Cos’è il Sistema Pubblico di Identità Digitale (SPID)? Per quale motivo ci sono ancora polemiche in merito ai requisiti e alle procedure di accreditamento degli Identity Provider accreditati, ovvero i soggetti abilitati a gestirlo fornendo ai cittadini le credenziali di accesso?
Cominciamo dal principio: cos’è SPID?
SPID è il sistema di autenticazione che permette alle imprese e ai privati aderenti di accedere ai servizi online della PA grazie a un’identità digitale unica che consente l’accesso a tutti i servizi attraverso delle credenziali personali.
Il primo provvedimento di attuazione di SPID è stato il Decreto della Presidenza del Consiglio dei Ministri del 24 ottobre 2014; per l’operatività di SPID, invece, si è dovuto attendere la Determinazione n. 44 del 28 luglio 2015 dell’Agenzia per l’Italia Digitale (AgID), con cui sono stati emanati i quattro regolamenti[1]:
- accreditamento gestori;
- utilizzo identità pregresse;
- modalità attuative;
- regole tecniche.
SPID – che presto potrebbe essere riconosciuto anche a livello europeo[2] – sta tornando prepotentemente alla ribalta. Salvo imprevedibili scossoni normativi, infatti, sarà necessario anche per ottenere il tanto discusso reddito di cittadinanza.
Considerato che di questa ormai famigerata erogazione monetaria potrebbero usufruire la bellezza di 6,5 milioni di italiani, e che per accedervi bisognerà essere in possesso delle credenziali SPID, ci si aspetterebbe un’ampia offerta di enti abilitati alla certificazione. Non è così, invece.
SPID: requisiti legislativi e conseguenze
Fra i requisiti dettati per l’accreditamento degli Identity Provider era anche previsto un capitale sociale pari ad almeno 5 milioni di Euro[3].
È evidente si tratti di un livello di disponibilità economica accessibile a un numero risicatissimo di operatori (nel momento in cui scriviamo solo 9), tant’è che ASSOPROVIDER e ASSINTEL si sono rivolti al TAR del Lazio per l’annullamento della norma.
La Sezione I del TAR capitolino[4] ha accolto le doglianze delle ricorrenti sostenendo innanzitutto che: «la previsione, tra i requisiti per l’accreditamento dei gestori dell’Identità Digitale, del possesso, da parte della società di capitali, da costituire obbligatoriamente, di un capitale sociale di 5 milioni di Euro non è basata su alcuna percepibile caratteristica tecnica e/o organizzativa del servizio né ricavabile da alcuna fonte normativa di grado superiore.».
A seguito dell’introduzione come requisito di un capitale sociale di quel genere, sarebbero quindi rimaste tagliate fuori da SPID tutte quelle (medie) imprese in grado di agire con efficacia nello specifico settore di operatività, generando in ultima analisi una perdita anche per la Pubblica Amministrazione.
Concludeva il TAR: «Si tratta in via definitiva di un requisito che si rivela sproporzionato rispetto al fine voluto dalla norma e che, oltretutto, introduce un ingiustificato sbarramento per l’accesso al mercato di riferimento. D’altra parte, il prescritto requisito di capitale sociale minimo introduce un limite privo di alcuna ragionevolezza», considerato che l’accreditamento degli Identity Provider viene controllato dall’AgID mediante l’applicazione di regole di assoluta severità e non solo di natura tecnica.
Con ricorso in appello RG 7008/2015, la Presidenza del Consiglio dei Ministri ha chiesto al Consiglio di Stato (Sezione IV) di riformare la decisione di prima istanza. La Corte di grado superiore, tuttavia, ha confermato la Sentenza del TAR[5].
Anche il Consiglio di Stato ha rimarcato come, più che a criteri di selezione economica, si debba guardare con favore e fiducia al ruolo di garanzia e controllo svolto dall’AgID: «A tale proposito, va ricordato che nel sistema SPID un ruolo di rilievo preminente è riconosciuto all’AGID, per i poteri di vigilanza che ad essa spettano proprio con riferimento agli aspetti dell’affidabilità del sistema dell’identità digitale rilasciata dai gestori che essa stessa ha il compito di accreditare.
All’AGID, infatti, spetta la verifica puntuale e continua dell’affidabilità organizzativa, tecnica e finanziaria delle società accreditate, attività che non esclude certamente, ricorrendone le condizioni, la facoltà di sospendere o revocare l’accreditamento, anche in via preventiva. La previsione di questi penetranti poteri pubblici di vigilanza fa sì che la richiesta di una misura tanto elevata del capitale sociale per l’esercizio dell’attività di identificazione appaia senz’altro sproporzionata.».
Il ruolo dell’AgID in ambito SPID
Stante l’attuale assetto normativo, anche in esito ai provvedimenti giudiziari di cui sopra, all’AgID spetta un ruolo cruciale nell’applicazione dei principi contenuti nel Decreto della Presidenza del Consiglio dei Ministri del 24 ottobre 2014. A questo riguardo, l’AgID ha già chiarito di operare nella consapevolezza che il capitale sociale minimo non sia più requisito per l’accreditamento dei gestori.
Questo non significa che l’AgID non dovrà più effettuare verifiche severissime[6] sull’idoneità degli aspiranti nuovi Identity Provider, ma ci si augura che questa maggiore elasticità si traduca nella positiva valutazione di altri soggetti diversi dai soliti noti.
Sono infatti presenti altri operatori che offrono servizi tecnologicamente pregevoli e innovativi: ci viene per esempio in mente eDue Srl, che si presenta sul mercato con la vocazione di facilitare e ottimizzare le interazioni tra cittadini, imprese e PA.Stiamo parlando di un settore di grandissima utilità potenziale per i cittadini, che ha bisogno di un controllo normativo giustamente severo, così come di un’effettiva concorrenza di mercato. Staremo a vedere i futuri risvolti e non mancheremo di darvi pronti aggiornamenti.
