SPID: ampliata la cerchia dei soggetti che possono diventare gestori dell’Identità Digitale
Si allarga la cerchia dei soggetti che possono richiedere l’accreditamento come gestore dell’Identità Digitale. Tutte le persone giuridiche riconosciute, quindi non solo società di capitali, ma anche enti pubblici, associazioni o fondazioni, purchè abbiano un capitale sociale non inferiore a trecento mila euro, possono diventare gestori dell’Identità Digitale.
E’ questo quanto prevede il nuovo DPCM del 19 ottobre 2021 pubblicato sulla Gazzetta Ufficiale serie generale 296 del 14 dicembre 2021 che modifica il DPCM 24 ottobre 2014 recante «Definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonchè dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese».
Il nuovo decreto ha sostanzialmente accolto le pronunce del Consiglio di Stato del 24 marzo 2016, n. 01214/2016, del Tribunale amministrativo regionale per il Lazio del 21 luglio 2015, n. 09951/2015, nonchè la sentenza del Tribunale amministrativo regionale per il Lazio del 13 ottobre 2016, n. 10214, con cui i giudici amministrativi rilevarono, in maniera definitiva, che l’affidabilità di un Identity Provider non possa essere valutata sulla base del capitale sociale, requisito che veniva richiesto dal DPCM 24 ottobre 2014 per le aziende che avevano interesse a diventare gestori dell’Identità Digitale Spid.
Nella specie, il Decreto della Presidenza del Consiglio dei Ministri del 2014, all’articolo 10 comma 3, prevedeva, tra gli altri requisiti, che, ai fini dell’accreditamento come gestore dell’Identità Digitale, l’interessato dovesse dimostrare di avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni di euro.
Richiedendo un capitale così elevato, veniva, in tal modo, impedito alle piccole e medie imprese italiane operanti nel settore ICT di poter diventare fornitore dell’identità digitale, mentre parlando solo di società di capitali venivano escluse, di fatto, le altre persone giuridiche contemplate dal nostro ordinamento.
A seguito di numerosi ricorsi, le associazioni di categoria hanno pertanto ottenuto pronunce favorevoli in tal senso.
Nel frattempo, con riferimento ai requisiti che i gestori dell’identità digitale devono possedere è inoltre sopraggiunta la normativa europea, specificamente dettata dall'art. 1, comma 2 e dal numero 2.4.1 (Disposizioni generali) dell'allegato al regolamento di esecuzione (UE) 2015/1502 della Commissione dell'8 settembre 2015, secondo cui i fornitori di un servizio correlato all'identificazione elettronica devono essere «un'autorità pubblica o un'entità giuridica riconosciuta come tale dall'ordinamento giuridico di uno Stato membro, avente un'organizzazione consolidata e pienamente operativa sotto tutti gli aspetti pertinenti per la fornitura dei servizi» ed essere «in grado di dimostrare il possesso della capacità di assumere il rischio della responsabilità per danni, nonchè di risorse finanziarie sufficienti per l'esercizio e la prestazione continuativa dei servizi».
L’odierno DPCM, pertanto, tiene conto di tali interventi giurisprudenziali e normativi e aggiungendo una ulteriore lettera all’articolo 10 del DPCM del 24 ottobre 2014 con cui si prevede che anche una persona giuridica riconosciuta, con un patrimonio o un capitale sociale non inferiore a trecentomila euro e con un'organizzazione consolidata e pienamente operativa sotto tutti gli aspetti pertinenti per la fornitura dei servizi, possa diventare gestore dell’identità digitale.
Un capitale limite viene comunque considerato nella disposizione, in quanto si ritiene che al di là dei requisiti tecnici e di sicurezza comunque imposti per l'accreditamento e l'esercizio del servizio, deve comunque prevedersi il possesso da parte del gestore dell'identita' digitale di un'organizzazione consolidata e pienamente operativa e di risorse finanziarie, in termini di capitale o patrimonio minimo, di importo adeguato rispetto all'organizzazione e alle risorse necessarie per lo svolgimento continuativo della propria attività.
Viene, inoltre, imposto l’obbligo a tutti coloro che siano interessati a diventare gestori dell’identità digitale di dotarsi di una polizza assicurativa a copertura del risarcimento dei danni causati, con dolo o colpa, a qualsiasi persona fisica o giuridica a causa del mancato adempimento degli obblighi connessi alla gestione del sistema SPID.
Tale copertura assicurativa deve essere di almeno 1,5 milioni di euro annui e centocinquantamila euro per singolo sinistro.
Un requisito quello assicurativo che si ritiene adeguato rispetto ai rischi connessi alla fornitura di un servizio di sempre maggiore diffusione, che consente l'accesso a servizi erogati in rete sul presupposto dell'identificazione personale dell'utente.