Il Consiglio di Stato con la sentenza n. 1214 del 24 marzo 2016, rigettando l’appello della Presidenza del Consiglio dei Ministri, ha confermato la sentenza di primo grado che aveva annullato l’art. 10, comma 3, lett. a) del D.P.C.M. 24 ottobre 2014, con il quale erano state definite le caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID) e stabiliti tempi e modalità di adozione del sistema SPID da parte di pubbliche amministrazioni ed imprese. In particolare ad essere bocciata è la previsione, tra i requisiti per l’accreditamento dei gestori dell’identità digitale, del possesso, da parte della società di capitali, da costituire obbligatoriamente, di un capitale sociale minimo di 5 milioni di euro.
Ad avviso del Collegio, non può condividersi l’argomento invocato dall’appellante Presidenza del Consiglio dei Ministri, secondo cui l’elevato capitale sociale minimo di 5 mln di euro della società di capitali, alla cui costituzione debbono procedere i gestori dell’identità digitale nel sistema SPID, sarebbe indispensabile per dimostrare la loro affidabilità organizzativa, tecnica e finanziaria, e ciò solo perché l’attività di cui trattasi richiede un rilevante apporto di elevata tecnologia, la cui validità non può ritenersi direttamente proporzionale al capitale sociale versato.
Il collegio infatti evidenzia l’illegittimità per irragionevolezza dell’impedimento all’accesso al mercato di riferimento, dovuto all’elevato importo del capitale sociale minimo richiesto, trattandosi di scelta rivolta a privilegiare una finalità di incerta efficacia, a fronte della sicura conseguenza negativa di vedere escluse dal mercato stesso tutte le imprese del settore di piccole e medie dimensioni, quali appunto quelle rappresentate dalle associazioni ricorrenti.
Il Collegio osserva inoltre che nel sistema SPID un ruolo di rilievo preminente è riconosciuto all’AGID, per i poteri di vigilanza che ad essa spettano proprio con riferimento agli aspetti dell’affidabilità del sistema dell’identità digitale rilasciata dai gestori che essa stessa ha il compito di accreditare. “All’AGID, infatti, spetta la verifica puntuale e continua dell’affidabilità organizzativa, tecnica e finanziaria delle società accreditate, attività che non esclude certamente, ricorrendone le condizioni, la facoltà di sospendere o revocare l’accreditamento, anche in via preventiva. La previsione di questi penetranti poteri pubblici di vigilanza fanno sì che la richiesta di una misura tanto elevata del capitale sociale per l’esercizio dell’attività di identificazione, appaia senz’altro sproporzionata.”
Si riporta di seguito il testo della sentenza.
***
N. 01214/2016REG.PROV.COLL.
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Il Consiglio di Stato
in sede giurisdizionale (Sezione Quarta)
ha pronunciato la presente
SENTENZA
sul ricorso numero di registro generale 7008 del 2015, proposto da:
Presidenza del Consiglio dei Ministri, in persona del presidente in carica, rappresentato e difeso per legge dall’Avvocatura, domiciliata in Roma, Via dei Portoghesi 12;
contro
Assoprovider -Associazione Provider Indipendenti, Confcommercio e Assintel –Associazione Nazionale Imprese ICT,Confcommercio-in persona dei rispettivi legali rappresentanti pro tempore , rappresentate e difese dall’avv. Salvatore Fulvio Sarzana Di Sant’Ippolito, con domicilio eletto presso il medesimo in Roma, Via Velletri, 10;
nei confronti di
Telecom Italia Trust Technologies Srl, Assocertificatori-Associazione dei Certificatori di Firma Digitale e dei Gestori di Posta Elettronica Certificata, in persona dei rispettivi legali rappresentanti, non costituite;
per la riforma
della sentenza del T.A.R. LAZIO – ROMA: SEZIONE I n. 09951/2015 del 21/07/2015, resa tra le parti, concernente n.9951/2015, resa tra le parti, concernente criterio per l’accreditamento della gestione dell’identità digitale di cittadini e imprese (SPID).
