Art. 10 
 
         Accreditamento dei gestori dell'identita' digitale 
 
  1. Le modalita' di richiesta di accreditamento  sono  definite  nei
regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4, che
possono  contenere  ulteriori  criteri  per  l'accreditamento   delle
pubbliche amministrazioni. 
  2. A seguito dell'accoglimento della richiesta,  l'Agenzia  stipula
apposita convenzione  secondo  lo  schema  definito  nell'ambito  dei
regolamenti di cui all'art. 4 e dispone l'iscrizione del  richiedente
nel registro SPID, consultabile in via telematica. 
  3. Al fine di ottenere l'accreditamento gli interessati devono: 
  a) avere forma giuridica di societa'  di  capitali  e  un  capitale
sociale non inferiore a cinque milioni di euro; 
  b) garantire il possesso, da parte dei rappresentanti  legali,  dei
soggetti preposti all'amministrazione e dei componenti  degli  organi
preposti al controllo, dei requisiti  di  onorabilita'  richiesti  ai
soggetti  che  svolgono  funzioni  di  amministrazione,  direzione  e
controllo presso banche ai sensi dell'art. 26 del decreto legislativo
1° settembre 1993, n. 385; 
  c) dimostrare la capacita' organizzativa e tecnica  necessaria  per
svolgere l'attivita' di gestione dell'identita' digitale; 
  d)  utilizzare  personale  dotato  delle   conoscenze   specifiche,
dell'esperienza e  delle  competenze  necessarie  per  i  servizi  da
fornire. In particolare, il personale addetto  alla  realizzazione  e
gestione del sistema informatico deve possedere,  in  relazione  alle
attivita'  da  svolgere,  la  competenza  gestionale,   l'appropriata
conoscenza e padronanza delle procedure  operative  e  di  sicurezza,
nonche' delle regole tecniche da applicare. Il  gestore  provvede  al
periodico aggiornamento professionale del personale; 
  e) comunicare all'Agenzia i nominativi e il  profilo  professionale
dei soggetti responsabili delle specifiche funzioni  individuate  nei
regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4; 
  f) essere in  possesso  della  certificazione  di  conformita'  del
proprio sistema di gestione per la sicurezza  delle  informazioni  ad
essi relative, alla norma  ISO/IEC  27001,  rilasciata  da  un  terzo
indipendente a tal fine  autorizzato  secondo  le  norme  vigenti  in
materia; 
  g) trattare i dati personali nel rispetto del  decreto  legislativo
30 giugno 2003, n. 196; 
  h) essere in possesso della certificazione di  qualita'  ISO  9001,
successive modifiche o norme equivalenti. 
  4. Le lettere a) e b) del comma 3 non si applicano  alle  pubbliche
amministrazioni che chiedono l'accreditamento  al  fine  di  svolgere
l'attivita' di gestore dell'identita' digitale. 
  5. L'Agenzia procede,  d'ufficio  o  su  segnalazione  motivata  di
soggetti pubblici o  privati,  a  controlli  volti  ad  accertare  la
permanenza della sussistenza  dei  requisiti  previsti  dal  presente
decreto.  Se,  all'esito  dei  controlli,  accerta  la  mancanza  dei
requisiti richiesti per l'iscrizione nel registro  SPID,  decorso  il
termine fissato per consentire il ripristino degli stessi, l'Agenzia,
con provvedimento motivato notificato all'interessato, puo'  adottare
le azioni previste dall'art. 12.