di capitali e un capitale sociale non inferiore ai cinque milioni di euro;
7. garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell’articolo 26 del Testo Unico Bancario.
Su questa pagina è possibile vedere la lista aggiornata dei gestori SPID accreditati da AgID.
Compiti dei gestori di identità digitali
Il gestore delle identità digitali ha il principale compito di rilasciare l’identità digitale verificando l’identità del soggetto richiedente e consegnando in modalità sicura le credenziali di accesso.
Il gestore dell’identità digitale conserva la documentazione inerente il rilascio per un periodo di venti anni dalla scadenza o dalla revoca dell’identità digitale.
L’utente può chiedere al gestore, in qualsiasi momento e a titolo gratuito, la sospensione o revoca della propria identità digitale ovvero la modifica delle proprie credenziali. A tali richieste il gestore dell’identità digitale provvede tempestivamente.
Il gestore dell’identità digitale revoca l’identità digitale per inattività superiore a 24 mesi, decesso della persona fisica o estinzione della persona giuridica.
Obblighi dei gestori di identità digitali
Il gestore dell’identità digitale deve rispettare una serie di obblighi, tra cui:
- definisce e applica le procedure e i metodi di gestione delle attività svolte;
- utilizza sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti;
- adotta misure adeguate contro la contraffazione per garantire riservatezza, integrità e sicurezza delle credenziali di accesso;
- effettua un monitoraggio continuo per rilevare usi impropri o tentativi di violazione delle credenziali, sospendendo l’identità in caso di attività sospetta;
- effettua, con cadenza almeno annuale, un’analisi dei rischi;
- garantisce la continuità operativa dei servizi afferenti allo SPID;
- monitora ininterrottamente la sicurezza dei sistemi, garantendo la gestione degli incidenti con un’apposita struttura interna;
- informa tempestivamente l’AgID e il Garante Privacy su eventuali violazioni di dati personali.
Cessazione, subentro, sospensione e revoca dei gestori SPID
I gestori di identità digitali SPID possono comunicare all’AgID e agli utenti a cui hanno attribuito l’identità digitale l’intenzione di cessare la propria attività. La comunicazione deve avvenire almeno trenta giorni prima della data di cessazione, indicando gli eventuali gestori sostitutivi o la necessità di revocare le identità digitali rilasciate.
Il gestore sostitutivo, previo invio all’Agenzia della dichiarazione di accettazione, subentra nella gestione delle identità digitali rilasciate dal gestore cessato e nella conservazione delle informazioni.
Qualora vengano meno i requisiti, AgID può disporre la sospensione dell’attività del gestore da un mese a un anno. Nei casi più gravi può disporre la revoca dell’accreditamento del gestore dell’identità digitale.