Autore Topic: SPID (identità digitale) - tutto da rifare - TAR Lazio ANNULLA il DPCM  (Letto 2139 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline Staff Omniavis

  • Administrator
  • Membro Super
  • *****
  • Post: 32.138
  • Lo Staff Omniavis
    • Mostra profilo
    • Omniavis.it
    • E-mail
SPID (identità digitale) - tutto da rifare - TAR Lazio ANNULLA il DPCM
« Risposta #1 il: 22 Luglio 2015, 07:03:07 »
SPID (identità digitale) - tutto da rifare - TAR Lazio ANNULLA il DPCM

Tar Lazio, Roma, sez. I, sentenza 21 luglio 2015 n. 9951



N. 09951/2015 REG.PROV.COLL.

N. 02833/2015 REG.RIC.

logo

REPUBBLICA ITALIANA


IN NOME DEL POPOLO ITALIANO

Il Tribunale Amministrativo Regionale per il Lazio

(Sezione Prima)

ha pronunciato la presente
SENTENZA

sul ricorso numero di registro generale 2833 del 2015, proposto da:
Assoprovider Associazione Provider Indipendenti Confcommercio, in persona del legale rappresentante p.t., Assintel - Associazione Nazionale Imprese Itc - Confcommercio, in persona del legale rappresentante p.t., rappresentate e difese dall'avv. Salvatore Fulvio Sarzana Di Sant'Ippolito, con domicilio eletto presso Fulvio Sarzana Di S.Ippolito in Roma, Via Velletri, 10;
contro
Presidenza del Consiglio dei Ministri, rappresentata e difesa per legge dall'Avvocatura Generale Dello Stato, presso i cui Uffici è domiciliata in Roma, Via dei Portoghesi, 12;
nei confronti di
Società Telecom Italia Trust Technologies Srl, in persona del legale rappresentante p.t., Società Assocertificatori, in persona del legale rappresentante p.t., non costituite;
per l'annullamento
previa sospensione dell'esecuzione,
- del Decreto del Presidente del Consiglio dei Ministri del 24.10.2014, pubblicato sulla G.U. n. 285 del 9 dicembre 2014 e di ogni altro atto, anche non cognito, connesso, conseguente, coordinato, precedente o successivo all'atto impugnato in via principale.

Visti il ricorso e i relativi allegati;
Visto l'atto di costituzione in giudizio della Presidenza del Consiglio dei Ministri;
Viste le memorie prodotte dalle parti a sostegno delle rispettive difese;
Visti tutti gli atti della causa;
Relatore nell'udienza pubblica del giorno 17 giugno 2015 la dott.ssa Rosa Perna e uditi per le parti i difensori come specificato nel verbale;
Ritenuto e considerato in fatto e diritto quanto segue.

