SPID: un nuovo DPCM chiede maggiori garanzie agli enti gestori

Pubblicato in Gazzetta ufficiale del 14.12.2021 il DPCM 19 ottobre 2021 che, su proposta del Ministro per l'innovazione tecnologica e la transizione digitale e del Ministro per la pubblica amministrazione, di concerto con il Ministro dell'economia e delle finanze apporta  modifiche al  DPCM 4 ottobre 2014,  che recava  «Definizione delle caratteristiche del sistema pubblico per la gestione dell'identita' digitale di cittadini e imprese (SPID), nonche' dei tempi e delle modalita' di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese».

In particolare la normativa viene adeguata per tenere conto del regolamento di esecuzione (UE) 2015/1502 della Commissione dell'8 settembre 2015 relativo alla definizione delle specifiche  riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai e il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali.

Il nuovo decreto modifica i requisiti che i gestori dell'identità digitale devono possedere ai fini dell'accreditamento in quanto la normativa europea prescrive che debbano:

• essere  «un'autorita' pubblica o un'entita' giuridica riconosciuta come tale dall'ordinamento giuridico di uno Stato membro, avente un'organizzazione consolidata e pienamente operativa sotto tutti gli aspetti pertinenti per la fornitura dei servizi» e  di
• essere «i  n grado di dimostrare il possesso della capacita' di assumere il rischio della responsabilita' per danni, nonche' di risorse finanziarie sufficienti per l'esercizio e la prestazione continuativa dei servizi». 

Deve quindi prevedersi il possesso da parte del gestore dell'identita' digitale di un'organizzazione consolidata e pienamente operativa e di risorse finanziarie, in termini di capitale o patrimonio minimo, di importo adeguato rispetto all'organizzazione e alle risorse necessarie per lo svolgimento continuativo della sua attivita', unitamente ad una polizza assicurativa adeguata rispetto ai rischi connessi alla fornitura del servizio.

Nello specifico con le nuove modifiche viene richiesto agli enti

• essere una persona giuridica riconosciuta, con u   patrimonio o un capitale sociale non inferiore a trecentomila euro e con un'organizzazione consolidata e pienamente operativa sotto tutti gli aspetti pertinenti per la fornitura dei servizi»; 
•  disporre, per il risarcimento dei danni causati, con dolo o colpa, a qualsiasi persona fisica o giuridica a causa del mancato adempimento degli obblighi connessi alla gestione del sistema SPID, di una adeguata copertura assicurativa di almeno 1,5 milioni di euro annui e centocinquantamila euro per singolo sinistro;». 

Inoltre,  l'intenzione di cessazione dell'attività da parte di un gestore dovrà essere comunicata almeno 60 giorni prina e non piu 30.

Infine si prevede che , nel caso in cui, a seguito della cessazione dell'attivita' da parte di un gestore dell'identita' digitale o della revoca del suo accreditamento, nessun altro gestore sia  disponibile a subentrare,  l'Agenzia per l'innovazione digitale  AGID  dovrà provvedere a ridistribuire le identita rilasciate dal gestore cessato o revocato tra tutti gli altri gestori che subentreranno nella  gestione in misura proporzionale di tutte le identita' SPID rilasciate alla data della cessazione o della revoca.