118 40 5MB
Italian Pages [279] Year 2023
CONTRIBUTI DI DIRITTO AMMINISTRATIVO STUDI E MONOGRAFIE
CYBERSICUREZZA E PUBBLICA AMMINISTRAZIONE
Stefano Rossa è ricercatore a tempo determinato di Diritto amministrativo presso l’Università degli Studi del Piemonte Orientale, nella quale nel 2020 ha conseguito il titolo di Dottore di ricerca in Diritto amministrativo. Ha svolto periodi di ricerca all’estero, in particolare in Estonia, in Irlanda e in Germania, ed è autore di pubblicazioni in materia di Diritto amministrativo sostanziale, di Diritto dell’amministrazione digitale, Diritto degli appalti, nonché della monografia Contributo allo studio delle funzioni amministrative digitali, CEDAMWolters Kluwer, Milano, 2021.
25
S. Rossa
Il volume è dedicato allo studio della cybersicurezza pubblica e ai profili concernenti la Pubblica Amministrazione. L’opera, in particolare, analizza sia la “dimensione verticale” della cybersicurezza pubblica, riguardante il rapporto che intercorre fra i diversi livelli di governo europei e nazionali, indagandone la disciplina normativa dell’Unione europea e quella italiana, sia la “dimensione orizzontale”, relativa alla relazione che in tale ambito si instaura fra i soggetti pubblici e quelli privati. Dall’analisi delle due “dimensioni” emerge come la disciplina giuridica della cybersicurezza pubblica sia caratterizzata da un approccio di tipo autoritativo, che condiziona negativamente le politiche di cybersicurezza pubblica, anziché da un approccio di natura collaborativa fra tutti gli attori coinvolti, in particolare fra quelli pubblici e privati, nonostante proprio il principio di collaborazione risulti essere una delle basi concettuali della cybersicurezza. Sottolineando il bisogno di ampliare gli spazi di collaborazione, l’analisi indaga e suggerisce alcuni istituti in grado di riequilibrare la relazione pubblico-privato, già esistenti nella disciplina in materia di appalti pubblici di cybersicurezza, dai quali emerge la necessità del recupero della funzione pianificatoria pubblica – nel settore tecnologico, ma non solo – dalla quale pare affiorare un ritrovato ruolo centrale dello Stato.
Collana diretta da
F.G. Scoca, G. Corso M. D’Orsogna, L. Giani, M. Immordino, A. Police, M.A. Sandulli, M.R. Spasiano
Stefano Rossa
CYBERSICUREZZA E PUBBLICA AMMINISTRAZIONE
ISBN 979-12-5976-671-7
ISSN 2611-0466
euro 18,00
editoriale scientifica napoli
Contributi di Diritto amministrativo
25 Studi e Monografie
CONTRIBUTI DI DIRITTO AMMINISTRATIVO Collana diretta da FRANCO GAETANO SCOCA, GUIDO CORSO MARINA D’ORSOGNA, LOREDANA GIANI, MARIA IMMORDINO, ARISTIDE POLICE, MARIA ALESSANDRA SANDULLI, MARIO SPASIANO
Stefano Rossa
CYBERSICUREZZA E PUBBLICA AMMINISTRAZIONE
EDITORIALE SCIENTIFICA NAPOLI
I volumi pubblicati nella presente collana sono stati oggetto di procedura di doppio referaggio cieco (double blind peer review).
Proprietà letteraria riservata
© Copyright maggio 2023 Editoriale Scientifica s.r.l. via San Biagio dei Librai, 39 - 80138 Napoli www.editorialescientifica.com [email protected] ISBN 979-12-5976-671-7
INDICE
CAPITOLO PRIMO LA CYBERSICUREZZA E LE COORDINATE ORIENTATIVE DELLA RICERCA 1. Introduzione. Il concetto di cybersicurezza 2. Precisazione e delimitazione dell’oggetto della trattazione 3. La cybersicurezza e il diritto amministrativo: le ragioni alla base della ricerca 4. Struttura dell’opera
9 13 18 20
CAPITOLO SECONDO DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA 1. La centralità delle reti e delle infrastrutture digitali impiegate dalla Pubblica Amministrazione e la necessità di proteggerle da attacchi e incidenti cyber 2. La rilevanza della proprietà delle reti e delle infrastrutture digitali adoperate dai soggetti pubblici e l’attuale mancanza di una infrastruttura digitale di Stato 3. L’azione obbligata dello Stato ad acquistare beni e servizi cyber sul mercato ICT 4. Le caratteristiche del mercato ICT e le criticità legate all’acquisto pubblico di tecnologia 4.1. Il contributo del modello capitalista allo sviluppo del mercato della tecnologia e il ruolo dell’imprenditore 4.2. La rapidità dell’evoluzione tecnologica e i costanti e ingenti investimenti necessari nell’analisi della c.d. legge di Moore e nella c.d. legge di Rock 4.3. L’asimmetria informativa fra il produttore (impresa venditrice) e l’acquirente di tecnologia (Stato compratore) l’effetto lock-in 4.3.1.L’effetto lock-in nella valutazione delle offerte: il caso dei software proprietari
23
28 35 40 40
43 47 58
6
INDICE
5. Riflessioni riassuntive: uno Stato debole dipendente da pochi fornitori di tecnologia
62
CAPITOLO TERZO LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA: FRA UNIONE EUROPEA E ORDINAMENTO NAZIONALE 1. La disciplina multilivello “verticale” della cybersicurezza pubblica 2. La nascita della disciplina sulla cybersicurezza pubblica: la strumentalità fra protezione delle infrastrutture digitali e protezione delle infrastrutture fisiche e il legame (nazionale) fra cybersecurity e intelligence 3. Lo sviluppo della disciplina della cybersicurezza pubblica: l’approccio normativo plurisettoriale 4. L’ottimizzazione della disciplina della cybersicurezza pubblica: la definizione dell’architettura istituzionale 4.1. La centralità dell’ENISA nel contesto europeo, quale punto di connessione fra gli organi europei della cybersicurezza e quelli dei Paesi membri 4.2. La centralità dell’Agenzia per la Cybersicurezza Nazionale nel contesto italiano e il persistente legame con il Presidente del Consiglio dei Ministri 5. L’architettura multilivello nel rapporto fra l’ENISA e le Agenzie nazionali di cybersicurezza pubblica (e i limiti dell’attuale disciplina) 6. L’esigenza di un approccio complementare alla cybersicurezza pubblica: fra dimensione multilivello “verticale” e dimensione “orizzontale”
65
67 77 84
85
91
100
104
7
INDICE
CAPITOLO QUARTO LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA: LA PREVALENZA DELLA LOGICA AUTORITATIVA SU QUELLA COLLABORATIVA 1. La dimensione “orizzontale” della cybersicurezza pubblica nella relazione fra soggetti pubblici e privati: un rapporto sbilanciato fra autoritatività e collaborazione 2. La logica autoritativa nella disciplina generale della cybersicurezza pubblica: la centralità del binomio “obbligo-sanzione” 2.1. Gli obblighi dell’adozione di misure tecniche minime e di comunicazione di cyber incidenti 2.1.1. Un cas peculiare: i Perimetro di Sicureza Nazionale di Cibernetica 2.2. L’obbligo del rispetto del quadro comune per la certificazione della cybersicurezza di beni e servizi 3. I riflessi dell’approccio autoritativo sugli appalti pubblici di cybersicurezza 3.1. La disciplina italiana degli appalti pubblici nell’ambito della cybersecurity pubblica 3.2. La disciplina generale di cybersecurity public procurement: il ruolo sinergico di AGID e CONSIP e l’attività di centralizzazione degli acquisti pubblici 3.2.1. Lo strumento dell’accordo quadro e la logica regolatoria 3.2.2. Alcuni esempi di appalti pubblici di cybersicurezza effettuati in Italia: la “Gara Sicurezza On Premises” e la “Gara Servizi Sicurezza da Remoto 3.2.3. Gli appalti pubblici di cybersicurezza nell’ambito del Perimetro Nazionale di Sicurezza Cibernetica 3.3. La disciplina speciale di cybersecurity public procurement: gli appalti dell’Agenzia per la Cybersicurezza Nazionale 4. I limiti della logica autoritativa sulla dimensione “orizzontale” della cybersicurezza pubblica
107 111 111 115 122 131 131
134 142
149 153 155 159
8
INDICE
CAPITOLO QUINTO L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA E IL RECUPERO DELLA FUNZIONE PIANIFICATORIA DELLO STATO
1. L’esigenza di allargare gli esistenti (ma limitati) spazi di collaborazione nella relazione fra pubblico e privato, integrando l’approccio autoritativo 2. Gli appalti pubblici come leva di trasformazione collaborativa del sistema della cybersicurezza pubblica 2.1. Gli appalti innovativi 2.2. In particolare: il partenariato per l’innovazione 2.3. L’apporto degli appalti innovativi come strumento per evitare le criticità dell’acquisto pubblico di beni e servizi di cybersicurezza 3. Il recupero della funzione pianificatoria pubblica: la collaborazione “orientata” al raggiungimento di fini posti dal soggetto pubblico 3.1. Lo Stato innovatore come guida del processo innovativo (e della cybersicurezza)
167 169 171 189
199
207 211
CAPITOLO SESTO CONSIDERAZIONI CONCLUSIVE QUALE RUOLO PER LO STATO NELLA CYBERSICUREZZA PUBBLICA? 1. Il bisogno della promozione della cultura della cybersicurezza, nella Pubblica Amministrazione ma non solo 2. Una nuova centralità dello Stato nell’ambito della cybersicurezza pubblica? La sovranità digitale e la (persistente) necessità di adottare logiche collaborative
217
221
Bibliografia
227
Sitografia generale
273
CAPITOLO I LA CYBERSICUREZZA E LE COORDINATE ORIENTATIVE DELLA RICERCA SOMMARIO: 1. Introduzione. Il concetto di cybersicurezza. – 2. Precisazione e delimitazione dell’oggetto della trattazione. – 3. La cybersicurezza e il diritto amministrativo: le ragioni alla base della ricerca. – 4. Struttura dell’opera.
1. Introduzione. Il concetto di cybersicurezza Attraverso lo “studio dell’intimo significato della parola” (dal greco ἔτυµος e λόγος), è possibile conoscere e comprendere il significato che si cela dietro il significante. In relazione alla parola “cybersicurezza”, tuttavia, l’aiuto offerto dall’etimologia è piuttosto scarso, ma rappresenta un innegabile punto di partenza, per una evidente ragione di chiarezza espositiva e metodologica, onde iniziare l’analisi giuridica del tema delineandone la definizione nel modo più preciso possibile. D’altronde, come ha scritto Rodolfo Sacco, «[l]a conoscenza del diritto, il diritto stesso, hanno bisogno della lingua»1. Innanzitutto, consultando l’Enciclopedia Treccani, prima ancora che il suo significato emerge un elemento sistematico: il termine “cybersicurezza” è stato inserito nella sezione “neologismi” dell’anno 20082. Questa circostanza, che da sé pone in evidenza la novità e la palese rilevanza del concetto, si collega al fatto che questa parola è una italianizzazione di un termine straniero: Cybersecurity. Cybersicurezza e Cybersecurity sono termini composti, formati dal confisso “Cyber” e dal suffisso “sicurezza” / “Security”. “Cyber” deriva dell’espressione greco-antica l’«arte del piota»3 o «l’arte di go 1
R. SACCO, Lingua e diritto, in Ars Interpretandi, 2000, 119. Cfr. la voce Cybersicurezza, in Enciclopedia Treccani, 2008, all’indirizzo https://bit.ly/41xtSYf. 3 G. DEVOTO, Dizionario etimologico, Le Monnier, Firenze, 1968, 79, in relazione alla voce cibernètica. 2
10
CAPITOLO I
verno del timoniere»4, dalla quale, a partire dalla seconda metà del Novecento, si sono sviluppate quelle teorie scientifiche – su tutte la Cibernetica5 – che per prime hanno tracciato un legame fra comunicazione, automazione e diritto (e società) e hanno contribuito alla nascita della moderna Informatica giuridica6. Da esse è sorto un conseguente collegamento di “cyber” con tutto ciò che possa essere ricondotto alla sfera dell’informatica e – in senso lato – al processo di digitalizzazione7. In realtà, come è stato sottolineato8, il confisso “Cyber” sarebbe la contrazione di “Cyberspace” – “cyberspazio” in italiano – termine sorto nella corrente letteraria Cyberpunk e coniato dallo scrittore 4
Così V. FROSINI, Cibernetica, diritto e società, Edizioni di Comunità, Milano, 1968, 17. Più esplicitamente M.G. LOSANO, Giuscibernetica. Macchine e modelli cibernetici nel diritto, Einaudi, Torino, 1969, 127, secondo cui «[i]n Platone il termine κυβερνητική (sottointeso τέχνη) ovvero τό κυβερνητικόν indica anzitutto, in senso stretto, l’arte del pilotaggio di una nave (Gorgias 511; Politicus 299): è questo il senso proprio e originario del termine, che sembra derivare dal sanscrito kubara, timone, donde anche il latino gubernum, destinato a sopravvivere nelle lingue neolatine soprattutto come termine politico». 5 Il riferimento è a N. WIENER, Cybernetics: or Control and Communication in the Animal and the Machine, Technology Press, John Wiley and Sons New York, 1948 nonché a ID., The Human Use of the Human Beings, Houghton Mifflin Company, Boston, 1950. 6 In argomento, e senza pretese di esaustività, si vedano G. ZICCARDI, P. PERRI (cur.), Tecnologia e diritto, I-III, Giuffrè Francis Lefebvre, Milano, 2019; M.A. BIASIOTTI, G. SARTOR, F. TURCHI, Tecnologie e abilità informatiche per il diritto, Giappichelli, Torino, 2018; G. PASCUZZI (cur.), Il diritto dell’era digitale, Il Mulino, Bologna, 2016; G. FINOCCHIARO, F. DELFINI (cur.), Diritto dell’informatica, UTET, Torino, 2014; U. PAGALLO, Il diritto nell’età dell’informazione, Giappichelli, Torino, 2014; M. DURANTE, U. PAGALLO (cur.), Manuale di informatica giuridica, UTET, Torino, 2012. 7 Il richiamo, in particolare è al pensiero di Vittorio Frosini e di Mario G. Losano, specialmente in relazione alle due opere citate in precedenza in nota. Per una ricostruzione del processo evolutivo che, a partire dagli anni Cinquanta del Novecento, ha portato alla nascita dell’Informatica giuridica e ai modelli di Open Government, sia consentito il richiamo a S. ROSSA, Contributo allo studio delle funzioni amministrative digitali, Wolters Kluwer-CEDAM, Milano, 2021, 6 ss. 8 Così A. CONTALDO, L. SALANDRI, La disciplina della cybersecurity nell’Unione europea, in A. CONTALDO, D. MULA (cur.), Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, Pacini, Pisa, 2020, 1.
LA CYBERSICUREZZA E LE COORDINATE ORIENTATIVE DELLA RICERCA
11
William Gibson nel romanzo Neuromancer9 per indicare una “realtà virtuale”. Ciononostante, una sua definizione più precisa è contenuta nel Glossario Intelligence curato dalla Presidenza del Consiglio dei Ministri e dal Sistema di Informazione per la Sicurezza della Repubblica (SISR). Per Cyberspace si intende «[l]’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi. Include tra l’altro internet, reti di comunicazione, sistemi attuatori di processo ed apparecchiature mobili dotate di connessione di rete»10. Per quanto attiene al suffisso “sicurezza”, invece, pare necessario risalire a esso tramite il relativo suffisso dell’originale termine inglese: “Security”. Questo aspetto è fondamentale tenendo in considerazione che nella lingua inglese vi sono due parole diverse per esprimere il concetto italiano ampio di “sicurezza”: Safety e Security. In inglese per Safety si intende «the state of being safe and protected from danger or harm»11, mentre per Security «the activities involved in protecting a country, building or person against attack, danger, etc.»12. Pertanto, nella lingua italiana il concetto di Security corrisponde all’elemento organizzativo volto a proteggere un soggetto o un oggetto, onde permettere a esso di risultare in una posizione di incolumità, termine che invece coincide con Safety: pertanto, Safety è il risultato mentre Security è il mezzo organizzativo per giungere a esso. Ciò posto, per ritornare alla definizione dell’Enciclopedia Treccani a cui poc’anzi si è fatto riferimento, risulta dunque più chiaro che con il termine “cybersicurezza” si intenda un «sistema di sicurezza che protegge la rete telematica di uno Stato da eventuali attacchi terroristici perpetrati per via informatica»13. La portata di questa definizione appare tuttavia troppo ristretta, specialmente confrontandola 9
Cfr. W GIBSON, Neuromancer, Ace Books, New York, 1984. Voce Cyberspace, in PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA DELLA REPUBBLICA, Glossario Intelligence. Il linguaggio degli Organismi informativi, 2019, 40, in https://bit.ly/40M6dSN. 11 Voce Safey, in Oxford Advanced Learner’s Dictionary, Oxford University Press, 2022, in https://bit.ly/41Hiitc. 12 Voce Security, in Oxford Advanced Learner’s Dictionary, Oxford University Press, 2022, in https://bit.ly/43NchwO. 13 Voce Cybersicurezza, in Enciclopedia Treccani, 2008, cit. 10
12
CAPITOLO I
con quella contenuta nel menzionato Glossario Intelligence, nel quale la “cybersicurezza” viene definita come la «[c]ondizione in cui il cyber-space risulti protetto rispetto ad eventi, di natura volontaria od accidentale, consistenti nell’acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittime ovvero nel blocco dei sistemi informativi, grazie ad idonee misure di sicurezza fisica, logica e procedurale. Queste includono: audit di sicurezza, gestione di aggiornamenti (patches) di sicurezza, procedure di autenticazione, gestione degli accessi, analisi del rischio, rilevazione e reazione ad incidenti/attacchi, mitigazione degli impatti, recupero delle componenti oggetto di attacco, addestramento e formazione del personale, nonché verifica e potenziamento della sicurezza fisica dei locali dove sono collocati i sistemi informativi e di comunicazione»14. Stante l’elevato livello di complessità che il concetto di cybersecurity sottende15, ma volendo ricostruirlo in modo meno equivoco 16, è possibile allora affermare che essa sia un sistema organizzativo finalizzato a proteggere le infrastrutture informatico-digitali di organizzazioni complesse 17, di natura pubblicistica (o privatistica18), in primis lo Stato19, attuato tramite la predisposizione di mi 14
Voce Cybersecurity, in PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA SICUREZZA DELLA REPUBBLICA, Glossario Intelligence. Il linguaggio degli Organismi informativi, cit., 39-40. 15 Si veda EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY (ENISA), Definition of Cybersecurity. Gaps and overlaps in standardisation, December 2015, in https://bit.ly/43T179V, che mette in evidenza la complessità del concetto di cybersicurezza in particolare sul piano tecnico. 16 Per le ragioni logiche evidenziate nel testo, nel corso della trattazione si userà in modo indistinto i termini cybersicurezza e cybersecurity. 17 In tal senso B. CAROTTI, Sicurezza cibernetica e Stato-Nazione, in Giorn. dir. amm., n. 5/2020, 629. 18 Così A. RENZI, La sicurezza cibernetica: lo stato dell’arte, in Giorn. dir. amm., n. 4/2021, 538. 19 Cfr. G. ZICCARDI, La cybersecurity nel quadro tecnologico (e politico) attuale, in G. ZICCARDI, P. PERRI, Tecnologia e diritto, Vol. III, Informatica giuridica avanzata, Giuffrè Francis Lefebvre, Milano, 2019, 207, il quale nota come «[l]’idea di cybersecurity come semplice “protezione del proprio computer o sistema informatico” è ormai tramontata: gli interessi in gioco, oggi, riguardano le infrastrutture di uno Stato, lo sviluppo delle reti, l’organizzazione di campagne di malware che sono in grado di condizionare l’economia mondiale (e che, spesso, hanno alle spalle, organizzazioni illecite internazionali) e uno strano, sovente oscuro rapporto con il DI INFORMAZIONE PER LA
LA CYBERSICUREZZA E LE COORDINATE ORIENTATIVE DELLA RICERCA
13
sure tecniche idonee 20 volte alla tutela di diritti e libertà fondamentali21. Già da tale definizione, che pure ha il merito di ridurne il livello di complessità concettuale, emerge la profondità di questo tema. Per tale motivo, prima di procedere con la trattazione, occorre precisare alcuni aspetti imprescindibili per inquadrare correttamente la presente indagine e delimitarne il suo oggetto. 2. Precisazione e delimitazione dell’oggetto della trattazione Feliciano Benvenuti ha scritto: «[i]l diritto è la materia viva che producono i rapporti sociali, continuamente in movimento»22. Nella società, che evolvendosi crea diritto, i mutamenti sociali si traducono in cambiamenti nelle relazioni fra i soggetti, comportando effetti pratici sul progresso tecnico e tecnologico. E questo è ciò che è accaduto in relazione alla cybersicurezza. Ricorrendo ancora una volta all’etimologia delle parole, dal termine italiano “guerra” emerge come essa, tradizionalmente, sia stata combattuta boots on the ground – “con gli stivali sul terreno”. Come mondo criminale, con la politica e con gli equilibri tra Stati». 20 Onde evitare equivoci, dato che i due termini potrebbero apparire sinonimi, il concetto di cybersicurezza che ivi si analizza non deve essere confuso con quello di “sicurezza informatica”. Il primo concerne un sistema di sicurezza e il modo in cui esso è organizzato e implementato, mentre il secondo si riferisce alla disciplina informatica che «si occupa di tutelare i sistemi di elaborazione, siano essi reti complesse o singoli computer, dalla possibile violazione, sottrazione o modifica non autorizzata di dati riservati in essi contenuti», voce Sicurézza Informàtica, in Enciclopedia online Treccani, in https://bit.ly/3UYWyXy. Su quest’ultimo punto si vedano P. PERRI, Sicurezza giuridica e sicurezza informatica, in M. DURANTE, U. PAGALLO (cur.), Manuale di informatica giuridica e diritto delle nuove tecnologie, cit., 337 ss.; A. GUARDA, Alla ricerca della sicurezza: società, regole e tecnologie digitali, in R. CASO, Sicurezza informatica: regole e prassi, Atti del Convegno tenuto presso la Facoltà di Giurisprudenza di Trento il 6 maggio 2005, Università degli Studi di Trento, 2006. 21 In tal senso L. PREVITI, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, in federalismi.it, n. 25/2022, 66. 22 F. BENVENUTI, Il nuovo cittadino. Tra libertà garantita e libertà attiva, Marsilio, Venezia, 1994, 119.
14
CAPITOLO I
è stato osservato23, la parola “guerra” deriva dalla parola germanica “werra” che aveva il significato di “mischia, zuffa, confusione”24 e si contrapponeva al lemma del latino classico “bellum”, termine che aveva una connotazione più strategica legata alle manovre degli eserciti. “Guerra”, quindi, sottolinea come, fin dagli albori, i conflitti si risolvevano direttamente sui campi di battaglia: i soldati combattevano viso a viso, corpo a corpo. Con il trascorrere degli anni, la tecnologia applicata alla guerra ha consentito ai soldati di allontanarsi fisicamente dal nemico aumentando, tuttavia, la propria capacità offensiva – e di converso, quella difensiva dell’avversario: l’impiego di bastoni e spade è stato via via sostituito da quello di arco e alle frecce, poi di armi da fuoco e, da ultimi, di missili, aerei e droni bombardieri. La tecnologia militare, che ha permesso grandi avanzamenti anche sul piano civile25, ha subìto un forte sviluppo in particolare a par 23
In tal senso G. MORETTI, Il lungo viaggio delle parole, in Prometeo. Rivista trimestrale di scienze e storia, anno 40, num. 158, giugno 2022, 59 ss. Secondo G. DEVOTO, Dizionario etimologico, Le Monnier, Firenze, 1968, 198 il termine deriverebbe più precisamente dal franco “wërra”. 24 In tedesco, infatti, il termine wirren significa «disordini […] confusione», mentre l’aggettivo wirr «disordinato […], arruffato, scompigliato […] confuso». Così L. GIACOMA, S. KOLB (cur.), Dizionario Tedesco-Italiano e Italiano-Tedesco, Zanichelli, Bologna, 2001-2008, 1187. 25 Si pensi, allo sviluppo del GPS, nato a fini militari e poi adottato quotidianamente nella vita di tutti i giorni. Oppure allo stesso Internet. Durante la guerra fredda, infatti, gli Stati Uniti d’America finanziarono le ricerche per la creazione di una tecnologia che superasse quella del telefono basata sulla c.d. commutazione di circuito, in cui la connessione avviene sostanzialmente fra due punti (ovvero chi chiama e chi riceve la chiamata). Tale tecnologia recava in sé un problema in caso di attacco sovietico, ovvero che se il chiamante o il ricevente fosse stato colpito, vi sarebbe stata l’interruzione della comunicazione. Proprio per questo motivo, nel 1969, fu avviato il progetto ARPANET (Advanced Research Projects Agency NETwork) per creare un sistema di trasmissione dati più sicuro, basato sulla nuova tecnologia “a commutazione di pacchetto”, la quale «non prevede un’inizializzazione della comunicazione che riservi tutte le risorse utili alla comunicazione, ma – al contrario – divide il flusso informativo in tanti pacchetti. [...]. [P]iù pacchetti possono attraversare collegamenti diversi e quindi giungere presso altri nodi che eventualmente continueranno ad inoltrare il segnale stesso, senza che nessuna di queste risorse intermedie venga riservata, appunto, come avviene nella commutazione di circuito», G. RUFFO, Rete e reti, in M. DURANTE, U. PAGALLO (a cura di), Manuale di informatica giuridica e diritto delle nuove tecnologie, cit., 22. AR-
LA CYBERSICUREZZA E LE COORDINATE ORIENTATIVE DELLA RICERCA
15
tire nel corso del XX Secolo26 e tale crescita esponenziale non si è ancora fermata. Con l’aumento del livello tecnologico delle dotazioni militari è parallelamente aumentata la distanza fisica con la quale è possibile porre in essere azioni belliche tramite l’ausilio delle tecnologie dell’informazione e della comunicazione (in inglese Information and Communication Technology, ICT). E ciò in conseguenza dell’accresciuta capacità di raccogliere dati, di processarli in informazioni e usare queste ultime a proprio vantaggio in contesti bellici, con la parallela necessità di proteggere i sistemi di comunicazione. I conflitti moderni sono divenuti guerre ibride, combattute sia con armi tradizionali in un ambiente tradizionale, sia con strumenti non tradizionali in ambienti non tradizionali, come avviene con gli attacchi cyber nel ciberspazio27. L’aggressione russa dell’Ucraina, tutt’ora in corso, ha reso palese questa affermazione, in particolar modo in relazione agli aspetti legati alla cybersicurezza volti a prevenire gli attacchi informatici che rappresentano una vera e propria ulteriore arma bellica in grado di colpire a distanza centri nevralgici
PANET, negli anni assumerà l’architettura attuale di Internet grazie al successivo sviluppo dei protocolli TPC (Transmission Control Protocol) e IP (Internet Protocol) che consentiranno di collegare fra loro le diverse reti. In relazione allo sviluppo del Web e di Internet si veda T. BERNERS-LEE, Weaving the Web: The Original Design and Ultimate Destiny of World Wide Web by His Inventor, Harper, San Francisco, 1999. In lingua italiane e in riferimento al diritto P. COSTANZO, voce Internet (Diritto Pubblico), in Dig. Disc. Pubbl., Agg.*, UTET, Torino, 2000, 347 ss.; M. DURANTE, Il futuro del Web: etica, diritto, decentramento. Dalla sussidiarietà digitale all’economia dell’informazione in rete, Giappichelli, Torino, 2007; G. DE MINICO, Internet. Regola e anarchia, Jovene, Napoli, 2012. 26 Come messo in evidenza da L.M. CHASSIN, Storia militare della seconda Guerra Mondiale, Sansoni, Firenze, 1964, in relazione al progresso della tecnica bellica impiegata fra Prima e Seconda guerra mondiale. 27 Come sottolineato dalla dottrina, la ragione di ciò deriva dal ruolo fondamentale che il cyberspazio ha assunto nella realtà, divenuto ormai il “quarto dominio” di potenziali conflitti, oltre a terra, mare e spazio (così L. VIOLANTE, Diritto e potere nell’era digitale. Cybersociety, cybercommunity, cyberstate, cyberspace: tredici tesi, in BioLaw Journal, n. 1/2022, 146) o addirittura la “quinta dimensione” della conflittualità, dopo terra, mare, aria e spazio extra-atmosferico (come sostenuto da L. MARTINO, La quinta dimensione della conflittualità. L’ascesa del cyberspazio e i suoi effetti sulla politica internazionale, in Pol. e soc., n. 1/2018, 65 ss.).
16
CAPITOLO I
nemici. Un’arma digitale con conseguenze e ripercussioni concrete nel mondo fisico28. Sotto questo profilo, gli attacchi cyber sono stati sviluppati principalmente come strumento offensivo militare: tuttavia, la cybersecurity è impiegata anche, e soprattutto, in contesti di pace come strumento di intelligence e di controspionaggio29. In questo senso, il concetto di Cyberwarfare o Information Warfare30 è legato in senso generale a quello di cybersecurity, ma essi non sono completamente sovrapponibili, rappresentando due prospettive diverse di un tema con alcune radici in comune. Ciò che rileva in sé è il soggetto bersaglio dell’azione dell’attaccante (vale a dire chi pone in essere un attacco cyber) e conseguentemente la ratio dell’attacco stesso. Questo rilievo è cruciale, posto che per cybersecurity si intende un concetto ampio, ovvero, come precisato, un sistema organizzativo volto a proteggere le infrastrutture informatiche di organizzazioni complesse pubbliche o private, attuato tramite la predisposizione di misure tecniche idonee. Se un attacco è rivolto a un soggetto privato, il più delle volte per chiedere un riscatto a fronte di una decriptazione dei dati precedentemente criptati (c.d. attacco ransomware), gli effetti dell’attacco saranno tendenzialmente sopportati dal soggetto privato colpito e, se esso agisce 28
Chiaro in proposito R. URSI, La difesa: tradizione e innovazione, in Dir. cost., n. 1/2022, 5 ss. I primi casi di impiego di armi cibernetiche in conflitti “tradizionali” risalgono al conflitto Russo-Georgiano del 2008 e a quello Russo-Ucraino nel Donbass nel 2014. In relazione a quest’ultimo K. GEERS (ed.), Cyber War in Perspective: Russian Aggression against Ukraine, NATO Cooperative Cyber Defence Centre of Excellence Publications (NATO CCD COE), 2015. Per una visione ampia e profonda del fenomeno sul piano politico internazionale, N. PERLROTH, This Is How They Tell Me the World Ends: The Cyberweapons Arms Race, Bloomsbury, London, 2021 (trad. ita. Così mi hanno detto che finirà il mondo. La corsa agli armamenti cibernetici e il futuro dell’umanità, il Saggiatore, Milano, 2022). 29 In argomento A. TETI, Cyber espionage e cyber counterintelligence. Spionaggio e controspionaggio cibernetico, Rubettino, Soveria Mannelli, 2018. 30 A riguardo, a titolo esemplificativo, S. MELE, Gli scenari attuali della guerra all’informazione, in G. ZICCARDI, P. PERRI, Tecnologia e diritto, Voll. III, cit., 271 ss. In lingua inglese invece C. WHYTE, B.M. MAZANEC, Understanding Cyber Warfare: Politics, Policy and Strategy, Routledge, Londra, 2019; J. MAOGOTO, Technology and the Law on the Use of Force: New Security Challenges in the Twenty-First Century, Routledge, Londra, 2014.
LA CYBERSICUREZZA E LE COORDINATE ORIENTATIVE DELLA RICERCA
17
sul mercato, da possibili suoi fornitori31. In tal senso, la ragione di questo tipo di attacco è fine a se stessa, vale a dire danneggiare il soggetto colpito e ottenere un’utilità (ad esempio in denaro): ciò che rileva, in questa ipotesi, è l’interesse particolare del soggetto privato colpito. Se l’attacco informatico è invece rivolto a un soggetto pubblico, quale le Pubbliche Amministrazioni, vengono messi a repentaglio interessi pubblici, come nell’ipotesi di cyber attacchi a sistemi informativi generali o a quei sistemi informativi «da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale»32. In questo caso, l’attaccante non agisce tanto per ottenere un’utilità individuale, quanto per interrompere o danneggiare le strutture nevralgiche dalle quali dipende la corretta funzionalità delle Istituzioni33. In tale ipotesi, ciò che rileva è l’interesse pubblico oggetto dell’attacco. 31 In proposito si rimanda ai saggi in G. ZICCARDI, P. PERRI, Tecnologia e diritto, Voll. III, cit., 79 ss. 32 Così l’art. 1 del d.l. n. 105 del 2019, conv. l. n. 133 del 2019, istitutivo del Perimetro di Sicurezza Nazionale Cibernetica, che sarà analizzato nel corso della trattazione. Bastino ivi i richiami a L. FIORENTINO, Verso un sistema integrato di sicurezza: dai poteri speciali al perimetro cibernetico, in G. DELLA CANANEA, L. FIORENTINO (cur.), I “poteri speciali” del Governo nei settori strategici, Editoriale Scientifica, Napoli, 2020, 39 ss.; B. CAROTTI, Sicurezza cibernetica e StatoNazione, cit.; A. RENZI, La sicurezza cibernetica: lo stato dell’arte, cit. 33 Sul rapporto fra sicurezza pubblica e digitalizzazione si veda G. DE VERGOTTINI, Una rilettura del concetto di sicurezza nell’era digitale e della emergenza normalizzata, in Rivista AIC, n. 4, 2019, 65 ss. Relativamente al tema della sicurezza pubblica in senso lato, invece, si vedano R. URSI, La sicurezza pubblica, Il Mulino, Bologna, 2022; E. CHITI, Le sfide della sicurezza e gli assetti nazionali ed europei delle forze di polizia, in Dir. amm., n. 4/2016, 511 ss.; A. PACE, La sicurezza pubblica nella legalità costituzionale, in Rivista AIC, n. 1/2015; M. RUOTOLO, Sicurezza, dignità e lotta alla povertà. Dal “diritto alla sicurezza” alla “sicurezza dei diritti”, Editoriale Scientifica, Napoli, 2012; T.F. GIUPPONI, Le dimensioni costituzionali della sicurezza, Il Mulino, Bologna, 2010; G. CAIA, L’ordine e la sicurezza pubblica, in S. CASSESE (dir.), Trattato di diritto amministrativo, Vol. I, Diritto amministrativo speciale, II ed., Giuffrè, Milano, 2003, 281 ss.; P. BONETTI, Ordinamento della difesa nazionale e Costituzione italiana, Giuffrè, Milano, 2000; G. CORSO, L’ordine pubblico, Il Mulino, Bologna, 1979.
18
CAPITOLO I
Questa precisazione è funzionale a chiarire su quale profilo della cybersicurezza si soffermerà la trattazione: il presente studio sarà infatti dedicato agli aspetti di cybersicurezza che concernono i soggetti pubblici, in particolare le Pubbliche Amministrazioni34: la relativa disciplina sarà analizzata sia in relazione agli aspetti sostanziali che regolano le Istituzioni e le Autorità pubbliche chiamate a intervenire in questo ambito, sia ai profili che concernono l’acquisto pubblico di beni e servizi digitali di cybersicurezza, in ragione del ruolo centrale rivestito dalle (poche, ma grandi) imprese tecnologiche private35. 3. La cybersicurezza e il diritto amministrativo: le ragioni alla base della ricerca Dopo aver ricostruito il significato del concetto di cybersecurity, e dopo aver delineato l’oggetto della trattazione, pare utile illustrare brevemente le ragioni alla base della scelta di questa tematica di studio. Le ragioni sono principalmente tre. Innanzitutto, la cybersicurezza è una materia recente, e altrettanto 34
Le quali sono spesso al centro di numerosi e frequenti attacchi cibernetici. Come sottolineato da P.L. MONTEROSSO, Cybersecurity: conoscenza e consapevolezza come prerequisiti per l’amministrazione digitale, in Ist. fed., n. 3/2019, 794, il fenomeno degli attacchi cibernetici è accentuato dal fatto che attualmente anche persone non professioniste sono in grado di effettuarli grazie alla possibilità di acquistare nel dark web appositi gli strumenti tecnici. 35 Il concetto di cybersicurezza ivi analizzato si distingue, pertanto, da quello della Cyberdefence, derivante dalla Cyber Warfare, intendendosi con essa l’insieme delle misure tecniche di difesa cibernetico-militare adottate al fine di contrastare le minacce alla sicurezza nazionale, argomento che esulerà dalla trattazione. In ogni caso, a riguardo, si veda S. PIETROPAOLI, Le grandi sfide attuali e del prossimo futuro, in F. FAINI, S. PIETROPAOLI, Scienza giuridica e tecnologie informatiche. Temi e problemi, cit., 274, in part. 278 ss. per quanto concerne il Tallinn Manual on the International Law Applicable to Cyber Warfare del 2013, contenente le regole applicabili al Cyber Warfare e scritto come tentativo di risposta alla domanda se il diritto internazionale dei conflitti sia applicabile anche nel caso di guerra cibernetica. Su questo punto N. TSAGOURIAS, R. BUCHAN (eds.), Research Handbook on International Law and Cyberspace, Elgar, Cheltenham, 2015; M.N. SCHMITT (ed.), Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, Cambridge, 2013.
LA CYBERSICUREZZA E LE COORDINATE ORIENTATIVE DELLA RICERCA
19
recente è la sua interazione con il diritto pubblico, in particolare con il diritto amministrativo. Conseguentemente, questo carattere di novità affascina la curiosità intellettuale e la spinge a indagare (con «umiltà scientifica»36) quei fenomeni che si evolvono quotidianamente. A tale ragione, intima e in qualche modo egoistica, se ne affiancano altre due: una è legata alla rilevanza concreta di questo tema e i suoi possibili effetti pratici sulla realtà, l’altra invece attiene all’opportunità di scegliere questo tipo di argomento d’indagine. Incominciando da questa ultima, Sabino Cassese ha sottolineato la presenza di alcune aree di studio del diritto amministrativo trascurate dalla dottrina37, fra le quali quella nella quale, di fatto, l’esercizio di importanti funzioni viene demandato ai privati mentre lo Stato interviene soltanto in veste di supervisore; il potere pubblico agisce, in questi ambiti, come si vedrà, con strumenti cooperativi al fine di giungere a un risultato che, tradizionalmente, sarebbe stato raggiunto in via autoritativa38. Nell’ambito tecnologico, e giocoforza in quella cybersicurezza, il soggetto privato interpreta il ruolo del vero protagonista, per le ragioni storiche, strutturali e di fatto che saranno di seguito illustrate; un soggetto privato che lo Stato si trova spesso a inseguire e nei confronti del quale si sforza di non rimanere dipendente nelle scelte future (emblematico il caso dell’effetto lock-in che si verifica nel contesto dell’acquisto pubblico di beni e servizi ICT fra Amministrazioneacquirente e operatore economico-fornitore39). Inoltre, la cybersicu 36
Il riferimento è a U. ECO, Come si fa una tesi di laurea. Le materie umanistiche, La nave di Teseo, Milano, 2017, 38. Per una riflessione sulla ricerca scientifica nel pensiero e negli scritti di Umberto Eco si veda R. LOMBARDI, I miei incontri letterari con Umberto Eco. Ovvero: riflessioni a margine sulla ricerca scientifica e il metodo, in Nuove autonomie, n. 2/2020, 295 ss. 37 Il riferimento è a S. CASSESE, L. TORCHIA, Diritto amministrativo. Una conversazione, Il Mulino, Bologna, 2014. 38 Cfr. S. C ASSESE , L. T ORCHIA , Diritto amministrativo. Una conversazione , cit. , 130. 39 A onor del vero, come è stato sottolineato da A. MANTELERO, Responsabilità e rischio nel Reg. Ue 2016/679, in Nuove Leggi Civ. Comm., 1/2017, 148, il fenomeno del lock-in può prodursi anche a danno di un soggetto terzo diverso dall’Amministrazione, come ad esempio in relazione a utenti privati: «nel contesto dei Big Data e dell’internet delle cose (IoT), in presenza di processi decisionali basati su algoritmi e di forme di lock-in tecnologico (e.g. servizi di cloud computing di
20
CAPITOLO I
rezza postula la necessità di una interazione collaborativa fra tutti i soggetti coinvolti, pubblici o privati che siano: proprio per questa ragione, dunque, rileva l’impiego da parte dell’Amministrazione di strumenti giuridici non autoritativi (recte: non soltanto autoritativi) ma basati sul principio di collaborazione, onde disciplinare questo settore “secondo la sua natura”. La terza ragione coincide con la rilevanza pratica, sulla vita reale, dello studio della cybersicurezza pubblica. Infatti, come è stato sottolineato dal Sistema di Informazione per la Sicurezza della Repubblica (SISR), gli attacchi cyber diretti verso la Pubblica Amministrazioni sono fortemente aumentati nel 202140 (sebbene siano poi lievemente diminuiti nel corso del 202241). A fronte della recente disciplina, europea e nazionale, approvata in materia di cybersecurity, pare pertanto utile analizzare le varie norme con occhio critico ma con una prospettiva costruttiva, a fronte degli importanti valori ivi sottesi. 4. Struttura dell’opera La trattazione che segue si struttura in sei capitoli. Dopo la parte introduttiva (Cap. I), dedicata a esplicitare le coordinate orientative della ricerca, l’analisi affronterà i profili generali di diritto amministrativo sottesi nell’ambito della cybersicurezza pubblica, evidenziando come il tema degli acquisti pubblici di beni e servizi cyber appaia fondamentale in conseguenza del ruolo centrale dei privati nel settore tecnologico, costringendo lo Stato ad agire sul mercato ICT (quasi) al pari di un privato (Cap. II). Successivamente, invece, verrà approfondita la “dimensione verticale” della cybersicurezza tipo software as a service aventi natura proprietaria) e sociale (e.g. social networks), il consenso dell’utente finisce per divenire in gran parte illusorio. La complessità, la mancanza di conoscenza, i limiti alla concreta libertà di scelta e gli squilibri nel potere contrattuale riducono, infatti, sempre più il consenso dell’utente a vuoto formalismo». 40 Cfr. PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA DELLA REPUBBLICA, Relazione annuale al Parlamento sulla politica dell’informazione per la sicurezza, 2021, 38 ss. 41 Cfr. PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA DELLA REPUBBLICA, Relazione annuale al Parlamento sulla politica dell’informazione per la sicurezza, 2022, 76 ss.
LA CYBERSICUREZZA E LE COORDINATE ORIENTATIVE DELLA RICERCA
21
pubblica, concernente il rapporto che intercorre fra i diversi livelli di governo europei e nazionali, indagando la disciplina normativa dell’Unione europea e quella italiana (Cap. III). Lo studio proseguirà con l’analisi della “dimensione orizzontale”, nella relazione che si instaura fra i soggetti pubblici e quelli privati; una relazione che dovrebbe essere improntata al principio di collaborazione, ma che risulta nella realtà caratterizzata da un approccio autoritativo (Cap. IV). L’approccio autoritativo condiziona e limita gli effetti virtuosi: per questa ragione, l’analisi indaga e suggerisce alcuni istituti in grado di riequilibrare la relazione pubblico-privato, già esistenti nella disciplina del public procurement di cybersicurezza, dai quali emerge la necessità del recupero della funzione pianificatoria dello Stato – nel settore tecnologico, ma non solo (Cap. V). La trattazione si conclude esprimendo alcune considerazioni in merito al ritrovato ruolo centrale dello Stato, derivante proprio dal recupero della funzione pianificatoria, evidenziando come la “sovranità digitale”, di cui la cultura e la conoscenza delle problematiche cyber da parte dei funzionari pubblici, dei cittadini e delle imprese costituisca un fattore necessario e imprescindibile, e debba essere interpretata non nella logica del “nazionalismo digitale” ma in una dimensione collaborativa con tutti gli altri Stati (Cap. VI).
CAPITOLO II DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA SOMMARIO: 1. La centralità delle reti e delle infrastrutture digitali impiegate dalla Pubblica Amministrazione e la necessità di proteggerle da attacchi e incidenti cyber. – 2. La rilevanza della proprietà delle reti e delle infrastrutture digitali adoperate dai soggetti pubblici e l’attuale mancanza di una infrastruttura digitale di Stato. – 3. L’azione obbligata dello Stato ad acquistare beni e servizi cyber sul mercato ICT. – 4. Le caratteristiche del mercato ICT e le criticità legate all’acquisto pubblico di tecnologia. – 4.1. Il contributo del modello capitalista allo sviluppo tecnologico e il ruolo dell’imprenditore – 4.2. La rapidità dell’evoluzione tecnologica e i costanti e ingenti investimenti necessari nell’analisi della c.d. legge di Moore e nella c.d. legge di Rock. – 4.3. L’asimmetria informativa fra il produttore (impresa venditrice) e l’acquirente di tecnologia (Stato compratore) e l’effetto lock-in. – 4.3.1. L’effetto lock-in nella valutazione delle offerte: il caso dei software proprietari. – 5. Riflessioni riassuntive: uno Stato debole dipendente da pochi fornitori di tecnologia.
1. La centralità delle reti e delle infrastrutture digitali impiegate dalla Pubblica Amministrazione e la necessità di proteggerle da attacchi e incidenti cyber Il profondo processo di digitalizzazione, che ha interessato – e sta riguardando – la Società nel suo complesso, ha giocoforza coinvolto da vicino la Pubblica Amministrazione1. Se tale processo, inizialmen 1
In argomento gli studi sono numerosi. Senza pretese di esaustività si rimanda a innanzitutto a R. CAVALLO PERIN, D.U. GALETTA (cur.), Il diritto dell’Amministrazione Pubblica digitale, Giappichelli, Torino, 2020, e ai contributi ivi raccolti. Si vedano inoltre L. TORCHIA, Lo Stato digitale. Una introduzione, Il Mulino, Bologna, 2023; D.U. GALETTA, Transizione digitale e diritto ad una buona amministrazione: fra prospettive aperte per le Pubbliche Amministrazioni dal Piano Nazionale di Ripresa e Resilienza e problemi ancora da affrontare, in federalismi.it, n. 7/2022, 103 ss.; A. LALLI (cur.), L’amministrazione pubblica nell’era digitale,
24
CAPITOLO II
te, è stato tradotto sul piano giuridico nell’approvazione di specifiche discipline “verticali” di settore2, negli anni successivi è stato invece Giappichelli, Torino, 2022; R. CAVALLO PERIN (cur.), L’amministrazione pubblica con i big data: da Torino un dibattito sull’intelligenza artificiale, Rubettino, Torino, 2021; G. SGUEO, La transizione digitale, in Gior. dir. amm., n. 6/2021, 746 ss.; R. CAVALLO PERIN, Ragionando come se la digitalizzazione fosse data, in Dir. amm., n. 2/2020, 305 ss.; A.G. OROFINO, La trasparenza oltre la crisi. Accesso, informatizzazione e controllo civico, Cacucci, Bari, 2020; E. CARLONI, Algoritmi su carta. Politiche di digitalizzazione e trasformazione digitale delle amministrazioni, in Dir. pubbl., n. 2/2019, 363 ss.; A. MASUCCI, Digitalizzazione dell’amministrazione e servizi pubblici “on line”. Lineamenti del disegno normative, in Dir. pubbl., n. 1/2019, 117 ss.; A.G. OROFINO, La semplificazione digitale, in Dir. econ., n. 3/2019, 87 ss.; G. PESCE, Amministrazione digitale: genesi, sviluppi, prospettive, Editoriale Scientifica, Napoli, 2018; B. CAROTTI, L’amministrazione digitale: le sfide culturali e politiche del nuovo codice, in Giorn. dir. amm., n. 1/2017, 7 ss.; E. CARLONI, L’amministrazione aperta. Regole e limiti dell’open government, Maggioli, Santarcangelo di Romagna, 2014; F. COSTANTINO, Autonomia dell’amministrazione e innovazione digitale, Jovene, Napoli, 2012; A.G. OROFINO, Forme elettroniche e procedimenti amministrativi, Cacucci, Bari, 2008. In argomento siano consentiti i rimandi a S. ROSSA, Open data e amministrazioni regionali e locali. Riflessioni sul processo di digitalizzazione partendo dall’esperienza della Regione Piemonte, in Dir. inf., n. 4-5/2019, 1121 ss.; in chiave comparata a S. ROSSA, Il diritto all’informazione come base per una amministrazione digitale: una comparazione fra Italia ed Estonia, in Dir. econ., 2/2019, 543 ss. 2 Si pensi, ad esempio, al Codice dell’amministrazione digitale (CAD), il d.lgs. n. 82 del 2005. In argomento si vedano, ex multis, C. BOCCIA, C. CONTESSA, E. DE GIOVANNI (cur.), Codice dell’amministrazione digitale (D.lgs. 7 marzo 2005, n. 82 commentato e annotato per articolo. Aggiornato al D.lgs. 13 dicembre 2017, n. 217), La Tribuna, Piacenza, 2018 per un commento puntuale alle norme; in relazione, invece, ai numerosi interventi di modifica che hanno interessato il CAD in questi quindici anni e che hanno progressivamente accentuato la portata generale delle sue disposizioni, si vedano B. CAROTTI, Il correttivo al codice dell’amministrazione digitale: una meta-riforma, in Giorn. dir. amm., n. 2/2018, 131 ss.; F. MARTINES, La digitalizzazione della pubblica amministrazione, in Riv. dir. media, n. 2/2018, 1 ss.; G. SGUEO, L’amministrazione digitale, in Giorn. dir. amm., 1/2016, 114 ss.; F. CARDARELLI, Amministrazione digitale, trasparenza e principio di legalità, in Dir. inf., 2/2015, 227 ss.; G. ARMAO, Considerazioni su amministrazione aperta e protezione dei dati personali, in Amministrativamente, 3-4/2015; G. DUNI, Principi fondamentali del diritto amministrativo e codice dell’amministrazione digitale, in Dir. e proces. amm., 2012, 393 ss.; E. CARLONI, La riforma del Codice dell’amministrazione digitale, in Giorn. dir. amm., 5/2011, 469 ss.; E. CARLONI (cur.), Codice dell’amministrazione digitale. Commento al D.lgs 7 marzo 20, 05, n. 82, Maggioli, Santarcangelo di Romagna, 2005.
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
25
attuato “orizzontalmente” con una portata generale, in conseguenza dei suoi cruciali riflessi nei diversi ambiti del diritto – ulteriori al diritto amministrativo in senso stretto3 – e della stessa Società4. Il processo di digitalizzazione della Pubblica Amministrazione ha inciso in modo così pervasivo sull’azione e sull’organizzazione amministrativa5 al punto che il digitale è divenuto un tassello fondamentale della vita amministrativa6. Anche grazie allo sviluppo di strumenti informatici volti a elaborare i dati e i metadati in possesso delle varie Amministrazioni7, nonché a riutilizzarli8, alla ratio di efficientamento 3
In tal senso, ad esempio, S. CALZOLAIO, “Digital (and privacy) by default”. L’identità costituzionale della amministrazione digitale, in Giorn. st. cost., 31/2016, 185 ss. ed E. D’ORLANDO, Profili costituzionali dell’amministrazione digitale, in Dir. inf., 2/2011, 213 ss. 4 Aspetto che emerge in particolare dall’analisi del report DESI elaborato annualmente dalla Commissione europea a partire dal 2014. DESI (acronimo di Digital Economy and Society Index) rappresenta uno fra gli indici più significativi e maggiormente utilizzati per monitorare l’avanzamento dello stato di digitalizzazione dei singoli Paesi membri, in vista dell’attuazione degli obiettivi posti dall’Agenda digitale europea. Il DESI si basa su alcuni sottoindici dedicati, rispettivamente, a verificare i progressi in merito al capitale umano, alla connettività, all’integrazione delle tecnologie digitali e ai servizi pubblici offerti digitalmente. Il sito web ufficiale della Commissione europea dedica al DESI un’apposita pagina: https://digitalstrategy.ec.europa.eu/en/policies/desi. 5 In proposito sia consentito il rimando a S. ROSSA, Contributo allo studio delle funzioni amministrative digitali. Il processo di digitalizzazione della Pubblica Amministrazione e il ruolo dei dati aperti, Wolters Kluwer-CEDAM, Milano, 2021. 6 Come testimoniato ad esempio dall’introduzione dell’identità digitale SPID (acronimo di sistema pubblico di identità digitale) come strumento per accedere digitalmente ai servizi pubblici erogati digitalmente dall’Amministrazione. 7 Si pensi, ad esempio, alle banche dati pubbliche quali l’Anagrafe della Popolazione Residente (ANPR – prevista dall’art. 62 d.lgs. n. 82 del 2005), l’Anagrafe Nazionale degli Assisiti (ANA – disciplinata dall’art. 63-ter d.lgs. n. 82 del 2005) o la Banca Dati Nazionale dei Contratti Pubblici (BDNCP – delineata all’62-bis d.lgs. n. 82 del 2005). In argomento già F. CARDARELLI, Le banche dati pubbliche: una definizione, in Dir. inf., n. 2/2002, 321 ss. 8 Sul punto centrali le osservazioni di G. CARULLO, Gestione, fruizione e diffusione dei dati dell’amministrazione digitale e funzione amministrativa, Giappichelli, Torino, 2017. Si vedano altresì B. PONTI, Il patrimonio informativo pubblico come risorsa. I limiti del regime italiano di riutilizzo dei dati delle pubbliche amministrazioni, in Dir. pubbl., 3/2020, 991 ss.; E. CARLONI, Qualità dei dati, big data e amministrazione pubblica, in R. CAVALLO PERIN (cur.), L’amministrazione pubblica
26
CAPITOLO II
e ottimizzazione dell’attività amministrativa classica, specialmente conoscitiva, si è affiancata quella della produzione di conoscenza e di sapere a vantaggio generale9 e di creazione di nuovi prodotti e servizi ai cittadini10. In questo contesto, la Pubblica Amministrazione ha iniziato a utilizzare le tecnologie digitali (Information and Communication Technology, ICT) per esercitare digitalmente funzioni amministrative (e per prestare servizi pubblici) tradizionali, fino a pochi anni prima esercitate con modalità analogiche, e parallelamente a esercitare funzioni amministrative (e prestare servizi pubblici) nuove, non preesistenti proprio in quanto funzioni native digitali, come nel caso della Open Data Analysis pubblica11. Le tecnologie digitali e le ICT sono divenute così uno degli strumenti principali di amministrazione tramite cui la Pubblica Am con i big data: da Torino un dibattito sull’intelligenza artificiale, cit., 117 ss.; G. CARULLO, Dati, banche dati, Blockchain e interoperabilità dei sistemi informatici nel settore pubblico, in R. CAVALLO PERIN, D.U. GALETTA (cur.), Il diritto dell’Amministrazione Pubblica digitale, cit., 191 ss.; S. D’ANCONA, Trattamento e scambio di dati e documenti tra pubbliche amministrazioni, utilizzo delle nuove tecnologie e tutela della riservatezza tra diritto nazionale e diritto europeo, in Riv. it. dir. pubbl. comunit., n. 3/2018, 587 ss.; F. COSTANTINO, Lampi. Nuove frontiere delle decisioni amministrative tra open e big data, in Dir. amm., n. 4/2017, 799 ss.; M. FALCONE, Big data e pubbliche amministrazioni: nuove prospettive per la funzione conoscitiva pubblica, in Riv. trim. dir. pubbl., n. 3/2017, 601 ss.; F. GASPARI, L’agenda digitale europea e il riutilizzo dell’informazione del settore pubblico, Giappichelli, Torino, 2016; P. PATRITO, F. PAVONI, La disciplina del riutilizzo dei dati pubblici dal punto di vista del diritto amministrativo: prime riflessioni, in Dir. inf., n. 1/2012, 87 ss. Sia consentito altresì il richiamo a S. ROSSA, Open data e amministrazioni regionali e locali. Riflessioni sul processo di digitalizzazione partendo dall’esperienza della Regione Piemonte, cit. 9 Attività conoscitiva già al centro dello studio di F. LEVI, L’attività conoscitiva della pubblica amministrazione, Giappichelli, Torino, 1967. Sulla relazione fra attività conoscitiva e digitalizzazione R. CAVALLO PERIN, Pubblica amministrazione e data analysis, in R. CAVALLO PERIN (cur.), L’amministrazione pubblica con i big data: da Torino un dibattito sull’intelligenza artificiale, cit., 11 ss. 10 In questo senso lo studio condotto dall’Agenzia per l’Italia Digitale, La spesa ICT 2021 nella PA Italiana, Roma, 2021, 94, sul quale ci si soffermerà in seguito. 11 In particolare, in relazione all’uso dei c.d. open data. Si rimanda sul punto a S. ROSSA, Contributo allo studio delle funzioni amministrative digitali. Il processo di digitalizzazione della Pubblica Amministrazione e il ruolo dei dati aperti, cit., 255 ss.
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
27
ministrazione agisce in vista del soddisfacimento dell’interesse pubblico; uno strumento digitale che si affianca a quello analogico e che in alcuni (rari) casi si sostituisce completamente a quest’ultimo12. Da quanto ricostruito fino a qui emerge con evidenza come le ICT, e dunque le reti e le infrastrutture digitali, costituiscano uno strumento essenziale di amministrazione tramite cui viene perseguito l’interesse pubblico e vengono tutelate e garantite direttamente e indirettamente le situazioni giuridiche soggettive, in relazione al loro impiego nell’esercizio di funzioni amministrative e nella prestazione di servizi pubblici. Risulta pertanto necessario e doveroso proteggere le reti e le infrastrutture digitali utilizzate dalle Pubbliche Amministrazioni da attacchi o da incidenti di natura cyber (c.d. cyber attacchi e cyber incidenti), proprio in ragione del loro carattere strumentale per la tutela dell’interesse pubblico e delle situazioni giuridiche soggettive. L’esigenza di proteggere le reti e le infrastrutture digitale usate dai soggetti pubblici è assurta all’onore della cronaca in particolare nell’ultimo lustro, specialmente a seguito dell’invasione russa dell’Ucraina. Durante questo conflitto, infatti, la Russia ha colpito le infrastrutture digitali con attacchi cyber finalizzati a danneggiare o interrompere la prestazione di servizi pubblici essenziali o l’esercizio di funzioni essenziali poste in essere proprio attraverso sistemi digitali. Il caso delle c.d. guerre ibride, combattute con armi convenzionali e con armi cyber, sottolinea come il funzionamento delle Istituzioni democratiche e dello stato democratico possano essere messe a repentaglio da attacchi o incidenti informatici proprio in conseguenza del verificarsi di gravi effetti reali cyber-based. Le reti e le infrastrutture digitali adoperate dai soggetti pubblici possono però essere attaccate anche per ulteriori ragioni, come dimostrano gli attacchi cyber eseguiti da agenti attaccanti non necessariamente riconducibili in modo diretto a uno Stato o a governi terzi per ragioni belliche ma finalizzati criptare i dati e 12
È questo il caso della c.d. azione amministrativa multicanale o monocanale: in relazione al primo termine, si pensi ad esempio alla procedura per la richiesta di rilascio del passaporto, che può essere realizzata sia con modalità digitali sia con modalità tradizionali analogiche (“cartacee”); in relazione al secondo concetto, invece, si pensi alla consultazione di ANPR, l’Anagrafe Nazionale della Popolazione Residente, che può essere consultata soltanto con modalità digitali.
28
CAPITOLO II
chiederne il riscatto per la loro decriptazione (i già menzionati ransomware)13. La natura non necessariamente bellica degli attacchi cibernetici deriva dal fatto che le reti e le infrastrutture digitali sono impiegate da tutte le Pubbliche Amministrazioni – grandi o piccole, centrali o periferiche – anche quelle estranee all’esercizio di funzioni amministrative essenziali o alla prestazione di servizi pubblici essenziali. Proprio questo aspetto, infatti, conduce a ritenere la cybersecurity centrale per gli interessi dello studioso del diritto amministrativo. La cybersicurezza rileva in quanto elemento imprescindibile per il corretto funzionamento della Pubblica Amministrazione nel suo complesso, sempre più digitalizzata14, senza il bisogno di relegare lo studio delle tematiche cyber a ragioni particolari quali la sicurezza dello Stato o la sicurezza pubblica. 2. La rilevanza della proprietà delle reti e delle infrastrutture digitali adoperate dai soggetti pubblici e l’attuale mancanza di una infrastruttura digitale di Stato Un elemento cruciale in materia di cybersicurezza pubblica riguarda la circostanza che le reti e le infrastrutture che la Pubblica Amministrazione impiega nell’esercizio di funzioni amministrative e nella prestazione di servizi pubblici sono di proprietà di soggetti terzi. Le infrastrutture digitali tramite cui le Amministrazioni perseguono l’interesse pubblico e tutelano e garantiscono le situazioni giuridiche soggettive non sono di proprietà dello Stato ma di imprese o gruppi di imprese private. Alcuni esempi concreti rendono evidente tale affermazione. Si 13
Sul punto si veda P. DAL CHECCO, La protezione dal malware, in G. ZICP. PERRI (cur.), Tecnologia e diritto, Vol. III, Informatica giuridica avanzata, Giuffrè, Milano, 2019, 225 ss. 14 In questo contesto la necessità di proteggere le reti e le infrastrutture digitali impiegate dai soggetti pubblici emerge anche dal report DESI 2022 per l’Italia, nel quale sono evidenziati i progressi del nostro Paese in tema di digitalizzazione ma anche le maggiori lacune, in particolare in relazione al capitale umano e alla sicurezza informatica. Cfr. Commissione Europea, Indice di digitalizzazione dell’economia – Italia, 3, in e della società (DESI) 2022 https://ec.europa.eu/newsroom/dae/redirection/document/88751. CARDI,
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
29
pensi ai cavi sottomarini posati sui fondali di tutto il globo e nei quali passa l’intero traffico di Internet: essi sono di proprietà privata e sono gestiti in particolare da grandi società private operanti nel settore della tecnologia e della comunicazione digitale15. La ragione per la quale le c.d. Big Tech hanno la proprietà, la gestione e il controllo delle infrastrutture ICT discende in particolare dalle caratteristiche proprie del mercato della tecnologica, di cui si approfondirà in seguito: da un lato, la disposizione di ingenti risorse economiche che consentono sul piano finanziario di raggiungere obiettivi visionari, la propensione al rischio con cui tali iniziative rischiose vengono perseguite e possibilità di realizzare enormi utili di esercizio. Tutto ciò si accompagna a una spiccata dinamicità organizzativa, ad altissimi livelli di competenze tecniche dei lavoratori e a una decisiva facilità decisionale nei processi. Se questa situazione, dunque, può essere legittimata dallo stato delle cose e dalla realtà dei fatti, ci si potrebbe interrogare sui profili giuridici e sugli effetti generali che ne possono derivare. Qualora un domani le imprese proprietarie e gestrici delle infrastrutture digitali decidessero di interrompere il traffico dei cavi sottomarini o condizionarlo al pagamento di prezzo, sulla base del principio di effettività potrebbero farlo. Ed è chiaro che gli Stati e le Organizzazioni internazionali sarebbero chiamate a intervenire, in particolare a fronte della rilevanza che l’accesso a Internet ha assunto negli anni recenti sul piano giuridico, data la sua natura di strumento di comunicazione e di sviluppo personale e sociale in grado di incidere sui diritti e sulle libertà fondamentali16. Ma il potere pubblico inter 15
Cfr. P. BUCCELLATO, Dopo il Nord Stream la vera minaccia per la sicurezza sono i cavi sottomarini, in cybersecitalia.it, 22 settembre 2022, in https://bit.ly/3ufaboO, il quale cita società come Google, Microsoft, Alcatel Submarine Networks (parte della Nokia Corporation) e Huawei Marine Networks. Anche al fine di limitare i rischi di cyber attacchi a cui i cavi sottomarini del traffico di Internet sono giocoforza soggetti, la Commissione europea e l’Alto rappresentante per gli affari esteri e la politica di sicurezza hanno recentemente adottato la Comunicazione congiunta (JOIN(2023) 8 final) dell’8 marzo 2023, con la quale è stata approvata la nuova strategia europea per la sicurezza marittima dell’Unione. 16 In argomento e sulla questione della natura di diritto individuale e sociale di accesso a Internet si vedano, in relazione alla dottrina italiana, V. ZENO ZENCOVICH, Access to network as a Fundamental right, Relazione al Convegno Human rights and New Technologies, EUI, Firenze, 15 dicembre 2008; T.E. FROSINI, Il
30
CAPITOLO II
verrebbe da una posizione di debolezza (pur essendo Stati o loro organizzazioni) e nel brevissimo e breve tempo non sarebbe comunque in grado di far cessare il pregiudizio derivante dall’interruzione o sospensione di Internet17. Un altro esempio simile può essere rappresentato da un diverso tipo di infrastruttura digitale: le piattaforme dei social media. I social sono di proprietà di poche società di tecnologia (principalmente Meta, Twitter Inc., Microsoft, Musical.ly Inc.) che agiscono con logiche oligopolistiche18 in un mercato composto nel 2022 da 4,6 miliardi di utenti19. Tramite i social le persone comunicano20, le imprese realizzano business, i politici interagiscono con il proprio elettorato e i diritto costituzionale di accesso a Internet, in Rivista AIC, n. 1/2011, 1 ss., il quale alla nota 19 ricorda che durante l’Internet Governance Forum di Roma del 2010, Stefano Rodotà propose di inserire in Costituzione un articolo 21-bis che disponesse che «[t]utti hanno eguale diritto di accedere alla rete Internet, in condizione di parità, con modalità tecnologicamente adeguate e che rimuovano ogni ostacolo di ordine economico e sociale»; G. DE MINICO, Diritti, regole, internet, in Costituzionalismo.it, 2011; P. TANZARELLA, Accesso a Internet: verso un nuovo diritto sociale?, in E. CAVASINO, G. SCALA, G. VERDE (cur.), I diritti sociali dal riconoscimento alla garanzia, il ruolo della giurisprudenza, Atti del Convegno di Trapani, Editoriale Scientifica, Napoli, 2013, 517 ss. In relazione alla dottrina straniera ex multis P.F. WEISS, Protecting A Right to Access Internet Content: The Feasibility of Judicial Enforcement in a Non-neutral Network, in Brooklyn Law Review, n. 77/2011. Sui riflessi di Internet sull’organizzazione amministrativa invece P. OTRANTO, Internet nell’organizzazione amministrativa. Reti di libertà, Cacucci, Bari, 2015. 17 D’altronde, come ha evidenziato B. CAROTTI, Il sistema di governo di Internet, Giuffrè, Milano, 2016, proprio l’Internet Corporation for Assigned Names and Numbers – ICANN, l’organismo a cui sono affidate funzioni centrali per il funzionamento di Internet, come ad esempio l’assegnazione degli indirizzi IP, è un ente di natura privata. 18 Si pensi, ad esempio, che Meta è l’attuale proprietaria di Facebook e di Instagram, due fra i social media più usati al mondo. Sul rapporto fra tutela dei diritti fondamentali e piattaforme digitali si rimanda a F. PARUZZO, I sovrani della rete. Piattaforme digitali e limiti costituzionali al potere privato, Edizioni Scientifiche Italiane, Napoli, 2022. 19 Cfr. i dati riportati nel Digital 2022 Global Overview Report, in https://datareportal.com/reports/digital-2022-global-overview-report. 20 Aspetto che M.R. FERRARESE, Poteri nuovi, Il Mulino, Bologna, 2022, 143 ha definito «socialità digitale».
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
31
Governi informano e comunicano istituzionalmente con i cittadini21. La pregnanza giuridica dei social è talmente forte che alcuni Autori hanno teorizzato la necessità di un vero e proprio costituzionalismo digitale22, dal momento che online vi sarebbero quei fattori che vengono tradizionalmente intesi quali elementi costitutivi della statalità: regole (i regolamenti dei singoli social), popolazione (gli utenti) e territorio23 (i confini digitali della piattaforma stessa). In un simile conte 21
Su questo preciso profilo e sul ruolo dei social media e dei social network nella Pubblica Amministrazione sia consentito il rimando a S. ROSSA, E. CELESTE, A colpi di tweet: social network, pubblica amministrazione e politica, in Istituz. del federalismo, n. 1/2020, 121 ss. e S. ROSSA, L’impiego dei social network nella pubblica amministrazione: quid iuris?, in Media Laws – Rivista di diritto dei media, n. 1/2020, 201 ss. Per profili relativi alla rappresentanza politica si veda, invece, G. CORSO, La rappresentanza politica nell’era digitale, in Nuove Autonomie, n. 2/2018, 193 ss. 22 Di questo parere ad esempio Oreste Pollicino, Edoardo Celeste e Giovanni De Gregorio. Fra i numerosi scritti di questi autori, si vedano a titolo non esaustivo O. POLLICINO, Judicial Protection of Fundamental Rights on the Internet. A Road Towards Digital Constitutionalism?, Bloomsbury, London, 2021; O. POLLICINO, G. ROMEO (Eds.), The Internet and Constitutional Law. The protection of fundamental rights and constitutional adjudication in Europe, Routledge, New York, 2016; E. CELESTE, Digital Constitutionalism: The Role of Internet Bills of Rights, Routledge, New York, 2022; E. CELESTE, A. HELDT, C. IGLESIAS KELLER (Eds.), Constitutionalising Social Media, Hart, London, 2022; E. CELESTE, The Constitutionalisation of the Digital Ecosystem: Lessons from International Law, in M. KETTEMANN, R. KUNZ, A. JR GOLIA (Eds.), International Law and the Internet, Nomos, Baden-Baden, 2022; G. DE GREGORIO, Digital Constitutionalism in Europe. Reframing Rights and Powers in the Algorithmic Society, Cambridge University Press, Cambridge, 2022; G. DE GREGORIO, The rise of digital constitutionalism in the European Union, in International Journal of Constitutional Law, n. 1/2021, 41 ss. 23 Sulla centralità dell’elemento “territorio” per l’esercizio del potere pubblico si vedano S. ROMANO, Osservazioni sulla natura giuridica del territorio dello Stato, in Arch. Dir. pubbl., Vol. I, fasc. II, Editrice Associazione per lo Studio del Diritto Pubblico Italiano, Roma, 1902, nonché U. FORTI, Il diritto dello Stato sul territorio, in Arch. Dir. pubbl., Vol. I, fasc. II, Editrice Associazione per lo Studio del Diritto Pubblico Italiano, Roma, 1902. Sul legame fra il diritto pubblico e il territorio, più recentemente, S. CASSESE, Territori e potere. Un nuovo ruolo per lo Stato, Il Mulino, Bologna, 2016 e, in precedenza, N. IRTI, Norma e luoghi. Problemi di geo-diritto, Laterza, Roma-Bari, 2001. Sull’extra-territorialità nell’ambito costituzionale, invece, G. AMATO, Il costituzionalismo oltre i confini dello Stato, in Riv. trim. dir. pubbl., n. 1/2013, 1 ss.
32
CAPITOLO II
sto, tuttavia, l’impresa proprietaria potrebbe impedire l’uso del social a una determinata persona, ad esempio a fronte dell’asserita violazione del regolamento che la stessa social community deve seguire per poter usufruire della piattaforma. Al di là del vulnus alle regole democratiche che si potrebbe realizzare qualora ad essere esclusa dal social fosse una persona che riveste (o potrebbe rivestire) cariche politiche o elettive24, anche la sfera personale di un individuo qualsiasi risulterebbe compressa, a fronte degli aspetti reali che queste piattaforme hanno nella quotidianità privata e lavorativa (si pensi nell’ipotesi in cui a essere sospeso dai social sia un giornalista). A prendere tale decisione di esclusione o sospensione, infatti, non è un giudice, non è un soggetto terzo e imparziale che agisce in veste di una norma pubblica attributiva di tale potere; al contrario, è la stessa impresa proprietaria che decide in merito, legittimando ex post le proprie decisioni richiamando i regolamenti interni di chiara natura convenzionale25. L’enorme potere decisionale di queste poche società tecnologiche emerge sempre in relazione ai social seppur sotto un altro profilo: la gratuità. Da quando sono stati inventati, i social sono gratuiti per gli utenti sulla base di un modello di business fondato sulla vendita degli spazi pubblicitari, ma nulla conduce a ritenere che lo saranno anche in futuro. Anzi, come emerso recentemente26, alcune piattaforme hanno iniziato a prevedere l’accesso di determinati contenuti a pagamento. Una decisione presa (legittimamente) dall’impresa proprietaria 24
Il caso della sospensione di Donald Trump da Twitter a seguito dell’assalto della folla a Capitol Hill del 6 gennaio del 2021 è emblematico, in quanto essa è stata giustificata a fronte della violazione dei termini della piattaforma. Per una ricostruzione della vicenda si veda https://www.ilpost.it/2021/01/09/twitter-trumpsospeso/, mentre per la sua conclusione https://www.editorialedomani.it/politica/mondo/donald-trump-reintegro-twitteraccount-sospeso-musk-capitol-hill-m70dum16. 25 In argomento E. CELESTE, Digital punishment: social media exclusion and the constitutionalising role of national courts, in International Review of Law, Computers and Technology, Vol. 35, n. 2/2021, 162 ss. Questo aspetto è stato anche evidenziato da M.R. FERRARESE, Poteri nuovi, cit., 75 in relazione a quelle che l’Autrice ha definito come «problema di democrazia alla radice delle varie espressioni normative generate dalle tecnologie». 26 Cfr. C. MAURIZIO, Contenuti social a pagamento: le nuove strategie di Instagram e TikTok, in Agenda Digitale, 8 marzo 2022.
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
33
ma che non potrà non incidere negativamente sugli utenti – privati e pubblici. Tornando al tema più generale delle reti e delle infrastrutture digitali impiegate dai soggetti pubblici, risulta evidente che questi beni ICT sono centrali per l’attività della Pubblica Amministrazione, ma scontano il problema che il dominio pubblico pieno su di essi, a vantaggio generale, è precluso in quanto sono di proprietà di soggetti privati portatori di interessi particolari. E questo nonostante la rilevanza sociale della proprietà privata27 venga ulteriormente in rilievo nel caso della cybersicurezza, a fronte degli interessi pubblici sottesi. Non sembra tuttavia possibile, sul piano interpretativo, ricondurre tali reti e infrastrutture digitali nella categoria dei “beni privati di interesse pubblico”28; infatti, a fronte della loro evidente finalità di pubblico interesse, scontano la mancanza di una disciplina giuridica che ne stabilisca un regime particolare in punto di utilizzo, disponibilità e tutela. Come si avrà modo di porre in evidenza in seguito, la disciplina sulla cybersecurity pubblica non concerne direttamente le reti e le infrastrutture in sé quanto i comportamenti che devono (o meno) seguire i soggetti che operano in questo ambito prescindendo dall’infrastruttura digitale. In conseguenza di questo divario fra pubblico e privato, le Istitu 27
Il riferimento è alla funzione sociale del diritto di proprietà, e degli strumenti di produzione, analizzata in particolare da A.M. SANDULLI, Beni pubblici, in Enc. Dir., V, Milano, 1959, 278 ss.; M.S. GIANNINI, Le basi costituzionali della proprietà privata, in Pol. dir., 1971, 487 ss.; S. RODOTÀ, Il terribile diritto - Studi sulla proprietà privata, Il Mulino, Bologna 1981; S. MANGIAMELI, La proprietà privata nella Costituzione, Giuffrè, Milano, 1986. Più in generale sul tema, ampio, dei beni pubblici, si vedano anche A. POLICE (cur.), I beni pubblici: tutela, valorizzazione e gestione, Atti del Convegno (Roma, novembre 2006), Giuffrè, Milano, 2008 e L. GIANI, Destinazione e fruibilità dei beni (di interesse pubblico). Spunti per una rivisitazione della dinamica regolativa, in Nuove Autonomie, n. 2/2016, 163 ss. 28 Si veda A.M. SANDULLI, Spunti per lo studio dei beni privati d’interesse pubblico, in Dir. Econ., 1956, 166-167, secondo il quale questa categoria è comprensiva dei «beni di appartenenza privata [che] assolvano istituzionalmente […] a finalità di interesse sociale […] e, appunto, in relazione a ciò, siano assoggettati a un particolare regime, riflettente la loro disponibilità e il loro impiego […] nonché a un particolare regime di polizia, di interventi e di tutela pubblica». Circa l’attualità di questa categoria si veda altresì G. NAPOLITANO, Aldo M. Sandulli e la teoria dei beni privati di interesse pubblico, in A.M. Sandulli (1915-1984). Attualità del pensiero giuridico del Maestro, Giuffrè, Milano, 2004, 555 ss.
34
CAPITOLO II
zioni europee, hanno recentemente approvato alcune discipline specifiche sul digitale (es. Data Governance Act29, Digital Service Act30, Digital Market Act31, Artificial Intelligence Act32) con l’obiettivo esplicito di riequilibrare il disequilibrio di potere a vantaggio dell’azione pubblica33. Ciononostante, l’assenza di precise previsioni normative cybersecurity-oriented che impongano limiti al privato-proprietario alla realizzazione e alla gestione delle reti e delle infrastrutture digitali usate dai soggetti pubblici34 riflette, come già sottolineato, lo stato di fatto della realtà con cui i poteri pubblici devono confrontarsi. Contrariamente a quanto accade in relazione alle altre infrastrutture “materiali” – si pensi al caso delle concessioni delle infrastrutture autostradali, ae 29
Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio del 30 maggio 2022 relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724. 30 Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE. 31 Regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio del 14 settembre 2022 relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828, il quale stabilisce, da un lato, condizioni di accesso equo e concorrenziale ai mercati digitali, mentre dall’altro impone specifici obblighi in capo alle piattaforme elettroniche di grandi dimensioni (c.d. gatekeeper) a vantaggio degli utenti (commerciali) finali. 32 Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione del 21 aprile 2021 (COM(2021) 206 final - 2021/0106(COD)). In argomento L. FLORIDI, The European Legislation on AI: A Brief Analysis of Its Philosophical Approach, in J. MÖKANDER, M. ZIOSI (Eds.), The 2021 Yearbook of the Digital Ethics Lab, Springer, Cham., 2022, 1 ss. 33 Sul punto si vedano le riflessioni di B. CAROTTI, La politica europea sul digitale: ancora molto rumore, in Riv. trim. dir. pubbl., n. 4/2022, 997 ss. L’Autore cita R. CERRA, F. CRESPI (cur.), Sovranità tecnologica. Position paper, Centro Economia Digitale, 2021, studio dal quale emerge la necessità di recuperare il ruolo pubblico nel contesto del digitale. 34 Come esplicitamente messo in luce da A. SANDULLI, “Lo Stato digitale”. Pubblico e privato nelle infrastrutture digitali nazionali strategiche, in Riv. trim. dir. pubbl., 2/2021, 519: «[a] fronte di una normazione primaria talvolta eccessivamente di dettaglio in relazione ai contenuti e alla titolarità della piattaforma, quasi nulla il legislatore ha previsto circa le modalità di realizzazione e di gestione delle infrastrutture digitali, neppure di quelle strategiche a livello nazionale».
