Quali sono i requisiti necessari per diventare un soggetto aggregatore Spid? Quali procedure seguire per aderire? Quali obblighi e responsabilità comporta?
Per disciplinare l’adesione al sistema pubblico per la gestione dell’identità digitale di cittadini e imprese da parte dei soggetti aggregatori, fornendo indicazioni e chiarimenti a riguardo, Agid ha emanato un regolamento che integra la disciplina vigente, con cui si definisce e disciplina la figura e il ruolo dei soggetti aggregatori, ovvero di quei soggetti o quelle società di capitali che offrono a terzi (soggetti aggregati) la possibilità di rendere accessibili tramite lo Spid i rispettivi servizi.
Cosa dice il regolamento
Il regolamento stabilisce i requisiti a cui i soggetti pubblici e privati che intendono aderire al sistema Spid come aggregatori di servizi devono conformarsi, delineando il procedimento di tale adesione e dell’eventuale cessazione dell’attività.
In particolare, il testo fornisce indicazioni e chiarimenti in merito ai modelli organizzativi del servizio, alla convezione stipulata con Agid, al ruolo e ai requisiti che sono necessari per l’adesione dei soggetti aggregatori, agli obblighi e alle responsabilità conseguenti, al procedimento di adesione e a quello di cessazione, alle attività di vigilanza dell’Agenzia e alla protezione dei dati personali.
Entro 270 giorni dall’emanazione del regolamento, l’Agenzia per l’Italia Digitale provvederà all’aggiornamento della convenzione per l’adesione dei fornitori di servizi privati, individuali o aggregatori di servizi a Spid, e della Convenzione per l’adesione dei soggetti aggregatori di servizi pubblici a Spid.
Modelli organizzativi del servizio
In base agli accordi stipulati tra il soggetto aggregato e il soggetto aggregatore, l’attività tecnica di quest’ultimo può realizzarsi secondo i seguenti modelli organizzativi alternativi:
a) modalità light: l’aggregatore espleta la propria funzione, tramite l’infrastruttura in uso all’aggregato, su cui è stata installata la soluzione fornita dall’aggregatore;
b) modalità full: l’aggregatore espleta la propria funzione, tramite propria infrastruttura.
Convenzione
La Convenzione stipulata con Agid per l’adesione a Spid in qualità di soggetto aggregatore di servizi pubblici o privati consente all’aggregatore di svolgere, in qualità di fornitore di servizi, la sola funzione di autenticazione con Spid per i propri aggregati. L’aggregatore che ospiti oltre alla funzione di autenticazione l’intero servizio dell’aggregato si impegna a garantire sempre la manutenzione evolutiva e correttiva relativa alla funzione stessa.
Il soggetto aggregatore è tenuto a dare corretta e puntuale esecuzione a tutti gli obblighi della Convenzione, sia con riferimento alla normativa primaria e secondaria, anche di natura tecnica, sia alle linee guida, circolari, direttive e agli avvisi concernenti le specifiche tecniche per i certificati elettronici e i metadata.
Ruolo e requisiti per l’adesione dei soggetti aggregatori
Il soggetto aggregatore svolge il proprio servizio, espletando la funzione tecnica di autenticazione per conto dell’aggregato ed operando come intermediario tra Agid e il soggetto aggregato. Il soggetto aggregatore si distingue in aggregatore di servizi pubblici e aggregatore di servizi privati.
- Per aderire in qualità di aggregatori gli interessati devono:
a) essere ricompresi nel novero dei soggetti di cui all’art. 2 comma 2 del D.lgs. 82/2005 (gstori di servizi pubblici, anche società quotate) o avere forma giuridica di società di capitali;
b) garantire il possesso, da parte dei rappresentanti legali, dei soggetti preposti all’amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche;
c) disporre, per il risarcimento dei danni causati a qualsiasi persona fisica o giuridica a causa del mancato adempimento degli obblighi inerenti alla propria attività, di una adeguata copertura
assicurativa di almeno cinquecentomila euro annui e cinquantamila euro per singolo sinistro;
d) possedere un’organizzazione operativa adeguata in relazione al rispetto delle regole tecniche e dei relativi avvisi, verificabile in fase di collaudo;
e) trattare i dati personali nel rispetto Gdpr e del Codice Privacy.
Non possono aderire allo Spid i soggetti aggregatori il cui rappresentante legale, soggetto preposto all’amministrazione o componente di organo preposto al controllo risulta condannato con sentenza passata in giudicato per reati commessi a mezzo di sistemi informatici. La garanzia di possesso, da parte dei rappresentanti legali, dei soggetti preposti all’amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di e l’obbligo di risarcimento non si applicano alle PA che sono anche soggetti aggregatori.
