Decreto Presidente Consiglio Ministri del 24 ottobre 2014 art. 10

ACCREDITAMENTO DEI GESTORI DELL'IDENTITÀ DIGITALE

1. Le modalità di richiesta di accreditamento sono definite nei regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4, che possono contenere ulteriori criteri per l'accreditamento delle pubbliche amministrazioni.
2. A seguito dell'accoglimento della richiesta, l'Agenzia stipula apposita convenzione secondo lo schema definito nell'ambito dei regolamenti di cui all'art. 4 e dispone l'iscrizione del richiedente nel registro SPID, consultabile in via telematica.
3. Al fine di ottenere l'accreditamento gli interessati devono:
a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni di euro;
b) garantire il possesso, da parte dei rappresentanti legali, dei soggetti preposti all'amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'art. 26 del decreto legislativo 1° settembre 1993, n. 385;
c) dimostrare la capacità organizzativa e tecnica necessaria per svolgere l'attività di gestione dell'identità digitale;
d) utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi da fornire. In particolare, il personale addetto alla realizzazione e gestione del sistema informatico deve possedere, in relazione alle attività da svolgere, la competenza gestionale, l'appropriata conoscenza e padronanza delle procedure operative e di sicurezza, nonché delle regole tecniche da applicare. Il gestore provvede al periodico aggiornamento professionale del personale;
e) comunicare all'Agenzia i nominativi e il profilo professionale dei soggetti responsabili delle specifiche funzioni individuate nei regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4;
f) essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia;
g) trattare i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196;
h) essere in possesso della certificazione di qualità ISO 9001, successive modifiche o norme equivalenti.
4. Le lettere a) e b) del comma 3 non si applicano alle pubbliche amministrazioni che chiedono l'accreditamento al fine di svolgere l'attività di gestore dell'identità digitale.
5. L'Agenzia procede, d'ufficio o su segnalazione motivata di soggetti pubblici o privati, a controlli volti ad accertare la permanenza della sussistenza dei requisiti previsti dal presente decreto. Se, all'esito dei controlli, accerta la mancanza dei requisiti richiesti per l'iscrizione nel registro SPID, decorso il termine fissato per consentire il ripristino degli stessi, l'Agenzia, con provvedimento motivato notificato all'interessato, può adottare le azioni previste dall'art. 12.