Il Tribunale Amministrativo Regionale del Lazio ha annullato il Decreto dello scorso dicembre con cui il Governo aveva istituito il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID). Si chiude così per il momento in Tribunale il terzo e principale atto dell’e-governance all’italiana: SPID, che ha fatto il suo esordio lo scorso aprile, ancora più delle attuali firme digitali e degli indirizzi di posta elettronica certificata, avrebbe dovuto rappresentare la base su cui costruire il sistema di amministrazione elettronica delle pratiche burocratiche .
A far ricorso contro SPID erano stati gli operatori delle TLC e le aziende IT associate in Assintel e Assoprovider (Confcommercio): secondo l’accusa di Assintel e Assoprovider il suo sistema di applicazione avrebbe impedito alle piccole e medie imprese italiane del comparto ICT di far parte del sistema di identificazione delle identità digitali e sarebbe entrato in contrasto con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
La prima sezione del TAR del Lazio, presieduta dai Giudici Luigi Tosti, giudici a latere Correale e Perna, ha ora accolto le loro ragioni annullando in sede di merito il Decreto ed in particolare l’articolo 10, che stabiliva i requisiti necessari per operare come Identity Provider : tali oneri – come sosteneva l’accusa – costituiscono un ostacolo alla concorrenza, violando i principi di parità di trattamento e di non discriminazione in quanto escludono di fatto tutte le realtà medio piccole.
Secondo quanto si legge nella sentenza : “Nello specifico, la previsione, tra i requisiti per l’accreditamento dei gestori dell’identità digitale, del possesso di capitale sociale di 5 milioni di euro non è basata su alcuna percepibile caratteristica tecnica e/o organizzativa del servizio né è ricavabile da alcuna fonte normativa di grado superiore.”
Oltretutto, già “l’articolo 4 del decreto impugnato, ai commi 2, 3 e 4, prevede che l’Agenzia adotti regolamenti per definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, le modalità di accreditamento dei soggetti SPID, nonché le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale”: si tratta, insomma, già di “requisiti molto stringenti per l’esercizio dell’attività di identificatore, senza che aggiuntivamente si palesi la necessità di subordinare lo svolgimento della ripetuta attività al raggiungimento di una soglia così elevata di capitale sociale.”
Insomma, non è corretta la giustificazione da parte del legislatore della volontà di assicurare sistemi di sicurezza di alto livello a tutela dei dati degli utenti: tale livello è già richiesto dai requisiti tecnici e l’obbligo di capitale sociale è quindi non proporzionale.
Claudio Tamburrino