6 Luglio 2026 - Sicurezza dati

SPID, maxi-falla in Lepida: documenti di 1,5 milioni di cittadini a portata di clic. Multa del Garante

Il Garante per la protezione dei dati personali ha inflitto una sanzione di 100mila euro a Lepida, tra i principali gestori dell’identità digitale SPID, per un controllo degli accessi rimasto sostanzialmente indiscriminato: oltre 7mila operatori potevano consultare e scaricare documenti d’identità senza una reale necessità operativa

Un nuovo provvedimento del Garante per la protezione dei dati personali riaccende i riflettori sulla sicurezza dell’identità digitale. L’Autorità ha sanzionato Lepida S.c.p.a., la società in-house della Regione Emilia-Romagna che gestisce anche servizi di identity provider per SPID, per una serie di violazioni del GDPR relative al sistema di accreditamento degli operatori abilitati all’identificazione dei cittadini.

Secondo la ricostruzione dell’Autorità, oltre 7.000 operatori degli sportelli di identificazione potevano consultare e scaricare, senza reali limitazioni, dati personali e copie di documenti d’identità riferiti a oltre 1,5 milioni di cittadini, in gran parte residenti in Emilia-Romagna. L’accesso risultava configurato in modo sostanzialmente indiscriminato, anche in assenza di una necessità operativa concreta legata alla singola pratica.

Le verifiche del Garante hanno fatto emergere consultazioni non riconducibili ad alcuna attività di identificazione o assistenza, effettuate — si legge nel provvedimento — anche per “mera curiosità”, oltre a download di documenti estranei alle esigenze di servizio. Per l’Autorità si tratta di violazioni dei principi cardine del regolamento europeo: privacy by design e by default, minimizzazione dei dati, limitazione della conservazione e sicurezza del trattamento.

La sanzione, pari a 100mila euro, è stata determinata tenendo conto di alcuni fattori attenuanti: la piena collaborazione di Lepida durante l’istruttoria, l’adozione immediata di misure correttive, l’assenza di precedenti violazioni e il ruolo della società nella promozione della cultura della protezione dei dati sul territorio.

Il caso arriva a pochi giorni dalla presentazione, il 2 luglio, della Relazione annuale del Garante alla Camera dei Deputati, che ha certificato per il 2025 un aumento del 10% dei data breach notificati — 2.415 in totale — e oltre 37 milioni di euro di sanzioni comminate nel corso dell’anno.

Cosa insegna il caso Lepida

Per gli studi legali il provvedimento non è una notizia di colore: SPID è ormai la chiave con cui avvocati e cittadini entrano ogni giorno nel cassetto fiscale, nell’INAD, nel processo telematico e in tutti i servizi della PA digitale. Dietro quella chiave ci sono un documento d’identità, un codice fiscale, un volto: se chi li custodisce non limita rigorosamente chi può vederli, quando e perché, la vulnerabilità si trasferisce a cascata su ogni titolare dell’identità.

Il caso indica con precisione dove si gioca la partita: profilazione degli operatori per ruolo, accessi consentiti solo in presenza di una pratica concreta, tracciamento dei log e verifiche periodiche sugli accessi anomali, cancellazione dei documenti quando la finalità è esaurita. Sono esattamente i presidi che il GDPR riassume nei principi di privacy by design, minimizzazione e limitazione della conservazione — e che distinguono un identity provider affidabile da uno esposto.

Per il professionista, due mosse pratiche: scegliere il proprio gestore SPID anche in base alla serietà delle sue misure di sicurezza, non solo alla comodità di attivazione; e attivare le notifiche di accesso e autenticazione, per accorgersi subito di utilizzi anomali della propria identità. Perché l’identità digitale vale quanto la cura di chi la gestisce: è lì, prima che nelle sanzioni, che si misura la differenza.


LEGGI ANCHE

Mediterraneo digitale, l’UE accelera: al via il primo programma strategico per Nord Africa e Medio Oriente

Dalla cybersicurezza alle competenze digitali, passando per l’armonizzazione normativa: prende forma il primo tassello del Patto per il Mediterraneo, con un piano cofinanziato da Berlino…

[EVENTO ONLINE 14 aprile] Il diritto di famiglia al tempo del Coronavirus

Segnaliamo l’evento online “Il diritto di famiglia al tempo del Coronavirus” in programma martedì 14 aprile 2020, ore 16:00, organizzato dalla rivista AVVOCATI in collaborazione…

comunicato stampa ocf

Comunicato Stampa dell’Organismo Congressuale Forense (OCF)

Riportiamo il Comunicato Stampa dell’OCF sulla protesta dei Fori in corso in larga parte del Paese sul blocco dell’attività dei Giudici di Pace. GIUSTIZIA, TEDESCHI…

TORNA ALLE NOTIZIE

Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Acn
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Apple
vmvare
Linux
veeam
0
    Prodotti nel carrello
    Il tuo carrello è vuoto