Il tema della sicurezza delle forniture, soprattutto quelle digitali e ad elevato contenuto tecnologico, è di particolare attualità. Ne sono dimostrazione la vicenda dei termoscanner per il riconoscimento facciale agli ingressi di Palazzo Chigi prodotti e installati da Dahua Technology (società cinese inserita nella Black List degli Stati Uniti per i rischi alla sicurezza nazionale), quella delle telecamere per la videosorveglianza di Hikvision (società anch’essa bandita dagli Stati Uniti, acquistate nel 2017 dal Ministero della giustizia per le sale intercettazioni di numerose Procure italiane), Huawei in partnership con Fastweb nella gara in corso per la rete in fibra di Rai Way.

Questi sono solo gli ultimi casi a sollecitare una riflessione sulle regole seguite per la scelta del contraente nelle gare d’appalto. Ci si interroga in sostanza sulle procedure che hanno consentito l’affidamento di contratti relativi a forniture, sistemi e infrastrutture tecnologiche delicate, per verificare se siano stati scrupolosamente considerati i rischi per la sicurezza nazionale. Si tratta infatti di apparati tecnologici sui quali transitano dati personali e sensibili ai quali è essenziale garantire protezione. È lo stesso regolamento (UE) 2021/241 del 12 febbraio 2021 che istituisce il dispositivo per la ripresa e la resilienza, strumento cardine del pacchetto Next Generation EU, a indicare che “Garantire un alto livello di sicurezza informatica e fiducia nelle tecnologie è un presupposto indispensabile per il successo della trasformazione digitale nell’Unione”.

Il codice appalti (d. lgs. n. 50 del 2016) stabilisce che è la stazione appaltante a dover indicare, nei documenti di gara (bando e capitolato d’oneri), quale sia il criterio di aggiudicazione, se il prezzo più basso o l’offerta economicamente più vantaggiosa e, nel secondo caso, gli elementi da considerare in base a natura, oggetto, caratteristiche del contratto, tenendo conto di aspetti qualitativi, ambientali o sociali.

Per i servizi e le forniture caratterizzati da notevole contenuto tecnologico o che hanno un carattere innovativo, di importo pari o superiore a 40.000 euro, è necessario, dal 2019, utilizzare esclusivamente il criterio dell’offerta economicamente più vantaggiosa ed è lecito ritenere che, per gli appalti più delicati, la sicurezza debba essere tenuta in debito conto.

Se per gli appalti dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetico di cui alla legge n. 133/2019 sono state stabilite regole puntuali e rigorose (da ultimo, quelle contenute nel d.P.R. n. 54 del 5 febbraio 2021), così non è negli altri casi, a cui sono applicabili le regole generali.

Al riguardo le Linee Guida n. 2 dell’ANAC relative all’offerta economicamente più vantaggiosa, approvate il 21 settembre 2016 e aggiornate il 2 maggio 2018, indicano che possono essere considerati profili di carattere soggettivo qualora consentano di “apprezzare meglio il contenuto e l’affidabilità dell’offerta o di valorizzare caratteristiche dell’offerta ritenute particolarmente meritevoli”; in ogni caso, esse devono riguardare “aspetti che incidono in maniera diretta sulla qualità  della prestazione”. Questo vale soprattutto nei casi in cui, per la delicatezza delle forniture oggetto dell’appalto (e tale è il caso, per esempio, degli apparati relativi a tecnologie digitali, del software, dei servizi Cloud) l’amministrazione deve tener conto di una pluralità di elementi, da indicarsi necessariamente nei documenti di gara, a garanzia della tenuta giuridica della scelta finale.

Si è detto che il compito di evitare le specifiche vulnerabilità derivanti da offerte e contraenti non conformi ai necessari requisiti di sicurezza e affidabilità compete in primis alle stazioni appaltanti, gara per gara, sulla base del bando e del capitolato d’oneri. Ma tali soggetti non dispongono della necessaria competenza tecnica per valutare aspetti delicati e in continua evoluzione quali quelli inerenti alla cybersicurezza e alla sicurezza fisica.

Per i beni ad alto contenuto tecnologico, come nel caso degli apparati 5G, è intervenuta la Commissione europea a fornire elementi utili. Lo ha fatto con la Raccomandazione del 26 marzo 2019 ed il Toolbox del 29 gennaio 2020, evidenziando che le procedure di appalto devono consentire di valutare l’adeguatezza delle offerte sia in base agli elementi tecnici sia ai requisiti strategico-regolamentari degli operatori coinvolti nelle gare, per non compromettere la sicurezza della “supply chain”. Occorre proteggere – secondo la Commissione – le infrastrutture durante l’intero ciclo di vita: progettazione, sviluppo, diffusione, funzionamento e manutenzione. Ciò comporta valutare l’affidabilità dei singoli fornitori e applicare restrizioni mirate per quelli ritenuti ad alto rischio (quali le imprese cinesi Huawei e ZTE), compresa la loro esclusione, qualora ciò sia necessario per mitigare i rischi per gli asset critici e sensibili.

In tutti questi casi potrebbe prevedersi un sistema preliminare di qualificazione per consentire alle stazioni appaltanti di contare su fornitori la cui affidabilità abbia superato il vaglio di una previa verifica tecnica e regolamentare. Questo dovrebbe avvenire sulla base delle indicazioni della istituenda agenzia nazionale per la cybersicurezza, a cui affidare il compito di stabilire specifiche prescrizioni di sicurezza, da aggiornare regolarmente.

Si tratterebbe in sostanza di fornire alle imprese qualificate un’attestazione per la partecipazione alle gare secondo una procedura assimilabile a quella prevista dal sistema delle SOA (società di attestazione) per gli appalti di lavori pubblici. Tale sistema, basato su procedure standardizzate, garantirebbe il rispetto di requisiti minimi di sicurezza e affidabilità da parte di tutti gli attori del mercato, in modo trasparente e conforme alle regole di concorrenza. Sarebbe vantaggioso sia per le stazioni appaltanti sia per le imprese incluse nella “White List” e tale da accelerare l’espletamento delle procedure di gara. Sul versante UE, trattandosi di un meccanismo di qualificazione degli operatori, il sistema ipotizzato sarebbe non solo conforme alle indicazioni contenute nel Cybersecurity Act sulla certificazione di prodotti e servizi, ma anticiperebbe per certi aspetti quanto previsto dalle direttive NIS 2 (relativa ad un livello comune elevato di cybersicurezza) e CER (sulla resilienza dei soggetti critici) in corso di adozione.

Interessante rilevare che, per quanto riguarda gli acquisiti ICT della PA, il nostro Piano Nazionale di Ripresa e Resilienza (Riforma 1.1: ICT – M1C1 – Digitalizzazione, innovazione e sicurezza nella PA, pagina 91) prevede una riforma volta a semplificare e velocizzare le procedure mediante una “White List” di fornitori certificati, un percorso accelerato (“Fast Track”), una comparazione veloce e intuitiva. Si tratta di una soluzione di cui si auspica la rapida attuazione, simile peraltro a quella prevista dal decreto legge “Cura Italia” del 17 marzo 2020, convertito con legge n. 27/20, il cui articolo 75 aveva introdotto, con validità fino al 31 dicembre 2020, una procedura accelerata per gli acquisti di beni e servizi tecnologici per la PA, con la possibilità di individuare il contraente in deroga a gran parte delle previsioni vigenti, mediante una procedura negoziata senza previa pubblicazione di un bando di gara, con la scelta tra almeno quattro operatori economici di cui almeno una «start-up innovativa».

Per una precedente versione integrale del presente articolo clicca qui.