Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La travagliata vicenda dell’identity provider

Home PA Digitale Servizi Digitali La travagliata vicenda dell’identity provider

Dal 15 settembre le aziende che rispondono ai requisiti definiti dai regolamenti tecnici potranno
fare richiesta di accreditamento, come identity provider o gestori di identità digitale, all’Agenzia per l’Italia Digitale. Entro dicembre 2015 verranno rilasciate le prime identità digitali a cittadini e imprese. Lo SPID si avvicina quindi. Nell’ambito della collaborazione con lo Studio legale Lisi, pubblichiamo un approfondimento in merito al quadro normativo relativo allo SPID.

23 Settembre 2015

A

Alessandra Cortese e Nina Preite*

Sono sempre giorni complicati quelli che caratterizzano i passaggi fondamentali per la realizzazione di un cambiamento digitale, la concretizzazione del sogno che trasformerà (lo speriamo) l’intero sistema fondato sulla carta a favore del bit. Uno dei passaggi più discussi in queste settimane è quello che riguarda lo SPID, anche in virtù del fatto che a partire dal 15 settembre le aziende possono fare richiesta per accreditarsi come identity provider, ovvero soggetti abilitati alla distribuzione e alla gestione di identità digitali.

La prima sezione del TAR Lazio, con sentenza depositata il 21 luglio 2015, ha messo già un freno al moto irrequieto che spesso caratterizza l’attività normativa italiana in tema di nuove tecnologie, annullando una parte del D.P.C.M. del 24 ottobre 2014, pubblicato in G.U. n. 285 del 9 dicembre 2014, recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese”. Nello specifico, i Giudici del TAR si sono soffermati sul requisito di cui all’art. 10, comma 3, lettera a) limitatamente al possesso di capitale sociale (non quindi anche alla forma di società di capitali come richiesto nel ricorso R.G. 2833/2015).

Infatti, il requisito dei 5 milioni di euro di capitale sociale per poter diventare identity provider previsto dal DPCM è stato annullato. Questo ha imposto all’Agenzia per l’Italia Digitale l’inserimento, nel regolamento per l’accreditamento e la vigilanza dei gestori dell’identità digitale SPID, di ulteriori requisiti in sostituzione del tetto del capitale sociale.

Ma cosa ha portato la Presidenza del Consiglio dei Ministri a inserire un tetto così alto per il capitale sociale dei gestori, nonostante i requisiti e le procedure individuate da AgID fossero già tanto stringenti?

Per rispondere a questa domanda è necessario comprendere la natura dello SPID e il suo delicato utilizzo in termini di sicurezza e trattamento di dati che l’identity provider, a prescindere dal suo capitale sociale, deve garantire.

Il sistema SPID, cioè il Sistema Pubblico per la gestione dell’Identità Digitale, è stato introdotto nell’ottica della fruibilità dei servizi erogati in rete da parte delle pubbliche amministrazioni ai sensi dell’art. 64 CAD – Codice dell’Amministrazione Digitale (D.lgs. 7 marzo 2005, n.82, come modificato dall’art. 17‐ter del decreto legge n. 69 del 2013).

Con lo SPID, in sostanza, sarà possibile per i cittadini accedere ai servizi online erogati dalle PA anche tramite smartphone e tablet, attraverso una propria e unica identità digitale costituita da tre livelli di sicurezza in base alla tipologia dei servizi ai quali si vuole accedere: con semplice ID e password stabilita dall’utente, o con l’aggiunta di una One Time Password inviata all’utente oppure, infine, con smart card.

Le caratteristiche del sistema SPID sono state definite, ai sensi del comma 2-sexies art. 64 CAD, con Decreto del Presidente del Consiglio dei ministri del 24 ottobre 2014.

In tale decreto si stabilisce che l’identità digitale possa essere garantita anche attraverso i servizi proposti da operatori privati e si gettano le basi per rendere possibile l’utilizzo di un PIN Unico nel rapporto con le PA ai fini dell’ottenimento di determinati servizi on line.

Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni. Gli attori coinvolti nel sistema SPID sono: a) i gestori dell’identità digitale; b) i gestori degli attributi qualificati; c) i fornitori di servizi; d) l’Agenzia; e) gli utenti.

Ed è proprio rispetto alla garanzia di un sistema aperto di soggetti pubblici e privati che gestiscono “l’apparato SPID” che l’art. 10 del D.P.C.M. summenzionato entra nettamente in conflitto, limitando la possibilità dei diversi gestori presenti sul mercato di presentare domanda ad AgID per accreditarsi ed erogare il servizio.

Questo strumento di valutazione ci riporta un po’ indietro nel tempo al famoso Disciplinare di gara per la concessione del Servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino (CEC-PAC) del 2009, in cui i requisiti per partecipare erano talmente stringenti da limitare fortemente la concorrenza e favorire così il raggruppamento temporaneo di imprese (nella fattispecie Telecom, Poste Italiane e Postecom).

Non diversamente rispetto a qualche anno fa, continua quindi la scia di provvedimenti volti a tutelare esclusivamente l’interesse della PA e non a curare gli interessi generali quali la salvaguardia della libera concorrenza, la parità di trattamento degli operatori economici, la non discriminazione, la trasparenza, l’esistenza di un mercato concorrenziale e competitivo degli appalti. Difatti, tra i requisiti previsti per ottenere l’accredito da parte di AgID, ai sensi dell’art. 10 D.P.C.M. 24 ottobre 2014, i gestori avrebbero dovuto avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni di euro: è notorio che a possedere tali requisiti economico-finanziari siano in Italia solo pochi operatori (Telecom, Postecom e Infocert), escludendo di fatto dalla procedura di accreditamento società quali Assoprovider e Assintel che hanno impugnato il decreto de quo.

I motivi di doglianza proposti dalle ricorrenti – e accolti dal TAR – si basano sulla discriminazione e limitazione della concorrenza, fondate non già sui soli requisiti previsti all’art. 10 punto 3 lett. a) e b) del decreto (cioè del capitale sociale minimo pari a 5 milioni di euro e dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche), ma soprattutto sulla circostanza prevista al punto 4 dell’art. 10 in cui si stabilisce che le lettere a) e b) del punto 3 non si applichino alle pubbliche amministrazioni che chiedono l’accreditamento al fine di svolgere l’attività di gestore dell’identità digitale.

Il decreto, difatti, risulta viziato da eccesso di potere, in quanto da tali due previsioni emergono palesemente profili di ingiustizia manifesta, disparità di trattamento, violazione dei principi in materia di libera concorrenza del mercato e violazione dei principi comunitari di ragionevolezza e proporzionalità. La sussistenza dei requisiti al punto 3, unitamente alla non applicabilità di questi alle PA, va a frustrare, pertanto, l’intero impianto normativo che si è realizzato intorno alla disciplina comunitaria e inoltre quei principi generali, applicabili a tutti i contratti pubblici, in ossequio ai criteri di imparzialità e correttezza amministrativa racchiusi fondamentalmente nel precetto costituzionale dell’art. 97.

Tale disparità di trattamento a favore dei soggetti pubblici si manifesta come un’ingiusta e illogica limitazione della concorrenza, comportando un’irragionevole restrizione per le piccole e medie imprese, le quali rimarrebbero escluse dal novero dei soggetti idonei a essere accreditati come gestori dell’identità digitale, nonostante questi già esercitino un’attività di identificazione nello specifico settore di operatività e, pertanto, siano a priori tenuti ad adottare strumenti tecnici sicuri e innovativi ai sensi dell’art. 6 della L. 31 luglio 2005, n. 155 (” Conversione in legge, con modificazioni, del decreto-legge 27 luglio 2005, n. 144, recante misure urgenti per il contrasto del terrorismo internazionale “), rubricato “Nuove norme sui dati del traffico telefonico e telematico”.

