Il nuovo codice degli appalti pubblici trasforma in norma quello che l’Agenzia per la cybersicurezza aveva già stabilito, pur con efficacia non vincolante, in una specifica circolare. Con l’entrata in vigore del Codice, le pubbliche amministrazioni sono ora costrette a prevedere e valutare come elemento qualificante autonomo le caratteristiche di sicurezza dei prodotti e servizi da acquistare. Tuttavia, il testo della norma rischia di entrare in contrasto con la regolamentazione di infrastrutture critiche e perimetro di sicurezza cibernetica, rendendo complessa la gestione degli appalti.

Le criticità per le stazioni appaltanti

Il comma IV dell’articolo 108 del Codice degli appalti stabilisce che “nella valutazione dell’elemento qualitativo ai fini dell’individuazione del miglior rapporto qualità prezzo per l’aggiudicazione, tengono sempre in considerazione gli elementi di cybersicurezza, attribuendovi specifico e peculiare rilievo nei casi in cui il contesto di impiego è connesso alla tutela degli interessi nazionali strategici”.

Una criticità che balza immediatamente all’occhio è il ricorso alla categoria “interessi nazionali strategici” come elemento discriminante per attivare l’obbligo di valutazione separata della componente “sicurezza” dell’offerta, invece di fare riferimento a categorie pur non esattamente definite ma già presenti nell’ordinamento come quelle che appartengono al perimetro nazionale di sicurezza cibernetica, alle infrastrutture critiche e al golden power. Questa criticità affligge sia la scrittura del bando, sia la definizione e la documentazione dei criteri di aggiudicazione.

La stazione appaltante deve innanzi tutto eseguire una valutazione preventiva sull’oggetto della gara. Se, infatti, il bando riguarda prodotti o servizi “connessi” alla tutela di interessi nazionali strategici, allora è necessario strutturare il capitolato individuando esattamente le parti che riguardano la cybersecurity. Se, invece, l’oggetto del bando non rientra nell’ipotesi precedente, la componente in questione va semplicemente “presa in considerazione” senza, tuttavia, che il Codice fornisca indicazioni operative su come articolare i requisiti.

Da questo stato di fatto derivano due conseguenze. La prima è che la Pubblica amministrazione interessata deve essere in grado (e non è detto che lo sia) di motivare il perché della qualificazione dell’oggetto del bando come “connesso agli interessi nazionali strategici”. La seconda è il fondato pericolo che ciascuna amministrazione stabilisca in autonomia i criteri da seguire per differenziare le ipotesi giungendo a situazioni dove lo stesso prodotto/servizio è qualificato diversamente da diverse pubbliche amministrazioni.

Questa condizione di incertezza affligge anche la fase di valutazione delle proposte. La stazione appaltante dovrà prendere posizione sul “peso” della componente sicurezza ai fini dell’aggiudicazione in funzione della qualificazione giuridica dell’oggetto della gara. In concreto, questo significa che nel primo caso il provvedimento di aggiudicazione dovrà motivare espressamente e dettagliatamente sul perché dell’assegnazione a un determinato partecipante; mentre nel secondo caso gli aspetti in questione non fanno necessariamente pendere il piatto della bilancia a favore di chi offre un maggiore livello di sicurezza. Detto in termini ancora diversi, nel primo caso la maggiore qualità della componente sicurezza giustificherebbe la scelta del partecipante meno economico; mentre nel secondo questo non è detto che accada.

Tutto questo inserisce un fattore di incertezza sul risultato finale della gara che potrebbe tradursi in contenzioni amministrativi e dunque nel ritardo per l’acquisizione del prodotto/servizio richiesto dalla Pa ma soprattutto nel rischio che, nel concreto, l’ente si doti di strumenti eccessivi o, al contrario, sottodimensionati. È evidente, dunque, che per mitigare questo rischio la stazione appaltante dovrà possedere competenze specifiche non solo in ambito di cybersecurity ma anche di ordinamento della sicurezza nazionale, oltre che di ordine e sicurezza pubblica; e non è detto che profili del genere siano disponibili in numero sufficiente per tutte le amministrazioni coinvolte, con conseguenze abbastanza facili da immaginare.

Il peccato originale delle regole sulla sicurezza nazionale

Quelli appena evidenziati sono soltanto gli aspetti più macroscopici derivanti dall’utilizzo di una tecnica normativa non esattamente rigorosa. Aumentando confusione e difficoltà di coordinamento, infatti, l’articolo 108 del Codice affianca, senza definirla normativamente, la categoria “interesse nazionale strategico” a quelle di sicurezza nazionale, interesse nazionale nei settori produttivi strategici e attività di rilevanza strategica. Anche queste ultime soffrono dello stesso problema di identità, dal momento che la loro transizione dall’ambito politico a quello normativo non è stata accompagnata da una definizione chiara di significato e di ambiti operativi diversamente, per esempio, da quanto ha fatto recentemente il Giappone. Un esempio su tutti è il potere in materia di sicurezza nazionale il cui esercizio viene attribuito al Presidente della Repubblica dall’articolo 126 della Costituzione, mentre per la Legge 124/07, per la Legge 133/19 e più ancora per la Legge 142/22 risiede nelle mani del presidente del Consiglio.

Conclusioni

L’aggiunta di ulteriore incertezza nella tassonomia ordinamentale di sicurezza e difesa dello Stato e la conseguente difficoltà applicativa dei criteri fissati dal Codice degli appalti compromettono l’efficacia concreta di una norma che, in principio, coglie e affronta un problema serio e concreto: la vulnerabilità complessiva dell’infrastruttura tecnologica della pubblica amministrazione italiana che non è sottoposta alle regole stabilite per il perimetro nazionale di sicurezza cibernetica e per le infrastrutture critiche.

Esclusa la possibilità di rivedere il testo dell’articolo 108 eliminando il riferimento alla “connessione con gli interessi nazionali strategici” e dunque stabilendo un dovere generale per ogni stazione appaltante di affrontare specificamente gli aspetti di cybersecurity, rimane l’unica opzione di fornire adeguati strumenti culturali e informativi alle Pa interessate per metterle in condizione di adottare scelte consapevoli nella strutturazione dei bandi e nella selezione degli assegnatari.