È in vigore dal 5 giugno 2018 il Regolamento per la vigilanza e per l’esercizio del potere sanzionatorio di AGID, previsto dall’art. 32-bis del Codice dell’Amministrazione Digitale (d. lgs. 7 marzo 2005, n. 82 e successive modificazioni).
Il Regolamento disciplina le funzioni di vigilanza verso i soggetti qualificati o accreditati, iscritti negli elenchi pubblici gestiti da AGID:
- Prestatori di servizi fiduciari qualificati;
- Gestori di Posta Elettronica Certificata;
- Conservatori di documenti digitali;
- Identity Provider SPID.
Nell’esercizio di tali funzioni AGID può prevedere, per i soggetti che violano gli obblighi del Regolamento eIDAS o del Codice dell’Amministrazione Digitale, sanzioni amministrative previste dall’articolo 32-bis del CAD che, a seconda della gravità o dell’entità del danno provocato, variano da un minimo di 40.000,00 a un massimo di euro 400.000,00 euro.
Nel caso di violazioni “gravi”, AGID può anche disporre la cancellazione del fornitore del servizio dall’elenco dei soggetti qualificati e il divieto di accreditamento o qualificazione fino ad un massimo di due anni.