Sarzana: “L’assurdo di Spid, un sistema privato per l’identificazione pubblica”
16 Marzo 2016
Fulvio Sarzana, avvocato
Il sistema pubblico di identificazione digitale SPID è ai nastri di partenza.
Preceduto da intense polemiche legate al sistema di garanzia delle identità scelto dal Governo, e in virtù del fatto che l’opzione statale, come architrave di un sistema realmente pubblico di assegnazione delle identità, non sia nemmeno stata presa in considerazione , ha fatto comunque il suo debutto il 15 marzo scorso.
Il sistema SPID è incentrato essenzialmente sul ruolo di soggetti privati di grandi dimensioni, che svolgono le attività di identity provider. Come si diceva il sistema SPID italiano non ha tenuto in considerazione le esperienze Comunitarie interamente statali come avviene ad esempio in Belgio, ovvero a quelle esperienze realmente miste (ma con una forte centralizzazione delle procedure di identificazione e con un unico portale statale), come avviene in Damimarca, Norvegia ed Estonia.
> Questo articolo fa parte del dossier “Speciale Cantieri, i protagonisti raccontano Spid: cosa è ora, come sarà”
Il meccanismo scelto sembra invece più simile a quanto fatto in Gran Bretagna, ove peraltro la selezione degli aspiranti certificatori avviene sulla base del mercato, limitandosi il legislatore a richiedere una adeguata assicurazione per le attività di identity provider.
In Italia invece si è scelto un sistema all’apparenza misto, ovvero basato sulla presenza di identity provider privati di grandi dimensioni, e sulla possibilità che le Pubbliche Amministrazioni, esentate dai requisiti bancari richiesti ai privati per esercitare le attività di identificazione, possano diventare a loro volta certificatori.
In realtà non si tratta di un sistema misto pubblico-privato di identificazione, bensì di un meccanismo privatistico, a cui le pubbliche amministrazioni se e quando riusciranno a superare i criteri escludenti (escludenti non solo per le piccole e medie imprese, ma anche per le piccole amministrazioni locali), potranno eventualmente aderire, adottando una infrastruttura organizzativa e tecnologica modellata sul sistema privato.
Il sistema di identificazione, per come noi lo abbiamo conosciuto, ovvero il contatto con l’ufficio pubblico, viene rovesciato.
Non è più il cittadino che si reca allo sportello (reale o virtuale) della PA per ottenere gratuitamente dallo Stato una attestazione della propria identità, ma è un soggetto privato che, all’apparenza gratuitamente (almeno nella prima fase ed in riferimento ai livelli basici di servizi) , ma in realtà attraverso una transazione che coinvolge i dati personali dello stesso cittadino, fornisce prestazioni di identità, ed altri servizi ad esso connessi.
Il passaggio da un sistema pubblico di identificazione ad uno privato porta con sé alcune problematiche di non poco momento sui diritti del cittadino digitale.
Tra le conseguenze più ovvie del passaggio al sistema SPID vi è quello della sostenibilità del modello di business che spingerà le aziende private a cercare di fidelizzare il cliente e ad adottare politiche commerciali attinenti i cittadini stessi.
Tra le più rilevanti vi è un possibile utilizzo dei dati personali dei cittadini, probabilmente pienamente legittimo dal punto di vista delle attività privatistiche di una azienda commerciale, ma che stridono con la funzione “pubblica” della identificazione (o, se vogliamo essere più precisi) della autenticazione.
Dalla profilazione all’utilizzo, dietro consenso, dei dati a fini commerciali, dei dati di chi si registra per ottenere l’identità informatica, assisteremo ad un mutamento degli usi dei dati dei cittadini italiani in ragione della diversità dei soggetti che identificano gli stessi cittadini.
Una ulteriore caratteristica del sistema pubblico di identificazione digitale è che lo Stato Italiano ha deciso di adottare, nei confronti dello SPID, ma anche della posta elettronica certificata e della conservazione informatica, i requisiti adottati dalla Regolamentazione europea eIdas per i servizi fiduciari qualificati, escludendo in realtà che altri modalità di identificazione e/o di accesso ai servizi delle PA ( ad esempio password o on time password), possano ricevere una qualificazione normativa più blanda, e dunque essere oggetto di prestazione ad opera di una più vasta platea di imprese e pubbliche amministrazioni.
Ciò peraltro in aperta contraddizione con il sistema delle firme elettroniche semplici, presenti nel nostro ordinamento, e che hanno piena validità a tutti gli effetti.
