Fra le varie previsioni contenute del decreto legge “Cura Italia” una fra tutte merita particolare attenzione: quella dedicata agli acquisti di beni e servizi per lo sviluppo di sistemi informativi da parte della pubblica amministrazione (art. 75).
La norma trova la sua ratio nel prevedere una procedura accelerata, stante la situazione di emergenza indotta dalla diffusione del coronavirus, per consentire alle pubbliche amministrazioni di individuare il contraente derogando al rispetto di gran parte delle previsioni vigenti in tema di contrattualistica pubblica, salvo quelle di carattere penale (e quelle in tema di antimafia e misure di prevenzione) e affidarsi poi all’autocertificazione del soggetto così individuato circa la sussistenza di tutti i requisiti previsti.
L’obiettivo è ambizioso e condivisibile: dotare in tempi rapidi il nostro Paese dell’infrastruttura tecnologica e digitale necessaria a diffondere il lavoro agile ed i servizi in rete a disposizione di cittadini e imprese per consentire quel salto di qualità a lungo auspicato.
Tuttavia la sua concreta attuazione rischia, paradossalmente, di rendere vulnerabile un sistema che, in attesa dei regolamenti attuativi della legge n. 133 del 2019 sul perimetro di sicurezza nazionale cibernetico e di un sistema obbligatorio di certificazione di prodotti, servizi e sistemi a livello europee, per ora solo preconizzato dal Cybersecurity Act, appare esposto alle vulnerabilità derivanti da offerte e contraenti non conformi ai necessari requisiti di sicurezza
LA GARA
In concreto, la norma citata delinea una procedura di gara, da condursi secondo la procedura negoziata senza previa pubblicazione di un bando di gara (prevista dal d.lgs. n. 50/2016, il cd. codice appalti) con la scelta tra almeno quattro operatori economici, di cui almeno una «start-up innovativa». Il che significa, per l’amministrazione, disporre di tempi abbreviati e un percorso agevolato: non più di 30 giorni per la ricezione delle offerte (art. 62, par. 4) e, una volta conclusa la procedura, la possibilità di procedere subito alla stipula del contratto e alla sua esecuzione, in deroga ai termini previsti.
Non si fa riferimento ad alcuna soglia di importo; il che significa che la previsione derogatoria ha un raggio d’azione molto ampio: riguarda tutte le forniture, a prescindere dal loro valore economico (sopra e sotto la soglia prevista dalla normativa europea).
IL CRITERIO
Interessante rilevare che l’articolo 95 (“Criteri di aggiudicazione”) del d.lgs. n. 50/2016, stabilisce che i contratti di servizi e le forniture di importo pari o superiore a 40.000 euro caratterizzati da notevole contenuto tecnologico o che hanno un carattere innovativo sono aggiudicati esclusivamente sulla base del criterio dell’offerta economicamente più vantaggiosa, individuata sulla base del miglior rapporto qualità/prezzo (parte. 3, lett. b-bis).
Si tratta proprio dell’oggetto dei contratti riguardati dal citato art. 75, per la cui aggiudicazione viene quindi espressamente escluso il criterio del prezzo più basso. Il che appare confortante: la stazione appaltante dispone di ampi margini di manovra nella valutazione delle offerte, operazione da svolgersi tenendo conto della natura, dell’oggetto e delle caratteristiche del contratto e in base a criteri oggettivi, quali gli aspetti qualitativi, ambientali o sociali, connessi all’oggetto dell’appalto (art. 95).
Tuttavia, a ben vedere, nel caso in esame l’ampia previsione derogatoria di cui alla prima parte del par. 1 dell’art. 75 del d.l. potrebbe indurre a ritenere che sia interamente demandata all’amministrazione la scelta del criterio di aggiudicazione e che, per semplificare, possa decidere di individuare il contraente non in base all’offerta economicamente più vantaggiosa, ma in base al prezzo più basso, più facile da applicare rispetto al primo.
In tal caso l’amministrazione si troverebbe nella situazione di non poter considerare le caratteristiche peculiari delle delicate forniture e servizi da acquisire nel caso in esame, che invece potrebbero essere pienamente soppesate solo all’esito di una accurata e attenta valutazione degli elementi qualitativi.
Di qui l’opportunità di una lieve modifica della norma, in sede di conversione del decreto legge, così da dissipare ogni dubbio e rendere obbligatorio, per tutti gli acquisti di beni e servizi per lo sviluppo di sistemi informativi da parte della pubblica amministrazione, come unico criterio di scelta del fornitore quello dell’offerta economicamente più vantaggiosa anziché quello del prezzo più basso.
LA VALUTAZIONE
In ogni caso la normativa vigente affida alla stazione appaltante il compito di indicare, nei documenti di gara, sia criterio di aggiudicazione sia, nel caso dell’offerta economicamente più vantaggiosa, gli elementi da prendere in considerazione (indicati a titolo esemplificativo dal par. 6 dell’art. 95).
