Il Governo inciampa su password e login, perchè ricchezza non fa rima con competenza tecnica

La ricchezza imprenditoriale italiana è fatta di piccole e medie imprese e, di conseguenza, sarebbe errato oltre che ingiustificato imporre il capitale sociale minimo di 5 mln di euro per le società di capitali, alla cui costituzione debbono procedere i gestori dell’identità digitale nel sistema SPID. Ciò in quanto tale limite non è certamente indispensabile per dimostrare affidabilità organizzativa, tecnica e finanziaria. Argomento in discussione l'accreditamento da parte dell'Agenzia per l'Italia Digitale al sistema SPID, ovvero l'insieme aperto di soggetti pubblici e privati che gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni.

Il Consiglio di Stato, Sezione IV, ha confermato la sentenza del giudice di primo grado il quale aveva accolto il ricorso di alcune associazioni di imprese, per l'annullamento dell’art. 10, comma 3, lett. a del d.P.C.M. 24 ottobre 2014, con il quale sono state definite le caratteristiche e stabiliti tempi e modalità di adozione del sistema SPID da parte di pubbliche amministrazioni ed imprese. Il fatto. La decisione partiva dal fatto che la previsione, tra i requisiti per l’accreditamento dei gestori dell’identità digitale, del possesso, da parte della società di capitali, da costituire obbligatoriamente, di un capitale sociale di 5 milioni di euro non è basata su alcuna percepibile caratteristica tecnica e/o organizzativa del servizio né ricavabile da alcuna fonte normativa di grado superiore. In sostanza, aveva ritenuto il TAR, si trattava di un requisito sproporzionato rispetto al fine voluto dalla norma e che, oltretutto, introduce un ingiustificato sbarramento per l’accesso al mercato di riferimento. Identità digitale. La Sezione, peraltro, con riferimento al richiamo che la Presidenza appellante ha effettuato, a proposito dell’entità del capitale sociale, alla disciplina legale dei gestori di firma digitale art. 29 del codice dell’amministrazione digitale cit. , che viene a sua volta rapportato a quello necessario ai fini dell’autorizzazione all’attività bancaria ha constatato che non si può far di tutta l'erba un fascio tra le identità digitali forti , che in quanto tali sono state direttamente disciplinate dalla legge allo scopo di rafforzare la garanzia dell’ uso pubblico della firma digitale, quali la carta d’identità elettronica e la carta nazionale dei servizi, che consentono l’accesso in rete ai servizi erogati dalle pubbliche amministrazioni cfr. l’art. 10, comma 3, del d.l. 13 maggio 2011 n. 70, come sostituito dall’art. 1 del d.l. 18 ottobre 2012 n. 179 conv. con l. 17 dicembre 2012 n. 221 e le contrapposte identità deboli , com’è quella collegata al sistema SPID, che vengono utilizzate dagli operatori online per l’accesso a servizi digitali non pubblici email, social network, e–commerce , utilizzando una sola password eventualmente insieme ad altre credenziali d’accesso. Il ruolo dell’AGID. Peraltro, ha ricordato anche il Collegio, nel sistema SPID un ruolo di rilievo preminente è riconosciuto all’AGID, per i poteri di vigilanza che ad essa spettano proprio con riferimento agli aspetti dell’affidabilità del sistema dell’identità digitale rilasciata dai gestori che essa stessa ha il compito di accreditare. All’AGID, infatti, spetta la verifica puntuale e continua dell’affidabilità organizzativa, tecnica e finanziaria delle società accreditate, attività che non esclude certamente, ricorrendone le condizioni, la facoltà di sospendere o revocare l’accreditamento, anche in via preventiva. La previsione di questi penetranti poteri pubblici di vigilanza fanno sì che la richiesta di una misura tanto elevata del capitale sociale per l’esercizio dell’attività di identificazione, appaia senz’altro sproporzionata.

