Appalti Pubblici, Approfondimenti

Cybersecurity Appalti: Requisiti Piattaforme e Nuove Regole AgID

La rivoluzione digitale che ha investito il settore dei contratti pubblici in Italia non rappresenta un mero adeguamento tecnologico, bensì una profonda ristrutturazione dei processi amministrativi che eleva la sicurezza cibernetica a rango di interesse nazionale primario. In questo scenario in rapida evoluzione, la piena comprensione e la corretta applicazione dei requisiti di cybersecurity per le piattaforme di appalti pubblici sono diventate condizioni imprescindibili per garantire non solo l’efficienza della spesa, ma la legittimità stessa delle procedure di gara.

Il combinato disposto del nuovo Codice dei Contratti Pubblici (D.Lgs. 36/2023) e della recente normativa speciale — in particolare la Legge 28 giugno 2024, n. 90 e il DPCM 30 aprile 2025 — ha delineato un ecosistema in cui la piattaforma di approvvigionamento cessa di essere un semplice “luogo virtuale” di scambio per divenire una vera e propria infrastruttura critica. La sicurezza non è più un elemento accessorio (nice to have), ma un requisito costitutivo (must have) dell’azione amministrativa.

Questo approfondimento si propone di fornire un quadro esaustivo e operativamente spendibile per Responsabili Unici del Progetto (RUP), operatori economici e consulenti legali, analizzando come la cybersecurity sia passata dall’essere una questione tecnica a un parametro di legittimità amministrativa, con un focus specifico sulle nuove regole tecniche dell’AgID e sui vincoli introdotti per la tutela degli interessi nazionali strategici.

Il Nuovo Ecosistema Normativo: dal Codice alla Legge 90/2024

L’attuale assetto regolatorio italiano in materia di appalti pubblici non può più essere letto come una semplice somma di norme procedurali; si tratta piuttosto di un sistema integrato dove la disciplina dei contratti pubblici si fonde con le esigenze di sicurezza nazionale. Questo cambio di paradigma impone alle stazioni appaltanti di valutare i requisiti di cybersecurity per le piattaforme di appalti pubblici non come opzioni tecniche, ma come precondizioni giuridiche per la validità dell’intera procedura di gara.

I principi di sicurezza e sovranità digitale (Art. 19 e 108 Codice)

Il fondamento di questa architettura risiede nell’articolo 19 del D.Lgs. 36/2023. La norma, nel disciplinare la digitalizzazione del ciclo di vita dei contratti, stabilisce che le stazioni appaltanti devono operare secondo precisi principi, tra cui spicca esplicitamente quello di sicurezza informatica. Non si tratta di una mera enunciazione di stile: il comma 5 del medesimo articolo impone l’adozione di misure tecniche e organizzative concrete a presidio della sicurezza e della protezione dei dati personali, creando un obbligo di governance attiva in capo all’amministrazione.

Ancora più incisivo è l’intervento operato sull’articolo 108, comma 4, del Codice. Questa disposizione ha introdotto un vincolo sostanziale per il mercato ICT: nelle attività di approvvigionamento di beni e servizi informatici, le stazioni appaltanti devono “tenere sempre in considerazione gli elementi di cybersicurezza”. La norma specifica ulteriormente che, quando l’approvvigionamento avviene in contesti connessi alla tutela degli interessi nazionali strategici, a tali elementi deve essere attribuito uno “specifico e peculiare rilievo”.

Schema: La Piramide Normativa della Cybersecurity

LIVELLO STRATEGICO
Legge 90/2024 e D.Lgs. 36/2023

Definizione di interesse nazionale strategico e principi cardine (Artt. 19 e 108 Codice)

LIVELLO ATTUATIVO
DPCM 30 Aprile 2025

Individuazione tassativa delle categorie merceologiche e degli “Elementi Essenziali di Sicurezza”

LIVELLO TECNICO
Determinazioni AgID e Linee Guida ACN

Regole tecniche piattaforme (Det. 137/2023), Certificazioni e Criteri di Premialità

La Legge 90/2024: la sicurezza come elemento costitutivo della gara

La Legge 28 giugno 2024, n. 90, recante disposizioni per il rafforzamento della cybersicurezza nazionale, ha fornito il contenuto sostanziale a questa cornice normativa. L’articolo 14 della legge, in particolare, disciplina i contratti pubblici di beni e servizi informatici impiegati in contesti strategici, introducendo il concetto di “elementi essenziali di cybersicurezza”.

