E’ oramai noto che l’Italia va verso l’adozione del sistema dell’identità digitale o, come è stato battezzato dal nostro legislatore “SPID”, un’identità che consentirà di accedere a tutti i siti e servizi della Pubblica Amministrazione e ai siti privati che vorranno aderire al sistema.
Gli “addetti ai lavori” sanno che la norma che introduce nel sistema lo “SPID” è stata da tempo approvata: essa è contenuta nel Decreto del Fare (D.Lgs. 98/2013) all’art. 17-ter.
I primi commenti a tale norma pongono alcuni interessanti interrogativi sul comma 2-quinquies di tale norma il quale prevede: “Ai fini dell’erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell’identità digitale dei propri utenti. L’adesione al sistema SPID per la verifica dell’accesso ai propri servizi erogati in rete per i quali è richiesto il riconoscimento dell’utente esonera l’impresa da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell’articolo 17 del decreto legislativo 9 aprile 2003, n. 70.”
Alcuni rilevano che un obbligo generale di sorveglianza, ai sensi della Direttiva e-commerce, come applicata dalla giurisprudenza della Corte di Giustizia UE già non sarebbe presente e si chiedono cosa dunque intenda il legislatore. Si pensi infatti alla sentenza Sabam / Scarlet Extended, la quale chiarisce che non è possibile imporre ad un provider Internet un obbligo generale di sorveglianza e detta i criteri per cui è possibile richiedere specifiche attività di sorveglianza in rete.
E’ dunque interessante cercare una interpretazione della previsione sull’esenzione dall’obbligo di sorveglianza per i siti che adottano l’identità SPID che sia valida e conforme, essendo questo certamente l’intento del legislatore.
Anzitutto è opportuno notare che la norma non parla di sorveglianza in rete, ma di sorveglianza sui siti; inoltre la norma aggiunge l’espresso riferimento all’art. 17 del D.Lgs. 70/2003.
La norma esenta dunque il sito non da un obbligo di sorveglianza tout court ma da un “obbligo di sorveglianza ai sensi dell’art. 17 del D.Lgs. 70/2003”, dunque da quel particolare obbligo che sia previsto da questa norma (o, almeno, così pare!).
Partiamo proprio dall’art. 70/2003: la stessa norma citata al comma 1 chiarisce che “il prestatore” non è tenuto ad un obbligo di sorveglianza ma è “comunque” tenuto: “ad informare senza indugio l’autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell’informazione e a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.”.
Questo dunque sembrerebbe l’obbligo da cui il sito che adotta l’identità digitale viene esentato.
L’esenzione parrebbe calzante: in entrambi i casi il prestatore si occupa di identificare un proprio utente mentre, il prestatore che adotta un sistema di identità digitale, non avendo la gestione dell’identità digitale, potrà limitarsi a riferire che non si occupa del controllo dell’identità e delegare ogni incombenza al sistema degli identity provider.
La norma pare dunque avere il fine di chiarire che il sito che adotta identità digitale, non è a conoscenza dell’identità dei propri utenti o può non esserlo poiché la gestione delle identità è esterna ed avviene in modo sicuro.
Esso pertanto “perde” la responsabilità di riferire informazioni ed identità che non possiede e che non devono più essere richieste al sito ma, eventualmente all’identity provider competente.
Un esempio può essere utile per meglio chiarire.
Il sito www.servizioutile.it adotta, quale sito privato, il sistema SPID.
La home page del sito presenterà una casella “Accedi con SPID”.
L’utente che accede attraverso quella casella inserirà il suo identificativo SPID (ipotizziamo sia eugenioprosperetti@spid.org non è però detto che abbia la forma di un indirizzo email) e verrà traferito presso il suo identity provider, ad altro sito. L’identity provider che ha in gestione l’identità sarà riconosciuto a partire dal tipo di login SPID inserito.
Presso l’identity provider avverrà la verifica dell’identità digitale, nei modi previsti dall’identity provider di riferimento e, se questa avrà successo, il sito www.servizioutile.it riceverà l’informazione che l’utente è stato identificato.
Se l’utente lo ha autorizzato il sito potrà anche ricevere dei dati dall’identity provider (es. il nome e cognome, la conferma che l’utente è maggiorenne, ecc.), per il resto l’utente identificato, ritrasferito sul sito, continuerà le normali operazioni sul sito del servizio prescelto con la differenza che il sito saprà di avere a che fare con una persona identificata e reale.
E’ dunque chiaro che la gestione delle credenziali e dell’identità avviene con il sistema SPID fuori dal sito e, dunque, si comprende perché il legislatore abbia voluto precisare che il sito che usa SPID è “esentato” dagli obblighi (per quanto vigenti) di dover trasmettere informazioni/identità di utenti che risultino aver commesso illeciti: ad impossibilia nemo tenetur!
