Appalti pubblici, come gestirli in sicurezza

Norme nazionali ed europee prescrivono la digitalizzazione delle procedure di gara e acquisto, nonché l’obbligo di adottare piattaforme telematiche adeguatamente sicure. L’aderenza dei sistemi adottati agli standard tecnici internazionali assicura la compliance normativa, senza rischio di errata interpretazione. La disamina dall’Executive Cocktail organizzato da ZeroUno con FPA e BravoSolution

Pubblicato il 14 Dic 2016

ROMA – Il Nuovo Codice degli Appalti, entrato in vigore lo scorso aprile recependo le indicazioni Ue, introduce importanti novità per la digitalizzazione dei processi di appalto. Nel mirino, le piattaforme informatiche a supporto delle procedure di gara e acquisto, che devono garantire compliance normativa e tutela delle informazioni. Sul tema si è sviluppato un recente Executive Cocktail Sicurezza informatica, tracciabilità, trasparenza e interoperabilità nei processi di appalto del settore pubblico, organizzato da ZeroUno con FPA e BravoSolution tenutosi nella capitale.

Di questo servizio fanno parte anche i seguenti articoli:
LA TAVOLA ROTONDA – Processi d’acquisto, così si digitalizza il settore pubblico
L'OFFERTA – Pa, quali soluzioni per la gestione del procurement?

Security, criticità e responsabilità

Guglielmo Troiano, Senior Legal Consultant, Servizi Legali di P4I – Partners For Innovation

A fronte di attacchi informatici crescenti, la difesa passa attraverso il controllo sui luoghi di conservazione dei dati, la visibilità dei fornitori esterni che trattano le informazioni di propria titolarità, misure efficaci di risposta agli eventi e ripristino, disponibilità dei log ai sistemi. Tuttavia, il rischio di perdere la governance in procedure complesse come le gare d’appalto è alta: “Nella maggioranza dei casi – ha precisato Guglielmo Troiano, Senior Legal Consultant, Servizi Legali di P4I – Partners For Innovation, delineando le problematiche di security e il quadro normativo per la gestione del procurement nella Pa – la stazione appaltante affida il trattamento dei dati provenienti dai partecipanti alle gare a soggetti terzi, che spesso si rivolgono a subfornitori. Il pericolo è di perdere il controllo diretto dei dati, non conoscere l’ubicazione dei data center, incorrere in sanzioni amministrative e procedimenti giudiziari”.

La sentenza del Consiglio di Stato n. 481 del 25 gennaio 2013, infatti, ha confermato che in presenza di difetti accertati della tecnologia adottata, il rischio ricade sulla stazione appaltante che ha scelto la piattaforma informatica.

Ecco cosa dicono le normative

Figura 1 – I principali standard per la sicurezza – fonte: P4I

Troiano ha continuato il suo intervento evidenziando alcuni aspetti del Codice degli Appalti. L’articolo 40 impone (a decorrere dal 18 ottobre 2018) l’uso di mezzi elettronici per le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di appalto; gli articoli 44 e 58 (con Appendici) fanno riferimento alla definizione di modalità per la digitalizzazione dei contratti pubblici, mettendo l’accento sui requisiti tecnici dei sistemi telematici di acquisto e negoziazione. Tali piattaforme devono garantire: interoperabilità dei dati e dei sistemi; registrazione e conservazione dei log per assicurare lo svolgimento di audit trails; integrità, sicurezza e riservatezza delle comunicazioni.

“Secondo l’articolo 32 del Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (Eu-Rgpd) – ha proseguito Troiano -, titolare e responsabile dei dati dovranno attuare misure tecniche e organizzative [ad esempio, pseudonimizzazione, cifratura ecc., ndr] per garantire un livello di sicurezza adeguato al rischio derivante da perdita, modifica, divulgazione non autorizzata, accessi accidentali o illegali”. Parimenti si esprime la direttiva varata dal Parlamento Europeo per la Network and Information Security (Nis).

Standard per colmare il gap normativo

Tuttavia, come ha precisato Troiano, le regolamentazioni europee prescrivono l’obbligo di applicare la valutazione del rischio, ma non descrivono le procedure a supporto.

“A colmare il gap normativo – ha suggerito – intervengono standard e certificazioni internazionali su specifiche tecniche. L’utilizzo è incoraggiato esplicitamente in un considerando [giuridicamente i considerando indicano la motivazione degli articoli del regolamento ndr] del Regolamento e dall’articolo 16 della direttiva Nis”.

Tuttavia gli standard tecnici e le norme giuridiche presentano vistose differenze: ad esempio, nel recepimento (volontario vs obbligatorio), nella valenza (internazionale vs territoriale), nella portata (specifica vs generale), nel copyright (protetto vs libero).

“Leggi e regolamenti – ha concluso Troiano, dopo avere elencato i principali standard per la sicurezza (figura) – non forniscono indicazioni pratiche per lo sviluppo della sicurezza dei sistemi. Meglio fare riferimento a modelli consolidati e referenziabili a livello internazionale, piuttosto che basarsi sull’interpretazione delle norme giuridiche, senza sufficiente esperienza in materia”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati