Codice appalti, la sicurezza che manca: nell’attesa del recepimento della Nis e delle regole Agid

Il nuovo Codice degli Appalti (D.Lgs 50/2016) impone agli operatori del settore di seguire un progressivo percorso di digitalizzazione del sistema al fine di garantire un maggior livello di sicurezza, tracciabilità, trasparenza ed interoperabilità nei processi di appalto del settore pubblico.

In estrema sintesi, le informazioni e i documenti scambiati nel corso del processo di procurement devono avvenire in maniera firmata, certificata, criptata e loggata. Firmata e certificata poiché appare necessario garantire certezza in merito ai soggetti operanti; criptata in quanto deve essere assicurata la confidenzialità dei messaggi scambiati; loggata poiché gli scambi vengono registrati ed archiviati in maniera da poter assicurare lo svolgimento di audit trail.

Sulla base di tali requisiti, le piattaforme elettroniche di acquisto e negoziazione dovranno assicurare la conservazione digitale dei log delle transazioni elettroniche, nonché l’integrità, la sicurezza e la riservatezza delle comunicazioni stesse. L’art. 40 del Codice degli Appalti prevede quindi l’obbligo di avvalersi di mezzi di comunicazione elettronica per tutte le comunicazioni e gli scambi di informazioni necessari, mentre l’art. 44 definisce le modalità di digitalizzazione delle procedure grazie all’utilizzo delle best practice organizzative e di lavoro, mediante l’ausilio delle migliori soluzioni informatiche e telematiche.

Il Codice degli Appalti dovrà integrarsi con la Direttiva NIS (Network and Information Security) che prevede, all’articolo 14, che gli Stati membri dell’UE dovranno assicurarsi l’adozione, da parte delle PA e dei gestori del mercato, di appropriate misure e tecniche organizzative per la gestione dei rischi e per la sicurezza delle reti e dei sistemi informativi che controllano ed utilizzano nelle loro operazioni.

Siamo però ancora in attesa dell’emanazione delle regole tecniche aggiuntive, da parte di AgID, volte a garantire la condivisione dei dati tra i sistemi telematici di acquisto e negoziazione. Questo documento, attualmente ancora in bozza, prevede alcuni requisiti minimi dei sistemi telematici di acquisto e negoziazione.