Requisiti soft per i fornitori di identità digitale? “I reali impatti della sentenza li potremo conoscere solo tra qualche mese”. Lo ha detto Fulvio Sarzana di S. Ippolito, il legale che ha assistito le Associazioni Assintel e Assoprovider di Confcommercio, prima nel ricorso di fronte al Tar del Lazio contro il Decreto istitutivo del Sistema pubblico di identità digitale (Spid) e poi nel procedimento intentato in grado d’appello di fronte al Consiglio di Stato dalla Presidenza del Consiglio dei Ministri. In questa conversazione con Formiche.net la decisione del Consiglio di Stato, i reali impatti della sentenza e i punti controversi del Sistema di identità digitale.
Avvocato, ci può spiegare cosa è accaduto?
In sintesi il Tar del Lazio prima ( luglio 2015) ed il Consiglio di Stato in grado d’appello poi hanno “bocciato” il sistema di scelta degli identity provider, ovvero di coloro che materialmente forniscono le identità digitali al cittadino nel sistema Spid, basato sulla presenza di pochissime grandi realtà economiche con un elevatissimo capitale sociale, 5 milioni di euro.
Cosa cambia dopo la sentenza del Consiglio di Stato?
I reali impatti della sentenza li potremo conoscere solo tra qualche mese. La Presidenza del Consiglio dei Ministri, probabilmente in previsione di una possibile debacle di fronte al massimo organo della giustizia amministrativa, prima ancora della sentenza, ed esattamente il 20 gennaio scorso, ha varato la bozza del nuovo codice dell’Amministrazione digitale, rilanciando il requisito del capitale sociale per esercitare le attività connesse a Spid.
L’art 25 della bozza di Decreto Legislativo presentato dal Governo a fine gennaio, attualmente in discussione di fronte alle competenti Commissioni Parlamentari, ha portato lo stesso requisito addirittura a dieci milioni di euro ed agganciandolo ai requisiti necessari per esercitare le attività bancarie, nonostante la sonora bocciatura del tar Lazio prima, e del Consiglio di Stato ora.
Cosa ha portato la Presidenza del Consiglio dei Ministri a inserire un tetto così alto per il capitale sociale dei gestori?
Molto probabilmente la presidenza del Consiglio ha voluto in questo modo ottenere alcuni risultati pratici: in primo luogo mantenendo un requisito di capitale così alto (ed anzi, innalzandolo) si evita di dover allargare la platea degli operatori economici a monte, senza affrontare nel concreto la verifica dei requisiti tecnici nei confronti di più soggetti. Una cosa è dover valutare i requisiti di 50 aspiranti “identificatori” un’altra quelli di tre soggetti o poco più . Cosi facendo si levano le castagne dal fuoco a chi deve valutare l’affidabilità dei concorrenti. Il rovescio della medaglia è naturalmente che i soggetti non vengono valutati in base alle competenze tecniche o organizzative, bensì in base a criteri astratti di capitale che escludono dal mercato il 99% delle aziende italiane del settore.
Cosa comporta tutto ciò?
Si crea di fatto un oligopolio “pubblico” ed un sistema concessorio di fatto che non è passato nemmeno al vaglio dei requisiti della cd evidenza pubblica. Inoltre la presenza di un oligopolio appare in grado di “convincere” i grandi operatori, soprattutto del settore bancario, ad investire in un mercato che non sembra vere immediati ritorni economici.
I requisiti e le procedure individuate da Agid non erano abbastanza stringenti?
Lo erano e lo sono. Basti pensare che gli aspiranti identity provider devono possedere ben due diverse certificazioni ISO, nonché essere in possesso di polizze assicurative fidejussorie legate al numero di identità prestate e che giungono sino ad un massimale annuo di 15 milioni di euro, oltre a dover dimostrare l’affidabilità tecnica ed organizzativa all’agenzia di controllo su Spid, ovvero l’Agid.
Sulla base di quali requisiti secondo lei sarebbe stato opportuno individuare i gestori?
Si sarebbe potuta salvare la “rivoluzione digitale” contenuta nell’idea di Spid creando diversi livelli di identità digitali con caratteristiche di sicurezza e ruoli diversi per gli identificatori. Chi deve fornire una password può rivestire criteri di sicurezza molto più blandi di rispetto a chi deve dare una smart card con firma digitale. Questa soluzione, privilegiata dall’Unione europea, è stata da subito scartata dalla Presidenza del Consiglio, che non ha voluto ascoltare ragioni.
Quali saranno i prossimi passi?
Se la Presidenza del Consiglio insisterà nei suoi propositi escludenti le Associazioni (non solo quelle ricorrenti) molto probabilmente faranno valere le proprie ragioni davanti la Commissione Europea, a cui lo Stato Italiano, dovrà necessariamente sottoporre nei prossimi mesi il progetto di Codice dell’Amministrazione Digitale. Se dovesse poi permanere questa barriera all’ingresso si dovrà prendere in considerazione l’ipotesi di impugnare anche il Codice dell’Amministrazione digitale. Ma, io spero prevalga in tutti il buonsenso e la volontà di estendere a tutti i cittadini italiani il beneficio dell’innovazione tecnologica.
Lei ritiene che le Pmi abbiano i mezzi per gestire il sistema di identità digitale?
Io ritengo che il sistema Spid correttamente inteso come modello di identità federate e con livelli diversi di “impegno” economico, tecnico ed organizzativo da parte delle imprese italiane possa portare alla creazione di un sistema di identità pubblico veramente concorrenziale e, soprattutto, distribuito.
Si sarebbe potuto fare di meglio?
Al di là della battaglia delle piccole e medie imprese posso dire che io avrei preferito un modello di identità pubblica statale ed un sistema di servizi gestito dalle imprese in regime di piena concorrenza. In pratica secondo quest’altro modello l’identità pubblica viene rilasciata dallo Stato ed ogni impresa può poi fornire servizi Ict e di Tlc associandoli a questa identità.
Ci sono altri aspetti problematici?
Il profilo più delicato dell’intero sistema attuale è quello della privacy che può essere messa in pericolo dalla gestione “privata” dei dati personali dei cittadini.
I dati personali dei cittadini sono infatti gestiti in modo diverso se a trattarli è lo Stato o le imprese. Nessuna pubblica amministrazione può utilizzare i dati dei cittadini al di fuori delle regole previste per la sola prestazione dei servizi pubblici. Va ricordato che Spid è stato presentato come un sistema che sarebbe gratuito (almeno nelle identità base e per un periodo limitato di tempo) per i cittadini e che non comporterebbe oneri per lo Stato. In realtà non è cosi, gli identity provider infatti per ripagare i costi delle attività di Spid dovranno necessariamente crearsi un mercato, rendendo i servizi a pagamento e/o utilizzando i dati personali dei cittadini in funzione commerciale.
Cosa potrebbe accadere su questo fronte?
Il rischio è che il cittadino diventi, data l’apparente gratuità dei servizi, egli stesso un “prodotto” necessario per ripagare le attività di imprese che devono svolgere necessariamente attività economica. A mio giudizio questo aspetto non è stato adeguatamente trattato a causa della “fretta” di far partire il sistema