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
35
roportuali, portuali o ferroviarie35 –, lo Stato non ha un controllo diretto e pieno sull’infrastruttura digitale, mancando attualmente una infrastruttura o una rete digitale pubblica di proprietà esclusiva statale (sebbene sia in fase di costituzione il c.d. cloud di Stato, su cui ci si soffermerà in seguito), ma al contempo è costretto a usare tali infrastrutture digitali, dovendo ricorrere a quelle (già esistenti) dei soggetti terzi. 3. L’azione obbligata dello Stato ad acquistare beni e servizi cyber sul mercato ICT Nel contesto poc’anzi descritto, lo Stato è obbligato a dotarsi di infrastrutture e reti digitali con cui strumentalmente perseguire il pubblico interesse e garantire e tutelare le situazioni giuridiche soggettive. E non essendovi attualmente una infrastruttura o rete ICT di proprietà pubblica, lo Stato e le Pubbliche Amministrazioni sono costrette ad acquistare la tecnologia che gli operatori economici offrono sul mercato36. In relazione al sistema italiano degli appalti pubblici, in generale e in senso ampio, è necessario premettere che esso rappresenta una importante percentuale della ricchezza che ogni anno l’Italia produce, pari a circa il 14% del PIL37. Una produzione di ricchezza che, tutta 35
In argomento si vedano le riflessioni contenute in SOCIETÀ ITALIANA DI POTRASPORTI, Le concessioni di infrastrutture nel settore dei trasporti. Tra fallimento dello Stato e fallimenti del mercato. Report 2019, Maggioli, Santarcangelo di Romagna, 2020; mentre, in relazione alle autostrade, L. SALTARI, A. TONETTI (cur.), Il regime giuridico delle autostrade. In Italia, in Europa e nelle principali esperienze straniere, Giuffrè, Milano, 2017. 36 Al fine di evitare equivoci, posto che in ogni caso la proprietà dell’infrastruttura o della rete digitale rimangono delle imprese private, la Pubblica Amministrazione potrà acquistare sul mercato ICT tanto servizi di utilizzo dell’infrastruttura o della rete, quanto servizi di manutenzione della stessa, nonché forniture di hardware o software da implementare sulla rete o sull’infrastruttura digitale. 37 Analizzando i dati presenti nella Banca dati nazionale dei contratti pubblici (consultabile in https://dati.anticorruzione.it/superset/dashboard/appalti/ dopo aver selezionato i dati dell’anno 2021), emerge come il valore posto a base d’asta di tutte le procedure complessivamente intese è ammontato a 257 miliardi di euro nel 2021, anno nel quale il PIL italiano è risultato essere 1.781,2 miliardi di euro (cfr. https://bit.ly/3Ar1Bav). In argomento, seppur per dati antecedenti il 2021, si riLITICA DEI
36
CAPITOLO II
via, risulta condizionata negativamente da un contesto reale caratterizzato in parte da un numero molto elevato di stazione appalti (più di 25 mila), da un numero molto basso di centrali di committenza38 e un numero ancora più esiguo di soggetti aggregatori (trentadue)39; e contraddistinto altresì da una distribuzione non omogenea sul territorio nazionale di Amministrazioni aggiudicatrici e di valore complessivo aggiudicato. La somma di questi fattori si traduce nel fatto che la maggior parte di tutte le procedure di aggiudicazione concernono appalti tendenzialmente di bassa complessità, quali gli appalti di servizi, nel settore ordinario, di importo compreso fra i 40.000 euro e i 150.000 euro40. Il mercato della tecnologia digitale si colloca dunque in questo contesto. Nell’analizzare più da vicino la cornice degli acquisti pubblici ICT, può essere utile il report Il Procurement Pubblico del Digitale: dal Planning all’Execution 2021 curato da Anitec-Assinform41, dal manda alle riflessioni di G. MAZZANTINI, Analisi economica della spesa pubblica italiana, in L. FIORENTINO, A. LA CHIMIA (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, il Mulino, Bologna, 2021, 41 ss. 38 Questa circostanza indice negativamente sul livello complessivo generale di competenza specifica in materia di appalti. 39 Ai sensi della Delibera ANAC n. 643 del 22 settembre 2021, i soggetti aggregatori sono: CONSIP, le diciannove centrali d’acquisto di società regionali (fra cui la Società di Committenza della Regione Piemonte – SCR Piemonte S.p.a. per l’omonima Regione, ARIA S.p.a. per la Regione Lombardia, IntercER per la Regione Emilia-Romagna, InnovaPuglia S.p.a. per la Regione Puglia e IN.VA. S.p.a. per la Regione Valle d’Aosta), le due centrali per ciascuna delle Province autonome di Trento e Bolzano, le due centrali istituite nella provincia di Vicenza e Brescia e le otto centrali acquisti di città metropolitane. Per l’elenco completo e dettagliato si rimanda all’articolo della FEDERAZIONE DELLE ASSOCIAZIONI REGIONALI DEGLI ECONOMI E PROVVEDITORI DELLA SANITÀ, Soggetti Aggregatori: arriva il nuovo elenco, 23 ottobre 2021, in https://bit.ly/3NU8p5z. 40 Si vedano i dati presenti nello studio dell’AUTORITÀ NAZIONALE ANTICORRUZIONE – UFFICIO OSSERVATORIO STUDI E ANALISI BANCHE DATI, Rapporto quadrimestrale sul mercato dei contratti pubblici, 2° quadrimestre 2021, consultabile in https://bit.ly/3PuC1Wy. 41 ANITEC-ASSINFORM, Il Procurement Pubblico del Digitale: dal Planning all’Execution, Roma, Ottobre 2021. Anitec-Assinform è l’associazione delle imprese aderenti a Confindustria che operano nel settore delle tecnologie dell’informazione. Un altro interessante documento, molto dettagliato, che però non si è ritenuto necessario analizzare in quanto riferito al contesto degli appalti pubblici di tecnologia, in particolare della spesa informatica, del 2015-2018, è rappresentato
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
37
quale risulta che, in riferimento alle procedure d’appalto di importo superiore ai 40.000 €, il valore complessivo delle gare ICT nel 2020 è ammontato a 9,2 miliardi €42. Pur nella consapevolezza che comparare dati aggregati riferititi ad annate differenti non costituisce un approccio metodologico ottimale, si evince che gli appalti di tecnologia rappresentano una percentuale molto bassa rispetto al totale degli appalti aggiudicati dalle stazioni appaltanti. Questi dati sottolineano come la tendenza d’andamento degli appalti ICT sia in crescita, in particolare a seguito del superamento delle fasi più delicate della pandemia, sia in relazione al numero complessivo delle procedure, sia al ricorso agli strumenti di acquisto centralizzato43. Dato che si riflette nella circostanza per cui più della metà di tutte le procedure è costituita da gare di importo consistente (superiore ai 5 milioni €)44. Pur essendo tali gare gestite tendenzialmente in modo centralizzato, sul piano della tipologia di procedura d’aggiudicazione, nel corso del 2020, si è assistito a una consistente crescita delle procedure più agili e celeri, complici anche le ripercussioni della pandemia45. Un altro interessante dossier di studio è rappresentato dal report La spesa ICT 2021 nella PA Italiana, curato dall’Agenzia per l’Italia Digitale46. Tale documento conferma la crescita della spesa pubblica di ICT della Pubblica Amministrazione italiana, soprattutto in rela dalla Relazione finale della Commissione parlamentare d’inchiesta sul livello di digitalizzazione delle pubbliche amministrazioni, che verrà affrontata più in là nel corso del presente capitolo. Per il momento basti in ogni caso far riferimento a CAMERA DEI DEPUTATI, ATTI PARLAMENTARI, XVII LEGISLATURA – Documenti – Disegni di legge e relazioni, Commissione parlamentare d’inchiesta sul livello di digitalizzazione e innovazione delle pubbliche amministrazioni e sugli investimenti complessivi riguardanti il settore delle tecnologie e della comunicazione. Relazione sull’attività svolta, Doc. XII-bis, n. 14, 32 ss., in https://bit.ly/3ACuqzA. 42 ANITEC-ASSINFORM, Il Procurement Pubblico del Digitale: dal Planning all’Execution, cit., 7. 43 Ibidem. 44 Ibidem. 45 In tal senso ANITEC-ASSINFORM, Il Procurement Pubblico del Digitale: dal Planning all’Execution, cit., 7 e 25-26. 46 Cfr. AGENZIA PER L’ITALIA DIGITALE, La spesa ICT 2021 nella PA Italiana, Roma, 2021.
38
CAPITOLO II
zione al valore complessivo47, in particolare sulla spinta dei finanziamenti messi a disposizione dal Piano Nazionale di Ripresa e Resilienza (PNRR)48, l’imponente programma di riforme e investimenti presentato dall’Italia alla Commissione europea al fine di ricevere le risorse pubbliche previste dal Next Generation EU49. Come noto, infatti, uno dei pilastri principali del PNRR è costituito dalle riforme in ambito di digitalizzazione, a cui è dedicata la prima delle sei missioni di cui consta: alla “Missione 1: Digitalizzazione, Innovazione, Competitività, Cultura e Turismo” il PNRR ha destinato più di 40 miliardi €50, a cui si sono aggiunte nel corso del 2021 ulteriori risorse finanziarie51. 47
AGENZIA
PER L’ITALIA
DIGITALE, La spesa ICT 2021 nella PA Italiana, cit.,
14. 48
LXVII GOVERNO ITALIANO, Piano Nazionale di Ripresa e Resilienza, Roma, 2021. Il testo è consultabile sul portale istituzionale https://italiadomani.gov.it/it/home.html. Interessante a riguardo il recente studio di E. CAVASINO, Il Piano Nazionale di Ripresa e Resilienza e le sue fonti. Dinamiche dei processi normativi in tempo di crisi, Editoriale Scientifica, Napoli, 2022. In generale sul PNRR, in senso ampio, anche G. VERDE, Il Piano Nazionale di Ripresa e Resilienza e la riforma della giustizia, in Nuove Autonomie, n. 1/2021, 169 ss. e M. CECCHETTI, L’incidenza del PNRR sui livelli territoriali di governo e le conseguenze nei sistemi amministrativi, in Rivista AIC, n. 3/2022, 281 ss. 49 Si veda la pagina ufficiale del Next Generation EU https://europa.eu/nextgeneration-eu/index_it. Come noto, il Next Generation EU è stato adottato nel Consiglio europeo straordinario del 17 e 18 luglio 2020 e rappresenta il più ingente programma di investimenti della storia delle Istituzioni europee (ben 750 miliardi €). Il Next Generation EU ha l’obiettivo di rilanciare l’economia europea incentivando politiche e riforme nell’ambito della transizione ecologia e del digitale. Per la precisione, il Next Generation EU è composto da due grandi misure: uno è il Pacchetto di Assistenza alla Ripresa per la Coesione e i Territori d’Europa (REACTEU) (cfr. https://www.europarl.europa.eu/ftu/pdf/it/FTU_3.1.11.pdf, l’altro è il Dispositivo per la Ripresa e la Resilienza, contenuto nel Regolamento (UE) 2021/241 del Parlamento Europeo e del Consiglio del 12 febbraio 2021 che istituisce il dispositivo per la ripresa e la resilienza, consultabile in https://bit.ly/3CeQ7In. 50 Così il testo del PNRR, cit., 89. Per una panoramica di come i fondi sono suddivisi per ciascuna misura, si rimanda altresì al sito web istituzionale https://padigitale2026.gov.it/misure. Pare necessario precisare che il totale dei fondi previsti dal PNRR è pari a 191,5 miliardi €, così ripartiti in base alle varie sue missioni: 59,46 miliardi € per “Rivoluzione verde e transizione ecologica”; 40,29 miliardi € per “Digitalizzazione, innovazione, competitività, cultura e turismo”; 30,88 miliardi € per “Istruzione e ricerca”; 25,4 miliardi € per “Infrastrutture per una mobilità sostenibile”; 19,86 miliardi € per “Inclusione e coesione”; 15,63 miliardi € per “Salute”. 51 Sul punto per approfondimenti AGENZIA PER L’ITALIA DIGITALE, La spesa
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
39
Il citato report di AGID ha posto in luce un aspetto fondamentale per l’analisi in questione: la cybersicurezza è uno dei temi trainanti della crescita della spesa pubblica in materia di ICT, unitamente al cloud pubblico, ai prodotti di analisi dati e ai servizi pubblici digitali52. Come si avrà modo di approfondire nel corso della trattazione, nel processo d’innovazione risulta essere fondamentale il ricorso a canali centralizzati d’acquisto di tecnologia – in particolare CONSIP –, che consentono ingenti risparmi di spesa anche grazie a una maggior specializzazione del personale e dei processi. Più in generale, l’attenzione istituzionale è rivolta alle politiche e ai progetti di cybersecurity proprio in ragione dell’opportunità di adottare in tutti i settori digitali un approccio security by design53, il quale, come sottolineato anche dal Piano Triennale per l’informatica nella Pubblica Amministrazione 2022-202454, costituisce uno dei principi che devono guidare le Pubbliche Amministrazioni nel settore dell’innovazione. Da questa breve panoramica emerge con chiarezza l’attuale tendenza dell’aumento delle risorse pubbliche destinate allo sviluppo tecnologico. Se il settore degli appalti pubblici costituisce una percentuale consistente della ricchezza prodotta ogni anno in Italia, l’aumento delle risorse pubbliche investite nell’acquisto di tecnologia sottolinea l’interesse delle Istituzioni per tale ambito, inteso quale catalizzatore della crescita del sistema Paese. Se è vero ICT 2021 nella PA Italiana, cit., 8-9. 52 AGENZIA PER L’ITALIA DIGITALE, La spesa ICT 2021 nella PA Italiana, cit., 13-14. 53 Si veda A GENZIA PER L’ITALIA D IGITALE, La spesa ICT 2021 nella PA Italiana, cit., 95, nel quale viene sottolineato che «[l]’ambito su cui occorrerà concentrare in particolare l’attenzione e l’effort operativo, da parte di tutte le PA, è sicuramente quello della cybersecurity, dove sia il volume della spesa sia le scelte e le soluzioni messe in campo, risultano ancora in ritardo sia su una chiara individuazione degli asset che possono essere maggiormente soggetti ad attacchi cibernetici, sia più in generale sull’adozione delle fondamentali iniziative per la protezione delle proprie infrastrutture e per la realizzazione di un approccio security by design nei propri sviluppi applicativi». 54 AGENZIA PER L’ITALIA DIGITALE, DIPARTIMENTO PER LA TRASFORMAZIONE DIGITALE, Piano Triennale per l’informatica nella Pubblica Amministrazione 2022-2024, ottobre 2022, 5-6, in https://www.agid.gov.it/it/agenzia/pianotriennale.
40
CAPITOLO II
che lo Stato ha da sempre acquistato beni e servizi “tecnologici”, è però innegabile come negli ultimi anni tale acquisto sia aumentato in modo significativo a fronte delle potenzialità generali delle ICT, che costituiscono un fattore moltiplicativo di crescita anche a vantaggio di altri settori. Ciò posto, pare necessario analizzare alcune criticità che caratterizzano in modo peculiare la tecnologia ICT, il suo mercato e il relativo rapporto fra soggetto pubblico-acquirente di tecnologia e soggetto privato-produttore/venditore di tecnologia, incidendo negativamente sugli obiettivi di crescita posti a fondamento degli investimenti pubblici in questo settore ICT. 4. Le caratteristiche del mercato ICT e le criticità legate all’acquisto pubblico di tecnologia Le peculiari caratteristiche del mercato della tecnologia si traducono in elementi in grado di incidere sull’acquisto pubblico di beni e servizi ICT, in particolare a svantaggio dei soggetti pubblici e a vantaggio delle imprese produttrici. Fra tali caratteristiche è possibile menzionare alcuni aspetti strutturali legati al modello economico capitalista (par. 4.1.), quali il costante sviluppo della tecnologia e i continui e consistenti investimenti che essa richiede (par. 4.2.); elementi che hanno modellato un mercato oligopolistico composto da poche grandi imprese private, le quali operano sulla base di un solido potere contrattuale fondato su profonde asimmetrie informative rispetto agli altri attori di mercato (soggetti pubblici compresi) (par. 4.3.). 4.1. Il contributo del modello capitalista allo sviluppo del mercato della tecnologia e il ruolo dell’imprenditore Nell’opera Die Seele im Technischen Zeitalter (tradotta in italiano con il titolo L’uomo nell’era della tecnica)55, Arnold Gehlen56, espo 55
A. GEHLEN, Die Seele im Technischen Zeitalter. Sozialpsychologische Probleme in der industriellen Gesellschaft, Rowohlts, Hamburg, 1957. L’opera è stata tradotta in lingua italiana e curata da M.T. Pansera e pubblicata con il titolo L’uomo nell’era della tecnica da Armando Editore, Roma, nel 2003. I riferimenti a questa
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
41
nente dell’antropologia filosofica, affrontò con un approccio sociologico e antropologico il tema dello sviluppo della tecnica e della tecnologia. Secondo la teoria di Gehlen, nel corso dell’evoluzione naturale gli animali sono riusciti a sviluppare caratteristiche fisiche e organi specializzati che hanno consentito loro di adattarsi all’ambiente circostante al fine di sopravvivere e riprodursi. Caratteristiche fisiche e organi di cui invece l’essere umano deficita. L’uomo, infatti, per sopravvivere nel corso dell’evoluzione ha potuto unicamente ricorrere alla sua intelligenza, con la quale ha agito modificando l’ambiente a proprio vantaggio, anziché adattarsi all’ambiente al pari degli altri animali57. E ciò è stato reso possibile ricorrendo alla tecnica e alla tecnologia58. La tecnica, pertanto, risulta una componente fondamentale dell’essenza umana che ha condotto allo sviluppo sociale. Interrogandosi su quale potesse essere la causa dell’evoluzione tecnica che ha consentito all’uomo di passare dalla tecnica antica (l’arnese) alla tecnica moderna (la macchina), Gehlen sostenne che la risposta dovesse essere ricercata nei mutamenti socioculturali59, vale a dire in quelle sovrastrutture culturali che hanno guidato la trasformazione della società umana. Per il filosofo la prima di queste sovrastrutture è stata la magia60, la quale ha lasciato spazio alla scienza61 e al opera di Gehlen presenti nel corso della trattazione si riferiscono al testo in lingua italiana. 56 Su Arnold Gehlen (1904-1976), il quale insegnò come professore universitario in numerose università tedesche, fra le quali la Deutsche Universität für Verwaltungswissenschaften Speyer e la cui opera più nota è A. GEHLEN, Der Mensch. Seine Natur und seine Stellung in der Welt, Junker und Dünnhaupt, Berlin, 1940, tradotta in italiano con il titolo L’uomo. La sua natura e il suo posto nel mondo, Feltrinelli, Milano, 1983, si veda fra gli studi italiani G. POGGI, G. RYAN, Arnold Gehlen e i presupposti antropologici della teoria volontaristica dell’azione, in Rass. ita. di sociologia, n. 3/1967, 353 ss. 57 Cfr. A. GEHLEN, L’uomo nell’era della tecnica, cit., 42. 58 Ibidem. 59 Cfr. A. GEHLEN, L’uomo nell’era della tecnica, cit., 36. 60 Gehlen intuì che la magia avesse «insito un elemento antropologico fondamentale» (A. GEHLEN, L’uomo nell’era della tecnica, cit., 39). Per l’Autore, infatti, l’uomo antico si trovava innanzi al verificarsi di accadimenti naturali che non era in grado di spiegare e che, perciò, lo destabilizzavano; pertanto, tramite la ripetizione di gesti e formule in modo ciclico, questi cercava di modificare a proprio vantaggio la natura con l’unica tecnica (soprannaturale) che aveva, la magia.
42
CAPITOLO II
metodo scientifico62. Gehlen notò tuttavia che lo sviluppo della tecnica fu oggetto di un incremento esponenziale a partire dall’età moderna, intuendo che ciò fosse causato da un’ulteriore sovrastruttura non presente in precedenza: il filosofo vide questo fattore accelerante nel capitalismo63. È solo dal XVIII secolo, infatti, che le innovazioni della tecnica iniziano a essere finanziate in modo sostanzioso dai privati, in particolare dagli imprenditori, i quali iniziano a investire nello sviluppo di tecnologia al fine di monetizzare l’investimento fatto64, aiutati dalla presenza di una classe operaia sempre più numerosa. Prima di allora, i principali investitori erano unicamente gli Stati65. Dal pensiero di Gehlen emerge, a partire dal XVIII secolo, la nascita di due poli contrapposti di finanziamento della tecnica e della tecnologia: da un lato il polo pubblico, rappresentato dagli Stati e dai Governi, e dall’altro quello privato, formato dagli imprenditori66. Se i primi sono mossi (prevalentemente) da logiche belliche e di conquista, i secondi sono guidati dalla realizzazione di profitti, diventando in breve tempo figure centrali della società67. È però nel corso del Novecento68 che i grandi gruppi industriali 61
Gehlen fa riferimento alle scienze naturali, ma con esse si deve intendere le scienze in senso ampio. Cfr. A. GEHLEN, L’uomo nell’era della tecnica, cit., 36. 62 Cfr. A. GEHLEN, L’uomo nell’era della tecnica, cit., 36-37. A ben vedere, infatti, il metodo scientifico è basato anch’esso su un percorso logico-fattuale ciclico di riproduzione di quanto fatto in laboratorio con gli esperimenti, grazie al quale l’uomo capisce i meccanismi fisici e, comprendendoli, riesce in modo più performante ad adattare l’ambiente a sé. 63 Chiaro A. GEHLEN, L’uomo nell’era della tecnica, cit., 37, in relazione all’«affermarsi della forma di produzione “capitalistica”». Similmente però già prima K. MARX, Il capitale. Critica dell’economia politica, Libro I, Tomo II, Edizioni Rinascita, Roma, 1952, 72, nota 89. 64 Gehlen fa riferimento alla macchina a vapore di Watt: cfr. A. GEHLEN, L’uomo nell’era della tecnica, cit., 37. 65 E non solo sul piano della tecnica, ma anche su quello delle scoperte in senso lato: un esempio è rappresentato dalle epiche esplorazioni dei navigatori che, a cavallo fra Quattrocento e Cinquecento, vennero finanziate dai regnanti europei invaghiti dalla possibilità di espandere i propri regni su quelli nemici, rivendicando le terre scoperte e le risorse naturali utili ai commerci. 66 Cfr. A. GEHLEN, L’uomo nell’era della tecnica, cit., 37. 67 Come sottolineato da L. DOLZA, Storia della tecnologia, Il Mulino, Bologna, 2008, 189. 68 Sulla storia della tecnologia relativa al XX secolo, si veda C. SINGER, E.J.
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
43
acquisiscono o consolidano il loro ruolo di magnati a capo di veri e propri imperi in grado di rappresentare stati nello Stato e capaci, quindi, di fare concorrenza al settore pubblico. Su questo solco la specializzazione tecnologica delle imprese inizia a divenire un’affilata arma di pressione politica e sociale. Uno dei fattori che hanno consentito ai produttori di tecnologia di poter competere con il potere statale è dato dalla capacità dell’impresa di governare il repentino cambiamento e la costante evoluzione della tecnologia. Grazie al perseguimento di un fine diverso da quello del settore pubblico, alla sua predisposizione al rischio d’impresa e a una struttura organizzativa agile, l’impresa riesce a stare al passo con la rapida evoluzione della tecnologia, contrariamente a quanto fa invece lo Stato. 4.2. La rapidità dell’evoluzione tecnologica e i costanti e ingenti investimenti necessari nell’analisi della c.d. legge di Moore e nella c.d. legge di Rock La rapidità dell’evoluzione tecnologica può essere descritta ricorrendo alla c.d. legge di Moore69. Premettendo che tale legge non è una legge in senso giuridico, ma è il frutto di osservazioni empiriche all’ambito della microelettronica, essa prende il nome da Gordon Earle Moore, uno dei cofondatori della Intel Corporation (insieme ad Arthur Rock, di cui si scriverà dopo) – la nota multinazionale specializzata nella produzione, fra gli altri, di circuiti integrati, microprocessori e componenti vari – anche se a formalizzarla è stato Carver Mead, professore della California Institute of Technology70. La legge di Moore afferma che la complessità della tecnologia, e di conseguenza la sua potenza di calcolo, segue tendenzialmente uno HOLMYARD, A.R. HALL, T.I. WILLIAMS (cur.), Storia della tecnologia. Il Ventesimo secolo. Le comunicazioni e l’industria scientifica, Vol. 7, Tomo I e Tomo II, Bollati Boringhieri, Torino, 1984. 69 In argomento si vedano le voci enciclopediche Moore’s Law , in Ency2022, in clopaedia Britannica, https://www.britannica.com/technology/Moores-law e quella di B. R ICCÒ, voce Legge di Moore, in Enciclopedia Treccani della Scienza e della Tecnica, 2008, in https://bit.ly/3PS6nCx. 70 In tal senso G. G RIMVALL, Un mare di dati. Come interpretare numeri e grafici nel modo giusto , Edizioni Dedalo, Bari, 2022, 123.
44
CAPITOLO II
sviluppo esponenziale e lineare nel tempo. In particolare, nel 1965 Moore previde che entro il 1975 il numero dei componenti (i transistor) di un circuito integrato (il chip) sarebbe raddoppiato con una frequenza costante ogni dodici mesi71, profetizzando così una evoluzione tecnologica sorprendente per l’epoca e che avrebbe avuto importanti ricadute nella vita quotidiana72. L’incremento costante del numero delle componenti di un microcircuito aveva implicazioni dirette sulla sua complessità73, incidendo quindi sull’aumento della sua potenza di calcolo a parità di dimensioni74 e, dunque, comportando una sua maggior affidabilità prestazionale75. Le previsioni di Moore si rivelarono corrette, al punto tale da trovare un riscontro nella realtà anche oltre l’arco di tempo profetizzato in precedenza. E questo nonostante alcune ridefinizioni temporali: il periodo di raddoppio dell’evoluzione dei microprocessori passò da dodici a ventiquattro76 e infine a diciotto mesi77. 71
Cfr. G.E. M OORE, Cramming more components onto integrated circuits, Electronics, Vol. 38, n. 8/1965, 115, consultabile in in https://intel.ly/2OZhsWY. 72 G.E. MOORE, Cramming more components onto integrated circuits, cit., 114. 73 Come fa notare G. G RIMVALL, Un mare di dati. Come interpretare numeri e grafici nel modo giusto, cit., 123, infatti, «[è] importante porre l’accento su come la previsione di Moore non riguardasse semplicemente il numero di transistor che avremmo potuto stipare in un centimetro quadrato di un microcircuito, bensì la complessità di quei microcircuiti che montavano componenti dal costo minimo». 74 Interessante quanto riportato da E. BRYNJOLFSSON, A. MCAFEE, La nuova rivoluzione delle macchine Lavoro e prosperità nell’era della tecnologia trionfante, Feltrinelli, Milano, 2017, 48: «Moore prediceva che questa tendenza sarebbe continuata, forse con qualche cambiamento di ritmo, per almeno un altro decennio. Questa coraggiosa affermazione profetizzava in pratica circuiti che sarebbero stati oltre cinquecento volte più potenti nel 1975 rispetto al 1965 (essendo 29=512)». 75 Così B. RICCÒ, voce Legge di Moore, in Enciclopedia Treccani della Scienza e della Tecnica, cit.: «[q]uesta legge non riguarda soltanto la densità di transistori, essenzialmente dovuta alla riduzione delle loro dimensioni, ma prevede miglioramenti esponenziali di tutte le principali caratteristiche dei microcircuiti: in particolare aumentano la velocità e l’affidabilità dei gate logici, mentre ne diminuisce il costo unitario». 76 Cfr. G.E. MOORE, Progress In Digital Integrated Electronics, in Technical Digest 1975. International Electron Devices Meeting, IEEE, 1975, 13. 77 Cfr. la voce Moore’s Law, in Encyclopaedia Britannica, cit.
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
45
Tralasciandone gli aspetti fisico-ingegneristici78, che rappresentano al contempo i suoi limiti, quello che appare importante evidenziare è che la legge di Moore ha di fatto guidato lo sviluppo e la produzione della tecnologia a partire dagli anni Settanta del secolo scorso. In un periodo relativamente breve (dieci anni) si è vista la tecnologia evolvere con una certa velocità e secondo particolari dinamiche. Fotografata questa situazione, la si è presa a modello per il successivo sviluppo tecnologico. La legge di Moore è in tal modo divenuta una «profezia che si auto-avvera»79, un obiettivo80, un vero e proprio traguardo tecnico verso cui tendere e a cui ispirarsi nell’industria di semiconduttori81. Una evoluzione così repentina deve essere necessariamente governata sul piano tecnologico. E, capovolgendo la prospettiva, per realizzare un simile sviluppo tecnologico occorre governarlo tramite processi idonei e risorse finanziarie adeguate, come sottolineato da un’altra legge empirica, la c.d. legge di Rock. 78
In relazione a tali aspetti scientifici si rimanda a L. BALDI, G. CEROFOLINI, La legge di Moore e lo sviluppo dei circuiti integrati, in Mondo Digitale, n. 3/2002, 3 ss. 79 Così U. PAGALLO, Il diritto nell’età dell’informazione. Il riposizionamento tecnologico degli ordinamenti giuridici tra complessità sociale, lotta per il potere e tutela dei diritti, Giappichelli, Torino, 2014, 23. 80 Così E. BRYNJOLFSSON, A. MCAFEE, La nuova rivoluzione delle macchine Lavoro e prosperità nell’era della tecnologia trionfante, cit., 49, per i quali la legge di Moore rappresenta «una dichiarazione sull’operato dei tecnici e degli scienziati del settore informatico, è la rivendicazione di quanto sono stati costanti e felici i loro sforzi». 81 In tal senso U. PAGALLO, Il diritto nell’età dell’informazione. Il riposizionamento tecnologico degli ordinamenti giuridici tra complessità sociale, lotta per il potere e tutela dei diritti, cit., 23 per il quale la legge di Moore ha rappresentato «una sfida, o un traguardo, che vede impegnati gli esperti nel ramo dei circuiti integrati e dei micro-processori in svariati laboratori del pianeta». Come è stato sottolineato da B. RICCÒ, voce Legge di Moore, in Enciclopedia Treccani della Scienza e della Tecnica, cit., «recentemente, la capacità predittiva della legge di Moore è stata in qualche modo sostituita da un piano di sviluppo (ITRS, International Technology Roadmap for Semiconductors) che prescrive tutte le principali caratteristiche dei dispositivi del futuro, con previsioni di medio e lungo respiro (8 e 15 anni) aggiornate ogni 2 anni (e revisionate in modo più lieve ogni anno)». Attualmente l’International Technology Roadmap for Semiconductors è stata superata e nel 2022 è stata approvata l’International Roadmap for Devices and Systems (IRDS™) 2022 Edition, consultabile in https://bit.ly/3AP6lqA.
46
CAPITOLO II
Essa prende il nome da Arthur Rock82, pioniere degli investitori in società tecnologiche (fra cui Fairchild Semiconductor ed Apple) nonché co-fondatore di Intel Corporations. Grazie alla sua esperienza egli notò che il costo per un impianto per la produzione di semiconduttori raddoppiava ogni quattro anni83. Essendo un corollario della c.d. legge di Moore, essa è nota altresì come seconda legge di Moore84: se la (prima) legge di Moore afferma che lo sviluppo della tecnologia dei microprocessori segue un andamento esponenziale costante nel tempo, la legge di Rock afferma che i costi di produzione industriale, legati allo sviluppo tecnologico dei microprocessori, aumentano in modo costante nel tempo85. Vi è dunque un andamento parallelo – ma non sovrapponibile – fra l’esponenziale crescita del livello tecnologico e l’esponenziale incremento dei costi per la sua produzione. Come sottolineato, la legge di Moore e quella di Rock si riferiscono all’ambito delle imprese di microelettronica produttrici di circuiti integrati e microprocessori. È possibile, tuttavia, estendere queste riflessioni alle società produttrici di tecnologia digitali – le quali sono in ogni caso legate e condizionate dal mercato preso in considerazione da Moore e Rock. Anche la tecnologia digitale, infatti, è costantemente in evoluzione86, e la sua evoluzione richiede costantemente risorse sempre più ingenti nel tempo. Da quanto ripercorso, in questo contesto l’ambito di operatività dello Stato pare modesto. In 82
Sulla figura di Arthur Rock si veda la voce Arthur Rock, in Encyclopedias almanacs transcripts and maps, in Encyclopedia.com, in https://bit.ly/3QVhAU3, nonché U. GUPTA, Done Deals. Venture Capitalists Tell Their Story, Harvard Business School Press, Harvard, 2000. 83 In tal senso si veda la pagina dedicata all’evento An Evening with Legendary Venture Capitalist Arthur Rock, in Conversation with John Markoff, organizzato dal Computer History Museum, 2007, in https://bit.ly/3Kq33xf. 84 Cfr. K. RUPP, S. SELBERHERR, The Economic Limit to Moore’s Law, in IEEE Transactions on Semiconductor Manufacturing, Vol. 24, n. 1/2011, 1 ss.; P.E. ROSS, Moore’s Second Law, in Forbes, 25 marzo 1995, 116 ss. 85 In argomento si veda G. D. HUTCHESON, The Economic Implications of Moore’s Law, in H.R. HUFF (Ed.), Into The Nano Era. Moore’s Law Beyond Planar Silicon CMOS, Springer, New York, 2009, 11 ss. 86 Emblematico è il caso del settore degli smartphone, nel quale ogni anno le grandi case produttrici lanciano sul mercato nuovi modelli più performanti del modello precedente.
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
47
parte a causa di un modello organizzativo diverso da quello, più agile e responsivo, adottato dalle imprese tecnologiche87; in parte dal ruolo proprio dello Stato e del perseguimento dei numerosi obiettivi generali che contraddistinguono la natura pubblica da quella imprenditoriale88. Potrebbe apparire chiaro, pertanto, che soltanto le imprese possano agire in modo economicamente razionale nel mercato della tecnologia, dedicando a tale fine manodopera, risorse e tempo. Ma non tutte le imprese: soltanto alcune di esse, quelle più grandi e solide. Le c.d. legge di Moore e legge di Rock, infatti, mettono in luce che tanto più la tecnologia è evoluta e tanto più costa produrla. La ragione di ciò è legata agli investimenti in ricerca e sviluppo che i produttori di tecnologia devono fare per produrre i beni e i servizi che venderanno sul mercato. Investimenti che nel brevissimo periodo – i diciotto mesi della c.d. legge di Moore – richiedono continuamente risorse sempre più ingenti. Il che conduce il mercato a selezionare soltanto quelle imprese che si mostrano costantemente le più innovative, le quali però possono essere tali solo se già solide o se unite ad altre. E, in ogni caso, produrre costantemente beni innovativi è il solo modo per continuare a vendere, al fine di rientrare dei significativi investimenti effettuali. Il mercato della tecnologia digitale, dunque, appare un mercato oligopolistico: non a caso si fa riferimento alle già citate Big Tech. 4.3. L’asimmetria informativa fra il produttore (impresa venditrice) e l’acquirente di tecnologia (Stato compratore) e l’effetto lock-in Un ulteriore elemento che caratterizza il mercato della tecnologia, derivante dai fattori poc’anzi analizzati, è rappresentato dal divario informativo che intercorre fra il soggetto pubblico-acquirente di 87
Aspetto che incide di riflesso sul ruolo dei funzionari pubblici, come sottolineato da ANITEC-ASSINFORM, Il Procurement Pubblico del Digitale: dal Planning all’Execution, cit., 8 in relazione all’attività di programmazione di acquisti di tecnologia. 88 In argomento si rimanda al famoso studio di G.A. RITTER, Storia dello Stato sociale, Laterza, Roma-Bari, 1996; recentemente anche P.H. LINDERT, Spesa sociale e crescita, Università Bocconi, Milano, 2007. Sempre attuali invece le riflessioni di L. EINAUDI, Lezioni di politica sociale, Einaudi, Torino, 1949.
48
CAPITOLO II
tecnologia e il soggetto privato-impresa produttrice di tecnologia, in grado di condizionare negativamente il dovere/libertà di scelta del fornitore da parte della stazione appaltante89. La questione della asimmetria informativa fra soggetti pubblici e privati è un tema che è stato studiato principalmente dagli economisti, in particolare nell’ambito microeconomico90, e dai giuristi, i quali hanno affrontato l’argomento dalla prospettiva dell’analisi economica del diritto91 (in una prima fase del diritto privato, successivamente an 89
In argomento si rimanda alle riflessioni di G.M. RACCA, S. PONZIO, La scelta del contraente come funzione pubblica: i modelli organizzativi per l’aggregazione dei contratti pubblici, in Dir. amm., n. 1/2019, 33 ss. 90 Cfr. ex multis A. MAS-COLELL, M.D. WHINSTON, J.R. GREEN, Microeconomic Theory, Oxford University Press, Oxford, 1995. 91 L’analisi economica del diritto deriva dalla c.d. Law and Economics, la quale si basa su un approccio interdisciplinare mirato ad affiancare alla classica visione giuridica del diritto un’altra di tipo economico e di politica economica. Se, infatti, nella prima il diritto è visto tradizionalmente come un sistema di precetti e divieti e di correlate sanzioni, nella visione economica il diritto è invece analizzato come un insieme di incentivi indirizzati ai soggetti e volti all’adozione di uno specifico comportamento. Fra quelli che sono generalmente considerati gli studi fondativi della Law and Economics si vedano R.H. COASE, The Problem of Social Cost, in Journal of Law and Economics, 1960, 1 ss.; G. CALABRESI, Some Thoughts on Risk Distribution and the Law of Torts, in Yale Law Journal, n. 70/1961, 499 ss.; R.A. POSNER, Economic Analysis of Law, Little Brown and co., Boston-Toronto, 1972; R.A. POSNER, The Economics of Justice, Harvard University Press, Cambridge, Mass., 1983; A.M. POLINSKY, An introduction to law and economics, Little Brown and co., Boston-Toronto, 1983, che ha posto in evidenza la necessità di valutare, a fianco dell’efficienza del sistema, gli effetti redistributivi delle politiche pubbliche in grado di realizzare meccanismi di eguaglianza sostanziale. In argomento, fra i numerosi contributi, si vedano senza pretesa di esaustività, fra la dottrina italiana: G. BELLANTUONO, U. IZZO (cur.), Il contributo di Pietro Trimarchi all’analisi economica del diritto. Atti del Convegno, Trento, 16-18 dicembre 2020, Editoriale Scientifica, Napoli, 2022; T. EISENBERG, G.B. RAMELLO (Eds.), Comparative law and economics, Elgar, Cheltenham, 2016; P. PARDOLESI, Profili comparatistici di analisi economica del diritto privato, Cacucci, Bari, 2015; R.D. COOTER, U. MATTEI, P.G. MONATERI, R. PARDOLESI, R. ULEN, Il mercato delle regole. Analisi economica del diritto civile, Il Mulino, Bologna, 2006; U. MATTEI, The Rise and Fall of Law and Economics. An Essay for Judge Guido Calabresi, in Maryland Law Review, n. 64/2005, 220 ss.; F. FORTE, Analisi economica del diritto, Voll. I-II, Iiriti, Reggio Calabria, 2005; N. IRTI, L’ordine giuridico del mercato, Laterza, Roma-Bari, 2004; P. GALLO, Introduzione al diritto comparato, Vol. III, Analisi economica del diritto, Giappichelli, Torino, 1998.
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
49
che di quello pubblico92). In tale contesto, infatti, l’attenzione per lo studio dell’asimmetria informativa è stata rivolta all’analisi di quale dovesse essere il corretto intervento dello Stato nel mercato, in un delicato gioco di pesi e contrappesi93. Come noto, infatti, il modello di concorrenza perfetta afferma che il mercato, grazie al sistema di proprietà privata, è in grado di regolarsi autonomamente senza la necessità dell’intervento dello Stato94. In particolare, gli economisti neoclassici hanno teorizzato una situazione di equilibrio economico generale concorrenziale in cui il mercato funziona in modo ottimale senza un intervento esterno, come 92 In argomento G. NAPOLITANO, M. ABRESCIA, Analisi economica del diritto pubblico. Teorie, applicazioni e limiti, Il Mulino, Bologna, 2009; F. MERUSI, Analisi economica del diritto e diritto amministrativo, in Dir. amm., 2007, 427 ss.; i contributi contenuti in ASSOCIAZIONE ITALIANA DEI PROFESSORI DI DIRITTO AMMINISTRATIVO (AIPDA), Annuario 2006. Analisi economica e diritto amministrativo, Giuffrè, Milano, 2007; G. NAPOLITANO, Analisi economica del diritto pubblico, in S. CASSESE (dir.), Dizionario di diritto pubblico, Vol. I, Giuffrè, Milano, 2006, 299 ss.; L.R. PERFETTI, P. POLIDORI (cur.), Analisi economica e metodo giuridico: i servizi pubblici locali, CEDAM, Padova, 2003; M. ABRESCIA, Le ricerche gius-economiche e la frontiera del diritto costituzionale , in Quaderni costituzionali, 2001, 635 ss. 93 In relazione al diritto pubblico dell’economia si vedano in proposito oltre a V. BACHELET, Legge, attività amministrativa e programmazione economica, in Giur. cost., 1961, 904 ss.; a F. MERUSI (cur.), La legislazione economica italiana dalla fine della guerra al primo programma economico, Franco Angeli, Milano, 1974; e M.S. GIANNINI, Diritto pubblico dell’economia, Il Mulino, Bologna, 1977, F. BASSANINI, G. NAPOLITANO, L. TORCHIA (cur.), Lo Stato promotore. Come cambia l’intervento pubblico nell’economia, Il Mulino, Bologna, 2021, 261 ss.; S. CASSESE (cur.), La nuova costituzione economica, Laterza, Roma-Bari, 2021; C. FRANCHINI, La disciplina pubblica dell’economia tra diritto nazionale, diritto europeo e diritto globale, Editoriale Scientifica, Napoli, 2020; G.F. FERRARI (cur.), Diritto pubblico dell'economia, Egea, Milano, 2019; G. DI GASPARE, Diritto dell’economia e dinamiche istituzionali, Wolters-Kluwer-CEDAM, Milano, 2017; G. CORSO, La Costituzione economica, in L. Benvenuti, M. Clarich (cur.), Il diritto amministrativo alle soglie del nuovo secolo. L’opera scientifica di Fabio Merusi, ETS, Pisa, 2010, 61 ss.; G. MORBIDELLI, Scritti di diritto pubblico dell’economia, Giappichelli, Torino, 2001. 94 Adam Smith impiegò infatti la metafora della invisible hand. Cfr. A. SMITH, An Inquiry into the Nature and Causes of the Wealth of Nations, W. Strahan and T. Cadell, London, 1776; D. RICARDO, On the Principles of Political Economy and Taxation, John Murray Publ., London, 1817. Sul punto J. VINER, The Intellectual History of Laissez Faire, in Journal Law and Econ., 1960, 45 ss.
50
CAPITOLO II
quello dello Stato, a fronte della sua capacità di autoregolazione derivante dal comportamento dei suoi attori di mercato. In tale ipotesi si giunge a un “ottimo paretiano”, situazione nella quale non è possibile migliorare la condizione di un soggetto senza peggiorare quella di un altro individuo95. E questo sia sul piano microeconomico sia su quello macroeconomico96. Nella teorizzazione di questo modello, la situazione di concorrenza perfetta si verifica in presenza di alcune precondizioni teoriche97. Innanzitutto, gli attori presenti sul mercato, gli acquirenti e i venditori, hanno piena libertà di ingresso e di uscita dal mercato. In secondo luogo, gli attori sono price-takers, ovvero con i propri comportamenti non possono influenzare il prezzo del bene compravenduto. In terzo luogo, tutti i beni presenti sul mercato hanno carattere omogeneo, vale a dire che essi sono tutti uguali e non possono ingenerare negli attori di mercato alcun tipo di preferenza in relazione a uno anziché a un altro. Infine, il mercato è assolutamente trasparente, poiché gli attori sono informati in modo esaustivo e dispongono tutti delle medesime corrette e certe informazioni. La simmetria informativa è pertanto una dei presupposti teorici del modello di concorrenza perfetta. Modello che, però, non trova riscontro nella realtà, proprio in ragione della presenza di diseconomie in grado di tradursi in esternalità negative98 che impediscono al mercato di autoregolarsi e 95
Cfr. V. PARETO, Corso di economia politica, Einaudi, Torino, 1942; V. PAManuale di economia politica, Soc. Editr. Libraria, Milano, 1906. In argomento si rimanda a R. MARCHIONATTI, F. MORNATI, Note storiche su formazione e sviluppo dei mercati e della scienza economica, in R. R. MARCHIONATTI, F. MORNATI, Principi di economia politica, Giappichelli, Torino, 2010, 9 ss. Sulla storia dell’economia e del pensiero economico si veda in generale J. BRASSEUL, Storia economica dalle origini ad oggi, UTET, Torino, 2022, nonché la monumentale opera di P. LEON, Historie économique et sociale du monde, Voll. I-VI, Librairie Armand Colin, Paris, 1977. 96 Come sottolinea P. GALLO, Introduzione al diritto comparato, Vol. III., Analisi economica del diritto, cit., 4, l’egoismo dell’individuo, che persegue i suoi fini, ha effetti positivi sulla collettività. 97 A riguardo si rimanda alla voce Concorrenza perfetta, in Dizionario Treccani di Economia e Finanze, 2012, in https://bit.ly/3Tnph7i. 98 Come già posto in luce, fra gli altri, da A.C. PIGOU, The Economics of Welfare, MacMillan, London, 1920, in relaziona alla teorizzazione delle imposte c.d. pigouviane volte a correggere le esternalità negative. RETO,
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
51
che conducono a un necessario intervento dello Stato99. Queste situazioni sono state chiamate fallimenti del mercato (in inglese market failures)100, fra le quali vi è proprio l’esistenza di asimmetrie informative atte a creare “sacche” di potere di mercato, a dimostrazione dell’irrealizzabilità della totale trasparenza informativa degli operatori economici. Si ha asimmetria informativa quando una parte ha più informazioni (aspetto quantitativo) o informazioni più utili (aspetto qualitativo) rispetto a un’altra101. In questo caso, il divario informativo che si crea è in grado di incidere sugli scambi di mercato a favore della parte maggiormente o meglio informata. Vi possono essere due ipotesi di asimmetrie informative102, a seconda che si concretizzino prima o dopo la conclusione dell’accordo. La prima ipotesi è l’informazione nascosta, e si verifica prima del 99
Così ad esempio anche L. EINAUDI, Lezioni di politica sociale, cit., 36. Oltre all’asimmetria informativa, nei fallimenti di mercato sono altresì ricomprese la presenza di monopoli, la produzione di esternalità e di costi transattivi, la presenza di beni pubblici e il verificarsi di crisi finanziarie. In argomento T. COWEN (ed.), The Theory of Market Failure. A Critical Examination, George Mason University Press, Fairfax, 1988. 101 Come sottolinea P. GALLO, Introduzione al diritto comparato, Vol. III, Analisi economica del diritto, cit., 37, sul piano economico le informazioni vengono considerate come beni (commodity). Cfr. in argomento H. THEIL, Economics of Information Theory, North-Holland Publishing Company, Chicago, 1967; H. DEMSETZ, Information and Efficiency. Another Viewpoint, in Journal of Law and Econ., n. 12/1969; D. BELL, The Coming of Post-Industrial Society, Basic Books, New York, 1976. Secondo P. GALLO, Contratto e buona fede. Buona fede in senso oggettivo e trasformazioni del contratto, UTET, Torino, 2012, 159, l’informazione potrebbe ricondotta alla categoria dei beni pubblici puri, essendo un bene non rivale e non escludibile. 102 Il tema dell’asimmetria informativa è stato studiato sul piano economico, fra gli altri, da Joseph Stigliz, George A. Akerlof e Andrew Michael Spence in opere quali J. STIGLIZ, Information and the Chance in the Paradigm of Economics, Prize Lecture, 8 dicembre 2001; gli scritti ritenuti più importanti di questo Autore sono stati tradotti in italiano e raccolti in J. STIGLIZ, Informazione, economia pubblica e macroeconomia, Il Mulino, Bologna, 2002; G.A. AKERLOF, The Market for Lemons: Quality Uncertainty and the Market Mechanism, in Quarterly Journal of Economics, n. 84/1970, 488 ss.; ID., Explorations in pragmatic economics. Selected papers of George A. Akerlof (and co-authors), Oxford university press, Oxford, 2005; A.M. SPENCE, Job Market Signaling, in Quarterly Journal of Economics, n. 87/1973, 355 ss.; ID., Market signaling. Informational transfer in hiring and related screening processes, Harvard University Press, Cambridge, 1974. 100
52
CAPITOLO II
la conclusione del contratto (compravendita). In questa situazione si ha un comportamento opportunistico precontrattuale della parte più (o meglio) informata in merito al bene oggetto della compravendita, la quale sfrutta l’asimmetria informativa a proprio vantaggio per condizionare il comportamento della controparte. Quest’ultima, infatti, non possedendo le informazioni complete, conclude l’accordo, o lo sottoscrive a determinate condizioni; essa, tuttavia, se avesse avuto le medesime informazioni della controparte avrebbe agito diversamente, non stipulando il contratto oppure concludendolo a condizioni diverse da quelle accettate. Questa forma di divario informativo è dunque caratterizzata da una selezione avversa. Un esempio classico di selezione avversa è rappresentato dal mercato delle auto usate103. In questo ambito è plausibile ipotizzare che il venditore dell’auto di seconda mano avrà una conoscenza più approfondita e dettagliata rispetto al compratore, in particolare in riferimento ai difetti. Il prezzo di vendita della macchina, pertanto, rappresenta un indicatore della condizione dell’auto: tanto più sarà basso tanto più la macchina avrà difetti, mentre tanto più sarà alto e tanto più la macchina sarà in buone condizioni. È chiaro che l’obiettivo del venditore è massimizzare il proprio profitto ottenendo un prezzo di vendita più alto possibile. Per fare questo, però, sarà spinto a non proporre al venditore il prezzo corrispondente allo stato dell’auto, bensì un prezzo (più) alto. Il compratore è però conscio di questo rischio e così, non volendo comprare un lemon e incorrere in una fregatura, e non sapendo quale sia la vera condizione della macchina, proporrà al venditore un contro-prezzo (più) basso. La situazione che si produce è che le parti fisseranno un prezzo medio fra quello proposto dal venditore e dal contro-prezzo compratore. Tuttavia, a quel prezzo medio, soltanto il venditore che avrà una macchina di scarsa qualità sarà disposto a venderla, al contrario invece di un altro venditore che, al medesimo prezzo medio, abbia un veicolo di qualità superiore. La conseguenza che si crea è che la mancanza di conoscenza 103
Il termine usato in inglese per indicare “auto usate” è “lemons”, intendendo con esso un’auto di seconda mano in pessime condizioni. Questo celebre esempio è stato impiegato da Akerlof per spiegare l’asimmetria informativa nell’articolo G.A. AKERLOF, The Market for Lemons: Quality Uncertainty and the Market Mechanism, cit. In argomento si rimanda alle riflessioni di P. GALLO, Contratto e buona fede. Buona fede in senso oggettivo e trasformazioni del contratto, cit., 161 ss.
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
53
delle condizioni delle auto di seconda in vendita mano comporta l’abbassamento della qualità dei beni presenti sul mercato. Pertanto, l’asimmetria informativa precontrattuale impedisce la formazione di un mercato con beni di qualità alta e medio-alta. Il secondo caso di asimmetria informativa è il comportamento nascosto, il quale si verifica successivamente alla conclusione del contratto. In questa ipotesi la parte più (o meglio) informata realizza un comportamento opportunistico post-contrattuale a danno della controparte. Essa, infatti, in conseguenza della sua condizione di inferiorità informativa, non sarà in grado di controllare che la parte più (o meglio) informata adempia in modo corretto l’obbligazione assunta. Quest’ultima, maggiormente informata, sarà infatti spinta a ricercare unicamente il proprio interesse violando il contratto. L’ipotesi del comportamento nascosto conduce così a condotte caratterizzate da azzardo morale. Un esempio di azzardo morale è invece rappresentato in generale in ogni situazione in cui si ha un rapporto principale-agente104. In tale rapporto vi è un soggetto, l’agente, che agisce per conto di un altro individuo, il principale: il principale paga l’agente affinché agisca in base alle sue direttive. Il fine dei due soggetti normalmente non coincide, in quanto il principale mira a ottenere che la condotta dell’agente raggiunga il risultato prestabilito, mentre l’agente ha l’obiettivo di essere remunerato per la sua azione. Si pone per il principale il problema di controllare che l’agente, il quale ha maggior informazioni sul proprio operato rispetto al principale, si comporti in modo conforme alle direttive di quest’ultimo. L’agente, infatti, specialmente se gli viene corrisposto ex ante l’intero corrispettivo, può attuare comportamenti post-contrattuali opportunistici a danno del principale. Un chiaro esempio di questo comportamento si ha in ambito assicurativo: una volta sottoscritto contratto di assicurazione, il proprietario dell’auto potrà essere indotto ad avere meno cura di 104
Il principale autore ad aver studiato il tema dell’asimmetria informativa in relazione al modello principale agente è stato Bengt R. Holmström. Si vedano, in particolare, B.R. HOLMSTRÖM, Moral Hazard and Observability, in Bell Journal of Economics, n. 10/1979, 74 ss., nonché B.R. HOLMSTRÖM, P. MILGROM, Multitask Principal-Agent Analyses. Incentive Contracts, Asset Ownership, and Job Design, in Journal of Law, Economics, and Organization, n. 7/1991, 24 ss.
54
CAPITOLO II
eventuali danni alla macchina, sull’assunto che tanto i danni saranno coperti dall’assicurazione. Sia nel caso di selezione avversa, sia di azzardo morale, l’approccio offerto dall’analisi economica del diritto mette in evidenza come le soluzioni all’asimmetria informativa consistano nella previsione di obblighi giuridici o di incentivi (economici ma non solo) volti alla condotta di comportamenti corretti delle parti. Fra gli incentivi economici si pensi al caso delle remunerazioni per il raggiungimento di obiettivi extra nell’ipotesi del rapporto principaleagente, nonché alla c.d. attività di segnalazione105, in base alla quale conviene al produttore comunicare (segnalare, appunto) ai possibili acquirenti le caratteristiche e le qualità del proprio prodotto, ricorrendo a campagne pubblicitarie o creando una sana reputazione commerciale. Fra gli obblighi giuridici rientrano, sul versante privatistico, i doveri di informazione in ambito pre e post-contrattuale, sia sul piano codicistico sia su quello di leggi speciali106 fra cui quella a tutela dei consumatori; sul versante pubblicistico, invece, le norme istitutive degli ordini professionali, volte a garantire livelli attendibili di professionalità107, nonché quelle che regolano l’attività delle autorità di vigilanza in ambito finanziario. In relazione al mercato ICT, l’asimmetria informativa si verifica in particolare tanto nella fase precontrattuale quanto in quella postcontrattuale, come emerge dalle riflessioni che seguono. E uno degli effetti derivanti da questa asimmetria informativa è rappresentato dal c.d. effetto lock-in. Il c.d. effetto lock-in, o in italiano effetto cattura, si verifica allorquando «un agente, un insieme di agenti, o un intero settore sono intrappolati all’interno di una scelta o di un equilibrio economici dai quali è difficile uscire, anche se sono disponibili alternative potenzialmente più efficienti»108. Tale definizione è alquanto ampia, per 105
Cfr. A.M. SPENCE, Job Market Signaling, in Quarterly Journal of Economics, cit. e ID., Market signaling. Informational transfer in hiring and related screening processes, cit. 106 Tale tematica esula dall’oggetto della presente trattazione. Nello specifico si rimanda a P. GALLO, Contratto e buona fede. Buona fede in senso oggettivo e trasformazioni del contratto, cit., 167 ss. 107 Così G. NAPOLITANO, M. ABRESCIA, Analisi economica del diritto pubblico, cit., 69. 108 Voce Lock In, in Dizionario Treccani di Economia e Finanza, 2018, in
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
55
tanto può riferirsi sia all’impresa privata – qualora essa abbia compiuto un investimento in una tecnologia di bassa qualità ma i costi per cambiare tecnologia, sommati all’investimento iniziale, rendono diseconomica la sua sostituzione – sia al soggetto pubblico, come nell’ipotesi di specie allo Stato compratore in materia di appalti di tecnologia109. In tale circostanza può accadere che l’amministrazione aggiudicatrice, dopo aver selezionato l’operatore economico fornitore di tecnologia, incorra in costi transattivi molto alti qualora decidesse di cambiare fornitore. Essa si trova, pertanto, “catturata”, locked-in, in una condizione in cui le decisioni precedentemente assunte (ovvero nella fase di scelta del contraente) si riverberano negativamente nel futuro (vale a dire anche oltre la naturale scadenza del contratto come nei casi di proroga dei contratti d’appalto). Imprese dotate di un forte potere contrattuale e di alta competenza tecnica, se comparate al livello generale medio-basso di conoscenza tecnologica e manageriale dei dipendenti pubblici110, comportano molto spesso che le stazioni appalti non abbiano le competenze necessarie per scegliere consapevolmente quale sia la tecnologia di cui esse realmente necessitino, causando una possibile duplice conseguenza. https://bit.ly/3dXHhVp. 109 In argomento si vedano, a titolo non esaustivo, G. CARULLO, Principio di neutralità tecnologica e progettazione dei sistemi informatici della pubblica amministrazione, in Cib. dir., n. 1/2020, 33 ss.; E. BOSCOLO, Consultazioni preliminari di mercato e possibili limitazioni alla concorrenza, in Giur. ita., n. 1/2020, 166 ss. per il quale le consultazioni di mercato rappresentano uno strumento per contrastare l’effetto lock-in. Si rimanda inoltre a A. VERDE, Appalti pubblici nel settore ICT: rischio di lock-in, problematiche applicative e possibili soluzioni, in MediAppalti, 14 febbraio 2020; a S. QUINTARELLI, On Rights and Competition Citizen’s Rights and Business’ Rights in a Progressively More Immaterial World, in Riv. it. di Antitrust, n. 3/2015, 8 ss.; nonché a A. LICASTRO, La riscoperta dell’abuso di dipendenza economica nell’era dei mercati digitali, in federalismi.it, n. 13/2022, 118 ss. 110 Queste alcune delle criticità rilevate in fase di esecuzione del contratto, ad esempio, dal citato rapporto di Anitec-Assinform: «[i]n questa fase le criticità segnalate riguardano la mancanza di cultura e competenze di project management nella PA, che possano consentire alle stazioni appaltanti di mantenere il controllo sui progetti e la gestione dei contenziosi, aggravata dai tempi della giustizia», ANITECASSINFORM, Il Procurement Pubblico del Digitale: dal Planning all’Execution, cit., 8.
56
CAPITOLO II
La prima conseguenza consiste nella circostanza pre cui anziché essere l’Amministrazione il soggetto che seleziona sostanzialmente e formalmente l’operatore economico che ha presentato la migliore offerta111, sia invece l’operatore economico a farsi scegliere sul piano sostanziale dall’Amministrazione, la quale invece avvallerà formalmente la decisione come propria in fase di valutazione delle offerte (tecniche). Sebbene l’art. 93 co. 2 del nuovo Codice appalti, il d.lgs. n. 36 del 2023, stabilisca che i membri della commissione di gara incaricati di valutare le offerte tecniche debbano essere soggetti «esperti nello specifico settore cui si riferisce l’oggetto del contratto»112, sul piano dell’attuazione della norma è probabile che chi dovrà esercitare tale compito possiederà un livello di competenze tecniche inferiore rispetto a quello di chi, invece, nelle varie imprese ha redatto l’offerta tecnica. Inoltre, si badi che secondo costante giurisprudenza lo “specifico settore” deve essere inteso «nel senso che la competenza ed esperienza richieste ai commissari deve essere riferita ad aree tematiche omogenee e non anche alle singole e specifiche attività oggetto dell’appalto»113, e non deve essere riferita a ciascun singolo compo 111
Valutazione che, in relazione a beni e servizi tecnologici, non può che avvenire in base al criterio dell’offerta economicamente più vantaggiosa, secondo cui la commissione di gara attribuisce all’offerta presentata da ciascun operatore economico un punteggio complessivo, dato dalla somma del punteggio relativo alla componente tecnica dell’offerta e del punteggio concernente la componente economica dell’offerta. In argomento, fra i numerosi contributi, L. FIORENTINO, I criteri di aggiudicazione, in Giorn. dir. amm., n. 6/2019, 741 ss.; A. DI CAGNO, Il criterio dell'offerta economicamente più vantaggiosa e la formula matematica per la valutazione degli elementi quantitativi, in Urb. app., n. 2/2019, 264 ss.; G. LEONE, L’offerta economicamente più vantaggiosa…non è sempre la migliore offerta, in Dir. e proc. amm., n. 3/2018, 837 ss.; S. VILLAMENA, Codice dei contratti pubblici 2016. Nuovo lessico ambientale, clausole ecologiche, sostenibilità, economicità, in Riv. giur. edil., n. 3/2017, 2, 101 ss.; L. GILI, Discrezionalità amministrativa e nuova offerta economicamente più vantaggiosa alla luce del d.lg. 50/2016, in Riv. trim. app., n. 1/2017, 229 ss.; R. CARANTA, I contratti pubblici, Giappichelli, Torino, 2012, 481 ss. In ogni caso di veda AUTORITÀ NAZIONALE ANTICORRUZIONE, Linee guida n. 2 – Offerta economicamente più vantaggiosa, agg. 2018 in https://www.anticorruzione.it/-/linee-guida-n.-2. 112 Cfr. art. 93 co. 2 d.lgs. n. 36 del 2023, che in parte ricalca quanto era già previsto dall’art. 77 co. 1 d.lgs. n. 50 del 2016. 113 Cons. Stato, sez. III, 28 marzo 2022, n. 2253. Similmente anche TAR La-
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
57
nente ma alla commissione nel suo insieme114. In ogni caso, i giudici amministrativi hanno più volte affermato che «non è richiesta […] una perfetta corrispondenza tra la competenza dei membri della commissione, anche cumulativamente considerata, ed i diversi ambiti materiali che concorrono alla integrazione del complessivo oggetto del contratto»115. Se chi deve selezionare un operatore economico per l’acquisto di un complesso software non ha una conoscenza adeguata di questo argomento, è allora ragionevole pensare che la scelta che questi sarà chiamato a compiere non sarà presa consapevolmente, ma sarà il frutto di decisioni guidate de facto da chi potrà essere scelto come fornitore. Valutare un’offerta tecnica senza essere (pienamente) in grado di comprenderla è come dover esprimere un giudizio in merito a un libro scritto in una lingua che non si conosce – o, nel migliore dei casi, che si conosce appena116. La seconda conseguenza, invece, deriva dal fatto che l’effetto lock-in può condurre a situazioni pratiche nelle quali è difficoltoso per l’Amministrazione contraente cambiare il proprio fornitore di tecnologia al termine dell’appalto o in corso d’opera, anche qualora l’oggetto del contratto non sia completamente rispondente ai fabbisogni espressi. Tali situazioni causano in primis un nocumento al principio di concorrenza e, in secondo luogo producono un possibile abbassamento del livello di qualità dell’oggetto della fornitura proprio a fronte della mancanza di concorrenza. E una ipotesi simile può ve zio, sez. II, Roma, 27 aprile 2022, n. 5107, nonché Cons. Stato, sez. V, 11 settembre 2019 n. 6135; Cons. Stato, sez. V, 18 luglio 2019, n. 5058; Cons. Stato, sez. V, 1° ottobre 2018 n. 5603; Cons. Stato, sez. V, 18 giugno 2018, n. 3721. 114 Così Cons. Stato, sez. III, 28 marzo 2022, n. 2253. 115 Ibidem, oltre a Cons. Stato, sez. V, 28 ottobre 2021, n. 7235; Cons. Stato, sez. III, 28 giugno 2019, n. 4458; e Cons. Stato, sez. III, 24 aprile 2019, n. 2638. 116 Le Istituzioni nazionali ed europee sono consapevoli di questa situazione, come emerge dalla Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni, Contro il lock-in: costruire sistemi TIC aperti facendo un uso migliore degli standard negli appalti pubblici (COM(2013) 455 final). In relazione all’ordinamento italiano cfr. AUTORITÀ NAZIONALE ANTICORRUZIONE, Linee guida n. 5 - Criteri di scelta dei commissari di gara e di iscrizione degli esperti nell’Albo nazionale obbligatorio dei componenti delle commissioni giudicatrici, agg. 2018 in https://www.anticorruzione.it/-/linee-guida-n.-5.
58
CAPITOLO II
rificarsi nell’ambito dell’acquisto di software da parte della Pubblica Amministrazione.
4.3.1. L’effetto lock-in nella valutazione delle offerte: il caso dei software proprietari Come è stato sottolineato dalla Relazione finale della Commissione parlamentare d’inchiesta sul livello di digitalizzazione e innovazione delle pubbliche amministrazioni e sugli investimenti complessivi riguardanti il settore delle tecnologie e della comunicazione117 – la Commissione istituita nel 2016 con l’obiettivo di condure un’analisi sullo “stato dell’arte” della digitalizzazione della Pubblica Amministrazione al fine di verificare il livello medio del processo di digitalizzazione su cui basare le successive politiche in questo settore – il caso dell’acquisto dei software da parte delle Amministrazioni (in particolare in riferimento al SIAN, il Sistema Informativo Agricolo Nazionale che permette la gestione degli adempimenti delle politiche agricole dell’Unione europea) riflette le dinamiche che si realizzano nelle situazioni caratterizzate dalla presenza dell’effetto lock-in118. 117
Cfr. CAMERA DEI DEPUTATI, ATTI PARLAMENTARI, XVII LEGISLATURA – Documenti – Disegni di legge e relazioni, Commissione parlamentare d’inchiesta sul livello di digitalizzazione e innovazione delle pubbliche amministrazioni e sugli investimenti complessivi riguardanti il settore delle tecnologie e della comunicazione. Relazione sull’attività svolta, Doc. XII-bis, n. 14, cit., in https://bit.ly/3ACuqzA. Si rimanda alla pagina istituzionale della Commissione parlamentare d’inchiesta sui livelli di digitalizzazione: https://bit.ly/3wGPKTm. Sul tema dei contratti avente a oggetto l’informatica nell’Amministrazione si veda, in senso ampio, F. CARDARELLI, Efficienza e razionalizzazione dell’attività amministrativa, Università di Camerino, Camerino, 1996. 118 Cfr. CAMERA DEI DEPUTATI, ATTI PARLAMENTARI, XVII LEGISLATURA – Documenti – Disegni di legge e relazioni, Commissione parlamentare d’inchiesta sul livello di digitalizzazione e innovazione delle pubbliche amministrazioni e sugli investimenti complessivi riguardanti il settore delle tecnologie e della comunicazione. Relazione sull’attività svolta, cit., 151, in cui viene espressamente sottolineato: «SIAN è […] esemplificativo del problema del lock-in, ovvero il meccanismo tramite il quale si crea un ostacolo al cambio di fornitore e quindi una limitazione alla concorrenza. Dai documenti e dalle audizioni risulta che la base applicativa sviluppata negli anni sempre dalle stesse aziende è particolarmente consistente, ma scarsamente documentata. Il rischio è che il know how sia totalmente in mano ai fornitori del sistema e che l’eventuale cambio di fornitore sia eccessivamente oneroso».
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
59
In queste circostanze, tradizionalmente le Stazioni appaltanti tendono a procedere all’acquisizione di software proprietari dietro pagamento di una licenza proprietaria d’utilizzo119: esattamente quello che accade a un consumatore privato quando procede con il download di un software dopo aver acquistato una licenza. Il software presuppone però un investimento materiale consistente innanzitutto nelle spese di formazione per il suo utilizzo120, e in secondo luogo in quelle per l’acquisto di un hardware. Qualora il software dovesse mal funzionare o necessitasse di un suo aggiornamento, l’Amministrazione contraente si rivolgerebbe naturalmente al fornitore dello stesso software121. Ma essa sarebbe spinta a rivolgersi al medesimo fornitore anche una volta terminato il contratto, posto che l’Amministrazione ha investito risorse nell’hardware e soprattutto nella formazione all’utilizzo di quello specifico software (ragionevolmente) diverso in punto di funzionalità da quelli di altri concorrenti. Se la stazione appaltante decidesse di rivolgersi a un altro fornitore, dovrebbe mettere in conto di investire nuove ingenti risorse, anche in considerazione del fatto che molto spesso i software proprietari elaborano dati che, per essere letti da altri programmi informatici 119
Come sottolineato da T. MONETTI, commento sub art. 68, in C. BOCCIA, C. CONTESSA, E. DE GIOVANNI (cur.), Codice dell’amministrazione digitale (D.lgs. 7 marzo 2005, n. 82 commentato e annotato per articolo. Aggiornato al D.lgs. 13 dicembre 2017, n. 217), cit., 292, «[s]i parla di licenze proprietarie in riferimento ai prodotti software per i quali i soggetti titolari del diritto di sfruttamento economico del software medesimo impongono alcune condizioni e limitazioni a tutela del diritto stesso, tra cui: - la licenza di un software proprietario è concessa in modo non esclusivo, dietro il pagamento di un prezzo (una tantum o canone), per un utilizzo che può essere a tempo determinato o a tempo indeterminato; la previsione secondo cui la licenza può limitare l’uso a una sola copia o a un numero determinato di copie del software, può vincolarne l’installazione su un predeterminato apparato hardware o solo in determinate sedi del licenziatario (“site license”), può non consentire l’uso condiviso in reteo limitare il numero di connessioni uniche o contemporanee (es. “core CAL”), può necessitare per il suo funzionamento della presenza di ulteriori prodotti software proprietari; - la licenza non consente la distribuzione, la modifica e ogni altra attività riservata al titolare del diritto di sfruttamento economico; - il software è distribuito in formato binario e di regola non viene fornito il c.d. codice sorgente, trattandosi di segreto commerciale». 120 È necessario cioè insegnare al personale dipendente pubblico, destinatario del software, come usarlo. 121 La manutenzione è generalmente prevista in apposite clausole contrattuali.
60
CAPITOLO II
proprietari, necessitano di un apposito lavoro di pulizia e migrazione di dati – con costi aggiuntivi correlati. Ecco che, allora, si producono quelle condizioni per cui l’amministrazione contraente viene “spinta” a non cambiare fornitore122. Il legislatore italiano ha provato a intervenire sul punto introducendo una norma del Codice dell’amministrazione digitale (CAD)123 che rappresenta un decalogo, rivolto alle stazioni appaltanti, da seguire nell’ipotesi in cui avessero necessità di un software per soddisfare un fabbisogno pubblico. Questa norma ha stabilito che, in tal caso, le Pubbliche Amministrazioni devono acquisire programmi informatici (o sue parti) scegliendo fra le varie opzioni presenti sul mercato, effettuando una «valutazione comparativa di tipo tecnico ed economico»124 nel rispetto dei princìpi di economicità, di efficienza, di tutela degli investimenti, di riuso e neutralità tecnologica. Il CAD, però, nell’elencare le diverse opzioni che il mercato offre, induce le Amministrazioni a preferire talune scelte anziché altre, dato che la decisione che le stazioni appaltanti sono chiamate a compiere devono basarsi su tre importanti criteri125. Da un lato, l’Amministrazione non deve soltanto considerare il costo del software come mera espressione del suo prezzo di acquisto, ma deve tener conto che in esso rientrano anche i costi di implementazione, di mantenimento e supporto. In secondo luogo, la scelta deve preferire soluzioni di tipo aperto (cioè di natura non proprietaria), che siano così interoperabili anche con altri programmi. Infine, la scelta deve basarsi sul livello di garanzia offerto dal fornitore in merito alla sicurezza informatica del prodotto e alla sua conformità alla disciplina della protezione dei dati personali. Fra le varie ipotesi offerte dal mercato, perciò, la norma126 impone che la stazione appaltante debba innanzitutto verificare se 122
Chiara in proposito A. VERDE, Appalti pubblici nel settore ICT: rischio di lock-in, problematiche applicative e possibili soluzioni, cit. 123 Cfr. art. 68 d.lgs. n. 82 del 2005. Si veda a riguardo T. MONETTI, commento sub art. 68, in C. BOCCIA, C. CONTESSA, E. DE GIOVANNI. (cur.), Codice dell’amministrazione digitale (D.lgs. 7 marzo 2005, n. 82 commentato e annotato per articolo. Aggiornato al D.lgs. 13 dicembre 2017, n. 217), cit., 290 ss. 124 Cfr. art. 68 co. 1 d.lgs. n. 82 del 2005. 125 Cfr. art. 68 co. 1-bis lett. a), b) e c) d.lgs. n. 82 del 2005. 126 Cfr. art. 68 co. 1 d.lgs. n. 82 del 2005.
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
61
all’interno di altre Pubbliche Amministrazioni siano già stati adottati software commissionati per il settore pubbliche che possano essere riutilizzati per soddisfare i propri fabbisogni. In caso negativo, l’Amministrazione deve dunque ricorrere a software aperti (c.d. open software) o a software con codice sorgente aperto. Se anche questa ipotesi per ragioni varie non è realizzabile, allora la stazione appaltante è tenuta commissionare lo sviluppo del software sulle proprie specifiche esigenze, con la precisazione che esso venga tuttavia sviluppato con standard aperti, cosicché possano essere riutilizzati anche da altre Pubbliche Amministrazioni qualora ne avessero bisogno127. Soltanto come ultima opzione128, afferma il CAD129, l’Amministrazione aggiudicatrice può procedere all’acquisto di software proprietari dietro il pagamento di una licenza di utilizzo130. Incentivando l’adozione di software aperti131 e disincentivando il ricorso a software proprietari, il legislatore punta in tal modo a creare in generale un circolo virtuoso basato sull’Opennes (che passa anche 127
Cfr. art. 69 d.lgs. n. 82 del 2005. Sul punto T. MONETTI, commento sub art. 69, in C. BOCCIA, C. CONTESSA, E. DE GIOVANNI. (cur.), Codice dell’amministrazione digitale (D.lgs. 7 marzo 2005, n. 82 commentato e annotato per articolo. Aggiornato al D.lgs. 13 dicembre 2017, n. 217), cit., 293 ss. 128 Si veda in ogni caso art. 68 co. 1 lett. d) e f) d.lgs. n. 82 del 2005. 129 Cfr. art. 68 co. 1-ter d.lgs. n. 82 del 2005. 130 Cfr. art. 68 co. 1 lett. e) d.lgs. n. 82 del 2005. 131 In argomento si vedano S. DEL GATTO, I sistemi proprietari, l’open source e la pubblica amministrazione, in Giorn. dir. amm., n. 5/2021, 571 ss.; G. BAJO, Open Software e Pubblica Amministrazione: online le linee guida sull’acquisizione e il riuso del software, in Team per la Trasformazione Digitale – Medium, 2018, in https://bit.ly/2J7Kn4E; F. MARABINI, La tutela giuridica del “software” e l’“open source”, in Cib. dir., 2/2017, 405 ss.; M. RICOLFI, M. VAN EECHOUD, F. MORANDO, P. TZIAVOSZ, L. FERRAO, The “Licensing” of Public Sector Information, in Inf. dir., n. 1-2/2011, 129 ss.; F. MARTINI, Open source, pubblica amministrazione e libero mercato concorrenziale, in Dir. econ., 3-4/2009, 677 ss. Si vedano in proposito anche AGID, Linee Guida su acquisizione e riuso di software per le pubbliche amministrazioni, 2019, in https://bit.ly/3cybbzp. Un esempio di tipo di licenza non proprietaria è rappresentata dalle licenze Creative Commons, in relazione a cui si rimanda a M. TRAVOSTINO, Le licenze Creative Commons, in M. DURANTE, U. PAGALLO (cur.), Manuale di informatica giuridica e diritto delle nuove tecnologie, UTET, Torino, 2012, 201 ss. Più in generale, in tema di “apertura” come approccio si rimanda a S. ROSSA, Contributo allo studio delle funzioni amministrative digitali. Il processo di digitalizzazione della Pubblica Amministrazione e il ruolo dei dati aperti, cit.
62
CAPITOLO II
tramite l’impiego di software aperti). Virtuosismo che, nel particolare, evita che vi siano condizioni in grado di realizzare l’effetto lockin. Quello del software nella Pubblica Amministrazione e della sua disciplina è solamente uno fra i possibili e concreti esempi di come si possa riequilibrare un rapporto, quale quello fra lo Stato compratore e gli operatori economici fornitori di tecnologia, sbilanciato a favore del settore privato. Una disciplina che, tuttavia, sconta importanti difficoltà d’attuazione. 5. Riflessioni riassuntive: uno Stato debole dipendente da pochi fornitori di tecnologia Da quanto ricostruito nei paragrafi precedenti, è emerso come il mercato ICT rifletta le proprietà della tecnologia dell’informazione e della comunicazione derivanti dal modello di sviluppo dell’economia capitalista, connotato da una rapida e costante evoluzione tecnica che richiede ininterrotti investimenti crescenti. Questa circostanza ha fatto sì che nel mercato della tecnologia si sviluppassero alcune imprese che, in pochi anni, hanno rapidamente conquistato ampie fette di mercato, concentrando così l’offerta tecnologia e divenendo veri e propri colossi industriali, in grado delle volte di opporsi al potere pubblico132 o, altre, di essere difficilmente controllabili133. Tali società 132
Si pensi, ad esempio, alla vicenda accaduta pochi anni fa negli Stati Uniti d’America e relativa alla c.d. strage di San Bernardino, California, in cui un terrorista uccise quattordici persone prima di rimanere ucciso. Nonostante il giudice del caso in questione (United States v. Apple Mac Pro Computer, 851 F.3d 238, 248 & n. 7 (3.d Cir. 2017)) avesse ordinato ad Apple di collaborare con l’FBI, creando una versione del sistema operativo che consentisse di installare una backdoor nello smartphone del terrorista deceduto e permettendo così agli inquirenti di entrare in possesso dei dati ivi presenti (evitando di bloccare definitivamente il device, cosa che accade se si sbaglia ripetutamente l’inserimento del pin d’accesso), Apple si è rifiutata di ottemperare all’ordine del giudice, sulla base di asserite impossibilità tecniche a compiere tale operazione e avanzando motivazioni in merito alla tutela dei cittadini e del loro diritto alla riservatezza (legato al venir meno dell’inviolabilità del dispositivo). Per riflessioni giuridiche in materia penalistica si veda invece F.N. RICOTTA, Questioni sull’utilizzo della backdoor a scopo di investigazione, in Cass. Pen., n. 7-8/2022, 2836 ss. In argomento si vedano anche le riflessioni di M. SALA,
DIRITTO AMMINISTRATIVO E PROFILI CRITICI DELLA CYBERSICUREZZA
63
hanno dunque acquisito un potere rilevante che esercitano contrattualmente anche nei confronti dello Stato grazie al divario informativo che intercorre fra esse e il settore pubblico. Come osservato da A. Gehlen, una spinta fondamentale al progresso tecnico è derivata dalla nascita del capitalismo, favorito dunque dal cambiamento delle condizioni socioeconomiche della storia. Da quel momento in avanti, gli inventori-imprenditori, divenuti negli anni capitani d’industria, acquisiscono un posto centrale nella società grazie alle loro attività d’impresa, al punto di essere visti come «novelli Prometei»134 che si assumono i rischi (d’impresa) per creare migliori condizioni (collettive). L’impresa inizia a contendersi con lo Stato il dominio dello sviluppo tecnologico, favorita dalla realizzazione di ingenti profitti derivanti dalla vendita dei beni tecnologici e che superano le risorse investite. In base a questa visione, lo sviluppo della tecnologia non si fonda più esclusivamente, come in precedenza, su ragioni pubbliche belliche, ma trova una sua accelerazione sulla possibilità di realizzazione di profitti privati. Sennonché, con l’inizio del processo di digitalizzazione lo Stato e i poteri pubblici hanno visto ulteriormente incrementare la propria debolezza a vantaggio delle poche ma grandi imprese private produttrici di tecnologia, vere e proprie potenze economiche135. Un aspetto che si concretizza in particolare nell’ambito della cybersicurezza in relazione alla produzione e alla gestione di reti e infrastrutture digitali con cui i soggetti pubblici devono esercitare funzioni pubbliche o La crittografia al centro dello scontro tra Apple e FBI, in Gnosis, n. 2/2016, 138 ss. In questi casi, dunque, vi è un soggetto privato che non ottempera all’ordine di un giudice sia in forza della sua capacità tecnica – ovvero: se anche fosse stato possibile sul piano tecnico compiere una tale operazione, soltanto Apple e nessun altro avrebbe potuto fare quello che il giudice richiese – sia in ragione della sua potenza economica. 133 Un esempio può essere rappresentato dal c.d. caso Cambridge Analytica, una società di consulenza britannica che aveva utilizzato i dati di decine di milioni di utenti di Facebook a fini di propaganda elettorale. 134 In tal senso L. DOLZA, Storia della tecnologia, cit., 190. 135 Sulla rilevanza economica delle Big Tech e comparata a quella delle grandi industrie manifatturiere e delle industrie non tecnologiche si rimanda a M.R. FERRARESE, Poteri nuovi, cit., 140 ss. che sottolinea altresì la grande distinzione sul piano dell’occupazione di lavoratori e dunque sugli effetti sul mercato del lavoro.