FATTO
1.Con il ricorso in epigrafe Assoprovider e Assintel (di seguito anche “Associazioni” o “ricorrenti”), premesso di essere, la prima, un’associazione di categoria di operatori di comunicazione elettronica di servizi accessibili al pubblico e affiliata all'organigramma nazionale di Confcommercio, la seconda, una primaria associazione del mercato ICT, interlocutore e catalizzatore per le imprese dell'Information & Communication Technology italiana, impugnano il decreto del Presidente del Consiglio dei Ministri del 24 ottobre 2014 (pubblicato in Gazzetta Ufficiale 9 dicembre 2014, n. 285), dedicato alla istituzione dello SPID, sistema pubblico per la gestione dell’identità digitale di cittadini e imprese.
1.2 Il Sistema Pubblico di Identificazione è l'infrastruttura nazionale di identificazione dei cittadini italiani prevista per l'accesso a servizi online della pubblica amministrazione e dei privati.
Tale sistema è un insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'AGID (Agenzia per l'Italia Digitale), gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni.
Le identità digitali sono rilasciate, a domanda dell'interessato, dal gestore dell'identità digitale previa verifica dell'identità del soggetto richiedente e mediante consegna in modalità sicura delle credenziali di accesso.
Con l'istituzione del sistema SPID, le pubbliche amministrazioni devono consentire l'accesso online ai propri servizi solo mediante le carte di autenticazione già previste dalla normativa oppure tramite il sistema SPID.
1.3 Lo SPID è stato previsto nella normativa italiana dall'articolo 17-ter del Decreto-Legge 21 giugno 2013, n. 69 che ne ha delegato al Governo l'implementazione. Con il D.P.C.M. 24 ottobre 2014, oggetto dell’odierno gravame, sono state definite le caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID) e stabiliti tempi e modalità di adozione del sistema SPID da parte di pubbliche amministrazioni ed imprese.
1.3.1 Venendo ai contenuti del decreto impugnato, le ricorrenti rappresentano che:
- l'articolo 1, nel delineare la categoria del "fornitore di servizi" della società dell'informazione, definisce tale soggetto come “il fornitore dei servizi della società dell'informazione definiti dall’art. 2, comma l, lettera a) del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un’amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete” aggiungendo che “I fornitori di servizi inoltrano le richieste di identificazione informatica dell'utente ai gestori dell'identità digitale e ne ricevono l'esito. I fornitori di servizi, nell'accettare l'identità digitale, non discriminano gli utenti in base al gestore dell'identità digitale che l'ha fornita”.
- il punto II dell'articolo 1 del DPCM che definisce i “gestori dell'identità digitale” come “le persone giuridiche accreditate allo SPID che, in qualità di gestori di servizio pubblico, previa identificazione certa dell'utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica”, chiarendo che “Essi inoltre forniscono i servizi necessari a gestire l'attribuzione dell'identità digitale degli utenti, la distribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite e l'autenticazione informatica degli utenti”;
- tali ultimi soggetti possono divenire "gestori dell'identità digitale" presso l’AGID attraverso una procedura di accreditamento prevista dal successivo articolo 10;
- il punto 3 dell’articolo 10 prevede, inter alia, quali requisiti richiesti per ottenere l'accreditamento: (a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni di euro; (b) garantire il possesso, da parte dei rappresentanti legali, dei soggetti preposti all'amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'art. 26 del decreto legislativo 1° settembre 1993, n. 385”;
- il punto 4 dell’articolo 10 specifica che le lettere a) e b) del comma 3 non si applicano alle pubbliche amministrazioni che chiedono l'accreditamento al fine di svolgere l'attività di gestore dell'identità digitale.
1.3.2 Nell’evidenziare che i descritti requisiti non sono previsti anche per le Pubbliche Amministrazioni - le quali, in ogni caso, per esercitare tale attività dovranno avvalersi di soggetti privati esterni - e che dunque la norma in questione opera una doppia esclusione delle imprese appartenenti alle categorie che hanno incardinato il presente giudizio, le Associazioni lamentano che le prescrizioni in esame ledono direttamente i diritti delle categorie da esse rappresentate.
E invero, entrambe le associazioni hanno al proprio interno le aziende definite dall'art. 1 del decreto impugnato ovvero (quelle) previste dall'art. 2, comma l, lettera a), del decreto legislativo 9 aprile 2003 n. 70, o dei servizi di un'amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete,
La lesione dei diritti dei ricorrenti deriverebbe, da un lato, dall'assenza di qualsivoglia interazione preventiva da parte della Presidenza del Consiglio, diversamente da quanto avvenuto con rappresentanti di altre Associazioni presenti nella norma; dall'altro, dalla circostanza che gli Associati delle odierne ricorrenti, nel loro complesso, non potranno mai effettuare le attività previste dal decreto come gestori dell’identità digitale, a causa dell'elevato capitale sociale immotivatamente previsto.
2. Questi i motivi di impugnazione dedotti con il ricorso:
I) Eccesso di potere per violazione del principio di imparzialità e di pubblicità dell'attività della pubblica amministrazione. Difetto di istruttoria. Violazione del principio di partecipazione procedimentale:
Le ricorrenti non sarebbero state chiamate a partecipare all’adozione del provvedimento, mentre l’Amministrazione avrebbe interloquito solo con alcune associazioni nel corso di un incontro del 9 giugno 2014.
II) Eccesso di potere per mancanza di idonei parametri di riferimento che consentano di assicurare alle imprese eguale trattamento. Eccesso di potere per mancanza di motivazione. Ingiustizia manifesta. Sviamento di potere, Perplessità, Violazione del principio di ragionevolezza tecnica:
La previsione del requisito di un capitale minimo di 5 milioni di euro per l’accreditamento costituirebbe un ingiustificato sbarramento per l’acceso al mercato.
