10 minuti

Sistema pubblico per la gestione dell’identità digitale dei cittadini e imprese (SPID)

Il Consiglio di Stato conferma la decisione di primo grado, che ha annullato il comma 3, lettera a) dell’articolo 10 del Decreto del Presidente del Consiglio dei Ministri del 24/10/2014 sulla gestione dell’identità digitale (SPID).
Decisione: Sentenza n. 1214/2016 Consiglio di Stato – Sezione IV
Il caso.

Il Tribunale Amministrativo Regionale del Lazio- Roma annullava l’art. 10, comma 3, lettera a) del Decreto del Presidente del Consiglio dei Ministri del 24/10/2014, impugnato in primo grado da alcune associazioni rappresentative delle imprese nei settori tecnologici.

Il regolamento impugnato definiva le caratteristiche del sistema pubblico per la gestione dell’identità digitale dei cittadini e imprese (SPID).

In particolare, veniva contestato il requisito di un capitale sociale minimo di 5 milioni di euro per l’accreditamento dei gestori dell’identità digitale, con la conseguenza di introdurre un ingiustificato sbarramento per l’accesso al mercato di riferimento.

La Presidenza del Consiglio dei Ministri impugna la decisione di primo grado, ma il Consiglio di Stato rigetta l’appello.
La decisione.

Per il Tribunale Amministrativo Regionale il requisito di un capitale minimo fissato con regolamento non è giustificato: «la previsione, tra i requisiti per l’accreditamento dei gestori dell’identità digitale, del possesso, da parte della società di capitali, da costituire obbligatoriamente, di un capitale sociale di 5 milioni di euro non è basata su alcuna percepibile caratteristica tecnica e/o organizzativa del servizio né ricavabile da alcuna fonte normativa di grado superiore».

Per il giudice di primo grado, il requisito è sproporzionato rispetto al fine voluto dalla legge e introduce un limite privo di ragionevolezza, anche in virtù del fatto che lo stesso decreto impugnato prevede (ai commi 2, 3 e 4) l’adozione di regolamenti per definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, nonché le modalità di accreditamento dei soggetti e le procedure necessarie.

Questo importa la conseguenza che «dal sistema SPID, a seguito dell’introduzione di requisito di capitale sociale di quel genere, restano escluse tutte quelle imprese che già esercitano un’attività di identificazione nello specifico settore di operatività, generando nel contempo una perdita per pubblica amministrazione che, invece, potrebbe contare ab initio, in questo settore, sulla presenza di medie imprese sul territorio».

In sede di appello, la Presidenza del Consiglio dei Ministri argomenta, tra l’altro, che «La previsione di un capitale sociale minimo rientrerebbe nella definizione – ragionevole e proporzionata all’importanza del progetto – dei requisiti necessari per l’accreditamento, ed è volta alla salvaguardia di un interesse generale.

Il capitale minimo fissato, secondo la difesa erariale, non sarebbe affatto sproporzionato ove si consideri che l’identità digitale delle persone e delle imprese è un tema di fondamentale importanza per lo sviluppo economico, civile e sociale del Paese che accompagna il processo di digitalizzazione della pubblica amministrazione».

E nelle argomentazioni spese in primo grado dal Tribunale Amministrativo Regionale, condivise e fatte proprie dal Consiglio di Stato, viene ricordato «il richiamo che la Presidenza appellante effettua, a proposito dell’entità del capitale sociale, alla disciplina legale dei gestori di firma digitale (art. 29 del codice dell’amministrazione digitale cit.), che viene a sua volta rapportato “a quello necessario ai fini dell’autorizzazione all’attività bancaria”».

Ma il Collegio Supremo precisa che «com’è evidente, si tratta in quest’ultimo caso di “ identità digitali forti”, che in quanto tali sono state direttamente disciplinate dalla legge allo scopo di rafforzare la garanzia dell’ “uso pubblico” della firma digitale, quali la carta d’identità elettronica e la carta nazionale dei servizi, che consentono l’accesso in rete ai servizi erogati dalle pubbliche amministrazioni (cfr. l’art. 10, 3° comma, del D.L. 13 maggio 2011 n. 70, come sostituito dall’art. 1 del D.L. 18 ottobre 2012 n. 179 conv. con L. 17 dicembre 2012 n. 221). Contrapposte ad esse sono le “identità deboli”, com’è quella collegata al sistema SPID , che vengono utilizzate dagli operatori on line per l’accesso a servizi digitali non pubblici (e-mail, social network, e–commerce), utilizzando una sostanzialmente una password eventualmente insieme ad altre credenziali d’accesso. L’appartenenza alle dette “identità deboli” delle modalità d’accesso al sistema SPID, sottolineata dalle associazione appellanti, viene confermata, ad avviso della Sezione, proprio dall’utilizzazione della fonte regolamentare in luogo della “fonte normativa di grado superiore”, la cui assenza è stata sottolineata dal primo giudice.

