Il provvedimento attua l’articolo 14 della legge sulla cybersicurezza, vincolando beni e servizi ICT nei contratti pubblici e premiando fornitori italiani, Ue, Nato e partner per ragioni di sicurezza nazionale. Riguarda in particolare videosorveglianza e scanner. L’adozione risponde al bisogno di evitare nuovi episodi come quello di Nuctech (società cinese nella black list Usa e sotto inchiesta Ue per sussidi) che aveva già vinto appalti per le Dogane
Con un qualche mese di ritardo, è arrivato il Dpcm per evitare casi come quello di Nuctech, società controllata dal governo cinese, che ha vinto due bandi di gara dell’Agenzia delle Dogane per sei scanner mobili per altrettanti porti italiani e quattro scanner a retrodiffusione di raggi X per gli uffici della stessa agenzia. Ora basta applicarlo.
Il decreto, pubblicato oggi in Gazzetta Ufficiale, risponde a quanto previsto dall’articolo 14 della legge 90 del 28 giugno 2024 sulla cybersicurezza per individuare beni e servizi informatici per i quali nei contratti pubblici vanno rispettati specifici requisiti per “la tutela della sicurezza nazionale”. Sono previsti “criteri di premialità per le proposte o per le offerte” con tecnologie italiane, di Paesi appartenenti all’Unione europea o alla Nato e di Paesi terzi individuati dal decreto tra quelli che hanno accordi di collaborazione con l’Unione europea o con la Nato in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione.
Il Dpcm, recita la norma, era da adottarsi, “su proposta dell’Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la sicurezza della Repubblica”, entro 120 giorni dall’entrata in vigore della legge. Per ottenere l’intesa necessaria tra tutti i soggetti istituzionali coinvolti, di giorni ne sono passati più del doppio, senza che la legge avesse efficacia.
Fino a oggi, che il decreto è stato pubblicato. I “sistemi di videosorveglianza per controllo accessi e sicurezza fisica, nonché sistemi di acquisizione immagini per finalità di controllo, compresi gli scanner” sono tra una delle categorie interessate e per le quali si applicano i criteri di premialità nei casi in cui le tecnologie siano impiegate dai soggetti rientrati nel Perimetro di sicurezza nazionale cibernetica. Ovvero: scanner per controllo bagagli e merci ma anche sistemi di videosorveglianza. Tra le altre categorie: prodotti con elementi digitali con funzione di rete privata virtuale; router, modem, anche di tipo satellitare, per la connessione a internet e switch; firewall, sistemi di rilevamento e prevenzione delle intrusioni; sistemi di storage di rete; sistemi e servizi di back-up; servizi cloud; software di controllo droni.
Questi i Paesi terzi interessati, tra quelli con accordi di collaborazione sia con l’Unione europea sia con la Nato: Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera.
Come raccontato su Formiche.net nelle scorse settimane, il tema delle tecnologie cinesi, esemplificato dal caso delle Dogane, riguarda i rapporti tra Italia e Stati Uniti (Nuctech è nella lista nera dal governo degli Stati Uniti nel 2020 per ragioni di sicurezza nazionale) e tra Italia e Unione europea (visto che la Commissione europea sta indagando sui sussidi cinesi ricevuti dall’azienda ai sensi del Regolamento sulle sovvenzioni estere distorsive del mercato interno). In passato, ci sono stati altri casi che rientrano nella nuova normativa, come gli scanner installati all’ingresso di sedi istituzionali (come fu a Palazzo Chigi durante il mandato da presidente del Consiglio di Giuseppe Conte).
Rimane da capire se basterà, per esempio, un antivirus neozelandese inserito in un’offerta cinese per soddisfare i requisiti di sicurezza.