Consiglio di Stato, sez. IV, sentenza 21 gennaio – 24 marzo 2016, numero 1214 Presidente Santoro – Estensore Aureli Fatto e diritto La sentenza appellata ha annullato l’articolo 10, comma 3, lett. a del D.P.C.M. 24 ottobre 2014, impugnato in primo grado dalle associazioni appellate, con il quale erano state definite le caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese SPID e stabiliti tempi e modalità di adozione del sistema SPID da parte di pubbliche amministrazioni ed imprese. In tal senso ha concluso il primo giudice, avvalendosi dei seguenti argomenti la previsione, tra i requisiti per l’accreditamento dei gestori dell’identità digitale, del possesso, da parte della società di capitali, da costituire obbligatoriamente, di un capitale sociale di 5 milioni di euro non è basata su alcuna percepibile caratteristica tecnica e/o organizzativa del servizio né ricavabile da alcuna fonte normativa di grado superiore. E ciò con la conseguenza che dal sistema SPID, a seguito dell’introduzione di requisito di capitale sociale di quel genere, restano escluse tutte quelle imprese che già esercitano un’attività di identificazione nello specifico settore di operatività, generando nel contempo una perdita per pubblica amministrazione che, invece, potrebbe contare ab initio, in questo settore, sulla presenza di medie imprese sul territorio. Si tratta in via definitiva di un requisito che si rivela sproporzionato rispetto al fine voluto dalla norma e che, oltretutto, introduce un ingiustificato sbarramento per l’accesso al mercato di riferimento. D’altra parte, il prescritto requisito di capitale sociale minimo introduce un limite privo di alcuna ragionevolezza, considerato che l'articolo 4 del decreto impugnato, ai commi 2, 3 e 4, prevede che l'Agenzia adotti regolamenti per definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, le modalità di accreditamento dei soggetti SPID, nonché le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale norme integrative che già prevedono dei requisiti molto rigorosi e selettivi per l'esercizio dell'attività di identificatore, non essendo quindi necessario subordinare lo svolgimento di tale attività al raggiungimento di una soglia così elevata di capitale sociale. La Presidenza del Consiglio dei Ministri chiede la riforma della sentenza di primo grado sostenendo che, diversamente da quanto argomentato dal primo giudice e dalle associazioni appellate, l’elevato capitale sociale richiesto sarebbe collegato all’affidabilità del sistema dell’identità digitale che è, a sua volta, elemento fondamentale per il sistema Paese. Ciò in quanto l'eventuale assenza di affidabilità di uno dei gestori dell'identità del sistema SPID avrebbe ripercussioni che andrebbero ben oltre i problemi derivanti dall'uso diretto delle identità. Infatti l'affidabilità dei gestori dell'identità digitale gestori di servizio pubblico ai sensi dell'articolo 1, comma 1, lettera I del DPCM 24 ottobre 2014 è un elemento critico per il Paese e, in tale ottica, il DPCM ha ritenuto di individuare nel capitale sociale necessario all'accreditamento dei gestori di identità un elemento sostanziale a garanzia dell'affidabilità dei gestori medesimi. In tale ambito parte appellante aggiunge che un'adeguata polizza assicurativa può assicurare tale requisito, anche se al fine del DPCM non è quello di garantire che il gestore sia in grado di risarcire eventuali danni provocati - sebbene tale capacità debba comunque essere salvaguardata - ma piuttosto che tale eventualità non si verifichi. Qualora questo accadesse, l'intero sistema cadrebbe, provocando un arretramento tecnologico del Paese, che si verificherebbe non solo nell'ambito dell'accesso ai servizi in rete per mezzo delle identità SPID, ma anche negli ambiti precedentemente elencati e nei loro contesti di applicabilità. L'alta affidabilità del sistema SPID è, inoltre, indispensabile in quanto le pubbliche amministrazioni