E’ la conseguenza della presentazione ad opera del Governo il 20 gennaio 2016, dell’art 25 dello schema di SCHEMA DI DECRETO LEGISLATIVO RECANTE MODIFICHE E INTEGRAZIONI AL CODICE DELL’AMMINISTRAZIONE DIGITALE DI CUI AL DECRETO LEGISLATIVO 7 MARZO 2005, N. 82, Al SENSI DELL’ARTICOLO 1 DELLA LEGGE 7 AGOSTO 2015, N. 124, IN MATERIA DI RIORGANIZZAZIONE DELLE AMMINISTRAZIONI PUBBLICHE, che ha stabilito criteri molto rigidi per la prestazione dei servizi fiduciari qualificati essenzialmente ricondicibili a SPID, tra i quali il capitale necessario per l’esercizio dell’attività bancaria sotto forma di società di capitali ( 10 milioni di euro).
La norma, costituita da due commi estremamente diversi tra di loro, ma che sembrano avere la medesima funzione, ha da un lato collocato questi servizi in una nicchia molto chiusa della regolamentazione Comunitaria, escludendo espressamente il principio di libertà di forme e di circolazione dei servizi pensati per i servizi fiduciari non qualificati, e dall’altro, nel secondo comma, sembra pensato per ottenere dai Giudici Amministrativi del Consiglio di Stato, una validazione dei requisiti prescelti.
Il Consiglio di Stato è infatti chiamato in queste ore a giudicare della bontà dei requisiti di 5 milioni di euro di capitale per esercitare le attività di identity provider, che sono stati bocciati dal Tar del Lazio, a luglio del 2015.
In tal modo si vuole ottenere attraverso l’istituto dello ius superveniens, l’elusione della bocciatura operata dal Tar.
In relazione ad entrambi i commi dell’art 25, peraltro, l’identificazione dei requisiti necessari di accreditamento da parte del Decreto sembra cozza anche, sotto il profilo della previsione di un Capitale minimo e della forma giuridica richiesta per l’esercizio dell’attività gestore dell’identità digitale, con quanto previsto dal REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, che non prevede alcun requisito di capitale sociale per esercitare le attività previste dal Regolamento e che specifica che secondo le Norme del Trattato le “persone giuridiche” possono scegliere qualsiasi entità riconosciuta dalle leggi nazionali per poter esercitare l’attività di gestore dell’identificazione elettronica prevista dallo stesso Regolamento.
Il Regolamento in realtà sembra escludere in sé la necessità di avere requisiti predefiniti, come emerge dal Considerando n. 36, che prevede:
36) L’istituzione di un regime di vigilanza per tutti i prestatori di servizi fiduciari dovrebbe assicurare parità di condizioni per la sicurezza e l’attendibilità delle loro operazioni e servizi, contribuendo in tal modo alla tutela degli utenti e al funzionamento del mercato interno. I prestatori di servizi fiduciari non qualificati dovrebbero essere soggetti ad attività di vigilanza ex post semplificate e reattive, giustificate dalla natura dei loro servizi e delle loro operazioni. Pertanto l’organismo di sorveglianza non dovrebbe avere un obbligo generale di vigilanza sui prestatori di servizi non qualificati. L’organismo di sorveglianza dovrebbe adottare misure solo quando viene informato (ad esempio, dallo stesso prestatore di servizi fiduciari non qualificati, da un altro organismo di sorveglianza, mediante la notifica di un utente o di un partner commerciale o in base a sue indagine proprie) che un prestatore di servizi fiduciari non qualificato non soddisfa i requisiti del presente regolamento.
Quanto alla forma giuridica di tali soggetti vige il principio di libertà delle forme, come emerge dal considerando n 68 dello stesso Regolamento.
La collocazione dei servizi di SPID tra le prestazioni fiduciarie vuole quindi sottrarre le attività ad esso associate (ivi comprese semplici password e one time password), ad una censura di illegittimità ai sensi del Regolamento Eidas, eludendo i principi di regolamentazione ex post tipica della disciplina Comunitaria.
Naturalmente entrambi i commi potranno avere strascichi, in sede europea, laddove il CAD dovrà essere inviato in quanto norma tecnica oggetto di comunicazione necessaria alla Commissione, ed in sede italiana qualora il CAD, come appare probabile, venga poi impugnato in quanto contenente norme in grado di pregiudicare direttamente gli interessi ed i diritti di soggetti ben individuati.