III) Eccesso di potere per violazione dei principi Comunitari di Ragionevolezza e proporzionalità nel sottrarre le pubbliche Amministrazioni agli obblighi previsti per le imprese e nell'indicare limiti all'accesso alle attività di identificatori digitali connessi ai capitale sociale di cinque milioni di euro. Violazione dei principi posti a tutela della libera concorrenza e del mercato:
L’esenzione dei soggetti pubblici dai requisiti previsti per le imprese ed il limite relativo al capitale sociale per i soggetti privati evidenzierebbero un palese conflitto della norma con i principi comunitari di ragionevolezza e proporzionalità;
IV) Violazione di legge per contrarietà delle Disposizioni contenute nel Decreto impugnato con il Regolamento (UE) N. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE:
I requisiti di accreditamento in questione sarebbero altresì in contrasto con quanto previsto dal Regolamento (UE) N. 910/2014 sotto il profilo della previsione di un capitale minimo e della forma giuridica richiesta.
3. Nel presente giudizio si è costituita la Presidenza del Consiglio dei Ministri per resistere al ricorso e chiederne il rigetto.
4. Alla Pubblica Udienza del 17 giugno 2015 la causa è stata trattenuta in decisione.
DIRITTO
1. Il ricorso è fondato per le ragioni di seguito indicate.
2. Come la ricorrente compiutamente evidenzia con il secondo e il terzo motivo di gravame, il decreto impugnato è affetto, nella parte contestata, da eccesso di potere per mancanza di idonei parametri di riferimento che consentano di assicurare alle imprese eguale trattamento rispetto all’accesso al nuovo Sistema SPID, oltre che per violazione dei principi di ragionevolezza e proporzionalità, in quanto sottrae le pubbliche Amministrazioni agli obblighi previsti per le imprese.
2.1 Nello specifico, la previsione, tra i requisiti per l’accreditamento dei gestori dell’identità digitale, del possesso di capitale sociale di 5 milioni di euro non è basata su alcuna percepibile caratteristica tecnica e/o organizzativa del servizio né è ricavabile da alcuna fonte normativa di grado superiore.
La difesa erariale genericamente attribuisce ai prescritti requisiti di capitale sociale la funzione di selezionare i soggetti idonei per l’accreditamento, reputando ciò necessario ai fini della serietà nella predisposizione del relativo servizio.
Osserva in contrario il Collegio che, in realtà, tale requisito, come posto in luce dalla difesa delle Associazioni, costituisce solo un limite all'ingresso nel mercato di soggetti che sarebbero comunque in grado di possedere le relative competenze.
E invero, gli Associati di Assoprovider e Assintel già sono tenuti ad adottare gli strumenti tecnici più sicuri e innovativi per l'identificazione dei propri clienti, sia ai sensi dell’art. 6 della L. 31 luglio 2005, n. 155 ("Conversione in legge, con modificazioni, del decreto-legge 27 luglio 2005, n. 144, recante misure urgenti per il contrasto del terrorismo internazionale"), rubricato “Nuove norme sui dati del traffico telefonico e telematico”, sia in ossequio alle disposizioni di legge che regolano l’attività di wireless provider, le quali impongono l’identificazione dei propri clienti e degli utenti dei propri servizi attraverso la presentazione del documento di identità nonché l'uso della tecnologia più avanzata per l'identificazione dei movimenti degli utenti.
Ne consegue che il sistema SPID, nell’introdurre un requisito di capitale sociale di quel genere, viene ad escludere tutte quelle imprese che già esercitano un’attività di identificazione nello specifico settore di operatività, nel contempo generando una perdita per lo Stato che invece potrebbe contare ab initio sulla presenza di medie imprese sul territorio.
2.2 Inoltre, il prescritto requisito di capitale sociale pone un limite che non persegue nemmeno una finalità logica, considerato che l'articolo 4 del decreto impugnato, ai commi 2, 3 e 4, prevede che l'Agenzia adotti regolamenti per definire le regole tecniche e le modalità attuative per la realizzazione dello SPID, le modalità di accreditamento dei soggetti SPID, nonché le procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale: e tali norme integrative già prevedono dei requisiti molto stringenti per l'esercizio dell'attività di identificatore, senza che aggiuntivamente si palesi la necessità di subordinare lo svolgimento della ripetuta attività al raggiungimento di una soglia così elevata di capitale sociale.
2.3 Il requisito si appalesa dunque sproporzionato rispetto al fine che la norma intende perseguire e, laddove è inoperante per i soggetti pubblici, dà luogo anche ad una indebita discriminazione in favore di questi ultimi, in contraddizione col principio comunitario che impone l'adozione di regole finalizzate a non trattare in modo diverso situazioni analoghe (Tar Piemonte, sez. I, 4 settembre 2009, n. 2260), a meno che non ricorrano situazioni oggettive che giustifichino siffatta diversità, che nella specie restano indimostrate.
Per completezza di analisi si soggiunge che l’applicazione della nuova disciplina provocherebbe, necessariamente, effetti distorsivi del mercato, cagionando una rarefazione della concorrenza nel settore de quo che avvantaggerebbe direttamente i soggetti pubblici, esclusi dal rispetto del requisito in esame, e sottrarrebbe ampie e innovative aree di attività economiche all’iniziativa economica imprenditoriale privata, in contrasto con la finalità di massima apertura del mercato che costituisce essenza dell’ordinamento comunitario (Tar Piemonte, cit.).
2.4 Ne discende che la disposizione in esame (art. 10, comma 3, lett. a) del decreto), oltre ad essere viziata da eccesso di potere per le ragioni sopra indicate, risulta in contrasto con i principi comunitari di tutela della concorrenza, parità di trattamento e non discriminazione, che si pongono quali diretti parametri di legittimità dell’atto nazionale e sono idonei a fondare il conclusivo giudizio di invalidità del medesimo.
3. Il ricorso è dunque fondato e, assorbita ogni altra censura o deduzione, va accolto, con conseguente annullamento in parte qua dell’atto impugnato.

