Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere all'AGID su due schemi di regolamento recanti, rispettivamente, le modalità attuative per la realizzazione dello SPID e le relative regole tecniche - 4 giugno 2015 [4257475]

[doc. web n. 4257475]

Parere all'AGID su due schemi di regolamento recanti, rispettivamente, le modalità attuative per la realizzazione dello SPID e le relative regole tecniche - 4 giugno 2015

Registro dei provvedimenti
n. 332 del 4 giugno 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere dell'Agenzia per l'Italia digitale;

Visto l'articolo 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

L'Agenzia per l'Italia digitale (di seguito AGID) ha richiesto il parere del Garante su due schemi di regolamento recanti, rispettivamente, le modalità attuative per la realizzazione dello SPID e le relative regole tecniche.

I regolamenti sono adottati ai sensi dell'articolo 4, comma 2, del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 (di seguito dPCM) recante la definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema da parte delle pubbliche amministrazioni e delle imprese, sul cui schema il Garante ha reso parere in data 19 giugno 2014.

L'articolo 4 del dPCM, infatti, ai commi 2, 3 e 4, prevede che l'AGID adotti regolamenti per  definire, appunto, le regole tecniche e le modalità attuative per la realizzazione dello SPID, le modalità di accreditamento dei soggetti SPID, nonché le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale. Con tali regolamenti devono essere disciplinati anche altri profili, richiamati in altri articoli del decreto.

Anche gli schemi degli altri provvedimenti sono stati trasmessi al Garante; in data 23 aprile scorso, l'Autorità ha reso, infatti, parere sullo schema di regolamento concernente l'accreditamento dei gestori di identità digitale, e su quello recante le procedure necessarie a consentire ai predetti gestori, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale.

Il presente parere –per evidenti ragioni di affinità di materia- si riferisce a entrambi i regolamenti i cui schemi sono stati trasmessi.

RILEVATO

1. Il sistema SPID.

Occorre premettere che lo SPID consente agli "utenti" (persone fisiche o giuridiche che utilizzano i servizi erogati in rete) di avvalersi di specifici soggetti, i "gestori dell'identità digitale", per consentire ai "fornitori di servizi" l'immediata verifica della propria identità e di eventuali "attributi qualificati" che li riguardano (art. 2 dPCM).

I soggetti pubblici o privati che partecipano allo SPID sono: i gestori dell'identità digitale ("le persone giuridiche accreditate allo SPID che, in qualità di gestori di servizio pubblico, previa identificazione certa dell'utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essi inoltre, forniscono i servizi necessari a gestire l'attribuzione dell'identità digitale degli utenti, la distribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite e l'autenticazione informatica degli utenti"); i "gestori degli attributi qualificati"; i fornitori di servizi (definiti quali fornitori dei servizi della società dell'informazione, ex art. 2, comma 1, lett. a), d. lg. n. 70/2003  o dei servizi di un'amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili al pubblico); l'Agenzia per l'Italia digitale e gli utenti. Tali soggetti, eccettuati gli utenti, costituiscono un sistema aperto e cooperante che consente loro di comunicare utilizzando meccanismi di interazione, standard tecnologici e protocolli indicati nel decreto e dettagliati nelle regole tecniche definite dall'AGID con proprio regolamento (art. 3 dPCM).

Per "identità digitale" si intende la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi  identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale (art. 1, comma 1, lett. o)). Premesso che per "attributi" si intendono le informazioni o la qualità di un utente utilizzate per rappresentare la sua identità, il suo stato, la sua forma giuridica o altre caratteristiche peculiari, lo schema distingue fra: "attributi identificativi" (nome, cognome, luogo e data di nascita, sesso, ovvero ragione o denominazione sociale, sede legale, nonché il codice fiscale e gli estremi del documento d'identità utilizzato ai fini dell'identificazione); "attributi non identificativi" (il numero di telefonia mobile, l'indirizzo di posta elettronica, il domicilio fisico e digitale, nonché eventuali altri attributi individuati dall'AGID); "attributi qualificati" (le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati) (art. 1, comma 1, lett. a), b), c) e d)).

Le identità digitali rilasciate all'utente contengono obbligatoriamente il "codice identificativo" e gli attributi identificativi e possono contenere gli attributi non identificativi, gli attributi qualificati e ulteriori attributi registrati su richiesta dell'utente nell'ambito delle categorie individuate dall'AGID tramite i regolamenti di cui all'articolo 4.

2. Il regolamento recante le modalità attuative.

Il regolamento si compone di quattro capi, recanti nel complesso 32 articoli, e cinque appendici.

Esso disciplina le modalità di rilascio dell'identità digitale e delle relative credenziali previa identificazione (a vista, a vista da remoto, tramite  documenti  digitali   di identità, tramite  altre  identità SPID, tramite firma elettronica qualificata o firma digitale) e verifica dell'identità dichiarata dal richiedente diversificando, laddove necessario, i requisiti nel caso di persona fisica o giuridica.

E' regolato il ciclo di vita dell'identità digitale (rilascio, gestione degli attributi, sospensione e revoca) e delle credenziali (creazione, consegna, attivazione delle credenziali o dei mezzi usati per la loro produzione, conservazione, sospensione e revoca delle credenziali o dei mezzi usati per la loro produzione, rinnovo e sostituzione delle credenziali o mezzi usati per la loro produzione).

Inoltre è definito lo scenario di utilizzo di SPID che comprende: le interazioni fra i diversi attori, l'uso degli attributi SPID, la gestione delle sessioni di autenticazione differenziata per livelli SPID, gli elementi utili al sistema nel suo complesso (Servizio di discovery, Registro SPID, Directory delle identità SPID), la conservazione delle informazioni delle richieste di autenticazione al proprio gestore di identità da parte degli utenti.

Infine è disciplinato il monitoraggio di AGiD sul sistema SPID allo scopo di valutare e garantire usabilità, accessibilità e corretto utilizzo degli elementi identificativi SPID.

