Il CERT-SPC nell'espletamento dei compiti istituzionali attribuiti dalle regole tecniche non ha nessuna autorità nei confronti della propria Comunità di riferimento (Constituency) composta dalle Unità Locali di Sicurezza delle Pubbliche Amministrazioni connesse a SPC. Le citate Regole Tecniche hanno recepito nell'ambito del Sistema Pubblico di Connettività (SPC) il modello di funzionamento di un CERT che prevede 3 tipi di autorità: piena, condivisa o nessuna come nel caso del CERT-SPC. Tale caratteristica, da alcuni vista come un limite all'efficacia delle azioni del CERT-SPC, può essere spiegata tenendo in considerazione:

• l'art. 74 del Codice dell'Amministrazione Digitale (CAD) che garantisce piena autonomia al patrimonio informativo delle singole Amministrazioni ed in tal senso anche sulla gestione della sicurezza a questo collegava e pertanto un'azione obbligatoria da parte del CER-SPC potrebbe in alcuni casi minacciare questa autonomia;
• l'approccio "fiduciario" sul quale si fonda il Sistema Pubblico di Connettività, da un lato, e l'idea stessa del modello di riferimento del CERT, dall'altro. Infatti in un contesto così variegato di realtà la collaborazione e condivisione delle esperienze volte al miglioramento e a benefico di tutto il sistema mal si coniuga con imposizioni autoritarie.