Tali elementi non sono mere raccomandazioni, ma vengono definiti come l’insieme di criteri e regole tecniche la cui conformità garantisce tre parametri fondamentali per i dati trattati: confidenzialità, integrità e disponibilità. La norma stabilisce che, per le categorie tecnologiche sensibili, le stazioni appaltanti non possono limitarsi a valutare il prezzo, ma devono integrare questi requisiti di sicurezza come parametri qualitativi obbligatori per l’aggiudicazione.

Requisiti Tecnici e Certificazione delle Piattaforme (Regole AgID)

L’articolo 25 del Codice dei Contratti Pubblici ha sancito un principio non derogabile: la digitalizzazione integrale del ciclo di vita dei contratti si fonda sull’utilizzo obbligatorio di piattaforme di approvvigionamento digitale certificate. Non si tratta più di una facoltà discrezionale, ma di un requisito di legittimità della procedura stessa: l’utilizzo di una piattaforma non certificata espone la stazione appaltante al rischio di blocco dell’attività amministrativa e all’invalidità degli atti di gara.

La Determinazione AgID n. 137/2023: le tre classi di requisiti

L’architettura tecnica di questo sistema è stata definita dall’Agenzia per l’Italia Digitale (AgID) con la Determinazione n. 137 del 1° giugno 2023. Questo provvedimento, attuativo dell’articolo 26 del Codice, ha strutturato i requisiti tecnici in un sistema gerarchico di tre classi, creando un percorso di compliance progressiva che i Titolari e i Gestori delle piattaforme sono tenuti a soddisfare per ottenere la certificazione.

Focus Normativo: La Determinazione AgID n. 137/2023

Adottata in attuazione dell’art. 26 del D.Lgs. 36/2023, la Determina stabilisce le “Regole tecniche” che le piattaforme devono rispettare. I requisiti sono suddivisi in:

  • Classe 1 (Requisiti Generali): Include la sicurezza informatica di base, la protezione dei dati personali (GDPR), l’accessibilità e la conservazione a norma dei documenti. È il livello fondamentale senza il quale la piattaforma non può operare.
  • Classe 2 (Requisiti Funzionali): Suddivisa in 2a (Generali, come l’accesso e la profilazione utenti) e 2b (Specifici, come la gestione del Documento di Gara Unico Europeo – eDGUE e l’apertura delle buste telematiche).
  • Classe 3 (Interoperabilità): Riguarda l’integrazione con la Banca Dati Nazionale dei Contratti Pubblici (BDNCP) dell’ANAC e la Piattaforma Digitale Nazionale Dati (PDND), essenziale per lo scambio automatico dei dati.

Schema: Workflow di Certificazione della Piattaforma

1
Autovalutazione e Audit
Il Gestore verifica la conformità ai requisiti di Classe 1, 2 e 3 (es. ISO 27001, Test di Interoperabilità).

2
Istanza ad AgID
Presentazione della domanda di certificazione con le evidenze tecniche e di sicurezza.

3
Rilascio Certificazione e Iscrizione Registro ANAC
La piattaforma viene inserita nel Registro ufficiale. Solo ora è abilitata a gestire gare pubbliche.

Obblighi di tracciabilità, log e standard ISO/IEC 27001

Un punto cruciale delle Regole Tecniche AgID riguarda la gestione della sicurezza delle informazioni. Sebbene la certificazione ISO non sia un obbligo formale diretto per la piattaforma in sé (che riceve una “certificazione AgID”), il provvedimento stabilisce espressamente che i Titolari e i Gestori “devono operare in linea con quanto previsto da standard e best practice come ISO/IEC 20000-1, ISO 9001:2015 e ISO/IEC 27001”. Di fatto, l’adozione dello standard ISO/IEC 27001 diventa il metodo privilegiato per dimostrare la conformità ai requisiti di Classe 1, impattando direttamente sulla responsabilità del gestore in caso di violazione dei dati.