Le Appendici recano disposizioni in materia di: A) criteri per l'attribuzione dei livelli di sicurezza dei servizi (descrive, a titolo esemplificativo, una metodologia per il fornitore dei servizi per determinare i livelli di sicurezza dei servizi); B) minacce associate alla gestione del ciclo di vita delle identità digitali (illustra le possibili minacce in riferimento alle varie fasi del ciclo di vita delle identità digitali e alle varie tipologie di token e alcune strategie di mitigazione); C) tipi di token e loro tassonomia (riporta i principali tipi di token utilizzabili per l'autenticazione informatica); D) usabilità e accessibilità (individua un percorso comune per l'esperienza utente); E) disciplina sull'utilizzo degli elementi grafici identificativi dello SPID (stabilisce elementi quali il logo, i colori e i caratteri tipografici identificativi del sistema SPID).

3. Il regolamento recante le regole tecniche.

Il regolamento disciplina gli scenari di interazione, le specifiche delle interfacce, i contenuti e i formati dei messaggi di autenticazione e autorizzazione (asserzioni) scambiati tra i diversi attori del sistema - gestore dell'identità digitale, fornitore di servizi, gestore di attributi qualificati e utente che richiede l'accesso a un servizio - secondo il protocollo SAML (Security Assertion Markup Language – versione 2).

Le interazioni avvengono su canale sicuro e i diversi messaggi sono firmati digitalmente dai diversi attori. Sono regolamentati, inoltre, il contenuto, il funzionamento e l'accesso:

a) al Servizio di discovery: che consente a un fornitore di servizi di individuare quale gestore dell'identità digitali fornisce l'identità SPID all'utente che richiede un servizio;

b) al Registro SPID: la base dati che contiene le informazioni sui soggetti partecipanti allo SPID (gestori dell'identità digitale, gestori degli attributi qualificati e fornitori di servizi) quali, a esempio, l'identificatore SAML dell'entità, la denominazione del soggetto a cui afferisce l'entità della federazione, il tipo di entità, l'URL del servizio di reperimento metadati e l'elenco di attributi qualificati certificabili;

c) alla Directory delle identità SPID: la base dati che contiene le associazioni tra gli identificativi delle identità degli utenti SPID e il relativo gestore di identità.

Infine sono indicate, a titolo esemplificativo e non esaustivo, le informazioni che i gestori dell'identità digitale dovranno registrare in un apposito Registro delle transazioni per la tracciabilità delle richieste di autenticazione e le modalità con cui le stesse dovranno essere conservate.

RITENUTO

4.  La complessità e le criticità del Sistema.

Il Garante riconnette particolare importanza alla materia in esame, in ragione della delicatezza dei trattamenti di dati personali previsti e dei profili di sicurezza informatica implicati.

Il sistema SPID è infatti prefigurato quale servizio infrastrutturale di cui fruiranno milioni di cittadini, le imprese e l'intera pubblica amministrazione, con l'obiettivo di una forte riduzione dei costi di gestione degli utenti o consumatori online da parte dei soggetti pubblici e privati operanti come fornitori di servizi in rete, favorendo nel contempo l'espansione del commercio elettronico e l'innovazione digitale della pubblica amministrazione.

E' pertanto evidente come il costituendo SPID si avvii a divenire una vera e propria infrastruttura critica, la cui disponibilità e il cui corretto esercizio saranno precondizione per il funzionamento di larga parte dei servizi informatici online, sia di tipo business-to-consumer che business-to-business, e per l'efficiente fruizione di servizi e informazioni pubbliche da parte degli utenti.

Alla luce di queste considerazioni preliminari, appare evidente come una non adeguata valutazione dei profili di sicurezza possa esporre l'intera infrastruttura a una diversificata casistica di rischi informatici, derivanti da furto, uso abusivo, o alterazione dell'identità degli interessati (con tecniche di phishing, diffusione di malware e di agenti software di controllo remoto, contraffazione digitale di siti e servizi online), rispetto ai quali vi è ancora in Italia una carente consapevolezza, con conseguente limitatezza degli interventi correttivi, anche nei settori delicati delle diverse realtà economiche, produttive, istituzionali.

Ad accrescere il rischio potenziale derivante da azioni fraudolente è la caratteristica connaturata di SPID quale sistema d'elezione per l'accesso ai servizi online delle pubbliche amministrazioni e delle imprese, la cui compromissione a seguito di attacco informatico, anche solo nelle forme non direttamente distruttive del denial of service (DoS), avrebbe ripercussioni sulla fruibilità di servizi e di dati, anche personali, su scala nazionale e non solo nell'ambito della pubblica amministrazione.

Occorre quindi applicare particolare cura agli aspetti di sicurezza, poiché solo la presenza di adeguati meccanismi di garanzia può consentire l'acquisizione e il mantenimento della fiducia degli utenti nel nuovo sistema di identità digitale, mentre basterebbero pochi incidenti, anche di limitato impatto, per minare alla base la possibilità di fare del sistema SPID uno dei volani dell'innovazione digitale nel nostro Paese.

Nell'esprimere il presente parere il Garante tiene quindi in alta considerazione, nell'ambito dei profili di propria competenza istituzionale, gli aspetti di sicurezza dei trattamenti nello SPID, evidenziando come tali aspetti non appaiano esser stati oggetto di specifiche valutazioni preventive nell'ambito di un'analisi dei rischi di cui sia traccia nei regolamenti in esame, al di là di generiche e schematiche indicazioni relative ai livelli di sicurezza corrispondenti ai differenti metodi di autenticazione informatica previsti.

Tale impressione è probabilmente favorita dall'assenza di una relazione illustrativa dei regolamenti sottoposti a parere, che vengono quindi qui valutati sulla scorta del loro letterale contenuto e sulla base dei chiarimenti forniti direttamente dai rappresentanti dell'Agenzia nel corso dei diversi incontri svolti, nel corso della fase istruttoria, con il personale dell'Autorità impegnato nella trattazione del procedimento.

In relazione agli aspetti generali di sicurezza del sistema, si osserva come SPID sia basato, nella sua componente tecnologica, sui protocolli SAML 2.0 (Security Assertion Markup Language) per l'autenticazione e l'interscambio di dati di sicurezza. I protocolli SAML sono definiti e promossi come standard aperto dal consorzio OASIS (Organization for the Advancement of Structured Information Standards), e trattano con la dovuta accuratezza gli aspetti di sicurezza informatica, che andrebbero quindi maggiormente esplicitati in entrambi i regolamenti, menzionando quanto meno le "Security considerations"  di SAML 2.0  nonché l'Errata del 2012 (che comprende indicazioni sulla c.d. RelayState sanitization per mitigare i rischi di Cross Site Scripting (XSS) cui può essere esposto un Service Provider).

