Art. 11 
 
            Obblighi dei gestori dell'identita' digitale 
 
  1. I gestori dell'identita' digitale, nel rispetto dei  regolamenti
di cui all'art. 4: 
  a) utilizzano sistemi  affidabili  che  garantiscono  la  sicurezza
tecnica e crittografica dei procedimenti, in conformita' a criteri di
sicurezza riconosciuti in ambito europeo o internazionale; 
  b) adottano adeguate misure contro la contraffazione, idonee  anche
a garantire  la  riservatezza,  l'integrita'  e  la  sicurezza  nella
generazione delle credenziali di accesso; 
  c)  effettuano  un  monitoraggio  continuo  al  fine  rilevare  usi
impropri o tentativi  di  violazione  delle  credenziali  di  accesso
dell'identita'  digitale   di   ciascun   utente,   procedendo   alla
sospensione dell'identita' digitale in caso di attivita' sospetta; 
  d) effettuano, con cadenza almeno annuale, un'analisi dei rischi; 
  e) definiscono il piano per  la  sicurezza  dei  servizi  SPID,  da
trasmettere all'Agenzia, e ne garantiscono l'aggiornamento; 
  f)   allineano   le   procedure   di   sicurezza   agli    standard
internazionali,  la  cui  conformita'  e'  certificata  da  un  terzo
abilitato; 
  g) conducono, con cadenza almeno semestrale, il «Penetration Test»; 
  h) garantiscono la continuita' operativa dei servizi afferenti allo
SPID; 
  i) effettuano ininterrottamente l'attivita' di  monitoraggio  della
sicurezza dei sistemi, garantendo  la  gestione  degli  incidenti  da
parte di un'apposita struttura interna; 
  l) garantiscono la gestione sicura delle componenti riservate delle
identita' digitali degli utenti, assicurando che le stesse non  siano
rese disponibili a terzi, ivi compresi i fornitori di servizi stessi,
neppure in forma cifrata; 
  m) garantiscono la disponibilita'  delle  funzioni,  l'applicazione
dei modelli architetturali e il rispetto delle disposizioni  previste
dal  presente  decreto   e   dai   regolamenti   attuativi   adottati
dall'Agenzia ai sensi dell'art. 4; 
  n) si sottopongono, con cadenza almeno biennale, ad una verifica di
conformita' alle disposizioni vigenti da parte  di  un  organismo  di
valutazione accreditato ai sensi  del  Regolamento  CE  765/2008  del
Parlamento Europeo  e  del  Consiglio  del  9  luglio  2008.  Inviano
all'Agenzia  l'esito  della  verifica,  redatto   dall'organismo   di
valutazione in lingua inglese, entro tre giorni lavorativi dalla  sua
ricezione; 
  o)  informano  tempestivamente  l'Agenzia  e  il  Garante  per   la
protezione  dei  dati  personali  su  eventuali  violazioni  di  dati
personali, secondo le modalita' individuate nei regolamenti  adottati
ai sensi dell'art. 4; 
  p) adeguano i propri sistemi a seguito degli aggiornamenti  emanati
dall'Agenzia; 
  q) inviano all'Agenzia,  in  forma  aggregata,  i  dati  da  questa
richiesti a fini statistici, che potranno essere resi pubblici.