Claudio Tamburrino

SPID, per il TAR manca la concorrenza

Il Tribunale Amministrativo dà ragione ad Assintel e Assoprivder: le piccole e medie imprese che ambiscono ad esercitare le attività di Identity Provider finiscono per essere sfavorite

Roma - Il Tribunale Amministrativo Regionale del Lazio ha annullato il Decreto dello scorso dicembre con cui il Governo aveva istituito il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID). Si chiude così per il momento in Tribunale il terzo e principale atto dell'e-governance all'italiana: SPID, che ha fatto il suo esordio lo scorso aprile, ancora più delle attuali firme digitali e degli indirizzi di posta elettronica certificata, avrebbe dovuto rappresentare la base su cui costruire il sistema di amministrazione elettronica delle pratiche burocratiche.

A far ricorso contro SPID erano stati gli operatori delle TLC e le aziende IT associate in Assintel e Assoprovider (Confcommercio): secondo l'accusa di Assintel e Assoprovider il suo sistema di applicazione avrebbe impedito alle piccole e medie imprese italiane del comparto ICT di far parte del sistema di identificazione delle identità digitali e sarebbe entrato in contrasto con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

La prima sezione del TAR del Lazio, presieduta dai Giudici Luigi Tosti, giudici a latere Correale e Perna, ha ora accolto le loro ragioni annullando in sede di merito il Decreto ed in particolare l'articolo 10, che stabiliva i requisiti necessari per operare come Identity Provider: tali oneri - come sosteneva l'accusa - costituiscono un ostacolo alla concorrenza, violando i principi di parità di trattamento e di non discriminazione in quanto escludono di fatto tutte le realtà medio piccole.
Secondo quanto si legge nella sentenza: "Nello specifico, la previsione, tra i requisiti per l'accreditamento dei gestori dell'identità digitale, del possesso di capitale sociale di 5 milioni di euro non è basata su alcuna percepibile caratteristica tecnica e/o organizzativa del servizio né è ricavabile da alcuna fonte normativa di grado superiore."

Oltretutto, già "l'articolo 4 del decreto impugnato, ai commi 2, 3 e 4, prevede che l'Agenzia adotti regolamenti per definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, le modalità di accreditamento dei soggetti SPID, nonché le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale": si tratta, insomma, già di "requisiti molto stringenti per l'esercizio dell'attività di identificatore, senza che aggiuntivamente si palesi la necessità di subordinare lo svolgimento della ripetuta attività al raggiungimento di una soglia così elevata di capitale sociale."

Insomma, non è corretta la giustificazione da parte del legislatore della volontà di assicurare sistemi di sicurezza di alto livello a tutela dei dati degli utenti: tale livello è già richiesto dai requisiti tecnici e l'obbligo di capitale sociale è quindi non proporzionale.

Claudio Tamburrino
Notizie collegate
  • AttualitàSPID non procede veloceAssintel e Assoprovider fanno ricorso al TAR contro il protocollo di identificazione online: impedirebbe la partecipazione delle piccole e medie imprese. il primo passo dell'e-governance italiana si compirà in Tribunale?
  • AttualitàIdentità digitale, SPID in GazzettaPubblicato ill Decreto che stabilisce le regole per il rilascio, l'utilizzo e la gestione del nuovo protocollo di identificazione. Un passo in più verso l'e-government, ma il cammino non è affatto concluso
8 Commenti alla Notizia SPID, per il TAR manca la concorrenza
Ordina
  • Bill Gates e Steve Jobs hanno creato due imperi economici partendo da zero, secondo me il padella il giocattolo riesce a disfarlo prima di dicembre. Il cuoco non è che brilli più del padella ma ha più margine perchè la Apple fa maggiori utili ... per il momento.
    non+autenticato
  • Anche quello è illegale?
    Anche la carta d'identità? Anche le aziende private devono poterle emettere?

    MAH!
    non+autenticato
  • Secondo la normativa sulla firma digitale, l'ente certificatore accreditato ha una soglia di capitale sociale minimo. Questo si giustifica con la necessità di investire di un ruolo così cardine dell'infrastruttura solo soggetti sufficientemente esposti al "rischio".

    In breve non può la startup Pincopallo ssrl venire fuori e dire "faccio l'ente certificatore", magari emettendo certificati non proprio controllati e chiudendo i battenti alla prima occasione.

