Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

norme

Identità digitale, ecco le critiche del Garante Privacy allo Spid

di Sarah Ungaro e Stefano Frontini, Digital & Law Department

30 Giu 2015

30 giugno 2015

Sistema Pubblico per la gestione dell’Identità Digitale: il Garante Privacy ha sollevato l’attenzione sui rischi di furto, uso abusivo o alterazione dell’identità degli interessati e del necessario elevato grado di sicurezza che dovrà essere predisposto per i dati e i sistemi

Con provvedimento del 23 aprile 2015 il Garante privacy ha espresso un parere (richiesto dall’Agenzia per l’Italia Digitale) sullo schema di regolamento – adottato ai sensi del DPCM 24 ottobre 2014 – recante le modalità per l’accreditamento e la vigilanza sui gestori per l’identità digitale.

Il citato DPCM, contenente la definizione delle caratteristiche del Sistema Pubblico per la gestione dell’Identità Digitale, prevede, infatti – all’art. 4, comma 3 – che AgID definisca con un proprio regolamento le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio appunto dell’identità digitale, previo parere dell’Autorità Garante.

Il Garante, nel proprio provvedimento, dopo aver effettuato una ricognizione dei punti del regolamento considerati salienti, come i requisiti per l’accreditamento, la presentazione per la domanda con i documenti indispensabili da allegare alla stessa, l’iter istruttorio e il piano di sicurezza, si sofferma sulla particolare importanza dei trattamenti dei dati personali previsti: il Garante ha sollevato l’attenzione sui rischi di furto, uso abusivo o alterazione dell’identità degli interessati e del necessario elevato grado di sicurezza che dovrà essere predisposto per i dati e i sistemi.

Per questi motivi, considerata la complessità della materia trattata, già in fase di redazione dello schema di regolamento gli uffici del Garante avevano avuto modo di confrontarsi con AgID per rilevare le criticità e formulare indicazioni, al fine di rendere le disposizioni pienamente conformi alla disciplina in materia di dati personali.

In particolare, le indicazioni date dall’Ufficio del Garante avevano riguardato:

–          un più attento coordinamento con la normativa di settore, in particolare con il DPCM 24 ottobre 2014;

–          l’indicazione, tra i soggetti responsabili delle specifiche funzioni individuate dall’Agenzia, del referente per la protezione dei dati personali;

–          l’integrazione, nell’ambito dell’attività effettuata da AgID, della collaborazione con il Garante Privacy (ad esempio, in riferimento alla previsione secondo cui AgID informi il Garante di possibili violazioni della normativa in materia di protezione dei dati personali evidenziatesi nel corso della vigilanza);

–          il rafforzamento e la razionalizzazione delle misure di protezione dei dati e dei sistemi, al fine di garantire un elevato livello di sicurezza, adeguato all’estrema delicatezza dei trattamenti (in riferimento a tali aspetti, su indicazione del Garante, è stato descritto nel dettaglio il processo di accreditamento e l’attività di vigilanza svolta da AgID nei confronti dei gestori accreditati, nonché i requisiti formativi e curriculari delle figure professionali con responsabilità in attività connesse alla sicurezza, alla conduzione dei sistemi, alle verifiche e ispezioni, alla formazione del personale, alla conservazione dei documenti);

–          una descrizione più dettagliata del processo di approvazione delle soluzioni tecnologiche di autenticazione informatica, con particolare riguardo all’individuazione delle diverse fasi, alla documentazione presentata, alle prove tecniche necessarie e all’attività di valutazione posta in capo ad AgID.

Nel regolamento oggetto del parere, tuttavia, il Garante ha voluto, anche in considerazione della delicatezza delle questioni trattate, apportare allo schema alcune ulteriori modifiche, che evidentemente non erano state pienamente recepite nelle fasi preliminari della redazione della bozza di regolamento.

Il Garante, quindi, ha espresso parere favorevole allo schema di regolamento proposto da AgID, ma solo a condizione che vengano apportate alle disposizioni le ulteriori modifiche indicate. In particolare:

–          il paragrafo 1 del regolamento deve essere integrato con il requisito di una precipua conoscenza nel settore della protezione dei dati personali da parte del personale dei gestori di identità digitale che intendono conseguire l’accreditamento;

–          sempre nel paragrafo 1, deve essere aggiunta una specifica previsione che disponga, per il gestore destinatario di un provvedimento di revoca, l’obbligo di sospendere il servizio di identificazione elettronica entro le successive 12 ore, dandone contestuale comunicazione agli utenti: ciò al fine di minimizzare i rischi di un uso delle identità rilasciate non conforme ai requisiti stabiliti dal DPCM 24 ottobre 2014, i cui effetti potrebbero comportare non solo un potenziale danno ai titolari delle stesse identità, ma anche al livello di fiducia di tutti gli utenti nella sicurezza del sistema SPID;

–          ancora al paragrafo 1, è necessario coordinare la previsione secondo cui l’Agenzia “per espletare le attività per l’accreditamento dei gestori e per svolgere le connesse funzioni di vigilanza” possa avvalersi “di apposita struttura, istituita nell’ambito delle proprie dotazioni organiche”, con quanto stabilito nel punto 7 dello stesso regolamento, in cui si stabilisce la possibilità che l’esecuzione delle verifiche ispettive possa essere demandata dall’Agenzia a soggetti terzi;