Fondamentale è anche la gestione del “Registro di sistema”. Le regole tecniche impongono che la piattaforma tracci ogni evento di invio e ricezione in log immutabili. Questi registri devono garantire caratteristiche di inalterabilità e integrità (ottenute tipicamente tramite marcatura temporale e hashing) per assicurare la non ripudiabilità delle azioni svolte. In caso di contenzioso, l’assenza o l’alterazione di questi log vizia radicalmente la procedura di gara, rendendo impossibile la ricostruzione forense degli eventi.

Il nodo dell’interoperabilità e il principio “Once-Only”

L’architettura disegnata dall’articolo 26 prevede che le piattaforme non operino come silos isolati, ma come nodi di una rete interconnessa. I requisiti di Classe 3 impongono la piena integrazione con la Banca Dati Nazionale dei Contratti Pubblici (BDNCP) dell’ANAC. Questa interoperabilità è il presupposto tecnico per l’attuazione del principio del “Once-Only” (unicità dell’invio), enunciato dall’articolo 19 del Codice.

In base a tale principio, l’operatore economico inserisce i dati e i documenti una sola volta, e questi vengono resi disponibili automaticamente a tutte le amministrazioni interessate tramite l’ecosistema digitale nazionale. Questo meccanismo riduce drasticamente gli oneri amministrativi, ma eleva il livello di criticità della piattaforma: un malfunzionamento nel nodo di interoperabilità non blocca solo una gara, ma l’intero flusso di certificazione dei requisiti e di pubblicità legale.

Appalti Strategici e Beni ICT: il DPCM 30 Aprile 2025

Se le regole AgID definiscono la sicurezza del “contenitore” (la piattaforma), la Legge 90/2024 e i suoi decreti attuativi si occupano della sicurezza del “contenuto” (i beni e servizi acquistati). L’articolo 14 della Legge 90/2024 ha delegato a un DPCM il compito di individuare nel dettaglio le categorie merceologiche e i requisiti tecnici che fanno scattare il regime rafforzato di tutela degli interessi nazionali strategici. Il risultato è il DPCM 30 aprile 2025, un provvedimento che impatta direttamente sulla discrezionalità delle stazioni appaltanti.

Focus Normativo: Il DPCM 30 Aprile 2025

Il decreto, attuativo dell’art. 14 L. 90/2024, è composto da tre Allegati fondamentali che costituiscono il cuore operativo della nuova disciplina:

  • Allegato 1 (“Elementi Essenziali”): Elenca i requisiti tecnici inderogabili che i beni devono possedere (es. assenza di vulnerabilità note, aggiornamenti automatici di sicurezza, crittografia robusta).
  • Allegato 2 (“Categorie Tecnologiche”): Individua tassativamente le 22 categorie di beni e servizi (es. Firewall, Cloud, Antivirus, Sistemi IAM) soggette al regime speciale.
  • Allegato 3 (“Paesi Affidabili”): Oltre a Italia, UE e NATO, individua sei Paesi terzi equiparati ai fini della premialità: Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera.

Gli “Elementi Essenziali di Cybersicurezza” e le Categorie Rilevanti

L’Allegato 1 del DPCM non si limita a richiedere genericamente “sicurezza”, ma declina standard tecnici precisi che devono essere integrati nella lex specialis di gara come requisiti minimi (in caso di minor prezzo) o elementi di valutazione qualitativa (in caso di OEPV). Tra questi spiccano la gestione proattiva delle vulnerabilità (il fornitore deve garantire patch tempestive e gratuite) e l’obbligo di fornire beni con configurazioni sicure di default (Secure by Default).

Le stazioni appaltanti devono prestare massima attenzione all’Allegato 2: se l’oggetto dell’appalto rientra in una delle categorie ivi elencate (come sistemi di gestione identità, software antivirus, router, servizi cloud), scatta automaticamente l’obbligo di applicare i vincoli dell’articolo 108 del Codice.

Schema: Matrice degli Appalti Strategici

Categoria Bene ICT (All. 2 DPCM) Vincolo Prezzo (Art. 108) Obbligo Premialità (All. 3)
Sicurezza Endpoint
(Antivirus, Antimalware, EDR)		 Tetto Max 10% Obbligatoria
Infrastruttura di Rete
(Firewall, Router, VPN, Switch sicuri)		 Tetto Max 10% Obbligatoria
Servizi Cloud & Data Center
(IaaS, PaaS, SaaS critici)		 Tetto Max 10% Obbligatoria
Sistemi Identità Digitale
(IAM, PKI, Strong Authentication)		 Tetto Max 10% Obbligatoria

Nota: Per i beni non inclusi nell’Allegato 2 o non strategici, si applicano le regole ordinarie (es. Tetto 30% per alta intensità manodopera).

