Con il Provvedimento n. 163 del 17 settembre 2020 il Garante per la protezione dei dati personali ha dato parere positivo alle nuove modalità di rilascio delle identità digitali mediante il riconoscimento da remoto, grazie alle modifiche delle modalità attuative dello Spid proposte dall’Agid (Agenzia per l’Italia digitale),
Riconoscimento da remoto senza la presenza di un operatore
La nuova procedura di riconoscimento da remoto introdotta dall’Agid non prevede più la presenza contestuale dell’operatore del gestore Spid e del richiedente, che dovrà però effettuare un bonifico dal suo conto corrente.
Il richiedente, dopo una prima registrazione sul sito del gestore, per ottenere lo Spid dovrà avviare una sessione automatica audio-video, durante la quale mostrerà il proprio documento di riconoscimento e il tesserino del codice fiscale o la tessera sanitaria.
Altre misure di sicurezza per evitare furti d’identità
Durante la sessione audio-video il richiedente dovrà leggere un codice ricevuto via sms o tramite un’apposita App installata sul cellulare personale. È inoltre previsto che il richiedente effettui un bonifico da un conto corrente italiano a lui intestato o cointestato, indicando nella causale uno specifico codice precedentemente ricevuto.
Tutte queste informazioni e la registrazione audio-video saranno successivamente verificate dall’operatore di back-office, che procederà al rilascio dell’identità digitale.
Valutazione dell’affidabilità della procedura con controllo di secondo livello
Come ulteriore misura di garanzia e per poter valutare l’affidabilità della procedura il Garante per la privacy ha chiesto che il gestore dell’identità digitale sottoponga a ulteriori controlli a campione le richieste, facendo verificare nuovamente l’audio-video ad un secondo operatore.
Dopo un periodo di test di sei mesi, l’Agid dovrà trasmettere al Garante un report con l’esito di queste verifiche, al fine di valutare l’efficacia del controllo di secondo livello.
L’Agid dovrà inoltre inviare al Garante dei report settimanali, redatti dai gestori Spid, relativi alle richieste di rilascio respinte per profili critici connessi al trattamento dei dati personali e configurabili come tentativi fraudolenti in modo da permettere all’Autorità di effettuare eventuali accertamenti.
