La Terza Sezione del TAR Lazio ha annullato il Regolamento con cui AgID aveva istituito i requisiti di accreditamento dei Gestori di identità digitale all’interno del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID).
A inizio anno SPID, il sistema di credenziali di accesso per i servizi della pubblica amministrazione, era stato presentato dal Ministro per la semplificazione e la pubblica amministrazione Marianna Madia e dall’Agenzia per l’Italia Digitale e aveva fatto il suo esordio con i siti di INAIL, INPS, Regioni Emilia Romagna e Toscana, proseguendo poi con l’Agenzia delle Entrate, i comuni di Venezia, Firenze e la Regione Friuli Venezia Giulia.
Nel frattempo, tuttavia, erano iniziati, da un lato, i ritardi tecnici e burocratici, dall’altro le vicissitudini legali. Assintel e Assoprovider erano ricorsi al Tribunale Amministrativo Regionale del Lazio, ottenendo già nel 2015 l’annullamento del Decreto del 2014 con cui il Governo aveva istituito SPID: motivo del contendere, in particolare, alcuni requisiti che non permettevano alle piccole e medie imprese italiane del comparto ICT di candidarsi come fornitori di identità digitali , entrando così di fatto in contrasto con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, nonché con le normative antitrust.
Successivamente era stato il Consiglio di Stato a bocciare come non proporzionale la norma che imponeva come requisito un capitale sociale di almeno 5 milioni di euro alle aziende che avessero voluto essere fornitori di SPID: proprio questo sbarramento sembrava essere principale ostacolo alle piccole e medie imprese, senza costituire una garanzia necessaria per il sistema.
Nonostante questo il TAR non aveva interrotto il processo di applicazione di SPID, ritenendo che in caso di conferma di sentenza in appello sarebbe decaduta solo la parte contestata relativa ai requisiti: ora è arrivata la nuova decisione sul caso, con cui è stato annullato il Regolamento n. 44 del 2015 dell’AgID contenente i requisiti di capitale per esercitare le attività di identity provider e le polizze assicurative.
Secondo il TAR “invero è necessario evidenziare al riguardo che la previsione del capitale sociale minimo di €5.000.000,00, di cui all’art.1, comma 6 del regolamento AgID, per effetto del rinvio al D.P.C.M. 24 ottobre 2014, è illegittima e non può in ogni caso operare, giacché l’art.10, comma 3a del predetto D.P.C.M. che la riproduce è stato annullato con sentenza TAR Lazio, I, n.9951 del 2015, confermata in appello dalla decisione Cons. Stato, IV, n.1214 del 2016.” Inoltre è stato eliminato l’obbligo di assicurazione con un massimale di almeno 7 milioni in quanto rappresenterebbe un importo troppo elevato per cui “non emergono in modo congruo e adeguato le ragioni che lo giustificano”.
Ad accogliere con favore la decisione è naturalmente Assoprovider, che parla ora della possibilità di aprire un dialogo sull’argomento: “Le PMI italiane sperano che ora vi sia la volontà di aprire un confronto serio e partecipato sulla gestione delle identità digitale in tutti i suoi livelli ed aspetti”.
Da parte sua AgID cerca di chiarire che la storia di SPID non si conclude qui: sia perché tutte le altre richieste degli oppositori del sistema sono state respinta, sia perché di fatto la sentenza non incide sugli accreditamenti a cui finora AgID ha provveduto. AgID spiega che, “i gestori continuano a svolgere le proprie attività di erogazione delle identità. Prosegue l’implementazione da parte dei service provider, il cui numero è in continuo aumento, e la diffusione di servizi accessibili con credenziali SPID. Il sistema si conferma uno degli asset strategici fondamentali per la digitalizzazione della pubblica amministrazione e del Paese.”
Claudio Tamburrino