Relativamente al rispetto dei principi di necessità e proporzionalità del trattamento, non sono evidenziate le cautele adottate affinché, nei casi in cui per accedere a un servizio online sia sufficiente provare il possesso di alcuni attributi (ad es. la maggiore età), non sia necessario mostrare in chiaro la propria identità o propri attributi.

E' necessario, per assicurare il rispetto di tali principi, adottare in SPID le opportune modalità tecniche contemplate dallo standard SAML 2.0 come i "Transient Pseudonym Identifiers" ivi previsti, mentre questa possibilità sembra al momento esclusa.

Nell'ambito di una complessiva analisi dei rischi, andrebbe valutata l'adozione di accorgimenti a protezione della fase di transito delle asserzioni (sia di autenticazione che di attributo) all'interno del browser, nonché quella di misure di protezione contro il rischio di replay attacks incombente sugli Identity Provider.

Riguardo all'identificativo utente, su cui vengono formulate specifiche osservazioni nel seguito in riferimento ad alcuni articoli del Regolamento sulle modalità attuative, è opportuno che il suo formato non sia necessariamente quello di indirizzo email, per due ordini di motivi. In primo luogo, non è richiesto a livello di protocolli SAML che ciò avvenga, ben potendosi utilizzare, a tale scopo, il codice identificativo, di cui all'articolo 1, comma 1 lettera g) del dPCM. Gli utenti potrebbero utilizzare direttamente tale codice identificativo, assegnato a ciascuno dal proprio gestore dell'identità digitale e contenente la codifica univoca dello stesso gestore, utile in fase di autenticazione per individuare direttamente il gestore competente a fornire le asserzioni.

Secondariamente, appare macchinosa la procedura relativa alle richieste di identità digitali ulteriori, laddove l'assegnazione forzosa di un indirizzo email aggiuntivo potrebbe essere evitata, ammettendo l'uso di uno stesso indirizzo per più identità digitali, e lasciando alla componente di discovery il compito di individuare la lista di gestori dell'identità digitale in grado di fornire asserzioni relativamente a un determinato utente.

Infine, l'introduzione in un'architettura federata e distribuita come quella SPID di un componente architetturale fortemente centralizzato come quello necessario per realizzare la funzionalità di discovery comporta la costituzione di un single point of failure che, oltre a gravare con ogni probabilità sulle prestazioni del sistema, diventa pericolosamente esposto ad attacchi che, nel caso di Distributed Denial of Service particolarmente incisivi, potrebbero  avere come conseguenza il blocco complessivo di SPID, risultando quindi oltremodo paganti per creare disservizi e compromettere la fiducia nella nuova infrastruttura.

Relativamente all'uso degli attributi anche qualificati, non è chiara la gestione delle asserzioni in termini di retention da parte dei fornitori di servizio, che potrebbero conservarle indefinitamente e senza adeguata protezione, e in maniera eccedente (dal punto di vista temporale) rispetto all'erogazione dei servizi.

5. L'articolato recante le modalità attuative e il documento sulle regole tecniche.

Ferme restando le preoccupazioni espresse al punto 4 in ordine alle evidenziate criticità del sistema, l'Autorità esamina, ora, gli schemi di regolamento trasmessi.

In ragione della complessità e delicatezza della materia, lo schema di regolamento è stato elaborato dall'AGID all'esito di numerose riunioni e interlocuzioni avute con l'Ufficio del Garante il quale ha formulato rilievi e ha fornito indicazioni volte a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali.

Ciononostante, l'Autorità deve responsabilmente rilevare che molte delle disposizioni del provvedimento non sono chiaramente definite o elaborate, con conseguenti ambiguità che potrebbero pregiudicare l'attuazione uniforme del regolamento stesso da parte dei soggetti che partecipano allo SPID. Lo schema, perciò, deve essere fortemente migliorato, anche dal punto di vista formale, e probabilmente anche integrato in relazione ad aspetti che non sono, allo stato, trattati e in assenza dei quali il sistema non potrebbe entrare a regime. Si fa rifermento, ad esempio, alla procedura di accreditamento dei gestori di attributi qualificati, alle modalità per consentire agli utenti la rimozione dei dati contenuti nell'identità digitale, nonché agli schemi di convenzione tra l'Agenzia e i fornitori di servizi (v. artt. 4, comma 1, lett. c), 8, comma 2, 13, comma 2, dPCM).

Più in particolare, si richiama l'attenzione dell'Amministrazione sull'opportunità di verificare puntualmente la congruenza delle disposizioni del regolamento con quelle del dPCM (salvo, ovviamente, eventuali precisazioni di dettaglio), a cominciare dall'utilizzo delle definizioni in esso contenute (art. 1, dPCM), cui lo schema, peraltro, deve fare formale rinvio con una norma ad hoc. Va inoltre evidenziata l'opportunità di non ripetere nel regolamento –a titolo meramente ricognitivo- disposizioni già contenute nel dPCM. E' importante, pure, che sia verificata la puntuale coerenza del regolamento sulle modalità attuative con le disposizioni contenute nelle appendici allegate e nelle relative regole tecniche, ed assicurato il coordinamento del medesimo con i due regolamenti sui cui schemi il Garante ha già reso parere (in tema di accreditamento dei gestori dell'identità digitale e di particolari modalità per il rilascio dell'identità; v. in premessa).

Al riguardo, ad esempio, è necessario conformare il comma 1 dell'articolo 2 dello schema di regolamento al dettato dell'articolo 3, comma 1, del dPCM e alle definizioni dei "soggetti partecipanti allo SPID" contenute nel medesimo dPCM. In particolare, quest'ultimo annovera fra i soggetti in questione l'"utente" e non il "richiedente"(ciò non toglie che l'espressione "richiedente" possa essere utilizzata nel regolamento per indicare la persona che richiede il rilascio dell'identità digitale, come correttamente previsto all'articolo 5). Come pure –e sempre a solo titolo esemplificativo- nell'articolo 19 e ovunque ricorra si deve fare riferimento all'"utente" invece che al "titolare dell'identità digitale".