64
CAPITOLO II
prestare servizi pubblici, poiché si riverbera inevitabilmente sulle dinamiche dell’acquisto pubblico della tecnologia cyber. Essendo chiamate a fronteggiare una situazione quale quella descritta, le Istituzioni hanno delineato e adottato un modello di politica di cybersicurezza pubblica fondato sulla logica del controllo del soggetto privato. Un modello che, come si analizzerà nel capitolo successivo, pone in evidenza tutti i propri limiti, poiché, riflettendo le medesime complicazioni che derivano dalle caratteristiche proprie del mercato della tecnologica, l’azione pubblica di controllo risulta essere nella realtà un’arma spuntata proprio in conseguenza del menzionato diverso potere contrattuale e del divario informativo fra il controllato (privato) e il controllore (pubblico).
CAPITOLO III LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA: FRA UNIONE EUROPEA E ORDINAMENTO NAZIONALE SOMMARIO: 1. La disciplina multilivello “verticale” della cybersicurezza pubblica. – 2. La nascita della disciplina sulla cybersicurezza pubblica: la strumentalità fra protezione delle infrastrutture digitali e protezione delle infrastrutture fisiche e il legame (nazionale) fra cybersecurity e intelligence. – 3. Lo sviluppo della disciplina della cybersicurezza pubblica: l’approccio normativo plurisettoriale. – 4. L’ottimizzazione della disciplina della cybersicurezza pubblica: la definizione dell’architettura istituzionale – 4.1. La centralità dell’ENISA nel contesto europeo, quale punto di connessione fra gli organi europei della cybersicurezza e quelli dei Paesi membri – 4.2. La centralità dell’Agenzia per la Cybersicurezza Nazionale nel contesto italiano e il persistente legame con il Presidente del Consiglio dei Ministri. – 5. L’architettura multilivello nel rapporto fra l’ENISA e le Agenzie nazionali di cybersicurezza pubblica (e i limiti dell’attuale disciplina). – 6. L’esigenza di un approccio complementare alla cybersicurezza pubblica: fra dimensione multilivello “verticale” e dimensione “orizzontale”.
1. La disciplina multilivello “verticale” della cybersicurezza pubblica Evidenziate le caratteristiche del mercato tecnologico, le quali incidono sul contesto della cybersecurity pubblica1 e sull’acquisto pub 1
In argomento si vedano A. CONTALDO, D. MULA (cur.), Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, Pacini, Pisa, 2020; B. CAROTTI, Sicurezza cibernetica e Stato-Nazione, in Giorn. dir. amm., n. 5/2020, 629 ss.; B. BRUNO, Cybersecurity tra legislazioni, interessi nazionali e mercato: il complesso equilibrio tra velocità, competitività e diritti individuali, in federalismi.it, n. 14/2020; L. FIORENTINO, Verso un sistema integrato di sicurezza: dai poteri speciali al perimetro cibernetico, in G. DELLA CANANEA, L. FIORENTINO (cur.), I “poteri speciali” del Governo nei settori strategici, Editoriale Scientifica, Napoli, 2020, 39 ss.; S. MELE, Gli scenari attuali della guerra all’informazione, in G. ZICCARDI, P. PERRI (cur.), Tecnologia e diritto, Voll. III, Giuffrè, Milano, 2019, 271 ss.; A. TETI, Cyber espionage e cyber counterintelligence. Spionaggio e controspionaggio ciberneti-
66
CAPITOLO III
blico di beni e servizi ICT relativi alle reti e alle infrastrutture digitali usate anche dai soggetti pubblici al fine di soddisfare l’interesse pubblico, è necessario ricostruire la disciplina giuridica della cybersicurezza pubblica. L’architettura della disciplina della cybersecurity riflette le peculiarità proprie del fenomeno in esame. Un fenomeno contraddistinto da azioni virtuali poste in essere in un non-luogo2 (il cyberspace) ma che producono effetti concreti in uno spazio reale che soltanto in parte coincide con quello del territorio statale. Conseguentemente, le risposte nazionali che i singoli Stati possono fornire si dimostrano spesso li co, Rubettino, Soveria Mannelli, 2018; E. MINNITI, Cyber-spazio ed intelligence: le nuove frontiere della sovranità nazionale, in Forum di Quaderni Costituzionali, n. 6/2016; A. GUARDA, Alla ricerca della sicurezza: società, regole e tecnologie digitali, in R. CASO, Sicurezza informatica: regole e prassi, Atti del Convegno tenuto presso la Facoltà di Giurisprudenza di Trento il 6 maggio 2005, Università degli Studi di Trento, 2006. Interessante anche il documento della PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA DELLA REPUBBLICA, Relazione annuale al Parlamento sulla politica dell’informazione per la sicurezza, 2021, 38 ss. In chiave comparata A. LAURO, Sicurezza cibernetica e organizzazione dei poteri: spunti di comparazione, in Rivista del gruppo di Pisa, n. 3/2021. In lingua inglese P. CORNISH, The Oxford Handbook of Cyber Security, Oxford University Press, Oxford, 2021. In relazione agli studi più recenti L. PREVITI, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, in federalismi.it, n. 25/2022, 65 ss.; E.C. RAFFIOTTA, Cybersecurity Regulation in the European Union and the Issues of Constitutional Law, in Rivista AIC, n. 4/2022, 1 ss. Sia consentito il rimando a S. ROSSA, Administrative Law Reflections on Cybersecurity, and on Its Institutional Actors, in the European Union and Italy, in Italian Journal of Public Law, Vol. 14, n. 2/2022, 426 ss. 2 In tal senso I. FORGIONE, Il ruolo strategico dell’Agenzia Nazionale per la Cybersecurity nel contesto del sistema di sicurezza nazionale: organizzazione e funzione, fra regolazione europea e interna, in Dir. amm., n. 4/2022, 113, la quale richiamando C. SCHMITT, Il Nomos della terra nel diritto internazionale dello Jus Public Europeaum, Adelphi, Milano, 1991, 25 ss., sottolinea come tale spazio virtuale incida sulla concezione classica del territorio quale presupposto della sovranità statale e, dunque, del potere pubblico, come già affermato da U. FORTI, Il diritto dello Stato sul territorio, in Arch. Dir. pubbl., 1902. Tuttavia, proprio in riferimento alla cybersicurezza, non mancano opinioni circa la non utilità del concetto territorio-sovranità in questo ambito: in tal senso A. ASSAF, D. MOSHNIKOV, INTERNATIONAL LAW IN THE DIGITAL AGE RESEARCH AND STUDY GROUP, Contesting sovereignty in cyberspace, in Int. Cybersecur. Law Rev., n. 1/2020, 115 ss.
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
67
mitate ed inefficaci, risultando invece necessaria l’adozione di strategie sovranazionali più ampie3. Questa è la ragione per la quale la cybersicurezza è disciplinata sul piano dell’Unione europea in una logica strategica multilivello che coinvolge tutti i Paesi membri. Come si avrà modo di approfondire nel corso della trattazione, l’approccio europeo è fondamentale. Da un lato, esso stabilisce una cornice giuridica minima comune che deve essere attuata nei diversi ordinamenti nazionali, relativa all’istituzione di specifici organismi nazionali (es. agenzie nazionali di cybersicurezza) e di omogeneizzazione dei processi e dei controlli cyber, volti a stabilire standard minimi di sicurezza informatica. Dall’altro, svolge un ruolo di coordinamento dell’azione sinergica delle diverse istituzioni pubbliche europee e di quelle dei Paesi membri4, e dei soggetti privati che operano in questo settore, nonché di condivisione delle informazioni e di scambio di buone pratiche con questi ultimi. 2. La nascita della disciplina sulla cybersicurezza pubblica: la strumentalità fra protezione delle infrastrutture digitali e protezione delle infrastrutture fisiche e il legame (nazionale) fra cybersecurity e intelligence Gli Stati e le Organizzazioni mondiali fin dal principio hanno contrastato il terrorismo, anche se è soltanto dopo gli attentati dell’11 settembre 2001 che gli sforzi pubblici per combatterlo iniziano a essere rivolti tanto alla tutela delle infrastrutture critiche materiali quanto a quella delle infrastrutture digitali e delle comunicazioni. Questa 3
Come messo in luce fra gli altri già da A. GIDDENS, (Ed.), The Global Third Way Debate, Polity, Cambridge, 2001. 4 Sul tema della limitata capacità dello Stato di governare fenomeni sovranazionali di portata ampia, a fronte dei quali paiono più adatte le risposte che possono essere date da organismi sovranazionali, si rimanda J.B. AUBY, La bataille de San Romano. Réflexions sur les évolutions récentes du droit administratif, in Actualité Juridique Droit Administratif, n. 11/2001; S. CASSESE, Lo spazio giuridico globale, Laterza, Roma-Bari, 2003; più recentemente anche C. FRANCHINI, La pubblica amministrazione e il diritto amministrativo tra diritto europeo e diritto globale, in AA.VV., Scritti in onore di Eugenio Picozza, Vol. I, Editoriale Scientifica, Napoli, 2019, 751 ss.
68
CAPITOLO III
tendenza, che si sviluppa negli USA e in particolare nell’Unione europea5, nasce a partire da una diffusa maggior consapevolezza della portata del processo di digitalizzazione6, nonché dalla circostanza per la quale la sicurezza delle reti e dei sistemi ICT7 risultava ormai essere fondamentale per proteggere strumentalmente le infrastrutture fisiche con cui prestare i servizi ai cittadini8. L’esigenza di difendere le infrastrutture informative e di comunicazione9 da eventuali attacchi si è tradotta in una politica unionale mirata principalmente, in questa prima fase, a creare un organismo europeo specializzato nell’ambito della cybersicurezza. Infatti, ai preposti organismi10 istituiti per contrastare i crimini nel territorio euro 5
In argomento si vedano C. CENCETTI, Cybersecurity: Unione europea e Italia. Prospettive a confronto, Edizioni Nuova Cultura – Quaderni dell’Istituto Affari Internazionali, Roma, 2014, fino alle politiche approvate al 2014, nonché A. CONTALDO, L. SALANDRI, La disciplina della cybersecurity nell’Unione europea, in A. CONTALDO, D. MULA (cur.), Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, cit., 1 ss. per quelle successive. 6 Cfr. Comunicazione della Commissione dell’8 marzo 2000 (COM(2000)130) e Comunicazione della Commissione del 28 maggio 2002 (COM(2002)263). 7 Si noti che un primo quadro normativo comune per le reti e i servizi di comunicazione elettronica fu stabilito dalla Direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002 e dalla Direttiva 2002/22/CE, la quale aveva imposto agli Stati membri di adottare le misure necessarie per garantire l’integrità e la disponibilità della rete telefonica pubblica in postazione fissa e alle imprese fornitrici di servizi telefonici accessibili al pubblico in postazione fissa di adottare tutte le misure ragionevolmente possibili per garantire l’accesso ininterrotto ai servizi di emergenza. 8 Cfr. Comunicazione della Commissione europea del 26 gennaio 2001 (COM (2000)890) e Comunicazione della Commissione del 6 giugno 2001 (COM(2001)298), la quale evidenziò ai Paesi membri il bisogno di aumentare la consapevolezza della protezione nell’ambito della Network and Information Security. 9 In tal senso, ad esempio, la Comunicazione della Commissione europea del 26 settembre 2003 (COM (2003)567). Si veda inoltre il documento del Consiglio dell’Unione europea, Un’Europea sicura in un mondo migliore. Strategia europea in materia di sicurezza, 12 dicembre 2003. Come evidenziato da C. CENCETTI, Cybersecurity: Unione europea e Italia. Prospettive a confronto, cit., 25, la Strategia del 2003 fu oggetto di un tentativo di suo aggiornamento nel 2008 – tentativo che rimase però tale: cfr. Relazione sull’attuazione della strategia europea in materia di sicurezza. Garantire sicurezza in un mondo in piena evoluzione (S407/08) dell’11 dicembre 2008. 10 In argomento si veda a titolo esemplificativo E. CHITI, European Agencies’
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
69
peo e a vigilare sulla sicurezza pubblica11 – si pensi all’European Police Office12 (c.d. EUROPOL), all’European Union Agency for Criminal Justice Cooperation13 (c.d. EUROJUST), all’European Union Agency for Law Enforcement Training14 (c.d. CEPOL) e all’attuale European Border and Coast Guard Agency15 (c.d. FRONTEX) – è stata affiancata l’European Network and Information Security Agency (c.d. ENISA, con sede ad Atene), oggi nota come European Union Agency for Cybersecurity16, istituita da quello che è considerato il primo atto normativo in materia di cybersicurezza pubblica, il Regolamento (CE) n. 460/200417. Rulemaking: Powers, Procedures and Assessment, in European Law Journal, 2013, 93 ss.; M. BUSUIOC, European Agency: Law and Practices of Accountability, Oxford University Press, Oxford, 2013; M. CHAMON, EU Agencies. Legal and political limits to the transformation of the EU administration, Oxford University Press, Oxford, 2016; F. COMAN-KUND, European Union Agencies as Global Actors, Routledge, London, 2018; J. ALBERTI, Le agenzie dell’Unione europea, Giuffrè, Milano, 2018. 11 Sull’argomento E. CHITI, Le sfide della sicurezza e gli assetti nazionali ed europei delle forze di polizia e di difesa, in Dir. amm., n. 4/2016, 511 ss.; L.S. ROSSI, From EU Pillar to Area: The Impact of the Lisbon Treaty on the External Dimension of Freedom, Security and Justice, in Dir. UE, n. 4/2011, 999 ss.; E. CHITI, B.G. MATTARELLA, La sicurezza europea, in Riv. trim. dir. pubbl., n. 2/2008, 305 ss. In generale e sul piano amministrativo, in relazione alle agenzie nell’ordinamento europeo E. CHITI, Le agenzie europee. Unità e decentramento nelle amministrazioni europee, CEDAM, Padova, 2002. 12 In argomento, ex multis, M. BUSUIOC, M. GROENLEER, Beyond Design: The Evolution of Europol and Eurojust, in Amsterdam Law School Research Paper, n. 9/2011. 13 A riguardo L. CAMALDO, La metamorfosi di Eurojust in agenzia dell’Unione europea per la cooperazione giudiziaria penale, in Cass. Pen., n. 7/2019, 2708 ss. 14 Questo organo fino al 2016 era noto come European Police College. Si veda CEPOL, Contributing to European police cooperation through learning, Publications Office of the European Union, Luxembourg, 2010. 15 Sul punto EUROPEAN AGENCY FOR THE MANAGEMENT OF OPERATIONAL COOPERATION AT THE EXTERNAL BORDERS, Frontex. Libertas, securitas, justitia, Publications Office of the European Union, Luxembourg, 2009, nonché G. CAMPESI, Polizia della frontiera. Frontex e la produzione dello spazio europeo, DeriveApprodi, Roma, 2015. 16 Il sito web istituzionale dell’ENISA è consultabile al link https://www.enisa.europa.eu/. 17 Regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio. Questo Regolamento venne approvato il giorno prima degli attentati di Madrid dell’11 marzo 2004 che rappresentano, insieme a quelli di Parigi del 13 novembre
70
CAPITOLO III
Con l’istituzione dell’ENISA, la cybersecurity viene così vista, dapprima, come una materia tecnica, demandata di fatto a un organo dotato – in questa fase iniziale – soltanto di competenze consultive a favore di Stati e istituzioni europee18. In parallelo alla creazione di questa Agenzia, le Istituzioni europee acquisirono progressivamente19 maggior consapevolezza20 circa la necessità di promuovere la cultura della cybersicurezza21. A tal fine intervennero modificando il previgente quadro normativo in materia di reti e i servizi di comunicazione elettronica, grazie all’approvazione della Direttiva 2009/140/CE 22, con la quale esse mirarono a incrementare i livelli di integrità e sicurezza cibernetica delle reti23, in particolare grazie al ruolo dell’ENISA e alla sua crescente attività di soggetto coordinatore delle politiche nazionali di cybersicurezza. La Direttiva, in particolare, stabilì che fossero gli Stati i soggetti tenuti ad assicurare che le imprese fornitrici e gestrici delle reti pubbliche di comunicazione digitale rendessero queste ultime sempre accessibili ai cittadini e che adottassero misure tecniche adeguate onde prevenire i cyber attacchi alle reti; nel caso di 2015, gli attacchi terroristici più sanguinosi avvenuti sul suolo dell’Unione europea. 18 Cfr. Considerando 10) e art. 1 co. 2 e 4 Regolamento (CE) n. 460/2004. 19 Si vedano altresì la Comunicazione della Commissione del 30 marzo 2009 (COM (2009)149); la Comunicazione della Commissione del 31 marzo 2011 (COM (2011)163); nonché le conclusioni del Consiglio dell’Unione europea del 19 maggio 2011 (10299/11). 20 Si consideri, infatti, che con l’approvazione della Direttiva 2008/114/CE del Parlamento europeo e del Consiglio dell’8 dicembre 2008 furono individuate in modo specifico le varie infrastrutture critiche nell’Unione europea (c.d. European Critical Infrastructures – ECI), ovvero quelle infrastrutture il cui danneggiamento o la cui distruzione avrebbe avuto un significativo impatto su almeno due Stati membri la cui responsabilità sarebbe ricaduta in capo ai singoli Paesi membri (e non in capo all’Unione europea) e ai proprietari delle infrastrutture. La Direttiva 2008/114/CE, tuttavia, si riferiva unicamente a quelle infrastrutture critiche relative all’ambito dei trasporti e dell’energia, senza ricomprendere quelle legate alle tecnologie dell’informazione e della comunicazione: questo aspetto condizionava negativamente la portata della norma a fronte dello stretto legame intercorrente fra infrastrutture fisiche e digitali. Come si avrà modo di approfondire nel corso della trattazione, la Direttiva 2008/114/CE è stata recentemente abrogata dalla Direttiva (UE) 2022/2557 (c.d. Direttiva CER) del 14 dicembre 2022. 21 Cfr. Comunicazione della Commissione del 2006 (COM(2006) 251). 22 Cfr. Direttiva 2009/140/CE del Parlamento europeo e del Consiglio del 25 novembre 2009. 23 Cfr. Considerando 44) Direttiva 2009/140/CE.
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
71
attacchi, esse avrebbero dovuto informare prontamente le autorità nazionali di regolamentazione, le quali, in quanto organismi competenti, avrebbero adottato le misure più congrue per fronteggiare i casi specifici24. È tuttavia merito della Comunicazione della Commissione Un’agenda digitale europea25 l’aver esplicitato l’imprescindibile ruolo delle tecnologie della comunicazione e dell’informazione per il conseguimento degli obiettivi che l’Unione europea si era prefissata di raggiungere come crescita nel decennio 2010-202026. Nell’agenda emergeva l’attenzione alla cybersecurity strumentalmente alla protezione del mercato digitale europeo; in particolare, si sottolineava la necessità di implementare la sicurezza delle reti informatiche tramite l’istituzione di squadre di pronto intervento informatico (in inglese Computer Emergency Response Team, CERT) nonché ridisegnando i compiti e il funzionamento dell’ENISA27. Nel febbraio 2013 venne adottata, invece, la Strategia dell’Unione europea per la sicurezza cibernetica28. Con l’esplicito obiettivo di rendere il cyberspazio aperto e libero, al pari della realtà “non virtuale”, onde garantire i diritti fondamentali, la democrazia e lo Stato di diritto29, le Istituzioni europee dettarono alcuni principi generali per regolare a tal fine le interazioni nel cyberspace, ma stabilirono in particolare alcune azioni e priorità strategiche da intrapren 24
Così anche A. CONTALDO, L. SALANDRI, La disciplina della cybersecurity nell’Unione europea, in A. CONTALDO, D. MULA (cur.), Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, cit., 37. 25 Comunicazione della Commissione del 19 maggio 2010 (COM (2010)245 def). 26 Cfr. Comunicazione della Commissione del 3 marzo 2010 (COM(2010)def). 27 Cfr. Comunicazione della Commissione del 19 maggio 2010 (COM (2010)245 def.), punto 2.3. Cfr. Comunicazione della Commissione del 22 novembre 2010 (COM (2010)673), Obiettivo 3 Azione 3. Questi punti programmatici furono attuati pochi anni dopo, rispettivamente nel 2011, allorquando venne istituito il Computer Emergency Response Team of the European Union, il c.d. CERTEU, e nel 2013 e nel 2019 con le modifiche alla disciplina dell’ENISA. 28 Comunicazione congiunta della Commissione e dell’Alto Rappresentante dell’Unione europea per gli affari esteri e la politica di sicurezza del 7 febbraio 2013 (JOIN (2013) 1 final). 29 In argomento si rimanda alle riflessioni di S. MELE, C. NERI, Ecco la prima cyber-security strategy dell’Unione Europea, in formiche.net, 12 febbraio 2013.
72
CAPITOLO III
dere nel settore della sicurezza30, fra cui il raggiungimento della condizione di cyberresilienza, grazie alla cooperazione dei soggetti istituzionali e di quelli privati onde contrastare gli attacchi cyber in ottica transfrontaliera; la diminuzione del cybercrimine; lo sviluppo di una politica e una capacità di cyberdifesa connesse alla Politica di sicurezza e di difesa comune tramite il coinvolgimento del settore pubblico, di quello privato e dei centri di ricerca; lo sviluppo di risorse industriali e tecnologiche per la cybersicurezza, promuovendo un mercato unico di prodotti cyber e rafforzando gli investimenti in ricerca e sviluppo. È necessario, infine, porre in evidenza come la Strategia abbia sottolineato il ruolo centrale dei singoli Stati membri nel settore della cybersicurezza, in quanto soggetti che, in base al principio di sussidiarietà in senso verticale, possono agire con maggior efficacia ed efficienza in caso di attacchi digitali sul proprio territorio; nonché la preziosa funzione di coordinamento delle Istituzioni europee – anche a livello internazionale – sui temi della cybersecurity31. Unitamente alla Strategia dell’Unione europea per la sicurezza cibernetica, nel settembre 2013 il Parlamento europeo approvò la Risoluzione 2013/2606(RSP)32, con la quale i Paesi membri furono invitati ad adottare strategie nazionali di cybersicurezza coordinate a livello europeo33; e nello stesso anno la Commissione europea presentò una proposta di Direttiva34 in materia di sicurezza delle reti e dell’informazione (in inglese Network and Information Security), al fine di far adottare ai singoli Stati membri una disciplina minima comune in detta materia35. Questa proposta verrà accolta alcuni anni 30
Cfr. Comunicazione congiunta della Commissione e dell’Alto Rappresentante dell’Unione europea del 7 febbraio 2013 (JOIN(2013) 1 final), punti 2.1.-2.5. 31 Cfr. Comunicazione congiunta della Commissione e dell’Alto Rappresentante dell’Unione europea del 7 febbraio 2013 (JOIN(2013) 1 final), punti 3 e 3.1. 32 Risoluzione del Parlamento europeo del 12 settembre 2013 (2013/2606(RSP)). 33 Cfr. Risoluzione del Parlamento europeo del 12 settembre 2013 (2013/2606(RSP)), lett. L) punto 5. 34 Comunicazione della Commissione del 7 febbraio 2013 (COM(2013) 48 final). 35 Il tema della Politica Europea di Sicurezza e Difesa (PESD), strumento principe della Politica Estera e di Sicurezza Comune (PESC) dell’Unione Europea, pur intrecciandosi in senso ampio con la cybersicurezza, dato che concerne più il cyberspazio anziché le infrastrutture critiche digitali, per ragioni sistematiche non sarà af-
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
73
dopo con l’approvazione della Direttiva (UE) 2016/1148 (c.d. NIS, Network and Information Security). È in questo contesto europeo appena ricostruito che si innesta la prima disciplina italiana in materia di cybersicurezza36, formata da atti di natura regolamentare. Il primo modello organizzativo-funzionale in questo ambito venne delineato durante il Governo presieduto da Mario Monti con il DPCM del 24 gennaio 201337, volto a tutelare la sicurezza nazionale attraverso la protezione cibernetica delle infrastrutture critiche materiali e immateriali. Per raggiungere il fine preposto, il decreto previde l’adozione, da un lato, del Quadro strategico nazionale per la sicurezza dello spazio cibernetico, il quale evidenziava le tendenze evolutive relative alle minacce e al livello di vulnerabilità di reti e sistemi informativi di interesse nazionale, stabiliva le funzioni degli attori (privati e pubblici) operanti nel settore e individuava le modalità procedurali con cui sviluppare l’attività italiana di prevenzione e risposta ad attacchi cibernetici. E dall’altro lato, prevedeva il Piano nazionale per la protezione cibernetica e la sicurezza informatica38, che stabiliva, in frontato nella presente trattazione. In relazione a questo argomento bastino i rimandi, senza pretesa di esaustività, a E. CARLI, La politica di sicurezza e difesa comune dell’Unione Europea, Giappichelli, Torino, 2019; P. FORADORI, La politica europea di sicurezza e difesa. L’Unione Europea nel nuovo rodine globale, Carocci, Roma, 2010; P. MARIANI, Le relazioni internazionali dell’Unione europea. Aspetti giuridici della politica estera, di sicurezza e difesa comune, Giuffrè, Milano, 2005; R. MENOTTI, P. BRANDIMARTE, Il difficile cammino della PESD: sviluppi in corso e prospettive, in G. VACCA (cur.), Il dilemma euroatlantico. Rapporto 2004 della Fondazione Istituto Gramsci sull’integrazione europea, Dedalo, Bari, 2004, 277 ss.; L. BONANATE, Politica e diritto nella formazione della politica estera dell’Unione europea, Torino, Giappichelli, 2002. 36 In argomento si vedano F. PELUSO, La disciplina italiana in tema di cybersecurity, in A. CONTALDO, D. MULA, (cur.), Cybersecurity Law, cit., 119 ss. e A. RENZI, La sicurezza cibernetica: lo stato dell’arte, in Giorn dir. amm., n. 4/2021, 538 ss. La trattazione tralascerà il Decreto del Capo della Polizia del 7 agosto del 2008, il quale, ottemperando al Decreto del Ministro dell’Interno del 9 gennaio 2008 ha formalizzato il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC). 37 Decreto del Presidente del Consiglio dei Ministri 24 gennaio 2013 (atto non più in vigore). 38 Si veda PRESIDENZA DEL CONSIGLIO DEI MINISTRI, Piano nazionale per la protezione cibernetica e la sicurezza informatica, dicembre 2013.
74
CAPITOLO III
vece, gli obiettivi cyber da raggiungere e le linee di azione da attuare per dare attuazione al Quadro strategico nazionale39. Nel modello architetturale previsto dal DPCM del 24 gennaio 2013, un ruolo centrale veniva esercitato dal Comitato interministeriale per la sicurezza della Repubblica (CISR)40 e soprattutto dal Nucleo per la sicurezza cibernetica41, il quale aveva il compito principale di raccordo fra i vari attori che operavano nel settore della cybersecurity, ma era chiamato anche ad agire in ordine alla prevenzione, alla preparazione ad eventuali situazioni di crisi, nonché all’elaborazione di azioni di risposte e ripristino nei casi di crisi di cybersicurezza42. Risultano dunque evidenti i legami fra il CISR e il Nucleo per la sicurezza cibernetica con il comparto di intelligence, posto che il primo era coadiuvato nella sua attività da un apposito organismo di supporto presieduto dal Direttore generale del Dipartimento delle informazioni per la sicurezza (DIS)43, mentre il secondo era costituito permanentemente presso l’Ufficio del Consigliere militare del Presi 39
Cfr. art. 3 lett. a) e b) DPCM 24 gennaio 2013. Il Comitato interministeriale per la sicurezza della Repubblica è l’organo deputato a svolgere le attività di consulenza, proposta e deliberazione sugli indirizzi e sulle finalità generali in materia di politica dell’informazione per la sicurezza. Esso è composto dal Presidente del Consiglio dei Ministri, dall’Autorità delegata, dal Ministro degli Affari Esteri, dal Ministro dell’Interno, dal Ministro della Difesa, dal Ministro della Giustizia, dal Ministro dell’Economia e delle Finanze, dal Ministro dello Sviluppo Economico, dal Direttore generale del Dipartimento delle informazioni per la sicurezza (ed eventualmente anche dal Direttore generale dell’Agenzia per la cybersicurezza nazionale per questioni relative alla cybersicurezza). Questo organo è stato disciplina dalla legge quadro sul comparto di intelligence e sulla disciplina del segreto di Stato, la legge n. 124 del 2007, successivamente modificata in modo significativo dalla legge n. 133 del 2012. Si veda in ogni caso l’art. 5 l. n. 124 del 2007. 41 Cfr. art. 8 DPCM 24 gennaio 2013. 42 Cfr. art. 9 DPCM 24 gennaio 2013. All’interno del Nucleo era inoltre istituito il Nucleo interministeriale situazione e pianificazione (NISP), costituente il tavolo interministeriale di crisi cibernetica, la cui azione era mirata ad assicurare la funzione coordinata, in base agli obiettivi pianificati, di reazione e stabilizzazione di competenza fra le varie pubbliche amministrazioni nell’ipotesi di crisi cibernetica, oltre assicurare il flusso informativo fra gli organi coinvolti e il Presidente del Consiglio dei Ministri. Il NISP poteva avvalersi dell’aiuto tecnico del Computer Emergency Response Team (CERT) italiano, allora istituito presso il Ministero dello sviluppo economico. 43 Cfr. art. 5 DPCM 24 gennaio 2013. 40
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
75
dente del Consiglio dei Ministri ed era composto da un rappresentante del DIS, uno dell’AISE, uno dell’AISI, oltre che da quelli di specifici ministeri. La presenza di questi attori sottolinea l’importanza rivestita dal reparto dell’intelligence in materia di cybersecurity in questa prima fase di regolamentazione di una disciplina che, a ben vedere, differisce in modo sostanziale e concettuale da quella su servizi segreti. Un riflesso di questo aspetto si nota nella circostanza per cui il Quadro strategico e il Piano nazionale erano atti di approvazione del Presidente del Consiglio dei Ministri44, figura a cui compete l’esclusiva «alta direzione e la responsabilità generale della politica dell’informazione per la sicurezza»45. Alcuni anni dopo, le Istituzioni italiane intervennero emendando la disciplina del DPCM del 24 gennaio 2013 con l’approvazione del DPCM del 17 febbraio 201746. I punti della precedente disciplina oggetto di modifica si rivelarono essere in realtà pochi, posto che il DPCM del 2017 mantenne sostanzialmente l’impianto precedente. Le principali novità47 riguardarono il CISR: le funzioni di questo organo non cambiarono, ma si aggiunse la previsione secondo cui il CISR, in caso di situazioni di crisi che coinvolgevano aspetti di sicurezza nazionale, poteva essere convocato dal Presidente del Consiglio dei ministri con funzioni deliberative48. 44
Ai sensi dell’art. 4 co. 1 DPCM 24 gennaio 2013, il CISR, per quanto concerneva il Quadro strategico, aveva il compito di proporne l’adozione al Presidente del Consiglio e di elaborarne gli indirizzi generali da perseguire, mentre in relazione al Piano nazionale svolgeva l’attività di sua deliberazione ai fini dell’adozione ed esercitava l’alta vigilanza sulla sua attuazione. Oltre a ciò, il CISR aveva il potere di formulare proposte di intervento normativo ed organizzativo per potenziare le misure di prevenzione e di risposta alla minaccia cibernetica e di gestione delle crisi conseguenti, oltre a svolgere l’attività di partecipazione a livello d’Unione europea, di NATO e di cooperazione internazionale volta all’adozione delle iniziative comuni in materia di cybersicurezza. 45 Art. 1 co. 1 lett. a) legge n. 124 del 2007. 46 Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017. 47 Il DPCM del 17 febbraio 2017 intervenne, da un lato, abolendo il Nucleo interministeriale situazione e pianificazione (NISP); dall’altro, prevedendo l’eliminazione della partecipazione del Consigliere miliare del Presidente del Consiglio dei Ministri alle riunioni del CISR, divenuto il CISR tecnico. 48 Cfr. art. 4 co. 1 DPCM 17 febbraio 2017 e art. 7-bis co. 5 decreto-legge n. 174 del 2015, conv. mod. legge n. 198 del 2015.
76
CAPITOLO III
Il DPCM del 17 febbraio 2017, a seguito del quale venne adottato il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica49, introdusse, però, alcune norme che rafforzavano il legame con l’intelligence nell’ambito della cybersicurezza. Fu infatti stabilito che il Direttore generale del DIS dovesse adottare le iniziative necessarie volte a definire le linee di azione di interesse generale finalizzate a incrementare la sicurezza cibernetica di reti e sistemi informatici, al fine di tutelare la sicurezza nazionale50. Venne prevista, inoltre, l’eliminazione del Consigliere militare del Presidente del Consiglio dei Ministri dal Nucleo per la sicurezza cibernetica, ora costituito in seno al DIS51. Quanto ricostruito fino a qui consente di porre in evidenza come, nell’ambito del contesto europeo, la primissima disciplina italiana sulla cybersecurity si sia sviluppata nell’alveo dei servizi di intelligence. Questa affermazione è avvalorata dalla fonte impiegata dalle Istituzioni italiane nel disciplinare un ambito fino a quel momento inesplorato: il Decreto del Presidente del Consiglio dei Ministri. La scelta della fonte regolamentare discende dal ruolo del Presidente del Consiglio dei Ministri quale organo a cui spetta la funzione di alta direzione e di responsabilità generale della politica dell’informazione per la sicurezza, tipica del settore dell’intelligence: in tale veste che questi, infatti, può emanare le disposizioni ritenute necessarie per il funzionamento e l’organizzazione del Sistema di informazione per la sicurezza della Repubblica anche in riferimento all’ambito della cybersicurezza, come confermato anche dalla novella del 2012 alla legge sul comparto intelligence52. Al di là della scelta di ricorrere al DPCM, il legame fra cybersicurezza e servizi segreti emerge altresì dalla compagine degli organismi istituiti in questo ambito, il CISR e il Nucleo 49
Si veda PRESIDENZA DEL CONSIGLIO DEI MINISTRI, Piano nazionale per la protezione cibernetica e la sicurezza informatica, marzo 2017. Come è stato evidenziato dalla dottrina, questo nuovo documento ha sottolineato l’opportunità di implementare un sistema di cyber risk management e l’introduzione di organismi di certificazione della cybersecurity. In tal senso A. RENZI, La sicurezza cibernetica: lo stato dell’arte, cit., 539. 50 Cfr. art. 6 DPCM 17 febbraio 2017. 51 Cfr. art. 8 co. 1 DPCM 17 febbraio 2017. 52 Cfr. art. 1 co. 3-bis legge n. 124 del 2007, introdotto dall’articolo 1, co. 1, legge n. 133 del 2012.
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
77
per la sicurezza cibernetica, i cui componenti sono espressione dell’Esecutivo e, soprattutto, del comparto intelligence. Il legame fra questi due ambiti è stato dunque funzionale all’elaborazione istituzionale della cybersicurezza come settore che, sebbene sia nato in seno al comparto dei servizi di informazione, si è in breve tempo emancipato da questo sia a fronte della specificità della cybersecurity, sia in conseguenza di specifiche scelte normative53. 3. Lo sviluppo della disciplina della cybersicurezza pubblica: l’approccio normativo plurisettoriale Come ripercorso, nel 2013 la Commissione europea presentò una proposta di Direttiva (COM (2013) 48 final del 7 febbraio 2013) in materia di sicurezza delle reti e dell’informazione al fine di adottare nei singoli Stati membri una disciplina minima comune in materia. Tale proposta si concretizzò con l’approvazione della Direttiva (UE) 2016/1148 (c.d. Direttiva NIS, Network and Information Security)54. Come sostenuto da parte della dottrina, per la prima volta il tema della cybersicurezza viene declinato con una logica plurisettoriale e non più (mono)settoriale, in modo separato a seconda dell’ambito preso ad oggetto55 (es. cybercrimine, protezione delle infrastrutture critiche, diplomazia cibernetica56, ecc.). Con questo atto, al fine di rendere più funzionali e sicuri i meccanismi di mercato in una logica 53
In argomento sia consentito richiamare le riflessioni contenute in S. ROSSA, Administrative Law Reflections on Cybersecurity, and on Its Institutional Actors, in the European Union and Italy, cit. 54 Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio del 6 luglio 2016. Per una sua analisi si veda L.V.M. SALAMONE, La disciplina del cyberspace alla luce della direttiva europea delle reti e dell’informazione, in federalismi.it, n. 23/2017, 2 ss. 55 In tal senso L. SALANDRI, A. CONTALDO, La nuova disciplina giuridica c.d. “orizzontale” della cybersicurezza per le infrastrutture in un’ottica di sviluppo dei sistemi informativi, in Rivista amministrativa della Repubblica italiana, n. 1112/2016, 567 ss. 56 Cfr. Comunicazione congiunta della Commissione europea e dell’Alto Rappresentante dell’Unione europea per gli affari esteri e la politica di sicurezza al Parlamento europeo e al Consiglio del 13 settembre 2017 (JOIN(2017)450 final).
78
CAPITOLO III
di approccio sinergico unionale57, il legislatore europeo ha imposto agli Stati membri l’adozione di una disciplina comune minima in materia di sicurezza delle reti e dei sistemi informativi58, stabilendo obblighi in capo agli Stati membri e in capo alle imprese, nonché istituendo alcuni organi volti alla funzione di scambio di informazioni e di cooperazione fra gli attori coinvolti. Per quanto attiene agli obblighi previsti, innanzitutto, è stato imposto a ciascun Paese UE l’adozione di una strategia nazionale in materia di sicurezza di reti e sistemi informativi, grazie alla quale prevedere, da un lato, l’individuazione di una serie di misure finalizzare al raggiungimento di specifici obiettivi e misure strategiche e regolamentari «opportune» per stabilire – e mantenere nel tempo – un alto livello di sicurezza delle reti e dei sistemi informativi in relazione ad alcuni settori d’intervento minimi, lasciando però agli Stati la facoltà di prevederne di ulteriori59. Più nel dettaglio, fra queste misure60 la strategia ha previsto l’istituzione di «un quadro di governance» per conseguire i suddetti obiettivi; la predisposizione di misure di preparazione, risposta e recupero, che prevedano altresì un rapporto collaborativo fra tutti i soggetti coinvolti, abbiano essi natura pubblica o privata – soggetti contenuti in un apposito elenco; l’identificazione di programmi di formazione, sensibilizzazione e istruzione, nonché di piani di ricerca e sviluppo, in materia di strategia di sicurezza delle reti e dei sistemi informativi; infine, la stesura di un piano di valutazione dei rischi. In considerazione della portata innovativa della strategia, la Direttiva NIS ha previsto la facoltà, per gli Stati membri, di richiedere l’assistenza dell’ENISA in forza della sua natura consultiva61. Inoltre, proprio al fine di armonizzare questo ambito considerato strategico, i Paesi membri sono tenuti a comunicare la propria strategia alla Commissione, potendo, tuttavia, omettere quegli elementi sensibili per la propria sicurezza nazionale62. Oltre all’adozione della strategia nazionale in materia di sicurezza 57
Cfr. in particolare Considerando 1), 3) e 6) Direttiva (UE) 2016/1148. Cfr. art. 1 co. 1 Direttiva (UE) 2016/1148. 59 Cfr. artt. 1 co. 2 lett. a) e 7 co. 1 Direttiva (UE) 2016/1148. 60 Cfr. art. 7 co. 1 Direttiva (UE) 2016/1148. 61 Cfr. art. 7 co. 2 Direttiva (UE) 2016/1148. 62 Cfr. art. 7 co. 3 Direttiva (UE) 2016/1148. 58
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
79
delle reti e dei sistemi informativi, nell’ottica di delineare un apposito quadro di governance del settore, agli Stati è imposto di istituire alcuni organi nazionali operanti in questo ambito, individuando organismi già esistenti o istituendoli ex novo: un’Autorità nazionale competente in materia, incaricata di controllare l’applicazione uniforme sul territorio nazionale della disciplina introdotta dalla Direttiva NIS; un punto di contatto unico, con il compito di curare la cooperazione e la comunicazione transfrontaliera nell’ambito cyber di fare da collegamento, da un lato, fra l’autorità nazionale competente e quelle degli altri Paesi membri e, dall’altro, con il Cooperation Group (gruppo di cooperazione) e con il CSIRTs Network (la rete di CSIRT); infine, uno o più Computer Security Incident Response Team (CSIRT)63, incaricati della gestione cyber delle reti e dei sistemi informativi secondo una procedura standardizzata e omogenea a livello unionale, prevedendo, individuando, rispondendo e attenuando possibili rischi e incidenti64. Come emerso fin qui, nell’ambito della cybersicurezza risulta essenziale la cooperazione fra gli attori coinvolti e lo scambio informativo, stante gli effetti transfrontalieri derivanti dai possibili rischi e incidenti informatici in relazione a cui l’adozione di soluzioni nazionali o bilaterali risulterebbero inidonee e inutili65. Questa è la ragione per la quale la Diretta NIS ha agito altresì sul versante della creazione di 63
Cfr. art. 1 co. 2 lett. e) Direttiva (UE) 2016/1148. Si badi che in base al Considerando 34) del testo inglese della Direttiva in esame, il Computer Security Incident Response Team (CSIRT) è soprapposto al Computer Emergency Response Team (CERT) di cui si è scritto in precedenza in nota, pur essendo due organi distinti. 64 Si badi che secondo la definizione data dall’art. 4 num. 7) e 9) Direttiva (UE) 2016/1148, per “incidente” si intende «ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi», mentre per “rischio” «ogni circostanza o evento ragionevolmente individuabile con potenziali effetti pregiudizievoli per la sicurezza della rete e dei sistemi informativi». In particolare, fra i compiti del CSIRT nazionale sono ricompresi il monitoraggio degli incidenti informatici a livello domestico; l’emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti coinvolte in relazione a rischi e incidenti informatici; il pronto intervento in caso di incidente informatico; l’analisi dinamica dei rischi e degli incidenti informatici, oltre alla «sensibilizzazione situazionale»; infine, la partecipazione alla rete dei CSIRT. 65 Cfr. Considerando 6) e 24) Direttiva (UE) 2016/1148.
80
CAPITOLO III
appositi organismi volti a ciò: il gruppo di cooperazione66, incaricato di favorire e sostenere la cooperazione strategica, lo scambio di informazioni, di buone pratiche e di esperienze concrete fra i Paesi membri nel settore in esame, incrementando così il livello di fiducia della risposta delle Istituzioni pubbliche, onde raggiungere un livello elevato e comune di sicurezza delle reti e dei servizi informativi in tutta l’Unione europea67; e la rete di gruppi di intervento per la sicurezza informatica in caso di incidente, la c.d. rete CSIRT68, con l’obiettivo di promuovere una cooperazione di natura operativa fra i rappresentanti dei CSIRT dei Paesi membri e il CERT-UE. Fra i compiti spettanti alla rete CSIRT, legati principalmente al menzionato scambio di informazioni e pratiche, vi è la formulazione di orientamenti finalizzati a promuovere pratiche operative comuni69. Nel settore della cybersecurity, dunque, la collaborazione fra gli attori coinvolti, siano essi soggetti pubblici o privati, risulta essere preziosa e imprescindibile. La Direttiva NIS ha pertanto imposto alcune norme rivolte agli operatori di servizi essenziali70 e ai fornitori di servizi digitali71, relative a specifici obblighi di sicurezza e di notifica di incidenti, che si concretizzano in particolare nell’adozione di misure organizzative e tecniche adeguate e proporzionate di protezione delle proprie reti e dei propri sistemi informativi, onde prevenire e minimizzare eventuali rischi e incidenti; qualora questi ultimi dovessero succedere, tali soggetti sono chiamati ad adottare misure 66
Cfr. art. 1 co. 2 lett. b) Direttiva (UE) 2016/1148. Cfr. art. 11 co. 1 e 3 Direttiva (UE) 2016/1148. A tal fine, il gruppo è composto dai rappresentati degli Stati membri, dell’ENISA e della Commissione europea (e se del caso anche degli attori privati coinvolti). 68 Cfr. art. 1 co. 2 lett. c) Direttiva (UE) 2016/1148. 69 Cfr. art. 12 co. 3 Direttiva (UE) 2016/1148. 70 Gli operatori di servizi essenziali sono quei soggetti che forniscono un servizio, ritenuto essenziale per il mantenimento di attività sociali ed economiche fondamentali, tramite la rete o tramite sistemi informativi e in relazione a cui un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio, anche con ricadute transfrontaliere. Cfr. art. 5 co. 2 Direttiva (UE) 2016/1148. 71 Cfr. Considerando 7) Direttiva (UE) 2016/1148. Risultano tuttavia sottratti alle norme della Direttiva NIS le imprese fornitrici di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico, posto che esse sono attenzionati dalla Direttiva 2002/21/CE, e i prestatori di servizi fiduciari, in relazione a cui si applicano le norme del Regolamento (UE) n. 910/2014 67
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
81
per minimizzarne gli effetti informando celermente le autorità pubbliche preposte72. Nell’ordinamento italiano la Direttiva (UE) 2016/1148 è stata recepita dal decreto legislativo n. 65 del 18 maggio 201873, che ha sostanzialmente trasposto il testo della Direttiva NIS74 recependone la disciplina senza particolari innovazioni75. Per quanto attiene al primo obbligo imposto dalla Direttiva NIS, la normativa italiana di recepimento ha previsto l’adozione della Strategia nazionale sicurezza cibernetica76. Anche in questo caso, tale Strategia nazionale contiene esattamente gli elementi previsti dal testo europeo77, vale a dire gli obiettivi e le priorità in materia di cybersecurity, il quadro di governance volto a perseguire i predetti obiettivi e priorità, unitamente ai ruoli e alle responsabilità degli attori pubblici e privati; le misure di preparazione, risposta e recupero, inclusa la collaborazione tra i settori pubblico e privato; i programmi di formazione, sensibilizzazione e istruzione concernenti la strategia in materia di sicurezza delle reti e dei sistemi informativi; i piani di ricerca e sviluppo; il piano di valutazione dei possibili rischi; l’elencazione dei vari soggetti coinvolti nella sua attuazione. A fronte del suo contenuto, la Strategia nazionale di sicurezza cibernetica corrispondeva sul piano sostanziale con quanto contenuto nei due documenti previsti dal DPCM del 17 febbraio 2017, il Quadro strategico nazionale per la 72
Cfr. art. 1 co. 2 lett. d) e artt. 14 e 16 Direttiva (UE) 2016/1148. Decreto legislativo 18 maggio 2018, n. 65. In argomento anche F. PELUSO, La disciplina italiana in tema di cybersecurity, in A. CONTALDO, D. MULA, (cur.), Cybersecurity Law, cit., 126 ss. 74 Così L. TOSONI, Direttiva NIS, così è l’attuazione italiana (dopo il recepimento): i punti principali del decreto, in Agenda digitale.eu, 15 gennaio 2021, il quale sottolinea pertanto esservi stato un «approccio abbastanza soft» del Governo italiano. 75 Richiamando quanto già ricostruito in precedenza circa quanto stabilito dalla Direttiva (UE) 2016/1148, si è detto di come la disciplina europea prevedesse alcuni servizi e settori minimi di intervento, lasciando ai singoli Paesi membri la facoltà di stabilirne di ulteriori: la scelta compiuta dalle Istituzioni italiane è stata quella di non aggiungere nuovi settori e servizi. Cfr. infatti gli Allegati 2 e 3 d.lgs. n. 65 del 2018 con gli Allegati II e III della Direttiva (UE) 2016/1148. paragrafo 2.1.2. del presente Capitolo III. 76 Cfr. art. 6 d.lgs. n. 65 del 2018. 77 Cfr. art. 7 co. 1 Direttiva (UE) 2016/1148 e art. 6 co. 2 d.lgs. n. 65 del 2018. 73
82
CAPITOLO III
sicurezza dello spazio cibernetico e il Piano nazionale per la protezione cibernetica e la sicurezza informatica78. La disciplina italiana ha ottemperato anche al secondo obbligo imposto dalla Direttiva NIS, relativo alla designazione di autorità nazionali competenti. Il legislatore italiano, nel testo originario del decreto legislativo, aveva infatti proceduto a designare quali autorità competenti NIS specifici Ministeri in relazione a precisi settori di riferimento individuato dalla normativa europea e trasposta in quella italiana79. Oltre a ciò, il d.lgs. n. 65 del 2018 aveva designato altresì il Dipartimento delle informazioni per la sicurezza (DIS) quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi80, incaricato delle attività di collegamento ai fini di cooperazione transfrontaliera fra le autorità italiane competenti NIS e quelle di altri Paesi membri, oltre che con il gruppo di cooperazione europeo e con la rete di CSIRT81. Il menzionato decreto, oltre a introdurre sul piano normativo il Computer Security Incident Response Team italiano, il c.d. CSIRT nazionale82, ha altresì previsto alcuni obblighi in capo ai soggetti privati, in aderenza a quanto disposto dalla Direttiva NIS. In particolare, 78
Cfr. in proposito http://www.sicurezzacibernetica.it/it/db/ncss/Italy/index.php. Come si avrà modo di porre in evidenza nel corso della trattazione, a seguito delle modifiche apportate al d.lgs. n. 65 del 2018 dal d.l. n. 82 del 2021, e dalla sua legge di conversione n. 109 del 2021, la Strategia nazionale di sicurezza cibernetica è ora definita Strategia nazionale di cybersicurezza 2022-202678, con la quale si perseguono tre importanti obiettivi: proteggere gli asset strategici nazionali sul piano della sicurezza cibernetica, rispondere alle possibili minacce e fronteggiare eventuali incidenti e crisi nazionali relative alla cybersecurity, nonché sviluppare le tecnologie digitali sicure sul piano cibernetico. 79 In particolare: il Ministero dello sviluppo economico per il settore dell’energia, per quello delle infrastrutture digitali e per i servizi digitali; il Ministero delle infrastrutture e dei trasporti per il settore dei trasporti; il Ministero dell’economia e delle finanze per il settore bancario e per quello delle infrastrutture dei mercati finanziari; il Ministero della salute per l’attività di assistenza sanitaria; infine, il Ministero dell’ambiente e della tutela del territorio e del mare, da un lato, e le Regioni e le Province autonome di Trento e di Bolzano, dall’altra, per il settore fornitura e distribuzione di acqua potabile. Cfr. art. 7 d.lgs. n. 65 del 2018 testo originario pubblicato sulla G.U.R.I. 80 Cfr. art. 7 co. 3 d.lgs. n. 65 del 2018 testo originario pubblicato sulla G.U.R.I. 81 Cfr. art. 7 co. 4 e 5, art. 10 e art. 11 d.lgs. n. 65 del 2018. 82 Cfr. art. 8 d.lgs. n. 65 del 2018.
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
83
la disciplina italiana ha imposto agli operatori di servizi essenziali83 e ai fornitori di servizi digitali84 di adottare misure organizzative e tecniche «adeguate e proporzionate» per evitare, fronteggiare e gestire eventuali rischi di attacchi cyber alla propria rete o ai propri sistemi digitali, nonché per minimizzare gli effetti derivanti da incidenti cibernetici in grado di coinvolgere la sicurezza della rete e dei sistemi digitali impiegati per fornire, da un lato, i servizi essenziali e, dall’altro, i servizi digitali85. A tal fine, gli operatori di servizi essenziali e i fornitori di servizi digitali86 devono notificare «senza ingiustificato ritardo» al CSIRT italiano gli eventuali incidenti che abbiano un rilevante impatto sulla continuità dell’erogazione dei servizi essenziali forniti e di quelli digitali87. Per la determinazione dell’impatto dell’incidente si impiegano i medesimi parametri descritti dalla disciplina europea e, nello specifico per i fornitori di servizi digitali, quelli previsti dal Regolamento di esecuzione (UE) 2018/151 della Commissione, del 30 gennaio 201888. Sul rispetto di tali obblighi vigila 83
Si veda l’art. 4 co. 2 d.lgs. n. 65 del 2018«[i] criteri per l’identificazione degli operatori di servizi essenziali sono i seguenti: a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali; b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; c) un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio; b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; c) un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio». 84 In base all’art. 3 co. 1 lett. i) d.lgs. n. 65 del 2018, un fornitore di servizio digitale è una «qualsiasi persona giuridica che fornisce un servizio digitale». Ai sensi dell’allegato 3 al decreto in questione, essi sono imprese che operano nel mercato online e che offrono servizi di ricerca web (i c.d. motori di ricerca online) e di cloud computing. Come ha sottolineato A. RENZI, La sicurezza cibernetica: lo stato dell’arte, cit., 541 «[l]a particolare attenzione non solo per gli OSE [operatori di servizi essenziali] ma anche per i FSD [fornitori di servizi digitali] trova piena giustificazione in ottica di transizione digitale. Entro il 2026, infatti, almeno il settantacinque percento dell’amministrazione dovrebbe utilizzare servizi cloud. Questo, però, rende necessario un altissimo livello di sicurezza delle infrastrutture di raccolta, conservazione, condivisione e riutilizzo dei dati nell’erogazione dei servizi». 85 Cfr. art. 12 co. 1 e 2 e art. 14 co. 3 d.lgs. n. 65 del 2018. 86 Come è stato sottolineato, per i soggetti diversi dagli operatori di servizi essenziali e dai fornitori di servizi digitali non vige tale obbligo. In tal senso A. RENZI, La sicurezza cibernetica: lo stato dell’arte, cit., 541-542. 87 Cfr. artt. 12 co. 5 e 14 co. 4 d.lgs. n. 65 del 2018. 88 Regolamento di esecuzione (UE) 2018/151 della Commissione del 30 gennaio 2018.
84
CAPITOLO III
l’autorità competente NIS e, nell’ipotesi di violazione i suddetti attori privati incorrono nell’irrogazione di sanzioni amministrative89. 4. L’ottimizzazione della disciplina della cybersicurezza pubblica: la definizione dell’architettura istituzionale A seguito del percorso normativo intrapreso dall’Unione europea e dagli Stati membri dal 2019 in poi, nell’ambito della cybersecurity pubblica si è avuta una significativa spinta in avanti. Nell’aprile di tale anno, infatti, il Parlamento europeo e il Consiglio approvarono una fra le discipline europee più significative in questo settore: il Regolamento (UE) 2019/881, c.d. Cybersecurity Act90. La ragione che ha condotto le Istituzioni europee a emanare questo atto coincide con la necessità di aggiornare (parte del)la precedente disciplina a fronte dello sviluppo tecnologico e della grande diffusione delle ICT nella società, aspetti che richiesero di giungere a un livello più elevato di cybersicurezza91 per garantire il corretto funzionamento del mercato interno92. Il Cybersecurity Act, che non incide sulla competenza degli Stati membri in materia di pubblica sicurezza, di difesa, di sicurezza nazionale e delle attività nell’ambito del diritto penale93, contiene in sé due discipline legate fra loro ma concettualmente distinte. La prima di esse modifica significativamente la struttura e i compiti istituzionali 89
Cfr. artt. 20 e 21 d.lgs. n. 65 del 2018. Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019”. Legata a questo regolamento è la Comunicazione della Commissione del 16 dicembre 2020 (JOIN(2020) 18 final). Per un’analisi del Regolamento in questione si vedano F. C AMPARA, Il Cybersecurity Act, in A. C ONTALDO, D. M ULA (cur.), Cybersecurity Law , cit., 57 ss., mentre in lingua inglese C. K OHLER, The EU Cybersecurity Act and European Standard: An Introduction to the Role of European Standardization, in International Cybersecurity Law Review, n. 1/2020, 7 ss.; A. M ITRAKAS, The emerging EU framework on cybersecurity certification , in Datenschutz und Datensicherheit, n. 7/2018, 411 ss.; Z. B EDERNA Z. R AJNAI, Analysis of the cybersecurity ecosystem in the European Union, in Int. Cybersec. Law Rew., n. 3/2022, 35 ss. 91 Cfr. Considerando 2) e 3) Regolamento (UE) 2019/881. 92 Cfr. art. 1 co. 1 primo periodo Regolamento (UE) 2019/881. 93 Cfr. art. 1 co. 2 primo periodo Regolamento (UE) 2019/881. 90
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
85
dell’ENISA94, abrogando in tal modo il Regolamento (UE) n. 526/2013 che era precedentemente intervenuto nell’abrogazione del Regolamento (CE) n. 460/2004 istitutivo dell’European Network and Information Security Agency. La seconda disciplina, invece, introduce un quadro comune europeo per la certificazione della cybersicurezza di prodotti, servizi e processi ICT95, sul quale ci si soffermerà nel capitolo successivo. 4.1. La centralità dell’ENISA nel contesto europeo, quale punto di connessione fra gli organi europei della cybersicurezza e quelli dei Paesi membri Come ripercorso, il Regolamento (CE) 2004/460 aveva delineato l’ENISA come una agenzia con compiti “limitati”, in quanto essi erano prettamente di natura tecnico-consultiva ed erano esercitati a favore delle Istituzioni europee e dei Paesi membri in tema di sicurezza informatica96. Il cambiamento tecnologico e la crescente necessità di proteggere le infrastrutture digitali da attacchi e incidenti, rendendo il sistema maggiormente cyber resiliente97, hanno spinto così il legislatore europeo a modificare le funzioni e l’organizzazione dell’ENISA98, la quale diviene un vero e proprio «centre of network and information security expertise for the EU, its member states, the private sector and EU citizens»99. Il Cybersecurity Act, infatti, attribuisce all’ENISA due importanti funzioni: da un lato, quello di realizzare e conseguire un «elevato livello comune di cybersicurezza in tutta l’Unione, anche sostenendo 94
Cfr. art. 1 co. 1 lett. a) e artt. 3-45 Regolamento (UE) 2019/881. Cfr. art. 1 co. 1 lett. b) Regolamento (UE) 2019/881. 96 Cfr. artt. 2 e 3 Regolamento (CE) 2004/460. 97 Il riferimento è al Regolamento (UE) 2019/881. 98 Si consideri, infatti, che inizialmente l’ENISA era stata istituita come Agenzia temporanea di durata quinquennale (cfr. art. 27 Regolamento (CE) 2004/460). La sua durata è stata successivamente prorogata in più occasioni (cfr. Regolamento (CE) 2008/1007, il Regolamento (UE) 580/2011 e il Regolamento (UE) 526/2013), fino alla sua trasformazione ad Agenzia permanente: cfr. art. 68 Regolamento (UE) 2019/881. 99 EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY, Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity, 2018, 1. 95
86
CAPITOLO III
attivamente gli Stati membri, le istituzioni, gli organi e gli organismi dell’Unione nel miglioramento della cibersicurezza»100; dall’altro quello di ridurre la frammentazione nel mercato interno europeo in materia di cybersicurezza, promuovendo una politica unionale di settore101. A tal fine, i compiti attribuiti a questa Agenzia concernono specifiche tipologie di attività: 1) l’assistenza a istituzioni, organi e organismi dell’Unione, nonché a Stati membri, nell’elaborazione e nell’attuazione di politiche dell’Unione relative alla cibersicurezza, anche con azioni di supporto tecnico102; 2) la cooperazione operativa, il coordinamento e la condivisione di informazioni relative alla cybersecurity a livello di Unione tra gli Stati membri, le istituzioni, gli organi e gli organismi dell’Unione e i portatori di interessi del settore pubblico e privato, nonché fra Unione europea, Paesi terzi e organizzazioni internazionali103, anche coordinando vere e proprie esercitazioni internazionali di cybersicurezza che coinvolgono Agenzie e attori dei diversi Paesi membri104; 3) lo sviluppo delle competenze e conoscenze nel campo della cybersicurezza105; 4) nonché la promo 100
Cfr. art. 3 Regolamento (UE) 2019/881. Come è stato messo in evidenza da F. CAMPARA, Il Cybersecurity Act, in A. CONTALDO, D. MULA (cur.), Cybersecurity Law, cit., 73 la Corte di Giustizia dell’Unione europea si espresse favorevolmente circa il ruolo dell’ENISA di promozione di politiche europee comuni a sostegno del mercato interno europeo in favore dei Paesi membri: cfr. infatti Corte di Giustizia dell’Unione europea (Grande Sezione), 2 maggio 2006, United Kingdom of Great Britain and Northern Ireland v European Parliament and Council of the European Union (Causa C-217/04). 102 Cfr. artt. 4 e 5 Regolamento (UE) 2019/881. Ai sensi dell’artt. 62 par. 5 e 22 par. 4 del predetto Regolamento, spetta all’ENISA l’attività di assistenza, in favore della Commissione europea, nelle funzioni di segretariato del gruppo europeo per la certificazione della cibersicurezza (ECCG), nonché nelle funzioni di segretariato del gruppo dei portatori di interessi per la certificazione della cibersicurezza (SCCG). 103 Cfr. artt. 4, 7, 9 e 12 Regolamento (UE) 2019/881. 104 L’ultima esercitazione europea si è svolta nel giugno 2022 e ha riguardato la protezione della cybersicurezza delle reti e dei sistemi informativi impiegati nel campo della sanità. Cfr. EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY, Cyber Europe 2022: Testing the Resilience of the European Healthcare Sector, Press Release, 9 giugno 2022. 105 Cfr. artt. 4 e 6 Regolamento (UE) 2019/881. 101
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
87
zione e lo sviluppo della politica dell’Unione in materia di certificazione della sicurezza cibernetica dei prodotti e servizi tecnologici106. A fronte di queste nuove funzioni, emerge in modo evidente come l’ENISA non sia più soltanto una agenzia europea tecnicoconsultiva, ma sia divenuta una vera e propria agenzia operativa nel settore della sicurezza informatica107. Aspetto rafforzato altresì dal ripensamento della sua organizzazione interna, attualmente composta da una struttura di cinque organi108: il consiglio di amministrazione, formato da due membri nominati dalla Commissione europea da un membro nominato da ciascun Paese membro e incaricato della funzione di verifica dell’aderenza dell’azione dell’ENISA al suo regolamento esecutivo e dell’approvazione di atti di governance109; il comitato direttivo, composto da cinque membri nominati tra i componenti del consiglio di amministrazione con il compito di assistere il consiglio di amministrazione tramite l’elaborazione degli atti che il consiglio di amministrazione stesso adotta110; il direttore esecutivo, il quale, pur rispondendo al consiglio di amministrazione, svolge le proprie funzioni di direzione e responsabilità dell’Agenzia in modo indipendente dagli altri organi dell’ENISA111; il gruppo consultivo, formato da soggetti esperti dotati di riconosciute competenze, il cui compito è rappresentare i vari portatori di interesse (es. gli attori privati del campo ICT) in relazione alle tematiche che li vedono coinvolti112; infine, la rete di funzionari nazionali di collegamento con l’Agenzia, composta da rappresentanti di tutti i Paesi membri con il
106
Cfr. artt. 4, 8, 10 e 11 Regolamento (UE) 2019/881. In tal senso anche R. BRIGHI, P.G. CHIARA, La cybersecurity come bene pubblico: alcune riflessioni normative a partire dai recenti sviluppi nel diritto dell’Unione Europea, in federalismi.it, n. 21/2021, 24, nonché F. CAMPARA, Il Cybersecurity Act, in A. CONTALDO, D. MULA (cur.), Cybersecurity Law, cit., 72. 108 Cfr. art. 13 Regolamento (UE) 2019/881. 109 Cfr. artt. 14 e 15 Regolamento (UE) 2019/881. 110 Cfr. art. 19 Regolamento (UE) 2019/881. 111 Cfr. art. 20 Regolamento (UE) 2019/881. L’attuale direttore esecutivo dell’ENISA è l’estone Juhan Lepassaar. 112 Cfr. art. 20 co. 1 Regolamento (UE) 2019/881. Ai sensi dell’art. 22 Regolamento (UE) 2019/881 è altresì istituito il gruppo dei portatori di interessi per la certificazione della cybersecurity. 107
88
CAPITOLO III
ruolo di promuovere e agevolare lo scambio di informazioni fra l’ENISA e i vari Stati europei113. A seguito delle modifiche introdotte dal Cybersecurity Act, l’ENISA è dunque divenuta il fulcro istituzionale della cybersicurezza europea attorno al quale ruotano tutti gli altri organismi che operano in questo settore: l’European Cybersecurity Certification Group (ECCG)114, composto dai rappresentanti delle diverse autorità nazionali di certificazione della cybersecurity (o da rappresentanti di altre autorità nazionali competenti) e istituito dal Regolamento (UE) 2019/881115 con funzioni consultive e di assistenza della Commissione nell’attuazione della disciplina unionale e della politica europea sulla certificazione della cybersicurezza, e dell’ENISA relativamente alla preparazione di una proposta di un sistema europeo di certificazione della cibersicurezza116; il Computer Emergency Response Team UE, il c.d. CERT-UE117, incaricato di svolgere, a favore delle Istituzioni, degli Organi e delle Agenzie dell’Unione europea118, fun 113
Cfr. art. 23 co. 1 e 2 Regolamento (UE) 2019/881. In argomento F. CAMPARA, Il Cybersecurity Act, in A. CONTALDO, D. MULA (cur.), Cybersecurity Law, cit., 111 ss. 115 Cfr. art. 62 Regolamento (UE) 2019/881. 116 L’ECCG svolge un ruolo di promotore della cooperazione fra le diverse autorità nazionali di certificazione della cibersicurezza dei vari Paesi membri, in particolare incentivando lo scambio informativo e di buone pratiche. Legata a questa funzione vi è quella volta ad allineare i sistemi europei di certificazione della cibersicurezza alle norme riconosciute a livello internazionale, potendo così porre raccomandazioni all’ENISA finalizzate alla sua collaborazione con le organizzazioni internazionali che operano in quest’ambito. 117 Il CERT-UE è un organo istituito nel 2011 e disciplinato dall’accordo interistituzionale del 2018 sottoscritto fra le Istituzioni europee, precisamente l’Arrangement between the European Parliament, the European Council, the Council of the European Union, the European Commission, the Court of Justice of the European Union, the European Central Bank, the European Court of Auditors, the European External Action Service, the European Economic and Social Committee, the European Committee of the Regions and the European Investment Bank on the organisation and operation of a computer emergency response team for the Union's institutions, bodies and agencies (CERT-EU), n. 2018/C 12/01 del 13 gennaio 2018. 118 Il CERT-UE prende parte a momenti cooperativi organizzati con altri organismi che operano nell’ambito della cybersecurity, volti allo scambio di informazioni e buone pratiche, come nel caso del CSIRTs Network118 , e collabora con altre istituzioni di settore, fra cui l’ENISA e il NATO Computer Incident Response Capability (NCIRC). 114
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
89
zioni di raccolta, gestione e analisi delle informazioni relative alle minacce cyber, alle vulnerabilità e agli incidenti su infrastrutture tecnologiche non classificate; di condivisione delle predette informazioni; di coordinamento della risposta a incidenti di cybersicurezza, la protezione dello scambio informativo; nonché di monitoraggio delle cyber minacce e di promozione della cultura della cybersecurity fra gli attori coinvolti119; il NIS Cooperation Group120, composto dai rappresentanti dei diversi Paesi membri, della Commissione e dell’ENISA, con l’obiettivo di sostenere e agevolare la collaborazione strategica e lo scambio informativo e di buone prassi fra i Paesi membri, sviluppando la fiducia nell’azione europea in tale settore, al fine di raggiungere e attuare un livello elevato e comune di cybersicurezza delle reti e dei servizi informativi nell’Unione121; il CSIRTs Network122, rete composta dai rappresentanti dei diversi CSIRT dei Paesi membri, del CERT-UE, della Commissione europea e dell’ENISA con l’obiettivo di promuovere una cooperazione di natura prettamente operativa fra i diversi attori coinvolti123; e infine 119 A livello organico, il CERT-UE è composto da un comitato direttivo, che dirige e controlla l’aderenza dell’attività del CERT-UE ai suoi obiettivi generali e nel quale siedono dai rappresentanti delle Istituzioni europee che hanno firmato l’accordo istitutivo del CERT-UE e da uno dell’ENISA, e dal presidente del comitato direttivo, nominato fra i suoi membri. 120 Cfr. art. 1 co. 2 lett. b) e art. 11 Direttiva (UE) 2016/1148. 121 Inoltre, il gruppo di cooperazione deve fornire sia un orientamento strategico per le attività del CSIRTs Network, sia l’assistenza circa la capacità in materia di sicurezza delle reti e dei sistemi informativi (in collaborazione con l’ENISA)121. Questo organo, infine, oltre a esaminare annualmente le relazioni sintetiche provenienti dai punti di contatto unici in merito alle notifiche di cyber incidenti o attacchi ricevute121, elabora la relazione sulla valutazione dell’esperienza acquisita relativamente alla cooperazione strategica di cybersicurezza posta in essere. 122 Cfr. art. 1 co. 2 lett. c) e art. 12 Direttiva (UE) 2016/1148. In argomento si veda L. TOIATI, CSIRT network, il modello cooperativo europeo per la gestione della cyber security, in cybersecurity360.it, 9 luglio 2021. 123 Per tale motivo, alla rete di CSIRT spettano funzioni relative allo scambio di informazioni e buone pratiche (concernenti, ad esempio, l’attività degli altri CSIRT nazionali e i cyber indicenti occorsi), alla formulazione di orientamenti finalizzati a promuovere pratiche operative comuni (ad esempio: individuare un intervento coordinato fra i vari CSIRT nazionali per fronteggiare un incidente rilevato), nonché al sostegno ai Paesi membri nell’affrontare a incidenti di cybersicurezza transfrontalieri. Infine, la rete di CSIRT può altresì formulare specifici orientamenti
90
CAPITOLO III
l’European Cybersecurity Competence Centre (ECCC)124, con composizione eterogenea125 e istituito con l’esplicita finalità di dare attuazione ai progetti di cybersecurity finanziati dai più importanti programmi europei di finanziamento e ricerca nell’ambito della digitalizzazione (fra cui il programma Europa Digitale e il programma Horizon Europe – HEU), promuovendo la ricerca, l’innovazione e la diffusione nel settore della cybersicurezza126. Come è facile intuire, la cybersecurity ha impatti su numerose altre materie e in molteplici contesti. Questa è la ratio dell’azione europea volta all’uniformazione della disciplina in materia di cybersicu finalizzati a promuovere l’adozione e la convergenza delle pratiche operative in materia di cybersicurezza. 124 Il nome corretto di questo organo è European Cybersecurity Industrial, Technology and Research Competence Centre ed è stato istituito con Regolamento (UE) 2021/887 del 20 maggio 2021. 125 A livello organizzativo, l’ECCC è formato da tre organi: il consiglio di direzione, il direttore esecutivo e il gruppo consultivo strategico. Il consiglio di direzione, al cui interno è eletto un presidente e un vicepresidente, è composto da un rappresentante per ciascuno Paese membro e di due rappresentanti della Commissione europea, che agiscono per conto dell’Unione, e da un rappresentante dell’ENISA in veste di osservatore; esso ha il compito di supervisionare le attività del Centro europeo e di emettere i relativi orientamenti strategici125. Il direttore esecutivo, il quale deve essere una persona di riconosciuta professionalità e reputazione, rappresenta legalmente l’ECCC, ne ha la responsabilità e attua gli atti adottati dal consiglio di direzione. Questi può partecipare al consiglio di direzione ma non può esprimere il proprio voto. Il gruppo consultivo strategico, infine, è composto da venti membri nominati dal consiglio di direzione fra i rappresentanti dei membri della comunità della cybersecurity, diversi da quelli delle istituzioni, degli organi e degli organismi dell’Unione; esso svolge, da un lato, attività consultiva all’ECCC e ai suoi organi circa lo svolgimento delle sue attività, dall’altro, si occupa della relazione con gli stakeholders interessati, anche tramite l’organizzazione di consultazioni pubbliche. 126 L’ECCC pone in essere attività dalla duplice natura strategica e d’attuazione, fra cui, a titolo non esaustivo, il rafforzamento della cybersecurity delle infrastrutture e delle reti, la promozione di buone pratiche, delle competenze tecniche in questo ambito, nonché dell’approccio cybersecurity by design e della cyber certificazione di beni e servizi ICT, cercando di realizzare un ecosistema europeo solido di cybersecurity anche tramite decisioni in materia di investimento in questo settore, oltre alla promozione della cooperazione e dell’attività di coordinamento a sul piano multilaterale. In tutte tali funzioni, l’ECCC agisce in sinergia con la Rete dei centri nazionali di coordinamento, composta dai Centri nazionali di coordinamento di ciascun Paese membro.
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
91
rezza dei vari Stati membri127: conformemente a quanto stabilito dalla Direttiva 2016/1148/UE ciascun Paese europeo è dunque chiamato ad adottare una disciplina nazionale di cybersecurity e di appositi organismi128. E così è avvenuto in numerosi Stati membri129, i quali hanno recepito la disciplina europea prevedendo altresì la creazione di agenzie ad hoc. L’ultimo Paese, sul piano cronologico, ad adempiere a tale norma è stata l’Italia, nel 2021, grazie all’istituzione dell’Agenzia per la Cybersicurezza Nazionale ad opera del decreto-legge 14 giugno 2021, n. 82, convertito in legge 4 agosto 2021, n. 109130. 4.2. La centralità dell’Agenzia per la Cybersicurezza Nazionale nel contesto italiano e il persistente legame con il Presidente del Consiglio dei Ministri Il decreto-legge 14 giugno 2021, n. 82 è intervenuto 127
E questo nonostante la presenza di ambiti di competenza esclusiva degli Stati membri, fra cui la gestione operativa degli incidenti informatici, come evidenziato da L. TOSONI, Cybersecurity Act, ecco le nuove norme in arrivo su certificazione dei prodotti e servizi ICT, in Agenda digitale.eu, 7 giugno 2019. 128 Cfr. artt. 7 e 8 alla Direttiva 2016/1148/UE. 129 Ex multis è possibile citare: la Francia, in cui vi è l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI); la Germania, con il Bundesamt für Sicherheit in der Informationstechnik (BSI); il Belgio, con il Centre for Cyber Security Belgium; i Paesi Bassi, con il Nationaal Cyber Security Centrum; la Danimarca, con il Center for Cybersikkerhed; la Svezia, con il Nationellt cybersäkerhetscenter; la Spagna, con l’Instituto Nacional de Ciberseguridad (INCIBE); il Portogallo, con il Centro Nacional de Cibersegurança (CNCS); e l’ l’Irlanda, con il National Cyber Security Centre (NCSC). Sul punto si richiama, pur in relazione alla situazione del 2013, il contributo di A. COLELLA, Analisi comparata delle architetture decisionali in materia cibernetica dei paesi dell’area euro-occidentale, in A. TORRE (cur.), Costituzioni e sicurezza dello Stato, Maggioli, Santarcangelo di Romagna, 2013, 439 ss. 130 Decreto-Legge 14 giugno 2021, n. 82, convertito con modificazioni dalla Legge 4 agosto 2021, n. 109. In argomento si veda ad esempio L. PARONA, L’istituzione dell’Agenzia per la cybersicurezza nazionale, in Giorn. dir. amm., n. 6/2021, 709 ss.; F. SERINI, La nuova architettura di cybersicurezza nazionale: note a prima lettura del decreto-legge n. 82 del 2021, in federalismi.it, n. 12/2022, 241 ss. Sia consentito sul punto richiamare le riflessioni contenute in S. ROSSA, Administrative Law Reflections on Cybersecurity, and on Its Institutional Actors, in the European Union and Italy, cit.
92
CAPITOLO III
sull’architettura istituzionale italiana in materia di cybersicurezza, istituendo in particolare l’Agenzia per la Cybersicurezza Nazionale (ANC) e ridefinendo di riflesso le funzioni di altri organi operanti in tale ambito, in particolare del Comitato interministeriale per la cybersicurezza131. Innanzitutto, è necessario premettere come l’ACN sia stata espressamente istituita per tutelare gli interessi nazionali nel campo della cybersicurezza, assistendo strumentalmente il Presidente del Consiglio dei Ministri – al quale, come già ricordato, spetta in «via esclusiva l’alta direzione e la responsabilità generale delle politiche di cybersicurezza»132. A tal fine, all’ACN sono state attribuite numerose funzioni133, le quali possono essere analizzate suddividendole per macroaree134. In primis, all’Agenzia spetta il compito di coordinare i diversi attori che operano nell’ambito della cybersicurezza sul territorio nazionale, attuando in tal modo le diverse strategie internazionali in materia135. Per questa ragione, questo organo prende parte alle esercitazioni di cybersecurity coordinate dall’ENISA136. 131
Cfr. art. 4 d.l. n. 82 del 2021 conv. l. n. 109 del 2021. Art. 2 co. 1 lett. a) d.l. n. 82 del 2021, conv. l. n. 109 del 2021. In materia di ordine e sicurezza pubblica, si vedano a titolo non esaustivo G. CORSO, L’ordine pubblico, Il Mulino, Bologna, 1979; A. CERRI, Ordine pubblico. Diritto costituzionale, in Enc. giur., IV, 1990; P. BONETTI, Ordinamento della difesa nazionale e Costituzione italiana, Giuffrè, Milano, 2000; G. CAIA, L’ordine e la sicurezza pubblica, in S. CASSESE (dir.), Trattato di diritto amministrativo, Vol. I, Diritto amministrativo speciale, II ed., Giuffrè, Milano, 2003, 281 ss.; T.F. GIUPPONI, Le dimensioni costituzionali della sicurezza, Il Mulino, Bologna, 2010; A. PACE, La sicurezza pubblica nella legalità costituzionale, in Rivista AIC, n. 1/2015, 1 ss. Recentemente R. URSI, La sicurezza pubblica, Il Mulino, Bologna, 2022. In relazione alla sicurezza pubblica in rapporto alla digitalizzazione invece G. DE VERGOTTINI, Una rilettura del concetto di sicurezza nell’era digitale e della emergenza normalizzata , in Rivista AIC , n. 4, 2019, 65 ss.; e R. U RSI, La difesa: tradizione e innovazione, in Dir. cost., n. 1/2022, 5 ss. 133 Cfr. art. 7 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 134 Sul punto si veda in particolare S. ATERNO, Sicurezza informatica. Aspetti giuridici e tecnici, Pacini, Pisa, 2022, 234 ss. 135 Si pensi ad esempio al ruolo del Ministero degli esteri per quanto attiene alla cooperazione internazionale in materia di cybersecurity. 136 Si richiama il documento EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY, Cyber Europe 2022: Testing the Resilience of the Eu132
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
93
L’ACN, in secondo luogo, promuove la realizzazione di azioni comuni di sicurezza cibernetica che, come più volte argomentato, rappresenta un fattore imprescindibile per il corretto processo di digitalizzazione del Paese. Nel far ciò, l’Agenza può anche coinvolgere le università e gli enti di ricerca pubblici o privati. A tal fine, l’ACN partecipa quale Centro nazionale di coordinamento per la cybersicurezza alla Rete dei Centri nazionali di coordinamento, con l’obiettivo di rafforzare la ricerca e la competitività dell’Unione europea nel settore della sicurezza cibernetica137. All’Agenzia per la Cybersicurezza Nazionale, inoltre, è affidato un compito importante: predisporre e sviluppare un atto di indirizzo fondamentale in questo ambito, la Strategia nazionale di cybersicurezza138. Proprio in quanto soggetto adibito a comporre istanze fra loro diverse, ed essendo dotato di un altissimo livello di professionalità, spetta all’ACN l’attività consultiva in materia di cybersicurezza, aggiornando e curando il contesto normativo nazionale, esprimendo altresì pareri non vincolanti sulle iniziative legislative o regolamentari concernenti tale materia e potendo adottare soft law e regole tecniche in precedenza spettanti ad altri soggetti (come nel caso dell’Agenzia per l’Italia Digitale). In quarto luogo, spetta all’ACN l’importante funzione di certificazione della cybersicurezza139, essendo designata quale Autorità nazionale di certificazione della cybersicurezza ai sensi del Regolamento (UE) 2019/881, assumendo tutte le funzioni in materia di certificazione di sicurezza cibernetica in precedenza attribuite al Ministero dello sviluppo economico. Infine, all’ACN sono affidati compiti di vigilanza e sanzionatori, sia in relazione alla sicurezza delle reti e dei sistemi informativi, sia ropean Healthcare Sector, Press Release, 9 giugno 2022, cit. relative all’ultima esercitazione cyber tenutasi nell’estate 2022. 137 Cfr. https://www.acn.gov.it/agenzia/articolazioni/ncc. 138 Cfr. Agenzia per la Cybersicurezza Nazionale, Strategia nazionale di cybersicurezza 2022-2026, 2022, 16 ss. Essa è accompagnata dal Piano di implementazione alla Strategia nazionale di cybersicurezza 2022-2026. Sul punto si veda A. RENZI, La nuova via della cybersecurity: la Strategia Nazionale, in Osservatorio IRPA, 29 settembre 2022. 139 Cfr. art. 7 co. 1 lett. e) d.l. n. 82 del 2021, conv. l. n. 109 del 2021.
