Il professor Mensi commenta le rivelazioni di Formiche.net sul bando per le forze di polizia per le loro comunicazioni (anche 5G) con gli operatori che fanno affidamento su tecnologie cinesi. “A differenza degli Usa che hanno una black list, l’Italia non ha strumenti da utilizzare ex ante”. Ecco i suoi suggerimenti
Come garantire la sicurezza nazionale nel caso di appalti pubblici? È la domanda che sorge spontanea alla luce di quanto raccontato da Formiche.net. Cioè che le nostre forze di polizia stanno selezionando il fornitore per le loro comunicazioni (anche il 5G). Ma gli operatori fanno affidamento su tecnologie cinesi, delle aziende Huawei e Zte messe al bando dagli Stati Uniti con l’accusa di spionaggio per conto del Partito comunista cinese e di cui il Copasir ha suggerito il bando dal 5G italiano. In ballo, per questo gara della Polizia di Stato, ci sono un miliardo di euro e la sicurezza nazionale.
Per provare a rispondere al nostro interrogativo abbiamo contattato Maurizio Mensi, professore Sna, direttore di @LawLab Luiss Guido Carli e membro del Comitato economico e sociale europeo.
Nel bando in oggetto c’è un riferimento alla normativa Golden power, i “poteri speciali” che però potranno intervenire solo una volta che uno dei partecipanti si sarà aggiudicato la gara. In quel momento sarà tenuto a inviare la notifica al gruppo di coordinamento di Palazzo Chigi “relativa all’acquisto di beni/servizi 5G da fornitori extra-EU” e “dovrà farsi carico degli eventuali costi dovuti all’implementazione delle misure di sicurezza che venissero eventualmente prescritte”, si legge in una risposta data dal ministero su domanda di una delle aziende interessate.
Secondo il professor Mensi non è sufficiente il Golden power. “Intervenire ex post è sempre piuttosto complicato. Ma a differenza degli Stati Uniti che hanno adottato una black list, l’Italia si trova oggi, come tanti altri Paesi dell’Unione europea, senza strumenti da poter utilizzare ex ante in via generale”, spiega l’esperto.
“Quello che si può fare in situazioni come quella in oggetto”, continua, “è stabilire nel bando di gara specifici requisiti di sicurezza che le imprese e i loro fornitori devono rispettare, sia per quanto riguarda l’aspetto tecnico dell’offerta sia l’affidabilità soggettiva dell’operatore”. In questo caso nel testo del bando i riferimenti alla sicurezza sono scarni. Si legge che “l’affidatario è solidalmente responsabile con il subappaltatore degli adempimenti, da parte di questo ultimo, degli obblighi di sicurezza previsti dalla normativa vigente”. E poco più. Si tratta infatti di una gara “tabellare”, che, si legge nelle prime righe, si fonda su un solo criterio, “il miglior rapporto qualità-prezzo”.
Una soluzione per il futuro la offre il Perimetro di sicurezza nazionale cibernetica che dal 23 giugno prossimo inizierà i suoi sei mesi di test, spiega il professor Mensi. “Per i soggetti nel Perimetro” (che sono elencati, oltre 100 a quanto risultato a Formiche.net, in un Dpcm secretato) “ci sarà un sistema di protezione articolato che assicurerà la sicurezza degli appalti”.
Ma alzare l’asticella della sicurezza per le gare per forniture, servizi o beni Ict dei soggetti che non rientrano nel Perimetro? L’esperto indica una strada a cui nelle scorse settimane ha dedicato una lunga e dettagliata analisi su Formiche.net: “Più che una black list, serve una white list, cioè un sistema preliminare che consenta alle stazioni appaltanti di contare su fornitori la cui affidabilità abbia superato adeguate verifiche tecniche e regolamentari”. In pratica, un attestato che garantisce il rispetto di requisiti minimi di sicurezza e affidabilità che “potrebbe seguire le indicazioni dell’Agenzia per la cybersicurezza annunciata dal prefetto Franco Gabrielli, sottosegretario con delega agli 007”, conclude Mensi.