Le novità del Codice Appalti per garantire sicurezza e affidabilità delle comunicazioni

Il nuovo Codice degli Appalti (D.Lgs. n. 50/2016), come riformato lo scorso aprile a seguito del recepimento di tre direttive UE del 2014, pone le basi per una futura digitalizzazione del sistema di public procurement. Le motivazioni che hanno mosso tale riforma sono sicuramente atte a garantire una maggior sicurezza e trasparenza delle operazioni svolte, oltre ad una sensibile semplificazione delle procedure.

Tuttavia, molte sono, sino ad ora, le perplessità sulle norme ivi contenute. La loro complessità, le molteplici relazioni con altre norme e, nondimeno, la scarsa chiarezza in alcuni passaggi logici, favoriscono il fatto che, a distanza di qualche mese dall’entrata in vigore, il contenuto del Codice risulti ancora incerto e di difficile applicazione.

Il cuore della riforma intervenuta ad aprile risiede essenzialmente nell’art. 40, il quale prevede l’obbligo per le stazioni appaltanti, a partire dal 18 ottobre 2018, di avvalersi di mezzi di comunicazione elettronici per svolgere tutte le comunicazioni e gli scambi di informazioni necessari.

Strettamente correlato a questo principio, vi è quello dell’art. 44 il quale va a specificare come tale digitalizzazione delle procedure debba essere realizzata grazie all’utilizzo delle best practice organizzative e di lavoro, nonché mediante l’ausilio delle migliori soluzioni informatiche e telematiche. Tutto questo, in accordo con il Ministero per la semplificazione, l’AgID (Agenzia per l’Italia Digitale), nonché l’Autorità garante della Privacy ed il Ministro delle infrastrutture e dei trasporti, in modo da garantire l’interconnessione per interoperabilità dei dati delle pubbliche amministrazioni.

Al momento, solo l’AgID, sin dallo scorso luglio, ha stilato e pubblicato una bozza delle regole tecniche richieste dall’art. 44 ivi richiamato allo scopo di favorire l’interoperabilità dei sistemi e delle piattaforme informatiche coinvolte nel processo di acquisto e di negoziazione. Nelle regole dell’AgID si definisce un modello semantico dei dati e l’individuazione di protocolli standard per la predisposizione di canali informatici riconosciuti, sicuri ed adeguati all’utilizzo delle tecnologie necessarie. Sempre nelle regole dell’AgID, si stabilisce che i sistemi telematici di acquisto e negoziazione devono garantire il colloquio tra di essi e con i sistemi e le piattaforme coinvolte nelle fasi del processo, consentendo l’interoperabilità e lo scambio di dati. E ancora, le regole dell’AgID stabiliscono che le informazioni ed i documenti scambiati nel corso del processo di acquisto devono essere scambiati attraverso un canale che garantisca agli scambi di avvenire in maniera firmata, certificata, criptata e loggata. Firmata e certificata poiché appare necessario garantire certezza in merito ai soggetti operanti; criptata in quanto deve essere assicurata la confidenzialità dei messaggi scambiati; loggata poiché gli scambi vengono registrati ed archiviati in maniera da poter assicurare lo svolgimento di audit successivi.

In passato, infatti, non sono mancate problematiche relative a tali questioni. Nel 2013, il Consiglio di Stato (Sez. III, UD. 11/01/2013, DEP. 25/01/2013) ritenne illegittima l’esclusione dalla gara del concorrente che, a causa di difetti della piattaforma informatica utilizzata per la trasmissione telematica dell’offerta, risultava aver sottoscritto ed immesso nel sistema un documento vuoto (intendendosi per “vuoto” un file di dimensioni pari a 0 Kb), privo quindi dei contenuti richiesti. Ciò poiché, in presenza di difetti accertati della piattaforma informatica (che non informava l’utente circa eventuali errori nel caricamento degli allegati e non garantiva l’inalterabilità dei documenti trasmessi in formato elettronico), e nell’impossibilità di accertare a posteriori se vi fosse stato un errore da parte del trasmittente, o se la trasmissione fosse stata danneggiata per un vizio del sistema, il rischio non poteva che ricadere sulla stazione appaltante che unilateralmente aveva scelto il suddetto sistema e ne aveva imposto l’utilizzo ai partecipanti.