94
CAPITOLO III
alle certificazioni di cybersicurezza e sia in ambito del Perimetro di sicurezza nazionale cibernetico140. Dai menzionati principali compiti attribuiti all’Agenzia per la Cybersicurezza Nazionale141, in parte ereditati da altri organi142, emergono due profili significativi. Il primo aspetto concerne la specificità dell’ACN rispetto alle altre agenzie amministrative143, tanto sul piano delle funzioni esercitate quanto su quello della struttura organizzativa144. Gli organi dell’ACN espressamente previsti dalla disciplina normativa, infatti, sono soltanto tre, il Direttore generale, il Vicedirettore generale e il Collegio dei revisori dei conti145: non vi è dunque un organo collegiale di indiriz 140
Cfr. art. 7 co. 1 lett. d), e), f), h) ed i) d.l. n. 82 del 2021, conv. l. n. 109 del
2021. 141
All’Agenzia per la Cybersicurezza Nazionale spettano altresì ulteriori compiti. Per l’elenco dettagliato, si rimanda all’art 7 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 142 Nello specifico le funzioni di cybersicurezza di AGID (al 27 gennaio 2023 non è ancora stato approvato il relativo DPCM di trasferimento delle funzioni), del Dipartimento per la trasformazione digitale (cfr. DPCM 1° settembre 2022), del DIS (cfr. DPCM 16 settembre 2021) e del Ministero dell’Economia (cfr. DPCM 15 giugno 2022). 143 In argomento si vedano, fra i numerosi contributi, G. ARENA, Agenzia amministrativa, in Enc. giur. Treccani, 1999; F. MERLONI, Le agenzie nel sistema amministrativo italiano, in Dir. pubbl., n. 3/1999; G. SCIULLO, Alla ricerca del centro: le trasformazioni in atto nell’amministrazione statale italiana, Il Mulino, Bologna, 2000; G. SORICELLI, Le agenzie amministrative nel quadro dell’organizzazione dei pubblici poteri, Jovene, Napoli, 2002; C. FRANCHINI, L’organizzazione, in S. CASSESE (cur.), Trattato di diritto amministrativo, Vol. I, Giuffrè, Milano, 2003, 297 ss.; L. CASINI, Le agenzie amministrative, in Riv. trim. dir. pubbl., n. 2/2003, 595 ss.; C. CORSI, Agenzia e agenzie: una nuova categoria amministrativa?, Giappichelli, Torino, 2005; F. MERLONI, Le agenzie a cinque anni dal d.lgs. n. 300: l’abbandono del modello generale?, in G. VESPERINI (cur.), La riforma dell’organizzazione centrale, Giuffrè, Milano, 2005, 21 ss. Per profili di diritto comparato, invece, L. CASINI, E. CHITI, L’organizzazione, in G. NAPOLITANO (cur.), Diritto amministrativo comparato, Giuffrè, Milano, 2007, 61 ss. 144 Così L. PARONA, L’istituzione dell’Agenzia per la cybersicurezza nazionale, cit., 713 ss. e L. PREVITI, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, cit., 78 ss. Si consideri che con DPCM 9 dicembre 2021, n. 223 è stato approvato il “Regolamento di organizzazione e funzionamento dell’Agenzia per la cybersicurezza nazionale”. 145 Recentemente è stato introdotto il Comitato tecnico scientifico, con funzioni consultive, di proposta e di promozione della collaborazione fra gli operatori
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
95
zo gestionale. Se a questo rilievo si somma la mancanza di un controllo ministeriale e la diretta sottoposizione al Presidente del Consiglio dei Ministri e alla vigilanza del Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR), il quale può chiedere l’audizione del direttore generale dell’ACN relativamente a questioni di propria competenza146, ben si può comprendere allora che la ragione dei caratteri sui generis dell’Agenzia per la Cybersicurezza Nazionale sono intrinsecamente derivanti dalla vicinanza al sistema di intelligence italiano, pur essendo la cybersicurezza una materia attigua ma non sovrapponibile a quella in tema di servizi segreti147. Il secondo elemento, invece, è legato al fatto per cui la disciplina dettata dal d.l. n. 82 del 2021, e dalla sua legge di conversione, abbia accentrato verso l’ACN le più importanti funzioni amministrative in materia di cybersicurezza. Proprio per consentire un loro esercizio effettivo, all’ACN è stata attribuita autonomia regolamentare, amministrativa, organizzativa, e soprattutto patrimoniale, contabile e finanziaria148 – aspetto rilevante considerando che, molto spesso, negli ultimi anni, le normative italiane istitutive di nuovi organismi e funzioni contenevano al loro interno clausole di invarianza finanziaria. In realtà, come la dottrina non ha mancato di sottolineare149, tale autonomia è fortemente attenuata a causa della relazione di direzionedipendenza nei confronti del Presidente del Consiglio dei Ministri. Appare pertanto evidente la stretta relazione di direzionedipendenza che intercorre fra l’Agenzia per la Cybersicurezza Nazionale e la Presidenza del Consiglio dei Ministri150, «organo complesso privati e gli enti di ricerca. 146 Cfr. art. 5 co. 6 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 147 In tal senso anche A. R ENZI, La sicurezza cibernetica: lo stato dell’arte, cit., 547. 148 Cfr. art. 5 co. 2 primo periodo d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 149 Così L. PARONA, L’istituzione dell’Agenzia per la cybersicurezza nazionale, cit., 714 il quale evidenza la presenza di «ipotesi di etero-direzione, previste dal decreto-legge a favore del Presidente del Consiglio, [che] riducono i margini di autonomie effettivamente spettanti all’Agenzia rispetto a quelli di cui ad una prima analisi, essa potrebbe apparire dotata». 150 In argomento, a titolo esemplificativo, oltre alle opere di E. ROTELLI, La Presidenza del Consiglio dei ministri. Il problema del coordinamento dell’amministrazione centrale in Italia (1848-1948), Giuffrè, Milano, 1972 e di G. PITRUZZELLA, Il Presidente del Consiglio dei ministri e l’organizzazione del Go-
96
CAPITOLO III
ineguale»151 a cui spetta in via esclusiva l’alta direzione e la responsabilità generale delle politiche di cybersicurezza italiana. É proprio il Presidente del Consiglio dei Ministri, infatti, che, da un lato, determina lo stanziamento annuale che viene assegnato con la legge di bilancio all’ACN152 e, dall’altro, adotta con proprio decreto il regolamento di contabilità dell’Agenzia, che ne assicura l’autonomia gestionale e contabile153. Questo legame di dipendenza dell’Agenzia con il Presidente del Consiglio dei Ministri in parte si spiega con il ruolo centrale che questi ha iniziato a svolgere, a partire dal 2007, in materia di servizi segreti154. Come noto, fino a tale data, i servizi segreti italiani erano verno, CEDAM, Padova, 1986, si vedano A. PAJNO, La Presidenza del Consiglio dei ministri: dal vecchio al nuovo ordinamento, in A. PAJNO, L. TORCHIA (cur.), La riforma del Governo. Commento ai decreti legislativi n. 300 e n. 303/1999 sulla riorganizzazione della Presidenza del consiglio dei ministri, Il Mulino, Bologna, 2000, 35 ss.; più recentemente, M. LUCIANI, La riforma della Presidenza del Consiglio (e dei Ministeri), in Dir. amm., n. 3/2016, 253 ss.; A. MANZELLA, La Presidenza del Consiglio dei Ministri e l’art. 95 della Costituzione, in Osservatorio costituzionale, n. 1/2018, 8 ss.; S. CASSESE, A. MELLONI, A. PAJNO (cur.), I presidenti e la presidenza del Consiglio dei ministri nell’Italia repubblicana, Laterza, Roma, 2022. 151 P. CARETTI, U. DE SIERVO, Diritto costituzionale e pubblico, Giappichelli, Torino, 2014, 252. 152 Previa comunicazione al Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR). Cfr. art. 11 co. 1 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. In ogni caso, sul piano dell’autonomia finanziaria, all’ACN spettano anche ulteriori entrate: cfr. art. 11 co. 2 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 153 Tale adozione avviene di concerto con il Ministro dell’economia e delle finanze, su proposta del direttore generale dell’Agenzia, previo parere del COPASIR e sentito il Comitato interministeriale per la cybersicurezza (CIC). Cfr. art. 11 co. 3 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 154 Per un’analisi della disciplina sui servizi segreti si vedano, fra i numerosi contributi, P.L. VIGNA, La nuova disciplina dei servizi di sicurezza, in Legisl. Pen., n. 4/2007, 2, 693 ss.; M. SAVINO, Solo per i tuoi occhi? La riforma del sistema italiano di intelligence, in Giorn. dir. amm., n. 2/2008, 121 ss.; C. MOSCA, S. GAMBACURTA, G. SCANDONE, M. VALENTINI, I servizi di informazione e il segreto di Stato, Giuffrè, Milano, 2008; P. BONETTI, Problemi costituzionali della legge di riforma dei servizi di informazione per la sicurezza della Repubblica, in Dir. e soc., n. 2/2008, 251 ss.; T.F. GIUPPONI, Servizi di informazione e segreto di Stato nella legge n. 124/2007, in AA.VV., Studi in onore di Luigi Arcidiacono, IV, Giappichelli, Torino, 2010, 1677 ss.; A. MASSERA, M. SIMONCINI, La tutela amministrativa del segreto di Stato e delle informazioni classificate, in Giorn. dir. amm., n. 4/2012, 362 ss.; N. GALLO, T.F. GIUPPONI (cur.), L’ordinamento della sicurezza. Soggetti e funzioni, Franco Angeli, Milano, 2014; più recentemente T.F. GIUPPO-
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
97
composti dal Servizio per le informazioni e la sicurezza miliare (SISMI) e il Servizio per le informazioni e la sicurezza democratica (SISDE): il primo dipendeva dal Ministro della Difesa mentre il secondo dal Ministro dell’Interno. Con la promulgazione della legge n. 124 del 2007, successivamente emendata dalla legge n. 133 del 2012, il sistema dell’intelligence ha iniziato a ruotare intorno alla figura del Presidente del Consiglio dei Ministri, dal quale essi dipendono funzionalmente155. I servizi segreti italiani156, oltre che dal Presidente del Consiglio dei Ministri, sono attualmente composti dal Comitato interministeriale per la sicurezza della Repubblica (CISR); dall’Autorità delegata, alla quale il Presidente del Consiglio dei Ministri può delegare le funzioni in materia di intelligence a questi non attribuite in via esclusiva, fra le quali proprio la cybersicurezza; dal Dipartimento delle informazioni per la sicurezza (DIS), organo a cui spetta la funzione di coordinamento e di vigilanza sull’attività dell’AISI e dell’AISE e di cui si avvalgono il Presidente del Consiglio dei Ministri e l’Autorità delegata; dall’Agenzia informazioni e sicurezza esterna (AISE); infine, dall’Agenzia informazioni e sicurezza interna (AISI)157. La riforma dell’intelligence italiana, dunque, ha attribuito al Presidente del Consiglio dei Ministri un ruolo di direzione e responsabilità dell’intero comparto intelligence, come sottolineato dal fatto che, contrariamente al SISMI e al SISDE, l’AISE e l’AISI rispondono direttamente al Presidente del Consiglio e non a singoli Ministri. Il ruolo forte del Presidente del Consiglio è però bilanciato dall’attività del Comitato parlamentare per la sicurezza della Repubblica (COPASIR), organo composto da cinque deputati e cinque senatori, incaricato di verificare il corretto svolgimento dell’attività dei servizi e I rapporti tra sicurezza e difesa. Differenze e profili di convergenza, in Dir. Cost., n. 1/2022, 21 ss. Sul rapporto fra politica e segreto, invece, G. CORSO, Potere politico e segreto, in F. Merloni (cur.), La trasparenza amministrativa, Giuffrè, Milano, 2008, 267 ss. 155 Cfr. art. 1 l. n. 124 del 2007. 156 Il nome corretto sul piano tecnico dei servizi di intelligence è Sistema di informazione per la sicurezza della Repubblica. Cfr. art. 2 co. 1 l. n. 124 del 2007. Si precisa che non rientrano nel Sistema di informazione per la sicurezza della Repubblica i reparti di intelligence militare quale, ad esempio, il Reparto informazioni e sicurezza. 157 Cfr. artt. 3, 4, 6 e 7 l. n. 124 del 2007. NI,
98
CAPITOLO III
del suo rispetto della Costituzione, delle leggi e dell’interesse delle Istituzioni democratiche158. I citati profili mettono in evidenza come la disciplina della cybersecurity sia stata oggetto di un accentramento di competenze verso l’ACN, il quale si è tuttavia tradotto in un ulteriore accentramento di potere a vantaggio del Presidente del Consiglio dei Ministri, organo di spicco della maggioranza di governo159. La centralità della figura del Presidente del Consiglio dei Ministri in materia di cybersicurezza emerge altresì in riferimento ad altri due organi recentemente istituiti: il Comitato interministeriale per la Cybersicurezza e il Nucleo per la Cybersicurezza. Il Comitato interministeriale per la Cybersicurezza svolge funzioni consultive, di proposta e di vigilanza in materia di politiche di cybersicurezza, ereditando il ruolo in precedenza svolto in questo settore dal Comitato interministeriale per la Sicurezza della Repubblica160. Nel far ciò, al Comitato spetta in particolare la funzione di proposta, al Presidente del Consiglio dei Ministri, degli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza nazionale; di esercizio dell’alta sorveglianza in merito all’attuazione della strategia nazionale di cybersicurezza; di promozione di iniziative collaborative tra i soggetti istituzionali, nazionali e internazionali, e gli operatori privati interessati alla cybersicurezza161. Il Comitato interministeriale per la Cybersicurezza è composto dal Presidente del Consiglio dei Ministri, dal direttore generale dell’ACN, dall’Autorità delegata e da alcuni Ministri162. Tuttavia, rimarcando ancora una volta il ruolo centrale del Presidente del Consiglio, la disciplina prevede che questi possa invitare a partecipare alle sedute del Comitato, senza diritto di voto, altri componenti del Consiglio dei ministri, nonché autorità ci 158
Cfr. art. 30 l. n. 124 del 2007. D’altronde, la dottrina ha posto in luce come la scelta della fonte normativa di approvazione della disciplina in materia di cybersicurezza – il decreto-legge – rifletta la centralità dell’Esecutivo: in tal senso da B. CAROTTI, Sicurezza cibernetica e Stato-Nazione, cit., 639 ss. e L. PARONA, L’istituzione dell’Agenzia per la cybersicurezza nazionale, cit., 718. 160 Cfr. art. 4 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 161 Cfr. art. 4 co. 2 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 162 Cfr. art. 4 co. 3 e 4 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 159
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
99
vili e militari di cui, di volta in volta, ritenga necessaria la presenza in relazione alle questioni da affrontare163. Il Nucleo per la Cybersicurezza, invece, è istituito in seno all’Agenzia per la Cybersicurezza Nazionale e svolge la funzione di supporto concreto e operativo al Presidente del Consiglio dei Ministri in materia di cybersecurity, in particolare in relazione alla prevenzione e alla preparazione di eventuali situazioni di crisi di sicurezza informatica, nonché in merito all’attivazione delle correlate procedure di allertamento164. Il Nucleo è composto dal direttore generale dell’ACN in funzione di presidente, dal Consigliere militare del Presidente del Consiglio dei Ministri, da un rappresentante, rispettivamente del DIS, dell’AISE, dell’AISI, di ciascuno dei Ministeri rappresentati nel Comitato interministeriale per la Cybersicurezza e del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri. Anche dalla breve analisi relativa al Nucleo per la cybersicurezza e al Comitato interministeriale per la Cybersicurezza, il ruolo del Presidente del Consiglio appare ulteriormente rafforzato. Questi due organi, fra i numerosi istituiti in ambito di cybersecurity in Italia165, 163
Cfr. art. 4 co. 5 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. Cfr. 8 co. 1. d.l. n. 82 del 2021, conv. l. n. 109 del 2021. In ogni caso, l’elenco delle singole funzioni del Nucleo per la Cybersicurezza è contenuto nell’art. 9 d.l. n. 82 del 2021, conv. l. n. 109 del 2021, a cui si rimanda nello specifico. Il Nucleo per la Cybersicurezza eredita di fatto le funzioni del già citato Nucleo per la Sicurezza Cibernetica, istituito dal DPCM 24 gennaio 2013. 165 Oltre all’ACN, al Nucleo per la cybersicurezza e al Comitato interministeriale per la Cybersicurezza, la disciplina italiana ha previsto ulteriori organi. Vi sono innanzitutto il Centro di Valutazione e Certificazione Nazionale (CVCN) e i Centri di Valutazione (CV) del Ministero dell’Interno e del Ministero della Difesa sono organi a cui è attribuita l’importante funzione di valutare la cybersicurezza dei beni, dei sistemi e dei servizi digitali impiegati nel Perimetro di sicurezza nazionale cibernetica (che sarà analizzato successivamente) e che rientrano nelle categorie previste dalla sua specifica disciplina normativa, così come individuate sul piano regolamentare. La differenza sostanziale che intercorre fra il Centro di Valutazione e Certificazione Nazionale e i Centri di Valutazione del Ministero dell’Interno e del Ministero della Difesa è relativa all’ambito di competenza: il primo ha competenza generale, mentre i secondi hanno competenza settoriale riferita rispettivamente a quello dell’Interno e a quello della Difesa. Vi è altresì il Computer Security Incident Response Team (CSIRT) Italia, che svolge la funzione di gestione degli incidenti e dei rischi alle reti e ai sistemi informativi, seguendo una procedura standardizzata e 164
100
CAPITOLO III
sono de facto organi di coordinamento fra i vari soggetti che operano in questo ambito, su tutti l’Agenzia per la Cybersicurezza Nazionale, ma sempre in funzione servente al Presidente del Consiglio. 5. L’architettura multilivello nel rapporto fra l’ENISA e le Agenzie nazionali di cybersicurezza pubblica (e i limiti dell’attuale disciplina) A fronte dei rapporti intercorrenti fra il fulcro dell’architettura europea della cybersicurezza, nonché principale organismo europeo operante, l’ENISA, il centro di quella nazionale dei vari Paesi membri, l’ACN nel caso italiano, è possibile porre in rilievo alcune considerazioni166. Occorre innanzitutto constatare come il legame esistente fra l’ENISA e le Autorità nazionali per la cybersecurity corrisponda a un modello preciso: il modello di rete decentralizzata a stella167. In questo tipo di modello reticolare168 vi sono nodi diversi a cui omogenea a livello europeo, prevedendo, individuando e rispondendo e attenuando possibili rischi e incidenti; nonché la funzione di monitoraggio degli incidenti informatici che avvengono sul territorio nazionale e di pronto intervento in caso di cyber incidenti. Il CSIRT Italia è stato inizialmente incardinato in seno alla Presidenza del Consiglio dei Ministri, precisamente presso il Dipartimento delle informazioni per la sicurezza (DIS), per poi essere trasferito presso l’Agenzia per la Cybersicurezza Nazionale. Infine, vi è il Centro nazionale di coordinamento della cybersicurezza (NCC), a cui spettano variegati compiti: fare da contatto, sul piano domestico, per la comunità della cybersicurezza al fine di assistere l’ECCC nell’assolvimento delle sue funzioni; fornire consulenza riguardo ai compiti strategici dell’ECCC; promuovere e facilitare la partecipazione dei portatori di interessi (fra cui università e centri di ricerca) ai progetti europei e transfrontalieri in materia di cybersecurity, in particolare quelli sovvenzionati dall’ECC, creando sinergie fra gli attori coinvolti e incentivando la diffusione di programmi didattici in materia di cibersicurezza. 166 Considerazioni in parte evidenziate in S. ROSSA, Administrative Law Reflections on Cybersecurity, and on Its Institutional Actors, in the European Union and Italy, cit., 445 ss. 167 Su questo modello di rete si vedano A.L. BARABÀSI, Linked. The New Science of Networks, Perseus, Cambridge, 2002, 143 ss., nonché in lingua italiana U. PAGALLO, Teoria giuridica della complessità, Giappichelli, Torino, 2006, 155 ss. 168 Si consideri che già F.A. HAYEK, Law, Legislation and Liberty, in part. Vol. I, Rules and Order, e Vol. II, The Mirage of Social Justice, Routledge, London,
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
101
spettano funzioni diverse. Nello specifico, vi è il nodo centrale della rete, l’ENISA, che agisce da coordinamento del reticolo e consente l’interconnessione fra i vari punti della rete, ovvero le diverse Autorità nazionali dei Paesi membri. Le varie Autorità nazionali di cybersicurezza, infatti, entrano in contatto fra loro proprio per il tramite dell’ENISA, come si evince ad esempio dal caso delle esercitazioni congiunte in materia di sicurezza informatica, realizzate dalle varie Autorità nazionali Ue sotto il coordinamento dell’ENISA. Da quanto è stato ricostruito, emerge che l’ENISA svolga un duplice ruolo: realizzare un livello europeo comune di cybersicurezza, sostenendo attivamente gli Stati membri e gli organismi individuati, nonché ridurre la frammentazione nel mercato interno europeo in materia di cybersicurezza promuovendo una politica europea di settore. L’ENISA, pertanto, appare essere un organismo incaricato della funzione di “promozione attiva” della cybersicurezza nell’Unione europea – e in senso lato del federalizing process169 europeo –, con la conseguenza che in materia di cybersecurity pubblica la maggior parte delle funzioni, in particolare quelle più importanti170, sono esercitate in realtà dai diversi Stati membri. Ciononostante, proprio grazie al coordinamento di Agenzie nazionali dotate di funzioni attuative, il ruolo dell’ENISA appare di riflesso rafforzato, risultando meno debole rispetto ai suoi primi anni, durante i quali essa appariva una Istituzione “vuota”, preposta al coordinamento di Agenzie nazionali in parte ancora da istituire e in parte non ancora dotate di funzioni incisive. Le stesse Agenzie nazionali, inoltre, a loro volta sono vincolate dalle specifiche condizioni nazionali di recepimento della disciplina europea. 1973 e 1976, aveva teorizzato che i sistemi sociali – diritto compreso – tendessero a svilupparsi con struttura di natura reticolare. Centrale è stato anche il contributo su questo tema di N. LUHMANN, Soziale Systeme. Grundriß einer allgemeinen Theorie, Suhrkamp, Frankfurt, 1984, in relazione al pensiero del quale si rimanda, in particolare in riferimento alle norme interne, a F. FRACCHIA, M. OCCHIENA, Le norme interne: potere, organizzazione e ordinamenti. Spunti per definire un modello teorico-concettuale generale applicabile anche alle reti, ai social e all’intelligenza artificiale, Editoriale Scientifica, Napoli, 2020. 169 Il riferimento è a C.J. FRIEDRICH, Trends of Federalism in Theory and Practice, Praeger, New York 1968. 170 Si pensi, ad esempio, al potere di sanzione spettante alle agenzie nazionali.
102
CAPITOLO III
Quest’ultima, lasciando ai Paesi membri ampia discrezionalità nel suo recepimento, ha messo in evidenza importanti profili critici171 circa l’effettivo raggiungimento del principale obiettivo che essa si prefiggeva di raggiungere: uniformare le normative dei Paesi membri stabilendo una cornice minima. Per tale ragione, nel dicembre 2022 è stato varato un pacchetto di riforme172 che è intervenuto in materia, abrogando nello specifico la Direttiva NIS 2016/1148/UE c.d. Direttiva NIS173 grazie all’approvazione della Direttiva (UE) 2022/2555, c.d. Direttiva NIS 2. La Direttiva NIS 2, entrata in vigore nel gennaio 2023, ha stabilito che i Paesi membri sono tenuti a recepire la sua disciplina entro l’ottobre 2024: entro tale data, pertanto, la normativa in vigore è quella nazionale di recepimento della Direttiva NIS, ovvero in Italia quella stabilita dal d.lgs. n. 65 del 2018174. Nonostante ciò, pare necessario accennare brevemente alla menzionata nuova disciplina. 171
Si veda S.A. SALVAGGIO, N. GONZÁLEZ, The European framework for cybersecurity: strong assets, intricate history, in Int. Cybersecur. Law Rev., n. 4/2023, 137 ss. 172 Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 (c.d. Direttiva NIS 2, Network and Information System); il Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 (c.d. Regolamento DORA, Digital Operational Resilience Act); Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio del 14 dicembre 2022 (c.d. Direttiva CER, Critical Entities Resilience). Si consideri, inoltre, che nel settembre 2022 la Commissione europea ha presentato la proposta di Cyber Resilience Act (COM(2022) 454 final), una proposta di regolamento volta a stabilire una disciplina cyber per il c.d. Internet of Things, i prodotti digitali connessi in rete e presenti sul mercato unico europeo, imponendo obblighi particolari ai produttori di tecnologia. Per un primo commento si veda P.G. CHIARA, The Cyber Resilience Act: the EU Commission’s proposal for a horizontal regulation on cybersecurity for products with digital elements, in Int. Cybersecur. Law Rev., n. 3/2022, 255 ss. 173 In argomento si vedano i primi commenti: A. PALLADINO, Cybersecurity: adottata la Direttiva NIS2 per rafforzare la resilienza, in Osservatorio IRPA, marzo 2023; S. MELE, F. BAVETTA, Regolamento DORA: analisi dei principali adempimenti, in dirittobancario.it, gennaio 2023; P. LICATA, Infrastrutture critiche più sicure, in vigore le direttive Nis2 e Cer, in corrierecomunicazioni.it, gennaio 2023; F. CERCIELLO, Direttiva NIS 2: ecco come prepararsi a recepire i nuovi obiettivi di cyber security, in cybersecurity360.it, gennaio 2023; D. DELL’ARIA, M. ROSSI, Direttive NIS 2 e CER: così l’Europa metterà in sicurezza le infrastrutture critiche, in cybersecurity360.it, gennaio 2023. 174 Cfr. art. 41 Direttiva (UE) 2022/2555.
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
103
Uno dei limiti più importanti della Direttiva NIS è risultato essere l’ampia discrezionalità in capo ai Paesi membri nella sua attuazione a livello nazionale, la quale ha comportato profondi divari in materia di cybersicurezza nei diversi Stati europei. La Direttiva NIS 2, pertanto, si innesta sul telaio normativo previsto dalla Direttiva NIS ma lo implementa: da un lato prevedendo misure più precise e dettagliate in relazione alla gestione del rischio cyber, sia sul piano della segnalazione di incidenti o attacchi informatici sia della condivisione di informazioni fra i soggetti coinvolti175, riequilibrando così il divario attualmente esistente nei vari ordinamenti nazionali176; dall’altro, ampliando la platea dei soggetti che dovranno sottostare agli obblighi di cybersecurity (venendo meno le categorie di “operatori di servizi essenziali” e di “fornitori di servizi digitali” con l’introduzione di quelle di “soggetti essenziali” e “soggetti importanti”), tramite l’allargamento dei settori critici177, eliminando la discrezionalità statale nella concreta individuazione dei soggetti destinatari178 a cui la Direttiva del 2016 faceva riferimento con le ampie categorie di concetti di “operatore di servizi essenziali” e di “fornitore di servizi digitali”, ricomprendendo ora anche le Pubbliche Amministrazioni centrali e regionali179. Il principio cardine che guida l’impianto della Direttiva NIS 2 è quello del c.d. multirischio, che impone ai soggetti destinatari di adottare le misure previste con modalità sinergiche che tengano in considerazione aspetti organizzativi, tecnici e operativi180, richiedendo in questo modo di affrontare le questioni di cybersicurezza in mo 175
Cfr. artt. 20-25 Direttiva (UE) 2022/2555. Cfr. F. CERCIELLO, Direttiva NIS 2: ecco come prepararsi a recepire i nuovi obiettivi di cyber security, cit. 177 Cfr. Allegato I (settori di elevata criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC (B2B), Pubblica Amministrazione e spazio) e Allegato II (settori critici: servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali, ricerca) Direttiva (UE) 2022/2555. 178 Così A. PALLADINO, Cybersecurity: adottata la Direttiva NIS2 per rafforzare la resilienza, in Osservatorio IRPA, cit. 179 Cfr. art. 2 Direttiva (UE) 2022/2555. 180 Cfr. Considerando 79 e art. 21 co. 2 Direttiva (UE) 2022/2554. 176
104
CAPITOLO III
do ampio e interdisciplinare. Questo principio, ispiratore anche della disciplina della Direttiva CER, che stabilisce norme volte alla protezione cyber delle infrastrutture critiche181, e del Regolamento DORA, il quale impone invece specifiche misure cyber per il settore finanziario182, mette in evidenza il grado di complessità che caratterizza la cybersecurity pubblica. Si è sottolineato come la cybersicurezza dipenda nel concreto dal contesto tecnologico generale e dal progresso tecnico dei beni ICT che compongono l’ecosistema cyber. Essendo quest’ultimo in continua evoluzione, l’approccio volto a governare tale fenomeno richiede una costante opera di labor limae che, in qualche modo, “aggiusti il tiro” stabilito in precedenza proprio in conseguenza dell’evoluzione tecnologica. 6. L’esigenza di un approccio complementare alla cybersicurezza pubblica: fra dimensione multilivello “verticale” e dimensione “orizzontale” L’approccio alla cybersicurezza pubblica non si esaurisce unicamente con la relazione “verticale” che si instaura fra i diversi livelli europeo e nazionale – e di riflesso fra gli organismi europei e quelli domestici. Alla dimensione “verticale”, infatti, si affianca anche una dimensione “orizzontale”, concernente le relazioni che intercorrono fra le istituzioni pubbliche, gli operatori economici operanti nell’ambito della cybersicurezza pubblica e gli stessi cittadini183. Un approccio che, in sostanza, coinvolge in una logica collaborativa tutti 181
Cfr. Considerando 2 e Allegato Direttive (UE) 2022/2557. In argomento si veda D. DELL’ARIA, M. ROSSI, Direttive NIS 2 e CER: così l’Europa metterà in sicurezza le infrastrutture critiche, cit. 182 Cfr. ex multis art. 2 Regolamento (UE) 2022/2554. Per un commento invece S. MELE, F. BAVETTA, Regolamento DORA: analisi dei principali adempimenti, cit., mentre in lingua inglese D. CLAUSMEIER, Regulation of the European Parliament and the Council on digital operational resilience for the financial sector (DORA), in Int. Cybersecur. Law Rev., n. 4/2023, 79 ss. 183 In termini simili, seppur più sfumati, anche I. FORGIONE, Il ruolo strategico dell’Agenzia Nazionale per la Cybersecurity nel contesto del sistema di sicurezza nazionale: organizzazione e funzione, fra regolazione europea e interna, cit., 11401141.
LA DIMENSIONE “VERTICALE” DELLA CYBERSICUREZZA PUBBLICA
105
i soggetti – pubblici e privati – che sono chiamati ad agire in questo settore e le cui azioni si integrano e si influenzano vicendevolmente anche in conseguenza della complessità delle conoscenze che la cybersicurezza pubblica richiede184 e della limitata capacità di intervento delle Istituzioni – come d’altronde risulta in modo plastico dalla menzionata circostanza per la quale le reti e le infrastrutture digitali impiegate per perseguire l’interesse pubblico sono di proprietà di operatori economici. D’altronde, la condivisione dei dati e delle informazioni, precondizione della collaborazione, è un elemento distintivo dell’ambito della cybersecurity rispetto a quello dell’intelligence – pur essendo la prima, come ripercorso, nata dalla seconda e sviluppatasi inizialmente in seno a essa: nel sistema dei servizi segreti, infatti, la regola è il segreto e la condivisione delle informazioni è l’eccezione, mentre nella cybersicurezza la regola è la condivisione e il segreto l’eccezione. La logica di fondo è dunque ribaltata, e in parte giustificata dalla necessità di sviluppare tecnologie digitali che siano cyber-safe by design185. Sotto questo punto di vista, la centralità della cybersicurezza pubblica186, in particolare se vista dalla prospettiva della dimensione “orizzontale” risulta essere strumentale altresì al perseguimento della sostenibilità istituzionale: grazie alla collaborazione di tutti gli attori coinvolti in questo ambito è possibile considerare la cybersicurezza 184
Nel contesto della cybersicurezza non bastano competenze tecniche ma occorrono anche competenze umanistiche e organizzative più ampie: per padroneggiare questo settore non è sufficiente avere skills di tipo informatico, ma è necessario integrare anche ulteriori saperi, quali quello giuridico, quello strategico, quello delle relazioni istituzionali e quello organizzativo-manageriale. 185 Cfr. Comunicazione della Commissione del 24 luglio 2020 (COM (2020)605 final), che ha sottolineato come lo sviluppo della digitalizzazione non può non essere parallelo con lo sviluppo della sicurezza dei prodotti ICT. 186 Si consideri, infatti, che parte della dottrina ha visto nella cybersicurezza un bene pubblico proprio in conseguenza della sua centralità, come R. BRIGHI, P.G. CHIARA, La cybersecurity come bene pubblico: alcune riflessioni normative a partire dai recenti sviluppi nel diritto dell’Unione Europea, cit., 40 ss., nonché, seppur con alcuni profili distintivi rispetto agli Autori appena citati, anche M. T ADDEO, Is Cybersecurity a Public Good?, in Minds & Machines, n. 29/2019, 354 ss. e P. ROSENZWEIG, Cybersecurity and Public Goods: The Public/Private “Partnership”, in Cyberwarfare: How Conflicts in Cyberspace are Challenging America and Changing the World, Praeger Security International, 2012.
106
CAPITOLO III
uno strumento in grado di attuare il Goal #16 dell’Agenda 2030 per lo Sviluppo Sostenibile delle Nazioni Unite, dedicato a promuovere società pacifiche ed inclusive, nonché a fornire l’accesso universale alla giustizia, e a costruire istituzioni responsabili ed efficaci a tutti i livelli. Una cybersicurezza collaborativa potrebbe infatti condurre a «[s]viluppare a tutti i livelli istituzioni efficaci, responsabili e trasparenti»187, nonché a «[c]onsolidare le istituzioni nazionali più importanti, anche attraverso la cooperazione internazionale, per sviluppare ad ogni livello, in particolare nei paesi in via di sviluppo, capacità per prevenire la violenza e per combattere il terrorismo e il crimine»188. L’apertura verso i soggetti privati rinforzerebbe la cybersicurezza poiché coinvolgerebbe la stessa società che è mirata a difendere, e al contempo sensibilizzerebbe i cittadini sui rischi presenti nell’ambito della sicurezza informatica. È pertanto necessario un modello di cybersicurezza pubblica multilivello che unisca sinergicamente la dimensione “verticale” con quella “orizzontale”.
187 188
Agenda 2030 Nazioni Unite, obiettivo 16, punto 16.6. Agenda 2030 Nazioni Unite, obiettivo 16, punto 16.a.
CAPITOLO IV LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA: LA PREVALENZA DELLA LOGICA AUTORITATIVA SU QUELLA COLLABORATIVA SOMMARIO: 1. La dimensione “orizzontale” della cybersicurezza pubblica nella relazione fra soggetti pubblici e privati: un rapporto sbilanciato fra autoritatività e collaborazione. – 2. La logica autoritativa nella disciplina generale della cybersicurezza pubblica: la centralità del binomio “obbligo-sanzione”. – 2.1. Gli obblighi dell’adozione di misure tecniche minime e di comunicazione di cyber incidenti. – 2.1.1. Un caso peculiare: il Perimetro di Sicurezza Nazionale Cibernetica. – 2.2. L’obbligo del rispetto del quadro comune per la certificazione della cybersicurezza di beni e servizi. – 3. I riflessi dell’approccio autoritativo sugli appalti pubblici di cybersicurezza. – 3.1. La disciplina italiana degli appalti pubblici nell’ambito della cybersecurity pubblica. – 3.2. La disciplina generale di cybersecurity public procurement: il ruolo sinergico di AGID e CONSIP e l’attività di centralizzazione degli acquisti pubblici. – 3.2.1. Lo strumento dell’accordo quadro e la logica regolatoria. – 3.2.2. Alcuni esempi di appalti pubblici di cybersicurezza effettuati in Italia: la “Gara Sicurezza On Premises” e la “Gara Servizi Sicurezza da Remoto”. – 3.2.3. Gli appalti pubblici di cybersicurezza nell’ambito del Perimetro di Sicurezza Nazionale Cibernetica. – 3.3. La disciplina speciale di cybersecurity public procurement: gli appalti dell’Agenzia per la Cybersicurezza Nazionale. – 4. I limiti della logica autoritativa sulla dimensione “orizzontale” della cybersicurezza pubblica.
1. La dimensione “orizzontale” della cybersicurezza pubblica nella relazione fra soggetti pubblici e privati: un rapporto sbilanciato fra autoritatività e collaborazione Se la dimensione “verticale” della cybersicurezza concerne la relazione che intercorre fra i diversi livelli di governo (europeo e nazionale), la dimensione “orizzontale” riguarda invece il rapporto che in questo ambito si instaura fra i soggetti pubblici e i soggetti privati.
108
CAPITOLO IV
A livello teorico, quest’ultima relazione dovrebbe essere fondata sul principio della collaborazione fra tutti gli attori coinvolti, sia quelli di natura pubblica sia quelli privati, a fronte della complessità del fenomeno che richiede approcci integrati derivanti da prospettive differenziate – come è stato sottolineato in più occasioni dalle Istituzioni europee1. Il principio di collaborazione2, come la dottrina ha evidenziato, si pone d’altronde come fondamento logico dei contesti relativi 1
Cfr. già la Comunicazione della Commissione del 20 ottobre 2004 (COM 2004/698), specialmente punto 2.2., in cui veniva esplicitata l’esigenza di un «dialogo tra il settore pubblico e quello privato sulle questioni di sicurezza»; nonché il Considerando 35) Direttiva (UE) 2016/1148, che espressamente affermava che «[p]oiché la maggioranza delle reti e dei sistemi informativi è gestita da privati, la collaborazione tra il settore pubblico e il settore privato è essenziale». D’altronde, l’art. 7 co. 1 lett. c) della predetta Direttiva aveva previsto che le varie Strategie nazionali in materia di sicurezza della rete e dei sistemi informativi dovessero individuare misure cyber che includessero la collaborazione tra settore pubblico e settore privato. 2 Secondo F. COSTANTINO, voce Open government, in Dig. Disc. Pubbl., Agg., UTET, Torino, 2015, 289, la collaborazione, fra tutti i principi quello dai contorni «maggiormente indefiniti», si distinguerebbe dalla partecipazione a fronte dell’ambito entro il quale si colloca la relazione fra pubblico e privato cui entrambi i principi sottendono: ambito non autoritativo nell’ipotesi della collaborazione, autoritativo invece nel caso della partecipazione. Come si è avuto modo di sottolineare in S. ROSSA, Contributo allo studio delle funzioni amministrative digitali. Il processo di digitalizzazione della Pubblica Amministrazione e il ruolo dei dati aperti, Wolters Kluwer-CEDAM, Milano, 2021, 145, nella collaborazione è centrale il passaggio del privato da soggetto passivo a soggetto attivo dell’attività del soggetto pubblico, come del resto emerge anche dall’accostamento del principio di collaborazione a quello di buona fede fra cittadini e Pubblica Amministrazione ex art. 1 co. 2-bis legge n. 241 del 1990. Sotto questo punto di vista, il principio di collaborazione può essere accostato alla co-amministrazione e al principio di sussidiarietà in senso orizzontale, con la conseguenza che, come evidenziato da G. ARENA, Amministrazione e società. Il nuovo cittadino, in Riv. trim. dir. pubbl., n. 1/2017, 50, il privato e il pubblico condividono tanto «l’esercizio di un potere, [quanto] responsabilità e risorse per la soluzione di problemi di interesse generale». In argomento, in senso lato già A. ZITO, Le pretese partecipative del privato nel procedimento amministrativo, Giuffrè, Milano, 1996, mentre più recentemente e in relazione al tema attiguo della cittadinanza attiva in rapporto al territorio si veda G. DE GIORGI CEZZI, F. D’AGOSTINO, Pratiche di cittadinanza attiva e tutela del territorio. Partecipazione ed emersione degli interessi delle comunità locali e dei territori, in L. GIANI, M. D'ORSOGNA, A. POLICE (cur.), Dal diritto dell’emergenza al diritto del rischio, Editoriale Scientifica, Napoli, 2018, 171 ss.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
109
alla c.d. società del rischio – nella quale ben si colloca la cybersecurity – in contrapposizione all’approccio autoritativo “classico” del command and controll3. L’esigenza di incrementare gli spazi di collaborazione fra tutti gli attori coinvolti è esplicitata dagli strumenti programmatici di cybersicurezza pubblica nazionale ed europea – si pensi alla Strategia nazionale di cybersicurezza 2022-20264 o al recente documento di politica di cyberdifesa dell’Unione europea 5 – ed è invocata anche dai recenti studi dottrinali 6. Se si osserva con attenzione il modo in cui viene data attuazione a tale relazione, ci si accorge, tuttavia, di come il rapporto fra soggetti pubblici e soggetti privati sia nel concreto perseguito con modalità 3
Chiaro sul punto A. BARONE, Il diritto del rischio, Giuffrè, Milano, 2006, 64 secondo il quale «[i]l diritto del rischio delinea modelli relazioni basati, piuttosto che su meccanismi di command and control o di integrale “autoamministrazione” privata, sull’integrazione e sulla cooperazione tra pubblico e privato». Per profili processuali inerenti la società globale del rischio invece R. LOMBARDI, La tutela delle posizioni giuridiche meta-individuali nel processo amministrativo, Giappichelli, Torino, 2008. D’altronde, si pensi che il principio di collaborazione è uno dei tre pilastri del paradigma dell’Open Government, unitamente ai principi di trasparenza e partecipazione. In proposito si vedano F. COSTANTINO, voce Open government, cit., nonché E. CARLONI, L’amministrazione aperta. Regole e limiti dell’open government, Maggioli, Santarcangelo di Romagna, 2014; sia permesso il rimando a S. ROSSA, Contributo allo studio delle funzioni amministrative digitali. Il processo di digitalizzazione della Pubblica Amministrazione e il ruolo dei dati aperti, cit. Per una visione oltre confine di questo fenomeno, si vedano altresì J. VON LUCKE, K. GROSSE, Open Government Collaboration. Opportunities and Challenges of Open Collaborating With and Within Government, in M. GASCÓ-HERNANDEZ (cur.), Open Government. Opportunities and Challenges for Public Governance, Springer, New York, 2014, 189 ss.; D. LATHROP, L. RUMA, Open Government: Collaboration, Transparency, and Participation in Practice, O’Reilly, Sebastopol, 2010. 4 AGENZIA PER LA CYBERSICUREZZA NAZIONALE, Strategia nazionale di cybersicurezza 2022-2026, 2022, Prefazione, 2. 5 Comunicazione congiunta al Parlamento europeo e al Consiglio della Commissione europea del 10 novembre 2022 (JOIN(2022) 49 final), Introduzione, 1. 6 Ex multis L. PREVITI, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, in federalismi.it, n. 25/2022, 65 ss.; I. FORGIONE, Il ruolo strategico dell’Agenzia Nazionale per la Cybersecurity nel contesto del sistema di sicurezza nazionale: organizzazione e funzione, fra regolazione europea e interna, in Dir. amm., n. 4/2022, 113 ss.; sia consentito il richiamo a S. ROSSA, Administrative Law Reflections on Cybersecurity, and on Its Institutional Actors, in the European Union and Italy, in Italian Journal of Public Law, n. 2/2022, 426 ss.
110
CAPITOLO IV
riconducibili alla (tradizionale) logica autoritativa, basata sullo schema “norma-potere-effetto”7, che si traduce nell’imposizione di obblighi in capo al privato sui quali vigila il soggetto pubblico, irrogando nel caso la sanzione prevista. Aspetto che conduce a ritenere evidente la contrapposizione fra tale logica e quella collaborativa fra pubblico e privato8. Come sarà analizzato di seguito, la relazione fra soggetti pubblici e privati nell’ambito della cybersicurezza è caratterizzata (quasi) totalmente dall’approccio autoritativo, con la conseguenza che i pochi spazi di collaborazione fra pubblico e privato esistenti appaiono essere relegati al margine della disciplina al punto tale da risultare (quasi) effimeri, contraddicendo in questo modo uno dei pilastri concettuali fondanti della stessa cybersecurity. Questo aspetto appare diffuso al punto da venire in rilievo sia tanto nella disciplina generale stabilita in materia di cybersecurity (par. 2), quanto in quella del public procurement di beni e servizi cyber (par. 3), incidendo in modo negativo sul perseguimento dell’interesse pubblico e sulla tutela delle situazioni giuridiche soggettive9.
7
Celebre schema elaborato da E. CAPACCIOLI, Disciplina del commercio e problemi del processo amministrativo, in ID., Diritto e processo, CEDAM, Padova, 1978, 310 ss., che come noto si contrappone a quello “norma-fatto-effetto”. 8 D’altronde, come è stato sottolineato da L. PREVITI, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, cit., 93, questo rapporto di collaborazione non è ancora stato attuato pienamente. 9 L’auspicato maggior coinvolgimento di soggetti terzi in ambito di cybersicurezza si contrappone al forte accentramento di tale materia a vantaggio del Governo, come avviene ad esempio in Italia in relazione alla figura del Presidente del Consiglio dei Ministri. Accentramento che, se può essere giustificato in considerazione della delicatezza delle questioni di cybersecurity e del loro legame con la sfera dell’intelligence, può fuor di dubbio essere contestato sia in relazione al livello di controllo parlamentare e delle minoranze politiche, sia sulla forte instabilità politica che caratterizza, in Italia, il rapido avvicendarsi di Governi anche di opposto schieramento (cfr. L. TENTONI, Crisi di governo? In Italia è quasi normale: in 73 anni di Repubblica 6 anni in “ordinaria amministrazione”, in Lab Parlamento, 2019, che pone in evidenza come in poco meno di ottant’anni vi siano state più di sessanta crisi di governo).
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
111
2. La logica autoritativa nella disciplina generale della cybersicurezza pubblica: la centralità del binomio “obbligo-sanzione” Si è scritto in precedenza di come la disciplina in materia di cybersicurezza pubblica abbia una struttura multilivello, nella quale la normativa europea impone una cornice minima che deve essere attuata e implementata dai Paesi membri nei rispettivi ordinamenti nazionali. L’impianto generale della normativa in materia di cybersicurezza pubblica si fonda sul binomio “obbligo-sanzione”, imponendo in particolare due grandi categorie di obblighi in capo ai soggetti privati. Da un lato, quello di adottare misure tecniche minime di cybersicurezza sulle proprie reti o infrastrutture digitali10, a livello organizzativo ma non soltanto, e di comunicare alle autorità pubbliche eventuali incidenti o attacchi cyber avvenuti sulle stesse (par. 2.1.); obbligo particolarmente rilevante, specialmente a fronte della predisposizione del Perimetro di Sicurezza Nazionale Cibernetica (par. 2.1.1.). Dall’altro lato, invece, è imposto l’obbligo a tutti i produttori di tecnologia del rispetto delle norme comuni minime per certificare il livello di cybersicurezza dei beni o servizi immessi sul mercato, e dunque impiegati sulle reti e sulle infrastrutture digitali esistenti (par. 2.2.). 2.1. Gli obblighi dell’adozione di misure tecniche minime e di comunicazione di cyber incidenti La Direttiva (UE) 2016/1148 c.d. NIS, recentemente abrogata dalla Direttiva (UE) 2022/2555, c.d. NIS 2, che ne ha tuttavia conservato l’impianto, ha imposto alcuni obblighi di cybersecurity in capo agli Stati – l’adozione di una strategia nazionale di cybersicurezza e la designazione di apposite autorità nazionali in materia – e altri in capo a particolari soggetti privati, inizialmente identificati dalla Direttiva NIS in operatori di servizi essenziali e in fornitori di servizi digitali11, at 10
Reti o infrastrutture digitali impiegate anche dalle Pubbliche Amministrazioni per perseguire l’interesse pubblico. 11 Cfr. Considerando 7), art. 4 num. 4) e 5) e Allegati II e III Direttiva (UE) 2016/1148.
112
CAPITOLO IV
tualmente definiti dalla Direttiva NIS 2 soggetti essenziali e soggetti importanti12. Prescindendo dalla questione dell’identificazione della precisa categoria di tali soggetti, legata alla definizione dei diversi settori d’intervento (considerati di “elevata criticità”13 e “critici”14 dalla NIS 2 e maggiormente estesi rispetto a quelli previsti dalla NIS), la disciplina delle Direttive NIS e NIS 2 pone in capo a essi specifici obblighi di sicurezza informatica15, di gestione del rischio cyber16 e di notifica di incidenti cyber, che si concretizzano nello specifico nell’adozione di misure organizzative e tecniche adeguate e proporzionate di protezione delle proprie reti e dei propri sistemi informati 12
Cfr. art. 3 Direttiva (UE) 2022/2555. Cfr. Allegato I Direttiva (UE) 2022/2555: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC (business-to-business), Pubblica Amministrazione e spazio. 14 Cfr. Allegato II Direttiva (UE) 2022/2555: servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali, ricerca. 15 In considerazione del fatto che non vi era identità fra l’attività svolta degli operatori di servizi essenziali e quella dei fornitori di servizi digitali, purtuttavia le attività dei primi dipendevano da quelle dei secondi, la Direttiva NIS stabiliva norme analoghe ma non sovrapponibili totalmente, specialmente in punto di obblighi di sicurezza. In tal senso anche A. CONTALDO, L. SALANDRI, La disciplina della cybersecurity nell’Unione europea, in A. CONTALDO, D. MULA (cur.), Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, Pacini, Pisa, 2020, 54-55. Alcuni esempi a sostegno di questa affermazione. In primis, gli obblighi in materia di sicurezza, notifica degli incidenti, attuazione e controllo non si applicavano, ai sensi dell’art. 16 co. 11 Direttiva (UE) 2016/1148, alle microimprese e alle piccole imprese. Inoltre, ai sensi dell’art. 16 co. 4 ultimo periodo della Direttiva, «l’obbligo di notificare un incidente si applica[va] soltanto qualora il fornitore di servizi digitali abbia accesso alle informazioni necessarie per valutare l’impatto di un incidente». Infine, ex art. 16 co. 10 della Direttiva, contrariamente a quanto avviene in riferimento agli operatori di servizi essenziali, nei confronti dei fornitori di servizi digitali i Paesi membri non potevano stabilire obblighi ulteriori rispetto a quelli previsti della Direttiva. In ogni caso, si confrontino, ad esempio gli artt. 14 e 15 con gli artt. 16 e 17 Direttiva (UE) 2016/1148. 16 Cfr. art. 21 Direttiva (UE) 2022/2555. In argomento si veda F. BAVETTA, Direttiva NIS 2: l’innalzamento dei livelli di cybersicurezza a livello europeo, in Media Laws – Riv. dir. media, n. 3/2022, 405 ss. 13
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
113
vi, onde prevenire e minimizzare eventuali rischi e incidenti; qualora questi ultimi dovessero accadere, tali soggetti sono chiamati ad adottare misure per minimizzarne gli effetti informando celermente le autorità pubbliche preposte17. Più nel dettaglio, nell’ipotesi di incidente gli Stati membri devono provvedere affinché i soggetti essenziali e importanti notifichino al CSIRT, o all’autorità nazionale competente, «senza indebito ritardo» quegli incidenti che hanno un significativo impatto18 sulla fornitura dei loro servizi19. A fronte di questi obblighi in capo ai soggetti privati destinatari, i quali devono fornire le informazioni necessarie per una corretta valutazione circa la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza, nonché fornire la prova dell’effettiva attuazione delle politiche di sicurezza, la disciplina della Direttiva NIS e NIS 2 prevede che siano gli Stati membri a vigilare su di essi e a controllarli, per il tramite delle rispettive autorità nazionali competenti20, potendo emanare nei loro confronti «istruzioni vincolanti»21 e potendo stabilire discrezionalmente le sanzioni ritenute più opportune, purché risultino dotate dei caratteri di effettività, proporzionalità e dissuasività22. Il d.lgs. n. 65 del 2018, di recepimento della Direttiva NIS 23, 17
Cfr. art. 23 Direttiva (UE) 2022/2555. Ai sensi dell’art. 23 co. 3 Direttiva (UE) 2022/2555, un incidente è significativo se «a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli». 19 Cfr. art. 23 co. 1 Direttiva (UE) 2022/2555. 20 Cfr. artt. 32 e 33 Direttiva (UE) 2022/2555. In ogni caso, stante lo stretto legame che intercorre fra cybersicurezza e tutela dei dati personali, come affermato dall’art. 31 della citata direttiva, le autorità nazionali per la cybersicurezza devono cooperare con le autorità nazionali preposte alla tutela e alla protezione dei dati personali. 21 Cfr. artt. 32 e 33 Direttiva (UE) 2022/2555 nonché art. 15 Direttiva (UE) 2016/1148. 22 Cfr. art. 36 Direttiva (UE) 2022/2555 nonché art. 21 Direttiva (UE) 2016/1148. 23 Come già sottolineato, la Direttiva NIS 2 è stata approvata da pochi mesi e non è stata ancora recepita dai Paesi membri, Italia compresa, ragion per cui la disciplina attualmente in vigore è quella stabilita dal d.lgs. n. 65 del 2018. 18
114
CAPITOLO IV
ha ottemperato alle indicazioni europee introducendo obblighi in capo ai soggetti privati destinatari. In particolare, la disciplina italiana impone agli operatori di servizi essenziali 24 e ai fornitori di servizi digitali25 di adottare misure organizzative e tecniche «adeguate e proporzionate» per evitare, fronteggiare e gestire eventuali rischi di attacchi cyber alla propria rete o ai propri sistemi digitali 26, nonché per minimizzare gli effetti derivanti da incidenti cibernetici che possono coinvolgere la sicurezza della rete e dei sistemi digitali impiegati per fornire, da un lato, i servizi essenziali27 e, dall’altro, i servizi digitali28. A tal fine, gli operatori di servizi essenziali e i fornitori di servizi essenziali devono notificare «senza ingiustificato ritardo» al CSIRT italiano gli eventuali incidenti che abbiano un rilevante impatto sulla continuità dell’erogazione dei servizi essenziali forniti29 e di quelli digitali30. Come è stato sottolineato, per i soggetti diversi dagli operatori di servizi essenziali e dai fornitori di servizi digitali non vige tale obbligo 31. Per la determinazione dell’impatto dell’incidente si impiegano i medesimi parametri descritti dalla disciplina europea32 e, nello specifico per i fornitori di servizi digitali, quelli previsti dal Regolamento di esecuzione (UE) 2018/151 della Commissione, del 30 gennaio 201833. Sul rispetto di tali obblighi vigila l’autorità competente 24
Cfr. art. 4 co. 2 d.lgs. n. 65 del 2018. Cfr. art. 3 co. 1 lett. i) d.lgs. n. 65 del 2018 un fornitore di servizio digitale è una «qualsiasi persona giuridica che fornisce un servizio digitale». Ai sensi dell’allegato 3 al decreto in questione, essi sono imprese che operano nel mercato online e che offrono servizi di ricerca web (i c.d. motori di ricerca online) e di cloud computing. 26 Cfr. art. 12 co. 1 e art. 14 co. 1 d.lgs. n. 65 del 2018. Si badi che, secondo l’art. 12 co. 3 del decreto in esame, gli operatori di servizi essenziali devono tener conto delle linee guida del gruppo di cooperazione e dell’autorità competente NIS. 27 Cfr. art. 12 co. 2 d.lgs. n. 65 del 2018. 28 Cfr. art. 14 co. 3 d.lgs. n. 65 del 2018. 29 Cfr. art. 12 co. 5 d.lgs. n. 65 del 2018. 30 Cfr. art. 14 co. 4 d.lgs. n. 65 del 2018. 31 In tal senso A. RENZI, La sicurezza cibernetica: lo stato dell’arte, in Giorn. dir. amm., n. 4/2021, 541-542. 32 Cfr. art. 12 co. 8 e art. 14 co. 7 d.lgs. n. 65 del 2018. 33 Regolamento di esecuzione (UE) 2018/151 della Commissione, del 30 gennaio 2018, “recante modalità di applicazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio per quanto riguarda l’ulteriore specificazione 25
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
115
NIS34, vale a dire l’Agenzia per la Cybersicurezza Nazionale35, e nell’ipotesi di violazione 36 i suddetti attori privati incorrono nell’irrogazione di sanzioni amministrative37.
2.1.1. Un caso peculiare: il Perimetro di Sicurezza Nazionale Cibernetica Una ipotesi particolare dalla quale emerge in modo evidente l’approccio fondato sul binomio “obbligo-sanzione” nell’ambito della cybersicurezza pubblica è costituito dalla disciplina del Perimetro di sicurezza nazionale cibernetica. Nell’autunno del 2019, l’allora Governo Conte II approvò il decreto-legge n. 105 del 2019, successivamente convertito in legge n. 133 del 201938, recante la disciplina istitutiva del Perimetro di Sicu degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e dei parametri per determinare l’eventuale impatto rilevante di un incidente”. 34 Cfr. art. 20 d.lgs. n. 65 del 2018. 35 Cfr. art. 7 co. 1, in particolare lett. d) e i) d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 36 Cfr. art. 21 d.lgs. n. 65 del 2018. 37 In argomento, in generale, oltre ovviamente a G. ZANOBINI, Le sanzioni amministrative, Bocca, Torino, 1924, AA.VV., Le sanzioni amministrative, Atti del XXVI Convegno di Studi di Scienza dell’Amministrazione (Varenna, 18-20 settembre 1980), Giuffrè, Milano, 1982, si vedano C.E. PALIERO, A. TRAVI, Sanzioni amministrative, in Enc. Dir., Vol. XLI, Giuffrè, Milano, 1989, 345 ss.; M.A. SANDULLI, Sanzioni amministrative, in Enc. giur. Treccani, Vol. XXVIII, BolognaRoma, Zanichelli, 1992, 1 ss.; E. CASETTA, Sanzione amministrativa, in Dig. disc. pubbl., Vol. XIII, UTET, Torino, 1997, 598 ss.; P. CERBO, Le sanzioni amministrative, in S. CASSESE (cur.), Trattato di diritto amministrativo – Parte speciale, Tomo I, ed. II, Giuffrè, Milano, 2003, 579 ss.; A. CAGNAZZO, S. TOSCHEI, La sanzione amministrativa. Principi generali, Giappichelli, Torino, 2011. In argomento sia consentito il rimando a S. ROSSA, Il difficile rapporto fra la “piena giurisdizione” ai fini CEDU, le sanzioni delle amministrazioni indipendenti e il giudizio amministrativo, in Dir. e proc. amm., n. 1/2020, 287 ss. 38 Decreto-Legge 21 settembre 2019 n. 105, convertito con modificazioni dalla Legge 18 novembre 2019, n. 133. In argomento S. MELE, Il Perimetro di sicurezza nazionale cibernetica e il nuovo “golden power”, in G. CASSANO, S. PREVITI (cur.), Il diritto di internet nell’era digitale Giuffrè, Milano, 2020, 186 ss. In relazione al tema del golden power, sul quale non ci si soffermerà, si vedano anche A. SANDULLI, Lo “Stato digitale”. Pubblico e privato nelle infrastrutture digitali nazionali stra-
116
CAPITOLO IV
rezza Nazionale Cibernetica (d’ora in avanti PSNC). Una normativa ritenuta essenziale per il Paese, come emerge dal fatto che il testo del decreto-legge venne approvato senza importanti modifiche rispetto al testo originario elaborato durante il governo precedente di diverso orientamento politico (il c.d. Governo Conte I)39. Con l’istituzione del PSNC, l’ordinamento italiano si è dotato di una disciplina unica e d’avanguardia nel panorama europeo della cybersicurezza pubblica, adottando in questo modo una cornice all’interno della quale vengono applicate speciali norme in materia di cybersecurity in capo a specifici soggetti ritenuti particolarmente sensibili. La ratio del PSNC, infatti, è garantire un elevato livello di sicurezza delle reti e dei sistemi informativo-digitali di quei soggetti, pubblici o privati, che esercitano una funzione dello Stato considerata “essenziale” o che prestano un servizio pubblico “essenziale” per il mantenimento di quelle attività fondamentali per gli interessi dello Stato di natura civile, sociale o economico, in relazione a cui un loro possibile malfunzionamento, interruzione, impiego improprio, è in grado di cagionare un pregiudizio alla sicurezza nazionale40. Il PSNC, come la dottrina ha rilevato, costituisce un tentativo di implementare una «difesa unitaria»41 di soggetti la cui attività risulta cruciale per lo Stato. Il Governo e il legislatore, in sede di conversione, non hanno precisato nel dettaglio quali siano i soggetti chiamati al rispetto della disciplina in questione, rimandando la loro concreta identificazione a tegiche, in Riv. trim. dir. pubbl., n. 2/2021, 513 ss.; S. DE NITTO, Il “golden power” nei settori rilevanti della difesa e della sicurezza nazionale: alla ricerca di un delicato equilibrio, in Dir. amm., n. 2/2022, 553 ss.; nonché L. FIORENTINO, Verso un sistema integrato di sicurezza: dai poteri speciali al perimetro cibernetico, in G. DELLA CANANEA, L. FIORENTINO (cur.), I “poteri speciali” del Governo nei settori strategici, Editoriale Scientifica, Napoli, 2020, 39 ss. 39 In tal senso B. CAROTTI, Sicurezza cibernetica e Stato-Nazione, in Giorn. dir. amm., n. 5/2020, 629 ss. il quale correttamente mette in risalto i dubbi circa l’esistenza di condizioni di straordinarietà, necessità e urgenza che legittimerebbero il ricorso al decreto-legge in questione, anziché un diverso atto avente forza di legge. 40 Cfr. art. 1 co. 1 e art. 1 co. 2 lett. a) num. 1-2-bis) d.l. n. 105 del 2019, conv. l. n. 133 del 2019. 41 In tal senso A. RENZI, La sicurezza cibernetica: lo stato dell’arte, cit., 542.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
117
un atto di natura amministrativa42, adottato circa un anno dopo l’approvazione della disciplina normativa del PSNC43. Il DPCM n. 131 del 2020 stabilisce, innanzitutto, che le norme del PSNC si applicano, da un lato, a ogni soggetto a cui l’ordinamento attribuisca compiti volti ad assicurare «la continuità dell’azione del Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti»44 – vale a dire tutti quei compiti che si concretizzano nell’esercizio di una funzione essenziale dello Stato. Dall’altro lato, le norme del Perimetro devono essere rispettate altresì da ogni soggetto pubblico o privato che presti un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, ovvero «attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale»45. Stante il silenzio del decreto-legge n. 105 del 2019 sul punto, tale elencazione costituisce l’unico tentativo di una (indiretta) definizione di “funzione essenziale dello Stato” e di “servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Sta 42
Cfr. DPCM 30 luglio 2020 n. 131. Questo modus procedendi è stato seguito diverse volte dalla disciplina dettata dal d.l. n. 105 del 2019 e dalla sua legge di conversione. 44 Art. 2 co. 1 lett. a) DPCM 30 luglio 2020, n. 131. 45 Art. 2 co. 1 let. b) DPCM 30 luglio 2020, n. 131. Ai sensi dell’art. 2 co. 2 dello stesso atto, oltre ai soggetti sopra elencati, il DPCM prevede che gli Organi aventi rilevanza costituzionale non siano obbligati ad adottare le misure di sicurezza di reti e sistemi informativi del Perimetro di sicurezza nazionale cibernetica, ma ne abbiano la facoltà, da attuare ricorrendo a specifici accordi con il Presidente del Consiglio dei Ministri. 43
118
CAPITOLO IV
to”. Concetti chiave dell’impianto normativo attorno a cui ruota l’implementazione PSNC. In relazione a queste due macrocategorie di soggetti in capo a cui si applicano le norme del PSNC, al fine della loro individuazione il DPCM n. 131 del 2020 specifica alcuni settori di attività all’interno dei quali essi operano (il settore governativo, l’interno, la difesa, lo spazio e l’aerospazio, l’energia, le telecomunicazioni, l’economia e la finanza, i trasporti, i servizi digitali, le tecnologie critiche). Nonostante la precisazione dei settori, in base a quanto ricostruito non è possibile desumere in modo chiaro e univoco i singoli soggetti ricompresi nel Perimetro. Il motivo è chiaro: in base alla previsione della disciplina normativa, stante la delicatezza della questione – per la quale l’indicazione dello specifico attore all’interno dell’elenco lo renderebbe un bersaglio di possibili cyber attacchi ed evidenzierebbe che la sua attività è cruciale per lo Stato – l’elencazione precisa dei soggetti cui si applicano le norme del PSNC non è soggetta a pubblicazione ed è sottratta al diritto di accesso, tant’è che la relativa iscrizione a tale elenco è comunicata ai singoli attori con modalità riservate dai soggetti preposti – cioè il Comitato interministeriale per la sicurezza della Repubblica per il settore governativo e i vari Ministeri competenti per le altre aree d’attività – ed è trasmessa al Dipartimento delle informazioni per la sicurezza46. Individuati, almeno sul piano categoriale, i soggetti a cui si rivolgono le norme del PSNC, la disciplina impone in capo a essi specifici obblighi che, come è stato osservato47, hanno una duplice natura: preventiva, essendo previste misure volte a evitare ex ante un eventuale incidente o attacco informatico; e di notificazione e risposta, in quanto obblighi mirati a informare le specifiche autorità competenti circa un attacco o un incidente informatico e all’adozione di ulteriori misure tecniche in conseguenza di essi. In relazione agli obblighi preventivi, i soggetti individuati nell’ambito del PSNC devono predisporre e aggiornare periodicamente – almeno una volta all’anno, in considerazione della rapida evoluzione tecnologica – l’elenco delle reti, dei sistemi informativo 46
Cfr. art. 1 co. 2-ter d.l. n. 105 del 2019, conv. l. n. 133 del 2019 e art. 3 co. 1 lett. a-i) e co. 2 DPCM 30 luglio 2020, n. 131. 47 A. RENZI, La sicurezza cibernetica: lo stato dell’arte, cit., 543.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
119
digitali e dei servizi informatici di propria pertinenza, e devono comunicarli alle autorità competenti48. In questo modo, queste ultime sono messe nella condizione di ottenere un’istantanea circa lo stato dei beni tecnologici delle reti e dei sistemi informativi, da cui dipende l’esercizio di funzioni o servizi particolarmente sensibili e cruciali per lo Stato, e dunque da proteggere in modo “privilegiato” e che possono essere per tal ragione oggetto di attacchi. Oltre a ciò, i soggetti nell’elenco devono altresì procedere a effettuare l’analisi del rischio dei singoli beni tecnologici, in merito a incidenti o attacchi cibernetici alle proprie reti o infrastrutture informative, anche per quanto concerne le relazioni di dipendenza con altre reti o altre infrastrutture digitali49. Si affianca a tale obbligo un’ulteriore misura volta a prevenire possibili attacchi o incidenti50 e attuata anche in tale occasione sul piano regolamentare51: l’adozione di tutte le misure tecniche di cybersicurezza stabilite dagli organi competenti sul piano domestico o internazionale (in particolare il Comitato interministeriale per la sicurezza della Repubblica) finalizzate a rendere sicure le reti, i sistemi informativi e i singoli beni tecnologici loro componenti52. E, si badi, indipendente che essi abbiano subito un attacco o un incidente cibernetico. A completamento degli obblighi di natura preventiva, la disciplina normativa impone agli attori a cui si applicano le disposizioni del PSNC di comunicare al Centro di valutazione e certificazione nazionale, (CVCN), istituito inizialmente presso il Ministero dello Sviluppo Economico e ora presso l’Agenzia per la Cybersicurezza Nazionale, l’intenzione di procedere all’acquisto di forniture di beni, sistemi o servizi relativi alle tecnologie dell’informazione e della comunicazione che possano essere implementati o utilizzate sulle reti
48
Cfr. art. 1 co. 2 lett. b) d.l. n. 105 del 2019, conv. l. n. 133 del 2019. Per l’attuazione di tale norma di veda l’art. 7 DPCM 30 luglio 2020, n. 131. 49 Cfr. art. 7 co. 2 DPCM 30 luglio 2020, n. 131. 50 Cfr. art. 1 co. 3 lett. b) d.l. n. 105 del 2019, conv. l. n. 133 del 2019. 51 Cfr. DPCM 14 aprile 2021, n. 81. 52 Come sottolineato da A. RENZI, La sicurezza cibernetica: lo stato dell’arte, cit., 543, il modello di misure di sicurezza da adottare è il Framework Nazionale per la Cyber Security e la Data Protection.
120
CAPITOLO IV
o sui sistemi informativo-digitali con cui sono esercitate le funzioni pubbliche o prestati i servizi pubblici cruciali per lo Stato53. Per quanto invece attiene agli obblighi di carattere di notificazione, la disciplina impone ai soggetti del PSNC di notificare gli incidenti aventi impatto su beni ICT relativi alle proprie reti o ai propri sistemi informativi o servizi informatici. L’organo incaricato di ricevere tali notifiche è il Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT, acronimo per la locuzione inglese Computer Security Incident Response Team) italiano, il quale le deve inoltrare prontamente al Dipartimento delle informazioni per la sicurezza (DIS), il quale poi a sua volta informerà le autorità competenti nel singolo settore coinvolto54. Tale obbligo di notifica è stato attuato sul piano regolamentare dal citato DPCM n. 81 del 2021. Quest’ultimo atto distingue in primis fra notifiche obbligatorie e notifiche facoltative55. Le notifiche obbligatorie sono quelle relative a incidenti descritti e previsti espressamente dal DPCM, mentre sono facoltative quelle i cui casi esulano da quelli contenuti nel decreto presidenziale: in tale ipotesi esse devono essere trasmesse al CSIRT italiano che tratta «in subordine a quelle obbligatorie e qualora tale trattamento non costituisca un onere sproporzionato o eccessivo»56. In ogni caso, l’obbligo di notifica non si limita all’incidente in sé, ma comprende altresì la comunicazione relativa a eventuali elementi significativi correlati all’incidente e sorti in itinere (si pensi, ad esempio, alla scoperta di vulnerabilità informatiche). Il CSIRT italiano risulta così essere l’organo incaricato di inoltrare le notifiche ricevute alle autorità competenti57. 53
Cfr. art. 1 co. 6 lett. a) d.l. n. 105 del 2019, conv. l. n. 133 del 2019. In attuazione di tale norma è intervenuto il DPR 15 giugno 2021. 54 Cfr. art. 1 co. 3 lett. a) d.l. n. 105 del 2019, conv. l. n. 133 del 2019. 55 Cfr. artt. 3 e 4 DPCM 14 aprile 2021, n. 81. 56 Cfr. art. 4 co. 2 DPCM 14 aprile 2021, n. 81. Il decreto distingue ulteriormente fra notifiche obbligatorie relative a incidenti più gravi e notifiche obbligatorie relative a incidenti meno gravi: le prime devono essere trasmesse al CSIRT nazionale entro il termine di un’ora da quando il soggetto sia venuto a conoscenza dell’incidente, le seconde, invece, devono essere evase entro le sei ore successive alla conoscenza dell’incidente. 57 Cfr. art. 5 co. 3 DPCM 14 aprile 2021, n. 81. Una recente norma (art. 37quater decreto-legge 9 agosto 2022, n. 115, conv. l. 21 settembre 2022, n. 142) è intervenuta in tema di notificazione degli incidenti, stabilendo che gli attori del pe-
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
121
Avendo posto gli obblighi sopra descritti, la disciplina ha previsto, nell’ipotesi della loro violazione, un duplice sistema sanzionatorio: uno di natura amministrativa, affidato alla Presidenza del Consiglio dei Ministri e all’Agenzia per la Cybersicurezza Nazionale58 e consistente nell’irrogazione di sanzioni pecuniarie; l’altro di carattere penale e affidato al giudice59. La linea di demarcazione fra l’applicazione della sanzione penale o di quella amministrativa è rappresentata dalla presenza del dolo specifico60, la cui ratio discende dalla delicatezza degli interessi in gioco, sensibili e cruciali per la tenuta e la funzionalità delle Istituzioni repubblicane – come testimoniato dalla previsione della reclusione in carcere per chi fornisca informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l’aggiornamento degli elenchi de quibus o ai fini delle comunicazioni, o per lo svolgimento delle attività ispettive e di vigilanza od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, con il preciso intento di ostacolare o condizionare l’espletamento dei procedimenti o delle attività ispettive e di vigilanza61. E da questo rilievo che discende una norma “particolare” prevista dalla disciplina del decreto-legge. Essa preveda che, nell’ipotesi di un «rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi informativi e servizi informatici», il Presidente del Consiglio dei Ministri, su deliberazione del Comitato interministeriale rimetro di sicurezza nazionale cibernetica non debbono limitarsi a notificare gli incidenti sulle proprie reti e sui propri sistemi informativo-digitali che riguardano beni e servizi digitali rientranti ricompresi nel PSNC, ma devono procedere alla notifica degli incidenti relativi a reti e sistemi concernenti anche beni e servizi digitali esclusi dal Perimetro. La norma ha suscitato perplessità, soprattutto legate alla tempistica di tale notificazione, la quale deve essere comunicata entro settantadue ore dalla sua avvenuta conoscenza. In tal senso F. CERCIELLO, Nuovi obblighi di notifica degli incidenti: quali conseguenze per i soggetti inclusi nel PSNC, in cybersecurity360.it, 29 settembre 2022. 58 Cfr. art. 1 co. 9-13 d.l. n. 105 del 2019, conv. l. n. 133 del 2019, nonché art. 7 co. 1 lett. f) d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 59 In ogni caso, la norma prescrive che le sanzioni amministrative si applicano «salvo che il fatto costituisca reato». 60 Così F. AGNINO, Cyber security: le novità della legge n. 133/2019, in Il Penalista, 12 dicembre 2019. 61 Cfr. art. 1 co. 11 d.l. n. 105 del 2019, conv. l. n. 133 del 2019.
122
CAPITOLO IV
per la sicurezza della Repubblica possa disporre la disattivazione totale o parziale di uno o più beni o servizi impiegati nelle reti, nei sistemi o per la prestazione dei servizi interessati62. Questa misura è una sorta di extra ratio: può essere adottata soltanto se risulti indispensabile per l’eliminazione del particolare fattore di rischio, o per la sua mitigazione, e può essere disposta unicamente per il tempo necessario. In ogni caso, devono ovviamente essere rispettati i principi generali dell’ordinamento, fra cui quello di proporzionalità dell’adozione delle misure63. Dalla disciplina stabilita dal legislatore in relazione al Perimetro di sicurezza nazionale cibernetica, al di là della sua complessa tecnica redazionale64, emerge a livello complessivo come l’impianto del PSNC sia fondato su un criterio di progressività e di gradualità – previsto in modo esplicito dal decreto-legge65 – grazie al quale viene attribuito dinamismo e aderenza al testo normativo a fronte del rapido mutare del contesto tecnologico. È questo il motivo che sorregge la scelta di rimandare ad atti regolamentari l’individuazione, ad esempio, dell’elenco dei soggetti del PSNC e del suo possibile futuro ampliamento; nonché quello di individuare le varie misure in modo progressivo, valutandone i risultati in base al singolo caso specifico. 2.2. L’obbligo del rispetto del quadro comune per la certificazione della cybersicurezza di beni e servizi Oltre ad aver modificato significativamente la struttura e le funzioni istituzionali dell’ENISA, il Regolamento (UE) 2019/881, c.d. Cybersecurity Act, ha altresì imposto un quadro comune europeo per la certificazione della cybersecurity di prodotti, servizi e processi digitali. 62
Cfr. art. 5 d.l. n. 105 del 2019, conv. l. n. 133 del 2019. Ibidem . Il comma 1-bis di questo articolo precisa che in tale ipotesi, il Presidente del Consiglio dei Ministri informa entro trenta giorni il Comitato parlamentare per la sicurezza della Repubblica delle misure disposte per la disattivazione. 64 In proposito alla disciplina in commento, B. C AROTTI, Sicurezza cibernetica e Stato-Nazione, cit., 635 scrive (condivisibilmente) che «[l]a chiarezza complessiva stenta anche solo ad affacciarsi». 65 Cfr. art. 1 co. 2 lett. a) num. 2-bis) e art. 1 co. 2 lett. b) d.l. n. 105 del 2019, conv. l. n. 133 del 2019. 63
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
123
La creazione del quadro comune di certificazione mira a risolvere un problema pratico che si traduce in un pregiudizio generalizzato a danno di tutto il mercato inteso in senso ampio: la mancanza di piena fiducia nei livelli di cybersicurezza dei beni ICT generalmente in uso, derivante dall’assenza certezza pubblica66 circa l’uniformità di sistemi di certificazione transfrontaliera che possano dimostrare ai cittadini, in modo oggettivo e attendibile, che un determinato bene o servizio tecnologico sia sicuro indipendentemente dal Paese UE in cui lo si acquista67. A ben vedere, tuttavia, non sarebbero soltanto i cittadini, e le imprese, a giovare di questo quadro comune di certificazione, ma anche lo stesso settore pubblico – europeo e nazionale – dato che la certificazione della cybersicurezza incide altresì sui settori disciplinati dalle Direttive NIS e NIS 268. La creazione di un tale sistema europeo è in grado, inoltre, di ricucire la frammentazione del mercato europeo interno69 e di rafforzarlo nei confronti di quelli extraeuropei70, poiché fino all’approvazione del Cybersecurity Act vi erano numerosi sistemi di certificazione di sicurezza informatica diversi da Stato a Stato71, molti dei quali di natura privata. Tale aspetto, oltre a generare confusione nei cittadini, minando ulteriormente la loro fiducia nella cybersicurezza dato che essi non erano in grado di valutare la piena attendibilità di un sistema di certificazione ri 66
In argomento già M.S. GIANNINI, Certezza pubblica, in Enc. dir., VI, 1960, 769 ss.; B. TONOLETTI, L’accertamento amministrativo, CEDAM, Padova, 2001; A. FIORITTO, La funzione di certezza pubblica, CEDAM, Padova, 2003; M. IMMORDINO, La certezza del diritto nei rapporti tra amministrazione e cittadini, Giappichelli, Torino 2003; A. ROMANO TASSONE, Amministrazione pubblica e produzione di “certezza”: problemi attuali e spunti ricostruttivi, in Dir. amm., n. 4/2005, 867 ss.; A. BENEDETTI, Certezza pubblica e “certezze private”, Giuffrè, Milano, 2010. 67 Cfr. Considerando 7) Regolamento (UE) 2019/881. 68 In tal senso Considerando 65) Regolamento (UE) 2019/881. 69 Cfr. Considerando 66) Regolamento (UE) 2019/881. 70 Ciò in considerazione del fatto che l’adozione di un sistema di certificazione comune in un mercato vasto, come quello europeo, comporterebbe l’assunzione dei medesimi standard di sicurezza anche in capo alle imprese extraeuropee intenzionate a vendere beni ICT sul territorio unionale. 71 In Italia, in seno all’Agenzia per la Cybersicurezza Nazionale è stato istituito il Centro di Valutazione e Certificazione Nazionale, mentre in precedenza tali funzioni erano esercitate dall’Istituto superiore delle comunicazioni e delle tecnologie dell’informazione istituito press il Ministero dello sviluppo economico.
