La cybersecurity nel nuovo codice degli appalti

Anche se a più step, il “nuovo” Codice 2023 (d.lgs. n. 36/23) sta mandando in pensione il “vecchio” Codice degli appalti pubblici 2016. 

Lo spirito innovativo della norma deve sicuramente tenere conto delle mutate condizioni socio-economiche e delle più recenti dinamiche finanziarie, per poter adeguare la contrattualistica pubblica – ispirata ai principi costituzionali di buon andamento e imparzialità – alle esigenze del mercato delle smart cities. Deve però coordinarsi con la forte spinta verso una tecnologia sempre più evoluta e alla necessità di digitalizzazione dell’attività amministrativa pubblica: non esclusivamente attraverso l’introduzione di sistemi telematici funzionali alle procedure di gara, ma soprattutto tenendo conto che sempre più appalti pubblici riguardano sistemi dell’information technology.

Quali sono i rischi legati alle forniture in campo informatico?

Oggi giorno, la cybersecurity è un urgenza attuale e, come tale, deve essere considerata un elemento imprescindibile e non solo ipotetico, di qualsiasi contratto in campo tecnologico.

L’articolo 108 del “nuovo” Codice dei contratti attualizza questa esigenza in capo alla moderna Pubblica Amministrazione[3].

Le principali novità in materia di cybersicurezza

In prima analisi, la lettera f), del comma 2, fa rientrare i contratti relativi a lavori caratterizzati da notevole contenuto tecnologico o con carattere innovativo, tra quelli che devono essere aggiudicati esclusivamente sulla base del criterio dell’offerta economicamente più vantaggiosa e quindi dove il prezzo deve essere obbligatoriamente messo in relazione alla qualità oggettiva della fornitura.

Non basta. Il comma 4, prevede che la valutazione dell’elemento qualitativo deve sempre tenere conto degli aspetti connessi alla cybersecurity e, addirittura, il tetto massimo per l’offerta economica è pari al 10%, laddove la fornitura di beni o servizi informatici riguardi la tutela di interessi nazionali strategici. Da un lato la scomparsa del precedente limite (generalizzato) del 30%[4] per l’offerta economica, che lascia chiaramente maggiore margine di manovra alle stazioni appaltanti, dall’altro l’obbligo di dare rilievo particolare all’elemento qualitativo delle forniture informatiche, garantendo “un confronto concorrenziale effettivo sui profili tecnici”. Il limite massimo per il punteggio economico è del 30% per i contratti ad alta intensità di manodopera.

Nell’ambito delle forniture tecnologiche, è impossibile non pensare ai moderni (e sempre più diffusi) impianti di videosorveglianza urbana e ad altri sistemi dedicati alla pubblica sicurezza, ma anche a tutti gli altri sistemi di sicurezza, di informazione e di mobilità caratterizzati da una grande elaborazione di dati e da una elevata connettività. Se l’obiettivo della Pubblica Amministrazione è fornire servizi, non solo efficienti, ma soprattutto efficaci, l’elemento qualità dei lavori e dei prodotti è imprescindibile.

Cambio di paradigma: valore per la PA e per le imprese

Come si diceva, prevedere che nelle forniture informatiche siano valutate le misure di contrasto agli attacchi telematici, è un’esigenza del presente e non uno sguardo al futuro. In ogni caso, però, che ciò sia una “regola” della contrattualistica pubblica è tutt’altro che scontato: si tratta di un cambio di passo decisivo, soprattutto per la Pubblica Amministrazione che non sempre riesce a tenere il ritmo dell’evoluzione tecnologica.

Il perimetro delineato dal nuovo articolo 108 permette infatti alle stazioni appaltanti di agire valorizzando al meglio la qualità del prodotto, piuttosto che assecondare logiche strettamente economiche che potrebbero portare a forniture meno performanti e carenti di adeguati sistemi di cybersecurity.

È infatti fondamentale che sia i procedimenti dematerializzati della pubblica amministrazione, sia i servizi telematici forniti direttamente al cittadino garantiscano, oltre a celerità, efficienza e efficacia, anche sicurezza: sicurezza rispetto all’inevitabile trattamento di dati personali – anche di particolari categorie[5] – ma anche, ad esempio, sicurezza rispetto a transazioni economiche. Al contrario, sistemi facilmente aggirabili, o comunque privi di idonee misure di sicurezza rispetto ad minacce informatiche, potrebbero esporre il cittadino a gravi pregiudizi per i propri diritti e libertà e anche a preoccupanti truffe o altri raggiri.

“Ritorno al presente” nei contratti pubblici

L’esplicita introduzione dell’elemento cybersicurezza nel codice dei contratti pubblici, che sarà il faro delle pubbliche forniture per i prossimi anni, è sicuramente interessante per gli addetti ai lavori, ma apre ad una ulteriore spinta verso la digitalizzazione e verso sistemi interconnessi che i tempi odierni richiedono, per la gestione di una smart city.

Se il plauso è arrivato da più parti, soprattutto nell’attuazione del Piano nazionale di ripresa e resilienza[6] – dall’Agenzia per la Cybersicurezza Nazionale e dal Consiglio Nazionale degli Ingegneri – questo non può che essere sostenuto anche da chi con le procedure di aggiudicazione deve operare quotidianamente: la valorizzazione della concorrenza non esclusivamente fondata sul risparmio economico, ma soprattutto sulla qualità delle forniture, tenendo conto in particolare delle misure di contrasto alle cyber minacce è la svolta nell’erogazione di servizi al cittadino.

[3] La norma si applica a tutti i soggetti interessati dal Codice degli appalti.

[4] Contenuto nell’articolo 95, comma 10-bis, del Decreto legislativo 18 aprile 2016, n. 50, con conseguente “limite minimo” del 70% all’elemento “qualità”.

[5] Come definiti dall’articolo 9, paragrafo 1 del GDPR, quei dati che rivelino l’origine razziale o etnica. Le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, biometrici, relativi alla salute, alla vita o all’orientamento sessuale della persona.

[6] Una delle missioni del PNRR riguarda infatti “digitalizzazione, innovazione, competitività e cultura”, con l’obiettivo – tra l’altro di promuovere la trasformazione digitale a livello nazionale.