A seguito del ricorso di Assoprovider – associazione che fa capo a Confcommercio che raccoglie i piccoli Isp – il Consiglio di Stato, con la sentenza 1214/2016, ha annullato definitivamente i requisiti di capitale per le attività di identity provider SPID definiti dalla Presidenza del Consiglio dei Ministri, stabilendo una volta per tutte come l’affidabilità di un’azienda non possa essere messa in relazione al capitale sociale.
“Il Sistema Pubblico per l’Identità Digitale (SPID) – afferma Fernanda Faini, presidente Circolo Giuristi Telematici – è uno strumento teso a semplificare il rapporto dei cittadini con la pubblica amministrazione e si pone come elemento fondamentale per accedere ai servizi in modo semplice e sicuro. Dal momento che viene gestita l’identità digitale è evidente che debbano essere garantiti solidi requisiti di affidabilità e sicurezza da parte dei gestori dell’identità digitale (identity provider). Proprio su tale aspetto e, in specifico, sull’accreditamento degli identity provider, sono state sollevate forti perplessità da parte di associazioni ed esperti sul profilo relativo al capitale sociale previsto . La problematica investe l’ammontare del capitale sociale minimo (5 milioni) (come previsto dall’art. 10, comma 3, lett. a del D.P.C.M. 24 ottobre 2014), ritenuto troppo elevato, e per questo foriero di conseguenze distorsive quali in particolare l’effetto di escludere dal mercato le piccole e medie imprese del settore, limitando la concorrenza e violando i principi di parità di trattamento e non discriminazione. Alla luce di tali motivazioni, la sentenza TAR Lazio n. 9951 del 21 luglio 2015 aveva annullato il requisito dei 5 milioni di euro di capitale sociale e ora il Consiglio di Stato con sentenza n. 1214 del 24 marzo 2016 conferma la posizione, rilevando come non ci sia una connessione diretta tra la necessaria affidabilità organizzativa, tecnica e finanziaria (richiesta alla luce delle delicate funzioni espletate) e il previsto capitale sociale e, di conseguenza, reputando “illegittimo per irragionevolezza” l’impedimento all’accesso al mercato di riferimento, dovuto all’elevato importo del capitale sociale minimo richiesto, “trattandosi di scelta rivolta a privilegiare una finalità di incerta efficacia, a fronte della sicura conseguenza negativa di vedere escluse dal mercato stesso tutte le imprese del settore di piccole e medie dimensioni”. Nella sentenza del Consiglio di Stato un altro passaggio interessante è quello in cui viene ritenuta “incongrua la previsione”, in quanto contenuta in un regolamento, fonte subordinata, mentre si sottolinea come la disposizione “per essere in linea con la voluntas legis invocata, avrebbe invero richiesto, come per la firma digitale, che la sua introduzione fosse recata da un atto avente forza di legge”. Questo apre lo spazio a ritenere che per la sentenza le cose sarebbero diverse laddove fosse contenuta in fonte primaria, quale il Codice dell’amministrazione digitale, attualmente oggetto di riforma”.
La battaglia di Assoprovider
“Come rappresentante degli imprenditori – afferma Dino Bortolotto, presidente di Assoprovider – devo garantire a tutti le medesime posizioni di concorrenza e SPID andava esattamente nella direzione opposta, favorendo un troppo ristretto numero di player. Inoltre, passava il concetto (sbagliato) che condizione necessaria e sufficiente per garantire sicurezza fosse la disponibilità di capitale”.
Al di là della soddisfazione per una battaglia vinta (per la guerra è probabilmente preferibile aspettare di vedere come verrà modificata la norma), Bortolotto vuole parlare di SPID e della serie di perplessità che ha, come cittadino e come imprenditore, su questo strumento ritenuto un primo passo fondamentale per l’efficace digitalizzazione dei servizi della PA.
SPID potrà essere gratis come annunciato da Agid?
“Partendo dal presupposto che per le aziende gratis è sinonimo di perdita – continua Bortolotto – e tenendo conto del fatto che in molti hanno stimato il costo per utenza di SPID intorno ai 5-10 euro a persona, direi proprio che di gratis non può esserci nulla. Il problema principale è che per SPID il legislatore non ha previsto un modello di business e soprattutto non ha detto quale modello di business potrebbe andare bene e quale no. Il costo del servizio di autenticazione affidato a terzi si può coprire in diversi modi: facendo pagare il cittadino, facendo pagare lo Stato (con un investimento che facendo i conti velocemente si aggirerebbe intorno ai 400 milioni l’anno) oppure secondo altre modalità per le quali chi offre il servizio di autenticazione teoricamente gratis per gli utenti può “rivalersi” sul fornitore di servizi. Potrebbe quindi anche disegnarsi uno scenario tale per cui le imprese in grado di offrire servizi alla PA a prezzi accettabili saranno le stesse fornitrici di identità digitale”.
SPID è davvero necessario o se ne potrebbe fare a meno?
“Sostengo da tempo – dice Bortolotto – anche in tavoli istituzionali che non c’è bisogno di un soggetto terzo che certifichi l’identità perché basterebbe un sistema di crittografia a chiavi asimmetriche al quale associare delle credenziali di autenticazione di primo livello (Single Sign On)”. Ovvero una smart card con associato un meccanismo di autenticazione e firma digitale. Anche se questa soluzione è spesso snobbata perché considerata superata (o magari solo perché, visto che oggi molto si misura con l’iPad, a prima vista non entra nel dispositivo). “Una soluzione – continua – che, peraltro, si sposerebbe con l’emissione dell’ormai famosa carta d’identità elettronica (o volendo con la carta nazionale servizi o la tessera sanitaria)”.
Quali i rischi dello SPID per i cittadini?
“Forse sfugge – continua Bortolotto – che il soggetto terzo “autenticatore” raccoglie una serie di informazioni sull’utente che gli consentirebbero, soprattutto se il numero di clienti è molto grande (come potrebbe verificarsi se avessimo solo 3 provider SPID in Italia per esempio, ndr), di disegnare con esattezza ciò che un utente fa. Pensiamo ad un portale della PA al quale il cittadino si collega con SPID. Gli esperti che SPID lo hanno ideato diranno che questa informazione da sola non dice cosa il cittadino ha fatto dentro quel portale. Cosa tecnicamente non vera visto che se il portale è strutturato, come spesso avviene, come collezione di servizi, ogni servizio al quale il cittadino si collega richiederà un’autenticazione al soggetto gestore permettendogli, di fatto, di avere una mappa precisa delle azioni svolte”. E se questi dati venissero poi venduti a terzi? “Ho avuto modo di verificare che almeno uno dei provider – afferma Bortolotto – tra le condizioni contrattuali cita proprio la possibilità di fare uso commerciale dei dati”.
Altra criticità sollevata dal presidente di Assoprovider è poi sulla impossibilità di “trasferire” la propria identità digitale da un provider all’altro. “Oggi piuttosto che trasferire devi registrarti da un’altra parte e diventare cliente di un’altra azienda”.
Avremmo voluto riportare anche il parere di Agid, ma anche stavolta purtroppo non ci siamo riusciti.
Facebook Comments