Obblighi e responsabilità del soggetto aggregatore
Il fornitore di servizi che operi quale aggregatore si impegna:
- a) ad agevolare l’ingresso nella federazione Spid dei fornitori di servizi che non ritengano di attivare presso di loro la struttura necessaria per esporre i propri servizi in rete tramite l’autenticazione con lo Spid;
b) a formalizzare con appositi accordi – anche ai fini della protezione dei dati personali ai sensi del Gdpr i propri rapporti con i soggetti;
c) a preservare l’integrità e l’operatività del proprio sistema a garanzia dell’ecosistema Spid, assicurandosi che gli accordi con i soggetti aggregati includano gli specifici obblighi previsti in capo agli stessi dal Regolamento e dalla Convenzione, nonché ad informare l’Agiddi eventuali violazioni e/o inadempimenti dei medesimi obblighi o delle previsioni;
d) a notificare ad Agid gli accordi sottoscritti mediante comunicazione dell’elenco dei servizi qualificati erogati in rete dai soggetti aggregati e il rispettivo livello di sicurezza adottato;
e) a comunicare ad Agid, per ciascuno dei servizi qualificati erogati in rete compresi nell’elenco, la lista degli attributi Spid necessari alla fruizione, i quali devono risultare pertinenti e non eccedenti in relazione alla tipologia e alle funzionalità offerte dal servizio, nel rispetto del Gdpr e in ottica di privacy by design;
f) a rispettare le specifiche tecniche sulle interfacce pubblicate su sito Agid;
g) a comunicare tempestivamente ad Agid ogni malfunzionamento, uso anomalo di un’identità digitale o incidente di sicurezza occorso al sistema di autenticazione;
h) a inoltrare ad Agid, senza ritardo, le segnalazioni dei disservizi e delle anomalie ricevute dai soggetti aggregati;
i) a fornire gratuitamente in formato elettronico al soggetto aggregato le informazioni necessarie per imputare alle singole identità digitali le operazioni effettuate negli ultimi ventiquattro mesi, al fine di consentire all’aggregato stesso di ottemperare alla tracciatura e alla conservazione della documentazione di riscontro.
Il soggetto aggregatore, inoltre, è tenuto a collaborare con Agid nell’attività di monitoraggio e controllo.
Obblighi e responsabilità del soggetto aggregato
Quanto previsto dalla convenzione stipulata fra Agid il soggetto aggregatore si applica, per quanto compatibile, anche all’accordo aggregatore-aggregato. Il soggetto aggregato privato è obbligato a riconoscere all’aggregatore, nei tempi e con le modalità
definite, i corrispettivi da esso versati ai gestori per l’erogazione del servizio di autenticazione degli utenti qualora nell’ambito della propria attività rilevasse una possibile inosservanza della disciplina relativa a Spid o degli obblighi da questa derivanti, dovrà immediatamente segnalarla ad Agid, dandone avviso al soggetto aggregatore, per consentire l’adozione dei provvedimenti più opportuni.
Protezione dei dati personali
Il gestore dell’identità digitale e il soggetto aggregato agiscono, per quanto di competenza, quali titolari autonomi del trattamento dei dati come da Gdpr. Il soggetto aggregatore agisce, nei confronti del soggetto aggregato, quale responsabile del trattamento dei dati personali e si impegna a osservare scrupolosamente la vigente normativa europea e nazionale in materia di protezione dei dati personali nello svolgimento delle proprie attività. Il soggetto aggregatore tratta i dati relativi a condanne penali e reati a carico del rappresentante legale, del soggetto preposto all’amministrazione o del componente di organo preposto al controllo dei soggetti privati fornitori di servizi.
Procedimento di adesione
Per ogni istanza di adesione al sistema Spid pervenuta, l’Agid avvia un procedimento in due fasi. La fase amministrativa è finalizzata ad accertare la sussistenza dei requisiti generali di adesione indicati nel presente regolamento e nella disciplina normativa relativa a Spid; la tecnica per consentire la corretta configurazione dei parametri tecnici per l’implementazione. Conclusa positivamente la procedura di adesione, Agid iscrive l’Aggregatore in un’apposita sezione del registro entro il termine di 5 giorni dalla stipula della convenzione.
Procedimento di cessazione
Il soggetto aggregatore che intenda cessare la propria attività è tenuto a comunicare ai soggetti aggregati, almeno 60 giorni prima, la volontà di cessare la propria attività di
aggregatore, e ad Agid ed ai Gestori dell’identità digitale, almeno 30 giorni prima, i tempi e le modalità di cessazione dell’attività di aggregatore indicando, in particolare, le modalità di conservazione delle informazioni necessarie a imputare, alle singole identità digitali, le operazioni effettuate sui propri sistemi tramite Spid.
Vigilanza
Con l’adesione al sistema Spid per la prestazione dei propri servizi, l’aggregatore si sottopone all’attività di vigilanza di Agid, che esercita i propri poteri anche ai anche ai soggetti aggregati.