124
CAPITOLO IV
spetto a un altro nell’ipotesi di contrasto fra essi72, si traduceva in un ulteriore aggravio di costi in capo alle imprese intenzionate a partecipare a procedure di aggiudicazione di altri Stati, a fronte del fatto che i diversi sistemi di certificazione nazionali non erano dotati di reciproco riconoscimento fra i vari Paesi membri73. Per ovviare a questi problemi, le Istituzioni europee sono intervenute al fine di armonizzare la disciplina applicabile in tutti i Paesi membri nel rispetto di quella sulla protezione dei dati trattati74. A norma del Regolamento de quo, la Commissione europea deve pubblicare, e aggiornare al massimo ogni tre anni, il «programma di lavoro progressivo dell’Unione per la certificazione europea della cibersicurezza», il quale contiene le priorità strategiche individuate dalle Istituzioni europee in ambito di certificazione della cybersecurity, nonché l’elenco e le categorie di prodotti, servizi e processi tecnologici oggetto del sistema certificativo75. È proprio sulla base di questo programma di lavoro progressivo che viene redatta la proposta di sistema europeo di certificazione della cybersicurezza: stante il suo alto tasso di tecnicità, la Commissione può richiedere all’ENISA di occuparsi della sua elaborazione: ex novo oppure adattando un modello già esistente76, ma nel rispetto di alcuni criteri tecnici prestabiliti. Innanzitutto, essa deve garantire la protezione dei dati conservati, 72
Come sottolineato dalla dottrina, «[u]n’immagine istantanea di quella che è la realtà circostante viene fornita da alcuni studi condotti dalla Commissione europea, i quali hanno dimostrato come la commercializzazione degli smart meter – vale a dire i c.d. contatori intelligenti – in Germania, Francia e Gran Bretagna, necessiti di tre diversi sistemi di certificazione. Non solo, ma allo stato attuale le imprese si ritrovano a sostenere un elevato livello dei costi per la certificazione degli smart meter, che in Germania supera il milione di euro, mentre in Francia e Gran Bretagna si aggira intorno ai 150.000 euro», F. CAMPARA, Il Cybersecurity Act, in A. CONTALDO, D. MULA (cur.), Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, Pacini, Pisa, 2020, 57 ss. 73 Chiaro il Considerando 67) Regolamento (UE) 2019/881. Infatti, se un operatore economico avesse posseduto la certificazione del proprio Paese, essa non sarebbe stata riconosciuta da quello in cui si sarebbe svolta la procedura di aggiudicazione, con la conseguenza che per partecipare alla gara l’impresa avrebbe dovuto ottenere quella rilasciata dallo Stato straniero. 74 Cfr. art. 46 Regolamento (UE) 2019/881. Il riferimento è al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016. 75 Cfr. art. 47 co. 1, 2 e 5 Regolamento (UE) 2019/881. 76 Cfr. art. 48 co. 1 Regolamento (UE) 2019/881.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
125
trasmessi o trattati nell’ipotesi di archiviazione, trattamento, accesso o divulgazione accidentale o non autorizzata, oltre che nell’ipotesi di distruzione, perdita, alterazione accidentale o non autorizzata e di mancanza di disponibilità. In ogni caso, tale protezione deve coprire l’intero ciclo di vita del prodotto, servizio o processo digitale. In secondo luogo, il sistema proposto deve far sì che le persone, i programmi o i software autorizzati all’accesso debbano poter accedere unicamente a quei dati, servizi o funzioni a cui hanno diritto ad accedere (e dunque non anche ad altri). Il sistema, inoltre, deve poter individuare e documentare le dipendenze e le vulnerabilità conosciute e deve poter registrare le operazioni relative ai dati, servizi e funzioni in relazione a cui è stato effettuato l’accesso e che sono stati utilizzati o trattati, nonché da quale soggetto e in quale momento preciso; oltre ovviamente a consentire di verificare quali dati, servizi o funzioni oggetto di accesso che sono stati utilizzati o altrimenti trattati, da quale soggetto e in quale momento specifico. Nel caso di incidente fisico o informatico, il sistema proposto deve essere in grado di ripristinare tempestivamente la disponibilità e l’accesso ai dati, ai servizi e alle funzioni. Oltre a tali criteri tecnici, la proposta di sistema di certificazione di cybersecurity deve specificare un certificato di conformità77, o una dichiarazione UE di conformità (sul punto infra) per i beni, servizi o processi ICT in base a uno o più livelli crescenti di affidabilità tecnica: “di base”, “sostanziale”, “elevato”78. Come è stato sottolineato, questi livelli indicano, da un lato, «la fiducia di un prodotto, servizio o processo ICT nel soddisfare i requisiti di sicurezza di uno specifico sistema europeo di certificazione della cybersicurezza e, dall’altro, il grado cui gli stessi sono stati sottoposti a valutazione»79; i vari livelli, infatti, sono correlati alla probabilità di cyber rischio associato all’uso in termini e di impatto di un eventuale incidente80. I requisiti minimi 77
Cfr. art. 52 co. 3 e 4 Regolamento (UE) 2019/881. Cfr. art. 52 co. 1 Regolamento (UE) 2019/881. Sulle differenze tecniche fra i vari livelli si rimanda rispettivamente ai commi 5, 6 e 7 del predetto articolo. 79 Così F. CAMPARA, Il Cybersecurity Act, in A. CONTALDO, D. MULA (cur.), Cybersecurity Law, cit., 98. 80 Cfr. art. 52 co. 1 Regolamento (UE) 2019/881. Puntualizza il comma 8 del presente articolo che «[i] sistemi europei di certificazione della cibersicurezza possono precisare vari livelli di valutazione in funzione del rigore e della specificità della 78
126
CAPITOLO IV
che un sistema europeo di certificazione della cybersicurezza deve possedere sono chiari e sono individuati in modo preciso dal Regolamento81. La norma stabilisce, tuttavia, che per dimostrare presuntivamente la conformità agli obblighi di sicurezza cibernetica è possibile impiegare un certificato di conformità, o una dichiarazione UE di conformità, emessi nell’ambito di un sistema europeo di certificazione della cybersecurity – a condizione che ciò sia previsto da un atto giuridico unionale82 o, in sua assenza, da un atto giuridico domestico di uno dei Paesi membri83. Poc’anzi si è accennato alla “dichiarazione UE di conformità” 84: essa è uno strumento, previsto espressamente dal Cybersecurity Act, che consente al produttore (recte: fabbricante) o fornitore di prodotti tecnologici di autovalutare l’affidabilità del proprio bene, servizio o processo ICT, nel caso in cui esso abbia un grado basso di affidabilità di cybersicurezza pari livello “base” fra quelli previsti dal Regolamento in esame. Tramite questa dichiarazione, che è volontaria ed è riconosciuta in tutti i Paesi membri, il fabbricante o fornitore di tecnologia si assume la responsabilità della conformità del proprio prodotto, servizio o processo ICT ai requisiti stabiliti dal Cybersecurity Act; in ogni caso vi è un controllo delle Autorità nazioni preposte e dell’ENISA, ai quali il soggetto privato deve inviare la documentazione tecnica e tutte le informazioni relative alla sicurezza cibernetica del bene, servizio o processo. Un secondo elemento di controllo consiste nell’obbligo, in capo al fabbricante o fornitore, di rendere pubbliche in formato elettronico non solo le informazioni basilari in tema di sicurezza, ma altresì alcune altre informazioni di carattere supplementare85: in questo senso vi è dunque un controllo generalizzato spettante a ciascun cittadino o impresa concorrente. Ai fini della preparazione della proposta di sistema europeo di certificazione della cybersecurity, l’ENISA può istituire appositi metodologia di valutazione utilizzata. Ciascun livello di valutazione corrisponde a uno dei livelli di affidabilità ed è definito da un’idonea combinazione di componenti dell’affidabilità». 81 Cfr. art. 54 co. 1 Regolamento (UE) 2019/881. 82 Cfr. art. 54 co. 3 Regolamento (UE) 2019/881. 83 Cfr. art. 54 co. 4 Regolamento (UE) 2019/881. 84 Cfr. art. 53 Regolamento (UE) 2019/881. 85 Cfr. art. 55 Regolamento (UE) 2019/881.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
127
gruppi di lavoro86 i quali possono avvalersi dell’ausilio delle competenze dell’European Cybersecurity Certification Group (c.d. ECCG)87, il quale ha la facoltà di emettere un parere tecnico non vincolane sulla proposta. La proposta dell’ENISA viene dunque trasmessa alla Commissione e, se accettata, diventa definitiva. La Commissione, pertanto, sulla base di essa può adottare specifici atti di esecuzione88. A fronte della repentina evoluzione della tecnologia, il Regolamento stabilisce che almeno ogni cinque anni l’ENISA deve valutare ogni sistema europeo di certificazione della cybersecurity adottato precedentemente, anche in base al riscontro ricevuto dalle parti interessate89. Approvata nei termini sopra descritti la proposta di sistema, il sistema di certificazione europeo della cybersicurezza diviene definitivo. Pertanto, se i prodotti, i servizi o i processi tecnologici sono conformi alle prescrizioni tecniche ivi contenute, essi sono certificati come sicuri in materia di sicurezza cibernetica90. La scelta effettuata dal Regolamento è stata quella di non rendere obbligatorio il ricorso a tale certificazione, bensì di dotarla dei caratteri di facoltatività e volontarietà: soltanto successive norme europee o domestiche possono disporre diversamente91. Ciononostante, quando un produttore o fornitore di tecnologia vuole avvalersi della certificazione, questi è tenuto a fornire al soggetto pubblico preposto tutte le informazioni tecniche necessarie alla verifica del livello di affidabilità92. I soggetti preposti al rilascio della certificazione sono due, a seconda del livello di affidabilità richiesto. Se il soggetto privato richiede il rilascio di un certificato con un livello di cybersicurezza basso o intermedio93, i soggetti pubblici preposti a tale funzione sono gli organismi di valutazione della conformità, vale a dire imprese private operanti nel settore della cybersecurity, dotate di particolari requisi 86
Cfr. art. 49 co. 4 Regolamento (UE) 2019/881. Cfr. art. 62 Regolamento (UE) 2019/881. In argomento si rimanda al capitolo precedente. 88 Cfr. art. 49 co. 5, 6 e 7 Regolamento (UE) 2019/881. 89 Cfr. art. 49 co. 8 primo periodo Regolamento (UE) 2019/881. 90 Cfr. art. 56 co. 1 Regolamento (UE) 2019/881. 91 Cfr. art. 56 co. 2 Regolamento (UE) 2019/881. 92 Cfr. art. 56 co. 7 Regolamento (UE) 2019/881. 93 Vale a dire “di base” o “sostanziale”. 87
128
CAPITOLO IV
ti94, precedentemente accreditate da appositi organismi nazionali di accreditamento95. Soltanto in casi «debitamente giustificati», il rilascio di certificati medio-bassi può essere effettuato da un ente pubblico, sia esso un’autorità nazionale di certificazione della cibersicurezza oppure un organismo pubblico accreditato come organismo di valutazione della conformità96. Nell’ipotesi in cui il soggetto privato richiedesse il rilascio di un certificato con un livello di cybersicurezza “elevato”, il soggetto pubblico preposto a tale compito è, di regola, l’autorità nazionale di certificazione della cibersicurezza; in casi eccezionali può essere invece un organismo di valutazione della conformità97. La ratio del Cybersecurity Act di armonizzare la disciplina europea in tutti gli Stati membri, evitando così la frammentazione del mercato interno, si evince altresì da altre due norme della sua disciplina. In primo luogo, può capitare che i sistemi di certificazione della cybersicurezza nazionale di uno Stato coincidano – parzialmente o meno – con il sistema di certificazione europeo. A tal fine, se il sistema nazionale è ricompreso nel perimetro di quello europeo, quello domestico cessa di produrre effetti a decorrere dalla data indicata nell’atto di esecuzione della disciplina de qua adottato dalla Commissione europea. Di conseguenza, i certificati esistenti rilasciati da un sistema nazionale di certificazione ricompreso in un sistema europeo producono effetti fino alla loro data di scadenza. In ogni caso, i Paesi membri non possono introdurre nuovi sistemi nazionali di certificazione della cibersicurezza il cui ambito risulti già coperto da un sistema europeo in vigore. Qualora, invece, l’area d’intervento del sistema di certificazione nazionale non sia già ricompresa in quello europeo, il sistema domestico continua a rimanere in vigore98. 94
Cfr. Allegato Regolamento (UE) 2019/881. Cfr. art. 60 co. 1 Regolamento (UE) 2019/881. Secondo l’art. 60 co. 4 del Regolamento in analisi, l’accreditamento rilasciato agli organismi di valutazione della conformità non è indeterminato temporalmente, ma ha una durata massima pari a cinque anni, con possibilità di rinnovo se perdurano i requisiti sulla base dei quali l’accreditamento viene rilasciato. Sul tema dell’affidamento ai soggetti privati dell’esercizio di funzioni pubbliche si veda F. DE LEONARDIS, Soggettività privata e azione amministrativa, CEDAM, Padova, 2000. 96 Cfr. art. 56 co. 5 Regolamento (UE) 2019/881. 97 Cfr. art. 56 co. 6 Regolamento (UE) 2019/881. 98 Cfr. art. 57 Regolamento (UE) 2019/881. 95
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
129
Il Cybersecurity Act, inoltre, stabilisce che le Autorità nazionali di certificazione della cibersicurezza sono soggette a una valutazione inter pares99. Essa è realizzata, una volta ogni cinque anni, da almeno due Autorità nazionali di certificazione della cibersicurezza di Paesi membri (diversi da quello a cui la valutazione si riferisce) e dalla Commissione, con la partecipazione dell’ENISA. Tale valutazione si articola in una procedura basata sul rispetto del principio di trasparenza, ed è finalizzata a verificare la separazione e l’esercizio indipendente dell’attività di rilascio di certificati europei di cibersicurezza rispetto a quella di vigilanza (poste in essere dalle autorità nazionali di certificazione della cibersicurezza); le procedure di supervisione in tema di conformità dei prodotti, servizi e processi ICT con i certificati europei; le procedure di monitoraggio e applicazione degli obblighi in capo ai fabbricanti o ai fornitori di tecnologia; e le procedure di monitoraggio, autorizzazione e vigilanza delle attività svolte dagli organismi di valutazione della conformità; infine, il livello di adeguatezza delle conoscenze del personale delle autorità o degli organismi che rilasciano certificati di livello di affidabilità “elevato”. Il soggetto preposto a valutare i risultati della valutazione inter pares è l’European Cybersecurity Certification Group (ECCG); basti ivi sottolineare che esso, qualora risultasse necessario, redige orientamenti o raccomandazioni relative alle misure da adottare di cui gli atti esecutivi della Commissione devono tenere «debitamente conto»100. La disciplina del Regolamento (UE) 2019/881 stabilisce alcune norme volte a tutelare il diritto di difesa di soggetti terzi, siano esse persone fisiche o giuridiche. Innanzitutto, i terzi sono titolari del diritto a presentare un reclamo101, avente ad oggetto il certificato di cybersicurezza, al soggetto pubblico che lo ha emanato o all’autorità nazionale di certificazione della cibersicurezza competente (nel caso in cui esso sia stato rilasciato da un organismo di valutazione della conformità). Queste ultime sono tenute a informare il reclamante circa l’avanzamento del procedimento e della decisione adottata. Oltre al diritto a presentare un reclamo formale, i soggetti terzi hanno altresì il diritto di proporre ricorso giurisdizionale102 avverso le 99
Cfr. art. 59 Regolamento (UE) 2019/881. Cfr. art. 59 co. 5 e 6 Regolamento (UE) 2019/881. 101 Cfr. art. 63 Regolamento (UE) 2019/881. 102 Cfr. art. 64 Regolamento (UE) 2019/881. Ovviamente, il capoverso di que100
130
CAPITOLO IV
decisioni prese dall’Autorità nazionale di certificazione della cibersicurezza o dall’organismo di valutazione della conformità e aventi ad oggetto il rilascio improprio, oppure il mancato rilascio o il riconoscimento di un certificato europeo di cibersicurezza. I soggetti terzi possono anche proporre ricorso circa il mancato intervento pubblico relativo alla presentazione di un reclamo formale. Il Cybersecurity Act precisa, in conclusione, che sono i Paesi membri a stabilire le norme sanzionatorie – le quali devono essere «effettive, proporzionate e dissuasive» – da applicare nell’ipotesi di mancato rispetto delle disposizioni appena descritte, e devono essere notificate prontamente alla Commissione europea103. L’ordinamento italiano ha previsto che sia l’Agenzia per la Cybersicurezza Nazionale l’organo incaricato di vigilare sulla corretta applicazione del quadro di certificazione della cybersecurity di beni e servizi ICT, nonché di intervenire imponendo sanzioni amministrative nell’ipotesi di inadempienza104, ereditando i compiti che in precedenza spettavano al Ministero per lo sviluppo economico in tema di certificazione105. In particolare, l’ACN è incaricata di rilasciare i certificati di cybersicurezza106 e di verificare la dichiarazione UE di conformità di cybersicurezza rilasciata dai fornitori o i produttori di beni, servizi e processi ICT107. L’Agenzia, inoltre, procede all’accreditamento e all’autorizzazione degli organismi di valutazione della conformità e all’abilitazione dei laboratori di prova (LAP)108, collaborando in tal modo con le diverse Istituzioni pubbliche preposte109. Infine, spetta all’ACN irrogare sanzioni effettive, proporzionate e dissuasive ai soggetti terzi110 che sto articolo precisa che è competente il giudice «dello Stato membro in cui ha sede l’autorità o l’organismo contro cui è mosso il ricorso giurisdizionale». 103 Cfr. art. 65 Regolamento (UE) 2019/881. 104 Cfr. art. 4 d.lgs. n. 123 del 2022. 105 Cfr. art. 7 co. 1 lett. e) d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 106 Cfr. art. 6 d.lgs. n. 123 del 2022. 107 Cfr. art. 7 d.lgs. n. 123 del 2022. 108 Cfr. art. 8 d.lgs. n. 123 del 2022. 109 Come nel caso dell’Organismo di accreditamento. Cfr. art. 1 co. 2 lett. b) d.lgs. n. 123 del 2022. 110 Cfr. art. 1 co. 2 lett. c) d.lgs. n. 123 del 2022. Si pensi, ad esempio, all’ipotesi di un organismo di valutazione della conformità che emetta un certificato di cybersicurezza non conforme al quadro previsto, oppure al caso del fabbricante o
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
131
violino la disciplina del quadro europeo di certificazione: tali sanzioni hanno natura amministrativa, consistendo in sanzioni pecuniarie, «salvo che il fatto non costituisca reato»111, e possono raggiungere un importo fino a cinque milioni €. 3. I riflessi dell’approccio autoritativo sugli appalti pubblici di cybersicurezza L’impostazione autoritativa basata sul binomio “obbligosanzione”, che caratterizza l’attuazione della disciplina generale della cybersicurezza pubblica, produce alcuni riflessi indiretti anche sul modello di acquisto pubblico di prodotti, servizi e sistemi cyber112, centrale in questo ambito proprio in considerazione del fatto che anche la Pubblica Amministrazione deve rivolgersi al mercato per acquistare questo tipo di beni o servizi da implementare sulle reti e sulle infrastrutture usate per perseguire dell’interesse pubblico. Gli strumenti impiegati dalle stazioni appaltanti per acquistare beni e servizi cyber, infatti, risultano essere esattamente procedure d’acquisto caratterizzate da quell’autoritatività tipica del procurement più risalente (e mai tramontato, sia chiaro, a ragione), nel quale l’Amministrazione aggiudicatrice si limita ad acquistare forniture, servizi o lavori, senza interagire con gli operatori economici né nella fase della progettazione della soluzione né in quella dell’esecuzione. Si pensi, ad esempio, al ricorso alla procedura aperta con cui viene data normalmente at del fornitore di beni, servizi e processi ICT che emetta una dichiarazione UE di conformità volontaria non conforme. 111 Cfr. art. 10 d.lgs. n. 123 del 2022. 112 Questo tema non è stato ancora approfondito, almeno in termini diretti, dalla dottrina giuridica, né straniera né nazionale. Fra i pochi riferimenti, si vedano, a livello internazionale lo studio di J. RUOHONEN, An Acid Test for Europeanization: Public Cyber Security Procurement in the European Union , in European Journal for Security Research, vol. 5/2020, 349 ss., che però affronta il tema dalla prospettiva dell’ingegneria informatica e non del diritto; mentre a livello italiano gli interventi – che toccano il tema della cybersicurezza in senso lato ma che invece sono dedicati a indagare come la regolamentazione giuridica dell’informatica possa rendere sicure le procedura di aggiudicazione – trascritti e raccolti nel dossier curato dall’AGENZIA DI RICERCHE E LEGISLAZIONE (AREL), Appalti pubblici e sicurezza informatica, in Oss. Reti, n. 3/2018.
132
CAPITOLO IV
tuazione agli accordi quadro in materia di cybersecurity di CONSIP (3.2.1.), come testimoniato dai pochi casi di gare pubbliche realizzate in questo ambito (par. 3.2.2.). Le Amministrazioni non intervengono nel processo di procurement se non esprimendo determinati fabbisogni, stabilendo specifici requisiti di valutazione con cui valutare ai fini dell’aggiudicazione le offerte pervenute: gli strumenti adoperati dalle stazioni appaltanti, pertanto, non consentono loro di entrare nel merito di ciò che acquistano, “accontentandosi” di acquistare quello che il mercato offre in quel preciso momento (il che non necessariamente comporta che sia in grado di soddisfare i fabbisogni pubblici espressi). Prima di approfondire l’analisi, occorre innanzitutto premette che in relazione alla cybersecurity pubblica, al pari della normativa precedente113, non vi sono specifiche norme europee all’infuori della disciplina dettata dalle Direttive 2014/23-24-25/UE, le c.d. Direttive appalti 2014114. 3.1. La disciplina italiana degli appalti pubblici nell’ambito della cybersecurity pubblica Nell’ordinamento italiano115, il Codice dei contratti pubblici (il re 113
Per un quadro completo del diritto degli appalti pubblici, europei e italiani, precedente alle direttive del 2014, si vedano S. ARROWSMITH, An Assessment of the New Legislative Package on Public Procurement, in Common Market Law Review, n. 41/2004, 1277 ss.; R. NIELSEN, S. TREUMER (Eds.), The New EU Public Procurement Directives, Djøf, Copenaghen, 2005; D. DRAGOS, R. CARANTA (Eds.) Outside the EU Procurement Directives. Inside the Treaty?, DJØF, Copenaghen, 2012; in lingua italiana invece R. CARANTA, I contratti pubblici, Giappichelli, Torino, 2012. In relazione al rapporto fra diritto amministrativo unionale e domestico, invece, E. PICOZZA, I contratti con la pubblica amministrazione tra diritto comunitario e diritto nazionale, in C. FRANCHINI (cur.), I contratti con la pubblica amministrazione, II, UTET, Torino, 2007, 28 ss. 114 Fra i numerosi contributi F. LICHÈRE, R. CARANTA, S. TREUMER (Eds.), Modernising Public Procurement The New Directive, Djøf, Copenaghen, 2014; S. TREUMER, M. COMBA (Eds.), Modernising Public Procurement. The Approach of EU Member States, Elgar, Cheltenham, 2018; R. CARANTA, A. SANCHEZ-GRAELLS (Eds.), European Public Procurement: Commentary on Directive 2014/24/EU, Elgar, Cheltenaham, 2021. 115 Una precisazione appare necessaria: la trattazione che segue affronterà nello specifico la disciplina generale degli appalti pubblici in materia di cybersicurezza, tralasciando quella specifica in materia di contratti pubblici relativi ai lavori, servizi e forniture nei settori della difesa e sicurezza, cui alla Direttiva 2009/81/CE e al d.lgs. n. 208 del 2011; e ciò pro-
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
133
cente d.lgs. n. 36 del 2023)116 si sofferma esplicitamente sulla materia della cybersicurezza in due sole occasioni: da un lato, stabilendo che le stazioni appaltanti e gli operatori economici che partecipano alle procedure di gara debbano adottare misure (interne) tecniche e organizzative volte a garantire la sicurezza informatica e la protezione dei dati personali117; dall’altro, imponendo che nelle procedure d’appalto di beni e servizi ICT, da aggiudicarsi in base al criterio dell’offerta economicamente più vantaggiosa, gli aspetti di cybersicurezza debbano essere considerati nella valutazione dell’elemento qualitativo dell’offerta, «attribuendovi specifico e peculiare rilievo nei casi in cui il contesto di impiego è connesso alla tutela degli interessi nazionali strategici»118. Queste due norme risultano insufficienti a livello contenutistico: il Codice, infatti, delinea una disciplina incompleta che deve necessariamente essere integrata da quella da altri corpora normativi, in particolare prio in considerazione del fatto che la cybersicurezza, per quanto ivi di interesse, è necessaria e indispensabile per consentire alla Pubblica Amministrazione (civile, non soltanto quella militare) di esercitare le proprie funzioni istituzionali. 116 Stante la recentissima approvazione del nuovo Codice appalti, si vedano i riferimenti al codice precedente – in parte ancora in vigore – il d.lgs. n. 50 del 2016, fra cui ex multis A. P OLICE , L’attività contrattuale delle pubbliche amministrazioni , in G. DELLA C ANANEA , M. D UGATO , B. M ARCHETTI , A. P OLICE , M. R AMAJOLI (cur.), Manuale di diritto amministrativo , Giappichelli, Torino, 2022, 381 ss.; M. I MMORDINO , I contratti della pubblica amministrazione , in F.G. S COCA (cur.), Diritto amministrativo , Giappichelli, Torino, 2021; F. M ASTRAGOSTINO (cur.), Diritto dei contratti pubblici. Assetto e dinamiche evolutive alla luce del codice, degli atti attuativi e dei decreti semplificazione 2020-2021 , Giappichelli, Torino, 2021; F.G. S COCA , A.F. D I S CIASCIO (cur.), Il nuovo Codice dei contratti pubblici (D.lgs. 50 del 18 aprile 2016): profili sostanziali e processuali , Editoriale Scientifica, Napoli, 2017; C.E. G ALLO (cur.), Autorità e consenso nei contratti pubblici. Dalle direttive 2014 al codice 2016 , Giappichelli, Torino, 2017; mentre per un suo commento G.F. F ERRARI , G. M ORBIDELLI (cur.), Il Codice dei contratti pubblici: D.lvo 18 aprile 2016, n. 50 commentato articolo per articolo , La Tribuna, Piacenza, 2017. In ogni caso, il Codice appalti del 2016 non faceva cenno al tema della cybersicurezza. 117 Cfr. art. 19 co. 5 d.lgs. n. 36 del 2023. 118 Cfr. art. 108 co. 4 quarto periodo d.lgs. n. 36 del 2023. Tale articolo precisa altresì: «[n]ei casi di cui al quarto periodo, quando i beni e servizi informatici oggetto di appalto sono impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 10 per cento».
134
CAPITOLO IV
dal Codice dell’amministrazione digitale. Tale disciplina può essere definita generale in quanto si applica a tutte le Pubbliche Amministrazioni generalmente intese, siano esse centrali o locali (par. 3.2.). Qualora fra queste ultime vi siano alcune Amministrazioni rientranti nel Perimetro Nazionale di Sicurezza Cibernetica, a esse si applicheranno particolari disposizioni previste dalla relativa normativa generale119 (par. 3.2.3.). A questa disciplina generale si affianca una disciplina speciale, relativa agli appalti di forniture, servizi e lavori che unicamente l’Agenzia per la Cybersicurezza Nazionale può aggiudicare per tutelare la sicurezza nazionale nello spazio cibernetico (par. 3.3.). 3.2. La disciplina generale di cybersecurity public procurement: il ruolo sinergico di AGID e CONSIP e l’attività di centralizzazione degli acquisti pubblici Il Codice dell’Amministrazione digitale, il d.lgs. n. 82 del 2005120, ha individuato nell’Agenzia per l’Italia Digitale121 (AGID) il soggetto 119
Vale a dire d.l. n. 105 del 2019, conv. l. n. 133 del 2019. In argomento si veda per un commento C. BOCCIA, C. CONTESSA, E. DE GIOVANNI (cur.), Codice dell’amministrazione digitale (D.lgs. 7 marzo 2005, n. 82 commentato e annotato per articolo. Aggiornato al D.lgs. 13 dicembre 2017, n. 217), La Tribuna, Piacenza, 2018. Per ulteriori approfondimenti dottrinali, si rimanda ai riferimenti bibliografici riportati nel secondo capitolo. 121 Come è stato evidenziato da F. COSTANTINO, Autonomia dell’amministrazione e innovazione digitale, Jovene, Napoli, 2012, 25, l’Italia è stato uno fra i primi Paesi in assoluto a legiferare nell’ambito dell’informatizzazione della Pubblica Amministrazione, dettando sia una disciplina generale (legge 23 ottobre 1992, n. 421) sia istituendo un’apposita autorità incaricata di pianificare e coordinare questa materia: l’Autorità per l’Informatica nella Pubblica Amministrazione (c.d. AIPA, istituita con d.lgs. 12 febbraio 1993, n. 39). Quasi un decennio dopo, nel 2003, l’AIPA venne soppressa a seguito dell’istituzione del Centro nazionale per l’informatica nella Pubblica Amministrazione (CNIPA), il quale venne successivamente rinominato DigitPA. Quest’ultimo, nel 2012, è stato sostituito dall’Agenzia per l’Italia Digitale (AGID). Nell’impossibilità di approfondire ulteriormente su questo punto, in particole in relazione alla prima fase di vita di questo organismo, si vedano V. FROSINI, L’organizzazione informatica dello Stato e la libertà del cittadino, in Dir. inf., 1993, 599 ss.; F. CARDARELLI, L’Autorità per l’informatica nella pubblica amministrazione. Natura giuridica, funzioni e poteri in materia contrattuale, in Dir. inf., 1994, 94 ss. 120
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
135
istituzionalmente incaricato122 di realizzare gli obiettivi posti dall’Agenda Digitale Italiana, in coerenza con gli indirizzi dettati dal Presidente del Consiglio dei Ministri o dai Ministri delegati, e dall’Agenda digitale europea123. Tra le numerose funzioni attribuite a tal fine ad AGID, vi sono la programmazione e il coordinamento delle attività delle Pubbliche Amministrazioni per l’impiego delle ICT, tramite la predisposizione, e la successiva verifica della sua attuazione, del Piano triennale per l’informatica nella Pubblica Amministrazione124. Questo è uno fra i più importanti documenti programmatici in materia di digitalizzazione pubblica, fissando particolari obiettivi in grado di orientare lo sviluppo del processo di digitalizzazione dell’Amministrazione e individuando i principali interventi di sviluppo e gestione dei sistemi informativi delle pubbliche amministrazioni125. Dovendo adattarsi a un contesto tecnologico in continuo mutamento, il Piano triennale, approvato con atto del Presidente del Consiglio dei Ministri, viene pertanto aggiornato con periodicità126: la versione attualmente in vigore è quella relativa al triennio 20222024127. All’interno del Piano triennale sono contemplate le c.d. gare strategiche ICT: una serie di procedure d’appalto specificamente identificate e volte ad acquisire forniture, servizi e lavori considerati fondamentali sul piano tecnologico per definire ed erogare servizi pubblici ai cittadini, alle imprese e alla stessa Pubblica Amministrazione, 122
Cfr. art. 14-bis d.lgs. n. 82 del 2005. Comunicazione della Commissione europea del 19 maggio 2010 (COM(2010)245 def). Essa rappresenta uno dei 7 pilastri della Strategia “Europa 2020”, che indica gli obiettivi di crescita dell’UE fino al 2020, a cui ciascun Paese membro deve contribuire a realizzare attraverso la predisposizione di una propria agenda digitale nazionale. L’Italia ha pertanto adottato l’Agenda Digitale Italiana. Per un inquadramento si veda il documento elaborato da L. DE PIETRO, M.A. SANNA ARTIZZU, Il percorso dell’Agenda Digitale Italiana, FORMEZ PA, dicembre 2017, nonché lo studio di F. GASPARI, L’agenda digitale europea e il riutilizzo dell’informazione del settore pubblico, Giappichelli, Torino, 2016. 124 Cfr. art. 14-bis co. 2 lett. b) d.lgs. n. 82 del 2005. 125 Cfr. art. 12 co. 1 d.lgs. n. 82 del 2005. 126 Cfr. art. 16 co. 1 lett. b) e art. 18 co. 3 d.lgs. n. 82 del 2005. 127 AGENZIA PER L’ITALIA DIGITALE, DIPARTIMENTO PER LA TRASFORMAZIONE DIGITALE, Piano triennale per l’informatica nella Pubblica Amministrazione 2022-2024, Roma, 2021. 123
136
CAPITOLO IV
incentivando e supportando, in tal modo, le Amministrazioni nella definizione di contratti pubblici coerenti con gli obiettivi definiti dallo stesso Piano triennale128. Queste gare strategiche, che sono disciplinate dalla normativa generale posta dal Codice dei contratti pubblici, sono gestite congiuntamente da AGID, dal Dipartimento per la Trasformazione digitale129, per gli aspetti tecnico-informatici relativi all’oggetto della fornitura, servizio o lavoro, e da CONSIP, per il versante della gestione amministrativo-esecutiva della procedura tramite la messa a disposizione degli strumenti di procurement. Posto che alcuni fra gli obiettivi del Piano triennale sono legati, da un lato, allo sviluppo sicuro e affidabile delle infrastrutture digitali e, dall’altro, al tema della sicurezza informatica, aumentando la consapevolezza del rischio cyber (c.d. Cybersecurity Awareness) nell’Amministrazione e incrementando il livello di sicurezza digitale delle reti e dei portali pubblici130, non sorprende dunque che fra le c.d. gare strategiche compaiano le procedure d’appalto di beni e servizi di cybersicurezza131. Il coinvolgimento di AGID e CONSIP nell’ambito degli appalti di cybersecurity è giustificato anche per altre ragioni. Fino a quando le funzioni di AGID non saranno trasferite all’Agenzia per la Cybersicurezza Nazionale, AGID svolge alcuni compiti in materia di cybersicurezza132, fra cui l’elaborazione di appositi pareri e regole tecni 128
Cfr. AGENZIA PER L’ITALIA DIGITALE, DIPARTIMENTO PER LA TRASFORDIGITALE, Piano triennale per l’informatica nella Pubblica Amministrazione 2022-2024-2023, cit., Cap. 7, 59. 129 Il Dipartimento per trasformazione digitale è un dipartimento della Presidenza del Consiglio dei Ministri. Si consideri che l’articolazione dell’attuale Governo, presieduto da Giorgia Meloni, non prevede un ministero per l’innovazione, contrariamente ai precedenti governi presieduti da Mario Draghi (in cui vi era il Ministero per l’Innovazione tecnologica e la transizione digitale affidato a Vincenzo Colao) e da Giuseppe Conte (in cui il Ministero per l’innovazione tecnologica e la digitalizzazione era guidato da Paola Pisano); la materia dell’innovazione tecnologica è stata delegata al Sottosegretario di Stato alla Presidenza del Consiglio Alessio Butti. 130 Cfr. AGENZIA PER L’ITALIA DIGITALE, DIPARTIMENTO PER LA TRASFORMAZIONE DIGITALE, Piano triennale per l’informatica nella Pubblica Amministrazione 2022-2024, cit., Cap. 6, 51 ss. 131 Il numero attuale delle gare strategiche ammonta complessivamente a quattordici: cfr. https://www.consip.it/attivit/gare-strategiche. 132 Cfr. art. 51 co. 1-bis d.lgs. n. 82 del 2005. Si noti che nel Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2017 era stabilito che MAZIONE
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
137
che133. CONSIP, invece, esercita ex lege l’attività di centrale di committenza in relazione, in particolare, alle reti digitali delle Amministrazioni, al Sistema pubblico di connettività e alla rete internazionale delle Pubbliche Amministrazioni134. Quest’ultimo rilievo, unitamente alla previsione generale che impone alle Amministrazioni di ricorrere a CONSIP in caso di appalti aventi ad oggetto l’area merceologica “Informatica, elettronica, telecomunicazioni e macchine per l’ufficio”135, si traduce nella circostanza per la quale la generalità degli appalti pubblici di cybersicurezza sono affidati a CONSIP, con la conseguenza che le singole Amministrazioni non possono procedere autonomamente a indire e gestire appalti relativi alla cybersicurezza ma devono ricorrere a questo organismo o agli strumenti da essa messi a disposizione. Emerge quindi con chiarezza quanto sia necessaria e utile l’azione sinergica fra AGID e CONSIP, le quali realizzano una «governance unitaria multistakeholder [con] una struttura organizzativa omogenea»136: la loro azione è in tal modo complementare e al contempo organica, ma la sua funzionalità discende in particolare dall’attività di centralizzazione della committenza. È noto che, a partire dalla fine degli anni Novanta, il legislatore italiano abbia iniziato a ragionare sui vantaggi derivanti dalle politiche di centralizzazione della committenza, aspetto che l’ha condotto a AGID fosse «chiamata a dettare indirizzi, regole tecniche e linee guida in materia di sicurezza informatica e di omogeneità degli standard, ad assicurare la qualità tecnica e la sicurezza dei sistemi informativi pubblici e della loro rete di interconnessione e a monitorare i piani ICT delle amministrazioni pubbliche»: cfr. PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA DELLA REPUBBLICA, Piano nazionale per la protezione cibernetica e la sicurezza informatica, marzo 2017, 12. 133 Si pensi, ad esempio, alle Linee guida AGID di sicurezza nel procurement ICT dell’aprile 2020 o alle Linee guida AGID per la modellazione delle minacce e individuazione delle azioni di mitigazione del maggio 2020. Cfr. sul punto art. 14bis co. 2 d.lgs. n. 82 del 2005. 134 Cfr. art. 4 co. 3-quater d.l. n. 95 del 2012 conv. con mod. in l. n. 135 del 2012. 135 Cfr. in senso lato art. 62 d.lgs. n. 36 del 2023, e per il regime precedente l’art. 37 d.lgs. n. 50 del 2016. Cfr. https://www.acquistinretepa.it/opencms/opencms/categoriaProdotti.html. 136 AGENZIA PER L’ITALIA DIGITALE, DIPARTIMENTO PER LA TRASFORMAZIONE DIGITALE, Piano triennale per l’informatica nella Pubblica Amministrazione 2022-2024, cit., 59.
138
CAPITOLO IV
elaborare un modello di aggregazione nazionale degli appalti137. Affidare la gestione delle procedure di gara a specifiche Amministrazioni aggiudicatrici138 in grado di operare per conto di più Pubbliche Amministrazioni, le centrali di committenza139, evitando così che siano le singole Amministrazioni aggiudicatrici a indìre e gestire i propri appalti, avrebbe comportato vantaggi considerevoli, almeno sotto quattro aspetti: in relazione all’ottenimento di prezzi di mercato più competitivi a parità di fornitura, servizio o lavoro, diminuendo fortemente i costi transattivi decisionali e beneficiando di economie di scala; sia in punto di una maggior omogeneità della specifica fornitura, servizio o lavoro a livello nazionale; sia sul piano dell’incremento 137
Come la dottrina ha sottolineato, il legislatore ha sviluppato tale modello di aggregazione senza un preciso disegno organizzativo strategico di coordinamento, ma seguendo in realtà la concreta strada della «necessità di risparmiare risorse o di contrastare la corruzione e le infiltrazioni mafiose», G.M. RACCA, La Corte di giustizia e le scelte nazionali per una efficiente e trasparente aggregazione dei contratti pubblici: una sfida per l'evoluzione digitale della “funzione appalti” nazionale, regionale e locale, in Riv. it. dir. pubbl. comunit., n. 2/2021, 185 ss. 138 Sulla circostanza per la quale una centrale di committenza debba essere necessariamente una amministrazione aggiudicatrice si veda Corte di Giustizia dell’Unione europea, sez. II, sent. 4 giugno 2020 (C.3/19). 139 In argomento, a titolo non esaustivo, si vedano M.R. SPASIANO, Riflessioni in tema di centralizzazione della committenza negli appalti pubblici, in CERIDAP, n. 1/2023, 127 ss.; G.M. RACCA, S. PONZIO, La scelta del contraente come funzione pubblica: i modelli organizzativi per l’aggregazione dei contratti pubblici, in Dir. amm., n. 1/2019, 33 ss.; M. IMMORDINO, A. ZITO, Aggregazione e centralizzazione della domanda pubblica di beni: stato dell’arte e proposte di migliorie al sistema vigente, in Nuove autonomie, n. 2/2018, 223 ss.; G.M. RACCA, La contrattazione pubblica come strumento di politica industriale, in C. MARZUOLI, S. TORRICELLI (cur.), La dimensione sociale della contrattazione pubblica. Disciplina dei contratti ed esternalizzazioni sostenibili, Editoriale Scientifica, Napoli, 2017, 171 ss.; M.E. COMBA, Aggregazioni di committenza e centrali di committenza: la disciplina europea e il modello italiano, in Urb. App., 2016, 1053 ss.; B.G. MATTARELLA, La centralizzazione delle committenze, in Giorn. dir. amm., 2016, 613 ss.; L. DONATO (cur.), La riforma delle stazioni appaltanti. Ricerca della qualità e disciplina europea, in Quaderni di Ricerca Giuridica della Consulenza Legale della Banca d’Italia, n. 80, febbraio 2016; G. FIDONE, F. MATALUNI, L’aggregazione dei soggetti aggiudicatori di contratti pubblici fra ragioni di integrità, specializzazione e riduzione della spesa, in Foro Amm., n. 11/2014, 2995 ss. Per uno studio comparato e molto approfondito sulle centrali di committenza, si veda C. RISVIG HAMER, M.E. COMBA (Eds.), Centralising Public Procurement. The Approach of Eu Member States, Elgar, Cheltenham, 2021.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
139
dell’efficientamento e del buon andamento dell’amministrazione140, a fronte di un virtuoso e continuo aumento del livello di professionalità delle stazioni appaltanti in questa complessa materia; sia, infine incentivando un controllo diffuso degli organi preposti (ANAC in primis)141. Mentre il Codice appalti del 2006 aveva contemplato la centralizzazione della committenza quale mera facoltà142, il Codice dei contratti pubblici recentemente approvato, così come quello del 2016, ha imposto la generale obbligatorietà del ricorso alla centralizzazione delle committenze143. La scelta compiuta dal legislatore italiano, dunque, è stata quella di prevedere che al di sotto delle soglie europee per l’affidamento diretto, le stazioni appalti possono procedere all’acquisizione di forniture, servizi, lavori sia in modo diretto e autonomo, sia ricorrendo agli strumenti di acquisto messi a disposizione dalle centrali di committenza qualificate e dai soggetti aggregatori. Al di sopra della menzionata soglia di valore, le stazioni appaltanti possono procedere autonomamente all’acquisizione soltanto se esse risultano essere stazioni appaltanti qualificate144, mentre in caso contrario devono ricorrere alle centrali di committenza qualificate145. Queste 140
Sulla relazione fra centralizzazione delle committenze e attuazione del principio di buon andamento cfr. Cons. Stato, sez. III, nn. 442 e 445 del 2016. 141 Come evidenziato da dottrina, dalla corretta funzionalità dell’azione della centrale di committenza derivano benefici altresì in tema di risparmio di spesa e di lotta alla corruzione, come poso in luce rispettivamente da M. IMMORDINO, A. ZITO, Aggregazione e centralizzazione della domanda pubblica di beni: stato dell’arte e proposte di migliorie al sistema vigente, cit., 227 e da G.M. RACCA, La contrattazione pubblica come strumento di politica industriale, in C. MARZUOLI, S. TORRICELLI, La dimensione sociale della contrattazione pubblica. Disciplina dei contratti ed esternalizzazioni sostenibili, cit., 175. 142 Cfr. art. 33 d.lgs. n. 163 del 2006. 143 Cfr. art. 62 d.lgs. n. 36 del 2023. In relazione, invece, al d.lgs. n. 50 del 2016 cfr. art. 37. 144 Il procedimento di qualificazione è previsto dall’art. 63 d.lgs. n. 36 del 2023. Come afferma il quinto comma di questo articolo, «[l]a qualificazione ha ad oggetto le attività che caratterizzano il processo di acquisizione di un bene, servizio o lavoro in relazione ai seguenti ambiti e riguarda: a) la capacità di progettazione tecnicoamministrativa delle procedure; b) la capacità di affidamento e controllo dell'intera procedura; c) la capacità di verifica sull'esecuzione contrattuale, ivi incluso il collaudo e la messa in opera». 145 In senso critico A. GIANNELLI, Il PNRR come opportunità, mancata, per ri-
140
CAPITOLO IV
ultime possono gestire appalti di complessità crescente in relazione allo specifico grado di qualificazione per conto di altre Amministrazioni aggiudicatrici, in particolare progettando, aggiudicando e stipulando contratti, accordi quadro e convenzioni per conto delle stazioni appaltanti (qualificate e non) o alle quali esse possono aderire per l’aggiudicazione dei rispettivi contratti specifici146. Il legislatore ha previsto che rientrassero ex lege nella categoria delle centrali di committenza qualificate alcuni soggetti147, fra cui CONSIP148, la quale è qualificata altresì di diritto come soggetto aggregatore149, vale a dire è una fra quelle centrali di committenza qualificate per procedere all’acquisizione aggregata di forniture e servizi per conto di altre pubbliche amministrazioni in relazione a specifiche categorie merceologiche150. leggere in chiave critica il progressivo (ma non inesorabile) accentramento delle funzioni di acquisto, in Dir. amm., n. 3/2022, 741 ss., la quale sottolinea la presenza di criticità nel sistema di adesione obbligatoria alle convenzioni, in particolare in riferimento ai prezzi pattuiti. 146 In tal senso anche M.R. SPASIANO, Riflessioni in tema di centralizzazione della committenza negli appalti pubblici, cit., 139. 147 Cfr. art. 63 co. 1 e 4 d.lgs. n. 36 del 2023: oltre a CONSIP, sono iscritti di diritto nell’elenco delle centrali di committenza qualificate anche i seguenti organi: il Ministero delle infrastrutture e dei trasporti, i Provveditorati interregionali per le opere pubbliche, Invitalia S.p.a., Difesa servizi S.p.A., l'Agenzia del demanio, Sport e salute S.p.a. e i soggetti aggregatori. In sede di prima applicazione di questa norma, invece, le stazioni appaltanti delle Unioni di Comuni, delle Provincie e delle Città metropolitane, dei Comuni capoluogo di Provincia e delle Regioni sono iscritte con riserva nel predetto elenco. 148 Istituita inizialmente nel 1997 (d.lgs. n. 414 del 1997) come soggetto incaricato di gestire i servizi telematici di quello che, allora, era il Ministero del Tesoro, CONSIP ha visto con gli anni incrementare le proprie competenze e il proprio ambito di azione, indirizzando progressivamente la propria azione a favore di tutte le pubbliche amministrazioni. 149 Cfr. art. 9 co. 1 d.l. n. 66 del 2014, conv. con mod. l. n. 89 del 2014. 150 Si consideri che, a fronte della presenza di più di 25 mila stazioni appalti italiane, i soggetti aggregatori sono (soltanto) trentadue. Ai sensi della Delibera ANAC n. 643 del 22 settembre 2021, i soggetti aggregatori sono: CONSIP, le diciannove centrali d’acquisto di società regionali (fra cui la Società di Committenza della Regione Piemonte – SCR Piemonte S.p.a. per l’omonima Regione, ARIA S.p.a. per la Regione Lombardia, IntercER per la Regione Emilia-Romagna, InnovaPuglia S.p.a. per la Regione Puglia e IN.VA. S.p.a. per la Regione Valle d’Aosta), le due centrali per ciascuna delle Province autonome di Trento e Bolzano, le due centrali
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
141
La disciplina stabilisce, infatti, che qualora le Amministrazioni debbano procedere con procedure d’appalto relative a determinate categorie merceologiche espressamente individuate, esse non possano agire autonomamente ma debbano ricorrere a CONSIP o agli altri soggetti aggregatori151, pena la nullità dei contratti stipulati in violazione di tale obbligo152. Stante la loro numerosità, le diverse categorie merceologiche sono raggruppate per aree merceologiche153 e sono periodicamente oggetto di modifica e integrazione, fra cui quella ivi rilevante “Informatica, elettronica, telecomunicazioni e macchine per l’ufficio”, in cui rientra l’ambito della cybersecurity154. È proprio in tale area, infatti, che sono ricomprese le forniture e i servizi rientranti nell’ambito delle gare strategiche ICT previste nel Piano Triennale per l’Informatica della Pubblica Amministrazione di AGID; tuttavia, a fronte della specifica previsione normativa, già citata poc’anzi, che attribuisce a CONSIP il ruolo di centrale di committenza nazionale relativamente alle reti telematiche delle Amministrazioni Pubbliche, al Sistema pubblico di connettività e alla rete internazionale delle Pubbliche Amministrazioni, risulta in conclusione che spetti a CONSIP la gestione degli appalti di cybersicurezza per tutte le Amministrazioni155. istituite nella provincia di Vicenza e Brescia e le otto centrali acquisti di città metropolitane. Per l’elenco completo e dettagliato si rimanda all’articolo della FEDERAZIONE DELLE ASSOCIAZIONI REGIONALI DEGLI ECONOMI E PROVVEDITORI DELLA SANITÀ, Soggetti Aggregatori: arriva il nuovo elenco, 23 ottobre 2021. 151 Cfr. art. 9 co. 3 d.l. n. 66 del 2014, conv. con mod. l. n. 89 del 2014. 152 Cfr. art. 9 co. 7 d.l. n. 66 del 2014, conv. con mod. l. n. 89 del 2014. Tale violazione è anche causa di responsabilità erariale, come stabilito ad esempio dal TAR Campania, Napoli, sez. VIII, 29/10/2021, n. 6812. Sugli aspetti di diritto processuale derivanti dall’aggregazione delle procedure si veda, invece, Cons. Stato, Ad. Plen. n. 8 del 2018. 153 Cfr. https://www.acquistinretepa.it/opencms/opencms/categoriaProdotti.html. 154 Cfr. le categorie merceologiche aggiornate a ottobre 2022 all’indirizzo https://bit.ly/3i1Oaac. In argomento A. ZITO, La nuova disciplina degli acquisti centralizzati ad oggetto “informatico”, introdotta dalla legge di stabilità per il 2016: dalla ricognizione dei problemi ad un primo inquadramento sistematico, in Nuove Autonomie, n. 3/2016, 341 ss. 155 Cfr. art. 4 co. 3-quater d.l. n. 95 del 2012 conv. con mod. in l. n. 135 del 2012. Si consideri, inoltre, che ai sensi dell’art. 1 co. 419 legge n. 232 del 2016, è stato stabilito l’obbligo per le Amministrazioni statali, per gli enti previdenziali e per le agenzie fiscali di ricorrere a CONSIP per le acquisizioni considerate strate-
142
CAPITOLO IV
Come noto, CONSIP svolge le proprie attività di centralizzazione ricorrendo a strumenti di acquisto, vale a dire le convenzioni e gli accordi quadro, e tramite strumenti di negoziazione, cioè il Mercato elettronico della Pubblica Amministrazione (MEPA), il Sistema dinamico di acquisto della Pubblica Amministrazione (SDAPA) e le gare in Application Service Provider (ASP)156.
3.2.1. Lo strumento dell’accordo quadro e la logica regolatoria Per l’acquisizione di applicativi digitali e l’erogazione di servizi di carattere generale concernenti il funzionamento delle Pubbliche Amministrazioni, CONSIP ricorre nello specifico all’accordo quadro157, giche nel Piano Triennale per l’Informatica nella Pubblica Amministrazione elaborato da AGID. 156 Senza pretese di approfondire questo punto, su cui la trattazione non si soffermerà, basti sottolineare quanto segue: il MEPA è il mercato digitale gestito da CONSIP all’interno del quale le Pubbliche Amministrazioni possono procedere a formulare ordini di acquisto o richieste di offerta in relazione a forniture e servizi, per un valore complessivo inferiore alla soglia europea, di fornitori precedentemente abilitati da CONSIP stessa a offrire sul MEPA i propri beni e servizi; sullo SDAPA avvengono le negoziazioni digitali fra gli operatori economici precedentemente abilitati al sistema, a seguito di un bando di CONSIP, e le Pubbliche Amministrazioni, indipendentemente dal valore del contratto; nelle Gare in ASP, invece, ciascuna Amministrazione usa la piattaforma messa a disposizione dal CONSIP e dal Ministero dell’Economia e delle Finanze per gestire le procedure di gara. Per approfondimenti mirati, in relazione agli strumenti di negoziazione si vedano A. CONTALDO, La contrattazione telematica e la P.A., in Riv. amm. Rep. Ita., n. 3-4/2022, 137 ss.; G. SORRENTINO, Il sistema degli acquisti sul Mepa nella “release” 2022: guida operativa sulle nuove modalità di negoziazione , in App. e contr., n. 6/2022, 57 ss.; P. PISELLI, Public procurement 4.0: i nuovi strumenti digital al servizio della contrattualistica pubblica, in Riv. trim. app., n. 3/2019, 861 ss. Si consideri, inoltre, che CONSIP svolge anche attività ausiliarie di committenza e gestisce gare su delega in favore di specifiche Amministrazioni Pubbliche. 157 Cfr. art. 20 co. 4 d.l. n. 83 del 2012, conv. l. n. 134 del 2012. Sul punto si veda anche la pagina https://www.consip.it/attivit/digitalizzazione-pa del sito istituzionale di CONSIP. In argomento, a titolo non esaustivo, si vedano F.S. CANTELLA, Accordo quadro, M.A. SANDULLI, R. DE NICTOLIS (dir.), Trattato sui contratti pubblici, Vol. III, Procedure di gara e criteri di scelta del contraente, Giuffrè Francis Lefebvre, Milano, 2019, 147 ss.; G.M. RACCA, S. PONZIO, La scelta del contraente come funzione pubblica: i modelli organizzativi per l’aggregazione dei
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
143
che risulta essere il mezzo principale impiegato negli appalti pubblici di cybersicurezza. L’accordo quadro è uno strumento contrattuale di diritto pubblico, espressamente disciplinato a livello europeo158 e nazionale159, utilizzato da una o più Pubbliche Amministrazioni aggiudicatrici e uno o più operatori economici «allo scopo di definire le clausole relative agli appalti da aggiudicare durante un dato periodo, in particolare per quanto riguarda i prezzi e, se del caso, le quantità previste»160. Con tale istituto, dunque, si realizza una esplicita azione di aggregazione in quanto l’Amministrazione che indìce e gestisce l’accordo quadro, nel caso di specie CONSIP, stabilisce quello che la giurisprudenza ha definito essere il «perimetro generale delle obbligazioni contrattuali»161 oggetto dell’accordo stesso, le quali saranno realizzate tramite la successiva conclusione di appalti specifici. L’accordo quadro si caratterizza per avere natura normativa162, in contratti pubblici, cit.; E. MORLINO, Centralizzazione degli acquisti pubblici ed enti locali: la prospettiva europea nel caso Asmel, in Riv. it. dir. pubbl. comunit., n. 2/2021, 315 ss.; S. VINTI, Gli accordi quadro e i sistemi dinamici di acquisizione, in A. CANCRINI, C. FRANCHINI, S. VINTI (cur.), Codice degli appalti pubblici, Giappichelli, Torino 2014, 370 ss. In lingua inglese invece M. ANDRECKA, Dealing with Legal Loopholes and Uncertainties within EU Public Procurement Law Regarding Framework Agreements, in Journal of Public Procurement, Volume 16, Issue 4, 2016, 505 ss.; C. RISVIG HAMER, Regular purchases and aggregated procurement: the changes in the new Public Procurement Directive regarding framework agreements, dynamic purchasing systems and central purchasing bodies, in Public Procurement Law Review, n. 4/2014, 201 ss. 158 Cfr. art. 33 in relazione ai settori ordinari e art. 51 Direttiva 2014/24/UE in riferimento alle procedure d’appalto degli enti erogatori nei settori dell’energia, dell’acqua, dei servizi postali e dei trasporti. In realtà, gli accordi quadro sono stati previsti per la prima volta a livello europeo dall’art. 5 Direttiva 93/38/CEE concernente gli appalti delle utilities. Successivamente, invece, tale strumento era disciplinato dalla Direttiva 2004/17/CE e dalla Direttiva 2004/18/CE. In relazione all’accordo quadro nelle direttive appalti del 2004 si vedano R. CARANTA, Gli accordi quadro, in R. GAROFOLI, M.A. SANDULLI (cur.), Il nuovo diritto degli appalti pubblici. Nella direttiva 2004/18/CE e nella Legge comunitaria n. 62/2005, Giuffrè, Milano, 2005, 447 ss. 159 Cfr. art. 59 d.lgs. n. 36 del 2023, mentre per il regime precedente cfr. art. 54 d.lgs. n. 50 del 2016. 160 Art. 33 co. 1 secondo periodo Direttiva 2014/24/UE. 161 Cons. Stato, sez. V, sent. n. 946 del 2017. 162 Sulla nozione di contratto normativo si vedano F. MESSINEO, voce Contrat-
144
CAPITOLO IV
ragione del fatto che gli appalti specifici dovranno adeguarsi e rispettare le condizioni definite nell’accordo quadro, dando loro esecuzione163, e struttura bifasica, a fronte del necessario legame fra la fase di selezione dell’operatore economico a monte, nell’accordo quadro, e quella d’esecuzione della prestazione a valle, con gli appalti specifici164. L’accordo quadro è uno strumento contrattuale: l’Amministrazione che lo indìce può realizzarlo ricorrendo alle procedure di scelta del contraente previste dalla disciplina europea e nazionale. Questo è il motivo per cui l’accordo quadro non può essere ritenuto un una procedura di affidamento165. Pur potendo essere strutturato in modi diversi, è tuttavia possibile distinguere alcune tipologie di accordo quadro caratterizzate da elementi comuni minimi. Innanzitutto, sul piano del contenuto, negli atti di gara deve essere logicamente individuato il contenuto minimo della fornitura o del servizio: devono essere individuate, vale a dire, le caratteristiche vincolanti della fornitura o del servizio oggetto dei contratti specifici, ponendo in tal modo gli operatori economici nella condizione di comprendere nel dettaglio l’oggetto specifico della prestazione o fornitura che saranno chiamati a eseguire con i contratti specifici. Oltre a ciò devono essere specificati quegli ulteriori elementi, diversi rispetto alle proprietà dell’oggetto, che caratterizzano quella precisa richiesta pubblica: il valore o la quantità massima stimata delle prestazioni166, l’importo massimo posto a base di gara che potrà essere richiesto agli operatori economici affidatari entro la durata dell’appalto167, to normativo, in Enc. dir., X, 1962, 121 ss. e G. GITTI, Contratti regolamentari e normativi, CEDAM, Padova, 1994, 5 ss. Sulla natura normativa dell’accordo quadro si è espressa anche la Corte Cost., sent. n. 43 del 2011, escludendo che il suo contenuto possa essere considerabile variabile. 163 In tal senso Cons. Stato, sez. III, sent. n. 1455 del 2018, punto 8.2.2. 164 Così G.M. RACCA, S. PONZIO, La scelta del contraente come funzione pubblica: i modelli organizzativi per l’aggregazione dei contratti pubblici, cit., 60. 165 Cfr. art. 59 co. 2 d.lgs. n. 36 del 2022. In senso ampio, in relazione alla disciplina precedente al d.lgs. n. 36 del 2023, si veda A. BARONE, L’affidamento dei contratti pubblici: modalità e principi comuni, in A. BARONE (cur.), Cittadini, imprese e funzioni pubbliche, Cacucci, Bari, 2018, 215 ss. 166 In tal senso Corte di Giustizia dell’Unione Europea, sez. IV, 17 giugno 2021, causa C-23/20, Simonsen & Weel A/S (ECLI:EU:C:2021:490). 167 L’importo massimo posto a base di gara dovrà essere calcolato
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
145
la chiara identificazione delle Amministrazioni potenziali beneficiarie dell’accordo quadro168, la durata entro devono essere aggiudicati gli appalti specifici169, e altro ancora, fra cui la tipologia di procedura scelta per realizzare l’accordo quadro. In secondo luogo, per quanto attiene alla sua struttura, l’accordo quadro può svilupparsi in alcune forme dipendenti da due variabili e dalla loro combinazione: il numero di operatori economici con cui l’accordo è aggiudicato e il livello di definizione delle condizioni contrattuali. Vi possono essere, pertanto, accordi quadro c.d. monofornitore (o, per usare la terminologia impiegata da CONSIP, “contratti quadro”), stipulati con un unico operatore economico, oppure accordi quadro c.d. pluri-fornitore, conclusi cioè con più di un operatore. Parimenti, vi potranno essere accordi quadro c.d. chiusi, qualora essi disciplinino già tutte le condizioni che regoleranno l’esecuzione dei contratti specifici (che in questo caso coincideranno con meri ordini di acquisto inviati dalle amministrazioni che aderiscono all’accordo); oppure accordi quadro c.d. aperti, nel caso in cui non siano già stabilite tutte le clausole contrattuali a monte, necessitando una loro ulteriore definizione in fase di esecuzione degli appalti specifici. Combinandosi fra loro, queste due variabili possono portare ad accordi quadro chiusi mono-fornitore, ad accordi quadro chiusi plu dall’Amministrazione aggiudicatrice, chiamata ad aggiudicare l’accordo quadro, sulla base dei fabbisogni raccolti dalle Amministrazioni che hanno manifestato l’intenzione di aderire all’accordo quadro. 168 Così Corte di giustizia dell’Unione europea, sez. VIII, 19 dicembre 2018, causa C–216/17, Antitrust e Coopservice (ECLI:EU:C:2018:1034), che ha in tal modo delineato i confini dell’estensione dell’accordo quadro alle Amministrazioni non esplicitamente individuate come beneficiarie “certe” dell’accordo quadro, imponendo che vengano identificate le Amministrazioni che beneficeranno anche solo potenzialmente dell’accordo quadro. In argomento C. RISVIG HAMER, CPBs and their users: shared liability, contract management and remedies, in C. RISVIG HAMER, M.E. COMBA (Eds.), Centralising Public Procurement. The Approach of Eu Member States, cit., 87 ss. 169 Cfr. art. 59 co. 1 d.lgs. n. 36 del 2023, che prevede la durata massima di quattro anni per gli appalti nei settori ordinari. Peraltro, TAR Lombardia, Brescia, sez. II, sent. n. 596 del 2018 ha affermato essere illegittima la procedura di gara che stabilisca la durata dell’accordo quadro in sei anni, in assenza di una giustificazione a tale deroga.
146
CAPITOLO IV
ri-fornitore, ad accordi quadro aperti mono-fornitore e ad accordi quadro aperti pluri-fornitore170. Da questa classificazione, unitamente alla sua natura normativa e bifasica, emerge che le Amministrazioni (soprattutto quelle individuate come mere potenziali) beneficiarie dell’accordo quadro non siano giuridicamente vincolate a procedere all’adesione all’accordo quadro, ma abbiano facoltà di aderirvi o meno171; non vi è dunque un obbligo contrattuale nei confronti della controparte privata, essendovi unicamente «per un determinato arco temporale, la possibilità di acquisire le prestazioni oggetto dell’accordo, allorquando ne ravvisi la necessità»172. Inoltre, la fase relativa agli appalti specifici è in ogni caso correlata a quella della conclusione dell’accordo quadro. Pur essendo possibile che questa seconda fase risulti condizionata sospensivamente dal manifestarsi della necessità di soddisfare quello specifico fabbisogno pubblico espresso dalla stazione appaltante e che deve essere soddisfatto aderendo all’accordo quadro, la fase della conclusione dell’accordo quadro e quella dell’esecuzione dell’appalto specifico non devono essere viste come procedure autonome173, bensì come due elementi fra loro legati di cui l’uno è il risultato ontologico dell’altro. Se ci si sofferma sull’accordo quadro c.d. chiuso, risulta chiaro come tutte le condizioni dei successivi appalti specifici siano già definite integralmente, con la conseguenza che è proprio nell’accordo quadro che viene selezionato il fornitore174 (o i fornitori). In tal caso, specialmente con la presenza di più operatori economici, i documenti 170
Per un approfondimento su queste quattro combinazioni, si veda il documento del Directorate General Internal Market and Services della Commissione europea Explanatory note – Framework Agreements – Classic directive (Ref. Ares (2016)810203) del 16 febbraio 2016, punti 3.1.-3.4. 171 Come affermato da TAR Lazio, Roma, sez. I, sent. n. 2864 del 2021, punto 7, dall’accordo quadro «non scaturiscono effetti reali o obbligatori, ma la cui efficacia consiste nel “vincolare” la successiva manifestazione di volontà contrattuale delle stesse parti». Similmente anche Cons. Stato, sez. III, sent. n. 1329 del 2019. 172 Così TAR Campania, Napoli, sez. I, sent. n. 4264 del 2016, punto 8. Dello stesso tenore TAR Lombardia, Brescia, sez. II, sent. n. 1369 del 2016. 173 Sul punto G.M. RACCA, S. PONZIO, La scelta del contraente come funzione pubblica: i modelli organizzativi per l’aggregazione dei contratti pubblici, cit., 62, le quali mettono in luce come le diverse modalità di stipulati degli appalti specifici riflettano la diversa «validità temporale» dell’accordo quadro e dei contratti specifici. 174 Cfr. art. 33 co. 3 Direttiva 2014/24/UE e art. 59 co. 3 d.lgs. n. 36 del 2023.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
147
di gara dell’accordo quadro dovranno esplicitare le modalità con cui avverrà l’affidamento dell’appalto specifico al particolare fornitore (ad es. in base al principio di rotazione o dello scorrimento a cascata della graduatoria)175. Nell’accordo quadro c.d. aperto, invece, tutte le condizioni dei futuri appalti specifici non sono già stabilite; affinché gli appalti specifici siano affidati è allora necessario che si proceda con quella che viene definita “riapertura del confronto competitivo”176, nella quale viene concretamente identificato l’operatore economico aggiudicatario a seguito di un rilancio migliorativo (tecnico o/e economico) delle condizioni base stabilite nell’accordo quadro177. A fronte di quanto ripercorso, paiono allora evidenti i benefici che derivano dallo strumento dell’accordo quadro e dei relativi appalti specifici, e dunque i vantaggi che le stazioni appaltanti ottengono ricorrendo a esso. Infatti, l’accordo quadro è innanzitutto uno strumento flessibile178 che permette alle Amministrazioni aggiudicatrici di definire le prestazioni necessarie a soddisfare i loro fabbisogni e al contempo di identi 175 Cfr. art. 33 co. 4 lett. a) Direttiva 2014/24/UE e art. 59 co. 4 lett. a) d.lgs. n. 36 del 2023. 176 Cfr. art. 33 co. 4 lett. c) Direttiva 2014/24/UE e art. 59 co. 4 lett. b) d.lgs. n. 36 del 2023. 177 La riapertura del confronto competitivo, e gli elementi su cui essa verterà, dovranno già essere necessariamente previsti nella lex specialis dell’accordo quadro e dovranno essere rispettosi delle specifiche norme che caratterizzano la procedura di scelta del contraente indicata in quel particolare accordo quadro. 178 La Direttiva 24 del 2014 e il Codice dei contratti pubblici prevedono altresì la possibilità, per le amministrazioni di ricorrere all’accordo quadro c.d. misto, un modello mediano che permette alle amministrazioni di optare per la riapertura del confronto competitivo o di aderire direttamente all’accordo senza tale riapertura 178. Questo modello, il cui ricorso deve essere necessariamente previsto nei documenti di gara dell’accordo quadro, condensa in sé gli elementi positivi dell’accordo quadro chiuso e quelli dell’accordo quadro aperto, risultando particolarmente prezioso per le stazioni appaltanti, in quanto si trovano così a poter adattare con attenzione sartoriale, l’esecuzione degli specifici appalti speciali all’andamento ondivago dei propri fabbisogni. In relazione agli accordi quadro misti si rimanda a G.M. RACCA, S. PONZIO, La scelta del contraente come funzione pubblica: i modelli organizzativi per l’aggregazione dei contratti pubblici, cit., 65-66 e a C. RISVIG HAMER, Regular purchases and aggregated procurement: the changes in the new Public Procurement Directive regarding framework agreements, dynamic purchasing systems and central purchasing bodies, cit.
148
CAPITOLO IV
ficare gli operatori economici che saranno chiamati a realizzarle, in assenza di un obbligo pubblico di acquistare la quantità di beni e i servizi prevista (viene infatti prevista la quantità massima, e non quella minima, dell’oggetto delle prestazioni). Affidando la definizione e la gestione dell’accordo quadro a una centrale di committenza, e dunque a un soggetto dotato di elevata professionalità e di specifiche competenze tecniche, si giunge a un risparmio di risorse pubbliche derivante, da un lato, dalla massiccia aggregazione delle varie domande delle specifiche Amministrazioni aggiudicatrici che consente di ottenere prezzi più bassi a fronte dell’acquisto di ingenti quantità di beni o servizi; dall’altro, dalla correlata riduzione delle risorse che sarebbero state impiegate da tutte le Amministrazioni per indire e gestire autonomamente le proprie procedure, anziché affidarsi a un unico soggetto (la centrale di committenza) che indice e gestisce per tutte un’unica procedura (l’accordo quadro) – aspetto che a sua volta si traduce in un risparmio di tempo perché i tempi per l’acquisto delle forniture e dei servizi avviene più celermente. Questi fattori conducono inoltre a rafforzare la trasparenza delle dinamiche di mercato e a favorire la concorrenza fra operatori economici179. Il presupposto pratico al ricorso agli accordi quadro risiede, tuttavia, nella natura omogenea e, a volte, standardizzata del bene, oppure in relazione a servizi che devono essere prestati uniformemente in tutte le Pubbliche Amministrazioni, come nel caso di beni o servizi di cybersicurezza che devono essere adottati da tutte le Amministrazioni, su tutto il territorio, con livelli minimi comuni di sicurezza. Non è un caso che il ricorso ad accordi quadro sia molto diffuso a li 179
Sui vantaggi derivanti dell’accordo quadro, che però devono essere sempre valutati nel singolo caso si specie, si vedano M. PIGNATTI, La disciplina dell’accordo quadro tra efficienza dell’attività contrattuale e il principio di concorrenza nell’ordinamento giuridico europeo, in DPCE online, n. 3/2021, 3193 ss.; A. SANCHEZ GRAELLS, Public procurement and the EU competition rules, Hart, Oxford, 2011; G.M. RACCA, R. CAVALLO PERIN, G.L. ALBANO, The Safeguard of Competition in the Execution Phase of Public Procurement: Framework Agreements as Flexible Competitive Tools, intervento al seminario The New Public Law in a Global (Dis)order. A Perspective from Italy, Istituto di Ricerche Sulla Pubblica Amministrazione (IRPA) and Jean Monnet Center of NYU School of Law, settembre 2010.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
149
vello domestico180, comprendendo in particolare beni e servizi ICT, compresi quelli di cybersecurity.
3.2.2. Alcuni esempi di appalti pubblici di cybersicurezza effettuati in Italia: la “Gara Sicurezza On Premises” e la “Gara Servizi Sicurezza da Remoto” Il ricorso all’attività di centralizzazione di CONSIP, adoperando lo strumento dell’accordo quadro, è testimoniato da due fra le più importanti gare aggiudicate nel nostro Paese in materia di cybersicurezza pubblica. La prima di esse è la c.d. “Gara Sicurezza On Premises”181, gara a procedura aperta per l’affidamento di un accordo quadro, in un unico lotto, per la fornitura di beni e servizi ICT per la tutela della cybersicurezza delle Pubbliche Amministrazioni di tutto il territorio italiano, indetta nel luglio 2021. In particolare, l’oggetto dell’accordo quadro preveda, da un lato, la fornitura di prodotti per la gestione degli eventi di sicurezza e degli accessi, la protezione dei canali e-mail, web e dati; dall’altro, la prestazione dei servizi di installazione e configurazione, di supporto alla verifica di conformità, di Contact Center; nonché dei servizi di manutenzione (comprensivo dell’help desk), di supporto specialistico, di hardening su client, e di formazione e affiancamento. La scelta compiuta da CONSIP è stata quella di ricorrere a un accordo aperto muti-fornitore182, con previsione della riapertura del 180
Per un’analisi puntuale e dettagliata si rimanda alla Relazione al Parlamento per l’anno 2020 del Ministero dell’Economia e delle Finanze relativamente al Programma di razionalizzazione degli Acquisti di beni e servizi per le pubbliche amministrazioni del luglio 2021, che in particolare mette in evidenza come nel 2020 siano stati avviati e gestiti 49 accordi quadro relativi a varie categorie merceologiche, con un valore complessivo di spesa presidiata e di spesa erogata in crescita rispetto all’anno precedente, anche a fronte dell’ampliamento delle categorie merceologiche (cfr. paragrafo Conclusioni, 68 ss.). 181 Si consideri che questa procedura recepisce e attua le norme del d.l. n. 77 del 2021, conv. l. n. 108 del 2021, finalizzate a permettere alle Pubbliche Amministrazioni di acquisire beni, servizi e sistemi di cybersicurezza necessari per attuare il Piano nazionale di ripresa e resilienza. Tutta la documentazione della procedura è accessibile sul sito ufficiale di CONSIP all’indirizzo https://bit.ly/3u30vh5. 182 Emerge dal Capitolato tecnico generale come il numero di fornitori aggiudi-
150
CAPITOLO IV
confronto competitivo con gli operatori economici individuati, da svolgersi nella fase di affidamento degli appalti specifici. Tale accordo quadro era composto da un unico lotto (aspetto giustificato dal fatto per cui la fornitura congiunta dei prodotti e dei servizi oggetto dell’accordo avrebbe permesso di garantire più efficacemente alti livelli di cybersicurezza), di durata massima pari a ventiquattro mesi, senza possibilità di rinnovo, decorrenti dalla data di attivazione – termine entro cui le Amministrazioni contraenti avrebbero dovuto indire i propri appalti specifici, ciascuno dei quali di durata massima di ventiquattro mesi183. A fronte di tale oggetto, CONSIP aveva calcolato in 135.000.000 € (IVA esclusa) il valore massimo dell’appalto, il quale rappresentava la base d’asta quale parametro per l’offerta economica. La procedura scelta per la realizzazione dell’accordo quadro è stata individuata nella procedura aperta184, da aggiudicarsi sulla base del criterio dell’offerta economicamente più vantaggiosa (con attribuzione di 100 punti massimo, di cui 70 punti massimo in relazione alla componente tecnica dell’offerta e 30 punti per la valutazione della componente economica). Per poter presentare offerta, gli operatori economici erano chiamati a soddisfare alcuni requisiti. Oltre al possesso di quelli generali previsi a pena di esclusione185, ai requisiti di idoneità e a quelli di capacità economica e finanziaria186, gli operatori offerenti dovevano rispettare altresì i particolari requisiti di capacità tecnica e professionale individuati nel caso di specie187. Gli operatori economici in possesso dei requisiti richiesti dovevano presentare quale offerta un meta-prodotto o meta-servizio, ri catori stimato fosse compreso fra i due e i cinque. 183 In base a quanto previsto dal Capitolato d’oneri, punto 4.1. e dal Capitolato tecnico – parte speciale, punto 1.3. 184 Ai sensi dell’art. 60 d.lgs. n. 50 del 2016. 185 Cfr. art. 80 d.lgs. n. 50 del 2016. 186 Aver conseguito negli ultimi due esercizi finanziari disponibili o approvati, alla data di scadenza del termine per la presentazione delle offerte, un fatturato specifico medio annuo pari a 8.000.000 € – IVA esclusa – nel settore di attività “forniture e servizi inerenti alla Sicurezza ICT”. 187 Cfr. Capitolato d’oneri, punto 7.3, che prevedeva in particolare il possesso di specifiche norme ISO (fra cui a titolo esemplificativo ISO 27001:2013, ISO 27001:2014, ISO 27001:2017, UNI EN ISO 9001:2015).
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
151
spondente ai requisiti minimi richiesti nella documentazione dell’accordo quadro. Soltanto nella fase dell’appalto specifico il metaprodotto poteva essere personalizzato in base alle specifiche richieste dell’Amministrazione aggiudicatrice, rispondendo in tal modo ai requisiti migliorativi cui alla riapertura del confronto competitivo. Nel caso in esame, l’accordo quadro è stato aggiudicato nel febbraio 2022 a favore di tre operatori economici, tutti e tre raggruppamenti temporanei di imprese188; a questa fase è seguita quella dell’aggiudicazione degli appalti specifici, da sottoscriversi con il migliore offerente risultante dal confronto competitivo189. La seconda importante gara d’appalto effettuata nell’ambito della cybersecurity è la c.d. “Gara Servizi Sicurezza da Remoto”190, gara a procedura aperta per la conclusione di un accordo quadro avente ad oggetto l’affidamento di servizi di sicurezza da remoto, di compliance e controllo per le Pubbliche Amministrazioni, indetta da CONSIP nel settembre 2021. Questa procedura ricalca il modello della “Gara Sicurezza On Premises”: anche in questa ipotesi, infatti, CONSIP aveva pubblicato un bando per una gara aperta volta all’affidamento di un accordo quadro multi-fornitore. Vi sono state, tuttavia, alcune differenze significative: innanzitutto l’accordo quadro non era aperto ma chiuso; inoltre, non era prevista la riapertura del confronto competitivo nella fase di aggiudicazione degli appalti specifici. Un’altra differenza consisteva – ovviamente – nell’oggetto dell’accordo quadro, la cui eterogeneità aveva condotto la centrale di committenza a prevedere due distinti lotti da aggiudicarsi ciascuno rispettivamente a due distinti operatori economici in base al posizionamento nella graduatoria finale di merito191: il lotto 1, relativo ai servizi di sicurezza da remoto e del valore di € 468.000.000 €, e il lotto 2 concernente i servizi di 188
Il RTI composto da Fastweb s.p.a., Fincantieri Nextech s.p.a., N&C s.r.l., Business Integration Partners s.p.a., Consorzio Reply Public Sector; il RTI formato da Telecom Italia s.p.a., Leonardo s.p.a., DGS s.p.a., Engineering Ingegneria Informatica s.p.a.; e il RTI composto da Vodafone Italia s.p.a., Eurolink s.r.l., Almaviva - The Italian Innovation Company s.p.a. 189 Cfr. Capitolato d’oneri, punto 26. 190 Tutta la documentazione di gara è disponibile sul sito istituzionale di CONSIP alla pagina https://bit.ly/3u5aLWs. 191 Con attribuzione di quote distinte del valore massimo dell’accordo.