E’, invero, proprio il diverso grado che quella norma riveste nella gerarchia delle fonti, a rendere di per sé incongrua la previsione, attraverso un regolamento, del possesso del capitale di 5 milioni di euro per l’accreditamento dei gestori dell’identità digitale. Quest’ultima condizione, seguendo la logica della Presidenza appellante, per essere in linea con la voluntas legis invocata, avrebbe invero richiesto, come per la firma digitale, che la sua introduzione fosse recata da un atto avente forza di legge, piuttosto che da una fonte subordinata quale il regolamento, mentre così non è stato».

Il Consiglio di Stato, prima di respingere l’appello, ricorda poi che «nel sistema SPID un ruolo di rilievo preminente è riconosciuto all’AGID, per i poteri di vigilanza che ad essa spettano proprio con riferimento agli aspetti dell’affidabilità del sistema dell’identità digitale rilasciata dai gestori che essa stessa ha il compito di accreditare. All’AGID, infatti, spetta la verifica puntuale e continua dell’affidabilità organizzativa, tecnica e finanziaria delle società accreditate, attività che non esclude certamente, ricorrendone le condizioni, la facoltà di sospendere o revocare l’accreditamento, anche in via preventiva. La previsione di questi penetranti poteri pubblici di vigilanza fanno sì che la richiesta di una misura tanto elevata del capitale sociale per l’esercizio dell’attività di identificazione, appaia senz’altro sproporzionata».
Osservazioni.

Con la sentenza richiamata, la Sezione IV del Collegio ha condiviso e fatto propri gli argomenti del giudice amministrativo di primo grado, che ha ritenuto il requisito fissato con una disposizione di rango regolamentare sproporzionato rispetto al fine voluto dalla legge, con l’effetto di introdurre un limite privo di ragionevolezza.

Anche in virtù del fatto che, a differenza delle “identità digitali forti” che sono state disciplinate direttamente dalla legge, si contrappongono le “identità digitali deboli” come quelle collegate al sistema SPID, «che vengono utilizzate dagli operatori on line per l’accesso a servizi digitali non pubblici (e-mail, social network, e–commerce), utilizzando una sostanzialmente una password eventualmente insieme ad altre credenziali d’accesso».

Lo stesso decreto impugnato prevede l’adozione di regolamenti per definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, nonché le modalità di accreditamento dei soggetti e le procedure necessarie.
Disposizioni rilevanti.

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 ottobre 2014

Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese.

Art. 10 – Accreditamento dei gestori dell’identità digitale

1. Le modalità di richiesta di accreditamento sono definite nei regolamenti attuativi adottati dall’Agenzia ai sensi dell’art. 4, che possono contenere ulteriori criteri per l’accreditamento delle pubbliche amministrazioni. 2. A seguito dell’accoglimento della richiesta, l’Agenzia stipula apposita convenzione secondo lo schema definito nell’ambito dei regolamenti di cui all’art. 4 e dispone l’iscrizione del richiedente nel registro SPID, consultabile in via telematica. 3. Al fine di ottenere l’accreditamento gli interessati devono: a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni di euro;

b) garantire il possesso, da parte dei rappresentanti legali, dei soggetti preposti all’amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell’art. 26 del decreto legislativo 1° settembre 1993, n. 385;

c) dimostrare la capacità organizzativa e tecnica necessaria per svolgere l’attività di gestione dell’identità digitale; d) utilizzare personale dotato delle conoscenze specifiche, dell’esperienza e delle competenze necessarie per i servizi da fornire. In particolare, il personale addetto alla realizzazione e gestione del sistema informatico deve possedere, in relazione alle attività da svolgere, la competenza gestionale, l’appropriata conoscenza e padronanza delle procedure operative e di sicurezza, nonché delle regole tecniche da applicare. Il gestore provvede al periodico aggiornamento professionale del personale;

e) comunicare all’Agenzia i nominativi e il profilo professionale dei soggetti responsabili delle specifiche funzioni individuate nei regolamenti attuativi adottati dall’Agenzia ai sensi dell’art. 4; f) essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia;

g) trattare i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196;

h) essere in possesso della certificazione di qualità ISO 9001,

successive modifiche o norme equivalenti. 4. Le lettere a) e b) del comma 3 non si applicano alle pubbliche amministrazioni che chiedono l’accreditamento al fine di svolgere l’attività di gestore dell’identità digitale. 5. L’Agenzia procede, d’ufficio o su segnalazione motivata di soggetti pubblici o privati, a controlli volti ad accertare la permanenza della sussistenza dei requisiti previsti dal presente decreto. Se, all’esito dei controlli, accerta la mancanza dei requisiti richiesti per l’iscrizione nel registro SPID, decorso il termine fissato per consentire il ripristino degli stessi, l’Agenzia, con provvedimento motivato notificato all’interessato, può adottare le azioni previste dall’art. 12.

Lascia un commento