Il vincolo del “Cap 10%” sul prezzo e i criteri premiali

L’impatto più dirompente della riforma riguarda la ponderazione dei criteri di aggiudicazione. Per scongiurare il rischio che la sicurezza venga sacrificata sull’altare del risparmio economico, il legislatore ha introdotto un limite rigido al peso dell’offerta economica.

Focus Normativo: L’Articolo 108 del Codice Appalti

Come modificato dal D.Lgs. 209/2024 (Correttivo) e integrato dalla Legge 90/2024, l’art. 108, comma 4, stabilisce che quando i beni e servizi informatici sono impiegati in un contesto connesso alla tutela degli interessi nazionali strategici:

“la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 10 per cento.”

Ciò significa che almeno 90 punti su 100 devono essere attribuiti all’offerta tecnica, all’interno della quale deve essere valorizzata la premialità per l’uso di tecnologie italiane, UE, NATO o dei “Paesi Affidabili” (All. 3 DPCM), al fine di garantire l’autonomia tecnologica e la sicurezza della catena di approvvigionamento (Supply Chain).


Esempio Pratico: Gara per Servizi Cloud (SaaS) Strategici

Immaginiamo che una ASL debba acquistare un software in Cloud (SaaS) per la gestione delle cartelle cliniche (categoria rilevante ex All. 2 DPCM). Ecco come deve essere strutturato il disciplinare:

  • Requisito di Partecipazione (On/Off):
    La piattaforma deve possedere la certificazione ISO/IEC 27001 (sicurezza informazioni) e ISO/IEC 27017 (sicurezza cloud), con perimetro esteso allo specifico servizio offerto.

  • Ponderazione Punteggio (Vincolo Art. 108):
    Offerta Economica: Max 10 punti.
    Offerta Tecnica: Min 90 punti (di cui almeno 30 riservati a caratteristiche di cybersicurezza e resilienza).

  • Criterio Premiale (Sovranità Dati):
    Assegnazione di 15 punti extra se l’infrastruttura server è localizzata in Italia o in uno dei Paesi “White List” (es. UE, NATO, Giappone) e se il fornitore presenta una SBOM che attesta l’assenza di componenti critici da Paesi a rischio.

Risultato: Vince chi offre la tecnologia più sicura e trasparente, non chi fa il prezzo più basso.

Orientamenti Giurisprudenziali su Piattaforme e Nuove Tecnologie

L’applicazione concreta delle nuove norme sulla digitalizzazione ha generato un contenzioso complesso, su cui i giudici amministrativi hanno tracciato linee interpretative fondamentali. Due sono i fronti caldi: la gestione dei malfunzionamenti tecnici delle piattaforme (che rischiano di escludere ingiustamente i concorrenti) e l’irruzione dell’Intelligenza Artificiale Generativa nella redazione delle offerte tecniche.

Malfunzionamenti e continuità operativa (Il caso del “ritardo di 8 secondi”)

La natura telematica delle gare sposta il rischio operativo dalla “busta cartacea” al “log di sistema”. La giurisprudenza recente ha dovuto bilanciare il rigore formale dei termini di scadenza con il principio di favor participationis, specialmente quando il ritardo è infinitesimale o imputabile a rallentamenti dell’infrastruttura digitale gestita dalla stazione appaltante.

Focus Giurisprudenziale: TAR Campania, Sez. I, Sentenza n. 800 del 1° febbraio 2024

Il Caso: Un concorrente è stato escluso da una procedura telematica per aver finalizzato l’invio dell’offerta con un ritardo di soli 8 secondi rispetto al termine perentorio, pur avendo completato il caricamento dei file in tempo utile.

La Decisione: Il Tribunale ha annullato l’esclusione applicando il principio di proporzionalità. I giudici hanno stabilito che:

“Attribuire significato ad un ritardo di soli otto secondi si scontrerebbe col principio di proporzionalità atteso che imporrebbe la grave sanzione espulsiva nei confronti di un operatore che aveva pur sempre caricato in tempo nella piattaforma i dati utili.”