152
CAPITOLO IV
compliance e controllo e con valore 117.000.000 €. La durata dell’accordo quadro era pari a ventiquattro mesi, mentre quella degli appalti specifici era di quarantotto mesi. Cambiando l’oggetto dell’accordo, rispetto alla procedura cui al paragrafo precedente, parimenti erano diversi i requisiti di partecipazione richiesti agli operatori economici192. Anche in questo caso, il criterio di valutazione delle offerte era quello dell’offerta economicamente più vantaggiosa, con ponderazione 70:30/100 punti. L’accordo quadro in esame, aggiudicato con tempistiche diverse (il lotto 1 nell’agosto 2022, mentre il lotto 2 nell’aprile dello stesso anno), anche in questo, stante la complessità dell’oggetto dell’appalto, ha visto l’aggiudicazione in favore di raggruppamenti temporanei di imprese193. Stipulato l’accordo quadro, per tutta la durata dello stesso, le Amministrazioni aggiudicatrici possono affidare uno o più appalti specifici, senza dover procedere a un confronto competitivo fra gli operatori economici, alle stesse condizioni stabilite nella lex specialis dell’accordo.
192
In particolare i requisiti di capacità economica e finanziaria richiesti erano: per il lotto 1, aver conseguito negli ultimi due esercizi finanziari disponibili, o approvati alla data di scadenza del termine per la presentazione delle offerte, un fatturato specifico medio annuo nel settore “servizi inerenti la Sicurezza ICT” non inferiore a 5.268.750 € (IVA esclusa); mentre per il lotto 2, aver conseguito negli ultimi due esercizi finanziari disponibili, o approvati alla data di scadenza del termine per la presentazione delle offerte, un fatturato specifico medio annuo nel settore “servizi inerenti la Sicurezza ICT” non inferiore a € 1.312.500,000 € (IVA esclusa). I requisiti di capacità tecnica e professionale richiedevano il possesso di specifiche certificazioni ISO, fra cui a titolo esemplificativo ISO 27001 e UNI EN ISO 9001:2015 nel settore o ambito di riferimento. 193 Il lotto 1 ha avuto come aggiudicatari il RTI composto da Accenture S.p.A., Fincantieri Nextech S.p.A., Fastweb S.p.A., Deas - Difesa e Analisi Sistemi S.p.A, e RTI formato da Telecom Italia S.p.A., Netgroup S.p.A., Reevo S.p.A., Kpmg Advisory S.p.A., Almaviva – The Italian Innovation Company S.p.A. Il lotto 2, invece, è stato aggiudicato al RTI composto da Deloitte Risk Advisory S.r.l., EY Advisory S.p.A., Teleco S.r.l. Riferimenti della mandataria Deloitte Risk Advisory S.p.A, e al RTI formato da Intellera Consulting S.r.l., Capgemini Italia S.p.A., HSPI S.p.A., Teleconsys S.p.A.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
153
3.2.3. Gli appalti pubblici di cybersicurezza nell’ambito del Perimetro di Sicurezza Nazionale Cibernetica Come si ha avuto modo di evidenziare, la disciplina generale degli appalti di cybersicurezza pubblica concerne le Pubbliche Amministrazioni intese in senso ampio. Può capitare, dunque, che le Amministrazioni aggiudicatrici beneficiarie dell’accordo quadro di CONSIP rientrino all’interno del Perimetro di Sicurezza Nazionale Cibernetica (PNSC), così come l’accordo stesso abbia ad oggetto beni, servizi e sistemi ICT destinati a essere impiegati sulle loro reti e sistemi digitali ricompresi dalla disciplina normativa e regolamentare di dettaglio. La disciplina normativa sul Perimetro ha previsto l’obbligo194, in capo alle Amministrazioni ricomprese nel PSNC195, di comunicare al Centro di valutazione e certificazione nazionale l’intenzione di procedere tramite centrali di committenza – e dunque in primis ricorrendo agli accordi quadro di CONSIP – all’acquisto di forniture di beni, sistemi o servizi ICT espressamente individuati196 e che debbano essere utilizzatati sulle reti o sui sistemi informativo-digitali con cui sono esercitare le funzioni pubbliche e i servizi pubblici ricompresi nel Perimetro197. Si è evidenziato come l’Agenzia per la Cybersicurezza Nazionale, organo incaricato di vigilare sulla corretta applicazione del quadro di 194
Cfr. art. 1 co. 6 lett. a) d.l. n. 105 del 2019, conv. l. n. 133 del 2019. Il DPR 5 febbraio 2021, n. 54 ne ha invece stabilito le concrete modalità. 195 Lo stesso art. 1 co. 6 lett. a) settimo periodo d.l. n. 105 del 2019, conv. l. n. 133 del 2019 precisa che il medesimo obbligo, e le relative modalità di attuazione, gravi anche in capo al Ministero dell’interno e a Ministero della difesa, con la specificità che essi dovranno dare comunicazione ai propri Centri di valutazione (CV) anziché al CVCN. 196 L’individuazione è effettuata dall’allegato 1 del DPCM 15 giugno 2021. 197 Precisa l’art. 1 co. 6 lett. a) primo periodo d.l. n. 105 del 2019, conv. l. n. 133 del 2019, che la summenzionata comunicazione deve comprendere altresì la valutazione del rischio associato all’oggetto della fornitura, tenendo in considerazione lo specifico ambito di impiego. L’obbligo di comunicazione, così come stabilito dall’art. 1 co. 6 lett. a) ottavo periodo d.l. n. 105 del 2019, conv. l. n. 133 del 2019, non vige in relazione agli affidamenti di forniture, di sistemi e servizi ICT destinati alle reti e ai sistemi informativo-digitali impiegati per effettuare attività di prevenzione, accertamento e repressione di reati, nonché nell’ipotesi relative ad appalti di beni, sistemi e servizi ICT per i quali occorra procedere in sede estera.
154
CAPITOLO IV
certificazione della cybersecurity di beni e servizi ICT, agisca per il tramite del Centro di Valutazione e Certificazione Nazionale198 (CVCN)199. Al CVCN è attribuita l’importante funzione di valutare la cybersicurezza dei beni, dei sistemi e dei servizi digitali impiegati nel Perimetro di sicurezza nazionale cibernetica e che rientrano nelle categorie previste dalla sua specifica disciplina200. L’obbligo di comunicazione al CVCN da parte dei soggetti rientranti nel PNSC è funzionale a consentire al Centro di svolgere, su quei beni e servizi considerati particolarmente rilevanti e sensibili per la sicurezza nazionale, l’esercizio di funzioni di controllo tecnico della cybersicurezza in relazione all’approvvigionamento di beni e servizi ICT201: l’elaborazione delle misure di sicurezza cibernetica; l’elaborazione e l’adozione di schemi di certificazione cibernetica; e soprattutto il controllo dell’assenza di vulnerabilità informatica e di verifica delle condizioni di sicurezza tramite la definizione di verifiche tecniche preliminari ritenute necessarie, potendo imporre anche test su hardware e su software, nonché nello stabilire condizioni particolari e prescrizioni di utilizzo al committente202. 198
In argomento si vedano L. FRANCHINA, A. LUCARIELLO, F. RESSA, Operativo il Centro di Valutazione e Certificazione Nazionale (CVCN): un traguardo per la cyber nazionale, in www.cybersecurity360.it, 1° luglio 2022, nonché A. CONTALDO, La disciplina della sicurezza del perimetro cibernetico nazionale anche alla luce dello standard 5G, in A. CONTALDO, D. MULA, (cur.), Cybersecurity Law, cit., 212 ss. 199 Come è stato osservato, il passaggio del Centro di Valutazione e Certificazione Nazionale dal Ministero dello sviluppo economico all’Agenzia per la Cybersicurezza Nazionale sottolinea l’intenzione del legislatore di approcciarsi al tema della cybersicurezza nella sua totalità, ricomprendendo inevitabilmente il tema della certificazione delle forniture di tecnologia, abbracciando dunque la cybersecurity «in maniera organica». In tal senso L. FRANCHINA, A. LUCARIELLO, F. RESSA, Operativo il Centro di Valutazione e Certificazione Nazionale (CVCN): un traguardo per la cyber nazionale, cit. Al CVCN cui si affiancano i Centri di Valutazione (CV) del Ministero dell’Interno e del Ministero della Difesa: la differenza sostanziale che intercorre fra essi concerne l’ambito di competenza: il primo ha competenza generale, mentre i secondi hanno competenza settoriale riferita rispettivamente a quello dell’Interno e a quello della Difesa. 200 Cfr. DPCM 15 giugno 2021. 201 Cfr. art. 1 co. 7 d.l. n. 105 del 2019, conv. l. n. 133 del 2019. 202 In questo compito il CVCN può avvalersi dell’attività dei Laboratori Accreditati di Prova (LAP). Cfr. Decreto del Presidente del Consiglio dei Ministri 18 maggio 2022, n. 92.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
155
Il CVCN esercita tali compiti, nel termine di quarantacinque giorni dalla ricezione della comunicazione203. Qualora esso spiri senza che il CVCN si sia espresso, le Amministrazioni che hanno effettuato la comunicazione possono proseguire con la procedura di aggiudicazione; qualora, invece, entro tale termine il CVCN imponga test e specifiche condizioni, i bandi di gara, i contratti e la documentazione di gara della procedura di aggiudicazione sono integrati con specifiche clausole che condizionano sospensivamente o risolutamente il contratto al rispetto delle predette condizioni e all’esito positivo dei testi effettuati. Tali test e prove tecniche, che devono essere svolte nel termine di sessanta giorni – trascorsi i quali le Amministrazioni possono proseguire nell’affidamento –, sono effettuati con l’obbligatorio intervento degli specifici operatori economici fornitori dei beni o servizi sottoposti a test, i quali devono sostenerne tutti gli oneri. Nel caso di mancato intervento del privato, il CVCN informa di ciò la Presidenza del Consiglio dei Ministri, nell’ipotesi di appalto destinato ai soggetti pubblici rientranti nel Perimetro, o al Ministero dello Sviluppo Economico, nel caso di aggiudicazione di beni e servizi rivolti anche ai soggetti privati ricompresi nel PSNC: la Presidenza del Consiglio dei Ministri e il Ministero sono chiamati a esercitare attività ispettive e di verifica, adottando le prescrizioni ritenute congrue204. 3.3. La disciplina speciale di cybersecurity public procurement: gli appalti dell’Agenzia per la Cybersicurezza Nazionale Alla disciplina generale degli appalti pubblici di cybersicurezza, applicabile a tutte le Pubbliche Amministrazioni intese generalmente, se ne affianca in parallelo una speciale, stabilita sul piano regolamentare205, 203
Cfr. art. 1 co. 6 d.l. n. 105 del 2019, conv. l. n. 133 del 2019. Fra le attività ispettive della Presidenza del Consiglio dei Ministri e del Ministero dello Sviluppo Economico vi è, a titolo esemplificativo, l’accesso a dati e metadati personali e amministrativi. 205 Cfr. DPCM 1° settembre 2022, n. 166. Si noti che tale DPCM, adottato su proposta del Direttore dell’ACN, è stato approvato senza il parere del Consiglio di Stato, ex art. 17 l. n. 400 del 1988, ma a seguito di quello del Comitato parlamentare per la sicurezza della Repubblica, sentito il Comitato interministeriale per la cy204
156
CAPITOLO IV
dedicata all’acquisto di forniture, servizi e lavori per le attività istituzionali dell’Agenzia per la Cybersicurezza Nazionale (ACN)206. Stante la sua specialità riferita alla ratio di proteggere la sicurezza nazionale nello spazio cibernetico, la disciplina dettata dal DPCM n. 166 del 2022 deroga alle norme generali sugli appalti stabilite dal Codice dei contratti pubblici207 – senza però interessare le norme relative ai contratti secretati208 – pur nel rispetto dei principi di economicità, efficacia, tempestività, proporzionalità, correttezza e non discriminazione e, in ogni caso, con modalità idonee ad assicurare la tutela della sicurezza nazionale nello spazio cibernetico209. Le procedure in esame devono essere espletate, in generale, in coerenza con il programma biennale degli acquisti di beni e servizi e del programma triennale dei lavori pubblici dell’ACN, e le stesse devono essere illustrate nella relazione che il Presidente del Consiglio dei Ministri deve presentare al COPASIR210. bersicurezza. 206 Cfr. art. 11 co. 4 d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 207 Cfr. art. 2 co. 1 DPCM n. 166 del 2022. Si noti che ex art. 23 co. 4 del medesimo Decreto, in relazione a quanto non espressamente previsto le norme del Codice dei contratti pubblici sono applicabili soltanto ove compatibili con esso. 208 Disciplinati dall’art. 139 d.lgs. n. 36 del 2023, mentre in precedenza dall’art. 162 d.lgs. n. 50 del 2016. La norma prevede la deroga all’applicazione delle norme del Codice dei contratti pubblici nel caso sia di appalti al cui oggetto, atti o modalità di esecuzione è attribuita una classificazione di segretezza, sia di appalti la cui esecuzione deve essere accompagnata da speciali misure di sicurezza, in conformità a disposizioni legislative, regolamentari o amministrative. Gli operatori economici che partecipano ai contratti secretati non devono essere soltanto in possesso degli specifici requisiti previsti dalla procedura, ma anche del nullaosta di sicurezza ex l. n. 124 del 2007. L’affidamento dei contratti secretati viene avviene esperendo prima una gara “informale” a cui sono invitati a partecipare un numero di operatori economici non inferiore a cinque – a condizioni che vi sia un tale numero di operatori economici qualificati e in possesso del nullaosta di sicurezza e che la negoziazione con più operatori sia conciliabile con il rispetto della sicurezza e della segretezza richieste nella specifica procedura. Il soggetto incaricato di svolgere il controllo preventivo di legittimità e di regolarità dei contratti secretati, oltre a vigilare sulla regolarità, correttezza ed efficacia della gestione è l’Ufficio di controllo istituito presso la Corte dei conti, in forza della delibera dell’8 giugno 2016. 209 Cfr. art. 3 co. 1 DPCM n. 166 del 2022. 210 Cfr. art. 21 co. 2 DPCM n. 166 del 2022. Proprio tale comunicazione rappresenta la modalità con cui l’ACN dà attuazione agli obblighi di trasparenza e pubblicazione previsti dal Codice dei contratti pubblici, in base a quanto pre-
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
157
La particolarità del contesto – ancora una volta – si riflette sui requisiti che l’ACN richiede agli operatori economici per partecipare alle procedure di aggiudicazione211: oltre a sottostare all’obbligo di riservatezza, di non divulgazione e di non impiego dei dati e delle informazioni di cui vengono a conoscenza212, e a dover possedere alcuni requisiti di partecipazione base (requisiti di idoneità professionale, capacità economico-finanziaria e tecnico-professionale proporzionati all’oggetto dell’appalto) e i requisiti di sicurezza relativi alla particolarità della procedura213 – essi devono soddisfare i criteri di affidabilità che la particolare determina a contrarre individua nel caso di specie214. Tutti i requisiti richiesti dall’ACN devono permanere in capo ai fornitori per tutta la durata della procedura e della sua esecuzione, fintanto che la prestazione contrattuale non sia eseguita: in caso contrario, l’Agenzia ha diritto di recesso immediato e di agire per il risarcimento del danno215. Il DPCM n. 166 del 2022, ammettendo sia il subappalto sia il raggruppamento temporaneo di imprese216, stabilisce che gli appalti in questione vengano realizzati ricorrendo a cinque possibili procedure di gara prestabilite217 a seconda del valore dell’appalto. visto dall’art. 23 co. 1 del Decreto in esame. Tali procedure, però, in due ipotesi possono non essere espletate in coerenza con il programma biennale degli acquisti di beni e servizi e del programma triennale dei lavori pubblici: da un lato, qualora l’acquisizione di tali beni, servizi o sistemi sia giustificato per «sopravvenute e indifferibili esigenze» necessarie per consentire all’Agenzia di svolgere le proprie funzioni di tutela della sicurezza nazionale nello spazio cibernetico; dall’altro, se vi è l’esigenza di eliminare, mitigare o prevenire vulnerabilità, eventi o situazioni di rischio di incidenti di cybersicurezza a reti o sistemi digitali che possono tradursi in un pregiudizio per la cybersecurity nazionale. In questi due casi, l’ACN deve informare delle procedure il COPASIR con tempestività. Cfr. artt. 3 co. 2 lett. a) e b) e 21 co. 1 DPCM n. 166 del 2022. 211 A livello organizzativo, il DPCM n. 166 del 2022 individua i medesimi organi che sono individuati, in generale, in tutti i procedimenti di affidamento: un responsabile unico del procedimento di gara, un direttore dell’esecuzione del contratto e un direttore dei lavori. Cfr. artt. 4 e 5 DPCM n. 166 del 2022. 212 Cfr. art. 7 co. 2 DPCM n. 166 del 2022. 213 Cfr. art. 8 co. 1 lett. c) DPCM n. 166 del 2022. 214 Cfr. art. 7 co. 1 DPCM n. 166 del 2022. 215 Cfr. art. 9 DPCM n. 166 del 2022. 216 Cfr. art. 11 e 12 DPCM n. 166 del 2022. Ciò pur prevedendo in ogni caso possibili loro esclusioni. 217 Cfr. art. 13 DPCM n. 166 del 2022.
158
CAPITOLO IV
La prima di esse è l’affidamento diretto218, a cui si può ricorrere per forniture e servizi (anche prestazioni d’opera specialistica o intellettuale) di importo inferiore a 139.000 € e per lavori di importo inferiore a 150.000 €. Ai fini del rispetto dei menzionati principi di economicità efficacia, tempestività, proporzionalità, correttezza e non discriminazione, l’ACN deve acquisire almeno un preventivo senza, tuttavia, dover attenersi alla rotazione fra fornitori. La seconda procedura a cui l’Agenzia può ricorrere è la procedura negoziata219, nel caso di appalti di forniture e servizi di importo pari o superiore a 139.000 € e per lavori di importo pari o superiore a 150.000 €. Tale procedura può essere eseguita con una previa gara informale o senza. Il ricorso alla procedura negoziata previo esperimento di una gara informale è la strada principale che l’ACN debba seguire nella generalità dei casi: essa è tenuta a invitare almeno tre operatori economici, previamente individuati dalla stessa Agenzia e ai quali essa invia le lettere di invito con modalità separate; anche in questo caso derogando al principio di rotazione dei fornitori, e a condizione che la negoziazione sia compatibile con le esigenze di tutela della cybersicurezza. Il ricorso, invece, alla procedura negoziata senza una previa gara informale può avvenire soltanto nei casi espressamente previsti dal Decreto220. Le altre procedure che l’Agenzia per la cybersicurezza nazionale può adottare per espletare questo tipo di appalti pubblici sono il dialogo competitivo, il partenariato-pubblico privato e l’accordo quadro221. L’ACN può ricorrere a quest’ultimo, qualora non sia possibile quantificare in modo preciso e immediato l’oggetto della fornitura, del servizio o del lavoro e, ferma restando la predeterminazione della spesa massima complessiva e la facoltà di recesso dell’Agenzia senza che alcun compenso, a nessun titolo, sia dovuto al contraente per le prestazioni non eseguite. In ogni caso, l’accordo quadro non può avere una durata non superiore a nove anni. Nella disciplina generale applicabile a tutte le Pubbliche Amministrazioni, queste ultime sono obbligate a utilizzare gli strumenti messi a disposizione di CONSIP, accordo quadro in primis; nella disciplina 218 219 220 221
Cfr. art. 14 DPCM n. 166 del 2022. Cfr. art. 15 DPCM n. 166 del 2022. Cfr. art. 15 co. 3 lett. a)-p) DPCM n. 166 del 2022. Cfr. art. 13 co. 1 lett. c), d) ed e) DPCM n. 166 del 2022.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
159
speciale di ACN, invece, il ricorso a tali strumenti è residuale ed è esplicitamente consentito soltanto qualora le condizioni e le modalità dell’appalto siano compatibili con le esigenze di tutelare la sicurezza nazionale nello spazio cibernetico e siano in grado di garantire un’azione tempestiva da parte dell’ACN222. Condizioni che, tra l’altro, giustificano altresì l’esecuzione delle prestazioni in via d’urgenza e la modifica dei contratti d’appalto durante il fisiologico periodo di efficacia223. 4. I limiti della logica autoritativa sulla dimensione “orizzontale” della cybersicurezza pubblica La logica autoritativa di cui è intrisa la disciplina della cybersicurezza pubblica rivela, in realtà, come l’approccio del legislatore al tema, nuovo, della cybersicurezza pubblica venga affrontato con strumenti tradizionali basati sul binomio “obbligo-sanzione”. L’impiego di strumenti classici per affrontare dinamiche innovative mostra i limiti di tale approccio, in grado di incidere negativamente sul perseguimento dell’interesse pubblico e sulla tutela delle posizioni giuridiche soggettive dei singoli. E questo emerge in relazione sia alla disciplina generale della cybersicurezza pubblica sia a quella degli acquisti pubblici di cybersicurezza. In primo luogo, ci si potrebbe interrogare sull’aderenza del rapporto mezzo-fine, ovvero se l’approccio autoritativo consenta di perseguire concretamente l’obiettivo che le stesse politiche generali di cybersicurezza pongono: avere un cyberspazio resiliente e, nello specifico per quanto ivi di interesse, evitare che avvengano incidenti e attacchi alle reti e alle infrastrutture digitali impiegate dai privati o dalle Amministrazioni per esercitare le proprie funzioni e per prestare servizi pubblici. Sotto questo profilo, tanto l’imposizione di standard tecnici e di misure cyber-organizzative ad hoc, quanto l’obbligo di adottare un quadro comune minimo di certificazione cyber di beni, servizi o sistemi, potrebbero risultare effettivamente utili per prevenire situazio 222 223
Cfr. art. 13 co. 2 DPCM n. 166 del 2022. Cfr. art. 17 e 19 DPCM n. 166 del 2022.
160
CAPITOLO IV
ni in grado di condurre a rischi cyber. A ben guardare, però, i due menzionati obblighi permettono di conseguire l’obiettivo di rendere cyber-safe le reti e le infrastrutture digitali solamente nel brevissimo periodo, vale a dire fintanto che il livello tecnologico degli attaccanti sia pari a quello delle Istituzioni, alle cui specifiche tecniche le normative fanno riferimento. In altre parole: questa disciplina fotografa le condizioni del settore della cybersicurezza in un determinato momento; ma se già l’ambito tecnologico è connotato da repentina evoluzione, a fortiori quella cyber lo è ancora di più a fronte degli interessi sottesi alla sua crescita. Il pericolo, dunque, è che nel momento in cui tali obblighi debbano essere attuati il contesto tecnologico di riferimento sia mutato al punto tale da rendere tali imposizioni inefficaci – ad esempio a fronte del superamento di uno standard tecnico in favore di un altro, nuovo, non previsto dalla normativa. In una situazione simile, pertanto, il rischio che la disciplina sia condannata a inseguire l’evoluzione tecnologica, senza mai raggiungerla, vanifica il raggiungimento dell’obiettivo posto anche solamente nel breve periodo. Se una condizione di questo tipo non è già accettabile in ambiti in cui è noto il suo verificarsi, come quello del costante inserimento di nuove sostanze stupefacenti e psicotrope nelle apposite tabelle previste dal DPR n. 309 del 1990, il c.d. Testo unico sugli stupefacenti, ancor meno lo è in quello della cybersecurity pubblica a fronte degli interessi coinvolti. Queste considerazioni si intrecciano con un elemento ulteriore. L’evoluzione tecnologica sottopone a un forte stress la disciplina, costringendo i legislatori ad approvare ravvicinati interventi normativi volti a “correggere il tiro” di quanto in vigore fino a quel momento, come emerso, ad esempio, dalla recente abrogazione della Direttiva (UE) 2016/1148, c.d. NIS, ad opera della Direttiva (UE) 2022/2555, c.d. NIS 2. Se è vero che fra la NIS e la NIS 2 sono trascorsi solamente pochi anni, è altrettanto vero che le Istituzioni si trovano a dover intervenire in periodi di tempo più brevi, agendo in particolare sul piano regolamentare: si pensi, a testimonianza di ciò, ai vari DPCM che rappresentano la colonna portante dell’attuazione della disciplina italiana. Con il paventato rischio, inoltre, che l’affastellarsi di questi atti, caratterizzati da un alto tasso di complessità tecnica, offuschi i fini che il legislatore ha invece posto.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
161
L’unico obbligo che appare realmente efficace è quello della comunicazione dei soggetti privati, alle Autorità preposte, circa incidenti o attacchi cyber accaduti sulle loro reti o sulle infrastrutture digitali. Nulla quaestio sul tema delle sanzioni previste nell’ipotesi di violazione dei menzionati obblighi. Come visto, la disciplina italiana prevede un regime alternativo di duplice natura: sanzioni penali, affidate al giudice, per casi tassativamente previsti, e sanzioni pecuniarie amministrative, affidate all’Agenzia per la Cybersicurezza Nazionale. Entrambe le sanzioni paiono rispondenti ai principi – il cui rispetto è stabilito dalla disciplina europea – di effettività, proporzionalità e dissuasività. Anzi, l’attribuzione all’Agenzia per la Cybersicurezza Nazionale del potere sanzionatorio mette in luce proprio la natura ibrida di quest’organo, connotato da funzioni tipiche del modello dell’“agenzia” in senso stretto224 ma anche da quelle proprie derivanti dall’ambito e dal comparto dell’intelligence225. Nulla quaestio anche perché il considerare l’opportunità di affiancare a (o peggio ancora, sostituire) tali sanzioni con pratiche incentivanti sulla scia della Nudge226 potrebbe apparire naïf in considerazione degli interessi in gioco nel contesto di cybersecurity pubblica. 224
Sul potere sanzionatorio tipico delle autorità indipendenti, fra i numerosi contributi si vedano A. POLICE, I poteri sanzionatori “di regolazione” delle Autorità amministrative indipendenti tra legalità e giustiziabilità, in A. CARBONE (cur,), L’amministrazione nell’assetto costituzionale dei poteri pubblici. Scritti per Vincenzo Cerulli Irelli, Giappichelli, Torino, 2021, 185 ss.; M. ALLENA, S. CIMINI (cur.), Il potere sanzionatorio delle Autorità amministrative indipendenti , in Dir. econ. , n. 3/2013, 460 ss.; M. C LARICH , L. Z ANETTINI , Le garanzie del contraddittorio nei procedimenti sanzionatori dinnanzi alle Autorità indipendenti , in Giur. Comm ., 2013, 358 ss. 225 Come accennato, infatti, la dottrina ha sottolineato la tesi della natura ibrida dell’ACN, che si ritiene di condividere per le ragioni già espresse, a fronte di alcuni peculiari tratti distintivi: cfr. L. PARONA, L’istituzione dell’Agenzia per la cybersicurezza nazionale, in Giorn. dir. amm., n. 6/2021, 709 ss. e A. RENZI, La sicurezza cibernetica: lo stato dell’arte, cit., 545 ss. 226 Il riferimento è alla teoria dei comportamenti incentivanti in sostituzione di quelli fondati sul binomio “obbligo-sanzione” elaborata da R.H. THALER, C.R. SUSTEIN, Nudge. Improving Decisions About Health, Wealth, and Happiness, Yale University Press, New Haven-London, 2008. Fra gli autori italiani che si sono occupati di questo argomento declinandolo in riferimento al diritto amministrativo cfr. A. ZITO, La nudge regulation nella teoria giuridica dell’agire amministrativo. Presupposti e limiti del suo utilizzo da parte delle pubbliche amministrazioni, Editoriale
162
CAPITOLO IV
In secondo luogo, se ci si sofferma nello specifico sul tema della certificazione dei prodotti, dei servizi e dei sistemi cyber, emerge con evidenza la centralità che rivestono gli organismi tecnici preposti alla relativa verifica, come il Centro di Valutazione e Certificazione Nazionale dell’ACN. Come visto, il CVCN si trova a esercitare un imprescindibile ruolo, potendo svolgere la propria funzione grazie all’ampia discrezionalità tecnica227 di cui gode. Una funzione così permeante in grado di bloccare la prosecuzione della procedura d’affidamento, formalmente già conclusa, nell’ipotesi di esito negativo dei test o del mancato rispetto delle condizioni cyber-certificative richieste. Tale imprimatur di cybersicurezza è giustificato dalla tutela dell’interesse pubblico derivante dai sensibili interessi in gioco legati alla sicurezza dello Stato, essendo condizionata dall’esercizio di funzioni amministrative “essenziali” e dalla prestazione di servizi pubblici Scientifica, Napoli, 2021; G. TROPEA, Spinte gentili per la pubblica amministrazione?, in Dir. econ., n. 1/2022, 31 ss.; M. CLARICH, La riflessione scientifica attuale sulla regolazione dei mercati e la prospettiva delle “spinte gentili”, in Dir. e proc. amm., n. 2-3/2015, 413 ss.; S. VALAGUZZA, Nudging pubblico vs. pubblico: nuovi strumenti per una regolazione flessibile di ANAC, in Riv. regolaz. dei mercati, n. 1/2017, 91 ss. Sia consentito richiamare S. ROSSA, Riflessioni giuspubblicistiche in merito alle teorie “Nudge” e “One Health”, in Corti Supreme e Salute, n. 3/2022, 827 ss. 227 In relazione al tema della discrezionalità, ex multis, oltre a E. PRESUTTI, Discrezionalità pura e discrezionalità tecnica, in Giur it., 1910, 10 ss., si vedano M.S. GIANNINI, Il potere discrezionale della pubblica amministrazione. Concetto e problemi, Giuffrè, Milano, 1939; C. MORTATI, voce Potere discrezionale, in Nuovo Dig. it., 1939, 79 ss.; M. NIGRO, Le norme-principio della Costituzione e la discrezionalità amministrativa, in Foro it., 1951, I, III, c. 28; C. MORTATI, voce Discrezionalità, in Noviss. dig. it., V, Torino, 1959, 1098 ss.; A. PIRAS, voce Discrezionalità amministrativa, in Enc. Dir., XIII, 1963, 7 ss.; S. PIRAINO, La funzione amministrativa fra discrezionalità e arbitrio, Giuffrè, Milano, 1990; S. COGNETTI, Profili sostanziali della legalità amministrativa. Indeterminatezza della norma e limiti della discrezionalità, Giuffrè, Milano, 1993, 200 ss.; A. PUBUSA, Merito e discrezionalità amministrativa, in Dig. Disc. Pubbl., IX, 1994, 411 ss.; D. DE PRETIS, Valutazione amministrativa e discrezionalità tecnica, CEDAM, Padova, 1995; A. POLICE, La predeterminazione delle decisioni amministrative. Gradualità e trasparenza nell'esercizio del potere discrezionale, Esi, Napoli, 1997; F.G SCOCA, La discrezionalità nel pensiero di Giannini e nella dottrina successiva, in Riv. trim. dir. pubbl., 2000, 1045 ss.; B.G. MATTARELLA, voce Discrezionalità amministrativa, in S. CASSESE (cur.), Dizionario di diritto pubblico, Giuffrè, Milano, 2006, 1993 ss.; G. TROPEA, La discrezionalità amministrativa tra semplificazioni e liberalizzazioni, anche alla luce della legge n. 124/2015, in Dir. amm., n. 1/2016, 107 ss.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
163
“essenziali” per il mantenimento di quelle attività fondamentali per gli interessi dello Stato di natura civile, sociale o economico, in relazione a cui un loro possibile impiego improprio, interruzione o malfunzionamento, può comportare pregiudizi alla sicurezza nazionale. Al contempo, però, sottolinea come nel settore della cybersicurezza pubblica l’esercizio del potere, anzi, l’«essere un Potere con il quale si debbono fare i conti»228 spetti ai tecnici, mentre ai regolatori, legislatore in primis, non rimane che la presunzione di esserlo. Appare utile soffermarsi altresì sui profili problematici derivanti dalla disciplina del public procurement di beni, servizi o sistemi di cybersicurezza. Da essa innanzitutto emerge quanto sia fondamentale l’azione di CONSIP per realizzare un sistema di cybersicurezza il più possibile resiliente. Questa centrale di committenza, infatti, agisce come “braccio operativo” dell’Agenzia per l’Italia Digitale (AGID) nell’attuazione delle gare strategiche previste dal Piano triennale per l’informatica nella Pubblica Amministrazione, il cui ruolo rispecchia l’esigenza di centralizzazione dell’acquisto di questo tipo di beni e servizi, stante la ratio di tutelare i delicati interessi in gioco – si pensi, ad esempio, agli appalti che concernono il Perimetro di Sicurezza Nazionale Cibernetica – anche tramite l’impiego di personale dipendente dotato di alte capacità professionali. Questa impostazione si traduce, nella realtà, nel ricorso allo strumento contrattuale dell’accordo quadro, la cui la definizione e gestione sono affidate a una centrale di committenza dotata di personale con elevante competenze tecniche e professionali. Come scritto, l’accordo quadro non è una procedura di aggiudicazione, ma uno strumento contrattuale con il quale la centrale di committenza che lo indice può ricorrere discrezionalmente alla procedura di aggiudicazione ritenuta più opportuna per soddisfare al meglio l’interesse pubblico del caso. Sennonché nella realtà l’accordo quadro in materia di cybersicurez 228
Il riferimento è alla constatazione della natura profonda dell’Amministrazione quale potere, data da R. FERRARA, Introduzione al diritto amministrativo, Laterza, Roma-Bari, 2002, 4: «il suo essere un Potere con il quale si debbano fare i conti, in un assetto mutevole e sempre cangiante di relazioni giuridiche di cui il giurista deve cercare di cogliere il significato complessivo, la “ragion pura” e – ancor prima – “la ragion pratica”».
164
CAPITOLO IV
za è stato aggiudicato ricorrendo alla procedura d’acquisto più autoritativa in assoluto: la procedura aperta229. Una procedura connotata da uno spiccato carattere di formalità in cui la centrale di committenza si limita sostanzialmente a due azioni: a tradurre nelle rigide norme della lex specialis i fabbisogni espressi dalle altre Amministrazioni aggiudicatrici, e ad aggiudicare l’accordo quadro all’operatore economico la cui offerta è stata valutata come migliore. Ricorrendo alla procedura aperta, la centrale di committenza agisce nel medesimo modo con cui procederebbe laddove, anziché acquistare beni e servizi di cybersecurity, volesse acquistare, ad esempio, beni prodotti su larga scala industriale e dotati di caratteristiche standardizzate, in relazione a cui la valutazione della qualità è affidata al controllo formale delle certificazioni e delle specifiche tecniche richieste. Beni e servizi, dunque, molto lontani da quelli di cybersicurezza, in cui invece serve in primis all’Amministrazione interagire e collaborare con gli operatori privati che, come ricostruito nel primo capitolo, possiedono quelle caratteristiche di elasticità organizzativa, risorse finanziarie e altissime competenze tecniche che invece mancano alla Pubblica Amministrazione in conseguenza di un (oggettivo) grande divario informativo, comportando in questo modo il realizzarsi del fenomeno c.d. lock-in a scapito dell’acquirente (pubblico) e a vantaggio del venditore (privato) di tecnologia230. Sotto questo profilo, la stessa disciplina degli appalti prevede la possibilità di aggiudicare accordi quadro ricorrendo a procedure nelle quali la collaborazione fra il pubblico e il privato è protagonista, ridu 229
Cfr. la “Gara Sicurezza On Premises” e la “Gara Servizi Sicurezza da Remo-
to”. 230
Considerazioni simili possono essere svolte in relazione alla disciplina di dettaglio per appalti pubblici dell’ACN volti alla tutela della sicurezza nazionale nello spazio cibernetico, la quale, come ricostruito, può realizzare tali appalti ricorrendo a cinque procedure di gara prestabilite a seconda del valore dell’appalto: l’affidamento diretto, la procedura negoziata, il dialogo competitivo, il partenariato pubblicoprivato e l’accordo quadro. Anche se, proprio l’esclusione, fra tale elenco, della procedura aperta e l’apertura ad appalti più flessibili quali la procedura negoziata, il dialogo competitivo e il partenariato pubblico-privato, sottolineano la volontà di donare all’ACN una maggior agilità della fase degli acquisti rispetto ad altri organismi pubblici, proprio in considerazione della dinamica fluidità propria dell’ambito della cybersecurity.
LA DIMENSIONE “ORIZZONTALE” DELLA CYBERSICUREZZA PUBBLICA
165
cendo gli spazi del patologico effetto di cattura dell’acquirente pubblico. Pertanto, una (parziale) risposta a problemi che possono verificarsi esiste già. Da uno sguardo d’insieme più ampio, cercando di esprimere un giudizio di massima sulla disciplina della cybersicurezza pubblica (generale e del procurement), risulta che l’approccio impiegato dalle Istituzioni e dal legislatore sia necessario ma soltanto parzialmente sufficiente. Necessario in quanto un approccio autoritativo che imponga obblighi e preveda sanzioni per la loro violazione è indispensabile. Esso non deve però essere visto come un punto di arrivo bensì come un punto di partenza: in questo senso non è sufficiente, in quanto a esso occorre affiancare un ulteriore approccio volto a completare quello autoritativo e a colmare le sue lacune: l’approccio collaborativo. Come si vedrà di seguito, è necessario – e possibile – utilizzare gli strumenti che l’ordinamento già offre per agire come un martinetto per allargare i pochi spazi previsti dalla disciplina della cybersecurity pubblica alla collaborazione fra pubblico e privato, giungendo in questo modo a realizzare quello che è il fine ultimo della politica pubblica sulla cybersicurezza: non (sol)tanto proteggere le infrastrutture digitali, ma giungere a un contesto istituzionale di cyber resilienza in cui tutti gli attori coinvolti interagendo e collaborando fra loro in vista del raggiungimento di un obiettivo comune stabilito dallo Stato, diventino consci dei rischi cyber. Come intuibile, nel far ciò il ruolo dello Stato appare imprescindibile
CAPITOLO V L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA E IL RECUPERO DELLA FUNZIONE PIANIFICATORIA DELLO STATO SOMMARIO: 1. L’esigenza di allargare gli esistenti (ma limitati) spazi di collaborazione nella relazione fra pubblico e privato, integrando l’approccio autoritativo. – 2. Gli appalti pubblici come leva di trasformazione collaborativa del sistema della cybersicurezza pubblica. – 2.1. Gli appalti innovativi. – 2.2. In particolare: il partenariato per l’innovazione. – 2.3. L’apporto degli appalti innovativi come strumento per evitare le criticità dell’acquisto pubblico di beni e servizi di cybersicurezza. – 3. Il recupero della funzione pianificatoria pubblica: la collaborazione “orientata” al raggiungimento di fini posti dal soggetto pubblico. – 3.1. Lo Stato innovatore come guida del processo innovativo (e della cybersicurezza).
1. L’esigenza di allargare gli esistenti (ma limitati) spazi di collaborazione della relazione fra pubblico e privato, integrando l’approccio autoritativo Una delle basi concettuali della cybersecurity è costituita dalla collaborazione fra tutti i soggetti coinvolti, pubblici e privati. Come è stato analizzato, però, la disciplina normativa in materia di cybersicurezza pubblica si basa in larga parte sull’approccio autoritativo, relegando ai margini gli spazi di collaborazione previsti dal legislatore. Spazi di collaborazione, quindi, sì presenti ma limitati. Si pensi, ad esempio, al principio generale di cooperazione fra soggetti istituzionali e attori privati nel contrasto agli attacchi cyber in ottica transfrontaliera, già presente della Strategia dell’Unione europea per la sicurezza cibernetica del 20131; oppure all’obbligo, posto dall’impianto delle c.d. Direttive NIS e NIS 2 in capo ai Paesi mem 1
Cfr. Comunicazione congiunta della Commissione e dell’Alto Rappresentante dell’Unione europea del 7 febbraio 2013 (JOIN (2013) 1 final), punto 2.1.
168
CAPITOLO V
bri, della predisposizione di misure di preparazione, contrasto e recupero a seguito di incidenti cyber che prevedano un rapporto collaborativo fra tutti i soggetti coinvolti, abbiano essi natura pubblica o privata2. Si pensi, altresì, alla previsione del c.d. Cybersecurity Act che ha introdotto gli organismi di valutazione della conformità della certificazione della cybersicurezza, soggetti privati accreditati da appositi soggetti pubblici a svolgere tale delicata funzione3; oppure all’attività di cooperazione attiva esercitata dall’ENISA, nella quale sono coinvolte anche le imprese e i portatori di interessi del settore pubblico o privato4. Parimenti, si pensi alla presenza del gruppo consultivo, in seno all’ENISA, in cui trovano rappresentanza gli stakeholders coinvolti nell’ambito della cybersecurity5; nonché alla possibilità per i portatori di interessi e per le parti terze interessate a prendere parte, su invito, alle riunioni dell’European Cybersecurity Certification Group (ECCG) e a partecipare ai suoi lavori6. Nonché al coinvolgimento degli attori coinvolti (pubblici o privati) nell’attività di promozione della cultura della cybersicurezza posta in essere dal CERTUE7; oppure al coinvolgimento di Università e di centri di ricerca pubblici o privati coinvolti dall’Agenzia per la Cybersicurezza Nazionale nella realizzazione di azioni comuni di promozione di cybersicurezza8. Infine, si pensi alla possibilità per il Presidente del Consiglio dei Ministri, di invitare autorità civili (e militari), di cui ritenga necessaria la presenza, a partecipare alle sedute del Comitato interministeriale per la Cybersicurezza (pur senza diritto di voto)9. Gli spazi di collaborazione, dunque, vi sono, ma assurgono a norme di dettaglio che finiscono per essere offuscate dalla logica “obbligo-sanzione” che permea tutta la disciplina – quella generale quanto quella del procurement. Pare pertanto necessario ampliare questi 2
Cfr. art. 7 co. 1 lett. c) Direttiva (UE) 2016/1148 e art. 7 co. 1 lett. e) Direttiva (UE) 2022/2555. 3 Cfr. art. 60 co. 1 Regolamento (UE) 2019/881. 4 Cfr. artt. 4, 7, 9 e 12 Regolamento (UE) 2019/881. 5 Cfr. art. 20 co. 1 Regolamento (UE) 2019/881. 6 Cfr. art. 62 co. 3 Regolamento (UE) 2019/881. 7 Cfr. art. 2 Interinstitutional Agreement n. 2018/C 12/01 del 13 gennaio 2018. 8 Cfr. art. 7 co. 2 lett. r) e v) d.l. n. 82 del 2021, conv. l. n. 109 del 2021. 9 Cfr. art. 4 co. 5 d.l. n. 82 del 2021, conv. l. n. 109 del 2021.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
169
spazi di collaborazione, rimettendo al centro la collaborazione. Si badi, tuttavia, che rimettere al centro la logica collaborativa non significa sostituirla a quella autoritativa, bensì affiancarla, in modo tale che dalla sinergia fra queste due la cybersicurezza pubblica venga rafforzata a tutto tondo. Ciò anche in considerazione dell’insostituibilità pratica dell’approccio autoritativo, senza il quale ci si ridurrebbe a teorizzare un modello che non potrebbe essere mai applicato nel mondo reale. Tanto premesso, occorre sottolineare come le norme sulla collaborazione previste e sopra menzionate sono contenute nella disciplina poc’anzi definita generale, in relazione alla quale è arduo ipotizzare momenti o strumenti collaborativi ulteriori a quelli già previsti dal legislatore. Non altrettanto si può sostenere in riferimento alla disciplina degli appalti pubblici di beni e servizi di cybersicurezza. È proprio nell’ambito del cybersecurity public procurement che esistono già strumenti di natura collaborativa che possono essere impiegati nel modello attualmente adottato, al fine di incrementare gli spazi di dialogo fra soggetto pubblico-acquirente e soggetti privati-fornitori, producendo importanti vantaggi generali. 2. Gli appalti pubblici come leva di trasformazione collaborativa del sistema della cybersicurezza pubblica Come ripercorso, la disciplina degli appalti pubblici di cybersecurity risulta essere influenzata significativamente dal ruolo che il legislatore ha attribuito alla centralizzazione degli acquisti pubblici di beni e servizi ICT, in particolare a CONSIP10, in ragione dall’alto livello di professionalizzazione del personale, e del ricorso all’accordo quadro. Quest’ultimo, come ricostruito, consente alla centrale di committenza di scegliere discrezionalmente la procedura di aggiudicazione con cui attuarlo, nell’ambito delle procedure previste dalla disciplina europea e nazionale11. La ratio di tale discrezionalità, dun 10
Anche non considerando il caso delle amministrazioni aggiudicatrici o dei beni e servizi rientranti nel Perimetro di sicurezza nazionale cibernetica, e tralasciando altresì l’ipotesi degli appalti dell’Agenzia per la Cybersicurezza Nazionale. 11 Cfr. art. 33 co. 1 primo periodo Direttiva 2014/24/UE e art. 59 d.lgs. n. 36 del 2023.
170
CAPITOLO V
que, è quella di permettere alla centrale di committenza di ricorrere a una data procedura, al posto di un’altra, in base alla specifica necessità del particolare caso di specie. La scelta effettuata nei casi delle più importanti gare di cybersicurezza pubblica aggiudicate in Italia è stata quella di impiegare la procedura aperta, vale a dire la procedura di aggiudicazione più autoritativa e rigida di tutte, nella quale è assente un’interazione fra il pubblico e il privato ulteriore a quella finalizzata al mero acquisto del bene, servizio o lavoro. Ciononostante, gli accordi quadro per l’acquisto di beni o servizi di cybersicurezza potrebbero essere realizzati ricorrendo anche quelle procedure innovative che rientrano nell’alveo dei c.d. appalti innovativi (par. 2.1.), su tutti il partenariato per l’innovazione (par. 2.2.) – il quale sembrerebbe essere impiegabile anche nella disciplina specifica in favore dell’Agenzia per la Cybersicurezza Nazionale, la quale non può ricorrere direttamente agli appalti innovativi per aggiudicare le proprie gare di cybersecurity, ma potendo impiegare gli accordi quadro potrebbe dare a essi esecuzione proprio tramite il partenariato per l’innovazione12. Gli appalti innovativi, infatti, uniscono l’aspetto della sinergica relazione fra pubblico e privato alla possibilità di creare ex novo beni e servizi al fine del soddisfacimento dell’interesse pubblico, nell’ipotesi in cui esso non possa essere soddisfatto ricorrendo ai beni o servizi che il mercato può offrire in quello specifico momento13. 12
Cfr. art. 13 co. 1 DPCM n. 166 del 2022. Cfr. la Comunicazione della Commissione del 6 luglio 2021 (2021/C 267/01). Si immagini il caso in cui lo Stato abbia bisogno di sviluppare soluzioni innovative per l’interazione uomo-macchina, basate su sistemi di realtà virtuale aumentata, da usare come ausili terapeutici per persone con spettro autistico, al fine di promuovere il loro inserimento sociale. Oppure all’ipotesi in cui lo Stato abbia necessità di sviluppare una piattaforma digitale per la gestione della smart mobility che impieghi modelli predittivi e proattivi, al fine di favorire un’ottimale mobilità urbana e una più efficiente programmazione del trasporto pubblico. Oppure, ancora, al caso in cui lo Stato abbia il bisogno di sviluppare un sistema satellitare innovativo che permetta di erogare servizi di telecomunicazione da impiegarsi nell’attività di soggetti istituzionali (es. protezione civile, difesa, ecc.), dovendo essere sicuri, resilienti e affidabili. Questi pochi esempi rappresentano tre situazioni reali di fabbisogni pubblici che il mercato non è (ancora) in grado di soddisfare con i beni e servizi offerti dagli operatori economici. E, proprio per fronteggiare tale incapacità, lo Stato – rispettivamente il MIUR su proposta del Consorzio ATO Sudi Salento Bacino Le3, l’AGID su proposta di MISE, MIDT e MIUR, e l’ASI (Agenzia Spa13
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
171
In questo modo, tramite la domanda pubblica lo Stato sfida il mercato14 ricorrendo agli appalti pubblici come una leva strategica per incrementare l’innovazione15, favorendo al contempo anche la crescita generale del Paese e, di riflesso, della stessa Unione europea16. È evidente che impiegare questa tipologia di appalti richieda uno sforzo molto gravoso per la centrale di committenza onerata di indire e gestire l’accordo quadro, ma il ricorso a essi può rappresentare una leva per trasformare in chiave collaborativa la cybersicurezza pubblica. 2.1. Gli appalti innovativi Per riflettere su che cosa siano gli appalti innovativi17, pare utile chiarire prioritariamente cosa si intenda con il concetto di innovazione. ziale Italiana) – hanno deciso di ricorrere ad appalti innovativi (cfr. rispettivamente https://bit.ly/3szhs1Z; https://bit.ly/3DeCJmB; https://bit.ly/3Ng0dwq). Ecco che, allora, emerge in modo palese come, nell’ambito degli appalti pubblici, l’innovazione dipenda in modo particolare dall’incapacità – o non volontà – del mercato di soddisfare un bisogno pubblico tramite l’acquisto di beni o servizi esistenti, e dalla speculare necessità di trovare una strada per soddisfarlo, seguendo una procedura d’appalto volta a sviluppare un nuovo prodotto o servizio del quale si necessita, o a migliorarlo profondamente a tal fine, oppure elaborando una nuova procedura d’appalto in grado di giungere alla soddisfazione del fabbisogno. Tesi confermata anche dalla dottrina, fra cui M.E. COMBA, Appalti pubblici per l’innovazione, in Dir. econ., n. 1/2020, 181; similmente anche V. LEMBER, R. KATTEL, T. KALVET (Eds.), Public Procurement, Innovation and Policy, Springer, Berlin Heidelberg, 2014, 2. 14 Esplicitamente la pagina https://www.agid.gov.it/it/agenzia/appalti-innovativi del sito istituzionale dell’AGID. 15 Chiaro a riguardo M.E. COMBA, La domanda pubblica come leva per l’innovazione: le potenzialità degli appalti innovativi per le Anchor Institution, in M.E. COMBA (cur.), Le Anchor Institutions nella società liquida: strumenti giuridici per una sperimentazione in Italia, in federalismi.it, n. 4/2019, 46 ss. In argomento, in senso ampio, V. BONTEMPI, La committenza pubblica per lo sviluppo dell’innovazione e della ricerca, in F. BASSANINI, G. NAPOLITANO, L. TORCHIA (cur.), Lo Stato promotore. Come cambia l’intervento pubblico nell’economia, Il Mulino, Bologna, 2021, 261 ss. 16 Cfr. infatti Considerando 47) Direttiva 2014/24/UE. Sul punto la Risoluzione del Parlamento europeo del 4 ottobre 2018 (2017/2278(INI) e il documento della COMMISSIONE EUROPEA, DG CRESCITA, Studio sull’utilizzo strategico degli appalti pubblici, 2016. 17 In argomento R. CARANTA, P. CERQUEIRA GOMES, Public procurement and innovation, in ERA Forum, n. 22/2021, 371 ss.; C. PAGLIARIN, C. PERATHO-
172
CAPITOLO V
Stando alla sua definizione, il concetto di innovazione è legato a quello più ampio di novità18. Vi è infatti innovazione se viene creato un bene o un prodotto nuovo con una modalità di produzione (già) nota e conosciuta; parimenti, vi è innovazione nel caso in cui un prodotto preesistente viene creato con una modalità nuova. Conseguentemente tertium datur: vi è innovazione altresì nell’ipotesi di NER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, Giuffrè, Milano, 2021; P. CERQUEIRA GOMES, EU Public Procurement and Innovation: The Innovation Partnership Procedure and Harmonisation Challenges, Elgar, Cheltenham, 2021; M.E. COMBA, Appalti pubblici per l’innovazione, cit.; G.M. RACCA, C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, Bruylant, Bruxelles, 2019; M.E. COMBA, La domanda pubblica come leva per l’innovazione: le potenzialità degli appalti innovativi per le Anchor Institution, in M.E. COMBA (cur.), Le Anchor Institutions nella società liquida: strumenti giuridici per una sperimentazione in Italia, cit.; L. GIANI, Spunti per la costruzione di una “cultura dell’innovazione” negli appalti in sanità, in Nuove Autonomie, n. 2/2018, 205 ss. per un’analisi di questi strumenti focalizzata sull’ambito sanitario; S. PONZIO, An Overview of Innovative Procurement, in Ius Publicum Network Review, 2/2018, 1 ss.; OECD, Public Procurement for Innovation Good Practices and Strategies, in OECD Public Governance Review, giugno 2017; M. ANDRECKA, Innovation partnership in the new public procurement regime – a shift of focus from procedural to contractual issues?, in Public Procurement Law Review, 2015, 48 ss.. Per riflessioni legate al settore agroalimentare M.T.P. CAPUTI JAMBRENGHI, G. COLELLA, PPI for a sustainable economy: sustainable supply chain management in the agri-food sector, in Dir. econ., n. 3/2020, 207 ss. Da un punto di vista non strettamente giuridico ma più legato allo sviluppo economico, invece, C. EDQUIST, N.S. VONORTAS, J.M. ZABALAITURRIAGAGOITIA, J. EDLER (Eds.), Public Procurement for Innovation, Elgar, Cheltenham, 2015. In senso ampio, R. CAVALLO PERIN, M. LIPARI, G.M. RACCA (cur.), Contratti pubblici e innovazioni. Per l’attuazione della legge delega, Jovene, Napoli, 2022. Per una riflessione in merito ai vantaggi che possono derivare dall’impiego degli appalti innovativi nell’ambito della sostenibilità, sia consentito il richiamo a S. ROSSA, Sviluppo sostenibile e appalti pubblici. Sul ruolo degli appalti innovativi come strumento di sostenibilità, in CERIDAP, n. 4/2022, 61 ss. 18 Cfr. Voce Innovazione, in Vocabolario online Treccani, in https://www.treccani.it/vocabolario/innovazione/. In tal senso G. SIRILLI, voce Innovazione tecnologica, in Enciclopedia Treccani della Scienza e della Tecnica, 2008, in https://bit.ly/3TU,1M5L: «[l]’innovazione tecnologica può essere definita come l’attività deliberata delle imprese e delle istituzioni tesa a introdurre nuovi prodotti e nuovi servizi, nonché nuovi metodi per produrli, distribuirli e usarli». Similmente anche la definizione di innovazione contenuta nell’Oslo Manual 2018 Guidelines for collecting, reporting and using data on innovation dell’OECD.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
173
creazione di un bene nuovo con una modalità nuova. L’innovazione, pertanto, può riferirsi a un oggetto o alla modalità con cui esso viene prodotto. Come la dottrina non ha mancato di sottolineare19, la creazione di un bene o un prodotto totalmente nuovo in realtà è molto rara, seppur possibile, così come la creazione di una nuova modalità di produzione. A tale innovazione “radicale” (in inglese disruptive innovation), si affianca l’innovazione “incrementale”, statisticamente più frequente e probabile, nella quale vi è un bene o un prodotto già esistente che viene migliorato in modo significativo, oppure il cui relativo processo di produzione viene ottimizzato o applicato a un diverso oggetto o ambito. Da questo punto di vista maggiormente “realistico”, a cui aderiscono sia la Direttiva 2014/24/UE del 26 febbraio 201420 sia il Codice dei contratti pubblici del 201621, emerge allora che una qualche cosa è innovativa, da un lato, se è nuova o se ha subito miglioramenti tali da renderla diversa da come era in origine; oppure, dall’altro, se essa è stata prodotta con una procedura nuova o con una procedura esistente ma ottimizzata o migliorata in modo significativo, oppure applicata in contesti diversi da quelli per i quali è stata sviluppata. Tale ricostruzione è confermata altresì dalla classificazione elaborata dalla dottrina22, secondo cui l’innovazione negli appalti pubblici 19
Così M.E. COMBA, Appalti pubblici per l’innovazione, cit., 180. In tal senso anche la citata Comunicazione della Commissione del 6 luglio 2021 (2021/C 267/01), punto 1.1. 20 Cfr. art. 2 co. 1 num. 22) Direttiva 2014/24/UE per il quale “innovazione” è «l’attuazione di un prodotto, servizio o processo nuovo o significativamente migliorato, tra cui, ma non solo, i processi di produzione, di edificazione o di costruzione, un nuovo metodo di commercializzazione o organizzativo nelle prassi commerciali, nell’organizzazione del posto di lavoro o nelle relazioni esterne, tra l’altro allo scopo di contribuire ad affrontare le sfide per la società o a sostenere la strategia Europa 2020 per una crescita intelligente, sostenibile e inclusiva». 21 Cfr. già art. 3 co. 1 lett. nnnn) d.lgs. n. 50 del 2016. 22 Così G.M. RACCA, C.R. YUKINS, Introduction. The Promise and Perrils of Innovation in Cross-Border Procurement, in G.M. RACCA, C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, cit., 2 ss. e 9 ss. relativamente ai concetti di Purchase of Innovation e di Innovation in the Procurement Process (lato domanda) e di Innovation in Procurement (lato offerta). Similmente anche P. SMITH, Innovation Procurement – What Exactly Does It Mean?, in Public Spend Forum, May 2017.
174
CAPITOLO V
può essere vista dal lato della domanda (ovvero ponendo in luce l’agire del soggetto pubblico) o dal lato più dell’offerta (vale a dire focalizzando l’attenzione sugli operatori economici). Sul versante della domanda, l’appalto innovativo si realizza nell’ipotesi in cui si acquista un bene o un servizio innovativo, qualora a essere innovativa è la procedura d’acquisto in sé23 così come se si acquista un bene o un servizio innovativo ricorrendo a una procedura non istituita appositamente a tal fine, ma dalla quale si otterrebbero importanti vantaggi rispetto a un impiego non rivolto a beni o servizi innovativi. Invece, sul versante dell’offerta – su cui la trattazione non si soffermerà – un appalto è innovativo se promuove la partecipazione di operatori economici innovativi alla procedura di appalto24.
23
In tal senso, ad esempio, I. LOCATELLI, Process Innovation Under the New Public Procurement Directives, in G.M. RACCA, C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, cit., 31 ss. Alcuni dubbi potrebbero però sorgere sull’innovazione della procedura in sé considerata, dal momento che tutte le procedure di aggiudicazione sono già previste dalla disciplina europea e nazionale, e dunque non possono essere intese come una innovazione “creativa” in quanto già predeterminate dal legislatore. Infatti, sul piano formale, non sarebbe in ogni caso possibile ricorrere a procedure diverse e ulteriori a quelle stabilite dalla Direttive del 2014 a fronte della natura tassativa delle procedure di appalto. 24 Si pensi, ad esempio, al caso del Building Information Modelling (BIM) in relazione alla progettazione dei lavori pubblici in cui è incoraggiata la collaborazione fra gli operatori economici fornitori, come sottolineato da G.M. RACCA, C.R. YUKINS, Introduction. The Promise and Perrils of Innovation in Cross-Border Procurement, in G.M. RACCA, C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, cit., 7. In argomento ex multis si vedano C. COSTANZI, The legal implications of building information modelling (BIM) in public procurement law, in ambientediritto.it, n. 3/2020, 72 ss.; E. QUADRI, Il BIM, in M.R SPASIANO, M. CALABRÒ, G. MARI, F. GAMBARDELLA, P. TANDA, A.G. PIETROSANTI (cur.), Fondamenti di diritto per l’architettura e l’ingegneria civile, Editoriale Scientifica, Napoli, 2020, 443 ss.; G.M. DI GIUDA, G.M. RACCA, From Works Contracts to Collaborative Contracts: The Challenges of Legal BIM, in G.M. RACCA, C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, cit., 223 ss.; R. PICARO, La modellazione informativa per l’edilizia e le infrastrutture, in Riv. giur. edil., n. 5/2018, 393 ss.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
175
Sul piano sistematico, gli appalti innovativi possono pertanto essere contrapposti a quelli tradizionali (intesi come “non innovativi”)25, fra i quali possono essere ricompresi i c.d. appalti strategici26. Nella categoria degli appalti innovativi rientra in primo luogo l’appalto pre-commerciale27 (in lingua inglese Pre-Commercial Procurement (PCP). Questo appalto è stato istituito in ambito europeo da una fonte diversa dalle c.d. Direttive appalti del 2004 e del 2014, 25
In realtà, come ha evidenziato M.E. COMBA, Appalti pubblici per l’innovazione, cit., 187, vi è una categoria “intermedia” di appalti, già introdotta nella Direttive Appalti del 2004: quelle procedure che possono essere definite «innovation friendly» in cui l’innovazione era uno degli elementi di valutazione dell’offerta anche se tali procedure non erano state istituite appositamente per incentivare unicamente l’innovazione: fra esse le indagini di mercato pre-gara, il dialogo competitivo, il dialogo tecnico e i concorsi di progettazione – le quali non saranno analizzate nel corso della trattazione. 26 Come è stato puntualizzato dalla dottrina, gli appalti strategici sono quegli appalti che non tengono in considerazione soltanto «lo scopo value for money» nella valutazione delle offerte presentate dagli operatori economici, ma si basano anche su ulteriori valori ritenuti meritevoli: si pensi, ad esempio agli appalti verdi. A ben vedere, infatti, gli appalti strategici non hanno un focus preciso sull’innovazione. In tal senso M.E. COMBA, Appalti pubblici per l’innovazione, cit., 190. Sugli appalti strategici si vedano ex multis É. MULLER (dir.), La commande publique: un levier pour l’action publique?, Dalloz, Parigi, 2018; S.W. KAHLENBORN, J. FRIJDAL, C. MOSER, M. ESSIG, Strategic use of public procurement in Europe. Final report to the European Commission, Berlin, 2011. 27 Sull’appalto pre-commerciale, a titolo non esaustivo, si vedano M. DELSIGNORE, M. RAMAJOLI, Gli appalti pubblici pre-commerciali, in L. FIORENTINO, A. LA CHIMIA (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, Il Mulino, Bologna, 2021, 347 ss.; C. SPADA, I contratti di ricerca e sviluppo, in Dir. amm., n. 3/2021, 687 ss.; M. BARBERIO, Appalti innovativi – Parte 2. Partenariato per l’innovazione e appalti pre-commerciali, in l’Amministrativista, 2020; G. DELLE CAVE, Innovazione e sviluppo nelle Pubbliche Amministrazioni: gli appalti innovativi e i c.d. “pre-commerciali”, in l’Amministrativista, 2019; G.M. RACCA, S. PONZIO, D. GUALTIERI, PP2Innovate Tool – Guida al PPI nel settore “smart – energy”, Interreg Central Europe, 2018; S. PAPA, Gli appalti precommerciali: un particolare approccio all’aggiudicazione degli appalti di ricerca e sviluppo, in Giustamm., n. 3/2017; A. BLASINI, Prime riflessioni in tema di appalto pre-commerciale, in A. FIORITTO, Nuove forme e nuove discipline del partenariato pubblico privato, Giappichelli, Torino, 2017, 195 ss.; M. NULLI (cur.), Gli appalti precommerciali in Italia: una ricostruzione tra teorie generali ed esperienze regionali, Pubblicazioni della Provincia Autonoma di Trento, Trento, 2013.
176
CAPITOLO V
vale a dire dalla Comunicazione della Commissione europea del 14 dicembre 2007 COM (2007)79928. Tale Comunicazione ha delineato uno strumento in cui l’innovazione è sì un elemento centrale, ma nel quale l’accento viene posto nella fase di ricerca e sviluppo, dunque in un momento precedente a quello della commercializzazione del bene, del servizio o del lavoro normalmente oggetto di un appalto29. Occorre innanzitutto precisare come l’appalto pre-commerciale, in realtà, non sia una procedura di acquisto di forniture, servizi o lavori in senso stretto, bensì «un approccio all’aggiudicazione di appalti di servizi di R&S»30. Come la dottrina non ha infatti mancato di evidenziare, esso è una specifica «modalità di finanziamento della ricerca e dell’innovazione»31, aspetto che emerge anche sul piano sistematico, dal momento che dall’ambito della Direttiva 2014/24/UE è espressamente sottratta la disciplina dettata dalla Comunicazione COM (2007)799 del 14 dicembre 200732, pur essendo prevista in ambito nazionale dal Codice dei contratti pubblici33. La ratio degli appalti pre-commerciali è quella di soddisfare un fabbisogno pubblico, che risulta insoddisfatto con i beni e i servizi 28
Comunicazione della Commissione europea del 14 dicembre 2007 (COM (2007)) 799, rubricata Appalti pre-commerciali: promuovere l’innovazione per garantire servizi pubblici sostenibili e di elevata qualità in Europa. In argomento si rimanda alla pagina dedicata all’appalto pre-commerciale sul sito istituzionale della Commissione europea in https://bit.ly/3DPfd1c. 29 Cfr. Comunicazione del 14 dicembre 2007 (COM (2007)) 799, Introduzione. 30 Ibidem. 31 M. DELSIGNORE, M. RAMAJOLI, Gli appalti pubblici pre-commerciali, in L. FIORENTINO, A. LA CHIMIA (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, cit., 349. 32 Cfr. Considerando 35) e Considerando 47) Direttiva 2014/24/UE. D’altronde, già la precedente disciplina europea in materia di appalti pubblici escludeva dalla propria applicazione gli appalti per servizi di ricerca e sviluppo i cui risultati non appartenevano esclusivamente all’amministrazione aggiudicatrice: cfr. l’art. 16 co. 1 lett. f) Direttiva 2004/18/CE. 33 Cfr. art. 135 co. 2 d.lgs. n. 36 del 2023, già prima art. 158 co. 2 d.lgs. n. 50 del 2016. In tal senso M. BRASSON, Quando le stazioni appaltanti ricorrono a soluzioni innovative: dialogo competitivo e servizi di ricerca e sviluppo, in C. PAGLIARIN, C. PERATHONER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., Una strategia per far ripartire l’Europa, Giuffrè, Milano, 2021, 124.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
177
presenti sul mercato, tramite una domanda volta a creare meccanismi che incentivano l’innovazione del mercato. Da questa circostanza derivano gli elementi che caratterizzano questo appalto innovativo. Il primo elemento è relativo all’oggetto dell’appalto pre-commerciale: esso concerne i servizi di ricerca e sviluppo34, con l’esclusione dell’attività di sviluppo avente carattere commerciale35; sono dunque ricomprese l’attività di ricerca scientifica “pura” e quella di produzione di prototipi sperimentali su scala ridotta. Il secondo aspetto fondamentale è invece legato alla distribuzione del rischio d’impresa e ai risultati ottenuti. E proprio questo secondo fattore consente di distinguere l’appalto pre-commerciale dall’appalto di servizio di ricerca e sviluppo. L’appalto di servizio di ricerca e sviluppo, storicamente già previsto dalla normativa italiana degli anni Ottanta36, è un contratto sinallagmatico a titolo oneroso, previsto dalla Direttiva 2014/24/UE37 e dal Codice dei contratti pubblici38, che prevede la corresponsione di un prezzo, da parte dell’Amministrazione aggiudicatrice a favore di un operatore economico, a fronte della prestazione del servizio di ricerca e sviluppo del privato aggiudicatario. La Direttiva ha precisato che i servizi di ricerca e sviluppo non possano riferirsi a tutte le categorie merceologiche, ma soltanto ad alcune di esse specificamente ed espressamente individuate39. Il Parlamento europeo e il Consiglio hanno inoltre stabilito altri due elementi fondamentali: da un lato, i 34
Secondo il Comunicato del Presidente dell’ANAC del 9 marzo 2016, gli appalti pre-commerciali si riferirebbero unicamente ad appalti a contenuto tecnologico. Tale impostazione è stata oggetto di critiche della dottrina, fra cui M. BARBERIO, Appalti innovativi – Parte 2. Partenariato per l’innovazione e appalti precommerciali, cit.; S. PAPA, Gli appalti precommerciali: un particolare approccio all’aggiudicazione degli appalti di ricerca e sviluppo, cit. 35 Chiare sul punto M. DELSIGNORE, M. RAMAJOLI, Gli appalti pubblici precommerciali, in L. FIORENTINO, A. LA CHIMIA (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, cit., 352. 36 Cfr. art. 1 legge 11 novembre 1986, n. 770. 37 Cfr. art. 14 Direttiva 2014/24/UE. 38 Cfr. art. 135 co. 1 d.lgs. n. 36 del 2023, mentre in precedenza art. 158 co. 1 d.lgs. n. 50 del 2016. 39 Il legislatore europeo, e di conseguenza quello italiano, ha fatto ricorso alla classificazione del Common Procurement Vocabulary (CPV) per identificare le specifiche categorie merceologiche.
178
CAPITOLO V
risultati che scaturiscono dall’appalto di servizi di ricerca e sviluppo appartengono esclusivamente all’Amministrazione aggiudicatrice, la quale li deve impiegare nell’esercizio della propria attività istituzionale40; dall’altro, che la prestazione del servizio di ricerca e sviluppo deve essere retribuita in toto dall’Amministrazione aggiudicatrice41. Questi due aspetti discendono dalla ratio dell’appalto di servizio di ricerca e sviluppo: l’Amministrazione paga un professionista per ottenere un servizio, e agisce a tal fine onde usare in modo esclusivo i risultati di tale servizio42. Ecco che appare in modo chiaro la differente ratio di questi due istituti: nell’appalto di servizi di ricerca e sviluppo l’Amministrazione contraente paga un corrispettivo al fine di usare in modo esclusivo i risultati del servizio, mentre nell’appalto pre-commerciale la stazione appaltante incentiva l’evoluzione dell’innovazione del mercato a prescindere dai risultati che ne scaturiscono. Nell’appalto di servizi di ricerca e sviluppo l’R&D, intesa come attività innovativa, è il mezzo mentre nell’appalto pre-commerciale è il fine. Nell’appalto pre-commerciale, infatti, la stazione appaltante condivide i rischi e i benefici con gli operatori economici. Approcciandosi dalla prospettiva dell’operatore economico, sul versante dei rischi vi è condivisione in quanto l’Amministrazione corrisponde un prezzo all’operatore economico per lo svolgimento di attività di ricerca e sviluppo connotata da un alto rischio imprenditoriale che, in assenza dell’intervento pubblico, l’operatore normalmente non sosterrebbe: come emerge anche dalla norma della disciplina italiana43, nell’appalto pre-commerciale, infatti, vi è un vero e proprio co-finanziamento pubblico alla ricerca e sviluppo dell’impresa capace di sviluppare prototipi o soluzioni innovative44 – circostanza che può tradursi in aiuti 40
Cfr. art. 14 lett. a) Direttiva 2014/24/UE. Cfr. art. 14 lett. b) Direttiva 2014/24/UE. 42 Così C. SPADA, I contratti di ricerca e sviluppo, cit., 693, in merito al principio di corrispettività delle prestazioni nell’appalto di servizi di ricerca e sviluppo. 43 Cfr. art. 135 co. 2 lett. b) d.lgs. n. 36 del 2023. 44 In questo senso M. DELSIGNORE, M. RAMAJOLI, Gli appalti pubblici precommerciali, in L. FIORENTINO, A. LA CHIMIA (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, cit., 354, per le quali l’appalto pre-commerciale «è un finanziamento alla ricerca e sviluppo in un settore strategico per le esigenze concrete dell’amministrazione che mira a realizzare un innalzamento delle conoscenze». 41
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
179
di Stato45, vietati dal diritto europeo, qualora il prezzo corrisposto per i servizi in questione non rifletta pienamente il valore di mercato dei benefici ottenuti dall’Amministrazione contraente e i rischi assunti dall’operatore economico e se la procedura di selezione non sia rispettosa dei principi di apertura, trasparenza e non discriminazione e non si basi su criteri di selezione e di aggiudicazione prestabiliti e terzi46. Sempre dal punto di vista del fornitore, sul piano dei benefici vi è infatti condivisione poiché la stazione appaltante non riserva a sé in modo esclusivo i risultati dell’attività di ricerca e sviluppo47 (contrariamente all’appalto di servizi di attività di ricerca e sviluppo). La stazione appaltante cede i propri diritti di proprietà intellettuale all’operatore economico48 il quale, quindi, rimane il dominus del frutto dell’attività di ricerca e sviluppo effettuata e può goderne e disporre, anche al di fuori del contesto dell’appalto pre-commerciale per una futura applicazione e produzione su scala industriale. Dall’appalto pre-commerciale esula, pertanto, la fase di commercializzazione dei prodotti finali ottenuti dai risultati conseguiti49. Queste due fasi sono nettamente distinte e separate, con la conseguenza che la stazione appaltante non procede all’acquisto dei prodotti finali sia nel caso in cui reputi che tali prodotti sarebbero utili a soddisfare il fabbisogno pubblico che ha spinto l’Amministrazione a ricorrere all’appalto pre-commerciale, sia nell’ipotesi in cui gli esiti finali della ricerca e sviluppo siano risultati non utili. Nel primo caso la stazione appaltante dovrebbe impiegare una diversa e ulteriore procedura per l’acquisto o l’utilizzo dei prodotti finali (come nel caso dell’appalto di soluzioni innovative). Tale circostanza si spiega con la volontà di eliminare quel limite al processo innovativo50 che si crea allorquando l’Amministrazione 45
In argomento si veda M. BARTOLI, La progressiva articolazione del quadro normativo europeo sugli aiuti di Stato a favore di Ricerca, Sviluppo e Innovazione (RSI), in Dir. UE, n. 3/2015, 553 ss. 46 Cfr. Comunicazione della Commissione europea del 27 giugno 2014 (2014/C 198/01) punto 33. 47 Cfr. art. 135 co. 2 lett. a) d.lgs. n. 36 del 2023. 48 Cfr. C. SPADA, I contratti di ricerca e sviluppo, cit., 695. 49 Cfr. Comunicazione del 14 dicembre 2007 (COM (2007)) 799, punto 5.3. 50 Sul punto M. DELSIGNORE, M. RAMAJOLI, Gli appalti pubblici pre-
180
CAPITOLO V
conserva in modo esclusivo i benefici dell’attività di ricerca e sviluppo senza che l’operatore privato possa impiegarli sul mercato senza limitazioni51. In tal senso, l’appalto pre-commerciale rappresenta un vero e proprio «volano per l’innovazione, poiché finanzia l’evoluzione e il procedimento innovativo, al di là del risultato e, in aggiunta, permette agli operatori interessati di sviluppare il processo produttivo o la soluzione innovativa per offrirla poi sul mercato»52. Stante il legame con un’attività – quella di ricerca e sviluppo – caratterizzata da un’evoluzione non lineare ma soggetta ad accelerazioni e rallentamenti, l’appalto pre-commerciale si articola in una procedura progressiva a fase successive. Occorre, innanzitutto, che la stazione appaltante verifichi effettivamente se il fabbisogno pubblico possa essere soddisfatto o meno dallo stato del mercato. L’Amministrazione deve dunque procedere a tale indagine effettuando apposite consultazioni preliminari di mercato53, con le quali comunica i propri fabbisogni al mercato e verifica la capacità o meno del mercato di soddisfarli. Qualora ne accerti l’incapacità, la stazione appaltante pone in essere l’appalto precommerciale, il quale consterà di (almeno) tre fasi a sviluppo progressivo della durata di sei mesi ciascuna, a cui possono partecipare più operatori economici, i quali saranno selezionati dall’Amministrazione nel corso delle fasi e che saranno remunerati per le fasi a cui avranno effettivamente partecipato. La prima è una fase di studio e ricerca, in cui gli operatori eco commerciali, in L. FIORENTINO, A. LA CHIMIA (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, cit., 354, le quali notano che «se l’innovazione restasse nella piena proprietà dell’Amministrazione e il privato non avesse modo di sfruttarla successivamente, allora il processo sarebbe destinato a conoscere uno stallo». 51 Come è stato sottolineato da M. BRASSON, Quando le stazioni appaltanti ricorrono a soluzioni innovative: dialogo competitivo e servizi di ricerca e sviluppo, in C. PAGLIARIN, C. PERATHONER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 129-130, la previsione di diritti esclusivi comporterebbe tre conseguenze dannose: la frammentazione del mercato, l’effetto lock-in con il fornitore, l’attribuzione all’Amministrazione dei rischi dell’attività di ricerca e sviluppo. 52 Sul punto M. DELSIGNORE, M. RAMAJOLI, Gli appalti pubblici pre-commerciali, in L. FIORENTINO, A. LA CHIMIA (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, cit., 355. 53 Cfr. art. 77 d.lgs. n. 36 del 2023.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
181
nomici partecipanti elaborano nella loro offerta le possibili soluzioni a fronte delle esigenze e dei fabbisogni evidenziati dall’amministrazione aggiudicatrice. Alla chiusura di questa prima fase, la stazione appaltante effettua una valutazione di rispondenza delle soluzioni elaborate nelle diverse offerte e seleziona quelle ritenute più aderenti ai fabbisogni. Come la dottrina ha sottolineato54, gli operatori economici selezionati, invitati a partecipare alla seconda fase dell’appalto precommerciale, sottoscrivono con la stazione appaltante un accordo quadro che disciplina la fase successiva. Nella seconda fase gli operatori invitati presentano la propria offerta relativamente alla messa a punto dei prototipi sviluppati sulla base dei risultati raggiunti nella prima fase. La stazione appaltante seleziona le offerte ritenute migliori e con gli operatori economici selezionati sottoscrive i contratti d’esecuzione relativi alla produzione in quantità limitate dei prototipi55 cui alla terza fase. La terza fase, infatti, prevede la produzione di quantità limitate di prodotti o servizi in forma sperimentale, che vengono testate in condizioni che simulano un contesto reale, in cui viene vagliata la loro funzionalità e il soddisfacimento o meno del fabbisogno iniziale. Come già sottolineato, l’appalto pre-commerciale termina con i test conclusivi della terza fase, senza sconfinare nella fase di commercializzazione del prodotto o del servizio, oggetto di un appalto diverso dall’appalto pre-commerciale nell’ipotesi in cui la stazione appaltante dimostri interesse nell’acquisto del prodotto o del servizio. L’iter in cui si sviluppa l’appalto pre-commerciale, così come sopra descritto, è previsto dal documento di lavoro allegato alla Comunicazione della Commissione europea del 14 dicembre 2007 (COM (2007)) 799, il quale non è un atto vincolante. Ragione per cui le amministrazioni aggiudicatrici sono libere di aggiungere fasi ulteriori alle tre analizzate. Pur in presenza di una consolidata prassi generalizzata secondo cui l’Amministrazione tende a seguire in modo pedissequo il solco tracciato a livello europeo, di modo tale che i singoli funzionari non incorrano in possibili responsabilità56, il fatto che la 54
Così C. SPADA, I contratti di ricerca e sviluppo, cit., 697. Ibidem. 56 E questo nonostante M. DELSIGNORE, M. RAMAJOLI, Gli appalti pubblici pre-commerciali, in L. FIORENTINO, A. LA CHIMIA (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, cit., 367 scrivano di al55
182
CAPITOLO V
disciplina dell’appalto pre-commerciale sia contenuta in una Comunicazione della Commissione riflette poca chiarezza applicativa, aspetto che si traduce nella scarsa diffusione di uno strumento dalle importanti potenzialità, nell’Unione europea e ancor meno in Italia57, rispetto al ricorso a procedure “tradizionali”. Un'altra procedura rientrante nella categoria degli appalti innovativi è l’appalto di soluzioni innovative (in inglese Public Procurement of Innovative Solutions), previsto anch’esso dal diritto europeo58. Diversamente dall’appalto pre-commerciale, l’appalto di soluzioni innovative ha come presupposto l’esistenza sul mercato di un bene o di un servizio innovativo che però non è ancora in grado di soddisfare appieno il fabbisogno dell’Amministrazione, a fronte di una limitata commercializzazione oppure a causa della necessità di un processo migliorativo sul piano della ricerca e/o dello sviluppo. In tal senso, l’appalto di soluzioni innovative, collocandosi nell’ambito dello sviluppo commerciale del bene o del servizio non ricompreso dall’appalto pre-commerciale, mira a rimuovere quelle barriere concrete che impediscono ai consumatori del mercato di massa di poter utilizzare su larga scala beni o servizi innovativi59. cuni casi in cui sia stato impiegato un modello diverso che prevedeva un appalto pre-commerciale aggiudicato già nella prima fase. 57 In tal senso M. BRASSON, Quando le stazioni appaltanti ricorrono a soluzioni innovative: dialogo competitivo e servizi di ricerca e sviluppo, in C. PAGLIARIN, C. PERATHONER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 132, specialmente se paragonato a Paesi come Giappone e USA in cui il ricorso ad appalti di ricerca e sviluppo è assai più diffuso. Una delle rare sentenze del giudice amministrativo in tema di appalti pre-commerciali è Consiglio di Stato, III sez., sent. 13 febbraio 2020, n. 1174, che però, affrontando il rapporto fra provvedimento di esclusione da una gara e omessa dichiarazione di condanne penali dell’operatore economico, non ha trattato punti di diritto relativi all’istituto dell’appalto pre-commerciale. D’altronde, secondo il notice della Commissione europea del 18 giugno 2021 (C(2021) 4320 final) “Guidance on Innovation Procurement”, l’Italia si pone al dodicesimo posto nell’Unione per ricorso agli appalti innovativi, davanti a Slovenia e Lituania e dietro a Germania e Francia. 58 Cfr. Considerando 47) Direttiva 2014/24/UE. 59 La fase di commercializzazione è da sempre ritenuta un elemento centrale dell’appalto, al punto che si consideri come parte della dottrina, fra cui L. BUTLER, Innovation in Public Procurement: Towards the «Innovation Union», in F. LICHÈRE, R. CARANTA, S. TREUMER (Eds.), Modernising Public Procurement: The New Directive, cit., 337 ss., in part. 345, abbia dubitato della natura d’appalto
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
183
Sul piano sistematico, la dottrina ha posto in evidenza come l’appalto di soluzioni innovative non sia una procedura d’appalto in senso stretto bensì, invece, un «approccio all’innovazione»60. L’obiettivo, infatti, è quello di acquistare beni o servizi innovativi già esistenti sul mercato, il che può essere raggiunto ricorrendo alle procedure previste dalla Direttive appalti e dal Codice dei contratti pubblici61, con l’eccezione del partenariato per l’innovazione62 – e questo per i motivi di seguito esposti (par. 2.2.). Tralasciando, dunque, l’analisi delle singole procedure con cui le stazioni appalti possono procedere all’acquisto di soluzioni innovative, pare necessario soffermarsi su alcuni aspetti peculiari del Public Procurement of Innovative Solutions. Grazie alla sua domanda quantitativamente attrattiva per le imprese, l’Amministrazione aggiudicatrice comunica agli operatori l’intento dell’appalto pre-commerciale. Tale interpretazione è stata però smentita dalla Comunicazione della Commissione europea del 15 maggio 2018 (C(2018) 3051 final), in particolare punto 1.2., che ha ribadito che «[l]’espressione “appalti per l'innovazione” si riferisce a qualsiasi appalto che presenti almeno uno dei seguenti aspetti: l'acquisto del processo di innovazione – servizi di ricerca e sviluppo – con risultati (parziali); l’acquisto dei prodotti dell'innovazione creati da altri»; e soprattutto cfr. punto 4.2.3.2., che ricomprende esplicitamente l’appalto pre-commerciale fra gli appalti innovativi. 60 Così G.M. RACCA, S. PONZIO, D. GUALTIERI, PP2Innovate Tool – Guida al PPI nel settore “smart – energy”, cit., 15. 61 In particolare le procedure con negoziazione, fra cui la procedura competitiva con negoziazione e il dialogo competitivo. Sul punto la citata Comunicazione della Commissione del 15 maggio 2018 (C(2018) 3051 final), in particolare il punto 4.2.1. Similmente anche la pagina del sito istituzionale dell’Agenzia per l’Italia Digitale dedicata agli appalti pubblici di soluzioni innovative, che mette in luce le procedure «più idonee per implementare tale tipologia di acquisti», ricomprendendo la procedura competitiva con negoziazione, il dialogo competitivo, il partenariato per l’innovazione (erroneamente in realtà, per le ragioni che saranno esposte di seguito) nonché la procedura negoziata senza pubblicazione del bando: https://www.agid.gov.it/it/agenzia/appalti-innovativi. 62 In tal senso la dottrina: «[i]l PPI è integralmente disciplinato dalla Direttiva UE sugli appalti pubblici (Direttiva UE/24/2014) e ogni procedura d’appalto ivi prevista può essere utilizzata per l’implementazione di tale approccio, ad eccezione del partenariato per l’innovazione. Tale ultima procedura, infatti, combina PCP e PPI in quanto raggruppa le attività di R&S e l’acquisto di prodotti innovativi in un’unica procedura divisa in fasi», G.M. RACCA, S. PONZIO, D. GUALTIERI, PP2Innovate Tool – Guida al PPI nel settore “smart – energy”, cit., 15.