    Stessa cosa dicasi per lo SPID. Non c'è differenza tra un ente certificatore ed un identity provider, in quanto entrambi garantiscono sull'identità del soggetto.
  • - Scritto da: djechelon
    > Secondo la normativa sulla firma digitale, l'ente
    > certificatore accreditato ha una soglia di
    > capitale sociale minimo. Questo si giustifica con
    > la necessità di investire di un ruolo così
    > cardine dell'infrastruttura solo soggetti
    > sufficientemente esposti al
    > "rischio".
    >
    > In breve non può la startup Pincopallo ssrl
    > venire fuori e dire "faccio l'ente
    > certificatore", magari emettendo certificati non
    > proprio controllati e chiudendo i battenti alla
    > prima
    > occasione.
    >
    > Stessa cosa dicasi per lo SPID. Non c'è
    > differenza tra un ente certificatore ed un
    > identity provider, in quanto entrambi
    > garantiscono sull'identità del
    > soggetto.

    STRA-QUOTO
    non+autenticato
  • No no, qui l'unica cosa "sbagliatissima" è che delle aziende PRIVATE, grandi o piccole che siano, possano fungere da enti certificatori dell'identità dei cittadini, digitale o meno. C'è un motivo se carte d'identità e passaporti sono SEMPRE e SOLO stati rilasciati da enti pubblici, in tutto il mondo: le aziende private hanno potenzialmente interesse a rubare l'identità dei cittadini, o magari ad usare i database così creati a fini pubblicitari, lo Stato invece no. E non basta dire "Eh, ma è vietato, se lo fanno vanno in galera", tantomeno in un paese come l'Italia dove spesso i delinquenti la fanno franca. Di fatto si creano i presupposti per frodi documentali di massa.

    Se devo fare una deduzione, visto chi oggi è al governo e qual'è il partito di maggioranza, direi che questa sostanziale privatizzazione del servizio di identificazione dei cittadini è stata chiesta da qualcuno di Mafia Capitale. Per loro sarà uno spasso.
    non+autenticato
  • - Scritto da: NonMiFidoPe rNiente
    > No no, qui l'unica cosa "sbagliatissima" è che
    > delle aziende PRIVATE, grandi o piccole che
    > siano, possano fungere da enti certificatori
    > dell'identità dei cittadini, digitale o meno. C'è
    > un motivo se carte d'identità e passaporti sono
    > SEMPRE e SOLO stati rilasciati da enti pubblici,
    > in tutto il mondo: le aziende private hanno
    > potenzialmente interesse a rubare l'identità dei
    > cittadini, o magari ad usare i database così
    > creati a fini pubblicitari, lo Stato invece no. E
    > non basta dire "Eh, ma è vietato, se lo fanno
    > vanno in galera", tantomeno in un paese come
    > l'Italia dove spesso i delinquenti la fanno
    > franca. Di fatto si creano i presupposti per
    > frodi documentali di
    > massa.
    >

    La "privatizzazione" non serve per far nascere nuove aziende, serve per aiutare il cittadino ad avvicinarsi ai servizi digitali, per far funzionare meglio la PA. Bisogna sempre capire quale è stata la visione prima di fare tante congetture. Nel concreto, qua nessuno dice che vai in una azienda e questa ti rilascia l'identitià digitale sostitutiva alla carta d'identità (che rimane compto dell'anagrafe del tuo comune ecc ecc), qua si dice che alcune aziende potrebbero aiutare questo processo, ti faccio un esempio per tutti, una banca. La banca ti consoce benissimo, ti ha chiesto i documenti, sa chi sei, sa dove abiti ecc ecc, è una grande azienda con garanzie di sicurezza leggermente migliori dell PincoPallo start-up, potrebbe diventare identy manager in poco tempo e collaborare con la PA per farti autenticare ai siti e servizi della PA appunto.
    Per chi volesse approfondire c'è un evento a Milano il 22 Settembre dove si parlerà appunto di SPID, solo gli impiegati della PA possono partecipare però. Maggiori dettagli su www.opensipa.it

