La crisi ucraina ha accelerato i processi per la messa in sicurezza delle infrastrutture critiche nazionali e dei sistemi della Pubblica amministrazione. L’Agenzia per la cybersicurezza stabilisce regole che, indirettamente, anche i fornitori di tecnologia sono tenuti a rispettare. L’analisi di Andrea Monti, professore incaricato di Digital Law nel corso di laurea in Digital Marketing dell’università di Chieti-Pescara
La circolare dell’Agenzia per la cybersicurezza nazionale sulla diversificazione dei prodotti e dei servizi tecnologici di sicurezza informatica stabilisce delle regole destinate a rivoluzionare il settore degli appalti pubblici e della progettazione dei prodotti/servizi di sicurezza informatica.
Il nuovo ruolo delle stazioni appaltanti
Le stazioni appaltanti dovranno strutturare i bandi secondo quanto emergerà dall’applicazione delle raccomandazioni procedurali indicate nella lettera C) della Circolare. In termini operativi, questo significa che dovranno essere condotte complesse attività preliminari che non si limitano alla semplice elencazione delle caratteristiche tecniche del prodotto/servizio. Un elemento fondamentale da considerare, infatti, è l’impatto dei nuovi acquisti sull’infrastruttura esistente in termini di compatibilità, continuità operativa e tempi di manutenzione.
Questo presuppone, come appunto prescrive l’Agenzia:
– censire analiticamente il parco esistente di prodotti e servizi;
– valutare comparativamente l’impatto dei nuovi acquisti non solo in termini di costi diretti, ma tenendo conto il total cost of ownership parametrato sul carico generato dalle necessità di integrazione con l’esistente;
– adottare un approccio olistico all’integrazione che tenga presente l’impatto dell’integrazione fra “esistente” e “nuovo” su tutti i soggetti coinvolti, compresi quelli esterni alla stazione appaltante.
Un altro fattore che dovrà necessariamente essere considerato nella scrittura di un bando di gara sottoposto alle regole della Circolare è la gestione dell’installazione e configurazione dei sistemi. In questa prospettiva, la Circolare suggerisce:
– l’esecuzione di test preventivi prima di procedere ad interventi in corpore vivo;
– la valutazione delle scelte tecnologiche di implementazione in base a scenari di rischio elevati;
– l’attivazione di processi di sorveglianza e controllo dei nuovi prodotti e servizi in modo da rilevare tempestivamente eventuali criticità o necessità di aggiustamento.
L’impatto sul settore privato
Se i bandi di gara seguiranno le raccomandazioni della Circolare, gli attori privati che operano con la Pubblica amministrazione, le infrastrutture critiche e i servizi essenziali dovranno necessariamente rivedere il proprio parco di prodotti e servizi per essere certi di rispettare quanto richiesto dall’Agenzia.
Tanto per fare un esempio, sarà più difficile che prodotti basati su tecnologie proprietarie — e dunque in linea di principio, potenzialmente incompatibili con l’esistente — possano essere presi in considerazione da una stazione appaltante. Allo stesso modo, sarà necessario che i partecipanti a una gara rendano pubblico il ciclo di obsolescenza del prodotto e forniscano indicazioni precise sulla loro capacità di garantire aggiornamenti tempestivi ed efficaci quantomeno sotto il profilo della sicurezza. Quanti saranno disposti a rendere pubbliche queste informazioni che diventano, necessariamente, elementi che concorrono alla valutazione complessiva dell’offerta?
Le conseguenze per la sicurezza dell’infrastruttura tecnologica nazionale
Se accadesse anche solo una parte di quello che è scritto nella Circolare si produrrebbe un effetto rivoluzionario sulle infrastrutture pubbliche. Progressivamente, infatti, si ridurrebbero due dei fattori più rilevanti per la vulnerabilità della Pubblica amministrazione: la stratificazione “geologica” e l’inerzia derivante dall’incompatibilità fra sistemi e software di generazioni differenti. Inoltre, l’attivazione di un presidio costante sui processi di integrazione ridurrebbe imbarazzanti blocchi operativi imprevisti o —peggio— le conseguenze per i cittadini causate dall’indisponibilità dei servizi pubblici.
È vero che, come scriveva il generale von Moltke, nessun piano resiste all’impatto con la battaglia e che —fuor di metafora— raggiungere un obiettivo ambizioso come quello fissato dalla Circolare dell’Agenzia non sarà una scampagnata. Tuttavia, è anche necessario ricordare l’ammonimento di Lao Tze sul fatto che anche il viaggio più lungo inizia con un passo.
Il punto debole della Circolare sulla diversificazione
Non bisogna nascondersi, tuttavia, che il punto debole della Circolare sia la sua non vincolatività formale.
I (ragionevoli) criteri che vengono indicati alle pubbliche amministrazioni sono, tecnicamente, delle “raccomandazioni” e dunque hanno una cogenza molto limitata. Le stazioni appaltanti potrebbero, infatti, decidere formalmente di non rispettarle invocando necessità contingenti, rischi di interruzione di servizi, impatto negativo nel breve periodo sui capitoli di spesa del singolo ente e, in generale, ciò che consente di operare in deroga a indicazioni prive di vincolatività formale.
La responsabilità contabile come possibile strumento di moral suasion
Se è vero che le raccomandazioni della Circolare non sono vincolanti, è anche vero che costituiscono un punto di riferimento dal quale una stazione appaltante non potrà svincolarsi tanto agevolmente. Il processo motivazionale che dovesse portare a scelte diverse da quelle compatibili con le indicazioni dell’Agenzia per la cybersicurezza dovrebbe essere estremamente ben argomentato. Inoltre, dovrebbe tenere in considerazione gli ulteriori criteri individuati dal provvedimento e che concorrono in modo paritario con quelli puramente economico-finanziari. In breve, dunque, sottovalutare la Circolare sulla diversificazione tecnologica potrebbe implicare a carico della stazione appaltante un giudizio di responsabilità contabile non solo in caso di attacchi da parte di attori ostili, ma anche se i servizi pubblici fossero indisponibili o bloccati per via di prodotti/servizi non conformi alle raccomandazioni.
Conclusioni
La Circolare sulla diversificazione tecnologica stabilisce dei criteri che rivoluzionano la progettazione dei bandi per l’acquisizione di prodotti/servizi di sicurezza informatica.
Questi criteri incidono anche sul settore privato che dovrà adattare la propria offerta per essere valutabile secondo le raccomandazioni formulate dall’Agenzia per la cybersicurezza.
È vero che le raccomandazioni dell’Agenzia non sono immediatamente vincolanti, ma il loro mancato rispetto, se non adeguatamente motivato, potrebbe implicare quantomeno una responsabilità contabile a carico della stazione appaltante.
È auspicabile, ad ogni modo, che pur senza essere vincolante, la Circolare sulla diversificazione tecnologica diventi un riferimento costante nell’assunzione di scelte che incidono sulla sicurezza dell’infrastruttura tecnologica nazionale.