Si raccomanda inoltre di utilizzare –per quanto possibile- una terminologia coerente con gli istituti giuridici vigenti e conforme alla normativa di settore e di ricorrere preferibilmente ad espressioni chiare e semplici (da questo punto di vista, ad esempio, sono sicuramente da chiarire le locuzioni "fonti autoritative istituzionali", in art. 12, e "self caring" in art. 19; si segnala, poi, all'art. 19, ultimo comma, un evidente refuso, posto che l'ANPR non è una pubblica amministrazione, ma una banca dati).

Ciò premesso,  il presente parere elaborerà ulteriormente i temi già affrontati in via collaborativa con l'AGID, al fine di migliorare le attuali disposizioni della proposta, in termini sia di chiarezza che di coerenza normativa, ma esclusivamente in relazione agli aspetti di protezione e di sicurezza dei dati personali, nei termini di seguito descritti.

5.1. Si apprezza la scelta di inserire già nell'articolo 2 del regolamento una disposizione di richiamo delle caratteristiche del sistema e dei trattamenti in senso conforme alle garanzie previste in materia di protezione dei dati personali. La norma va però perfezionata, sostituendola con la seguente: "Il Sistema SPID si conforma al principio di necessità nel trattamento dei dati di cui all'articolo 3 del decreto legislativo 30 giugno 2003, n. 196, in base al quale i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi. I trattamenti di dati personali in applicazione del presente regolamento sono effettuati esclusivamente per le finalità previste dall'articolo 64 del CAD e dall'articolo 2, comma 2, del DPCM 24 ottobre 2014 e con le modalità individuate dal presente regolamento, nel rispetto delle garanzie previste dal medesimo decreto legislativo n. 196 del 2003.".

5.2. Al medesimo articolo 2, deve essere integrata la descrizione dei livelli di sicurezza delle identità digitali SPID al fine di garantire una maggiore coerenza della disposizione con quanto previsto all'art. 8 del Regolamento (UE) n. 910/2014 del 23 luglio 2014, in materia di livelli di garanzia dei mezzi di identificazione elettronica. In particolare, la descrizione dei livelli di sicurezza deve tenere in adeguata considerazione l'affidabilità e la qualità delle specifiche tecniche, norme e procedure che caratterizzano i diversi sistemi di identificazione elettronica predisposti dai gestori dell'identità digitale, volte a ridurre o impedire il rischio di uso abusivo o alterazione dell'identità. Al fine di eliminare ogni ambiguità del testo, occorre inoltre specificare l'ambito di riferimento del rischio menzionato nel medesimo articolo per descrivere i differenti livelli di sicurezza delle identità digitali. Ciò, al fine di mantenere un'opportuna distinzione tra la valutazione, in capo ai gestori dell'identità digitale, del livello di affidabilità e sicurezza dei sistemi di identificazione elettronica predisposti, e, quella, in capo ai fornitori di servizi, dell'impatto per gli utenti interessati di un utilizzo improprio delle loro identità SPID in relazione all'accesso a differenti tipologie di servizi elettronici offerti.

5.3. Deve essere perfezionato il richiamo, contenuto in più punti dello schema, ad alcuni obblighi previsti dal Codice per i gestori dell'identità digitale (informativa all'interessato e consenso al trattamento dei dati personali), tenuto conto che per i trattamenti di dati personali necessari alla gestione delle identità digitali nel sistema SPID effettuati dai gestori delle identità digitali, dai fornitori di servizi e dai gestori degli attributi qualificati non è necessario acquisire il consenso dell'interessato (artt. 18, comma 4, e 24, comma 1, lett. a) e b), del Codice). L'osservazione può essere recepita sopprimendo l'ultimo comma dell'articolo 5 e, al terzo comma, lett. a), dell'articolo 6, le seguenti parole: "e ottiene esplicito assenso".

Analoghe considerazioni valgono in relazione agli articoli 27, commi 2 e 3, e 28, comma 3 (per i quali si rinvia ai pertinenti punti del parere).

Oltre a ciò, è importante che gli utenti (cioè -si ricorda- le persone cui è stata attribuita, a richiesta, un'identità digitale), siano messi in grado di comprendere appieno le potenzialità e quindi anche i rischi di tale infrastruttura. Anche dal punto di vista della sicurezza, il sistema SPID potrà dirsi pienamente funzionante solo con la collaborazione degli utenti del servizio, che dovranno rispettare scrupolosamente alcune regole e, a tal fine, acquisire una piena consapevolezza sulle corrette modalità di utilizzo del sistema.

Da questo punto di vista, si ritiene pertanto necessario integrare l'articolo 6 dello schema prevedendo che i richiedenti il rilascio dell'identità digitale siano informati, più in generale rispetto all'informativa "sulla privacy", in merito alle finalità e all'ambito di utilizzo dell'identità digitale ed ai connessi rischi.

A titolo di collaborazione, si suggeriscono di seguito alcuni elementi di cui gli utenti dovrebbero essere informati, con modalità semplici e chiare: l'ambito di utilizzo di identità digitali SPID e, in particolare, i relativi  effetti giuridici nelle transazioni elettroniche; come devono essere gestite le credenziali di accesso o i dispositivi di autenticazione (es. indicazioni per la corretta conservazione, rischi derivanti dall'eventuale condivisione di credenziali e associati al loro eventuale furto o smarrimento); quali possono essere i segnali che indicano che un'identità digitale è stata violata o che sono state usate impropriamente le credenziali; i rischi associati ad un furto di identità e le contromisure da adottare; quali sono i "dati minimi" e sufficienti per l'erogazione di un servizio on line e in quali casi il fornitore del servizio può chiedere ulteriori dati all'utente; le specifiche modalità con cui l'utente può modificare, aggiornare o cancellare i propri dati personali nell'ambito dello SPID o con cui chiedere la sospensione o la revoca della propria identità digitale.

Analoghe considerazioni vanno formulate relativamente all'articolo 16, ultimo comma, in cui si fa riferimento alle informazioni che il gestore dell'identità digitale deve fornire all'utente all'atto della consegna delle credenziali, coordinando tale disposizione con quella di cui al predetto articolo 6.

