Non serviranno più cinque milioni di euro di capitale sociale per diventare identity provider ovvero per fornire identità digitali nell’ambito di Spid, il servizio pubblico dell’identità digitale.
Lo ha deciso ieri il Tar Lazio accogliendo un ricorso avverso il decreto del Presidente del Consiglio dei Ministri del 24 ottobre 2014 che detta, tra l’altro, i requisiti per chiedere all’Agenzia per l’Italia digitale di esercitare, in Italia, l’attività in questione, proposto da Assoprovider ed Assintel.
I Giudici amministrativi hanno, infatti, dichiarato illegittima la norma che stabiliva, tra gli altri requisiti necessari all’esercizio dell’attività di fornitore di identità digitali, quello relativo all’obbligo disporre di un capitale sociale oggettivamente elevato che, secondo gli stessi giudici, non troverebbe adeguata giustificazione nelle finalità della disposizione medesima che sono, naturalmente, quelle di garantire che i soggetti in questione dispongano di un’idonea organizzazione ed offrano idonee garanzie tecniche e patrimoniali.
La notizia si è rapidamente diffusa online e offline, generando, tra gli addetti ai lavori – che, da mesi, attendono con ansia il varo del sistema pubblico dell’identità digitale – il timore che la decisione dei giudici amministrativi possa, in qualche modo, rallentarne il debutto.
Vale, quindi, la pena di chiarire che, in realtà, si tratta di un rischio remoto per non dire inesistente. Il Tar, infatti, non ha annullato l’intero provvedimento né ne ha congelato l’efficacia ma si è limitato – in effetti non senza ragione – a sottolineare che compiuta la scelta di fare della gestione dell’identità digitale un mercato, lo Stato non può poi arrogarsi il diritto di restringerne, immotivatamente, l’accesso, privando decine di imprenditori dell’opportunità di scommetterci ed iniziare ad operarci.
Ciò che, realisticamente, accadrà nei prossimi giorni è che il Governo metterà una toppa nella falla aperta dai Giudici amministrativi o varando un nuovo decreto che stabilisca criteri più ragionevoli per l’accesso al mercato della fornitura delle identità digitali o, forse ancora più semplicemente, introducendo una norma in questo senso nel nuovo codice dell’amministrazione digitale al quale sta lavorando in attuazione della delega sulla semplificazione.
Peraltro – ed anche a prescindere dalla circostanza che non sembra difficile rimediare all’incidente di percorso nel quale il Governo è inciampato – il vero tema relativo al debuttante sistema pubblico dell’identità digitale è, probabilmente, un altro.
Esistono davvero tanti aspiranti fornitori di identità digitali nel nostro Paese? O, per dirla diversamente, esiste un modello di business che renda profittevole l’esercizio di un’attività che – a prescindere dai cinque milioni di euro di capitale sociale che la norma ora cassata dal Tar esigeva – richiede, comunque, come è giusto che sia, ai fornitori di identità digitali di adottare robuste misure di sicurezza tecniche ed organizzative?
I requisiti previsti dalla vigente disciplina, sopravvissuti alla tagliola dei Giudici amministrativi, infatti, sono e restano tanti ed importanti, giacché gli aspiranti fornitori di identità digitali dovranno comunque: garantire il possesso, da parte dei rappresentanti legali, dei soggetti preposti all’amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell’art. 26 del decreto legislativo 1° settembre 1993, n. 385; dimostrare la capacità organizzativa e tecnica necessaria per svolgere l’attività di gestione dell’identità digitale; utilizzare personale dotato delle conoscenze specifiche, dell’esperienza e delle competenze necessarie per i servizi da fornire; essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia; trattare i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196; essere in possesso della certificazione di qualità ISO 9001, successive modifiche o norme equivalenti.
Aperto o non aperto che sia, per legge, in altre parole, il mercato in questione rischia di rimanere ristretto di fatto, semplicemente perché potrebbero mancare numeri ed occasioni di business capaci di determinare gli imprenditori a scendere in campo.