La sentenza chiarisce che i rischi derivanti dal “sovraffaticamento” della piattaforma o da lievi asincronie tecniche ricadono sulla stazione appaltante, che ha l’obbligo di garantire un’infrastruttura resiliente e capace di gestire i picchi di traffico.

L’Intelligenza Artificiale nelle procedure di gara

Una delle questioni più innovative riguarda l’uso di sistemi di AI (come ChatGPT o LLM proprietari) da parte degli operatori economici per elaborare le offerte tecniche. Se da un lato l’AI può migliorare l’efficienza, dall’altro solleva dubbi sull’originalità e sull’affidabilità delle soluzioni proposte. Una recente pronuncia ha però “sdoganato”, con le dovute cautele, l’uso di queste tecnologie.

Focus Giurisprudenziale: TAR Lazio, Roma, Sez. II, Sentenza n. 4546 del 3 marzo 2025

Il Caso: Un concorrente ha impugnato l’aggiudicazione sostenendo che l’offerta vincitrice fosse inaffidabile e generica perché elaborata con il supporto dichiarato di strumenti di Intelligenza Artificiale (ChatGPT-4).

La Decisione: Il TAR ha respinto il ricorso, affermando che l’uso dell’AI non costituisce motivo automatico di esclusione né indice di inaffidabilità, purché l’utilizzo sia:

  • Dichiarato e Trasparente: L’operatore non deve nascondere l’uso dello strumento.
  • Specifico: L’AI deve essere usata come supporto (es. elaborazione dati, supporto statistico) e non come sostituto della volontà imprenditoriale.

Il giudice ha confermato che la valutazione della Commissione sull’offerta tecnica, anche se generata con supporto AI, rientra nella discrezionalità tecnica, sindacabile solo per manifesta illogicità.

Conclusioni

L’evoluzione normativa analizzata delinea uno scenario in cui la gestione delle gare telematiche non ammette più improvvisazioni. La conformità ai requisiti di cybersecurity per le piattaforme di appalti pubblici e per i beni ICT strategici è divenuta la linea di demarcazione tra una procedura legittima ed efficace e un percorso a ostacoli costellato di rischi legali e operativi.

Per le Stazioni Appaltanti, la sfida è duplice: da un lato, garantire l’utilizzo di piattaforme certificate AgID capaci di assicurare la continuità del servizio anche in condizioni di stress; dall’altro, redigere atti di gara che recepiscano correttamente i vincoli del DPCM 30 aprile 2025, applicando il tetto del 10% al prezzo e i criteri premiali per la sovranità tecnologica. L’inerzia su questi fronti non comporta solo responsabilità amministrative, ma espone l’infrastruttura pubblica a vulnerabilità inaccettabili.

Per gli Operatori Economici, la sicurezza si trasforma da costo a leva competitiva. Le aziende capaci di dimostrare la trasparenza della propria filiera (tramite SBOM), di esibire certificazioni reali (non meramente cartolari) e di integrare l’Intelligenza Artificiale con trasparenza, avranno un accesso privilegiato al mercato pubblico. In questo nuovo contesto, la competenza legale e tecnica diventa l’asset fondamentale per navigare la complessità e trasformare l’adempimento normativo in opportunità strategica.

Domande Frequenti (FAQ)

Quali sono i requisiti minimi di sicurezza per una piattaforma di e-procurement?

Cosa succede se la piattaforma utilizzata dalla stazione appaltante non è certificata AgID?

In quali casi è obbligatorio limitare il punteggio economico al 10%?

Cos’è la SBOM e perché è richiesta nelle gare ICT?

È possibile escludere un operatore per carenze nella cybersecurity dell’offerta?

Hai bisogno di supporto per gare ICT sicure?

Le nuove normative sulla cybersecurity e i requisiti delle piattaforme digitali richiedono una gestione legale impeccabile per evitare esclusioni o contenziosi. Il nostro studio offre assistenza specializzata per RUP e operatori economici nella predisposizione e gestione di appalti strategici.

Contattaci per una Consulenza

Riferimenti Normativi e Link Utili

A cura di:

Federico Palumbo

Esperto in Diritto dell’Informatica e Appalti Pubblici

Articoli correlati