Visti il ricorso in appello e i relativi allegati;
Visto l’atto di costituzione in giudizio di Assoprovider Associazione Provider Indipendenti Confcommercio;
Viste le memorie difensive;
Visti tutti gli atti della causa;
Relatore nell’udienza pubblica del giorno 21 gennaio 2016 il Cons. Sandro Aureli e uditi per le parti gli avvocati Sarzana e gli avvocati dello Stato Scino e Fedeli;
Ritenuto e considerato in fatto e diritto quanto segue.
FATTO e DIRITTO
La sentenza appellata ha annullato l’art. 10, comma 3, lett. a) del D.P.C.M. 24 ottobre 2014, impugnato in primo grado dalle associazioni appellate, con il quale erano state definite le caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID) e stabiliti tempi e modalità di adozione del sistema SPID da parte di pubbliche amministrazioni ed imprese.
In tal senso ha concluso il primo giudice, avvalendosi dei seguenti argomenti:
la previsione, tra i requisiti per l’accreditamento dei gestori dell’identità digitale, del possesso, da parte della società di capitali, da costituire obbligatoriamente, di un capitale sociale di 5 milioni di euro non è basata su alcuna percepibile caratteristica tecnica e/o organizzativa del servizio né ricavabile da alcuna fonte normativa di grado superiore.
E ciò con la conseguenza che dal sistema SPID, a seguito dell’introduzione di requisito di capitale sociale di quel genere, restano escluse tutte quelle imprese che già esercitano un’attività di identificazione nello specifico settore di operatività, generando nel contempo una perdita per pubblica amministrazione che, invece, potrebbe contare ab initio, in questo settore, sulla presenza di medie imprese sul territorio.
Si tratta in via definitiva di un requisito che si rivela sproporzionato rispetto al fine voluto dalla norma e che, oltretutto, introduce un ingiustificato sbarramento per l’accesso al mercato di riferimento.
D’altra parte, il prescritto requisito di capitale sociale minimo introduce un limite privo di alcuna ragionevolezza, considerato che l’articolo 4 del decreto impugnato, ai commi 2, 3 e 4, prevede che l’Agenzia adotti regolamenti per definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, le modalità di accreditamento dei soggetti SPID, nonché le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale: norme integrative che già prevedono dei requisiti molto rigorosi e selettivi per l’esercizio dell’attività di identificatore, non essendo quindi necessario subordinare lo svolgimento di tale attività al raggiungimento di una soglia così elevata di capitale sociale.
La Presidenza del Consiglio dei Ministri chiede la riforma della sentenza di primo grado sostenendo che, diversamente da quanto argomentato dal primo giudice e dalle associazioni appellate, l’elevato capitale sociale richiesto sarebbe collegato all’affidabilità del sistema dell’identità digitale che è, a sua volta, elemento fondamentale per il sistema Paese.
Ciò in quanto l’eventuale assenza di affidabilità di uno dei gestori dell’identità del sistema SPID avrebbe ripercussioni che andrebbero ben oltre i problemi derivanti dall’uso diretto delle identità.
Infatti l’affidabilità dei gestori dell’identità digitale (gestori di servizio pubblico ai sensi dell’art. 1, comma 1, lettera I) del DPCM 24 ottobre 2014) è un elemento critico per il Paese e, in tale ottica, il DPCM ha ritenuto di individuare nel capitale sociale necessario all’accreditamento dei gestori di identità un elemento sostanziale a garanzia dell’affidabilità dei gestori medesimi.
In tale ambito parte appellante aggiunge che un’adeguata polizza assicurativa può assicurare tale requisito, anche se al fine del DPCM non è quello di garantire che il gestore sia in grado di risarcire eventuali danni provocati – sebbene tale capacità debba comunque essere salvaguardata – ma piuttosto che tale eventualità non si verifichi.
Qualora questo accadesse, l’intero sistema cadrebbe, provocando un arretramento tecnologico del Paese, che si verificherebbe non solo nell’ambito dell’accesso ai servizi in rete per mezzo delle identità SPID, ma anche negli ambiti precedentemente elencati e nei loro contesti di applicabilità.
L’alta affidabilità del sistema SPID è, inoltre, indispensabile in quanto le pubbliche amministrazioni non potranno discriminare l’accesso ai propri servizi, avendo l’obbligo di adottare il sistema SPID (art.64, comma 2-quater d.lgs. 7 marzo 2005 n.82) e di consentire l’accesso ai propri servizi in rete (comma 2, medesimo articolo).