5.4. L'articolo 8 – che disciplina l'identificazione del richiedente l'identità digitale a vista da remoto- deve essere perfezionato in relazione agli obblighi previsti in materia di protezione dei dati personali.

Al primo comma, si prevede che tale identificazione avvenga "nel rispetto delle misure prescritte dal Garante per la protezione dei dati personali.". Il Garante non ha specifica competenza in materia di riprese audio-video, se non per i profili generali riguardanti la protezione dei dati personali; si suggerisce, pertanto, di sostituire il  periodo sopra riportato con il seguente: "nel rispetto del decreto legislativo 30 giugno 2003, n. 196".

Al settimo e all'ottavo comma, lett. a), si prevede che prima di iniziare la registrazione l'operatore chieda l'"assenso" alla registrazione audio video e il "consenso" alla videoregistrazione.

Al riguardo, al di là dell'utilizzo improprio della locuzione "assenso" in luogo di consenso, si osserva quanto segue.

Premesso che il consenso al trattamento dei dati personali, per essere valido deve essere liberamente espresso, se il gestore dell'identità digitale fornisce solo l'identificazione a vista da remoto come modalità per la verifica dell'identità del richiedente, ciò deve essere messo  in specifica evidenza nelle condizioni e termini del contratto; una volta firmato il contratto il trattamento dovrebbe essere considerato necessario per la sua esecuzione e quindi non richiedere il consenso ai sensi dell'articolo 24, comma 1, lett. b), del Codice.

Se invece l'identificazione a vista da remoto è solo una delle modalità predisposte dal gestore per la verifica dell'identità del richiedente, allora dovrebbe essere richiesto un apposito consenso al trattamento dei dati personali contenuti nelle riprese audio/video, possibilmente specificando tale aspetto nell'informativa da rendere all'interessato ai sensi dell'articolo 13 del Codice.

L'articolo  deve essere perciò perfezionato tenendo conto delle predette osservazioni.

Al penultimo comma, poi, prevede che la "sessione audio/video deve essere condotta seguendo una procedura scritta certificata dal gestore"; occorre individuare i parametri tecnici e informatici di tale certificazione o, in alternativa, è necessario sostituire il termine "certificata" con "formalizzata".

Inoltre per evitare attacchi di phishing perpetrati attraverso sistemi video o audio (Voice Phishing o Vishing) occorre prevedere opportune misure quali, a esempio, un sistema di mutua autenticazione che consenta di garantire l'identificazione certa, oltre che dell'utente, anche del gestore dell'identità digitale.

La procedura prevista appare farraginosa e non usabile nel caso di dispositivi mobili, a meno di contemplare l'uso simultaneo di più dispositivi da parte del richiedente. Si garantirebbe lo stesso livello di sicurezza prevedendo una procedura di challenge in cui viene chiesto al soggetto richiedente l'inserimento di un numero pseudocasuale inviatogli con messaggio SMS.

Deve essere poi assicurata, con riguardo all'identificazione a vista da remoto in caso di rilascio di credenziali di livello 3, la coerenza con la prescrizione della norma tecnica ISO 29115 relativa al livello di sicurezza LoA4, che prevede la necessità di identificazione di persona.

5.5. All'articolo 9 (Identificazione informatica tramite documenti digitali di identità) va sciolta l'ambiguità dell'ultimo periodo, chiarendo se il gestore è tenuto a verificare la correttezza del processo di identificazione già espletato "a monte" oppure si intenda introdurre una sorta di "presunzione" di correttezza del medesimo processo.

5.6. All'articolo 12, terzo comma, si prevede che "nelle more del completamento" dell'ANPR, i gestori dell'identità e degli attributi, per finalità di verifica dell'esattezza dei dati personali del richiedente l'identità digitale, possano verificare il codice fiscale e i dati anagrafici presso l'Agenzia delle entrate.

La disposizione deve essere coordinata con la normativa in materia di ANPR, tenendo conto dei servizi allo stato forniti attraverso la predetta anagrafe cui, evidentemente, il presente regolamento non potrebbe apportare innovazioni "a regime" (cfr. art. 38, comma 6, d.l. 31 maggio 2010, n. 78 convertito, con modificazioni, dalla l. 30 luglio 2010, n. 122; dPCM 23 agosto 2013, n. 109 e dPCM 10 novembre 2014, n. 194, in particolare, art. 1, comma, 2 e all. A e D ).

Sempre all'articolo 12, nella prima tabella (seconda riga), dove si individuano i requisiti della  verifica di identità rispetto ai livelli di sicurezza 2 e 3, è riportata la seguente frase: "con specifico riferimento al furto d'identità: deve essere prevista la consultazione dell'Archivio centrale informatizzato di cui al decreto legislativo n. 141 del 2010".

Premesso che la disposizione non chiarisce dove dovrebbe essere prevista tale consultazione (e con riferimento a quali soggetti), si rileva che l'archivio cui si fa cenno, istituito nell'ambito del Ministero dell'economia e delle finanze, riguarda la materia della prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo e dei pagamenti dilazionati o differiti, con specifico riferimento al furto di identità (art. 30-quater, d. lg. n. 141/2010 e successive modificazioni; d.m. 19 maggio 2014, n. 95), materia affatto diversa da quella regolamentata nel presente provvedimento. Pertanto, è necessario espungere dalla tabella ogni riferimento al predetto archivio.

5.7. L'articolo 13 (Conservazione e registrazione dei documenti), all'ultimo comma, stabilisce che tutta la documentazione inerente alla creazione e al rilascio di una identità digitale deve essere conservata ai sensi dell'articolo 7, commi 8 e 9 del DPCM.

Al riguardo, posto che il citato comma 9 non fa altro che richiedere il rispetto della normativa in materia di protezione dei dati personali e considerato che i predetti documenti sono particolarmente rilevanti ai fini dell'affidabilità del processo di rilascio delle identità digitali, si richiama l'attenzione dell'AGID sull'opportunità di integrare l'articolo 13 dello schema con l'individuazione in concreto di specifici obiettivi di sicurezza che i gestori dovranno assicurare per garantire una conservazione adeguata e protetta della documentazione e delle informazioni acquisite, nonché  modalità di accesso selettivo ai dati personali, tenuto conto anche della durata ventennale del periodo di conservazione previsto dal dPCM (art. 31 del Codice).

