Privacy. SPID, verifica da remoto senza operatore

Il Garante per la protezione dei dati personali ha dato l’ok alla semplificazione proposta dall’Agid per SPID.

La nuova procedura di identificazione prospettata dall’Agid, ed ora accettata dall’Authority, non prevede più, per l’identificazione da remoto, la presenza contestuale del richiedente l’identità SPID e dell’operatore che, infatti, è coinvolto solo in un secondo momento, al fine di visionare (e ascoltare) in back-office la registrazione effettuata.

SPID. Le fasi dell’identificazione

Favorevole, dunque, il “Parere all'Agid sulla bozza di determina che modifica il regolamento recante le modalità attuative per la realizzazione dello SPID e sulla bozza di determina volta a disciplinare una nuova modalità di verifica dell’identità da remoto con l’ausilio di un bonifico bancario” del 17 settembre 2020.

La nuova modalità per l’identificazione da remoto del richiedente l’identità digitale da parte del gestore dell’identità: è basata su un audio-video, disponibile su piattaforma o App gestita dal gestore dell’identità digitale nel proprio perimetro di sicurezza, con l’ausilio di un bonifico bancario.

La procedura prevede che il richiedente l’identità SPID:

1. esegua una procedura di registrazione online (durante la quale sceglie le proprie credenziali di livello 1, fornisce il consenso al trattamento dei dati personali previsto dalla normativa, il proprio indirizzo e-mail e numero di cellulare e prende visione delle condizioni d’uso, della guida utente e dell’informativa);
2. proceda ad effettuare una sessione audio-video, durante la quale gli viene chiesta conferma di alcuni dati (tra i quali la data e l’ora, nonché alcuni dati personali, quali il nome e il cognome) già forniti nella fase di registrazione;
3. mostri il documento di riconoscimento e il tesserino del codice fiscale o della tessera sanitaria;
4. confermi la volontà di attivare SPID.

Gli step successivi prevedono che:

1. il richiedente esegua un bonifico da un c/c con IBAN italiano a lui intestato o cointestato, indicando nella causale uno specifico codice, che gli è stato precedentemente fornito, che consente di correlare la richiesta dell’identità al bonifico stesso;
2. un operatore visioni l’audio-video ed effettui tutte le verifiche di back-office necessarie.

SPID. Il parere dell’Authority

Il Garante privacy prende favorevolmente atto:

1. che sia stato complessivo rafforzato il processo di identificazione del richiedente, attraverso l’effettuazione di un bonifico bancario eseguito da un conto corrente la cui intestazione coincida con quella dell’utente che richiede l’identità digitale e che rechi una specifica causale per correlare la richiesta dell’identità al bonifico stesso;
2. che sia stato previsto che, durante la sessione audio-video, sia fornito al richiedente – via SMS o tramite un’apposita App preventivamente installata dallo stesso - un codice numerico randomico che lo stesso richiedente dovrà leggere durante la sessione.

Quanto al secondo punto il Garante rappresenta tuttavia che, affinché tale garanzia sia pienamente efficace, in caso di invio del codice attraverso App, occorre che la stessa sia installabile unicamente sul dispositivo collegato all’utenza telefonica fornita dal richiedente ai fini dell’identificazione. Ciò, al fine di garantire che l’utilizzo dell’App stessa sia nel completo controllo del richiedente e che questa sia ad esso riconducibile con certezza.

Infine, nel parere si sottolinea che la procedura prevede, inoltre, come ulteriore elemento di garanzia finalizzato ad effettuare delle verifiche immediate, che il gestore dell’identità digitale sospenda almeno il 2% delle richieste giornaliere ricevute, al fine di fare effettuare una ulteriore verifica dell’audio-video anche da parte di un secondo operatore, che trasmetterà l’esito ad AgID e al Garante, dopo 6 mesi, al fine di valutare -dopo un periodo di prima applicazione - l’efficacia di tale controllo di secondo livello.