I soggetti che hanno le conoscenze tecnologiche previste per la realizzazione dei servizi in capo ai gestori di identità SPID, del resto, non sarebbero esclusi dal mercato, ma potrebbero sempre offrire i propri servizi per la realizzazione di quanto necessario anche alle pubbliche amministrazioni.
Va inoltre ricordato, sottolinea la difesa erariale, che il DPCM 24 ottobre 2014 è stato emanato ai sensi dell’articolo 64, comma 2-sexies, lett. b), del D.Lgs. 7 marzo 2005 n. 82, dove si prevede che con il decreto siano “definite le caratteristiche del sistema SPID, anche con riferimento: alle modalità e ai requisiti necessari per l’accreditamento dei gestori dell’identità digitale”.
La previsione di un capitale sociale minimo rientrerebbe nella definizione – ragionevole e proporzionata all’importanza del progetto – dei requisiti necessari per l’accreditamento, ed è volta alla salvaguardia di un interesse generale.
Il capitale minimo fissato, secondo la difesa erariale, non sarebbe affatto sproporzionato ove si consideri che l’identità digitale delle persone e delle imprese è un tema di fondamentale importanza per lo sviluppo economico, civile e sociale del Paese che accompagna il processo di digitalizzazione della pubblica amministrazione.
Poiché, inoltre, tra gli obiettivi del sistema SPID vi è la possibilità di utilizzare le identità digitali SPID per richiedere ed ottenere tramite rete il rilascio della firma digitale, la necessaria affidabilità dei gestori SPID è stata ritenuta non inferiore a quella dei certificatori di firma digitale, che richiede la forma giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell’autorizzazione alla attività bancaria.
Non poteva quindi essere ignorato che, attraverso l’identità SPID, possono compiersi operazioni che richiedono il possesso di una firma digitale e un elevatissimo grado di affidabilità.
Le associazioni appellate, collocandosi sulla linea tracciata dalla motivazione della sentenza impugnata, ne hanno chiesto la conferma con argomenti che evidenziano l’irrilevanza dei motivi dell’appello del quale chiedono il rigetto.
Le parti hanno depositato memorie, replicando in vista dell’udienza di discussione alle deduzioni avversarie. Quindi la causa è stata trattenuta in decisione.
La Sezione, nel condividere gli argomenti della sentenza impugnata, ritiene che l’appello debba essere rigettato.
Non può condividersi infatti l’argomento invocato dall’appellante Presidenza del Consiglio dei Ministri, secondo cui l’elevato capitale sociale minimo di 5 mln di euro della società di capitali, alla cui costituzione debbono procedere i gestori dell’identità digitale nel sistema SPID, sarebbe indispensabile per dimostrare la loro affidabilità organizzativa, tecnica e finanziaria, e ciò solo perché l’attività di cui trattasi richiede un rilevante apporto di elevata tecnologia, la cui validità non può ritenersi direttamente proporzionale al capitale sociale versato.
In questi termini, si evidenzia altresì l’illegittimità per irragionevolezza dell’impedimento all’accesso al mercato di riferimento, dovuto all’elevato importo del capitale sociale minimo richiesto con l’atto impugnato, trattandosi di scelta rivolta a privilegiare una finalità di incerta efficacia, a fronte della sicura conseguenza negativa di vedere escluse dal mercato stesso tutte le imprese del settore di piccole e medie dimensioni, quali appunto quelle rappresentate dalle associazioni ricorrenti.
Il primo giudice ha evidenziato che nessuna fonte normativa di grado superiore prevede il possesso del capitale di 5 milioni di euro per l’accreditamento dei gestori dell’identità digitale.
In realtà, va osservato che il regolamento impugnato discende dall’art.17- ter del D.L. 21 giugno 20130 n.69, che ha inserito nel comma 2 dell’art.64 del codice dell’amministrazione digitale, (d.lvo 7 marzo 2005 n. 82) la definizione, in base ad un successivo regolamento, delle caratteristiche del sistema SPID, prevedendo che queste vengano stabilite “anche con riferimento:…b) alle modalità e ai requisiti per l’accreditamento dei gestori dell’identità digitale” ( lett.b del comma 2-sexies dell’art. 17-ter cit.).