Analoga integrazione deve essere prevista in relazione all'articolo 8, ultimo comma, (dove si fa riferimento ai "dati di registrazione" acquisiti nella procedura di identificazione da remoto, costituti da file audio-video, immagini e metadati strutturati in formato elettronico), coordinando le due disposizioni.

5.8. L'articolo 14, primo comma, nel descrivere il contenuto dell'identità digitale, vi include anche l"identificativo utente" (lett. d)), insieme agli attributi identificativi e agli attributi secondari dell'utente, nonché al codice identificativo dell'identità digitale. Tale "identificativo utente" viene poi definito quale attributo secondario corrispondente all'indirizzo di posta elettronica comunicato dal richiedente al momento della richiesta dell'identità.

L'articolo 14 va modificato espungendovi ogni riferimento a tale identificativo, non solo perché esso non è previsto dal dPCM quale elemento costitutivo obbligatorio dell'identità digitale (art. 5), ma anche perché questo dato risulta eccedente rispetto alle finalità perseguite con il rilascio dell'identità digitale e all'esigenza di riferibilità certa dell'identità digitale all'utente. Resta fermo che l'indirizzo di posta elettronica fornito dall'interessato quale attributo secondario potrà (e dovrà) essere utilizzato dal gestore per la sua precipua finalità (comunicazione di informazioni: art. 1, comma 1, lett. d), dPCM).

5.9. L'articolo 15 sulla creazione delle credenziali prevede che per il Livello 1 SPID le password non vengano generate in modo completamente casuale; tale previsione appare tecnicamente controproducente perché, fissati l'alfabeto ammesso e le regole per la composizione, la generazione delle password dovrebbe essere la più casuale possibile, per evitare attacchi dictionary based.
Andrebbe inoltre vietata l'inclusione nelle password di informazioni non segrete riconducibili al titolare, in luogo della raccomandazione sul divieto d'uso di "formati comuni".

Nello stesso articolo, in relazione alle modalità di generazione della OTP (one-time password), andrebbe contemplata la codifica dell'OTP nel numero (variabile) del chiamante, senza ricorso al servizio di SMS; inoltre, la connettività in rete prevista per l'utilizzo di "applicazioni mobile  per smartphone e tablet" appare non strettamente necessaria per la fase di generazione della OTP se si mettono a disposizione strumenti PRNG (pseudo-random numbers generator) in forma di applicazione stand-alone, che non richiedono quindi la connessione di rete per generare la password temporanea, al pari di dispositivi dedicati.

5.10. All'articolo 16, secondo comma, lett. b), deve essere soppressa la parola "minime" in quanto, com'è noto, l'obbligo gravante in materia di sicurezza su ogni titolare del trattamento è volto a ridurre al minimo i rischi di distruzione dei dati degli interessati o di accessi abusivi ai sistemi, mediante misure "idonee" a tale scopo (art. 31 del Codice), e non si esaurisce, pertanto, nell'adozione delle misure minime di cui all'allegato B del Codice.

5.11. L'articolo 18 (Segnalazioni sull'utilizzo delle credenziali) deve essere perfezionato, precisando che, le notifiche devono essere attivate in assenza di richiesta specifica contraria (attivazione per default) e non soltanto a seguito della esplicita richiesta di attivazione da parte dell'utente. Vanno altresì specificate le informazioni che il gestore dell'identità digitale invia all'utente, indicate nel testo dell'articolo con il generico termine "estremi". Le notifiche andrebbero estese anche al caso di creazione di nuova identità digitale a partire da una esistente disciplinato nell'Art. 10.

5.12. In relazione a quanto previsto all'articolo 19 (Gestione degli attributi), poiché gli aggiornamenti degli attributi identificativi sono resi possibili all'utente tramite un'area web del gestore dell'identità digitale, dedicata a tale scopo, accessibile mediante credenziali almeno di livello 2, occorre integrare la disposizione specificando le modalità con cui un utente con credenziali di livello 1 possa aggiornare i propri attributi.

5.13. In relazione a quanto previsto agli articoli 22 (Conservazione delle credenziali) e 23 (Sospensione e revoca delle credenziali), si richiama l'attenzione dell'AGID sull'opportunità di dettagliare, rispettivamente, le prescrizioni per la conservazione delle credenziali, in particolare per quelle di livello 2 e 3, e le modalità con cui l'utente può richiederne la sospensione o la revoca.

5.14. All'articolo 25, al fine di chiarire i diversi ruoli dei soggetti partecipanti allo SPID durante il processo di autenticazione, al primo comma, dopo le parole: "dimostra la propria identità" devono essere inserite le seguenti: "al gestore dell'identità digitale".

Inoltre, il terzo comma va perfezionato chiarendo che la prima fase di interazione fra utenti e fornitori di servizi non deve comportare la raccolta di dati personali diversi da quelli strettamente necessari all'interazione tramite protocolli di rete.
Va inoltre perfezionato il punto 3) del terzo comma, specificando che –come sembra- l'asserzione di autenticazione SAML non deve attestare attributi quando non necessari alla fruizione del servizio, ma può, invece, attestare esclusivamente l'esito della verifica (producendo cioè una risposta di tipo "booleano") effettuata dal gestore dell'identità, che può eventualmente riguardare anche i soli attributi non identificativi dell'interessato. In ogni caso, il gestore dell'identità deve mettere a conoscenza l'utente degli attributi richiesti dal fornitore del servizio (cfr. punto 5.15. in relazione ad art. 27).

Devono, poi, essere previste regole stringenti di segregation of duty, nel caso in cui uno stesso soggetto sia, allo stesso tempo gestore dell'identità digitale e fornitore di servizi. In tal caso, devono essere mantenuti separati i log di tracciatura delle transazioni così come le banche dati relative alla gestione delle identità digitali, in capo al gestore, dalle banche dati relative ai servizi erogati. Tale vincolo di separazione deve essere applicato anche nei confronti degli accessi degli operatori di help desk e nella gestione di cruscotti di self caring che vanno mantenuti separati (art. 19).