184
CAPITOLO V
di procedere ad acquistare un’ingente quantità di beni o servizi innovativi in grado di soddisfare il fabbisogno pubblico, a condizione che entro un periodo predefinito tali beni o servizi siano rispettosi dei requisiti di qualità tecnica e del prezzo indicato dall’Amministrazione stessa63. Gli operatori economici, che acconsentono a soddisfare i requisiti e il prezzo richiesti dal soggetto pubblico, forniscono alla stazione appaltante i propri beni e prodotti: essa agisce così da utente di lancio64, vale a dire si comporta come un early adopter65 che testa e “prova” un bene o un servizio che il mercato non ha avuto modo di valutare in modo compiuto con quelle date caratteristiche tecniche e a quel prezzo. Se la fase di test viene superata con successo, l’Amministrazione contraente procederà all’acquisto della fornitura o del servizio avvalendosi di una delle procedure previste dalla disciplina europea66 a cui si è poc’anzi fatto cenno. Agendo come primo utente, dunque, la stazione appaltante, da un lato, contribuisce a definire e/o a migliorare gli standard tecnici del bene o del servizio, necessari alla sua immissione sul mercato e alla commercializzazione su larga scala, incentivando la crescita di imprese innovative tramite il sostegno all’offerta di prodotti o servizi innovativi a un rapporto qualità-prezzo necessario per la relativa diffusione del mercato di massa67. Dall’altro, l’Amministrazione contraente riesce a soddisfare il fabbisogno pubblico con una soluzione innovativa pronta all’uso in tempi ragionevoli – senza dover previamente investire in attività di ricerca e sviluppo che, come sottolineato, nel PPI è già stata effettuata – a un prezzo competitivo di mercato. Parallelamente, proprio a fronte di una domanda quantitativamente significativa, quale quella pubblica, gli operatori economici che offrono soluzioni innovative possono sfruttare l’azione catalizzatrice di early adapter dell’Am 63
Così la pagina Appalti pubblici di soluzioni innovative del sito istituzionale della Commissione europea https://digital-strategy.ec.europa.eu/it/policies/ppi. 64 In tal senso G.M. RACCA, S. PONZIO, D. GUALTIERI, PP2Innovate Tool – Guida al PPI nel settore “smart – energy”, cit., 15. 65 Così il sito dell’Agenzia per l’Italia Digitale (AGID) alla pagina dedicata agli appalti pubblici di soluzioni innovative https://www.agid.gov.it/it/agenzia/appalti-innovativi. 66 In tal senso la già citata pagina Appalti pubblici di soluzioni innovative del sito istituzionale della Commissione europea https://digital-strategy.ec.europa.eu/it/policies/ppi. 67 Ibidem.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
185
ministrazione contraente per migliorare i propri beni o servizi con la consapevolezza che, seguendo le specifiche indicazioni pubbliche, sarà più agevole e – soprattutto – più celere vendere sul mercato di massa le proprie forniture su larga scala68. Al fine di promuovere iniziative di appalti di soluzioni innovative, così come quelle legate agli appalti pre-commerciali, la Commissione europea ha istituito l’European Assistance for Innovation Procurement (EAFIP) Initiative, la quale offre supporto tecnico e giuridico ai committenti pubblici69. L’appalto pre-commerciale e l’appalto di soluzioni innovative, unitamente al partenariato per l’innovazione – di seguito analizzato – sono appalti innovativi nei quali l’innovazione è focalizzata, in particolare, sull’oggetto della fornitura o del servizio. Come anticipato, parte della dottrina colloca nella categoria degli appalti innovativi anche alcuni appalti non previsti dal legislatore con l’esplicito intento di acquistare beni o servizi innovativo, ma beni e servizi di natura più ampia. Ciononostante, se impiegati nell’ambito tecnologico, essi possono comportare significativi vantaggi per il processo innovativo – maggiori di quelli che si otterrebbero dal loro ricorso per l’acquisto di beni e servizi generici. È chiaro che una qualsiasi procedura potrebbe rientrare in questo insieme: si pensi, ad esempio, alla procedura aperta, la quale potrebbe rappresentare uno strumento con cui realizzare l’appalto di soluzioni innovative. Vi è, tuttavia, una procedura d’aggiudicazione che se impiagata per acquistare beni e servizi innovativi produce considerevoli benefici a cascata: l’appalto transfrontaliero. Un istituto che, come sottolineato da una parte della dottrina70, può infatti rivelarsi partico 68
Cfr. G.M. R ACCA , S. P ONZIO , D. G UALTIERI , PP2Innovate Tool – Guida al PPI nel settore “smart – energy” , cit. , 15, che sottolineano come tramite gli appalti di soluzioni innovative «i fornitori possono meglio anticipare le richieste di soluzioni innovative e abbreviare le tempistiche per portare sul mercato prodotti adeguati a tale scopo». 69 Si rimanda dunque al sito istituzionale https://eafip.eu/. All’indirizzo http://eafip.eu/resources/videos/ è possibile consultare le testimonianze dei soggetti pubblici che hanno già posto in essere appalti innovativi, fra i quali anche appalti di soluzioni innovative. 70 In tal senso R. CAVALLO PERIN, G.M. RACCA, European Joint Cross-Border Procurement and Innovation, in G.M. RACCA, C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, cit., 93 ss.
186
CAPITOLO V
larmente utile per stimolare l’innovazione e al contempo per acquistare soluzioni innovative. L’appalto transfrontaliero71 (in inglese Joint Cross-Border Procurement – JCBP) è una procedura stabilita dall’art. 39 della Direttiva 24/2014/UE, il cui testo è stato trasposto senza significative modifiche nella disciplina italiana all’art. 64 del d.lgs. n. 36 del 202372, e a cui le Amministrazioni possono ricorrere per acquistare forniture o servizi di qualsiasi natura. Nella consapevolezza della necessità di favorire la cooperazione fra Pubbliche Amministrazioni73 e Stati, accrescendo i vantaggi del 71 In argomento a titolo non esaustivo, oltre ai capitoli di R. CAVALLO PERIN, G.M. RACCA, European Joint Cross-Border Procurement and Innovation, che traccia un quadro molto approfondito e al quale si rimanda per quanto ivi non trattato, e di P. VALCÁRCEL FERNÁNDEZ, The Relevance of Promoting Collaborative and Joint Cross Border Procurement for Buying Innovative Solutions, entrambi in G.M. RACCA, C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Boders, cit., rispettivamente 93 ss. e 133 ss., si vedano altresì S. PONZIO, Joint procurement and innovation in the new Eu directive and in some Eu-funded projects, in Ius Publicum Network Review, cit.; G.M. RACCA, S. PONZIO, Nuovi modelli organizzativi per il ‘joint procurement’ e l’innovazione dei contratti pubblici in Europa in P. VALCÁRCEL FERNÁNDEZ (Eds.), Compra conjunta y demanda agregada en la contratación del sector público. Un análisis jurídico y económico, Aranzadi, Pamplona, 2016, 373 ss.; in lingua inglese F. SCHOTANUS, Joint procurement: an economics and management perspective, in C. RISVIG HAMER, M.E. COMBA (Eds.), Centralising Public Procurement. The Approach of Eu Member States, Elgar, Cheltenham, 2021, 54 ss.; in francese invece G.M. RACCA, S. PONZIO, Contrats publics transnationaux: une perspective complexe, in Ius Publicum Network Review, n. 1/2021, 1 ss. Per alcuni spunti critici si veda invece A. SANCHEZ- GRAELLS, Is Joint Cross-Border Public Procurement Legally Feasible or Simply Commercially Tolerated? A Critical Assessment of the BBG-SKI JCBPP Feasibility Study, in Eur. Proc. Publ. Priv. Part. Law Rev., 12/2017, 97 ss. 72 La norma di riferimento nel Codice appalti del 2016 era invece l’art. 43 d.lgs. n. 50 del 2016. Come evidenziato da R. CAVALLO PERIN, G.M. RACCA, European Joint Cross-Border Procurement and Innovation, in G.M. RACCA, C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, cit., 107 nota 61, anche in assenza del predetto art. 43 d.lgs. n. 50 del 2016, vi sarebbero nell’ordinamento italiano almeno due basi normative su cui fondare questo istituto: una sul piano generale, rappresentata dall’art. 11 l. n. 241 del 1990 in materia di accordi fra Pubbliche Amministrazioni; un’altra invece più di dettaglio, relativa alle convenzioni fra Comuni ex art. 30 d.lgs. n. 267 del 2000. 73 Relativamente alla cooperazione amministrativa, si vedano invece, R. CAVALLO PERIN, G.M. RACCA, Cooperazione amministrative europea, in Dig. Disc.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
187
mercato interno tramite la creazione di opportunità commerciali transfrontaliere per i fornitori e i prestatori di servizi74, la Direttiva 2014/24/UE per la prima volta ha introdotto esplicitamente una disciplina a ciò dedicata, volta altresì a consentire alle stazioni appaltanti di acquistare lo stesso bene, o beni con caratteristiche tecniche pressoché uguali, al prezzo più basso praticato sul mercato europeo indipendentemente da dove esse sono collocate75. La disciplina stabilisce che le stazioni appaltanti possono agire congiuntamente per aggiudicare transfrontalmente appalti pubblici, ma ciò non deve essere finalizzato ad applicare una disciplina straniera più favorevole di quella nazionale76. Di converso, gli Stati membri non possono vietare alle rispettive Amministrazioni aggiudicatrici di ricorrere ad attività di centralizzazione di committenza esercitate da Pubbl., Agg., 2017, 191 ss.; R. CAVALLO PERIN, G.M. RACCA, La cooperazione amministrativa europea nei contratti e servizi pubblici, in Riv. ita. dir. pubb. comunit., n. 6/2016, 1457 ss.; M. LOTTINI, From “Administrative Cooperation” in the Application of European Union Law to “Administrative Cooperation” in the Protection of European Rights and Liberties, in Eur. Rev. Publ. Law, 2012, 131 ss.; D.U. GALETTA, Coamministrazione, reti di amministrazioni, Verwaltungsverbund: modelli organizzativi nuovi o alternative semantiche alla nozione di “cooperazione amministrativa” dell’art. 10 TCE, per definire il fenomeno dell’amministrazione intrecciata?, in A. CONTIERI, F. FRANCARIO, M. IMMORDINO, A. ZITO (cur.), L’interesse pubblico tra politica e amministrazione, Editoriale Scientifica, Napoli, 2010, vol. I, 191 ss.; E. CHITI, C. FRANCHINI, L’integrazione amministrativa europea, Il Mulino, Bologna, 2003. In lingua inglese F. LAFARGE, Administrative Cooperation between Member States and Implementation of EU Law, in Eur. Publ. Law, 2010, 600 ss.; invece per profili critici A. SANCHEZ-GRAELLS, The Emergence of Trans-EU Collaborative Procurement: A “Living Lab” for European Public Law, in Pub. Proc. Law Rev., n. 1/2020, 37 ss. 74 Cfr. Considerando 73) Direttiva 2014/24/UE. 75 Come sottolineato da R. CAVALLO PERIN, Conclusioni, in Atti del Convegno “Appalti pubblici: innovazione e razionalizzazione. Le strategie di aggregazione e cooperazione europea nelle nuove direttive, Roma, 14 maggio 2014, 3, ad esempio in ambito sanitario «[l]a gara organizzata dalle pubbliche amministrazioni nazionali – seppure aperta a tutte le imprese anche straniere – risulta uno strumento di gran lunga inadeguato se si scopre che i produttori in sanità (di farmaci, di dispositivi medicali, ecc.) ne organizzano lo smercio suddividendo il territorio globale in concessionari esclusivisti con prezzi differenziati in ragione dei diversi mercati nazionali, ove l’Italia ha quasi sempre i prezzi più alti». Problemi analoghi si presentano anche in relazione a beni diversi da quelli sanitari. 76 Cfr. art. 39 co. 1 Direttiva 2014/24/UE.
188
CAPITOLO V
centrali di committenza ubicate in un altro Stato europeo, considerata comunque la facoltà dei Paesi membri di restringere le categorie di attività di cui le (proprie) Amministrazioni nazionali possono avvalersi77. Per realizzare un appalto transfrontaliero, la Direttiva 2014/24/UE delinea due vie percorribili78. La prima via prevede la possibilità per una Amministrazione aggiudicatrice nazionale di avvalersi delle attività svolte da un’unica centrale di committenza straniera79. Se la normativa nazionale non impone limitazione verso uno tipo particolare di attività di centralizzazione delle committenze, la stazione appaltante nazionale ricorrerà all’attività della centrale di committenza straniera. In questa prima ipotesi, impone la norma europea, la disciplina giuridica applicabile è quella straniera, essendo quella del territorio in cui è ubicata la centrale di committenza straniera80. La Direttiva si premura, infatti, di uniformare il regime giuridico applicabile, evitando dunque che in determinate sottofasi della procedura si applichino norme diverse da Stato a Stato. La seconda via, invece, prevede la possibilità per due o più Amministrazioni aggiudicatrici di Stati membri diversi di agire congiuntamente per aggiudicare un contratto d’appalto81. Nel far ciò, le Amministrazioni aggiudicatrici possono istituire un soggetto terzo congiunto che agisce in nome e per conto delle singole Amministrazioni partecipanti (ad esempio, un Gruppo europeo di cooperazione territoriale) tramite cui aggiudicheranno l’appalto congiunto, dopo aver stabilito internamente, nell’accordo istitutivo del soggetto terzo, le modalità concrete per 77
Cfr. art. 39 co. 2 Direttiva 2014/24/UE. Cfr. art. 39 co. 1 primo periodo Direttiva 2014/24/UE, nella parte in cui esplicitamente afferma che «le amministrazioni aggiudicatrici di diversi Stati membri possono agire congiuntamente nell’aggiudicazione di appalti pubblici mediante uno dei mezzi previsti nel presente articolo» (enfasi aggiunta). 79 Desumibile dal combinato disposto dell’art. 39 co. 2 e 3 Direttiva 2014/24/UE. 80 Non solo: tale disciplina straniera si applicherà altresì alla stazione appaltante nell’aggiudicazione di un appalto nell’ambito di un sistema dinamico di acquisizione (SDA); nell’ambito di un accordo quadro, nello svolgimento di una riapertura del confronto competitivo; nonché nell’ambito di un accordo quadro, nella determinazione di quale operatore economico parte dell’accordo quadro svolgerà uno specifico compito. 81 Desumibile dal combinato disposto dell’art. 39 co. 1, 4 e 5. Direttiva 2014/24/UE. 78
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
189
l’aggiudicazione dell’appalto, la relativa durata temporale, e la disciplina applicabile. In alternativa alla creazione del soggetto terzo, le Amministrazioni partecipanti possono procedere all’aggiudicazione dell’appalto tramite un’azione coordinata regolata da specifiche intese, in particolare di natura contrattuale82, regolando in modo esplicito l’allocazione di responsabilità fra i contraenti, la disciplina applicabile e l’organizzazione interna della procedura, anche a livello esecutivo. Come la realtà ha dimostrato, l’appalto transfrontaliero può essere impiegato con fruttuosità anche per procedere all’acquisto congiunto di soluzioni innovative83, incidendo sull’innovatività proprio a fronte di una significativa domanda che aggrega quella di Amministrazioni di più Paesi84. 2.2. In particolare: il partenariato per l’innovazione Il partenariato per l’innovazione85 (in inglese Innovation Partner 82
La norma europea prevede altresì la possibilità della sottoscrizione di un trattato internazionale tra tutti gli Stati delle rispettive Amministrazioni aggiudicatrici coinvolte. 83 Sul punto P. VALCÁRCEL FERNÁNDEZ, The Relevance of Promoting Collaborative and Joint Cross Border Procurement for Buying Innovative Solutions, in G.M. RACCA, C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Boders, cit., 133 ss. 84 Si pensi, ad esempio, al progetto HAPPI (acronimo di Healthy Ageing Public Procurement of Innovations), realizzato ricorrendo a un appalto transfrontaliero con il quale si è proceduto all’acquisto di soluzioni innovative Questo progetto, finanziato con fondi della Commissione europea, è stato posto in essere da un consorzio composto da diversi soggetti europei partecipanti: fra essi vi erano centrali di committenza, università e imprese esperte nell’ambito dell’innovative procurement sanitario. I membri del consorzio hanno proceduto a co-progettare, e successivamente ad acquistare, soluzioni innovative utili all’Active Ageing. In argomento, e per approfondimenti, R. CAVALLO PERIN, G.M. RACCA, European Joint Cross-Border Procurement and Innovation, in G.M. RACCA, C.R. YUKINS. (Eds.), Joint Public Procurement and Innovation – Lessons Across Border, cit.; EUROPEAN COMMISSION, BBG, SKI, Feasibility study concerning the actual implementation of a joint cross-border procurement procedure by public buyers from different Member States, 2017, 33 ss. 85 In argomento M.E. COMBA, Appalti pubblici per l’innovazione, cit., 188 ss.; C. PAGLIARIN, Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. PAGLIARIN, C. PERATHONER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire
190
CAPITOLO V
ship) è un appalto innovativo a formazione progressiva86 disciplinato l’Europa, cit., 137 ss.; D. DEL PRETE, Gli appalti pubblici al servizio delle nuove esigenze. Il partenariato per l’innovazione, in federalismi.it, n. 18/2021, 24 ss.; S. BIGAZZI, Le “innovazioni” del partenariato per l’innovazione, in A. FIORITTO, Nuove forme e nuove discipline del partenariato pubblico privato, cit., 225 ss.; M. BARBERIO, Appalti innovativi – Parte 2. Partenariato per l’innovazione e appalti pre-commerciali, cit.; G. DELLE CAVE, Innovazione e sviluppo nelle Pubbliche Amministrazioni: gli appalti innovativi e i c.d. “pre-commerciali”, cit.; C. CHIARELLO, Il partenariato per l’innovazione, in Giustamm., n. 2/2016; S. FANTINI, Il partenariato per l’innovazione, in Urb. app., n. 8-9/2016, 955 ss. In lingua inglese C. KRÖNKE, Innovation Partnership: Purpose, Scope of Application and Key Elements of a New Instrument of Strategic Procurement, in G.M. RACCA, C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, cit., 337 ss.; M.A. BERNAL BLAY, The Strategic Use of Public Procurement in Support of Innovation, in Eur. Proc. e Publ. Priv. Partner. Law. Rev., n. 1/2014. 86 Secondo M.E. COMBA, Appalti pubblici per l’innovazione, cit., 195, il partenariato per l’innovazione non sarebbe invece costituito da un unico contratto ma da due contratti separati correlati: un contratto di ricerca e un contratto di esecuzione dei risultati della ricerca. Secondo l’Autore, tale aspetto permettere di distinguere il partenariato per l’innovazione dal dialogo competitivo, specialmente in relazione a quanto affermato dalla Corte di giustizia dell’Unione europea nel caso C-299/08, Commissione c. Francia proprio sulla distinzione fra il dialogo competitivo e una procedura simile al partenariato per l’innovazione (in anni in cui le Direttive appalti del 2014 non erano state ancora elaborate). Si ritiene tuttavia di non condividere tale tesi, sulla base di almeno due elementi. Il primo elemento è relativo al contesto in cui la sentenza della Corte di giustizia UE è stata emessa: all’epoca non era in vigore la Direttiva 2014/24/UE che, come scritto, ha introdotto l’appalto innovativo. Pertanto, l’interpretazione dei giudici non poteva tenere in considerazione un istituto che non era stato ancora delineato. Il secondo elemento, invece, si riferisce al dato letterale. Da un lato, l’art. 31 co. 2 primo periodo della Direttiva 2014/24/UE stabilisce che «[i]l partenariato per l’innovazione punta a sviluppare prodotti, servizi o lavori innovativi e al successivo acquisto delle forniture, servizi o lavori che ne risultano»; dall’altro, l’art. 31 co. 2 ultimo periodo della menzionata Direttiva prevede che «l’amministrazione aggiudicatrice può decidere, dopo ogni fase, di risolvere il partenariato per l’innovazione». Da queste due norme si può pertanto desumere che il partenariato per l’innovazione sia un contratto unico, seppur a formazione progressiva: se così non fosse, qualora l’Amministrazione aggiudicatrice non reputasse utile procedere alla commercializzazione della soluzione innovativa, non si comprende la ragione per la quale dovrebbe risolvere il contratto (unico) anziché, più semplicemente, non procedere a stipulare l’asserito secondo contratto relativo alla commercializzazione del bene o del servizio ottenuto nella fase di ricerca e sviluppo. A sostegno della tesi della formazione progressiva del contratto di partenariato per l’innovazione anche C. SPADA, I contratti di ricerca e sviluppo, cit., 707.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
191
per la prima volta dal diritto europeo87 nell’art. 31 della Direttiva 2014/24/UE. Norma che è stata recepita dalla disciplina italiana dall’art. 75 del Codice dei contratti pubblici del 2023, il quale, conformemente al precedente d.lgs. n. 50 del 2016, non ha innovato quanto previsto dal legislatore europeo ma si è limitato a trasporlo senza particolari modifiche o integrazioni88. Similmente agli appalti pre-commerciali, il presupposto per l’impiego del partenariato per l’innovazione è legato alla necessità di soddisfare un fabbisogno che non può essere soddisfatto dai beni o dai servizi che le imprese offrono sul mercato89. A tal fine, quando le stazioni appaltanti decidono di ricorrere a questa procedura devono esplicitare la sussistenza di questo presupposto nella documentazione di gara, ad esempio indicando di aver previamente esperito consultazioni preliminari di mercato. Il partenariato per l’innovazione, dunque, mira a far sviluppare e ad acquistare beni o servizi innovativi in grado di soddisfare fabbisogni pubblici insoddisfatti. A livello strutturale, questo appalto innovativo riunisce in sé l’ambito di applicazione dell’appalto precommerciale – in cui è ricompresa la fase di ricerca e sviluppo ma non quella di commercializzazione del bene o del servizio – e dell’appalto di soluzioni innovative – nel quale, invece, non rientra la fase di R&D ma unicamente quella di commercializzazione. La previsione del legislatore europeo di uno strumento che si sovrappone ad altri ha lasciato perplessa anche la dottrina: se vi è chi ha sottolineato che per raggiungere gli obiettivi preposti sarebbe bastato prevedere modifiche alle procedure esistenti senza la necessità di intro 87
Come messo in evidenza da C. PAGLIARIN, Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. PAGLIARIN, C. PERATHONER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 157, «[n]el panorama tracciato dall’ultima generazione di direttive europee non vi è dubbio che sia il partenariato per l’innovazione […] la principale novità e l’unico strumento giuridico espressamente dedicato all’innovazione pur in un contesto proteso – almeno sulla carta – a questa prospettiva». Similmente anche M.E. COMBA, Appalti pubblici per l’innovazione, cit., 194. 88 Come rilevato anche da M.E. COMBA, Appalti pubblici per l’innovazione, cit., 198 in riferimento al codice appalti del 2016. 89 Questa circostanza è prevista espressamente dall’art. 31 co. 1 Direttiva 2014/24/UE e dall’art. 75 co. 1 d.lgs. n. 36 del 2023.
192
CAPITOLO V
durre una nuova procedura90, altri hanno contestato proprio la decisione di aver previsto una molteplicità di procedure sovrapponibili al posto di una sola91. Stabilito il ricorso a questa procedura, e motivato il suo impiego, la stazione appaltante deve pubblicare il bando (o un avviso di indizione di gara) e i documenti di gara, esplicitando il fabbisogno pubblico da soddisfare e i requisiti minimi di partecipazione degli operatori economici, consentendo in tal modo all’amministrazione aggiudicatrice di effettuare una selezione qualitativa dei partecipanti basata sul livello di innovatività delle imprese92. Nella documentazione di gara deve essere esplicitata la descrizione delle fasi in cui si svilupperà la procedura d’appalto e il prezzo che sarà corrisposto per la partecipazione a ciascuna di esse, permettendo così agli operatori economici di avere tutte le informazioni utili per decidere se parteciparvi o meno93; e deve essere altresì precisato se il partenariato per l’innovazione sarà instaurato soltanto con uno o più operatori economici che svolgono attività di ricerca separate94. Il partenariato per l’innovazione, pertanto, consta di uno sviluppo multifase connotato da (almeno) tre progressive fasi negoziali95 – aspetto che ha condotto la dottrina a ricondurre l’Innovation Partnership alle procedure ristrette flessibili96 – e da obiettivi tecnici in 90
In tal senso R. CARANTA, D.C. DRAGOS, La mini-rivoluzione del diritto europeo dei contratti, in Urb. app., n. 5/2014, 493 ss. 91 Così ad esempio S. ARROWSMITH, The Law of Public and Utilities Procurement, Sweet & Maxwell, London, 2014. 92 Cfr. C. PAGLIARIN, Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. PAGLIARIN, C. PERATHONER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 161. 93 Cfr. art. 31 co. 1 Direttiva 2014/24/UE e art. 75 co. 1 d.lgs. n. 36 del 2023. 94 Cfr. art. 31 co. 1 Direttiva 2014/24/UE e art. 75 co. 3 d.lgs. n. 36 del 2023. Si badi che in ogni caso l’Amministrazione deve definire il regime dei diritti di proprietà intellettuale nella documentazione di gara. 95 Ad esempio la citata Comunicazione della Commissione del 15 maggio 2018 (C(2018) 3051 final) prevede tre fasi: la fase di selezione degli operatori economici, quella di ricerca e sviluppo e quella di commercializzazione del bene o del prodotto. Come sottolineato da C. SPADA, I contratti di ricerca e sviluppo, cit., 708, la prassi delle stazioni appaltanti italiane è volta a una procedura formata da quattro fasi (anziché tre), considerando come separate – e non come sottofasi – la fase di progettazione preliminare e quella di progettazione esecutiva della soluzione innovativa. 96 Di questa opinione ad esempio C. PAGLIARIN, Il partenariato per
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
193
termedi che gli operatori economici devono raggiungere per superare una certa fase e accedere a quella successiva97, dietro pagamento di un prezzo congruo da parte della stazione appaltante. La prima fase concerne la qualificazione degli operatori economici e la loro selezione da parte della stazione appaltante. Dato che qualsiasi operatore economico che rispetti i requisiti richiesti può presentare domanda di partecipazione nel termine di trenta giorni dalla pubblicazione del bando (o dell’avviso di indizione)98, una volta che la stazione appaltante ha ricevuto tutte le domande di partecipazione, essa, nel rispetto del principio di concorrenza e degli altri principi del diritto degli appalti pubblici, deve selezionare gli operatori economici ritenuti idonei a proseguire nel partenariato per l’innovazione, i quali saranno invitati dall’Amministrazione a presentare offerta in merito a progetti di ricerca e innovazione volti a soddisfare il fabbisogno espresso. Nella lettera di invito, la stazione appaltante stabilisce i criteri tecnici minimi che le offerte dovranno rispettare e che non potranno essere oggetto di negoziazione fra le parti nel corso delle successive fasi del partenariato99, unitamente al criterio di valutazione dell’offerta economicamente più vantaggiosa100. La seconda fase, su invito, è relativa alla progettazione della soluzione innovativa ed è volta ad affinare la qualità delle varie offerte selezionate grazie a negoziazioni e alla presentazione di varianti tecniche101. Tale fase può articolarsi in due ulteriori sottofasi, come ad l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. PAGLIARIN, C. PERATHONER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 158. 97 Cfr. art. 31 co. 2 Direttiva 2014/24/UE e art. 75 co. 5 d.lgs. n. 36 del 2023. 98 Cfr. art. 31 co. 1 Direttiva 2014/24/UE e art. 75 co. 2 e 3 d.lgs. n. 36 del 2023. 99 Cfr. art. 31 co. 3 Direttiva 2014/24/UE e art. 75 co. 6 d.lgs. n. 36 del 2023. 100 Conformemente all’art. 75 co. 3 d.l.gs. n. 36 del 2023. In argomento si vedano M. PIGNATTI, Le metodologie per la determinazione dell’offerta economicamente più vantaggiosa, in Foro amm. – CdS, n. 6/2013, 1526 ss.; M. MATTALIA, L’offerta economicamente più vantaggiosa e l’applicazione della formula matematica prevista dal disciplinare di gara, in Foro amm. – CdS, n. 11/2010, 2400 ss. In generale invece F. CARDARELLI, Criteri di aggiudicazione, in M.A. SANDULLI, R. DE NICTOLIS (dir.), Trattato sui contratti pubblici, Vol. III, Procedure di gara e criteri di scelta del contraente, Giuffrè, Milano, 2019, 531 ss. 101 Si consideri anche quanto previsto dal Considerando 48) Direttiva 2014/24/UE: «[i]n considerazione dell’importanza dell’innovazione, occorre inco-
194
CAPITOLO V
esempio quelle relative alla progettazione preliminare e alla progettazione esecutiva della soluzione innovativa, a seconda della scelta discrezionale effettuata della stazione appaltante nel momento dell’elaborazione della strategia di gara in relazione alle specifiche esigenze e al grado di processo innovativo necessario, con il fine di ridurre progressivamente il numero di offerte per selezionare quella migliore102. In questa fase la stazione appaltante negozia con gli operatori economici le varie offerte iniziali che essi hanno presentato, nel rispetto dei principi di parità di trattamento, di imparzialità, di trasparenza e buon andamento dell’amministrazione e non divulgando informazioni in grado di danneggiare e/o avvantaggiare i concorrenti. Fermo restando “l’intoccabilità” dei requisiti minimi, la negoziazione mira a perfezionare le varie offerte ricevute dalla stazione appaltante, avendo a oggetto i requisiti migliorativi dell’offerta, vale a dire quelle caratteristiche tecniche specifiche delle singole offerte che le contraddistinguono le une dalle altre. In questo modo l’Amministrazione sarà in grado di trovare la soluzione progettuale che più si addice nel concreto per il soddisfacimento del fabbisogno espresso, individuando al contempo, tuttavia, quali siano le parti migliori delle diverse offerte presentate. Questa azione, nota come cherry picking103, presente anche in altre procedure fra cui il dialogo competitivo, è utile al soggetto pubblico per addivenire al modello di offerta da sottoporre, quale offerta finale, ai diversi operatori economici per ottenere la soluzione innovativa migliore104. raggiare le amministrazioni aggiudicatrici a consentire varianti quanto più spesso possibile. Occorre pertanto attirare l’attenzione di tali autorità sulla necessità di definire i requisiti minimi che le varianti devono soddisfare prima di indicare che possono essere presentate varianti». 102 Così C. PAGLIARIN, Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. PAGLIARIN, C. PERATHONER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 163. 103 L’espressione inglese letteralmente significa “raccolta delle ciliegie” e si riferisce all’azione di selezionare soltanto le parti ritenute utili, al pari di colui che sceglie e raccoglie dall’albero soltanto le ciliegie mature e non ammaccate. 104 In tal senso M.E. COMBA, Appalti pubblici per l’innovazione, cit., 196, il quale evidenzia come «mentre nel dialogo competitivo è necessario il consenso degli interessati per rilevare soluzioni proposte o informazioni riservate a tutti i parte-
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
195
In questa seconda fase di ricerca e sviluppo, come si può intuire, è alto il rischio di sviluppare una soluzione innovativa rispondente soltanto sulla carta alle specifiche tecniche richieste, rivelandosi non utile sul piano concreto una volta commercializzato e acquistato il bene o il servizio. Proprio per questa ragione, qualora ritenesse improduttivo quanto effettuato sin a quel momento, la stazione appaltante ha facoltà di non proseguire con le successive fasi della procedura risolvendo dunque il partenariato per l’innovazione105. Se, invece, dallo sviluppo della soluzione innovativa derivassero riscontri positivi sia dalla progettazione preliminare sia dalla progettazione esecutiva, la stazione appaltante comunica agli operatori economici, le cui offerte sono state selezionate a seguito di negoziazione, il superamento della seconda fase e l’accesso alla terza e ultima fase, quella commerciale. Entro il termine indicato dall’Amministrazione aggiudicatrice, gli operatori economici selezionati sono invitati a presentare la loro offerta finale rispondente a quei requisiti tecnici che sono stati progressivamente individuati nel corso della fase precedente. Queste offerte finali non possono essere più sottoposte a negoziazione, e fra esse la stazione appaltante seleziona, in base al citato criterio dell’offerta economicamente più vantaggiosa, quella relativa alla migliore soluzione progettuale presentata. Pertanto, la stazione appaltante procederà alla stipulazione del contratto d’acquisto della fornitura o del servizio con l’operatore economico selezionato106. A livello generale, se è vero che il partenariato per l’innovazione ricomprende al suo interno l’ambito d’applicazione dell’appalto precommerciale, è parimenti vero che si distingue da esso dato che il partenariato per l’innovazione contempla in automatico l’appalto di soluzioni innovative: infatti, includendo necessariamente la fase di R&D, è chiaro come il partenariato per l’innovazione non possa essere impiegato come procedura per concretizzare un appalto di soluzioni innovative. cipanti e poter così procedere con il cherry picking, nel partenariato per l’innovazione è richiesto soltanto che la stazione appaltante definisca a priori le modalità di protezione della proprietà intellettuale, in modo che ciascun partecipante ne sia consapevole dall’inizio della procedura». 105 Cfr. art. 75 co. 5 d.lgs. n. 36 del 2023. 106 Cfr. art. 75 co. 6 d.lgs. n. 36 del 2023.
196
CAPITOLO V
I punti di discontinuità fra il partenariato per l’innovazione e l’appalto pre-commerciale sono pertanto numerosi e conducono l’Amministrazione a preferire una procedura anziché l’altra. Il primo dato evidente concerne la diversa fonte giuridica che disciplina i due istituti: come già visto, infatti, il partenariato per l’innovazione è regolamentato dalla Direttiva 2014/24/UE, mentre gli appalti pre-commerciali dalla Comunicazione della Commissione del 14 dicembre 2007. Oltre a questo profilo, in realtà, la distinzione più evidente, che si è già avuto occasione di sottolineare, è relativa alla circostanza per cui nel partenariato per l’innovazione vi sia una obbligazione di risultato107 volta a sviluppare una soluzione innovativa in grado di soddisfare il fabbisogno pubblico e ad acquistare il relativo bene o servizio, assente invece nell’appalto pre-commerciale. Alla fisiologica formazione progressiva del contratto, che inizia con la fase di ricerca e sviluppo e si conclude con l’acquisto della fornitura o del servizio108, si contrappone la patologia della risoluzione del contratto nell’ipotesi in cui l’Amministrazione ritenesse di non poter ottenere come risultato del partenariato per l’innovazione una soluzione innovativa utile al proprio fabbisogno. In questo senso, essendo la stazione appaltante obbligata in ogni caso a retribuire gli operatori economici per il raggiungimento degli obiettivi intermedi (pur in assenza di un bene o servizio conclusivo), il soggetto pubblico partecipa al rischio d’impresa insieme agli operatori economici109, anche se in misura minore rispetto a quanto invece accade nell’appalto precommerciale. Parte della dottrina ha, infine, ravvisato un terzo elemento distintivo fra questi due appalti, relativo al maggior livello di astrattezza nell’attività di ricerca e sviluppo degli appalti pre-commerciali rispetto a quello del partenariato per l’innovazione110. Altra parte della dot 107
Così C. SPADA, I contratti di ricerca e sviluppo, cit., 704. Come è stato messo in luce da G.M. RACCA, S. PONZIO, D. GUALTIERI, PP2Innovate Tool – Guida al PPI nel settore “smart – energy”, cit., 109, il partenariato per l’innovazione include necessariamente la fase di ricerca e sviluppo, con la conseguenza che non è possibile impiegare tale procedura per acquistare direttamente soluzioni innovative senza la previa fase di ricerca e sviluppo. 109 In tal senso, ex multis, M.E. COMBA, Appalti pubblici per l’innovazione, cit., 197. 110 Cfr. C. PAGLIARIN, Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. PAGLIARIN, C. PERATHO108
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
197
trina, invece, sostiene che non sia agevole individuare la differenza fra le attività di ricerca e sviluppo nei due contratti111. Ci si potrebbe interrogare, infine, se il partenariato per l’innovazione rappresenti una tipologia di partenariato pubblico privato112. Innanzitutto, non è agevole descrivere in modo uniforme que NER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 171. 111 M.E. COMBA, Appalti pubblici per l’innovazione, cit., 193 sottolinea che «non si comprende bene quale sia la differenza, sempre che ve ne sia una, tra la fase di ricerca e sviluppo nell’ambito del partenariato per l’innovazione e quella dell’appalto pre-commerciale; e se non vi fosse differenza, realizzandosi così una completa sovrapposizione, ci si deve allora chiedere quale sia la ratio di attivare una procedura di ricerca e sviluppo anziché il partenariato per l’innovazione. La maggiore criticità della procedura di ricerca e sviluppo consiste infatti proprio nella fase successiva, presupposta ma non regolamentata in modo esplicito, cioè nell’acquisto sul mercato della soluzione innovativa emersa a seguito della ricerca: non è chiaro in che modo possa svolgersi una procedura di gara per l’acquisto della soluzione innovativa nel rispetto della par condicio, se tale gara è stata preceduta da una fase di ricerca e sviluppo cofinanziata ed affidata al di fuori delle procedure previste dalla direttiva, a meno che l’impresa cofinanziatrice dello sviluppo sia esclusa dalla successiva procedura di gara, ma in tal caso – peraltro non previsto esplicitamente dalla direttiva – potrebbe venire frustrato il risultato stesso dell’attività di ricerca e sviluppo». Similmente anche L. BUTLER, Innovation in Public Procurement: Towards the “Innovation Union”, in F. LICHÈRE, R. CARANTA, S. TREUMER (Eds.), Modernising Public Procurement: The New Directive, cit., 359. 112 Sui partenariati si vedano, a titolo non esaustivo, A. MOLITERNI, Le prospettive del partenariato pubblico-privato nella stagione del PNRR, in Dir. amm., n. 2/2022, 441 ss.; G. SANTI, Il partenariato contrattuale pubblico-privato ed il contratto di concessione. Gli interventi di sussidiarietà orizzontale ed il baratto amministrativo. Il contraente generale, in F. MASTRAGOSTINO (cur.), Diritto dei contratti pubblici. Assetto e dinamiche evolutive alla luce del codice, degli atti attuativi e dei decreti semplificazione 2020-2021, Giappichelli, Torino, 2021, 155 ss.; A. FIORITTO (cur.), Nuove forme e nuove discipline del partenariato pubblico privato, cit.; G. FIDONE, Il partenariato pubblico-privato, in M. CAFAGNO, F. MANGANARO (cur.), L’intervento pubblico nell’economia, in L. FERRARA, D. SORACE (cur.), A 150 anni dall’unificazione amministrativa italiana. Studi, Vol. V, Firenze, 2016, 393 ss.; G. CERRINA FERONI (cur.), Il partenariato pubblico-privato: modelli e strumenti, Giappichelli, Torino, 2011; R. DIPACE, Partenariato pubblico privato e contratti atipici, Giuffrè, Milano, 2006. In lingua inglese invece S. VALAGUZZA, E. PARISI, Public Private Partnership. Governing Common Interests, Elgar, Cheltenham, 2020; G.A. HODGE, C. GREVE, The Logic of Public-Private Partnerships. The Enduring Interdependency of Politics and Markets, Elgar, Cheltenham, 2019. Per profili pratici invece A. ZITO, S. DETTORI, R. TURATTO (cur.), Guida operativa alle
198
CAPITOLO V
sto istituto. La dottrina, infatti, definisce il partenariato pubblico privato come un insieme composito di elementi eterogenei accomunati da alcune comuni caratteristiche113, fra cui la cooperazione fra il soggetto pubblico e quello privato in vista della realizzazione di una attività di interesse generale e la particolare attenzione all’impiego efficace ed efficiente di risorse pubbliche114, che può essere posto in essere tramite la creazione di un soggetto terzo autonomo (c.d. partenariato pubblico privato istituzionalizzato), o ricorrendo a specifici accordi senza istituire un soggetto terzo (c.d. partenariato pubblico privato contrattuale)115. Come messo in luce dalla dottrina, per queste ragioni non si ritiene che il partenariato per l’innovazione rientri nell’insieme del partenariato pubblico privato116. E ciò sia in relazione al partenariato pubblico privato di tipo istituzionalizzato, dato che nel partenariato per l’innovazione, pur essendovi un rapporto collaborativo di durata fra l’amministrazione e gli operatori economici, non si ha la creazione di un soggetto giuridico autonomo rispetto ai soggetti contraenti117; sia per quanto concerne il partenariato pubblico privato di tipo contrattuale, posto che nel partenariato per l’innovazione si instaura una relazione negoziale fra l’amministrazione contraente e gli operatori economici, ma tale circostanza non è sufficiente a ricomprendere tale istituto nel partenariato pubblico privato, essendovi anche altri elementi maggiormente significativi che connotano il parte attività di Partenariato Pubblico Privato, Santarcangelo di Romagna, Maggioli, 2015. 113 Cfr. M.P. CHITI, Il Partenariato Pubblico Privato e la nuova direttiva concessioni, in G.F. CARTEI, M. RICCHI (cur.), Finanza di progetto e partenariato pubblico-privato. Temi europei, istituti nazionali e operatività, Editoriale Scientifica, Napoli, 2015, 3, che ha definito il partenariato pubblico privato come «un fascio di istituti giuridici caratterizzato da alcuni elementi». 114 Cfr. Comunicazione della Commissione europea del 30 aprile 2004 (COM (2004) 327 def), punto 1.1.2., che elenca gli elementi costitutivi di questo istituto. 115 Sulla classificazione fra partenariato di natura contrattuale e istituzionale cfr. ibidem, punti 2 e 3. 116 Così ad esempio C. PAGLIARIN, Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. PAGLIARIN, C. PERATHONER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 179. 117 Ibidem . Contra ad esempio C. C HIARELLO , Il partenariato per l’innovazione , cit.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
199
nariato per l’innovazione e lo distinguono dal partenariato pubblico privato118. 2.3. L’apporto degli appalti innovativi come strumento per evitare le criticità dell’acquisto pubblico di beni e servizi di cybersicurezza Gli appalti innovativi risultano dunque istituti giuridici elaborati dal legislatore con l’obiettivo esplicito di incentivare lo sviluppo tecnologico attraverso lo stimolo dell’interazione fra domanda (pubblica) e offerta (privata) – rifuggendo in questo modo dal ricorso a sussidi pubblici diretti119. Per raggiungere tale obiettivo, negli appalti innovativi il legislatore ha ridotto lo spazio di autoritatività dell’azione pubblica a vantaggio dell’ampliamento degli spazi di collaborazione fra l’acquirente pubblico e il venditore privato. Ricorrendo agli appalti innovativi, le stazioni appaltanti, interagendo con i privati120, si pongono su un piano di vicinanza con essi al fine del soddisfacimento dell’interesse pubblico. Questi istituti – specialmente l’appalto pre-commerciale e il partenariato per l’innovazione – inducono l’Amministrazione aggiudicatrice a compiere un’azione diversa, più complessa e rischiosa rispetto al (mero) acquisto di forniture, servizi e lavori: la spingono a co-elaborare una strategia di sviluppo di una soluzione innovativa 118
C. P AGLIARIN , Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. P AGLIARIN , C. P ERATHONER , S. L AIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 179. D’altronde, l’elemento negoziale è tipico di tutte le procedure negoziali, ma esse non per questo rientrano necessariamente nell’ambito del partenariato pubblico privato. 119 In tal senso C. PAGLIARIN, Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. PAGLIARIN, C. PERATHONER, S. LAIMER (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 139. In proposito anche la citata Comunicazione della Commissione del 6 luglio 2021 (2021/C 267/01), punto 2.1. D’altronde, come sottolineato da E. IOSSA, F. BIAGI, P. VALBONESI, Pre-commercial procurement, procurement of innovative solutions and innovation partnerships in the EU: rationale and strategy, in Economics of innovation and New Technology , 2018, 730 ss., anche negli altri Paesi europei l’appalto pubblico è lo strumento principale con cui viene promossa l’innovazione. 120 Cfr. Comunicazione della Commissione del 6 luglio 2021 (2021/C 267/01), punto 3.1.1.
200
CAPITOLO V
volta a soddisfare un fabbisogno pubblico ancora insoddisfatto con i beni e i servizi esistenti. Tramite gli appalti innovativi, dunque, l’Amministrazione diventa un soggetto attivo nel processo innovativo, non limitandosi all’aggiudicazione di beni o servizi, ma agendo sin da principio in modo attivo e strategico insieme agli operatori economici. La funzionalità teorica degli appalti innovativi si scontra tuttavia con alcune criticità in grado di limitare la loro attuazione121. Un primo elemento critico è rappresentato dall’alto livello di competenze tecniche e amministrative richiesto per gestire questo tipo di appalti: un livello necessariamente più elevato rispetto a quello richiesto negli appalti “tradizionali”122. Si pensi, ad esempio, alle competenze che occorrono nell’ipotesi di ricorso a un partenariato per l’innovazione. Da un lato, non paiono sufficienti le classiche competenze giuridico-amministrative impiegabili nelle procedure di acquisto non innovative (es. procedura aperta o procedura negoziata) comunemente gestite dalle varie stazioni appaltanti sul territorio italiano. Dato che, negli appalti innovativi, si pone in essere una procedura a cui le Amministrazioni non ricorrono con frequenza123, occorre sia una conoscenza ampia della materia, basata sulla padronanza dei principi e delle norme nel loro insieme, in grado di impiegarle in modo opportuno ed elastico (ove necessario), andando oltre alla mera 121
Criticità che, almeno in parte, erano già state evidenziate dalla citata Comunicazione della Commissione europea del 30 aprile 2004 (COM (2004) 327 def), spec. punto 4.3. 122 Sul punto anche C. PAGLIARIN, Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. PAGLIARIN, C. PERATHONER, S. LAIMER S. (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 185 ss. Sulla necessità di aumentare il livello di professionalità della Pubblica Amministrazione in materia di appalti si rimanda alle considerazioni di G.M. RACCA, Le innovazioni necessarie per la trasformazione digitale e sostenibile dei contratti pubblici, in federalismi.it, n. 15/2022, 191 ss., mentre, più in generale, di A. PAJNO, L. TORCHIA, La nuova disciplina dei contratti pubblici: le regole, i controlli, il processo, in astridonline.it, 2015. 123 Secondo i dati aperti presenti sul portale istituzionale https://appaltinnovativi.gov.it/, nel corso del 2019 gli appalti innovativi avviati o programmati dalle Amministrazioni appaltanti italiane sono risultati essere soltanto ottanta. Di questi ottanta appalti innovativi, il 64% era costituito da appalti precommerciali e il 16% da partenariati per l’innovazione.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
201
applicazione formale o al seguire prassi consolidate; ma serve altresì una buona dose di visione strategica, che permetta di scegliere la strada migliore per raggiungere l’obiettivo posto – una strada difficilmente già percorsa prima. Per gestire in modo ottimale gli appalti innovativi pare, in primo luogo, funzionale ricorrere alle centrali di committenza, organismi dotati di personale formato e specializzato in modo specifico in materia di appalti, in grado di affrontare la materia ricorrendo a diverse professionalità (amministrative, tecniche, gestionali)124. Per quanto sia salda l’intenzione di una qualsiasi Amministrazione (es. un Comune125) di ricorrere ad appalti innovativi, risulta evidente come sia molto più agevole far ciò se si ha una struttura organizzativa solida, specializzata e adeguata nel gestire la complessità che deriva dall’impiego degli appalti (tradizionali, ma a maggior ragione per quelli innovativi); una struttura come quella di una centrale di committenza. Un secondo fattore di criticità concerne il rapporto fra propensione al rischio insito negli appalti innovativi e la c.d. amministrazione (o burocrazia) difensiva126, vale a dire quel «timore della responsa 124
Una precisazione pare d’obbligo. Come facilmente intuibile, nel ricorso agli appalti innovativi non bastano unicamente competenze giuridico-amministrative: ad esse è necessario affiancare quelle tecniche, declinate in relazione al singolo e specifico caso. È palese come un ventaglio così ampio di conoscenze tecniche di altissimo livello – dato che spesso si deve ricercare e sviluppare dal principio la soluzione innovativa – non sia in possesso delle centrali di committenza. Queste ultime, però, rispetto ad altre amministrazioni generiche, possono avvalersi con più facilità di soggetti esterni dotati di particolari competenze tecniche chiamati a intervenire nelle specifiche fasi. Se, ad esempio, una centrale di committenza decidesse di porre in essere un partenariato per l’innovazione in materia di sanità, tale Amministrazione coinvolgerà esperti in ambito sanitario esterni ad essa (es. medici, tecnici, ecc.) per seguire le varie fasi dello sviluppo della soluzione innovativa; il coordinamento delle varie fasi, tuttavia, sarà affidato a un funzionario della centrale di committenza, al quale spetta coordinare e guidare con visione strategica tutti i soggetti coinvolti. 125 Secondo il censimento eseguito dall’ISTAT, Censimento permanente delle Istituzioni pubbliche, 2017, i Comuni rappresentano il 62,1% di tutte le Pubbliche Amministrazioni italiane. Cfr. https://bit.ly/3G2Zdds. 126 In argomento, fra i numerosi studi, si vedano S. BATTINI, Abuso d'ufficio e burocrazia difensiva nel groviglio dei rapporti fra poteri dello Stato, in Giorn. dir. amm., n. 4/2022, 494 ss.; A. BATTAGLIA, S. BATTINI, A. BLASINI, V. BONTEMPI, M.P. CHITI, F. DECAROLIS, S. MENTO, A. PINCINI, A. PIRRI VALENTINI, G. SABA-
202
CAPITOLO V
bilità (soprattutto erariale, penale o disciplinare) [che] può fungere da freno nell’azione del dipendente o funzionario»127. Si è sottolineato come negli appalti innovativi, in particolare nell’appalto pre-commerciale e nel partenariato per l’innovazione, l’Amministrazione aggiudicatrice partecipi (parzialmente e in modo diverso) insieme agli operatori economici al rischio di impresa che connota l’incertezza tipica delle fasi di ricerca e sviluppo e commercializzazione di prodotti innovativi e non ancora immessi sul mercato di massa. Questo elemento richiede la volontà dell’Amministrazione di assumersi un potenziale rischio, che può tradursi (nel caso più estremo) nella completa mancata elaborazione di una soluzione innovativa così come nella non utilità e non funzionalità pratica della soluzione sviluppata, con conseguente impiego infruttuoso di risorse pubbliche. È evidente come la Pubblica Amministrazione, che molto spesso agisce sulla base di consolidate prassi amministrative, potrebbe non essere propensa all’assunzione del rischio. E ciò anche nell’ipotesi in cui l’unico modo per soddisfare il fabbisogno pubblico sia avvalersi di un appalto innovativo. In simili situazioni, la c.d. amministrazione difensiva rischia di essere un grosso ostacolo al perseguimento dell’interesse pubblico e, nello specifico, al ricorso a procedure come quelle oggetto del presente capitolo. Questo fenomeno irrigidisce e TO, “Burocrazia difensiva”: cause, indicatori e rimedi, in Riv. trim. dir. pubbl., n. 4/2021, 1295 ss.; F. FRACCHIA, P. PANTALONE, La fatica di semplificare: procedimenti a geometria variabile, amministrazione difensiva, contratti pubblici ed esigenze di collaborazione del privato “responsabilizzato”, in federalismi.it, n. 36/2020, 33 ss.; G. COMPORTI, Il coraggio di amministrare, in AA.VV., Scritti per Franco Gaetano Scoca, Vol. II, Editoriale Scientifica, Napoli, 2020, 1101 ss.; L. TORCHIA, La responsabilità amministrativa, in Giorn. dir. amm., n. 6/2020, 763 ss.; M. CAFAGNO, Risorse decisionali e amministrazione difensiva. II caso delle procedure contrattuali, in Dir. proc. amm., n. 1/2020, 35 ss.; V. VALENTINI, Burocrazia difensiva e restyling dell’abuso d’ufficio, in Giust. pen., n. 8-9/2020, 502 ss.; S. BATTINI, F. DECAROLIS, L'amministrazione si difende, in Riv. trim. dir. pubbl., n. 1/2019, 293 ss.; M. CAFAGNO, Contratti pubblici, responsabilità amministrativa e “burocrazia difensiva”, in Dir. econ., n. 3/2018, 3 ss.; sul punto in senso ampio anche A. POLICE, La natura della responsabilità amministrativa, in F.G. SCOCA (dir.), La responsabilità amministrativa e il suo processo, CEDAM, Padova, 1997, 61 ss. 127 F. FRACCHIA, P. PANTALONE, La fatica di semplificare: procedimenti a geometria variabile, amministrazione difensiva, contratti pubblici ed esigenze di collaborazione del privato “responsabilizzato”, cit., 64, i quali ricordano come questo fenomeno sia conosciuto altresì come “paura della firma”.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
203
blocca l’azione dell’Amministrazione nel caso in cui ad essa venisse richiesto di agire diversamente da quanto fatto ordinariamente in presenza di quello che la dottrina ha chiamato «consolidato corpus di precedenti amministrativi e giurisprudenziali»128. Potendo scegliere, il funzionario adotterà una via predefinita e già conosciuta, ripiegando così su una scelta discrezionale basata in realtà su prassi esistenti, senza sperimentare un nuovo iter di perseguimento dell’interesse pubblico, magari in modo più efficiente ed efficace, che potrebbe comportare rischi erariali dipendenti da una norma ingarbugliata e poco chiara (o addirittura mai applicata prima)129. Se l’amministrazione difensiva è un fenomeno che si verifica in situazioni ordinarie, a maggior ragione potrebbe verificarsi nel ricorso ad appalti innovativi, rappresentando un forte limite agli obiettivi stessi che queste tipologie di procedure si prefiggono di perseguire. Un terzo e ulteriore elemento di criticità concerne il finanziamento degli appalti innovativi130. Pur non avendolo sottolineato in modo esplicito in precedenza, fra le righe di quanto ricostruito emerge come questo tipo di procedura richieda consistenti risorse economiche. Lo sviluppo dal principio, e la relativa commercializzazione, di una soluzione innovativa richiede di fronteggiare un alto livello di complessità impiegando a tal fine numerosi professionisti che lavorino in un ampio arco di tempo. Tutto ciò può essere possibile soltanto tramite ingenti risorse finanziarie, specialmente se ci si avvale di una procedura che prevede la fase della commercializzazione. L’impiego di risorse dirette della stessa Amministrazione che gestisce l’appalto innovativo è un evento raro. Da un lato, infatti, non è certo che le singole Amministrazioni dispongano e possano spendere le risorse necessarie richieste; dall’altro, ove ciò fosse invece possibile, vi sarebbero tuttavia rischi di compromettere o condizionare negativamente il bilancio a fronte dei predetti rischi e della situazione di incertezza di tali procedure (si pensi al caso delle centrali di committenza131). Per 128
M.E. COMBA, Gli appalti pubblici per l’innovazione, cit., 201. Cfr. V. VALENTINI, Burocrazia difensiva e restyling dell’abuso d’ufficio, cit., 502. 130 Come messo in evidenza, fra gli altri, da M.E. COMBA, Appalti pubblici per l’innovazione, cit., 201. 131 Si consideri, ad esempio, che Consip è una società per azioni, al pari della Società di Committenza della Regione Piemonte (SCR Piemonte) e dell’Azienda Regionale lombarda per l’Innovazione e gli Acquisti (ARIA) e di altre centrali di committen129
204
CAPITOLO V
queste ragioni, il principale mezzo di finanziare gli appalti innovativi è rappresentato dai fondi pubblici, in particolare di quelli europei. Come è stato evidenziato dalla dottrina, l’impiego di fondi pubblici per finanziare procedure d’appalto volte a incentivare l’innovazione agendo sul lato della domanda, in realtà, si tradurrebbero di fatto in un finanziamento all’innovazione dal lato dell’offerta. Se il finanziamento pubblico copre la totalità dei costi dell’appalto innovativo, ecco che sarebbe frustrata, se non del tutto contraddetta, la finalità stessa dell’appalto innovativo132 – e quindi a tal punto, pur in presenza di norme che vietano aiuti di Stato, tanto varrebbe finanziare direttamente gli operatori economici con i fondi pubblici133. Tenendo dunque in considerazione le menzionate criticità, il ricorso agli appalti innovativi, in particolare al partenariato per l’innovazione, nell’acquisto di beni e servizi di cybersicurezza potrebbe comportare significativi vantaggi. Tramite queste procedure, le stazioni appaltanti si pongono su un livello simile a quello degli operatori economici: con essi l’Amministrazione collabora per creare beni e servizi che siano ab initio già rispettosi dei requisiti che servono al soggetto pubblico per soddisfare l’interesse pubblico. Il vantaggio è evidente perché si interviene a tal fine, già a monte, nella fase della creazione e del design del bene o del prodotto prevedendo le qualità o le caratteristiche che servono all’Amministrazione, anziché agire a valle, successivamente, nella modifica e nell’implementazione migliorativa di beni o servizi già esistenti. Tutto ciò è possibile, però, soltanto attraverso l’interazione collaborativa fra il soggetto pubblico e i privati. In questo rapporto, l’Amministrazione non si limita all’acquisto di forniture, servizi o lavori, raccogliendo i risultati del processo innovativo affidato ai privati za. 132
Così ad esempio M.E. COMBA, Appalti pubblici per l’innovazione, cit., 201. A quelle analizzate nel testo si aggiunge altresì un’altra criticità, sottolineata da C. PAGLIARIN, Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in C. PAGLIARIN, C. PERATHONER, S. LAIMER S. (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., 186: quella relativa all’esclusione de facto delle imprese di piccole dimensioni dalla partecipazione agli appalti innovativa, impossibilitate a partecipare a procedure lunghe, complesse e costose. 133
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
205
con le procedure tradizionali. Conoscendo il fabbisogno che deve essere soddisfatto, l’Amministrazione sa cosa vuole ottenere e pone un obiettivo da perseguire: esso deve essere raggiunto grazie all’azione sinergica di co-elaborazione di una strategia di sviluppo di soluzioni innovative. L’Amministrazione indica la via al privato e lo guida al raggiungimento dell’obiettivo posto. L’impiego di una procedura contraddistinta da uno spiccato carattere collaborativo fra le parti coinvolte valorizza di riflesso lo stesso ambito della cybersicurezza pubblica, di cui la collaborazione è un principio fondante. Questo aspetto incide positivamente sulla qualità dell’oggetto dell’appalto, dato che il soggetto pubblico guida il privato nella definizione delle specifiche tecniche, e con esso dialoga e collabora durante tutte le fasi della procedura: assumendo un ruolo centrale, appunto, di guida dell’operatore economico, la stazione appaltante riduce sensibilmente il rischio di incorrere nell’effetto lockin. Vi è infatti un maggior equilibrio informativo fra le parti, colmabile proprio grazie all’impiego di funzionari altamente qualificati, in grado di interagire con i fornitori privati di tecnologia in condizioni di parità e simmetria informativa. Collaborando fin dal principio con i fornitori, la Pubblica Amministrazione non si ritrova in una situazione di debolezza nel rapporto con l’operatore economico, poiché ogni singola fase della procedura di aggiudicazione è condivisa e decisa insieme dal pubblico e dal privato. In questo modo la stazione appaltante evita di venire “catturata” dal fornitore di tecnologica: essa è consapevole del proprio fabbisogno e di come ottenerlo in sinergia con l’operatore. Come intuibile, nel contesto della cybersicurezza pubblica il “fattore umano” rappresenta al contempo una criticità ma anche una preziosa opportunità per fondare una relazione collaborativa fra il soggetto pubblico e quello privato. Un altro vantaggio derivante dall’impiego degli appalti innovativi è la possibilità di soddisfare i fabbisogni pubblici in modo sartoriale, prescindendo da un bene o un servizio già esistente ma potendo invece crearne uno che risponda esattamente alle specifiche esigenze del caso particolare. Infatti, come accennato in precedenza, non sempre la soluzione che offre il mercato è la migliore o quella che serve nel caso specifico: tuttavia, ricorrere a quello che offre il mercato è tendenzialmente la scelta obbligata. Ma non se si ha la possibilità di avvalersi di appalti innovativi come il partenariato per l’innovazione.
206
CAPITOLO V
Il progettare ab initio una soluzione o un bene sulle reali esigenze e fabbisogni del soggetto pubblico sarebbe in modo evidente funzionale alle esigenze che possono derivare dal contesto cybersecurity pubblica, sempre in continua evoluzione134. In tal senso, gli appalti innovativi, partenariato per l’innovazione in particolare, potrebbero essere utili per sviluppare prodotti e servizi digitali cybersafe by design, ovvero rispettosi di standard di cybersicurezza già dalla loro progettazione. Nel novero degli appalti innovativi, quello che pare prestarsi meglio nell’impiego per acquistare beni e servizi di cybersicurezza pubblica, ampliando il perimetro della collaborazione fra tutti i soggetti coinvolti, è il partenariato per l’innovazione. E ciò per due motivi. Innanzitutto, esso è uno fra i pochi appalti innovativi disciplinati espressamente dalla disciplina europea e codicistica: pertanto, il partenariato per l’innovazione può essere legittimamente impiegato per realizzare accordi quadro, contrariamente ad esempio agli appalti precommerciali. Sotto questo punto di vista, oltre che nella disciplina generale degli appalti di cybersicurezza, il partenariato per l’innovazione potrebbe essere impiegato anche in quella specifica dell’Agenzia per la Cybersicurezza Nazionale, considerando che, pur non essendo esso ricompreso esplicitamente fra le procedure a cui l’ACN può ricorrere – vale a dire: affidamento diretto, procedura negoziata, dialogo competitivo, partenariato pubblico-privato e accordo quadro135 – il partenariato per l’innovazione è però legittimamente impiegabile per realizzare l’accordo quadro (a cui l’ACN può ricorrere). In secondo luogo, sul piano del procedimento, il partenariato per l’innovazione è l’appalto innovativo più completo, dato che esso riunisce in sé sia la fase della ricerca e sviluppo sia quella della commer 134
Sul piano pratico, richiedere nella lex specialis, ad esempio di una procedura aperta, elevati requisiti tecnici dell’offerta potrebbe comportare il rischio che poi nessun operatore economico sia in grado di rispettarli, con la conseguenza che la stazione appaltante potrebbe non aggiudicare l’appalto ad alcun fornitore. Qualora, invece, si ricorresse, in ipotesi, al partenariato per l’innovazione, l’Amministrazione avrebbe una probabilità maggiore di ottenere offerte tecniche rispettose di quegli elevanti requisiti tecnici di cui sopra, posto che la soluzione innovativa di bene o servizi sarebbe sviluppata già in partenza con tali requisiti. 135 Cfr. art. 13 DPCM n. 166 del 2022.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
207
cializzazione del bene o del prodotto ottenuto – mentre gli altri appalti innovativi appaiono avere più limitazioni: ad esempio l’appalto pre-commerciale non contempla la fase della commercializzazione; nell’appalto di soluzioni innovative la fase di ricerca e sviluppo è (quasi) del tutto assente; mentre l’appalto transfrontaliero si potrebbe prestare a ciò ma il suo livello di complessità è tale da non considerarlo impiegabile (almeno sul piano pratico). Inoltre, occorre sottolineare come nel partenariato per l’innovazione il soggetto pubblico partecipi (limitatamente) al rischio d’impresa, alleggerendo quindi la posizione dell’operatore economico incentivandolo a partecipare. 3. Il recupero della funzione pianificatoria pubblica: la collaborazione “orientata” al raggiungimento di fini posti dal soggetto pubblico L’impiego degli appalti innovativi, in particolare il partenariato per l’innovazione, nell’ambito della cybersicurezza pubblica conduce a evidenziare un ulteriore importante fattore. Il ricorso a questo tipo di strumenti di acquisto pubblico consente allo Stato di recuperare la sua funzione pianificatoria136. Una funzione 136
La nozione di pianificazione nasce tradizionalmente nell’ambito economico in relazione alla forma di organizzazione economica e all’intervento dello Stato nel mercato, anche se si sviluppa settorialmente anche in specifici ambiti quale quello paesaggistico e urbanistico; ciononostante, a fronte del suo generale significato, è possibile ivi impiegare tale concetto in senso ampio. D’altronde già M.S. GIANNINI, voce Pianificazione, in Enc. Dir., XXXIII, 1983, 629, scrivendo che «ogni attività umana è possibile oggetto di pianificazione [pertanto] l’attività di pianificazione […] non ammette definizioni né giuridiche né economiche, ma solo una nozionizzazione logica», notò come essa si sostanzi in alcuni elementi fondamentali: «è pianificazione la determinazione: a) dell’ordinata temporale o di quella spaziale o di ambedue; b) dell’oggetto; c) dell’obiettivo». Nell’interpretazione dottrinale il concetto di “pianificazione” viene normalmente impiegato indistintamente in luogo di quello di “programmazione” (cfr. P. CESAREO, voce Programmazione (diritto pubblico), in Nov. dig. it., XIV, 1967, 61 ss., nonché M.S. GIANNINI, Il pubblico potere. Stati e amministrazioni pubbliche, Il Mulino, Bologna, 1986, 130), anche se alcuni studi hanno sottolineato la non completa sovrapposizione fra i due (cfr. A. BONOMOLO, La programmazione strategia nelle amministrazioni pubbliche, Aracne, Roma, 2010). Sulla nozione di pianificazione M.S. GIANNINI, voce Pianificazione, cit., 629 ss.; M. D’ORSOGNA, Programmazione strategica e attività decisionale della Pubblica Amministrazione, Giappichelli, Torino, 2001; ID., voce Pianificazione e program-
208
CAPITOLO V
tipica, tradizionalmente esercitata dai soggetti pubblici137, che richiede doti strategiche, risorse finanziarie e capacità di realizzazione: con essa, infatti, lo Stato pone un obiettivo meritevole di essere raggiunto in grado di comportare benefici generali, ne stabilisce l’oggetto concreto tramite cui dare attuazione all’obiettivo, in un arco di tempo prestabilito e in base a risorse economiche previamente stanziate. La funzione pianificatoria, dunque, risulta una funzione il cui esercizio appare essere faticoso e complesso. Negli ultimi decenni, infatti, essa è stata affiancata (recte: sostituita) da quella regolatoria138, in particolare nell’ambito dell’intervento pubblico nell’economia, anche in ragione della circostanza per cui in quest’ultima sono assenti delicate valutazioni circa gli obiettivi “sensibili” da perseguire o tutelare139. La difficoltà di esercitare la funzione pianificatoria discende alla mazione, in S. CASSESE (dir.), Dizionario di diritto pubblico, Giuffrè, Milano, 2006, 4300 ss.; A. POGGI, Pianificazione e controllo strategico in una logica di apprendimento dinamico, Giuffrè, Milano, 1998; V. MAZZARELLI, Passato e presente delle pianificazioni, in Dir. amm., 2007, 669. In argomento anche M. CARABBA, voce Programmazione, in Dig. disc. pubbl., XII, 1997, 1 ss.; R. SACCO, voce Programmazione economica, in Dig. disc. priv. sez. civ., VIII agg., 2013, 533 ss. 137 Per Giannini la pianificazione è stata da sempre una «una delle tecniche fondamentali di azione» dei soggetti pubblici: così M.S. GIANNINI, voce Pianificazione, cit., 631-632. 138 L’attività di pianificazione-programmazione si contrappone a quella di regolazione: come evidenziato da P. LAZZARA, La regolazione amministrativa: contenuto e regime, in Dir. amm., n. 2/2018, 342-343, la prima «oltre a stabilire gli obiettivi (sociali), fissa il percorso e predispone (almeno in parte) i mezzi normativi e finanziari per raggiungerli: guida le attività economiche secondo la c.d. “funzioneobiettivo”, ovvero in base ad un disegno preordinato al perseguimento di determinati fini, sorretto finanziariamente. La regolazione […] si limita ad intervenire su dinamiche spontanee (o quasi-spontanee) dell’iniziativa economica privata, sull’assunto che il mercato, se adeguatamente corretto, possa garantire determinate finalità generali, che si considerano “inerenti” le stesse attività economiche». In argomento anche L. GIANI, Attività amministrativa e regolazione di sistema, Giappichelli, Torino, 2002, nonché Id., Il modello regolativo nel quadro dell’evoluzione dei rapporti tra diritto ed economia. Funzione amministrativa di regolazione e modello corporativo, in E. CASETTA, A. ROMANO, F.G. SCOCA (cur.), Scritti in onore di Leopoldo Mazzarolli, vol. III, CEDAM, Padova, 2007. 139 Ad esempio, P. LAZZARA, La regolazione amministrativa: contenuto e regime, in Dir. amm., n. 2/2018, 343 sottolinea la mancanza di valutazioni di politica economica che invece permeano l’attività di programmazione.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
209
sua portata: essa è «un’attività di durata proiettata nel futuro»140, conseguentemente richiede la capacità di fissare obiettivi strategici e di raggiungerli – quella che la dottrina ha definito «funzioneobiettivo»141. Sotto questo punto di vista, il ricorso a procedure flessibili e orientate al risultato, come il partenariato per l’innovazione, guida l’Amministrazione a recuperare questa fondamentale funzione. L’Amministrazione, infatti, fissa un obiettivo finale a cui l’azione amministrativa deve tendere nella fase di acquisto pubblico di beni e servizi ICT: tutelare la cybersicurezza delle reti e delle infrastrutture digitali utilizzate a fini pubblici, a fronte della necessità di proteggere l’interesse pubblico (e la sicurezza nazionale). Essa stabilisce altresì l’oggetto, lo strumento tramite cui giungere a questo risultato, ovvero l’appalto innovativo, che le consente di interagire in una logica collaborativa con gli operatori privati fornitori di tecnologia; l’Amministrazione individua inoltre le risorse necessarie a tal fine, sia direttamente (identificando il fabbisogno pubblico e identificando il valore dell’appalto) sia attraverso un sistema di riallocazione del rischio d’impresa avvantaggiando l’azione del privato, oltre a stabilire il periodo entro cui conseguire il risultato specifico. Con il vantaggio, già, sottolineato poc’anzi, di co-creare con il fornitore il bene o il servizio di cui necessita, con modalità sartoriali e con caratteristiche cybersafe by design, evitando di cadere prigioniera dell’effetto lockin. Impiegando queste tipologie innovative di strumenti d’acquisto, il soggetto pubblico-acquirente e i fornitori privati-venditori di tecnologia collaborano insieme alla progettazione, alla prototipizzazione e alla commercializzazione del bene o servizi ICT stabilito. Tramite l’utilizzo del partenariato per l’innovazione vi è il grande vantaggio che questo rapporto collaborativo non è sterile, ma risulta invece orientato dallo Stato e dai fini ultimi che intende perseguire. Anche perché, ad contrarium, se così non fosse l’Amministrazione ricadrebbe nelle spire dell’effetto lock-in avvantaggiando gli operatori economici a scapito dell’interesse pubblico. È perciò possibile intravvedere in questi strumenti una “collaborazione orientata” al persegui 140
M.S. GIANNINI, voce Pianificazione, cit., 629. Cfr. M. STIPO, voce Programmazione statale e programmazione regionale, in Enc. giur., XXIV, 1991, 1 ss. 141
210
CAPITOLO V
mento dei fini posti dal soggetto pubblico, riflesso della delicata funzione pianificatoria statale. Tale “collaborazione orientata” trova ulteriore affermazione nelle previsioni del recentissimo Codice appalti, il d.lgs. n. 36 del 2023, che ha esplicitato ai primi articoli alcuni fondamentali principi della materia del public procurement. Da un lato il principio del risultato142, il quale costituisce la concretizzazione nell’ambito degli appalti 142
Cfr. art. 1 d.lgs. n. 36 del 2023, in relazione a cui si veda S. PERONGINI, Il principio del risultato e il principio di concorrenza nello schema definitivo di codice dei contratti pubblici, in G. CORSO, M. IMMORDINO (cur.), Studi in onore di Filippo Salvia. Convegno “Quale piano per il futuro dell’urbanistica?”, Palermo, 30 novembre 2021, Editoriale Scientifica, Napoli, 517 ss. Sul tema dell’amministrazione di risultato, ex multis si veda F. LEDDA, Dal principio di legalità al principio di infallibilità dell’amministrazione, in Foro amm., 1997, 3303 ss.; L. IANNOTTA, Previsione e realizzazione del risultato nella pubblica amministrazione: dagli interessi ai beni, in Dir. amm. n. 1/1999, 57 ss.; ID., Principio di legalità e amministrazione di risultato, in C. PINELLI (cur.), Amministrazione e legalità. Fonti normative e ordinamenti (Atti del Convegno, Macerata, 21-22 maggio 1999), Giuffrè, Milano, 2000; R. FERRARA, Procedimento amministrativo, semplificazione e realizzazione del risultato: dalla “libertà dall’amministrazione” alla “libertà dell’amministrazione”, in Dir. soc., 2000, 101 ss.; A. ROMANO TASSONE, Sulla formula “amministrazione per risultati”, in V. MOLASCHI, C. VIDETTA (cur.), Scritti in onore di Elio Casetta, Jovene, Napoli, 2001, 813 ss.; M. CAMMELLI, Amministrazione di risultato, in Annuario AIPDA, Giuffrè, Milano, 2002, 107 ss.; G. CORSO, Amministrazione di risultati, in Annuario AIPDA, Giuffrè, Milano, 2002, 127 ss.; M.R. SPASIANO, Funzione amministrativa e legalità di risultato, Giappichelli, Torino, 2003; S. PERONGINI, Il principio di legalità e amministrazione di risultati, in M. IMMORDINO, A. POLICE (cur.), Principio di legalità e amministrazione di risultati (Atti del Convegno di Palermo, 27-28 febbraio 2003), Giappichelli, Torino, 2004, 39 ss., nonché gli altri scritti raccolti in tale curatela. Più recentemente M.R. SPASIANO, Nuove riflessioni in tema di amministrazione di risultato, in AA.VV., Scritti per Franco Gaetano Scoca, Vol. V, Editoriale Scientifica, Napoli, 2020, 4845 ss., il quale a p. 4857 sottolinea come «[i]l risultato amministrativo si colloca dunque dentro il principio di legalità, lo connota, gli attribuisce un significato precipuo, coerente con l’esigenza di effettività della tutela degli interessi solo in vista della quale trovano legittimazione tutti i centri di potere pubblico […] [Pertanto], [u]n’amministrazione di risultato è anche quella che nega il bene cui aspira un soggetto, dando a questi seria e tempestiva ragione delle motivazioni circa l’infondatezza della sua pretesa». Il principio del risultato, dunque, non impone all’Amministrazione di provvedere «a tutti i costi» (M.R. SPASIANO, Nuove riflessioni in tema di amministrazione di risultato, cit., 489), a prescindere da tutto: occorre infatti superare quello che R. FERRARA, Introduzione al diritto amministrati-
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
211
del principio costituzionale del buon andamento e dei correlati principi di efficienza, efficacia ed economicità. Il principio del risultato viene così inteso quale principale criterio per guidare l’esercizio del potere discrezionale e per valutare la responsabilità del funzionario, essendo volto a raggiungere gli obiettivi stabiliti tanto dal legislatore nazionale quanto quello europeo. Nel caso ivi di interesse, ponendo come obiettivo la tutela della cybersicurezza pubblica, gli appalti innovativi appaiono essere un coerente mezzo con cui perseguire tale fine in attuazione del principio del risultato143. Dall’altro lato, invece, il principio della fiducia144 e quello di buona fede e di tutela dell’affidamento145, i quali sottolineano la qualità del rapporto che si deve instaurare fra pubblico e privato ed esplicitano la necessità di una relazione che sia veramente collaborativa fra essi, sul piano sostanziale e non soltanto su quello formale. 3.1. Lo Stato innovatore come guida del processo innovativo (e della cybersicurezza) Tramite gli appalti innovativi, lo Stato acquista tecnologia, agendo sul mercato al pari degli attori privati, intervenendo attivamente, senza doversi limitare al ruolo “tradizionale” di mero arbitro delle regole del gioco, di riequilibratore delle dinamiche di mercato e di correttore dei c.d. market failures. In tal modo, lo Stato risulta essere un attore in grado di guidare e promuovere l’innovazione. E può fare ciò, in particolare, attraverso la possibilità di realizzare investimenti strategici in settori di mercato poco attrattivi – e quindi in cui le imprese non investono – o addirittura inesistenti, volti dalla realizzazione di una visione-missione orientativa. In questo senso, grazie alla vo, Laterza, Roma-Bari, 2002, 150 aveva indentificato essere «il problema attuale della cd. Amministrazione di risultato, ossia il modo di essere di un’amministrazione caratterizzata dall’ansia di provvedere e qualificata dal solo fatto di provvedere, quasi a prescindere alla bontà, dalla qualità e, soprattutto, dalla legittimità dei suoi atti e comportamenti». 143 Sulla relazione che, nell’ambito degli appalti pubblici, intercorre fra obiettivi e vincoli procedurali, si rimanda alle riflessioni di M. CAFAGNO, L’evoluzione dei fini e del disegno delle pubbliche gare, Giuffrè, Milano, 2021, spec. 43 ss. 144 Cfr. art. 2 d.lgs. n. 36 del 2023. 145 Cfr. art. 5 d.lgs. n. 36 del 2023.