–          nell’ultimo capoverso del paragrafo 7, le parole: “dei regolamenti” devono essere sostituite da: “della normativa”;

–          infine, anche nell’Allegato al regolamento che contiene l’elenco della documentazione da accludere alla domanda di accreditamento vengono indicati alcuni punti da sostituire, con l’obiettivo di dare maggiore evidenza alla misure adottate per la protezione dei dati e dei sistemi. In particolare, il Garante indica l’introduzione di una disposizione che comporti, da parte del gestore dell’identità digitale che intende accreditarsi presso AgID, la produzione di copia del piano della sicurezza (cifrato con la chiave pubblica che AgID dovrà rendere disponibile) che evidenzi le idonee misure di sicurezza adottate – ai sensi dell’art. 31 del Codice Privacy – rispetto ai rischi di distruzione e perdita dei dati personali, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, di furto, uso abusivo o alterazione di identità, nonché di ripudio o disconoscimento di una transazione;

–          sempre relativamente all’Allegato al regolamento che contiene l’elenco della documentazione da accludere alla domanda di accreditamento ad AgID, il garante prescrive – per le medesime finalità di sicurezza – una modifica volta a prevedere la produzione da parte dei gestori di identità digitali di una specifica relazione che descriva i trattamenti di dati personali effettuati, riportandone le informazioni essenziali e le misure di sicurezza messe in atto per conformare tali trattamenti alla normativa sulla protezione dei dati personali, con particolare riferimento ai principi di necessità, pertinenza e non eccedenza dei dati e di correttezza del trattamento, nonché l’obbligo di rendere previa e idonea informativa agli utenti del servizio di identificazione elettronica.

All’esito del parere appena reso dal Garante privacy, dunque, previa modifica del testo in base alle sue importanti indicazioni, si attende la definitiva adozione da parte di AgID di questo e degli altri regolamenti sul Sistema Pubblico per la gestione dell’Identità Digitale, in modo che possano finalmente attuarsi le norme già da tempo previste dall’art. 64, commi 2 e ss., del CAD (D.Lgs. 82/2005) e dal più recente DPCM 24 ottobre 2014 sullo SPID.

Risulta fondamentale, tuttavia, ricercare e garantire l’assoluta certezza della corretta associazione tra identità digitale e identità fisica. Questo deve essere considerato un presupposto indefettibile per una corretta realizzazione del Sistema Pubblico di Identità Digitale a cui va prestata grande attenzione.

Inoltre, ai fini della realizzazione di un sistema conforme alla normativa, sicuro e affidabile, il diritto dell’informatica e la sicurezza informatica devono necessariamente recitare un ruolo da protagonisti: per questo i relativi temi devono trovare ampio spazio in tutti i tavoli di lavoro e di confronto per la predisposizione delle norme e dei regolamenti sullo SPID.

Da ultimo, in riferimento alle tempistiche di realizzazione e adeguamento delle infrastrutture informatiche necessarie allo SPID, si segnala che secondo alcune indiscrezioni giornalistiche, dal prossimo ottobre dovrebbero essere disponibili i primi servizi della PA compatibili con il Sistema. Il portale scelto per ospitare il cosiddetto Italia login dovrebbe essere italia.it (già predisposto per il turismo). Lo stanziamento dei fondi – parte di quelli europei 2014-2020 – dovrebbe ammontare a circa 750 milioni di euro, una cifra non di poco conto, che dovrebbe essere sufficiente per rivoluzionare tutti i servizi della PA rendendoli compatibili con Iltalia.it, al fine di raggiungere il tanto agognato accesso unico, da cui il cittadino possa compiere tutte le attività messe a disposizione in rete dalla Pubblica Amministrazione. 

  • Attilio A. Romita

    Il garante della privacy fa una disamina perfetta della SPID, annessi e connessi, però dimentica che attualmente il furto di identità da noi è il più facile dei furti: bastano un paio di testimoni prezzolati con due carte d’identità rubate in uno dei 1000 cassetti non sempre chiusi dei nostri 8000 comuni………
    Forse occorre ricordare che i sistemi elettronici sono quantomeno altrettanto sicuri…..
    Ma forse il garante della privacy è restato a …Cartagine!

  • virgulto 38

    Chiunque capisce che il problema è insolubile. Pensare di riuscire a proteggere informazioni sensibili PER SEMPRE affidandosi a regole che saranno perennemente in ritardo rispetto a tecnologie in evoluzione rapidissima è una pia illusione.
    Forse l’unico sistema è quello di creare una miriade di false identità in mezzo alle quali nascondere quelle vere e intercettare in tempo reale chiunque cerchi di utilizzare una identità fasulla.
    Con un rapporto di 1/10000 si avrebbero archivi sterminati difficilmente trasferibili e il rischio elevatissimo di essere beccati al primo colpo.
    Il punto debole sarebbe l’algoritmo che permette di distinguere i buoni dai fasulli ma questo dovrebbe veramente essere conosciuto da pochissime persone.
    Se sono riusciti a proteggere la formula della Coca Cola per più di un secolo forse si può fare.

Articoli correlati