Le piattaforme elettroniche di acquisto e negoziazione dovranno quindi essere predisposte in futuro in modo da assicurare la conservazione digitale dei file di log delle transazioni elettroniche effettuate dalle parti, nonché l’integrità, la sicurezza e la riservatezza delle comunicazioni tra le piattaforme elettroniche di acquisto e negoziazione e tra queste e gli altri sistemi e piattaforme della pubblica amministrazione.

Da ultimo ma non meno importante, occorre riflettere sui contenuti dell’articolo 52 del Codice che pone quelle che sono le regole generali da applicare alle comunicazioni del settore.

L’art. 52 esordisce affermando che tutte le comunicazioni e gli scambi di informazioni sono eseguiti utilizzando mezzi di comunicazione elettronici, coerentemente quindi con quella che è la visione complessiva della riforma; vengono quindi richiamati il CAD (Codice dell’Amministrazione Digitale) e alcuni principi fondamentali, come l’interoperabilità tra sistemi di comunicazione.

Tuttavia, nel proseguo emergono alcuni “timori” del Legislatore sui rischi che le comunicazioni digitali possono comportare. Alla lettera e) del comma 1 si legge che le stazioni appaltanti non sono obbligate all’uso di mezzi di comunicazione elettronica quando è presente una violazione della sicurezza dei mezzi di comunicazione ovvero occorre proteggere informazioni di natura particolarmente sensibile che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente garantito mediante l’uso degli strumenti e dispositivi elettronici che sono generalmente a disposizione degli operatori economici o che possono essere messi loro a disposizione mediante modalità alternative di accesso, previste dal successivo comma 6.

Ma, attenzione, ciò non vuol dire che, tout court, se c’è una violazione di sicurezza o informazioni di natura particolarmente sensibile si devono mettere da parte le comunicazioni elettroniche e tornare alla carta. La direttiva UE che ha introdotto tale norma (la Direttiva 2014/24/UE) chiarisce meglio questo punto nel considerando 53. Il Legislatore UE afferma che vi possono essere casi eccezionali in cui le amministrazioni aggiudicatrici dovrebbero essere autorizzate a non usare mezzi di comunicazione elettronici, quando appunto ciò si rende necessario per tutelare la natura particolarmente sensibile delle informazioni. Ciò è chiaro. Ma il considerando 53 prosegue, e precisa, che qualora l’uso di strumenti elettronici non comunemente disponibili potesse offrire il necessario livello di protezione, tali strumenti dovrebbero essere utilizzati, quando, per esempio, le amministrazioni aggiudicatrici richiedono l’uso di appositi mezzi di comunicazione sicuri ai quali esse offrono accesso. Quindi, la PA, se possibile, deve offrire una comunicazione elettronica sicura, alternativa a quella che normalmente offrirebbe e che può comportare rischi di violazione.

Ciò detto, le novità del Codice a grandi linee evidenziate sinora, non possono considerarsi una riforma “isolata” ma dovranno integrarsi con altre norme, tra le altre, le norme della Direttiva n. 1148/2016, Direttiva Network and Information Security (Direttiva NIS), entrata in vigore l’8 agosto scorso, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione europea. La Direttiva NIS, in particolare, all’interno del suo articolo 14 (rubricato “Obblighi in materia di sicurezza e notifica degli incidenti”), prevede che gli Stati membri dovranno accertarsi della corretta adozione, da parte delle amministrazioni pubbliche e degli operatori del mercato, di misure tecniche e organizzative adeguate alla gestione dei rischi riscontrabili per le reti ed i sistemi informativi e della conseguente notificazione all’autorità competente degli incidenti aventi un impatto significativo sulla sicurezza dei servizi prestati. Inoltre, sempre la Direttiva NIS, prevede all’art. 16, che gli Stati membri devono incoraggiare l’uso di standard e/o specifiche tecniche relative alle reti e sicurezza delle informazioni. La Direttiva NIS dovrà essere recepita entro i primi mesi del 2018 con una legge nazionale e si dovrà quindi attendere tale momento per verificarne l’esatto contenuto delle norme di recepimento, se saranno quindi coerenti con le formulazioni del Codice degli Appalti.