Tuttavia non è privo di significato, nello sviluppo delle argomentazioni spese del primo giudice, che la Sezione intende far proprie in questa sede ( Corte di Cassazione Sez. III^ Civ. n.18487/2015), il richiamo che la Presidenza appellante effettua, a proposito dell’entità del capitale sociale, alla disciplina legale dei gestori di firma digitale (art. 29 del codice dell’amministrazione digitale cit.), che viene a sua volta rapportato “a quello necessario ai fini dell’autorizzazione all’attività bancaria” .
Senonchè com’è evidente, si tratta in quest’ultimo caso di “ identità digitali forti” , che in quanto tali sono state direttamente disciplinate dalla legge allo scopo di rafforzare la garanzia dell’ “uso pubblico” della firma digitale, quali la carta d’identità elettronica e la carta nazionale dei servizi, che consentono l’accesso in rete ai servizi erogati dalle pubbliche amministrazioni (cfr. l’art. 10, 3° comma, del D.L. 13 maggio 2011 n. 70, come sostituito dall’art. 1 del D.L. 18 ottobre 2012 n. 179 conv. con L. 17 dicembre 2012 n. 221).
Contrapposte ad esse sono le “identità deboli”, com’è quella collegata al sistema SPID , che vengono utilizzate dagli operatori on line per l’accesso a servizi digitali non pubblici (e-mail, social network, e–commerce), utilizzando una sostanzialmente una password eventualmente insieme ad altre credenziali d’accesso.
L’appartenenza alle dette “identità deboli” delle modalità d’accesso al sistema SPID, sottolineata dalle associazione appellanti, viene confermata, ad avviso della Sezione, proprio dall’utilizzazione della fonte regolamentare in luogo della “fonte normativa di grado superiore”, la cui assenza è stata sottolineata dal primo giudice.
E’, invero, proprio il diverso grado che quella norma riveste nella gerarchia delle fonti, a rendere di per sé incongrua la previsione, attraverso un regolamento, del possesso del capitale di 5 milioni di euro per l’accreditamento dei gestori dell’identità digitale.
Quest’ultima condizione, seguendo la logica della Presidenza appellante, per essere in linea con la voluntas legis invocata, avrebbe invero richiesto, come per la firma digitale, che la sua introduzione fosse recata da un atto avente forza di legge, piuttosto che da una fonte subordinata quale il regolamento, mentre così non è stato.
A tale proposito, va ricordato che nel sistema SPID un ruolo di rilievo preminente è riconosciuto all’AGID, per i poteri di vigilanza che ad essa spettano proprio con riferimento agli aspetti dell’affidabilità del sistema dell’identità digitale rilasciata dai gestori che essa stessa ha il compito di accreditare.
All’AGID, infatti, spetta la verifica puntuale e continua dell’affidabilità organizzativa, tecnica e finanziaria delle società accreditate, attività che non esclude certamente, ricorrendone le condizioni, la facoltà di sospendere o revocare l’accreditamento, anche in via preventiva. La previsione di questi penetranti poteri pubblici di vigilanza fanno sì che la richiesta di una misura tanto elevata del capitale sociale per l’esercizio dell’attività di identificazione, appaia senz’altro sproporzionata.
Attesa la novità della controversia le spese possono essere compensate.
P.Q.M.
Il Consiglio di Stato in sede giurisdizionale (Sezione Quarta), definitivamente pronunciando sull’appello, come in epigrafe proposto, lo respinge.
Spese compensate.
Ordina che la presente sentenza sia eseguita dall’autorità amministrativa.
Così deciso in Roma nella camera di consiglio del giorno 21 gennaio 2016 con l’intervento dei magistrati:
Sergio Santoro, Presidente
Sandro Aureli, Consigliere, Estensore
Fabio Taormina, Consigliere
Leonardo Spagnoletti, Consigliere
Alessandro Maggio, Consigliere
DEPOSITATA IN SEGRETERIA
Il 24/03/2016
IL SEGRETARIO
(Art. 89, co. 3, cod. proc. amm.)
