Per i nostri servizi potrebbero essere utilizzati cookies anche di terze parti.
Continuando la navigazione accetti l'utilizzo dei cookies.

Ulteriori Informazioni    OK
Dettagli/Details

Nei servizi tecnici il requisito di capitale minimo stabilito con regolamento è ingiustificato

Commento a Decisione Giurisprudenziale - A cura di Fulvio Graziotto - Avvocato in Sanremo (Imperia)


Il Consiglio di Stato conferma la decisione di primo grado, che ha annullato il comma 3, lettera a) dell'articolo 10 del Decreto del Presidente del Consiglio dei Ministri del 24/10/2014 sulla gestione dell'identità digitale (SPID).

Decisione: Sentenza n. 1214/2016 Consiglio di Stato - Sezione IV

Classificazione: Amministrativo

Parole chiave: accreditamento - gestione - requisiti - capitale minimo - SPID



Il caso.



Il Tribunale Amministrativo Regionale del Lazio- Roma annullava l'art. 10, comma 3, lettera a) del Decreto del Presidente del Consiglio dei Ministri del 24/10/2014, impugnato in primo grado da alcune associazioni rappresentative delle imprese nei settori tecnologici.

Il regolamento impugnato definiva le caratteristiche del sistema pubblico per la gestione dell'identità digitale dei cittadini e imprese (SPID).

In particolare, veniva contestato il requisito di un capitale sociale minimo di 5 milioni di euro per l'accreditamento dei gestori dell'identità digitale, con la conseguenza di introdurre un ingiustificato sbarramento per l'accesso al mercato di riferimento.

La Presidenza del Consiglio dei Ministri impugna la decisione di primo grado, ma il Consiglio di Stato rigetta l'appello.



La decisione.

Per il Tribunale Amministrativo Regionale il requisito di un capitale minimo fissato con regolamento non è giustificato: «la previsione, tra i requisiti per l’accreditamento dei gestori dell’identità digitale, del possesso, da parte della società di capitali, da costituire obbligatoriamente, di un capitale sociale di 5 milioni di euro non è basata su alcuna percepibile caratteristica tecnica e/o organizzativa del servizio né ricavabile da alcuna fonte normativa di grado superiore».

Per il giudice di primo grado, il requisito è sproporzionato rispetto al fine voluto dalla legge e introduce un limite privo di ragionevolezza, anche in virtù del fatto che lo stesso decreto impugnato prevede (ai commi 2, 3 e 4) l'adozione di regolamenti per definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, nonché le modalità di accreditamento dei soggetti e le procedure necessarie.

Questo importa la conseguenza che «dal sistema SPID, a seguito dell’introduzione di requisito di capitale sociale di quel genere, restano escluse tutte quelle imprese che già esercitano un’attività di identificazione nello specifico settore di operatività, generando nel contempo una perdita per pubblica amministrazione che, invece, potrebbe contare ab initio, in questo settore, sulla presenza di medie imprese sul territorio».

In sede di appello, la Presidenza del Consiglio dei Ministri argomenta, tra l'altro, che «La previsione di un capitale sociale minimo rientrerebbe nella definizione - ragionevole e proporzionata all'importanza del progetto - dei requisiti necessari per l'accreditamento, ed è volta alla salvaguardia di un interesse generale.

Il capitale minimo fissato, secondo la difesa erariale, non sarebbe affatto sproporzionato ove si consideri che l'identità digitale delle persone e delle imprese è un tema di fondamentale importanza per lo sviluppo economico, civile e sociale del Paese che accompagna il processo di digitalizzazione della pubblica amministrazione».

E nelle argomentazioni spese in primo grado dal Tribunale Amministrativo Regionale, condivise e fatte proprie dal Consiglio di Stato, viene ricordato «il richiamo che la Presidenza appellante effettua, a proposito dell’entità del capitale sociale, alla disciplina legale dei gestori di firma digitale (art. 29 del codice dell’amministrazione digitale cit.), che viene a sua volta rapportato “a quello necessario ai fini dell’autorizzazione all’attività bancaria”».