Al riguardo le Linee Guida n. 2 dell’Anac relative all’offerta economicamente più vantaggiosa (approvate il 21 settembre 2016 e aggiornate il 2 maggio 2018) indicano che nella valutazione delle offerte possono essere valutati profili di carattere soggettivo qualora consentano di “apprezzare meglio il contenuto e l’affidabilità dell’offerta o di valorizzare caratteristiche dell’offerta ritenute particolarmente meritevoli”; in ogni caso, esse devono riguardare “aspetti che incidono in maniera diretta sulla qualità della prestazione”.
Il che significa, per l’amministrazione, poter valutare l’adeguatezza dell’offerta tenendo conto di una pluralità di elementi (da indicare peraltro necessariamente nei documenti di gara, a garanzia della tenuta giuridica della scelta finale), compresi quelli inerenti la sicurezza della fornitura e/del servizio in questione di cui fanno parte le caratteristiche soggettive dell’eventuale contraente.
La stessa Commissione europea, nella Raccomandazione del 26 marzo 2019, ancorché riguardante il 5G, e nel recente Toolbox del 29 gennaio 2020, ha evidenziato l’importanza di procedure di appalto che consentano la valutazione dell’adeguatezza delle offerte in base agli elementi tecnici e ai requisiti normativo-regolamentari degli operatori coinvolti nelle gare, così da verificare le caratteristiche dei singoli fornitori e non compromettere la sicurezza della “supply chain”.
La stessa valutazione coordinata del rischio dell’Ue sulla sicurezza informatica, contenuta nel rapporto del 9 ottobre 2019, evidenzia la necessità di considerare, in sede di gara, del profilo di rischio dei singoli fornitori, da valutarsi in base a fattori quali la possibilità che o stesso sia soggetto a interferenze di un paese extra Ue (pt. 2.36). Naturalmente tale valutazione dovrebbe essere condotta unicamente per motivi di sicurezza e in base a criteri oggettivi.
Peraltro la normativa vigente in tema di comunicazioni elettroniche (art. 13 bis della direttiva 2002/21), impone agli Stati membri di garantire che gli operatori di telecomunicazioni garantiscano l’integrità delle loro reti e quindi la continuità della fornitura dei servizi forniti su tali reti. Così il codice europeo delle comunicazioni elettroniche (direttiva 2018/1972), che sostituisce il quadro normativo sulle telecomunicazioni, ad evitare minacce alla riservatezza, disponibilità e integrità delle risorse.
LA SICUREZZA
Il tema della sicurezza dei beni e dei servizi informativi destinati a far parte dei sistemi della pubblica amministrazione all’esito delle varie gare, a cui è finalizzato l’art. 75 del decreto legge, risulta infatti essenziale nel caso in esame.
Sono infatti in questione le infrastrutture tecnologiche inerenti ai centri nevralgici dell’amministrazione centrale e locale, la realizzazione ed il potenziamento delle piattaforme digitali necessarie per la erogazione di servizi pubblici e le prestazioni professionali della Pa, i servizi e-learning, con il coinvolgimento di ingenti quantità di dati, anche personali e riservati, di cittadini e imprese. In tal senso la sicurezza dei vari elementi destinati ad integrare i sistemi informativi della Pa è strettamente connessa alla verifica della qualità e dell’affidabilità degli operatori economici aggiudicatari, a tutela e garanzia dei dati e dei diritti dei cittadini oltre che della stessa sicurezza nazionale.
Si tratta peraltro dei medesimi profili, ancorché siano diversi raggio d’azione e destinatari, cui è finalizzata la normativa sul Golden Power di cui alla legge n. 56/2012: assicurare la sicurezza degli asset definiti di prioritaria importanza per il Paese, a cui più volte il Copasir ha fatto riferimento, con la necessità di alzare il livello di attenzione ed evitare che siano compromesse le nostre risorse strategiche, finanziarie ed industriali.
Come noto, la legge n. 41 del 2019 ha esteso la verifica del governo non solo ai mutamenti proprietari ma anche a questioni eminentemente operative, come gli appalti e le forniture commerciali di beni o servizi relativi alla progettazione, realizzazione, manutenzione e gestione delle reti l’acquisto di determinati apparati per accendere la rete 5G. In tal caso il governo è abilitato a fare uso dei poteri previsti per fronteggiare i rischi di un uso improprio dei dati “con implicazioni sulla sicurezza nazionale”.
Occorre pertanto evitare che, sull’onda dell’emergenza, le procedure di gara previste dal decreto Cura Italia costituiscano il cavallo di Troia per l’accesso a risorse strategiche del Paese da parte di operatori privi dei necessari requisiti di affidabilità e sicurezza.
Di qui l’opportunità che, in sede di conversione, sia reso obbligatorio il ricorso al criterio dell’offerta economicamente più vantaggiosa per tutte le gare relative ai beni e servizi in rete ai sensi dell’art. 75. Appare altresì auspicabile un intervento, ad opera della Presidenza del Consiglio dei Ministri, che inviti tutte le pubbliche amministrazioni a prevedere l’elemento della sicurezza dell’offerta fra quelli da considerare ai fini della scelta del contraente.