Un passo avanti per la sicurezza del Cloud della Pa. La legge di conversione del decreto “Cura Italia” apporta una modifica all’articolo 75 sull’assegnazione tramite procedura negoziata della rete cloud in sostituzione della gara pubblica, inserendo un collegamento diretto al “Decreto cyber” (dl. 105/2019) che ha introdotto il Perimetro di sicurezza nazionale cibernetica.

PERCHÉ L’ARTICOLO 75

L’articolo, frutto del lavoro del ministro dell’Innovazione in quota M5S Paola Pisano, aveva lo scopo di snellire le procedure burocratiche e, parola del ministro, di favorire “il rapido acquisto di servizi che possano garantire il lavoro agile dei dipendenti e l’erogazione di servizi online per i cittadini e le imprese”.

Con il nuovo decreto gli enti pubblici potranno acquistare beni e servizi con una procedura negoziata, scegliendo il fornitore su un ventaglio di almeno quattro operatori economici.

I DUBBI SULLA SICUREZZA

L’articolo aveva sollevato dubbi fra gli addetti ai lavori nel mondo dell’intelligence e della sicurezza perché, pur con il meritorio obiettivo di accelerare sull’innovazione della Pa, ricadeva in uno dei punti storicamente deboli del Public procurement all’italiana: la sicurezza.

È noto infatti che il procurement made in Italy sia ancora oggi quasi esclusivamente costruito sul principio del best price (che, ad esempio, guida le gare Consip) e lasci un po’ meno spazio ai requisiti di sicurezza.

Quando si parla di tecnologie trasformational come il cloud, però, non si può sorvolare sulla sicurezza. Non è infatti remoto il rischio che una procedura snella faciliti l’affidamento della nuova rete di ministeri, palazzi istituzionali, ospedali pubblici di aziende straniere su cui già l’intelligence ha suonato un campanello d’allarme, è il caso delle cinesi Huawei e Zte.

IL DIBATTITO SU FORMICHE.NET…

Sulle colonne di Formiche.net tra i primi a definire “una leggerezza di non poco conto” l’introduzione di una procedura per gli “acquisti rapidi in emergenza” della Pa senza un raccordo con la normativa sul perimetro cyber, il sistema di controlli di sicurezza della tecnologia cibernetica acquistata dalla Pa introdotto da uno dei primi decreti del governo rossogiallo, era stato Stefano Mele, partner dello Studio legale Carnelutti e presidente della Commissione sicurezza cibernetica del Comitato atlantico italiano. Solo così, aveva scritto, si sarebbe assicurata “la verifica dei livelli di sicurezza cibernetica dei prodotti e servizi che la pubblica amministrazioni andrà a breve ad acquistare”. Sempre su Formiche.net gli avevano fatto eco altre voci, come i professori Luciano Hinna e Maurizio Mensi.

…E L’ALLARME DEL COPASIR

Ma il più sonoro campanello d’allarme era stato suonato dal Copasir (Comitato parlamentare per la sicurezza della Repubblica), che in un comunicato di fine marzo aveva espresso il timore che “alcuni profili di urgenza inseriti nella decretazione del governo, in particolare nel settore delle telecomunicazioni ed informatica, nelle loro declinazioni semplificative non consentano inserimenti surrettizi di aziende, che il comitato aveva già segnalato in settori di acquisizione di dati personali e strategici”.

IL NUOVO ARTICOLO

Con la modifica in sede di conversione del decreto, il governo ha inserito dunque un raccordo fra l’articolo 75 e il decreto cyber. Gli acquisti dovranno obbligatoriamente rispettare le disposizioni previste dal “Perimetro di Sicurezza Nazionale Cibernetica”. Saranno dunque sottoposti, si deduce, al controllo dei Cvcn (Centri di valutazione e certificazione nazionale), i centri di controllo composti da tecnici, ingegneri informatici ed elettronici previsti dal decreto introdotto lo scorso autunno.

L’attuazione del perimetro, però, sconta un serio ritardo. Una modifica al decreto Milleproroghe ha allungato i tempi di almeno due-tre mesi, con un parere aggiuntivo del Consiglio di Stato sulla realizzazione del sistema di controlli. Così, senza contare i ritardi nei colloqui dei tecnici che dovranno costituire i Cvcn dovuti alla quarantena, ad essere ottimisti, non se ne parlerà prima di inizio luglio.