Identità digitale: pugno duro del Consiglio di Stato sui requisiti per l’accreditamento dei gestori
L’art. 10, comma 3, lett. a), del d.P.C.M. 24.10.2014, ha definito le caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID) e stabilito tempi e modalità di adozione del sistema SPID da parte di Pubbliche amministrazioni ed imprese.
Alcuni enti hanno contestato la norma regolamentare nella parte in cui prevede, tra i requisiti per l’accreditamento dei gestori dell’identità digitale, del possesso, da parte della società di capitali, da costituire obbligatoriamente, di un capitale sociale di 5 milioni di euro. La contesa è finita davanti al TAR Lazio che, con sentenza n. 9951 del 21.7.2015, ha accolto il ricorso.
Secondo i giudici laziali la previsione normativa citata non è basata su alcuna percepibile caratteristica tecnica e/o organizzativa del servizio né ricavabile da alcuna fonte normativa di grado superiore. Si tratta, in definitiva, di un requisito che si rivela sproporzionato rispetto al fine voluto dalla norma e che, oltretutto, introduce un ingiustificato sbarramento per l’accesso al mercato di riferimento.
La Presidenza del Consiglio dei ministri ha proposto appello sostenendo che l’elevato capitale sociale minimo di 5 milioni di euro della società di capitali, alla cui costituzione debbono procedere i gestori dell’identità digitale nel sistema SPID, sarebbe indispensabile per dimostrare la loro affidabilità organizzativa, tecnica e finanziaria, e ciò solo perché l’attività di cui trattasi richiede un rilevante apporto di elevata tecnologia, la cui validità non può ritenersi direttamente proporzionale al capitale sociale versato.
Il Consiglio di Stato, sez. IV, con sentenza n. 1214 del 24.3.2016, ha respinto l’appello.
Il primo giudice aveva evidenziato che nessuna fonte normativa di grado superiore prevedeva il possesso del capitale di 5 milioni di euro per l’accreditamento dei gestori dell’identità digitale.
In realtà, i giudici di Palazzo Spada hanno preliminarmente osservato che il regolamento impugnato discende invece dall’art. 17-ter del d.l. 21.6.2013, n. 69, che ha inserito nel comma 2 dell’art. 64 del codice dell’amministrazione digitale (d.lgs. 7.3.2005, n. 82) la definizione, in base ad un successivo regolamento, delle caratteristiche del sistema SPID, prevedendo che queste vengano stabilite “anche con riferimento:… b) alle modalità e ai requisiti per l’accreditamento dei gestori dell’identità digitale” (lett. b) del comma 2-sexies dell’art. 17-ter cit.).
La Presidenza appellante ha poi fatto riferimento, a proposito dell’entità del capitale sociale, alla disciplina legale dei gestori di firma digitale (art. 29 del codice dell’amministrazione digitale cit.), che viene a sua volta rapportato “a quello necessario ai fini dell’autorizzazione all’attività bancaria”.
Tuttavia, a detta del Supremo Consesso, si tratta in quest’ultimo caso di “identità digitali forti” , che in quanto tali sono state direttamente disciplinate dalla legge allo scopo di rafforzare la garanzia dell’“uso pubblico” della firma digitale, quali la carta d’identità elettronica e la carta nazionale dei servizi, che consentono l’accesso in rete ai servizi erogati dalle Pubbliche amministrazioni.
Contrapposte ad esse sono le “identità deboli”, com’è quella collegata al sistema SPID, che vengono utilizzate dagli operatori on line per l’accesso a servizi digitali non pubblici (e-mail, social network, e–commerce), utilizzando sostanzialmente una password eventualmente insieme ad altre credenziali d’accesso.
L’appartenenza alle dette “identità deboli” delle modalità d’accesso al sistema SPID, sottolineata dalle associazioni ricorrenti in primo grado, viene confermata, ad avviso del Consiglio di Stato, proprio dall’utilizzazione della fonte regolamentare in luogo della “fonte normativa di grado superiore”, la cui assenza è stata sottolineata dal primo giudice.
È, invero, proprio il diverso grado che quella norma riveste nella gerarchia delle fonti, a rendere di per sé incongrua la previsione, attraverso un regolamento, del possesso del capitale di 5 milioni di euro per l’accreditamento dei gestori dell’identità digitale.
Quest’ultima condizione, seguendo la logica della Presidenza appellante, per essere in linea con la voluntas legis invocata, avrebbe invero richiesto, come per la firma digitale, che la sua introduzione fosse recata da un atto avente forza di legge, piuttosto che da una fonte subordinata quale il regolamento, mentre così non è stato.
A tale proposito, la Sezione ha anche ricordato che nel sistema SPID un ruolo di rilievo preminente è riconosciuto all’AGID, per i poteri di vigilanza che ad essa spettano proprio con riferimento agli aspetti dell’affidabilità del sistema dell’identità digitale rilasciata dai gestori che essa stessa ha il compito di accreditare.
All’AGID, infatti, spetta la verifica puntuale e continua dell’affidabilità organizzativa, tecnica e finanziaria delle società accreditate, attività che non esclude certamente, ricorrendone le condizioni, la facoltà di sospendere o revocare l’accreditamento, anche in via preventiva. La previsione di questi penetranti poteri pubblici di vigilanza fanno sì che la richiesta di una misura tanto elevata del capitale sociale per l’esercizio dell’attività di identificazione, appaia senz’altro sproporzionata.
© RIPRODUZIONE RISERVATA