A sostegno di ciò, i giudici amministrativi ritengono che tale requisito risulti sproporzionato rispetto al fine che la norma intende perseguire poiché contrasta col principio comunitario che impone l’adozione di regole finalizzate a non trattare in modo diverso situazioni analoghe, a meno che non ricorrano situazioni oggettive che giustifichino siffatta diversità o vi siano principi generali potenzialmente configgenti che necessitino dell’individuazione di un principio prevalente. A tal fine bisogna tenere in debito conto il fatto che i principi comunitari hanno una particolare rilevanza, stante la sopraordinazione del diritto comunitario rispetto a quello dei singoli Stati membri.

In ultimo, nella sentenza viene messo in luce come l’applicazione di una disciplina come quella prevista dal D.P.C.M., “ provocherebbe effetti distorsivi del mercato, cagionando una rarefazione della concorrenza nel settore de quo che avvantaggerebbe direttamente i soggetti pubblici, esclusi dal rispetto del requisito in esame, e sottrarrebbe ampie e innovative aree di attività economiche all’iniziativa economica imprenditoriale privata, in contrasto con la finalità di massima apertura del mercato che costituisce essenza dell’ordinamento comunitario”.

È emblematico come, dopo la pubblicazione della Dichiarazione dei Diritti di Internet (il cui intento è quello di racchiudere i principi fondamentali e le attuali normative vigenti a favore dei cittadini e per indirizzare, altresì, il legislatore), si parli ancora di una palese violazione dei principi comunitari, recepiti attraverso le molteplici norme che caratterizzano il nostro ordinamento e conciliati con i principi di diritto interno.

Appurato il parere espresso dal Tar e avendo valutato la non necessarietà del requisito del capitale sociale, AgID ha pubblicato i Regolamenti per l’accreditamento e la vigilanza dei gestori dell’identità digitale.

Nei Regolamenti sono riportati tutti i requisiti e gli obblighi ai quali sono tenuti i gestori che presentano domanda di accreditamento e la procedura per avviare la pratica.

Come è stato superato il requisito del tetto dei 5 milioni di euro, giudicato in contrasto con i principi comunitari di tutela della concorrenza, parità di trattamento e non discriminazione?

L’allegato al Regolamento recante le modalità per l’accreditamento introduce al punto 1, lettera l) tra i documenti amministrativi da presentare la documentazione attestante la disponibilità di risorse finanziarie e/o copia della polizza assicurativa di RC professionale per l’attività di gestore di identità SPID (o certificato provvisorio impegnativo, cui dovrà seguire copia entro l’avvio dell’attività) stipulata per la copertura dei rischi dell’attività in questione e dei danni causati a terzi.

Niente più capitale sociale, quindi, basta una polizza assicurativa a garantire la copertura di eventuali danni provocati.

Dal 15 settembre, come già segnalato, sono aperte le domande per l’accreditamento ma al momento si ha notizia solo della candidatura di Infocert e Telecom come identity provider.

Chi gestirà quindi le nostre identità digitali? I colossi da 5 milioni di euro o gli assicurati per tale importo? Il problema risulta davvero il capitale sociale, la polizza assicurativa o i requisiti economici?

In realtà, la criticità a cui il gestore deve far fronte non è tanto la copertura economica quanto un sistema complesso di infrastrutture organizzative e figure professionali coinvolte nel processo con determinate competenze, possesso di certificazioni ISO/IEC 27001:2013 e UNI EN ISO 9001, redazione del piano per la sicurezza e tutta una serie di dichiarazioni da presentare ad AgID.

Rimane da chiedersi se una piccola azienda possa permettersi di rispondere a tutti questi requisiti.


* Normal 0 14 false false false IT X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:”Tabella normale”; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:””; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:”Calibri”,sans-serif; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-fareast-language:EN-US;}Digital&Law Department (www.studiolegalelisi.it)