Inoltre, per aumentare il livello di sicurezza dell'intero processo, evitando in particolare possibili attacchi di tipo phishing e man-in-the-middle, è opportuno prevedere esplicitamente che tutte le comunicazioni avvengano su canali resi sicuri con tecniche crittografiche (SSL, TLS), e che i certificati digitali che asseverano la titolarità dei sistemi hardware e software utilizzati dai partecipanti al sistema SPID (fornitori di servizi, gestori dell'identità digitale ed eventuali Trusted Third Party) debbano essere emessi da Certificate Authority (CA) che soddisfino dei requisiti definiti dall'AGID e verificati in fase di accreditamento degli Identity Provider e dei Service Provider). Inoltre, l'AGID dovrebbe valutare l'opportunità di rendere disponibile all'utente un client sicuro per l'accesso ai servizi (Secure Browser), con riferimento sia all'ambiente mobile che desktop, ad esempio scaricabile anche dallo stesso sito dell'Agenzia.

Per analoghe motivazioni, nel regolamento recante le "Regole tecniche", al fine di garantire l'identità certa del gestore dell'identità digitale e del fornitore di servizi, la previsione dell'attributo "signature" nelle asserzioni deve essere considerata ovunque obbligatoria e non opzionale.

5.15. Riguardo a quanto previsto dall'art. 26 (Registro SPID), occorre specificare a quali soggetti "appartenenti al circuito SPID" è accessibile il registro predisponendo, ove necessario, modalità selettive di consultazione (v. par. 4.1 dello schema di regolamento recante le regole tecniche). Inoltre, la previsione di "instaurazione di una relazione di fiducia con tutti i soggetti già aderenti, accreditati dall'Agenzia, sulla base della condivisione dei livelli standard di sicurezza dichiarati e garantiti da SPID" in esso contenuta appare troppo generica e ampia: mentre è certamente vero che i Service Provider debbano fare affidamento sugli Identity Provider in una trust relationship, non c'è motivo per cui debba valere il viceversa. Dal punto di vista degli scenari di rischio che andrebbero, come già detto, preventivamente analizzati, il threat model deve includere la possibilità che il fornitore di servizi possa essere di tipo malicious e cerchi di abusare del protocollo per impersonare utenti o gestori dell'identità digitale. In assenza di cautele la presenza di un fornitore di servizi compromesso, anche a seguito di incidente informatico, basterebbe a compromettere l'intero sistema. Per motivi analoghi non va assunta l'esistenza di una automatica relazione di trust tra i vari fornitori di servizi.

5.16. E' necessario perfezionare l'articolo 27 (Uso degli attributi SPID) rispetto agli obblighi previsti in materia di protezione dei dati personali, in relazione a quanto anticipato al punto 5.3. del presente parere.

In tal senso, devono essere soppressi il secondo periodo del secondo comma e il secondo periodo del terzo comma , ferma restando, però, l'esigenza che in entrambi i commi sia previsto che i gestori dell'identità digitale e i fornitori di servizi devono mettere a conoscenza gli utenti degli attributi scambiati, in chiave di correttezza e trasparenza del trattamento dei dati (art. 11, comma 1, lett. a), del Codice) (cfr. punto 5.13).

Infine, l'articolo va integrato con la previsione che i fornitori di servizi possono trattare i dati relativi agli attributi di cui viene richiesta la verifica per il tempo strettamente necessario all'espletamento delle verifiche, cancellandoli al completamento delle stesse.

5.17. Anche l'articolo 28 va perfezionato in relazione agli obblighi previsti in materia di protezione dei dati personali (cfr. punto 5.3.), sopprimendo il terzo comma.

Peraltro non appare condivisibile la prevista comunicazione degli attributi da parte del gestore dell'identità al fornitore di servizi in contesti di autenticazione di livello 1, posto che tale livello non garantisce un alto grado di sicurezza dell'identità asserita (art. 28, parte A) Gestione delle sessioni per il livello 1 SPID; Appendice A).

Inoltre, la previsione per cui "[...] Per il livello 1 SPID è ammessa l'instaurazione di una sessione di autenticazione, associata ad un determinato utente titolare di identità digitale, mantenuta dal gestore dell'identità digitale e condivisa da tutti i fornitori di servizio che nel corso di vita della sessione stessa erogano servizi per quel determinato utente"  evidenzia delle criticità, in assenza di misure da parte dei Service Provider, per prevenire i rischi di Cross-Site Request Forgery (XSRF).

Nello stesso articolo 28, in riferimento alle autenticazioni con procedure di Livello 2 SPID, la previsione per cui "[...] 1. 1) il gestore dell'identità digitale non deve mantenere alcuna sessione di autenticazione con l'utente" comporta che l'utente debba effettuare un'autenticazione informatica presso un gestore dell'identità digitale ogni volta che visiti un nuovo fornitore di servizi.  Allo scopo di facilitare l'uso di credenziali di Livello 2 o superiore, potrebbe valutarsi la possibilità di mantenere la sessione di autenticazione con il gestore dell'identità digitale, a condizione che venga chiesta l'autorizzazione all'utente prima di generare ogni nuova asserzione nel contesto di una stessa sessione di autenticazione.

5.18. Agli articoli 28 (Gestione delle sessioni di autenticazione) e 30 (Servizio di discovery) è disciplinato l'utilizzo di cookies per la gestione delle relative sessioni.

L'informazione di stato associata all'utente, anche veicolata attraverso il meccanismo dei cookies, è un'informazione la cui integrità è difficile da garantire, essendo manipolabile, alterabile, cancellabile dall'utente stesso. Appare necessario, pertanto, definire quali siano le funzioni attribuibili al predetto stato.  
Nei medesimi articoli si fa riferimento a non meglio specificate "Linee guida indicate dall'Autorità Garante per la protezione dei dati personali".

Si precisa, al riguardo, che il Garante ha adottato il provvedimento "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014" (doc. web n. 3118884 - Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014) per regolamentare l'utilizzo dei cookie per finalità di profilazione e non sul loro impiego per il mantenimento di una sessione. Si richiede, pertanto, di espungere dagli articoli 28 e 30 ogni riferimento alle "Linee guida indicate dall'Autorità Garante per la protezione dei dati personali".