non potranno discriminare l'accesso ai propri servizi, avendo l’obbligo di adottare il sistema SPID articolo 64, comma 2-quater d.lgs. 7 marzo 2005 numero 82 e di consentire l'accesso ai propri servizi in rete comma 2, medesimo articolo . I soggetti che hanno le conoscenze tecnologiche previste per la realizzazione dei servizi in capo ai gestori di identità SPID, del resto, non sarebbero esclusi dal mercato, ma potrebbero sempre offrire i propri servizi per la realizzazione di quanto necessario anche alle pubbliche amministrazioni. Va inoltre ricordato, sottolinea la difesa erariale, che il DPCM 24 ottobre 2014 è stato emanato ai sensi dell'articolo 64, comma 2-sexies, lett. b , del D.Lgs. 7 marzo 2005 numero 82, dove si prevede che con il decreto siano definite le caratteristiche del sistema SPID, anche con riferimento alle modalità e ai requisiti necessari per l'accreditamento dei gestori dell'identità digitale . La previsione di un capitale sociale minimo rientrerebbe nella definizione - ragionevole e proporzionata all'importanza del progetto - dei requisiti necessari per l'accreditamento, ed è volta alla salvaguardia di un interesse generale. Il capitale minimo fissato, secondo la difesa erariale, non sarebbe affatto sproporzionato ove si consideri che l'identità digitale delle persone e delle imprese è un tema di fondamentale importanza per lo sviluppo economico, civile e sociale del Paese che accompagna il processo di digitalizzazione della pubblica amministrazione. Poiché, inoltre, tra gli obiettivi del sistema SPID vi è la possibilità di utilizzare le identità digitali SPID per richiedere ed ottenere tramite rete il rilascio della firma digitale, la necessaria affidabilità dei gestori SPID è stata ritenuta non inferiore a quella dei certificatori di firma digitale, che richiede la forma giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione alla attività bancaria. Non poteva quindi essere ignorato che, attraverso l'identità SPID, possono compiersi operazioni che richiedono il possesso di una firma digitale e un elevatissimo grado di affidabilità. Le associazioni appellate, collocandosi sulla linea tracciata dalla motivazione della sentenza impugnata, ne hanno chiesto la conferma con argomenti che evidenziano l’irrilevanza dei motivi dell’appello del quale chiedono il rigetto. Le parti hanno depositato memorie, replicando in vista dell’udienza di discussione alle deduzioni avversarie. Quindi la causa è stata trattenuta in decisione. La Sezione, nel condividere gli argomenti della sentenza impugnata, ritiene che l’appello debba essere rigettato. Non può condividersi infatti l’argomento invocato dall’appellante Presidenza del Consiglio dei Ministri, secondo cui l’elevato capitale sociale minimo di 5 mln di euro della società di capitali, alla cui costituzione debbono procedere i gestori dell’identità digitale nel sistema SPID, sarebbe indispensabile per dimostrare la loro affidabilità organizzativa, tecnica e finanziaria, e ciò solo perché l’attività di cui trattasi richiede un rilevante apporto di elevata tecnologia, la cui validità non può ritenersi direttamente proporzionale al capitale sociale versato. In questi termini, si evidenzia altresì l’illegittimità per irragionevolezza dell’impedimento all’accesso al mercato di riferimento, dovuto all’elevato importo del capitale sociale minimo richiesto con l’atto impugnato, trattandosi di scelta rivolta a privilegiare una finalità di incerta efficacia, a fronte della sicura conseguenza negativa di vedere escluse dal mercato stesso tutte le imprese del settore di piccole e medie dimensioni, quali appunto quelle rappresentate dalle associazioni ricorrenti. Il primo giudice ha evidenziato che nessuna fonte normativa di grado superiore prevede il possesso del capitale di 5 milioni di euro per l’accreditamento dei gestori dell’identità digitale. In realtà, va osservato che il regolamento impugnato