Art. 7 
 
                  Rilascio delle identita' digitali 
 
  1.   Le   identita'   digitali   sono   rilasciate,    a    domanda
dell'interessato,  dal  gestore   dell'identita'   digitale,   previa
verifica dell'identita' del soggetto richiedente e mediante  consegna
in modalita' sicura delle credenziali di accesso.  Nell'ambito  della
propria struttura organizzativa, i gestori delle  identita'  digitali
individuano   il   responsabile   delle   attivita'    di    verifica
dell'identita' del soggetto richiedente. 
  2.  La  verifica  dell'identita'  del  soggetto  richiedente  e  la
richiesta di adesione avvengono in uno dei seguenti modi: 
  a) identificazione del  soggetto  richiedente  che  sottoscrive  il
modulo di adesione allo SPID, tramite esibizione a vista di un valido
documento d'identita'  e,  nel  caso  di  persone  giuridiche,  della
procura attestante i poteri di rappresentanza; 
  b)  identificazione  informatica  tramite  documenti  digitali   di
identita', validi ai sensi di legge, che prevedono il  riconoscimento
a vista del richiedente all'atto dell'attivazione, fra cui la tessera
sanitaria-carta nazionale dei servizi (TS-CNS), CNS o carte  ad  essa
conformi; 
  c) identificazione informatica  tramite  altra  identita'  digitale
SPID di livello di sicurezza pari o superiore a quella oggetto  della
richiesta; 
  d) acquisizione del modulo di adesione allo SPID  sottoscritto  con
firma elettronica qualificata o con firma digitale; 
  e)  identificazione  informatica  fornita  da  sistemi  informatici
preesistenti all'introduzione dello SPID che risultino aver adottato,
a  seguito  di   apposita   istruttoria   dell'Agenzia,   regole   di
identificazione informatica caratterizzate da  livelli  di  sicurezza
uguali o superiori a quelli definiti nel presente decreto. 
  3. Con i regolamenti di cui  all'art.  4,  l'Agenzia  definisce  le
modalita' con le quali la verifica dell'identita' di cui al  comma  2
e' effettuata secondo i piu' alti livelli di  controllo  disponibili,
anche in relazione ai livelli di sicurezza di cui all'art. 6. 
  4. Nei casi di cui alle lettere b), c) ed e) del comma 2 i dati  di
adesione  vengono  forniti   direttamente,   utilizzando   i   moduli
informatici posti a disposizione in rete dal  gestore  dell'identita'
digitale. 
  5. I gestori dell'identita' digitale, al fine di poter  documentare
la corretta attribuzione della  stessa,  conservano  per  il  periodo
prescritto  dal   comma   8,   in   relazione   alle   modalita'   di
identificazione di cui al comma 2, copia per immagine  del  documento
di identita' esibito e del modulo di cui alla lettera a),  copia  del
log della transazione di cui alle lettere b), c) ed e)  o  il  modulo
firmato digitalmente di cui alla lettera d), nonche' i documenti e  i
dati utilizzati per l'associazione e la verifica degli attributi. 
  6. I gestori dell'identita'  digitale,  ricevuta  la  richiesta  di
adesione, effettuano la verifica degli attributi  identificativi  del
richiedente utilizzando prioritariamente i servizi  convenzionali  di
cui all'art. 4, comma 1, lettera c). 
  7. Nei casi in cui le informazioni necessarie per la verifica degli
attributi identificativi non  siano  accessibili  tramite  i  servizi
convenzionali di cui al comma 6, i  gestori  dell'identita'  digitale
effettuano  tali  verifiche  sulla  base   di   documenti,   dati   o
informazioni   ottenibili   da    archivi    delle    amministrazioni
certificanti, ai  sensi  dell'art.  43,  comma  2,  del  decreto  del
Presidente della Repubblica 28  dicembre  2000,  n.  445,  secondo  i
criteri e le modalita' stabilite dall'Agenzia con  i  regolamenti  di
cui all'art. 4, fatto salvo il caso di cui al comma 2, lettera e). 
  8. I gestori dell'identita' digitale conservano  la  documentazione
inerente al processo di adesione per un periodo  pari  a  venti  anni
decorrenti dalla scadenza o  dalla  revoca  dell'identita'  digitale.
Alla scadenza del predetto termine, i gestori cancellano la  suddetta
documentazione. Salvo il subentro ai sensi dell'art. 12,  il  gestore
che cessa l'attivita' prima della scadenza  del  termine  di  cui  al
presente comma trasmette la medesima documentazione all'Agenzia,  che
la conserva fino alla scadenza del suddetto periodo. 
  9. I dati personali raccolti ai sensi  del  presente  decreto  sono
trattati e conservati nel rispetto  della  normativa  in  materia  di
tutela dei dati personali di cui al  decreto  legislativo  30  giugno
2003, n. 196.