Bologna, 30 giugno 2026 - In relazione al recente Provvedimento del Garante per la protezione dei dati personali del 29 aprile 2026, Lepida ritiene doveroso precisare i fatti in modo oggettivo per garantire la massima trasparenza e rassicurare l'utenza: tutti i dati personali e i documenti dei cittadini sono al sicuro. LepidaID è un servizio protetto e affidabile.

I dati reali sull'attività di Lepida escludono qualunque situazione di pericolo. La sanzione deriva da una verifica sulla configurazione del sistema, che potenzialmente avrebbe consentito agli Operatori una modalità di accesso ampia ai dati. A fronte di 1,5 milioni di identità digitali rilasciate al momento dell’audit e 264.749.669 accessi eseguiti (ad oggi) dai cittadini ai servizi online, le ispezioni dell'Autorità hanno rilevato soltanto 3 anomalie isolate, risalenti ad aprile 2023 e riferite alla condotta irregolare di 3 Operatori.

Lepida è intervenuta immediatamente sospendendo tali Operatori dal servizio e adottando misure restrittive volte a rendere impossibile una reiterazione dell’accaduto. Riguardo agli accessi non allineati alle procedure, si sottolinea inoltre che non si è trattato di azioni dannose e che non si è registrato alcun tipo di impatto o danno per gli utenti interessati. Per azzerare il rischio di consultazioni ingiustificate o errori umani, il sistema è stato tempestivamente, già ad aprile 2023, rinforzato con le seguenti misure tecniche-organizzative:

• Introduzione dello Spidcode: l'Operatore non può accedere alla posizione di un utente di propria iniziativa. L'accesso è tecnicamente possibile solo se il cittadino fornisce all'Operatore lo Spidcode, il codice identificativo di cui soltanto l’utente ha conoscenza, al momento dell'assistenza. In assenza di questo codice, il sistema impedisce tassativamente agli Operatori la visibilità dei dati.
• Controlli automatici d'identità: sono state integrate verifiche immediate con le banche dati nazionali SCIPAFI (sistema antifurto d'identità) e ANPR (Anagrafe Nazionale) per accertare l'autenticità dei documenti in tempo reale.
• Formazione obbligatoria e ripresa formativa: è stata completata una campagna di formazione obbligatoria per tutti i 7.000 operatori attivi sul territorio.

Lo stesso Garante per la Protezione dei dati personali nell’ambito dell’ispezione ha preso atto della fattiva e massima collaborazione di Lepida, della mancanza di precedenti violazioni pertinenti e del definitivo superamento di ogni criticità, confermando che non vi è alcuna necessità di adottare ulteriori misure correttive o prescrittive. La protezione dell’identità digitale inizia dal primo controllo dei documenti. Gli Operatori di Lepida applicano una procedura a tolleranza zero: se una richiesta di attivazione dello SPID non rispetta al 100% i requisiti di legge, viene immediatamente respinta.

Questa severità nei controlli, a volte percepita dagli stessi utenti come un'eccessiva rigidità, è in realtà la prima e più importante barriera di sicurezza. Serve a impedire che un malintenzionato possa attivare un'identità digitale a nome di un altro cittadino.

La sicurezza dei dati dei cittadini era e rimane la priorità assoluta di Lepida. I continui investimenti in tecnologia e il monitoraggio costante sullo stato del servizio garantiscono che LepidaID continui a essere uno strumento sicuro, protetto e pienamente affidabile per tutta la comunità.