5.19. Gli articoli 29 e 30 prevedono una "Directory delle identità SPID" alimentata dai gestori delle identità digitali, in cui sono registrate le "informazioni sulle corrispondenze tra gli identificatori delle identità SPID e i relativi gestori", il cui contenuto è reso disponibile ad un "Servizio di Discovery" che consente ai fornitori di servizi di individuare quale gestore dell'identità digitale è in grado di autenticare l'utente. Al riguardo, occorre specificare quale è il soggetto cui è affidata la gestione e la tenuta dei dati contenuti nella Directory e resi disponibili tramite il Servizio di Discovery.

5.20. L'articolo 31 (Tracciatura e conservazione della documentazione di riscontro) deve essere perfezionato sotto vari profili.

Innanzitutto, al primo comma occorre indicare la normativa di sicurezza a cui ci si riferisce.

Il secondo comma, con un rinvio al comma "2" (e non "4" come previsto ora per un refuso) dell'articolo 13 del dPCM, richiama l'obbligo per i fornitori di servizi di conservare  per  ventiquattro  mesi  le informazioni necessarie a imputare, alle singole identità  digitali, le operazioni effettuate sui propri sistemi tramite SPID. Tali informazioni sono costituite da registrazioni, il cui insieme costituisce il Registro delle transazioni, disciplinato al comma 3.

Al riguardo, si suggerisce di sostituire il terzo comma con il seguente: "L'insieme delle registrazioni costituisce il Registro delle transazioni del fornitore del servizio. Le tracciature devono avere caratteristiche di riservatezza, inalterabilità e integrità e  sono conservate adottando idonee misure di sicurezza ai sensi dell'articolo 31 del decreto legislativo 30 giugno 2003, n. 196, sotto la responsabilità del titolare del trattamento; l'accesso ai dati è riservato a personale espressamente autorizzato e incaricato del trattamento dei dati personali. Devono essere adottati  meccanismi di cifratura.".

Il quarto comma, poi, introduce un obbligo di registrazione anche per i gestori dell'identità digitale (non previsto dal dPCM), confermato dalla presenza nelle Regole Tecniche del paragrafo 5 (Tracciatura) che individua le informazioni che i gestori dell'identità digitale dovranno registrare in un apposito Registro delle transazioni. Tali previsioni devono essere coordinate con quelle contenute nel regolamento sui gestori dell'identità digitale.

Coerentemente e per completezza, il predetto paragrafo del regolamento sulle regole tecniche deve essere integrato con le informazioni che i fornitori di servizi devono registrare nel Registro delle transazioni di loro pertinenza.

5.21. E' necessario che lo schema sia integrato con disposizioni che assicurino un efficace coordinamento dell'attività di vigilanza e controllo svolte dall'AGID e dal Garante nei rispettivi ambiti e per le finalità istituzionali assegnate, anche in relazione ai casi di "violazione dei dati personali" che hanno riflessi, primariamente se non esclusivamente, sulla protezione dei dati personali, materia di competenza di questa Autorità (cfr. la definizione stessa di "violazione di dati personali" e la relativa disciplina: artt. 4, comma 3, lett. g-bis, e 32-bis del Codice).

Al riguardo, soppresso il penultimo comma dell'articolo 32, dovrebbe essere inserito nello schema un articolo ad hoc, del tenore che a titolo di collaborazione si suggerisce:

"Art. 32-bis.
(Collaborazione fra AGID e Garante per la protezione dei dati personali)

1.  Nell'ambito delle attività di vigilanza di cui all'articolo 4, comma 1, lett. b), del DPCM sull'operato dei soggetti che partecipano allo SPID, l'AGID, ove riscontri casi in cui sussistano elementi per ritenere la violazione della normativa in materia di protezione dei dati personali, ne informa tempestivamente il Garante per la protezione dei dati personali.
2. Il Garante, anche sulla base delle informazioni di cui al comma 1 o di quelle concernenti violazioni di dati personali di cui all'articolo 4, comma 3, lett. g-bis, del decreto legislativo 30 giugno 2003, n. 196, eventualmente ricevute ai sensi dell'articolo 11, comma 1, lett. o), del DPCM, sottopone a un audit di sicurezza, anche a campione, i soggetti partecipanti allo SPID di cui all'articolo 3, comma 1, lett. a), b) e c) del DPCM, tenuto conto delle diverse categorie dei soggetti interessati. I risultati dell'audit sono inseriti nella relazione annuale del Garante.

3. I gestori dell'identità digitale comunicano al Garante, e per conoscenza all'AGID, la violazione dei dati personali di cui al comma 2 entro 24 ore dall'avvenuta conoscenza della violazione per la prima sommaria comunicazione ed entro 3 giorni dalla stessa per la comunicazione dettagliata. La comunicazione è effettuata mediante apposito modello predisposto dal Garante e disponibile on line sul sito istituzionale dell'Autorità. Qualora si verifichi una violazione di dati personali e dalla stessa possa derivare un pregiudizio ai dati personali o alla riservatezza di un utente o di altre persone, ossia dei soggetti cui si riferiscono i dati violati, oltre alla comunicazione al Garante i gestori sono tenuti a comunicare l'avvenuta violazione, senza ritardo, anche a tali soggetti, utilizzando il modello predisposto dal Garante. Si applicano, in quanto compatibili, le disposizioni di cui al Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) adottato dal Garante il 4 aprile 2013 e pubblicato sulla Gazzetta ufficiale n. 97 del 4 aprile 2013.
4. Il Garante e l'AGID stipulano un protocollo d'intesa per l'attuazione delle disposizioni del presente articolo nel rispetto delle rispettive competenze.".

IL GARANTE

esprime parere sugli schemi di regolamento dell'Agenzia per l'Italia digitale recanti, rispettivamente, le modalità attuative per la realizzazione dello SPID e le relative regole tecniche, nei termini di cui in motivazione, con le seguenti condizioni:

1) siano valutati i profili di rischio per la sicurezza informatica del sistema SPID illustrati al punto 4;

2) siano apportate agli schemi di regolamento le necessarie modifiche e integrazioni, individuate ai punti da 5.1. a 5.21.

Roma, 4 giugno 2015

IL PRESIDENTE
Soro

RELATORE
Soro

IL SEGRETARIO GENERALE
Busia