8. Le spese seguono la soccombenza e restano liquidate come in dispositivo.
P.Q.M.
Il Tribunale Amministrativo Regionale per il Lazio (Sezione Prima)
definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie nei limiti di cui in motivazione e, per l’effetto, annulla in parte qua l’atto impugnato.
Condanna la Presidenza del Consiglio dei Ministri al pagamento nei confronti delle ricorrenti delle spese del presente giudizio, che liquida complessivamente e forfetariamente in euro 3.000,00 (=tremila/00), da dividere in parti uguali.
Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.
Così deciso in Roma nella camera di consiglio del giorno 17 giugno 2015 con l'intervento dei magistrati:
Luigi Tosti,   Presidente
Rosa Perna,   Consigliere, Estensore
Ivo Correale,   Consigliere
       
       
L'ESTENSORE      IL PRESIDENTE
       
       
       
       
       
DEPOSITATA IN SEGRETERIA
Il 21/07/2015
IL SEGRETARIO
(Art. 89, co. 3, cod. proc. amm.)



« Ultima modifica: 28 Luglio 2015, 21:04:42 da Staff Omniavis »
******************
Omniavis srl - Firenze, Lungarno Colombo 44
info@omniavis.it - Tel. 055 6236286 - www.omniavis.it

Seguici sui social:
FACEBOOK: https://www.facebook.com/groups/omniavisnews/
TWITTER: https://twitter.com/omniavis
LINKEDIN: https://twitter.com/omniavis
YOUTUBE: https://www.youtube.com/user/omniavis
TELEGRAM: https://telegram.me/omniavis
SEZIONE ABBONATI: http://www.omniavis.it/web/forum/index.php?topic=24906.0

Forum del Portale Omniavis.it

SPID (identità digitale) - tutto da rifare - TAR Lazio ANNULLA il DPCM
« Risposta #1 il: 22 Luglio 2015, 07:03:07 »