Ma il Collegio Supremo precisa che «com’è evidente, si tratta in quest’ultimo caso di “ identità digitali forti”, che in quanto tali sono state direttamente disciplinate dalla legge allo scopo di rafforzare la garanzia dell’ “uso pubblico” della firma digitale, quali la carta d’identità elettronica e la carta nazionale dei servizi, che consentono l’accesso in rete ai servizi erogati dalle pubbliche amministrazioni (cfr. l’art. 10, 3° comma, del D.L. 13 maggio 2011 n. 70, come sostituito dall’art. 1 del D.L. 18 ottobre 2012 n. 179 conv. con L. 17 dicembre 2012 n. 221). Contrapposte ad esse sono le “identità deboli”, com’è quella collegata al sistema SPID , che vengono utilizzate dagli operatori on line per l’accesso a servizi digitali non pubblici (e-mail, social network, e–commerce), utilizzando una sostanzialmente una password eventualmente insieme ad altre credenziali d’accesso. L’appartenenza alle dette “identità deboli” delle modalità d’accesso al sistema SPID, sottolineata dalle associazione appellanti, viene confermata, ad avviso della Sezione, proprio dall’utilizzazione della fonte regolamentare in luogo della “fonte normativa di grado superiore”, la cui assenza è stata sottolineata dal primo giudice.

E’, invero, proprio il diverso grado che quella norma riveste nella gerarchia delle fonti, a rendere di per sé incongrua la previsione, attraverso un regolamento, del possesso del capitale di 5 milioni di euro per l’accreditamento dei gestori dell’identità digitale. Quest’ultima condizione, seguendo la logica della Presidenza appellante, per essere in linea con la voluntas legis invocata, avrebbe invero richiesto, come per la firma digitale, che la sua introduzione fosse recata da un atto avente forza di legge, piuttosto che da una fonte subordinata quale il regolamento, mentre così non è stato».

Il Consiglio di Stato, prima di respingere l'appello, ricorda poi che «nel sistema SPID un ruolo di rilievo preminente è riconosciuto all’AGID, per i poteri di vigilanza che ad essa spettano proprio con riferimento agli aspetti dell’affidabilità del sistema dell’identità digitale rilasciata dai gestori che essa stessa ha il compito di accreditare. All’AGID, infatti, spetta la verifica puntuale e continua dell’affidabilità organizzativa, tecnica e finanziaria delle società accreditate, attività che non esclude certamente, ricorrendone le condizioni, la facoltà di sospendere o revocare l’accreditamento, anche in via preventiva. La previsione di questi penetranti poteri pubblici di vigilanza fanno sì che la richiesta di una misura tanto elevata del capitale sociale per l’esercizio dell’attività di identificazione, appaia senz’altro sproporzionata».



Osservazioni.

Con la sentenza richiamata, la Sezione IV del Collegio ha condiviso e fatto propri gli argomenti del giudice amministrativo di primo grado, che ha ritenuto il requisito fissato con una disposizione di rango regolamentare sproporzionato rispetto al fine voluto dalla legge, con l'effetto di introdurre un limite privo di ragionevolezza.

Anche in virtù del fatto che, a differenza delle "identità digitali forti" che sono state disciplinate direttamente dalla legge, si contrappongono le "identità digitali deboli" come quelle collegate al sistema SPID, «che vengono utilizzate dagli operatori on line per l’accesso a servizi digitali non pubblici (e-mail, social network, e–commerce), utilizzando una sostanzialmente una password eventualmente insieme ad altre credenziali d’accesso».

Lo stesso decreto impugnato prevede l'adozione di regolamenti per definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, nonché le modalità di accreditamento dei soggetti e le procedure necessarie.





Disposizioni rilevanti.

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 ottobre 2014

Definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese.

Art. 10 - Accreditamento dei gestori dell'identità digitale

1. Le modalità di richiesta di accreditamento sono definite nei regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4, che possono contenere ulteriori criteri per l'accreditamento delle pubbliche amministrazioni. 2. A seguito dell'accoglimento della richiesta, l'Agenzia stipula apposita convenzione secondo lo schema definito nell'ambito dei regolamenti di cui all'art. 4 e dispone l'iscrizione del richiedente nel registro SPID, consultabile in via telematica. 3. Al fine di ottenere l'accreditamento gli interessati devono: a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni di euro;

b) garantire il possesso, da parte dei rappresentanti legali, dei soggetti preposti all'amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'art. 26 del decreto legislativo 1° settembre 1993, n. 385;

c) dimostrare la capacità organizzativa e tecnica necessaria per svolgere l'attività di gestione dell'identità digitale; d) utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi da fornire. In particolare, il personale addetto alla realizzazione e gestione del sistema informatico deve possedere, in relazione alle attività da svolgere, la competenza gestionale, l'appropriata conoscenza e padronanza delle procedure operative e di sicurezza, nonché delle regole tecniche da applicare. Il gestore provvede al periodico aggiornamento professionale del personale;

e) comunicare all'Agenzia i nominativi e il profilo professionale dei soggetti responsabili delle specifiche funzioni individuate nei regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4; f) essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia;

g) trattare i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196;

h) essere in possesso della certificazione di qualità ISO 9001,

successive modifiche o norme equivalenti. 4. Le lettere a) e b) del comma 3 non si applicano alle pubbliche amministrazioni che chiedono l'accreditamento al fine di svolgere l'attività di gestore dell'identità digitale. 5. L'Agenzia procede, d'ufficio o su segnalazione motivata di soggetti pubblici o privati, a controlli volti ad accertare la permanenza della sussistenza dei requisiti previsti dal presente decreto. Se, all'esito dei controlli, accerta la mancanza dei requisiti richiesti per l'iscrizione nel registro SPID, decorso il termine fissato per consentire il ripristino degli stessi, l'Agenzia, con provvedimento motivato notificato all'interessato, può adottare le azioni previste dall'art. 12.