discende dall’articolo 17- ter del D.L. 21 giugno 20130 numero 69, che ha inserito nel comma 2 dell’articolo 64 del codice dell’amministrazione digitale, d.lvo 7 marzo 2005 numero 82 la definizione, in base ad un successivo regolamento, delle caratteristiche del sistema SPID, prevedendo che queste vengano stabilite anche con riferimento b alle modalità e ai requisiti per l’accreditamento dei gestori dell’identità digitale” lett.b del comma 2-sexies dell’articolo 17-ter cit. . Tuttavia non è privo di significato, nello sviluppo delle argomentazioni spese del primo giudice, che la Sezione intende far proprie in questa sede Corte di Cassazione Sez. III^ Civ. numero 18487/2015 , il richiamo che la Presidenza appellante effettua, a proposito dell’entità del capitale sociale, alla disciplina legale dei gestori di firma digitale articolo 29 del codice dell’amministrazione digitale cit. , che viene a sua volta rapportato a quello necessario ai fini dell’autorizzazione all’attività bancaria” . Senonchè com’è evidente, si tratta in quest’ultimo caso di identità digitali forti” , che in quanto tali sono state direttamente disciplinate dalla legge allo scopo di rafforzare la garanzia dell’ uso pubblico” della firma digitale, quali la carta d’identità elettronica e la carta nazionale dei servizi, che consentono l’accesso in rete ai servizi erogati dalle pubbliche amministrazioni cfr. l’articolo 10, 3° comma, del D.L. 13 maggio 2011 numero 70, come sostituito dall’articolo 1 del D.L. 18 ottobre 2012 numero 179 conv. con L. 17 dicembre 2012 numero 221 . Contrapposte ad esse sono le identità deboli”, com’è quella collegata al sistema SPID , che vengono utilizzate dagli operatori on line per l’accesso a servizi digitali non pubblici e-mail, social network, e–commerce , utilizzando una sostanzialmente una password eventualmente insieme ad altre credenziali d’accesso. L’appartenenza alle dette identità deboli” delle modalità d’accesso al sistema SPID, sottolineata dalle associazione appellanti, viene confermata, ad avviso della Sezione, proprio dall’utilizzazione della fonte regolamentare in luogo della fonte normativa di grado superiore”, la cui assenza è stata sottolineata dal primo giudice. E’, invero, proprio il diverso grado che quella norma riveste nella gerarchia delle fonti, a rendere di per sé incongrua la previsione, attraverso un regolamento, del possesso del capitale di 5 milioni di euro per l’accreditamento dei gestori dell’identità digitale. Quest’ultima condizione, seguendo la logica della Presidenza appellante, per essere in linea con la voluntas legis invocata, avrebbe invero richiesto, come per la firma digitale, che la sua introduzione fosse recata da un atto avente forza di legge, piuttosto che da una fonte subordinata quale il regolamento, mentre così non è stato. A tale proposito, va ricordato che nel sistema SPID un ruolo di rilievo preminente è riconosciuto all’AGID, per i poteri di vigilanza che ad essa spettano proprio con riferimento agli aspetti dell’affidabilità del sistema dell’identità digitale rilasciata dai gestori che essa stessa ha il compito di accreditare. All’AGID, infatti, spetta la verifica puntuale e continua dell’affidabilità organizzativa, tecnica e finanziaria delle società accreditate, attività che non esclude certamente, ricorrendone le condizioni, la facoltà di sospendere o revocare l’accreditamento, anche in via preventiva. La previsione di questi penetranti poteri pubblici di vigilanza fanno sì che la richiesta di una misura tanto elevata del capitale sociale per l’esercizio dell’attività di identificazione, appaia senz’altro sproporzionata. Attesa la novità della controversia le spese possono essere compensate. P.Q.M. Il Consiglio di Stato in sede giurisdizionale Sezione Quarta , definitivamente pronunciando sull'appello, come in epigrafe proposto, lo respinge. Spese compensate. Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.