Un nuovo provvedimento del Garante per la protezione dei dati personali riaccende i riflettori sulla sicurezza dell’identità digitale. L’Autorità ha sanzionato Lepida S.c.p.a., la società in-house della Regione Emilia-Romagna che gestisce anche servizi di identity provider per SPID, per una serie di violazioni del GDPR relative al sistema di accreditamento degli operatori abilitati all’identificazione dei cittadini.
Secondo la ricostruzione dell’Autorità, oltre 7.000 operatori degli sportelli di identificazione potevano consultare e scaricare, senza reali limitazioni, dati personali e copie di documenti d’identità riferiti a oltre 1,5 milioni di cittadini, in gran parte residenti in Emilia-Romagna. L’accesso risultava configurato in modo sostanzialmente indiscriminato, anche in assenza di una necessità operativa concreta legata alla singola pratica.
Le verifiche del Garante hanno fatto emergere consultazioni non riconducibili ad alcuna attività di identificazione o assistenza, effettuate — si legge nel provvedimento — anche per “mera curiosità”, oltre a download di documenti estranei alle esigenze di servizio. Per l’Autorità si tratta di violazioni dei principi cardine del regolamento europeo: privacy by design e by default, minimizzazione dei dati, limitazione della conservazione e sicurezza del trattamento.
La sanzione, pari a 100mila euro, è stata determinata tenendo conto di alcuni fattori attenuanti: la piena collaborazione di Lepida durante l’istruttoria, l’adozione immediata di misure correttive, l’assenza di precedenti violazioni e il ruolo della società nella promozione della cultura della protezione dei dati sul territorio.
Il caso arriva a pochi giorni dalla presentazione, il 2 luglio, della Relazione annuale del Garante alla Camera dei Deputati, che ha certificato per il 2025 un aumento del 10% dei data breach notificati — 2.415 in totale — e oltre 37 milioni di euro di sanzioni comminate nel corso dell’anno.
Cosa insegna il caso Lepida
Per gli studi legali il provvedimento non è una notizia di colore: SPID è ormai la chiave con cui avvocati e cittadini entrano ogni giorno nel cassetto fiscale, nell’INAD, nel processo telematico e in tutti i servizi della PA digitale. Dietro quella chiave ci sono un documento d’identità, un codice fiscale, un volto: se chi li custodisce non limita rigorosamente chi può vederli, quando e perché, la vulnerabilità si trasferisce a cascata su ogni titolare dell’identità.
Il caso indica con precisione dove si gioca la partita: profilazione degli operatori per ruolo, accessi consentiti solo in presenza di una pratica concreta, tracciamento dei log e verifiche periodiche sugli accessi anomali, cancellazione dei documenti quando la finalità è esaurita. Sono esattamente i presidi che il GDPR riassume nei principi di privacy by design, minimizzazione e limitazione della conservazione — e che distinguono un identity provider affidabile da uno esposto.
Per il professionista, due mosse pratiche: scegliere il proprio gestore SPID anche in base alla serietà delle sue misure di sicurezza, non solo alla comodità di attivazione; e attivare le notifiche di accesso e autenticazione, per accorgersi subito di utilizzi anomali della propria identità. Perché l’identità digitale vale quanto la cura di chi la gestisce: è lì, prima che nelle sanzioni, che si misura la differenza.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
La Commissione europea ha analizzato i progressi compiuti dall'UE nei quattro settori prioritari per la trasformazione digitale dell'UE entro il 2030, evidenziando i risultati conseguiti e le…
Digitalizzazione e diritto societario: in vigore le nuove norme UE
Più trasparenza e meno burocrazia per le imprese grazie alla Direttiva 2025/25
La Corte costituzionale conferma la legittimità dell'attuale riparto di competenze tra giudice dell'esecuzione e magistrato di sorveglianza. Anche per chi sta scontando una pena sostitutiva…

