La convenzione stipulata da ANAC con l’Agenzia Italiana per la Cybersicurezza Nazionale rappresenta un passaggio fondamentale per garantire che il sistema degli appalti sia difeso da intrusioni e violazioni che possano minare la fiducia degli operatori economici. Non si tratta solo di tutelare il patrimonio dell’Autorità ma di costruire un percorso di innovazione in grado di individuare possibili eventi avversi nelle procedure di affidamento.
Il tema della cybersicurezza sarà prioritario nei prossimi anni: gli attacchi informatici e la criminalità informatica stanno aumentando in tutta Europa sia in termini di quantità che di sofisticazione, una tendenza destinata a crescere in futuro, considerato che nel 2025 si prevedono oltre 25 miliardi di apparecchi connessi. Nell’ambito del Piano nazionale di ripresa e resilienza (PNRR) la sicurezza informatica rappresenta uno dei 7 investimenti della Digitalizzazione della pubblica amministrazione. E l’ANAC è consapevole che un eventuale attacco informatico in grado di compromettere il funzionamento della Banca Dati Nazionale dei Contratti Pubblici potrebbe impedire alle stazioni appaltanti italiane la possibilità di svolgere affidamenti di lavori, servizi e forniture.
Il protocollo pare concentrarsi esclusivamente sul supporto IT all’ANAC e solo in termini generali ad un sostegno sulla materia dei contratti pubblici. L’Agenzia potrebbe essere fondamentale per un ripensamento del sistema delle gare digitali nel nostro paese dove la conduzione tecnica dei sistemi telematici di acquisto e negoziazione è affidata ad un service provider la cui capacità di garantire l’integrità della procedura è legata alle proprie dimensioni ed alle risorse investite per scongiurare violazioni. Come prevede il Decreto MIT n. 148/2021 il gestore del sistema telematico garantisce il corretto funzionamento e la sicurezza del sistema telematico, individuato con le procedure di affidamento disciplinate dal codice. Il citato Regolamento sulle procedure digitalizzate si limita ad indicare come migliore pratica (e quindi non come requisito di base delle piattaforme) l’adozione di procedure di gestione della vulnerabilità e degli aggiornamenti, nonché di gestione degli incidenti di sicurezza (security incident management), formalizzati in conformità agli standard internazionali.
Risulta quindi evidente che la competenza sull’integrità della procedura sia stata esternalizzata senza imporre standard di sicurezza elevati. Un tempo il RUP era il solo responsabile di attestare la tardività di un’offerta prendendo atto di quanto indicato da un altro pubblico ufficiale (il Responsabile del Protocollo). Sempre il RUP aprendo i plichi verificava l’integrità delle buste e del contenuto. Oggi, nell’era digitale, tale delicata funzione è affidata ad un “gestore” che registra sul sistema telematico le operazioni che vengono svolte. La Stazione appaltante ha perso il controllo diretto sulla presentazione delle offerte. La ceralacca sarà sostituita dalla blockchain?
Se hai esperienze da raccontare sull’uso di sistemi telematici nelle procedure, partecipa al nostro FORUM.