 

Assistenza su questo argomento

Serve assistenza su questo argomento?

Può essere utile sapere che ci occupiamo anche di tutte le questioni e problematiche legali collegate, tra cui:

  • assistenza in sede stragiudiziale
  • assistenza in sede giudiziale e di contenzioso
  • azioni e tutela a difesa, esecutive e cautelari
  • consulenza
  • due diligence legale
  • esecuzione anche all'estero
  • pareri e raccomandazioni
  • revisione/stesura dei testi
  • ricerche di giurisprudenza sull'argomento
  • riduzione dei rischi legali
  • supporto operativo legale

Qui sotto trovi tutti i riferimenti dello Studio per contattarci con la modalità preferita:

Riferimenti

 

Studio Graziotto

Ufficio principale:
Via G. Matteotti, 194
18038 Sanremo IM
ITALY
Si riceve solo su appuntamento
(recapiti e corrispondenti in varie città)

Richieste:
Appuntamenti: In videoconferenza (Skype®, ecc.)
" In Studio a Sanremo
" Telefonici
" Presso il Cliente
Consulenza: Richiedi una Consulenza
Preventivi: Chiedi un Preventivo gratuito
Domiciliazioni: Domiciliazioni Tribunale di Imperia
Contattaci: Compila il modulo

Riferimenti:
Tel: 0184 189 4317
Fax: 0184 509 510
SMS: 348 001 7380
Email: info@studiograziotto.com
Web: http://www.studiograziotto.com

Prime informazioni e Tariffe:
Info e Tariffe: Informazioni di sintesi e tariffe
Assistenza giudiziale: D.M. Giustizia N. 55 2014 - Nuovi Parametri Forensi

Profilo del Titolare:
LinkedIn®: https://www.linkedin.com/in/fulviograziotto
Scheda di sintesi: Profilo professionale (sintetico)


©
Per aggiornarsi facilmente e rimanere in contatto Aggiornarsi è semplice: aggiungetemi ai vostri contatti e rimarremo in contatto più facilmente.
FacebookFacebook:https://it-it.facebook.com/public/Fulvio-Graziotto
Google+Google+: https://plus.google.com/u/0/+FulvioGraziotto
LinkedInLinkedIn:https://it.linkedin.com/in/fulviograziotto
TwitterTwitter:https://twitter.com/GraziottoFulvio
Memberships
Global Law ExpertsGLE:Global Law ExpertsExclusive Private Equity law expert in Italy
IR Global, world’s leading legal, accountancy and financial advisersIR Global:IR GlobalExclusive M&A Member in Italy
AAALAAAL:Associazione Avvocati Amministrativisti LiguriSocio Aderente
AIDA-IFLAAIDA-IFLA:Associazione Italiana di Diritto AlimentareSocio Ordinario
AIDENAIDEN:Associazione Italiana di Diritto dell'EnergiaSocio Professionista
Camera Civile di ImperiaCamera Civile:Camera Civile di ImperiaSocio Aderente
Coperture assicurative

Polizza assicurativa #IFL0006526.002587 conforme D.M. 22-9-2016 stipulata con MARSH SpA per i seguenti massimali (esclusi Canada e USA):

  • responsabilità civile professionale: massimale di € 2 milioni per sinistro e per periodo assicurativo
  • responsabilità civile terzi conduzione ufficio: massimale di € 500 mila per sinistro e € 2 milioni e per periodo assicurativo
  • responsabilità civile prestatori d'opera: massimale di € 500 mila per sinistro e € 2 milioni e per periodo assicurativo
Dove operiamo

I nostri uffici principali sono a Sanremo (IM), ma assistiamo le aziende in tutta Italia e all'estero.

In particolare, operiamo nelle seguenti località e regioni:

  • Sanremo, Imperia, Savona, Genova, Alessandria, Torino, Milano

  • Liguria, Piemonte, Lombardia, Toscana, Emilia-Romagna, Veneto

Inoltre siamo in grado di prestare un'assistenza globale in oltre 150 giurisdizioni all'estero.

Vuoi approfondire? Contattaci  IT  EN