    saluti a tutti
    non+autenticato
  • - Scritto da: sappilo
    > - Scritto da: NonMiFidoPe rNiente
    > > No no, qui l'unica cosa "sbagliatissima" è
    > che
    > > delle aziende PRIVATE, grandi o piccole che
    > > siano, possano fungere da enti certificatori
    > > dell'identità dei cittadini, digitale o
    > meno.
    > C'è
    > > un motivo se carte d'identità e passaporti
    > sono
    > > SEMPRE e SOLO stati rilasciati da enti
    > pubblici,
    > > in tutto il mondo: le aziende private hanno
    > > potenzialmente interesse a rubare l'identità
    > dei
    > > cittadini, o magari ad usare i database così
    > > creati a fini pubblicitari, lo Stato invece
    > no.
    > E
    > > non basta dire "Eh, ma è vietato, se lo fanno
    > > vanno in galera", tantomeno in un paese come
    > > l'Italia dove spesso i delinquenti la fanno
    > > franca. Di fatto si creano i presupposti per
    > > frodi documentali di
    > > massa.
    > >
    >
    > La "privatizzazione" non serve per far nascere
    > nuove aziende, serve per aiutare il cittadino ad
    > avvicinarsi ai servizi digitali, per far
    > funzionare meglio la PA. Bisogna sempre capire
    > quale è stata la visione prima di fare tante
    > congetture. Nel concreto, qua nessuno dice che
    > vai in una azienda e questa ti rilascia
    > l'identitià digitale sostitutiva alla carta
    > d'identità (che rimane compto dell'anagrafe del
    > tuo comune ecc ecc), qua si dice che alcune
    > aziende potrebbero aiutare questo processo, ti
    > faccio un esempio per tutti, una banca. La banca
    > ti consoce benissimo, ti ha chiesto i documenti,
    > sa chi sei, sa dove abiti ecc ecc, è una grande
    > azienda con garanzie di sicurezza leggermente
    > migliori dell PincoPallo start-up, potrebbe
    > diventare identy manager in poco tempo e
    > collaborare con la PA per farti autenticare ai
    > siti e servizi della PA
    > appunto.


    Non me ne frega niente, non voglio che l'identità digitale venga certificata NE' dalla "pincopallo startup", NE' dalla banca, semmai dallo Stato, come in qualunque paese civile. Ho dato i miei dati alla mia banca per fornirmi i SUOI servizi, non per farmi da servizio di identificazione digitale presso qualunque altro ente o azienda privata che in futuro richiederà un'autenticazione certificata, cosa che comporta una gigantesca violazione della privacy.
    non+autenticato
  • >
    > Non me ne frega niente,

    E fin qua...

    >non voglio che l'identità
    > digitale venga certificata NE' dalla "pincopallo
    > startup", NE' dalla banca, semmai dallo Stato,
    > come in qualunque paese civile. Ho dato i miei
    > dati alla mia banca per fornirmi i SUOI servizi,
    > non per farmi da servizio di identificazione
    > digitale presso qualunque altro ente o azienda
    > privata che in futuro richiederà
    > un'autenticazione certificata, cosa che comporta
    > una gigantesca violazione della
    > privacy.

    No no, forse non ci capiamo. Lo SPID sarà necessario per autenticarsi a servizi statali come comuni, sanità ecc. Il sistema di autenticazione è statale, il problema è collegare in maneira abbastanza certa chi sta facendo il login, cioè io devo essere abbastanza certo che tu sia Tizio (a meno di furti di credenziali certo). Per quello è necessario l'identity provider, qualcuno che sia abbastanza sicuro che quello sia tu. Non è escluso che anche lo Stato lo faccia, ad esempio già fornisce un accesso SPID tramite la CNS (Carta Nazionale dei Servizi). Quello che si vuole fare è agevolare il cittadino ad accedere allo SPID, quindi potrebbe esserci qualche "attore" che ha qualche interesse ad offrire il servizio in quanto già ti conosce e già ti offerto un sistema di riconoscimento, come ad esempio la banca. E' ovvio che ci saranno carte da firmare per estendere l'utilizzo del tuo accesso, della tua chiavetta one time password per intenderci, o qualcosa del genere. La banca è solo un intermediario. L'interesse della banca ad offrire qualcosa del genere non è sbirciare sui tuoi affari (al massimo avrebbe un log dei siti statali ai quali accedi immagino), l'interesse è offrirti qualcosa che magari un altra banca non ti dà: non solo agevola i suoi attuali clienti, ma invoglia quelli dell'altra banca a a passare da lei, clienti che altrimenti dovrebbero anndare a fare file o documenti per farsi dare una CNS o altro per accedere tramite SPID.
    Un altro esempio di attore potenzialmente interessato a dare accesso tramite SPID sono gli operatori telefonici che, in teoria, ti hanno già identificato tramite i documenti che hai dato quando hai attivato un numero.
    E' legittimo avere dei dubbi e delle perplessità, questo serve per avere critica e vedere se e dove ci sono punti deboli nel sistema, tuttavia il mio personale consiglio è quello di non partire prevenuti. Se si vuole cambiare l'Italia si passa anche da questo e, lo ripeto, nessuno si sostituisce allo Stato per identificare le persone, ma farà da intermediario nel processo di autenticazione a garanzia di identificare la persona, è tutta un'altra cosa.

    saluti
    non+autenticato