Al fine di incoraggiare la diffusione di servizi in rete, garantire maggiore sicurezza e facilitare l’accesso a Spid da parte di cittadini e imprese, anche in mobilità, è ammesso ai soggetti che ne facciano richiesta di diventare aggregatori di servizi pubblici al sistema SPID, senza dover necessariamente essere investiti del ruolo di prestatori di servizi. E’ stata infatti pubblicata sul sito di AgID la determina relativa allo Schema di convezione per consentire a soggetti pubblici e privati di ottenere la qualifica di aggregatori di pubblici servizi al Sistema Pubblico per la gestione dell’Identità Digitale di cittadini e imprese (SPID).
Con tale provvedimento, chi interessato e dimostri di possedere i requisiti richiesti, sottoscrivendo l’apposita convenzione con Agid, potrà ottenere la qualifica di soggetto Aggregatore presso AgID e offrire alle amministrazioni la possibilità di rendere accessibili i propri servizi pubblici con SPID senza diventare necessariamente prestatore di servizi.
Questo meccanismo faciliterà la diffusione di Spid anche tra i piccoli uffici pubblici che potranno sottoscrivere accordi con i Soggetti aggregatori. Saranno questi ultimi a doversi rendere conformi, per proprio conto e sotto la propria responsabilità, agli obblighi normativi e ai requisiti tecnici richiesti per consentire l’accesso ai servizi con SPID; ciò contribuirà a rendere disponibile alla Pubblica Amministrazione una modalità semplificata per garantire l’accessibilità ai propri servizi in rete ai cittadini e alle imprese tramite le credenziali del sistema di identità digitale.
Compiti dell'Aggregatore
L’Aggregatore che intenda sottoscrivere la Convenzione sarà tenuto a:
- iscriversi al Registro SPID;
- sottoscrivere un accordo con i soggetti pubblici dei quali erogherà i servizi (def. Aggregati);
- comunicare l’elenco degli Aggregati ad Agid corredato dal nome di un referente per ciascun soggetto e dai dati per poterlo eventualmente contattare;
- comunicare ad Agid l’elenco dei servizi qualificati forniti in rete da ciascun Aggregato e il rispettivo livello di sicurezza adottato;
- comunicare ad Agid la lista degli attributi Spid da rispettare per fruire di ogni servizio offerto assieme ad una sintetica nota che motivi sia i livelli di sicurezza adottati che gli attributi SPID scelti per ciascuno dei servizi.
L’Aggregatore inoltre dovrà impegnarsi a rispettare la normativa italiana ed europea in materia di dati personali (con particolare riferimento alle misure di sicurezza di cui dotarsi) e a comunicare ad Agid ogni eventuale malfunzionamento o incidente sulla sicurezza che dovesse verificarsi sul sistema di autenticazione, inoltre eventuali violazioni sui dati personali dei soggetti per i quali chiede la verifica dell’identità digitale o accessi non autorizzati agli stessi dovranno essere comunicati ad Agid e al Garante per la protezione dei dati personali - entro e non oltre 24 ore dall’avvenuta conoscenza dell’evento –secondo quanto altresì stabilito dal Provvedimento del Garante per la protezione dei dati personali n. 393 del 2 luglio 2015 relativo alle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche.
Ogni accesso al sistema dovrà essere tracciato attraverso file log dotati di un riferimento temporale che corrisponda alla scala di tempo UTC (IEN). L’Aggregatore dovrà inoltre dotarsi di un help desk in grado di assistere l’utente nelle procedure di accesso e fruizione dei servizi.
E’ all’Aggregatore che Agid attribuisce il compito di vigilare sui soggetti Aggregati, accertandosi che questi attuino e rispettino gli obblighi previsti dall’accordo con lui, con particolare riferimento alla normativa italiana ed europea in materia di dati personali, informando AgID di eventuali violazioni particolarmente critiche.
Agid invece si occuperà, nell’ambito della Convenzione, di attivare lo Spid in favore dell’Aggregatore, stipulando apposite convenzioni con le pubbliche amministrazioni e i privati in qualità di fornitori di servizi qualificati erogati in rete, disponendo altresì l’iscrizione dell’Aggregatore nell’apposito Registro di cui all’art.1,comma 1, lett. s) del DPCM entro il termine di dieci giorni dalla stipula della Convenzione. Alla Convenzione è attribuita una durata quinquennale.
È pubblicata, sempre sul sito di AgID, anche la determina che avvia il riuso delle identità pregresse. In base a quanto stabilito da tale provvedimento l’iter per il recupero delle identità digitali avviene secondo due modalità. La prima è una procedura assistita di trasferimento dall’identità digitale attualmente posseduta verso SPID, in cui è la stessa amministrazione a consigliare agli utenti di fare richiesta dell’identità SPID presso un identity provider accreditato (IDP).
Con la seconda modalità, invece, il cittadino potrà usare le credenziali di cui è già in possesso per autenticarsi presso il soggetto che le ha rilasciate e ottenere in tal modo il passaggio a SPID da uno degli IDP.