212
CAPITOLO V
capacità di seguire obiettivi a lungo termine, lo Stato si assume su di sé parte dei rischi di impresa, socializzando così i rischi, e crea così un nuovo mercato in cui il privato può successivamente intervenire. Agendo in tal modo, lo Stato si comporta come lo Stato innovatore teorizzato dall’economista dell’innovazione Mariana Mazzucato in The Entrepreneurial State (tradotto in italiano come “Lo Stato Innovatore”)146, studio basato sulla tesi secondo la quale il ruolo dello Stato è essenziale e imprescindibile per lo sviluppo tecnologico. Secondo l’Autrice, infatti, se non ci fosse stato lo Stato, oggi non si avrebbe avuto il progresso tecnologico così come lo conosciamo147. Questa affermazione è sostenuta innanzitutto dal fatto per cui lo Stato «è il risk-taker per eccellenza»148, il soggetto che per primo si assume il rischio d’impresa che tradizionalmente si attribuisce (soltanto) alle imprese private, come accaduto ad esempio nell’ambito delle prototecnologie digitali del secondo dopoguerra149. In questo contesto lo Stato ha realizzato un ingente investimento strategico volto alla realizzazione di una visione-missione (che potremmo definire “funzione-obiettivo”) di natura bellica. Agendo in tal senso, lo Stato ha effettuato un investimento mirato e strategico creando in questo modo un nuovo mercato, che prima non esisteva, aprendolo e consentendo 146
M. MAZZUCATO, The Entrepreneurial State: Debunking Public vs. Private Sector Myths, Anthem Press, London, 2013 (trad. ita. Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, Laterza, Roma-Bari, 2014). La versione cui si farà riferimento è quella italiana. Per alcune critiche alla tesi dell’Autrice cfr. D.N. MCCLOSKEY, A. MINGARDI, The Myth of the Entrepreneurial State, AIER, Great Barrington, Mass., 2020. In argomento si veda anche il recentissimo studio di R. KATTEL, W. DRECHSLER, E. KARO, How to Make an Entrepreneurial State, Yale University Press, New Haven, 2022. 147 «Lo Stato deve assumere un ruolo guida […], non limitandosi a correggere i fallimenti del marcato, ma creando attivamente e modellando (nuovi) mercato, e al tempo stesso regolando quelli esistenti», M. MAZZUCATO, Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, cit., 11. 148 M. MAZZUCATO, Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, cit., 26. 149 Mazzucato evidenzia con dati alla mano, come molti dei singoli componenti della tecnologia alla base dei prodotti Apple (in particolare l’iPhone) si basi su enormi investimenti pubblici effettuati molti anni prima dal Governo degli Stati Uniti d’America, fra Seconda guerra mondiale e Guerra fredda. Cfr. M. MAZZUCATO, Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, cit., 144 ss.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
213
così alle imprese private di entrarvi e di esercitare la propria attività d’impresa, sviluppando le proprie tecnologie150. Lo Stato riesce a compiere tale investimento strategico in considerazione, da un lato, della sua forza finanziaria, ovvero grazie all’ammontare delle risorse pubbliche di cui dispone; dall’altro, contrariamente alle imprese, che mirano a ottenere obiettivi a brevebrevissimo periodo e sono attente al loro rendimento privato (come emerge d’altronde dalla c.d. legge di Rock), lo Stato giunge a questo risultato soprattutto grazie alla sua capacità di seguire obiettivi a lungo termine che comportano benefici collettivi151. Il settore pubblico, dunque, dovrebbe mirare a fare investimenti mission-oriented volti alla creazione di valore pubblico152. Investimenti che non necessariamente trovano la loro giustificazione col fine bellico, come dimostrato ad esempio dai casi degli investimenti pubblici strategici nel campo della ricerca per la salute per lo sviluppo di nuove medicine per le malattie rare, che costituiscono quasi la totalità di tutti gli investimenti in questo settore153. Un altro esempio di settore ad alto impatto tecnologico creato da investimenti pubblici è costituto dall’esperienza statunitense nell’aerospazio. La visione-missione in questo caso era chiara: portare l’uomo sulla Luna (e riportarlo sano e salvo sulla Terra) prima che ci riuscissero i sovietici154. La complessità dell’operazione era estrema e i rischi di insuccesso – economici, politici e reputazionali – altissimi. 150
Tramite il suo investimento strategico mirato, lo Stato indirizza così lo sviluppo del mercato, come aveva precedentemente evidenziato da K. POLANYI, The Great Transformation. The Political and Economic Origins of Our Time, Rinehart, New York-Toronto, 1944. 151 Secondo l’Autrice, infatti, «gli investimenti dello Stato dovrebbero essere valutati come un portafoglio di investimenti a lungo termine, in un’ottica intertemporale», M. MAZZUCATO, Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, cit., 294. 152 Cfr. M. MAZZUCATO, Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, cit., 9. 153 Così M. MAZZUCATO, Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, cit., 111. 154 In argomento si veda M. MAZZUCATO, Mission Economy. A Moonshot Guide to Changing Capitalism, Allen Lane-Penguin, London, 2021 (trad. ita. Missione economia. Una guida per cambiare il capitalismo, Laterza, Bari-Roma, 2021, 57 ss. in particolare).
214
CAPITOLO V
Però soltanto lo Stato poteva affrontare una simile sfida organizzativa e tecnologica. E tale sfida era fronteggiabile solamente con i fondi pubblici, con i quali era possibile coinvolgere i privati155 – imprese che unicamente numerosi anni dopo hanno iniziato a esplorare questo nuovo mercato in veste di concorrenti della NASA, dell’ESA e delle altre Agenzia spaziali, come avviene da pochissimo tempo con i primi viaggi spaziali commerciali di alcuni imprenditori (si pensi a SpaceX). Proprio l’ambito aerospaziale, che rappresenta una chiave di volta dello sviluppo tecnologico, sottolinea un aspetto cruciale per la presente analisi: il successo delle varie spedizioni nello spazio è l’evidenza che soltanto tramite una collaborazione sinergica fra lo Stato e le imprese, sulla base di una visione stabilita dal soggetto pubblico ma condivisa anche dal privato, è possibile realizzare traguardi ritenuti solo pochi anni prima impossibili156. Secondo Mazzucato, per creare l’innovazione, e governarla, è necessario fondare un ecosistema simbiotico basato su relazioni cooperative fra i soggetti pubblici e i soggetti privati157. In questo modo si potrà giungere a una co-creazione di valore158, indirizzata a fini sociali, che non sia il frutto di mere decisioni “calate verso il basso” (topdown) ma di strategie condivise (bottom-down) in vista del raggiungimento di un fine comune. Una condizione, però, è necessaria: socializzare non soltanto i costi ma anche i ricavi159: «l’innovazione è prodotta in modo collettivo, e quindi i benefici dovrebbero essere divisi in modo collettivo»160. 155
Cfr. M. MAZZUCATO, Missione economia. Una guida per cambiare il capitalismo, cit., 7. 156 Così M. MAZZUCATO, Missione economia. Una guida per cambiare il capitalismo, cit., 8: «[i]n questo contesto, il pensiero della “missione” consiste nel fissare obiettivi ambiziosi ma anche ispiratori, in grado di catalizzare l’innovazione […]». 157 In tal senso M. MAZZUCATO, Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, cit., 16. 158 Sul punto M. MAZZUCATO, The Value of Everything. Makers and Takers in the Global Economy, Allen Lane-Penguin, London, 2018 (trad. ita. Il valore di tutto. Chi lo produce e chi lo sottrae nell’economia globale, Laterza, Bari-Roma, 2018, 16). 159 Cfr. M. MAZZUCATO, Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, cit., 53. 160 M. MAZZUCATO, Il valore di tutto. Chi lo produce e chi lo sottrae nell’economia globale, cit., 244.
L’APPROCCIO “COLLABORATIVO ORIENTATO” ALLA CYBERSICUREZZA PUBBLICA
215
Pertanto, nella sua azione, lo Stato Innovatore non agisce da solo: coinvolge, ispira e guida le imprese nella realizzazione dell’obiettivo posto e della visione-missione stabilita. Stabilita, si badi, dallo Stato stesso. È in questo contesto che è possibile fondare un rapporto sinergico e collaborativo fra pubblico e privato, e gli appalti innovativi paiono essere utili a tal fine. Con essi, infatti, lo Stato può ritrovare la propria funzione pianificatoria e di guida nello sviluppo della tecnologia digitale e, a fronte della delicatezza degli interessi in gioco, anche della stessa cybersicurezza pubblica: può tornare a essere protagonista dell’evoluzione tecnologica senza subirla.
CAPITOLO VI CONSIDERAZIONI CONCLUSIVE. QUALE RUOLO PER LO STATO NELLA CYBERSICUREZZA PUBBLICA? SOMMARIO: 1. Il bisogno della promozione della cultura della cybersicurezza, nella Pubblica Amministrazione ma non solo. – 2. Una nuova centralità dello Stato nell’ambito della cybersicurezza pubblica? La sovranità digitale e la (persistente) necessità di adottare logiche collaborative.
1. Il bisogno della promozione della cultura della cybersicurezza, nella Pubblica Amministrazione ma non solo Dall’analisi condotta emerge con evidenza come la cybersicurezza pubblica sia caratterizzata dall’essere un fenomeno eterogeneo e trasversale, in grado di intersecare almeno tre ambiti che si influenzano vicendevolmente. Il primo di essi è quello tecnico: considerata la tendenza esponenziale con cui la tecnica si sviluppa, il suo livello di complessità accelera costantemente, incidendo di riflesso sul progressivo incremento tecnologico dei sistemi di cybersecurity. Il secondo ambito è quello normativo, il quale, adottando prevalentemente una logica autoritativa nel rapporto fra pubblico e privato, si trova a “rincorrere” quello tecnologicotecnico, con il preciso intento di adattare il dettato giuridico al progresso tecnologico. Il terzo ambito, infine, è quello della governance, in cui con visione strategica e sinergica le Istituzioni nazionali e sovranazionali cercano di disciplinare questo fenomeno tramite la definizione di obiettivi da raggiungere e la predisposizione di una adeguata architettura multilivello. Nella cybersicurezza pubblica, pertanto, la conoscenza è fondamentale. La conoscenza richiesta in questa materia, però, è giocoforza interdisciplinare, essendo necessario al contempo il bagaglio tecnico, quello giuridico e quello manageriale. Secondo alcuni studiosi, risulterebbe centrale anche una conoscenza di natura umanistica, dato che la cybersicurezza pubblica concerne sì aspetti
218
CAPITOLO VI
tecnologici ma soprattutto umani, dal momento che sono le persone ad agire in questo settore1. Proprio questo aspetto conduce a sottolineare la centralità del “fattore umano” in questo ambito. Secondo il citato DESI 2022 per l’Italia, il Digital Economy and Society Index elaborato dalla Commissione europea per monitorare l’avanzamento tecnologico dei Paesi membri2, le conoscenze digitali degli italiani si attestano fra le più basse di tutta l’Unione europea (collocandosi al 25º posto su 27): soltanto il 46% delle persone possiede competenze digitali di base (rispetto al 54% della media europea), mentre unicamente il 23% possiede competenze digitali superiori a quelle di base (rispetto alla media europea del 26%)3. Nella consapevolezza di dover intervenire su questo punto, le Istituzioni italiane hanno predisposto e stanno attuando specifici piani strategici volti a incrementare il livello di alfabetizzazione digitale del Paese (si pensi, ad esempio, alla Strategia Nazionale per le Competenze Digitali4 o alla Strategia per l’innovazione tecnologica e la digitalizzazione del Paese 20255) prevedendo anche appostiti stanziamenti di risorse pubbliche (es. il Fondo per la Repubblica Digitale6). Questa condizione generale di scarso alfabetismo digitale7 si riflette giocoforza anche su quella presente in seno alla0 Pubblica Amministrazione, caratterizzata a livello strutturale da un’età media elevata (50,6 anni) e da una percentuale esigua di dipendenti appartenenti alla c.d. generazione dei “nativi digitali”: appena il 4,2% dei dipendenti pubblici ha 1
In tal senso E. FRUMENTO, Ripensare la cybersecurity mettendo le persone al centro: come farlo bene, in Agenda Digitale, 14 febbraio 2023, per il quale i responsabili della cybersicurezza informatica delle imprese (i Chief Information Security Officer, CISO) dovrebbero possedere anche competenze psicologiche, considerata la centralità dell’errore umano negli attacchi e negli incidenti cyber. 2 Cfr. https://digital-strategy.ec.europa.eu/en/policies/desi. 3 Cfr. COMMISSIONE EUROPEA, Indice di digitalizzazione dell’economia e della società (DESI) 2022. Italia, 2023, 7. 4 Cfr. https://docs.italia.it/italia/mid/strategia-nazionale-competenze-digitalidocs/it/1.0/index.html. 5 Cfr. https://assets.innovazione.gov.it/1610546390-midbook2025.pdf. 6 Cfr. https://assets.innovazione.gov.it/1643643952-cs-fondo-repubblicadigitale2901-new.pdf. 7 Sul tema dell’alfabetismo digitale, si veda P. MORO, B. FIORAVANZI, Verità digitale Dalle fake news all’alfabetismo informativo, in Calumet, vol. 15, n. 2/2022, 56 ss.
CONSIDERAZIONI CONCLUSIVE
219
meno di 30 anni8. Per tale ragione lo stesso Piano Nazionale di Ripresa e Resilienza ha posto al centro lo sviluppo delle competenze dei dipendenti pubblici, come testimoniato dalla recente adozione della Direttiva “Pianificazione della formazione e sviluppo delle competenze funzionali alla transizione digitale, ecologica e amministrativa promosse dal Piano Nazionale di Ripresa e Resilienza” del Ministro per la Pubblica Amministrazione 9, finalizzata a consolidare e rafforzare le competenze interne all’Amministrazione 10. Lo sviluppo delle competenze richieste dalla cybersicurezza pubblica appare necessario, soprattutto all’interno della Pubblica Amministrazione, in particolare nell’ambito degli appalti di tecnologia– come del resto espressamente previsto dal nuovo Codice appalti11. E questo per una ragione chiara. Essendovi l’esigenza di instaurare una relazione collaborativa fra i soggetti pubblici e quelli privati, che riequilibri la situazione di disparità che normalmente avvantaggia gli operatori economici e che perciò sia funzionale sul piano concreto, è imprescindibile che i soggetti pubblici siano realmente in grado di possedere le medesime conoscenze dei privati. Un baglio completo di competenze adeguate è il presupposto logico affinché l’Amministrazione possa ricorrere a quegli strumenti collaborativi di acquisto pubblico, quali gli appalti innovativi (partenariato per l’innovazione in primis). Per il soggetto pubblico è inutile collaborare con il privato se non si è in grado di dialogare con quest’ultimo a un medesimo livello sul piano sostanziale: in questo caso, infatti, l’Amministrazione continuerebbe a versare in una situazione di asimmetria informativa rimanendo locked-in dagli interessi dei fornitori. 8
Cfr. MINISTERO PER LA PUBBLICA AMMINISTRAZIONE, Pa, necessarie più di 700.000 assunzioni entro il 2025, 2021, in https://bit.ly/3KSYNqT. 9 Direttiva consultabile in https://bit.ly/43LFZ5s. 10 Come sottolineato dalla dottrina, anche la Pubblica Amministrazione, al pari delle imprese private, parallelamente al versante delle competenze del personale dipendente è chiamata ad agire altresì sul lato del ripensamento dei processi organizzativi. In tal senso ex multis R. CANDIOTTO, Il sistema integrato per la gestione delle informazioni aziendali, Giappichelli, Torino, 2022, nonché ID., Sensibilità organizzativa. Dai processi alla struttura organizzativa, Giappichelli, Torino, 2021. 11 Cfr. art. 19 co. 5 ultimo periodo d.lgs. n. 36 del 2023, laddove, in relazione agli appalti di beni e servizi ICT, stabilisce: «[l]e stazioni appaltanti e gli enti concedenti assicurano la formazione del personale addetto, garantendone il costante aggiornamento».
220
CAPITOLO VI
Tali profonde e ampie conoscenze in ambito di cybersicurezza pubblica risultano indispensabili anche a fronte del fatto, di cui si è scritto, per cui in questo ambito la relazione fra pubblico e privato non è una mera collaborazione, ma è una “collaborazione orientata” dallo Stato. Per questa ragione l’Amministrazione è chiamata a fare uno sforzo ulteriore, incrementando le competenze manageriali e soprattutto quelle strategiche, consentendo così di orientare lo sviluppo tecnologico – e cyber – sul sentiero stabilito dallo Stato e in base alle esigenze pubbliche. Giungere a un simile risultato non pare fantascientifico, soprattutto se inteso in una prospettiva temporale di medio periodo: le risorse finanziarie ci sono, i piani strategici anche e – soprattutto – non manca l’intenzione di conseguire questo traguardo12, in particolare in un settore ritenuto sempre più sensibile per gli interessi nazionali quali la cybersicurezza pubblica, di cui proprio la formazione è stata definita dalla Strategia Nazionale di Cybersicurezza un suo «fattore abilitante»13. Sotto questo punto di vista, l’azione pubblica volta all’incremento delle competenze digitali e di cybersicurezza fra i dipendenti pubblici è funzionale alla diffusione di progetti e iniziative volte a promuovere una più ampia cultura della cybersicurezza, in grado di abbracciare anche i cittadini e le imprese14. Iniziative, vale a dire, dirette non tanto a coloro i quali si occupano professionalmente di cybersecurity, quanto invece a chi può imbattersi indirettamente in attacchi e incidenti cyber nell’uso quotidiano della tecnologia15, da un lato sensibi 12
D’altronde, si pensi ad esempio alla recente istituzione dei c.d. dottorati industriali, mirati a mettere in connessione la ricerca avanzata, in particolare quella applicata, con il mondo delle imprese (cfr. sul punto Decreto ministeriale dell’Università e della Ricerca n. 1315 del 2021); nonché, all’istituzione del Dottorato nazionale sul tema dell’intelligenza artificiale: sul punto cfr. https://www.phdai.it/en/359-2/. 13 Cfr. AGENZIA PER LA CYBERSICUREZZA NAZIONALE, Strategia nazionale di cybersicurezza 2022-2026, Roma, 2023, 24. 14 In argomento, per una panoramica dei progetti in corso, si veda D. AGNELLO, M. ROSSI, La cultura della sicurezza informatica priorità per pubblico e privato: le iniziative per incentivarla, in Agenda Digitale, 7 settembre 2022. 15 Ad esempio, alcune agenzie investigative estere hanno recentemente evidenziato il rischio di subire attacchi cyber ai dispositivi ICT nell’ipotesi di impiego di stazioni pubbliche di ricarica (c.d. juice jacking – es. ricarica di uno smartphone in aeroporto): cfr. K. ABLES, FBI says public phone chargers may put your data at risk:
CONSIDERAZIONI CONCLUSIVE
221
lizzando sui rischi esistenti e possibili e, dall’altro, educando a prevenire questi ultimi evitando di porre in essere azioni o comportamenti potenzialmente dannosi o pericolosi. Occorre dunque una maggior e più diffusa consapevolezza sui temi della cybersicurezza pubblica, soprattutto in relazione al fatto che essa, avendo effetti ultrasettoriali16 non è una materia di appannaggio esclusivo di pochi professionisti17, bensì una tematica in grado di comportare dannosi effetti collettivi e che, dunque, necessità sia di una maggior attenzione in senso ampio sia di una maggior consapevolezza della necessità di approcciarsi alle problematiche cyber con modalità collaborative e sinergiche fra tutti gli attori coinvolti. Questo tema deve essere quindi affrontato da una prospettiva resiliente: il ruolo dello Stato risulta essere pertanto fondamentale e obbligato. 2. Una nuova centralità dello Stato nell’ambito della cybersicurezza pubblica? La sovranità digitale e la (persistente) necessità di adottare logiche collaborative La predisposizione e l’uso di strumenti giuridici in grado di realizzare un vero rapporto “collaborativo-orientato” fra il soggetto pubblico e quello privato nell’ambito della cybersicurezza, di cui l’ampliamento della conoscenza dei funzionari pubblici – e in generale dei cittadini – è precondizione logica imprescindibile, e di cui il ricorso agli appalti innovativi rappresenta un esempio, conducono a vedere riaffermarsi il ruolo dello Stato nell’ambito della tecnologia e, per quanto ivi di interesse, nella cybersecurity pubblica. Come si è ricostruito, è soprattutto nella disciplina del public procurement di beni e servizi di cybersicurezza che è possibile aumentare il grado di collaborazione fra tutti gli attori coinvolti, dando concretizzazione a questo principio fondante della cybersecurity, discendente dalla necessaria interazione cooperativa volta a ridurre il grado di complessità What to know, in The Washington Post, 11 aprile 2023. 16 La stessa disciplina del GDPR impone una particolare sensibilità sulle questioni di cybersecurity: sul punto S. GAZZELLA, Sensibilizzare alla cyber security: l’approccio richiesto dal GDPR, in cybersecurity360, 7 ottobre 2021. 17 In tal senso L. FRANCHINA, Strategia nazionale di cyber security: perché la formazione deve venire prima di tutto, in Agenda Digitale, 20 aprile 2022.
222
CAPITOLO VI
crescente di questo settore. Rafforzando e incrementando le competenze dei funzionari nell’ambito della disciplina degli acquisti pubblici di cybersicurezza pubblica, unitamente al ricorso agli appalti innovativi, l’Amministrazione diminuisce fortemente, fino quasi ad annullare, l’effetto lock-in a fronte dell’eliminazione dell’asimmetria informativa che normalmente caratterizza il rapporto acquirente-pubblico e venditore-privato in un normale appalto di tecnologia. Questa situazione, unita alla capacità di strategica dell’Amministrazione aggiudicatrice di esercitare una «funzione-obiettivo»18, vale a dire di stabilire un fine da raggiungere sinergicamente insieme ai fornitori e di indicare come conseguirlo (in punto di mezzi e risorse), mette in evidenza come lo Stato possa smarcarsi dalla situazione di cattura e di “sudditanza” nei confronti dei privati, soprattutto delle grandi imprese produttrici di tecnologia. Aspetto essenziale in un settore, quale la cybersicurezza pubblica, caratterizzata da sensibilissimi interessi sottesi. In questo modo lo Stato è in grado di ribaltare i rapporti di forza, ponendosi alla guida del processo tecnologico e guidando il privato nel raggiungimento degli obiettivi pubblici tramite rapporti “collaborativi-orientati”. Sotto questo punto di vista pare dunque concretizzarsi la tesi dello Stato Innovatore di Mariana Mazzucato19. La cybersicurezza pubblica, pertanto, pone in evidenza la tendenza, messa in luce dalla dottrina, del ritorno dello Stato e del suo ruolo centrale fondamentale, servente l’interesse pubblico20, dopo un periodo nel quale esso sembrava sopito21. 18
Il riferimento è a M. STIPO, voce Programmazione statale e programmazione regionale, in Enc. giur., XXIV, 1991, 1 ss. In tal senso, proprio la funzione-obiettivo consentirebbe di “andare oltre” alla teoria del diritto amministrativo paritario teorizzata da F. BENVENUTI, Per un diritto amministrativo paritario, in AA.VV., Scritti in memoria di Enrico Guicciardi, CEDAM, Padova, 1975, 811 ss. Teoria che rappresenta una bussola nel modellare i rapporti fra Pubbliche Amministrazione e cittadini, sebbene una parte della dottrina, ancora oggi, la considera «un potente mito, ma pur sempre un mito». In tal senso S. CASSESE, L. TORCHIA, Diritto amministrativo. Una conversazione, Il Mulino, Bologna, 2014, 79. 19 Cfr. M. MAZZUCATO, The Entrepreneurial State: Debunking Public vs. Private Sector Myths, Anthem Press, London, 2013 (trad. ita. Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, Laterza, Roma-Bari, 2014). 20 Così V. CERULLI IRELLI, Prima lezione di diritto amministrativo, Laterza, Roma-Bari, 2021, 190, secondo cui «il servizio piuttosto che l’autorità è l’elemento che identifica l’amministrazione come funzione di governo nello Stato costituzionale». 21 Cfr. M. MANN, The Rise and Decline of the Nation State, Blackwell, Ox-
CONSIDERAZIONI CONCLUSIVE
223
La ritrovata “sovranità digitale”22 non emerge soltanto sul piano teorico in relazione al rapporto di guida collaborativa con i soggetti privati, ma anche su quello concreto grazie ad alcuni progetti mirati, da un lato, a raggiungere l’autonomia pubblica della produzione di micro-componentistica elettronica23; dall’altro, a costruire infrastrutture digitali statali, con l’espresso intento di superare uno dei principali ostacoli dell’ambito digitale: l’oligopolio delle grandi imprese tecnologiche, che giocoforza sono in grado di piegare la volontà generale ai propri particolarismi in quanto proprietari, produttori e gestori delle infrastrutture digitali 24, esercitando di conseguenza un rilevante potere geopolitico 25. Un esempio è rappresentato dal Polo Strategico Nazionale (PSN)26 italiano. Il PSN è una infrastruttura digitale pubblica di tipo ford, 1990. Come è stato scritto da M.R. FERRARESE, Poteri nuovi, Il Mulino, Bologna, 2022, 153 ss., pare esservi una “sovranità in rispolvero”, come d’altronde testimoniato dal consistente aumento di studi sorti negli ultimi anni, in particolare a fronte dello sviluppo tecnologico e (soprattutto) della crisi pandemica. Ex multis, oltre all’opera di M. Mazzuccato citata in precedenza, F. BASSANINI, G. NAPOLITANO, L. TORCHIA (cur.), Lo Stato promotore. Come cambia l’intervento pubblico dell’economia, Il Mulino, Bologna, 2021; L. CASINI, Lo Stato (im)mortale. I pubblici poteri tra globalizzazione ed era digitale, Mondadori, Milano, 2022; L. TORCHIA, Lo Stato digitale. Una introduzione, Il Mulino, Bologna, 2023. In precedenza anche A. LA SPINA, G. MAJONE, Lo Stato regolatore, Il Mulino, Bologna, 2000. In senso ampio S. CASSESE, P. SCHIERA, A. VON BOGDANDY, Lo Stato e il suo diritto, Il Mulino, Bologna, 2013. Per riflessioni legate all’ambito della cybersicurezza, invece, B. CAROTTI, Sicurezza cibernetica e Stato-nazione, in Giorn. dir. amm., n. 5/2020, 629 ss. 22 Oppure “sovranità tecnologica”, come evidenziato da R. CERRA, F. CRESPI (cur.), Sovranità tecnologica. Position paper, Centro Economia Digitale, 2021. 23 Come sottolineato da B. CAROTTI, La politica europea sul digitale: ancora molto rumore, in Riv. trim. dir. pubbl., n. 4/2022, 1006, in relazione ai tentativi di Francia e Germania di sottoscrivere accordi con specifiche imprese per la produzione nazionale di circuiti integrati (chip) per bypassare il monopolio asiatico. 24 Aspetti ampiamente evidenziati fra le criticità descritte nel secondo capitolo del presente studio. 25 In argomento C. HOBBS (ed.), Europe’s Digital Sovereignty: from Rulemaker to Superpower in the Age of US-China Rivalry, in Essay Collection, European Council on Foreign Relations, 2020, 6-7. 26 Sul punto si veda E. DE GIOVANNI, Gli interventi legislativi in materia di digitalizzazione della PA connessi all’attuazione del PNRR, in A. LALLI (cur.), L’amministrazione pubblica nell’era digitale, Giappichelli, Torino, 2022, 103 ss. Si
224
CAPITOLO VI
cloud in fase di realizzazione, localizzata sul territorio nazionale, che le Pubbliche Amministrazioni saranno chiamate ad impiegare per esercitare funzioni amministrative digitali e per erogare servizi pubblici digitali27, con garanzia di affidabilità della rete, di continuità operativa, di resilienza e di indipendenza sul mercato della tecnologia digitale28. Il Polo Strategico Nazionale si pone in continuità con Gaia-X29, progetto europeo finalizzato a creare un ecosistema decentrato di cloud nazionali volto a rafforzare la sovranità digitale dei Paesi membri30. In questa strategia possono essere ricompresi anche progetti stranieri quale quello francese del cloud de confiance31 o quello dell’infrastruttura estone X-Tee32. rimanda all’indirizzo istituzionale https://www.polostrategiconazionale.it/. 27 Come riportato sulla pagina dedicata al PSN del Dipartimento per la trasformazione digitale, sul Polo saranno presenti i dati ed i servizi critici e strategici di tutte le Amministrazioni centrali, delle ASL e delle principali Amministrazioni Locali: cfr. https://innovazione.gov.it/dipartimento/focus/polo-strategico-nazionale/. 28 Sulla base di quanto previsto nel PNRR (Missione 1, componente 1, investimento 1.1 Infrastrutture digitali) e nella Strategia Cloud Italia, nel luglio 2021 il Dipartimento per la trasformazione digitale ha manifestato la necessità di creare il PSN, dando avvio a un partenariato pubblico-privato ad iniziativa autonoma di un soggetto proponente (ex art. 183, co 15 d.lgs. n. 50 del 2016), procedura affidata alla centrale di committenza Difesa Servizi S.p.A. (società in house del Ministero della Difesa, individuata ex lege), la quale nel gennaio 2022 ha bandito la gara europea per la realizzazione del PSN (con una base d’asta pari a base d’asta pari a 4,4 miliardi di euro). Dopo che l’operatore economico promotore del progetto di costituzione del Polo Strategico Nazionale ha esercitato il diritto di prelazione previsto dalla procedura di partenariato, il contratto per l’avvio dei lavori di realizzazione e la gestione del Polo Strategico Nazionale è stato così sottoscritto in favore della società Polo Strategico Nazionale S.p.A., partecipata da TIM, Leonardo, Cassa Depositi e Prestiti e SOGEI. Cfr. https://innovazione.gov.it/dipartimento/focus/polostrategico-nazionale/. Per approfondimenti A. TIRONI, Polo Strategico nazionale, ecco il bando: modello e obiettivi della proposta, in Agenda Digitale, 31 gennaio 2022. 29 Cfr. https://gaia-x.eu/. In argomento G. ARCIDIACONO, Gaia-X: lo standard europeo per il cloud e i suoi progetti principali, in Agenda Digitale, 27 aprile 2022. 30 Sul punto C. BIGNOTTI, Sovranità digitale e infrastrutture cloud: il progetto Gaia-X e il Polo strategico nazionale riusciranno ad arginare i giganti tecnologici americani e cinesi?, in Osservatorio sullo Stato Digitale IRPA, 1° novembre 2022. 31 In proposito A. MASCOLO, Il “cloud de confiance”: un’occasione mancata per il cloud computing europeo?, in Osservatorio sullo Stato Digitale IRPA, 24 marzo 2022. 32 X-Tee (dall’estone tee, “strada”), noto in lingua inglese come X-Road, è un
CONSIDERAZIONI CONCLUSIVE
225
Proprio questi progetti illustrano bene, ancora una volta, quanto sia centrale la collaborazione fra tutti i soggetti coinvolti nell’ambito della cybersicurezza pubblica. Non solamente nella sua dimensione orizzontale, fra soggetti pubblici e privati, fra l’acquirente pubblico e i fornitori privati, con i quali le Amministrazioni dovranno in ogni caso confrontarsi anche nell’utilizzo delle infrastrutture pubbliche, una volta terminate e a regime 33. Ma anche nella dimensione verticale, quella che concerne i livelli di governo nazionali e sovrannazionali e gli stessi Stati fra loro. Del resto, come la dottrina ha evidenziato, il concetto stesso di “sovranità digitale” deve essere inteso in senso ampio, «in termini di costruzione di conoscenze, e non di una dimensione tecnica e giuridica che contrapponga un “noi” a un “loro”»34; non invece, come si potrebbe erroneamente pensare, in termini di nazionalismo digitale 35, che risulterebbe progetto sviluppato a partire dal 2001 dal Governo di Tallinn e dalle più importanti imprese estoni, che mira a permettere lo scambio di dati fra Pubbliche Amministrazioni e fra esse e i soggetti privati (cittadini e imprese). X-Tee consiste in una infrastruttura digitale che collega le basi di dati e i server delle Amministrazioni estoni garantendo l’interoperabilità e il data sharing in tutto il settore pubblico, grazie al principio per cui ciascuna Amministrazione elabora e conserva i dati che riceve e li mette in condivisione soltanto con i soggetti previamente autorizzati a consultarli o riceverli. Questa circostanza conferisce a XTee una struttura decentralizzata, garantendole funzionalità, resilienza e sicurezza. Si rimanda alla consultazione dell’indirizzo istituzionale https://x-tee.ee/home. Sul progetto X-Tee sia consentito il rimando a S. ROSSA, Il diritto all’informazione come base per una amministrazione digitale: una comparazione fra Italia ed Estonia, in Dir. econ., n. 2/2019, 543 ss. Sulla digitalizzazione del settore pubblico in Estonia, uno fra gli Stati più avanzati nell’Unione europea e nel mondo sul tema dei servizi pubblici digitali, si vedano E. KARO, W. DRECHSLER, R. KATTEL, C. STILLINGS, Introduction to the Special Issue: Public Administration, Technology and Innovation, in Halduskultuur – Administrative Culture, 13, 1/2012 4 ss.; C. ROCHET, J. PEIGNOT, A. PENERANDA, Digitalizing the Public Organization: Information System Architecture as a Key Competency to Foster Innovation Capabilities in Public Administration, in Halduskultuur – Administrative Culture, 13, 1/2012, 49 ss. 33 In tal senso C. BIGNOTTI, Sovranità digitale e infrastrutture cloud: il progetto Gaia-X e il Polo strategico nazionale riusciranno ad arginare i giganti tecnologici americani e cinesi?, cit. 34 B. CAROTTI, La politica europea sul digitale: ancora molto rumore, cit., 1011. 35 Esplicitamente M.R. FERRARESE, Poteri nuovi, cit., 162-163, per la quale appare in
226
CAPITOLO VI
inefficace sul piano della funzionalità tecnologia 36 ed estremamente pericoloso su quello dei diritti 37. È pertanto necessario che gli Stati europei collaborino fra loro al fine di rafforzare l’intelaiatura esistente delle politiche sul digitale e sulla cybersicurezza pubblica, apportandovi modifiche in grado di rendere tutto il sistema più resiliente: la sovranità digitale degli Stati rappresenta la precondizione per una sovranità digitale europea, che consenta all’Unione europea di raggiungere un peso decisivo nell’attuale contesto geopolitico, al pari dei colossi privati (i.e. Big Tech) e di USA e Cina. Come è stato sottolineato, «[u]n intervento dell’Unione è necessario, ma le politiche in discussione hanno bisogno di più coraggio»38: sotto questo profilo, la disciplina sulla cybersicurezza pubblica può rappresentare un solido punto di partenza.
generale «irrealistica ogni ipotesi di ripristino di sovranità in stile sovranista, o di cosiddetta “de-globalizzazione”, che ipotizza un’indiscriminata ritirata dal fronte degli accordi internazionali e delle condivisioni di tipo globale, per rientrare negli spazi domestici degli “Stati casalinghi”: una posizione che crede di poter mettere indietro l’orologio della storia, per tornare a una statualità concepita nei vecchi termini, che peraltro non era immune da problemi e diretti». 36 Cfr. B. CAROTTI, Sicurezza cibernetica e Stato-nazione, cit., per il quale «pratiche da Stato-nazione sono sconsigliabili». 37 Come nota B. CAROTTI, La politica europea sul digitale: ancora molto rumore, cit., 1011, infatti, «[l]a chiusura ferrea dei confini nazionali può trasformarsi in una trappola, come molti attivisti ben sanno, purtroppo. E la capacità di raccolta di dati e informazioni, che la tecnologia digitale consente e che non ha precedenti nella Storia, offre proprio agli Stati la possibilità di porre fine al processo democratico partecipativo, a beneficio di alcuni poteri e non di tutti». Sul punto ovviamente si rimanda a S. ZUBOFF, The Age of Surveillance Capitalism. The Fight for the Future at the New Frontier of Power, Profile Books, London, 2019; nonché a Z. BAUMAN, D. LYON, Liquid surveillance. A conversation, Polity Press, Cambridge, UK-Malden, MA, 2013. Si vedano inoltre anche E. MOSTACCI, Critica della ragione algoritmica: Internet, partecipazione politica e diritti fondamentali, in Costituzionalismo.it, n. 2/2019, 57 ss.; G. SGUEO, La visione e la voce nella transizione digitale dei governi democratici, in Riv. trim. dir. pubbl., n. 4/2022, 1115 ss. 38 B. CAROTTI, La politica europea sul digitale: ancora molto rumore, cit., 1010.
BIBLIOGRAFIA
AA.VV., A.M. Sandulli (1915-1984). Attualità del pensiero giuridico del Maestro, Giuffrè, Milano, 2004; AA.VV., International Roadmap for Devices and Systems (IRDS™) 2022 Edition, 2022; AA.VV., Le sanzioni amministrative, Atti del XXVI Convegno di Studi di Scienza dell’Amministrazione (Varenna, 18-20 settembre 1980), Giuffrè, Milano, 1982; AA.VV., Studi in onore di Luigi Arcidiacono, IV, Giappichelli, Torino, 2010; AA.VV., voce Arthur Rock, in Encyclopedias almanacs transcripts and maps, in Encyclopedia.com; AA.VV., voce Concorrenza perfetta, in Dizionario Treccani di Economia e Finanze, 2012; AA.VV., voce Cybersicurezza, in Enciclopedia Treccani, 2008; AA.VV., Voce Innovazione, in Vocabolario online Treccani; AA.VV., voce Lock In, in Dizionario Treccani di Economia e Finanza, 2018; AA.VV., voce Moore’s Law, in Encyclopaedia Britannica, 2022; AA.VV., voce Safey, in Oxford Advanced Learner’s Dictionary, Oxford University Press, 2022; AA.VV., voce Security, in Oxford Advanced Learner’s Dictionary, Oxford University Press, 2022; AA.VV., voce Sicurézza Informàtica, in Enciclopedia online Treccani; ABLES K., FBI says public phone chargers may put your data at risk: What to know, in The Washington Post, 11 aprile 2023; ABRESCIA M., Le ricerche gius-economiche e la frontiera del diritto costituzionale, in Quaderni costituzionali, 2001, 635 ss.; AGENZIA DI RICERCHE E LEGISLAZIONE (AREL), Appalti pubblici e sicurezza informatica, in Oss. Reti, n. 3/2018; AGENZIA PER L’ITALIA DIGITALE, DIPARTIMENTO PER LA TRASFORMAZIONE DIGITALE, Piano Triennale per l’informatica nella Pubblica Amministrazione 2022-2024, ottobre 2022; AGENZIA PER L’ITALIA DIGITALE, La spesa ICT 2021 nella PA Italiana, Roma, 2021;
228
BIBLIOGRAFIA
AGENZIA PER L’ITALIA DIGITALE, Linee Guida su acquisizione e riuso di software per le pubbliche amministrazioni, 2019; AGENZIA PER LA CYBERSICUREZZA NAZIONALE, Strategia nazionale di cybersicurezza 2022-2026, Roma, 2023; AGNELLO D., ROSSI M., La cultura della sicurezza informatica priorità per pubblico e privato: le iniziative per incentivarla, in Agenda Digitale, 7 settembre 2022; AGNINO F., Cyber security: le novità della legge n. 133/2019, in Il Penalista, 12 dicembre 2019; AKERLOF G.A., Explorations in pragmatic economics. Selected papers of George A. Akerlof (and co-authors), Oxford university press, Oxford, 2005; AKERLOF G.A., The Market for Lemons: Quality Uncertainty and the Market Mechanism, in Quarterly Journal of Economics, n. 84/1970, 488 ss.; ALBERTI J., Le agenzie dell’Unione europea, Giuffrè, Milano, 2018; ALLENA M., CIMINI S. (cur.), Il potere sanzionatorio delle Autorità amministrative indipendenti, in Dir. econ., n. 3/2013, 460 ss.; AMATO G., Il costituzionalismo oltre i confini dello Stato, in Riv. trim. dir. pubbl., n. 1/2013, 1 ss.; ANDRECKA M., Dealing with Legal Loopholes and Uncertainties within EU Public Procurement Law Regarding Framework Agreements, in Journal of Public Procurement, Volume 16, Issue 4, 2016, 505 ss.; ANDRECKA M., Innovation partnership in the new public procurement regime – a shift of focus from procedural to contractual issues?, in Public Procurement Law Review, 2015, 48 ss.; ANITEC-ASSINFORM, Il Procurement Pubblico del Digitale: dal Planning all’Execution, Roma, Ottobre 2021; ARCIDIACONO A., Gaia-X: lo standard europeo per il cloud e i suoi progetti principali, in Agenda Digitale, 27 aprile 2022; ARENA G., Amministrazione e società. Il nuovo cittadino, in Riv. trim. dir. pubbl., n. 1/2017, 42 ss.; ARENA G., Agenzia amministrativa, in Enc. giur. Treccani, 1999; ARMAO G., Considerazioni su amministrazione aperta e protezione dei dati personali, in Amministrativamente, 3-4/2015; ARROWSMITH S., The Law of Public and Utilities Procurement, Sweet & Maxwell, London, 2014;
BIBLIOGRAFIA
229
ARROWSMITH S. (Ed.), Reform of the Uncitral Model Law on Procurement: Procurement Regulation for the 21st Century, West, 2009; A RROWSMITH S., An Assessment of the New Legislative Package on Public Procurement, in Common Market Law Review, n. 41/2004, 1277 ss.; ASSAF A., MOSHNIKOV D., INTERNATIONAL LAW IN THE DIGITAL AGE RESEARCH AND STUDY GROUP, Contesting sovereignty in cyberspace, in Int. Cybersecur. Law Rev., n. 1/2020, 115 ss.; ASSOCIAZIONE ITALIANA DEI PROFESSORI DI DIRITTO AMMINISTRATIVO (AIPDA), Annuario 2006. Analisi economica e diritto amministrativo, Giuffrè, Milano, 2007; ATERNO S., Sicurezza informatica. Aspetti giuridici e tecnici, Pacini, Pisa, 2022, 234 ss.; AUBY J.B., La bataille de San Romano. Réflexions sur les évolutions récentes du droit administratif, in Actualité Juridique Droit Administratif, n. 11/2001; AUTORITÀ NAZIONALE ANTICORRUZIONE – UFFICIO OSSERVATORIO STUDI E ANALISI BANCHE DATI, Rapporto quadrimestrale sul mercato dei contratti pubblici, 2° quadrimestre 2021; AUTORITÀ NAZIONALE ANTICORRUZIONE, Linee guida n. 2 – Offerta economicamente più vantaggiosa, agg. 2018; AUTORITÀ NAZIONALE ANTICORRUZIONE, Linee guida n. 5 Criteri di scelta dei commissari di gara e di iscrizione degli esperti nell’Albo nazionale obbligatorio dei componenti delle commissioni giudicatrici, agg. 2018; BAJO G., Open Software e Pubblica Amministrazione: online le linee guida sull’acquisizione e il riuso del software, in Team per la Trasformazione Digitale – Medium, 2018; BALDI L., CEROFOLINI G., La legge di Moore e lo sviluppo dei circuiti integrati, in Mondo Digitale, n. 3/2002, 3 ss.; BARABÀSI A.L., Linked. The New Science of Networks, Perseus, Cambridge, 2002; BARBERIO M., Appalti innovativi – Parte 2. Partenariato per l’innovazione e appalti pre-commerciali, in l’Amministrativista, 2020;
230
BIBLIOGRAFIA
BARONE A., L’affidamento dei contratti pubblici: modalità e principi comuni, in BARONE A. (cur.), Cittadini, imprese e funzioni pubbliche, Cacucci, Bari, 2018, 215 ss.; BARONE A., Il diritto del rischio, Giuffrè, Milano, 2006; BARTOLI M., La progressiva articolazione del quadro normativo europeo sugli aiuti di Stato a favore di Ricerca, Sviluppo e Innovazione (RSI), in Dir. UE, n. 3/2015, 553 ss.; BASSANINI F., NAPOLITANO G., TORCHIA L. (cur.), Lo Stato promotore. Come cambia l’intervento pubblico dell’economia, Il Mulino, Bologna, 2021; BATTAGLIA A., BATTINI S., BLASINI A., BONTEMPI V., CHITI M.P., DECAROLIS F., MENTO S., PINCINI A., PIRRI VALENTINI A., SABATO G., “Burocrazia difensiva”: cause, indicatori e rimedi, in Riv. trim. dir. pubbl., n. 4/2021, 1295 ss.; BATTINI S., Abuso d'ufficio e burocrazia difensiva nel groviglio dei rapporti fra poteri dello Stato, in Giorn. dir. amm., n. 4/2022, 494 ss.; BATTINI S., DECAROLIS F., L'amministrazione si difende, in Riv. trim. dir. pubbl., n. 1/2019, 293 ss.; BAUMAN Z., LYON D., Liquid surveillance. A conversation, Polity Press, Cambridge, UK-Malden, MA, 2013; BAVETTA F., Direttiva NIS 2: l’innalzamento dei livelli di cybersicurezza a livello europeo, in Media Laws – Riv. dir. media, n. 3/2022, 405 ss.; BEDERNA Z., RAJNAI Z., Analysis of the cybersecurity ecosystem in the European Union, in Int. Cybersec. Law Rew., n. 3/2022, 35 ss.; BELL D., The Coming of Post-Industrial Society, Basic Books, New York, 1976; BENEDETTI A., Certezza pubblica e “certezze private”, Giuffrè, Milano, 2010; BENVENUTI F., Il nuovo cittadino. Tra libertà garantita e libertà attiva, Marsilio, Venezia, 1994; BENVENUTI F., Per un diritto amministrativo paritario, in AA.VV., Scritti in memoria di Enrico Guicciardi, CEDAM, Padova, 1975, 811 ss.; BERNAL BLAY M.A., The Strategic Use of Public Procurement in Support of Innovation, in Eur. Proc. e Publ. Priv. Partner. Law. Rev., n. 1/2014;
BIBLIOGRAFIA
231
BERNERS-LEE T., Weaving the Web: The Original Design and Ultimate Destiny of World Wide Web by His Inventor, Harper, San Francisco, 1999; BIASIOTTI M.A., SARTOR G., TURCHI F., Tecnologie a abilità informatiche per il diritto, Giappichelli, Torino, 2018; BIGAZZI S., Le “innovazioni” del partenariato per l’innovazione, in FIORITTO A., Nuove forme e nuove discipline del partenariato pubblico privato, Giappichelli, Torino, 2017, 225 ss.; BIGNOTTI C., Sovranità digitale e infrastrutture cloud: il progetto Gaia-X e il Polo strategico nazionale riusciranno ad arginare i giganti tecnologici americani e cinesi?, in Osservatorio sullo Stato Digitale IRPA, 1° novembre 2022; BLASINI A., Prime riflessioni in tema di appalto pre-commerciale, in FIORITTO A., Nuove forme e nuove discipline del partenariato pubblico privato, Giappichelli, Torino, 2017, 195 ss.; BOCCIA C., CONTESSA C., DE GIOVANNI E. (cur.), Codice dell’amministrazione digitale (D.lgs. 7 marzo 2005, n. 82 commentato e annotato per articolo. Aggiornato al D.lgs. 13 dicembre 2017, n. 217), La Tribuna, Piacenza, 2018; BONANATE L., Politica e diritto nella formazione della politica estera dell’Unione europea, Torino, Giappichelli, 2002; BONETTI P., Problemi costituzionali della legge di riforma dei servizi di informazione per la sicurezza della Repubblica, in Dir. e soc., n. 2/2008, 251 ss.; BONETTI P., Ordinamento della difesa nazionale e Costituzione italiana, Giuffrè, Milano, 2000; BONOMOLO A., La programmazione strategia nelle amministrazioni pubbliche, Aracne, Roma, 2010; BOSCOLO E., Consultazioni preliminari di mercato e possibili limitazioni alla concorrenza, in Giur. ita., n. 1/2020, 166 ss.; BRASSEUL J., Storia economica dalle origini ad oggi, UTET, Torino, 2022; BRASSON M., Quando le stazioni appaltanti ricorrono a soluzioni innovative: dialogo competitivo e servizi di ricerca e sviluppo, in PAGLIARIN C., PERATHONER C., LAIMER S. (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, cit., Una strategia per far ripartire l’Europa, Giuffrè, Milano, 2021, 83 ss.;
232
BIBLIOGRAFIA
BRIGHI R., CHIARA P.G., La cybersecurity come bene pubblico: alcune riflessioni normative a partire dai recenti sviluppi nel diritto dell’Unione Europea, in federalismi.it, n. 21/2021, 18 ss.; BRUNO B., Cybersecurity tra legislazioni, interessi nazionali e mercato: il complesso equilibrio tra velocità, competitività e diritti individuali, in federalismi.it, n. 14/2020; BRYNJOLFSSON E., MCAFEE A., La nuova rivoluzione delle macchine Lavoro e prosperità nell’era della tecnologia trionfante, Feltrinelli, Milano, 2017; BUCCELLATO P., Dopo il Nord Stream la vera minaccia per la sicurezza sono i cavi sottomarini, in cybersecitalia.it, 22 settembre 2022; BUSUIOC M., European Agency: Law and Practices of Accountability, Oxford University Press, Oxford, 2013; BUSUIOC M., GROENLEER M., Beyond Design: The Evolution of Europol and Eurojust, in Amsterdam Law School Research Paper, n. 9/2011; BUTLER L., Innovation in Public Procurement: Towards the «Innovation Union», in LICHÈRE F., CARANTA R., TREUMER S. (Eds.), Modernising Public Procurement: The New Directive, DJØF, Copenhagen, 2014, 337 ss.; CAFAGNO M., L’evoluzione dei fini e del disegno delle pubbliche gare, Giuffrè, Milano, 2021; CAFAGNO M., Risorse decisionali e amministrazione difensiva. Il caso delle procedure contrattuali, in Dir. proc. amm., n. 1/2020, 35 ss.; CAFAGNO M., Contratti pubblici, responsabilità amministrativa e “burocrazia difensiva”, in Dir. econ., n. 3/2018, 3 ss.; CAFAGNO M., MANGANARO F. (cur.), L’intervento pubblico nell’economia, in FERRARA L., SORACE D. (cur.), A 150 anni dall’unificazione amministrativa italiana. Studi, Vol. V, Firenze, 2016; CAGNAZZO A., TOSCHEI S., La sanzione amministrativa. Principi generali, Giappichelli, Torino, 2011; CAIA G., L’ordine e la sicurezza pubblica, in CASSESE S. (cur.), Trattato di diritto amministrativo, Vol. 1, Diritto amministrativo speciale, II ed., Giuffrè, Milano, 2003, 281 ss.; CALABRESI G., Some Thoughts on Risk Distribution and the Law of Torts, in Yale Law Journal, n. 70/1961, 499 ss.;
233
BIBLIOGRAFIA
C ALZOLAIO S., “Digital (and privacy) by default”. L’identità costituzionale della amministrazione digitale , in Giorn. st. cost ., 31/2016, 185 ss.; C AMALDO L., La metamorfosi di Eurojust in agenzia dell’Unione europea per la cooperazione giudiziaria penale , in Cass. Pen. , n. 7/2019, 2708 ss.;
CAMERA
DEPUTATI, ATTI PARLAMENTARI, XVII LEGISLATURA – Documenti – Disegni di legge e relazioni, Commissione parlamentare d’inchiesta sul livello di digitalizzazione e innovazione delle pubbliche amministrazioni e sugli investimenti complessivi riguardanti il settore delle tecnologie e della comunicazione. Relazione sull’attività svolta, Doc. XII-bis, n. 14; CAMMELLI M., Amministrazione di risultato, in Annuario AIPDA, Giuffrè, Milano, 2002, 107 ss.; CAMPARA F., Il Cybersecurity Act, in CONTALDO A., MULA D. (cur.), Cybersecurity Law, Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, Pacini, Pisa, 2020, 57 ss.; CAMPESI G., Polizia della frontiera. Frontex e la produzione dello spazio europeo, DeriveApprodi, Roma, 2015; CANCRINI A., FRANCHINI C., VINTI S. (cur.), Codice degli appalti pubblici, Giappichelli, Torino 2014; CANDIOTTO R., Il sistema integrato per la gestione delle informazioni aziendali, Giappichelli, Torino, 2022; CANDIOTTO R., Sensibilità organizzativa. Dai processi alla struttura organizzativa, Giappichelli, Torino, 2021; CANTELLA F.S., Accordo quadro, SANDULLI M.A., DE NICTOLIS R. (dir.), Trattato sui contratti pubblici, Vol. III, Procedure di gara e criteri di scelta del contraente, Giuffrè Francis Lefebvre, Milano, 2019, 147 ss.; CAPACCIOLI E., Disciplina del commercio e problemi del processo amministrativo, in ID., Diritto e processo, CEDAM, Padova, 1978; CAPUTI JAMBRENGHI M.T.P., COLELLA G., PPI for a sustainable economy: sustainable supply chain management in the agri-food sector, in Dir. econ., n. 3/2020, 207 ss.; DEI
234
BIBLIOGRAFIA
CARABBA M., voce Programmazione, in Dig. disc. pubbl., XII, 1997, 1 ss.; CARANTA R., CERQUEIRA GOMES P., Public procurement and innovation, in ERA Forum, n. 22/2021, 371 ss.; CARANTA R., SANCHEZ-GRAELLS A. (Eds.), European Public Procurement: Commentary on Directive 2014/24/EU, Elgar, Cheltenaham, 2021; CARANTA R., DRAGOS D.C., La mini-rivoluzione del diritto europeo dei contratti, in Urb. app., n. 5/2014, 493 ss.; CARANTA R., I contratti pubblici, Giappichelli, Torino, 2012; CARANTA R., Gli accordi quadro, in GAROFOLI R., SANDULLI M.A. (cur.), Il nuovo diritto degli appalti pubblici. Nella direttiva 2004/18/CE e nella Legge comunitaria n. 62/2005, Giuffrè, Milano, 2005, 447 ss.; CARDARELLI F., Criteri di aggiudicazione, in SANDULLI M.A., DE NICTOLIS R. (dir.), Trattato sui contratti pubblici, Vol. III, Procedure di gara e criteri di scelta del contraente, Giuffrè, Milano, 2019, 531 ss.; CARDARELLI F., Amministrazione digitale, trasparenza e principio di legalità, in Dir. inf., 2/2015, 227 ss.; CARDARELLI F., Le banche dati pubbliche: una definizione, in Dir. inf., n. 2/2002, 321 ss.; CARDARELLI F., Efficienza e razionalizzazione dell’attività amministrativa, Università di Camerino, Camerino, 1996; CARDARELLI F., L’Autorità per l’informatica nella pubblica amministrazione. Natura giuridica, funzioni e poteri in materia contrattuale, in Dir. inf., 1994, 94 ss.; CARETTI P., DE SIERVO U., Diritto costituzionale e pubblico, Giappichelli, Torino, 2014; CARLI E., La politica di sicurezza e difesa comune dell’Unione Europea, Giappichelli, Torino, 2019, 81 ss.; CARLONI E., Qualità dei dati, big data e amministrazione pubblica, in CAVALLO PERIN R. (cur.), L’amministrazione pubblica con i big data: da Torino un dibattito sull’intelligenza artificiale, Rubettino, Torino, 2021, 117 ss.; CARLONI E., Algoritmi su carta. Politiche di digitalizzazione e trasformazione digitale delle amministrazioni, in Dir. pubbl., n. 2/2019, 363 ss.;
BIBLIOGRAFIA
235
CARLONI E., L’amministrazione aperta. Regole e limiti dell’open government, Maggioli, Santarcangelo di Romagna, 2014; CARLONI E., La riforma del Codice dell’amministrazione digitale, in Giorn. dir. amm., 5/2011, 469 ss.; CARLONI E. (cur.), Codice dell’amministrazione digitale. Commento al D.lgs 7 marzo 20, 05, n. 82, Maggioli, Santarcangelo di Romagna, 2005; CAROTTI B., La politica europea sul digitale: ancora molto rumore, in Riv. trim. dir. pubbl., n. 4/2022, 997 ss.; CAROTTI B., Sicurezza cibernetica e Stato-nazione, in Giorn. dir. amm., n. 5/2020, 629 ss.; CAROTTI B., Il correttivo al codice dell’amministrazione digitale: una meta-riforma, in Giorn. dir. amm., n. 2/2018, 131 ss.; CAROTTI B., L’amministrazione digitale: le sfide culturali e politiche del nuovo codice, in Giorn. dir. amm., n. 1/2017, 7 ss.; CAROTTI B., Il sistema di governo di Internet, Giuffrè, Milano, 2016; CARULLO G., Dati, banche dati, Blockchain e interoperabilità dei sistemi informatici nel settore pubblico, in CAVALLO PERIN R., GALETTA D.U. (cur.), Il diritto dell’Amministrazione Pubblica digitale, Giappichelli, Torino, 2020, 191 ss.; C ARULLO G., Principio di neutralità tecnologica e progettazione dei sistemi informatici della pubblica amministrazione , in Cib. dir. , n. 1/2020, 33 ss.; CARULLO G., Gestione, fruizione e diffusione dei dati dell’amministrazione digitale e funzione amministrativa, Giappichelli, Torino, 2017; CASETTA E., Sanzione amministrativa, in Dig. disc. pubbl., Vol. XIII, UTET, Torino, 1997, 598 ss.; CASINI L., Lo Stato (im)mortale. I pubblici poteri tra globalizzazione ed era digitale, Mondadori, Milano, 2022; CASINI L., CHITI E., L’organizzazione, in NAPOLITANO G. (cur.), Diritto amministrativo comparato, Giuffrè, Milano, 2007, 61 ss.; CASINI L., Le agenzie amministrative, in Riv. trim. dir. pubbl., n. 2/2003, 595 ss.;
236
BIBLIOGRAFIA
CASO R., Sicurezza informatica: regole e prassi, Atti del Convegno tenuto presso la Facoltà di Giurisprudenza di Trento il 6 maggio 2005, Università degli Studi di Trento, 2006; CASSANO G., PREVITI S. (cur.), Il diritto di internet nell’era digitale Giuffrè, Milano, 2020, 186 ss.; CASSESE S., MELLONI A., PAJNO A. (cur.), I presidenti e la presidenza del Consiglio dei ministri nell’Italia repubblicana, Laterza, Roma, 2022; CASSESE S. (cur.), La nuova costituzione economica, Laterza, Roma-Bari, 2021; CASSESE S., Territori e potere. Un nuovo ruolo per lo Stato, Il Mulino, Bologna, 2016; CASSESE S., TORCHIA L., Diritto amministrativo. Una conversazione, Il Mulino, Bologna, 2014; CASSESE S., SCHIERA P., VON BOGDANDY A., Lo Stato e il suo diritto, Il Mulino, Bologna, 2013; CASSESE S., Lo spazio giuridico globale, Laterza, Roma-Bari, 2003; CAVALLO PERIN R., LIPARI M., RACCA G.M. (cur.), Contratti pubblici e innovazioni. Per l’attuazione della legge delega, Jovene, Napoli, 2022; CAVALLO PERIN R. (cur.), L’amministrazione pubblica con i big data: da Torino un dibattito sull’intelligenza artificiale, Rubettino, Torino, 2021; CAVALLO PERIN R., Pubblica amministrazione e data analysis, in CAVALLO PERIN R. (cur.), L’amministrazione pubblica con i big data: da Torino un dibattito sull’intelligenza artificiale, Rubettino, Torino, 2021, 11 ss.; CAVALLO PERIN R., Ragionando come se la digitalizzazione fosse data, in Dir. amm., n. 2/2020, 305 ss.; CAVALLO PERIN R., RACCA G.M., European Joint Cross-Border Procurement and Innovation, in RACCA G.M., YUKINS C.R. (Eds.), Joint Public Procurement and Innovation – Lessons Across Border, Bruylant, Bruxelles, 2019, 93 ss.; CAVALLO PERIN R., GALETTA D.U. (cur.), Il diritto dell’Amministrazione Pubblica digitale, Giappichelli, Torino, 2020; CAVALLO PERIN R., RACCA G.M., Cooperazione amministrative europea, in Dig. Disc. Pubbl., Agg., 2017, 191 ss.;
BIBLIOGRAFIA
237
CAVALLO PERIN R., RACCA G.M., La cooperazione amministrativa europea nei contratti e servizi pubblici, in Riv. ita. dir. pubb. comunit., n. 6/2016, 1457 ss.; CAVALLO PERIN R., Conclusioni, in Atti del Convegno “Appalti pubblici: innovazione e razionalizzazione. Le strategie di aggregazione e cooperazione europea nelle nuove direttive, Roma, 14 maggio 2014; CAVASINO E., Il Piano Nazionale di Ripresa e Resilienza e le sue fonti. Dinamiche dei processi normativi in tempo di crisi, Editoriale Scientifica, Napoli, 2022; CAVASINO E., SCALA G., VERDE G. (cur.), I diritti sociali dal riconoscimento alla garanzia, il ruolo della giurisprudenza, Atti del Convegno di Trapani, Editoriale Scientifica, Napoli, 2013; CECCHETTI M., L’incidenza del PNRR sui livelli territoriali di governo e le conseguenze nei sistemi amministrativi, in Rivista AIC, n. 3/2022, 281 ss.; CELESTE E., Digital Constitutionalism: The Role of Internet Bills of Rights, Routledge, New York, 2022; CELESTE E., The Constitutionalisation of the Digital Ecosystem: Lessons from International Law, in KETTEMANN M., KUNZ R., GOLIA A. JR (Eds.), International Law and the Internet, Nomos, Baden-Baden, 2022; CELESTE E., HELDT A., IGLESIAS KELLER C. (Eds.), Constitutionalising Social Media, Hart, London, 2022; CELESTE E., Digital punishment: social media exclusion and the constitutionalising role of national courts, in International Review of Law, Computers and Technology, Vol. 35, n. 2/2021, 162 ss.; CENCETTI C., Cybersecurity: Unione europea e Italia. Prospettive a confronto, Edizioni Nuova Cultura – Quaderni dell’Istituto Affari Internazionali, Roma, 2014; CEPOL, Contributing to European police cooperation through learning, Publications Office of the European Union, Luxembourg, 2010; CERBO P., Le sanzioni amministrative, in S. CASSESE (cur.), Trattato di diritto amministrativo – Parte speciale, Tomo I, ed. II, Giuffrè, Milano, 2003, 579 ss.; CERCIELLO F., Direttiva NIS 2: ecco come prepararsi a recepire i nuovi obiettivi di cyber security, in cybersecurity360.it, gennaio 2023;
238
BIBLIOGRAFIA
CERCIELLO F., Nuovi obblighi di notifica degli incidenti: quali conseguenze per i soggetti inclusi nel PSNC, in cybersecurity360.it, 29 settembre 2022; CERQUEIRA GOMES P., EU Public Procurement and Innovation: The Innovation Partnership Procedure and Harmonisation Challenges, Elgar, Cheltenham, 2021; CERRA R., CRESPI F. (cur.), Sovranità tecnologica. Position paper, Centro Economia Digitale, 2021; CERRI A., Ordine pubblico. Diritto costituzionale, in Enc. giur., IV, 1990; CERRINA FERONI G. (cur.), Il partenariato pubblico-privato: modelli e strumenti, Giappichelli, Torino, 2011; CERULLI IRELLI V., Prima lezione di diritto amministrativo, Laterza, Roma-Bari, 2021; CESAREO P., voce Programmazione (diritto pubblico), in Nov. dig. it., XIV, 1967, 61 ss.; CHAMON M., EU Agencies. Legal and political limits to the transformation of the EU administration, Oxford University Press, Oxford, 2016; CHASSIN L.M., Storia militare della Seconda guerra mondiale, Sansoni, Firenze, 1964; CHIARA P.G., The Cyber Resilience Act: the EU Commission’s proposal for a horizontal regulation on cybersecurity for products with digital elements, in Int. Cybersecur. Law Rev., n. 3/2022, 255 ss.; CHIARELLO C., Il partenariato per l’innovazione, in Giustamm., n. 2/2016; CHITI E., Le sfide della sicurezza e gli assetti nazionali ed europei delle forze di polizia e di difesa, in Dir. amm., n. 4/2016, 511 ss.; CHITI E., European Agencies’ Rulemaking: Powers, Procedures and Assessment, in European Law Journal, 2013, 93 ss.; CHITI E., MATTARELLA B.G., La sicurezza europea, in Riv. trim. dir. pubbl., n. 2/2008, 305 ss.; CHITI E., FRANCHINI C., L’integrazione amministrativa europea, Il Mulino, Bologna, 2003; CHITI E., Le agenzie europee. Unità e decentramento nelle amministrazioni europee, CEDAM, Padova, 2002; CHITI M.P., Il Partenariato Pubblico Privato e la nuova direttiva concessioni, in CARTEI G.F., RICCHI M. (cur.), Finanza di progetto e
BIBLIOGRAFIA
239
partenariato pubblico-privato. Temi europei, istituti nazionali e operatività, Editoriale Scientifica, Napoli, 2015, 3 ss.; CLARICH M., La riflessione scientifica attuale sulla regolazione dei mercati e la prospettiva delle “spinte gentili”, in Dir. e proc. amm., n. 23/2015, 413 ss.; CLARICH M., ZANETTINI L., Le garanzie del contraddittorio nei procedimenti sanzionatori dinnanzi alle Autorità indipendenti, in Giur. Comm., 2013, 358 ss.; CLAUSMEIER D., Regulation of the European Parliament and the Council on digital operational resilience for the financial sector (DORA), in Int. Cybersecur. Law Rev., n. 4/2023, 79 ss.; COASE R.H., The Problem of Social Cost, in Journal of Law and Economics, 1960; COGNETTI S., Profili sostanziali della legalità amministrativa. Indeterminatezza della norma e limiti della discrezionalità, Giuffrè, Milano, 1993; COLELLA A., Analisi comparata delle architetture decisionali in materia cibernetica dei paesi dell’area euro-occidentale, in TORRE A., Costituzioni e sicurezza dello Stato, Maggioli, Santarcangelo di Romagna, 2013, 439 ss.; COMAN-KUND F., European Union Agencies as Global Actors, Routledge, London, 2018; COMBA M.E., Appalti pubblici per l’innovazione, in Dir. econ., n. 1/2020, 179 ss.; COMBA M.E. (cur.), Le Anchor Institutions nella società liquida: strumenti giuridici per una sperimentazione in Italia, in federalismi.it, n. 4/2019; C OMBA M.E., La domanda pubblica come leva per l’innovazione: le potenzialità degli appalti innovativi per le Anchor Institution , in C OMBA M.E. (cur.), Le Anchor Institutions nella società liquida: strumenti giuridici per una sperimentazione in Italia , in federalismi.it , n. 4/2019, 46 ss.; COMBA M.E., Aggregazioni di committenza e centrali di committenza: la disciplina europea e il modello italiano, in Urb. App., 2016, 1053 ss.; COMMISSIONE EUROPEA, Indice di digitalizzazione dell’economia e della società (DESI) 2022. Italia, 2023;
240
BIBLIOGRAFIA
COMMISSIONE EUROPEA, COSINEX, Final report. Revision of CPV “Consultancy Services for Common Procurement Vocabulary expert group”, 13 novembre 2017; COMMISSIONE EUROPEA, DG CRESCITA, Studio sull’utilizzo strategico degli appalti pubblici, 2016; C OMPORTI G., Il coraggio di amministrare , in AA.VV., Scritti per Franco Gaetano Scoca , Vol. II, Editoriale Scientifica, Napoli, 2020, 1101 ss.; COMPUTER HISTORY MUSEUM, An Evening with Legendary Venture Capitalist Arthur Rock, in Conversation with John Markoff, 2007; CONTALDO A., La contrattazione telematica e la P.A., in Riv. amm. Rep. Ita., n. 3-4/2022, 137 ss.; CONTALDO A., MULA D. (cur.), Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, Pacini, Pisa, 2020; CONTALDO A., SALANDRI L., La disciplina della cybersecurity nell’Unione europea, in CONTALDO A., MULA D. (cur.), Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, Pacini, Pisa, 2020, 1 ss.; CONTALDO A., La disciplina della sicurezza del perimetro cibernetico nazionale anche alla luce dello standard 5G, in CONTALDO A., MULA D., (cur.), Cybersecurity Law, Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, Pacini, Pisa, 2020, 212 ss.; COOTER R.D., MATTEI U., MONATERI P.G., PARDOLESI R., ULEN R., Il mercato delle regole. Analisi economica del diritto civile, Il Mulino, Bologna, 2006; CORNISH P., The Oxford Handbook of Cyber Security, Oxford University Press, Oxford, 2021; CORSI C., Agenzia e agenzie: una nuova categoria amministrativa?, Giappichelli, Torino, 2005; CORSO G., La rappresentanza politica nell’era digitale, in Nuove Autonomie, n. 2/2018, 193 ss.; CORSO G., La Costituzione economica, in Benvenuti, Clarich M. (cur.), Il diritto amministrativo alle soglie del nuovo secolo. L’opera scientifica di Fabio Merusi, ETS, Pisa, 2010, 61 ss.;
BIBLIOGRAFIA
241
CORSO G., Potere politico e segreto, in Merloni F. (cur.), La trasparenza amministrativa, Giuffrè, Milano, 2008, 267 ss.; CORSO G., Amministrazione di risultati, in Annuario AIPDA, Giuffrè, Milano, 2002, 127 ss.; CORSO G., L’ordine pubblico, Il Mulino, Bologna, 1979; COSTANTINO F., Lampi. Nuove frontiere delle decisioni amministrative tra open e big data, in Dir. amm., n. 4/2017, 799 ss.; COSTANTINO F., voce Open government, in Dig. Disc. Pubbl., Agg., UTET, Torino, 2015, 289 ss.; COSTANTINO F., Autonomia dell’amministrazione e innovazione digitale, Jovene, Napoli, 2012; COSTANZI C., The legal implications of building information modelling (BIM) in public procurement law, in ambientediritto.it, n. 3/2020, 72 ss.; COSTANZO P., voce Internet (Diritto Pubblico), in Dig. Disc. Pubbl., Agg.*, UTET, Torino, 2000, 347 ss.; COWEN T. (Ed.), The Theory of Market Failure. A Critical Examination, George Mason University Press, Fairfax, 1988; D’ANCONA S., Trattamento e scambio di dati e documenti tra pubbliche amministrazioni, utilizzo delle nuove tecnologie e tutela della riservatezza tra diritto nazionale e diritto europeo, in Riv. it. dir. pubbl. comunit., n. 3/2018, 587 ss.; D’ORLANDO E., Profili costituzionali dell’amministrazione digitale, in Dir. inf., 2/2011, 213 ss.; D’ORSOGNA M., voce Pianificazione e programmazione, in CASSESE S. (dir.), Dizionario di diritto pubblico, Giuffrè, Milano, 2006, 4300 ss.; D’ORSOGNA M., Programmazione strategica e attività decisionale della Pubblica Amministrazione, Giappichelli, Torino, 2001; DAL CHECCO P., La protezione dal malware, in ZICCARDI G., PERRI P. (cur.), Tecnologia e diritto, Vol. III, Informatica giuridica avanzata, Giuffrè, Milano, 2019, 225 ss.; DE GIORGI CEZZI G., D’AGOSTINO F., Pratiche di cittadinanza attiva e tutela del territorio. Partecipazione ed emersione degli interessi delle comunità locali e dei territori, in GIANI L., D’ORSOGNA M., POLICE A. (cur.), Dal diritto dell’emergenza al diritto del rischio, Editoriale Scientifica, Napoli, 2018, 171 ss.;
242
BIBLIOGRAFIA
DE GIOVANNI E., Gli interventi legislativi in materia di digitalizzazione della PA connessi all’attuazione del PNRR, in LALLI A. (cur.), L’amministrazione pubblica nell’era digitale, Giappichelli, Torino, 2022, 103 ss.; DE GREGORIO G., Digital Constitutionalism in Europe. Reframing Rights and Powers in the Algorithmic Society, Cambridge University Press, Cambridge, 2022; DE GREGORIO G., The rise of digital constitutionalism in the European Union, in International Journal of Constitutional Law, n. 1/2021, 41 ss.; DE LEONARDIS F., Soggettività privata e azione amministrativa, CEDAM, Padova, 2000; DE MINICO G., Internet. Regola e anarchia, Jovene, Napoli, 2012; DE MINICO G., Diritti, regole, internet, in Costituzionalismo.it, 2011; DE NITTO S., Il “golden power” nei settori rilevanti della difesa e della sicurezza nazionale: alla ricerca di un delicato equilibrio, in Dir. amm., n. 2/2022, 553 ss.; DE PIETRO L., SANNA ARTIZZU M.A., Il percorso dell’Agenda Digitale Italiana, FORMEZ PA, dicembre 2017; DE PRETIS D., Valutazione amministrativa e discrezionalità tecnica, CEDAM, Padova, 1995; DE VERGOTTINI G., Una rilettura del concetto di sicurezza nell’era digitale e della emergenza normalizzata, in Rivista AIC, n. 4, 2019, 65 ss.; DEL GATTO S., I sistemi proprietari, l’open source e la pubblica amministrazione, in Giorn. dir. amm., n. 5/2021, 571 ss.; DEL PRETE D., Gli appalti pubblici al servizio delle nuove esigenze. Il partenariato per l’innovazione, in federalismi.it, n. 18/2021, 24 ss.; DELL’ARIA D., ROSSI M., Direttive NIS 2 e CER: così l’Europa metterà in sicurezza le infrastrutture critiche, in cybersecurity360.it, gennaio 2023; DELLA CANANEA G., FIORENTINO L. (cur.), I “poteri speciali” del Governo nei settori strategici, Editoriale Scientifica, Napoli, 2020, 39 ss.; DELLE CAVE G., Innovazione e sviluppo nelle Pubbliche Amministrazioni: gli appalti innovativi e i c.d. “pre-commerciali”, in l’Amministrativista, 2019;
BIBLIOGRAFIA
243
DELSIGNORE M., RAMAJOLI M., Gli appalti pubblici precommerciali, in FIORENTINO L., LA CHIMIA A. (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, Il Mulino, Bologna, 2021, 347 ss.; DEMSETZ H., Information and Efficiency. Another Viewpoint, in Journal of Law and Econ., n. 12/1969; DEVOTO G., Dizionario etimologico, Le Monnier, Firenze, 1968; DI CAGNO A., Il criterio dell’offerta economicamente più vantaggiosa e la formula matematica per la valutazione degli elementi quantitativi, in Urb. app., n. 2/2019, 264 ss.; DI GASPARE G., Diritto dell’economia e dinamiche istituzionali, Wolters-Kluwer-CEDAM, Milano, 2017; DI GIUDA G.M., RACCA G.M., From Works Contracts to Collaborative Contracts: The Challenges of Legal BIM, in RACCA G.M., YUKINS C.R. (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, Bruylant, Bruxelles, 2019, 223 ss.; DIPACE R., Partenariato pubblico privato e contratti atipici, Giuffrè, Milano, 2006; DOLZA L., Storia della tecnologia, Il Mulino, Bologna, 2008; DONATO L. (cur.), La riforma delle stazioni appaltanti. Ricerca della qualità e disciplina europea, in Quaderni di Ricerca Giuridica della Consulenza Legale della Banca d’Italia, n. 80, febbraio 2016; DRAGOS D., CARANTA R. (Eds.) Outside the EU Procurement Directives. Inside the Treaty?, DJØF, Copenaghen, 2012; DUNI G., Principi fondamentali del diritto amministrativo e codice dell’amministrazione digitale, in Dir. e proces. amm., 2012, 393 ss.; DURANTE M., PAGALLO U. (cur.), Manuale di informatica giuridica e diritto delle nuove tecnologie, UTET, Torino, 2012; DURANTE M., Il futuro del Web: etica, diritto, decentramento. Dalla sussidiarietà digitale all’economia dell’informazione in rete, Giappichelli, Torino, 2007; ECO U., Come si fa una tesi di laurea. Le materie umanistiche, La nave di Teseo, Milano, 2017; EDQUIST C., VONORTAS N.S., ZABALA-ITURRIAGAGOITIA J.M., EDLER J. (Eds.), Public Procurement for Innovation, Elgar, Cheltenham, 2015; EINAUDI L., Lezioni di politica sociale, Einaudi, Torino, 1949;
244
BIBLIOGRAFIA
EISENBERG T., RAMELLO G.B. (Eds.), Comparative law and economics, Elgar, Cheltenham, 2016; ESPOSITO R., Le procedure di scelta del contraente nei settori ordinari, in CORRADINO M., STICCHI DAMIANI S. (cur.), I nuovi appalti pubblici, Giuffrè, Milano, 2017, 269 ss.; EUROPEAN AGENCY FOR THE MANAGEMENT OF OPERATIONAL COOPERATION AT THE EXTERNAL BORDERS, Frontex. Libertas, securitas, justitia, Publications Office of the European Union, Luxembourg, 2009; EUROPEAN COMMISSION, BBG, SKI, Feasibility study concerning the actual implementation of a joint cross-border procurement procedure by public buyers from different Member States, 2017, 33 ss.; EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY (ENISA), Cyber Europe 2022: Testing the Resilience of the European Healthcare Sector, Press Release, 9 giugno 2022; EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY (ENISA), Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity, 2018; EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY (ENISA), Definition of Cybersecurity. Gaps and overlaps in standardisation, December 2015; FAINI F., PIETROPAOLI S., Scienza giuridica e tecnologie informatiche. Temi e problemi, Giappichelli, Torino, 2021; FALCONE M., Big data e pubbliche amministrazioni: nuove prospettive per la funzione conoscitiva pubblica, in Riv. trim. dir. pubbl., n. 3/2017, 601 ss.; FANTINI S., Il partenariato per l’innovazione, in Urb. app., n. 89/2016, 955 ss.; FEDERAZIONE DELLE ASSOCIAZIONI REGIONALI DEGLI ECONOMI E PROVVEDITORI DELLA SANITÀ, Soggetti Aggregatori: arriva il nuovo elenco, 23 ottobre 2021; FERRARA R., Introduzione al diritto amministrativo, Laterza, Roma-Bari, 2002; FERRARA R., Procedimento amministrativo, semplificazione e realizzazione del risultato: dalla “libertà dall’amministrazione” alla “libertà dell’amministrazione”, in Dir. soc., 2000, 101 ss.; FERRARESE M.R., Poteri nuovi, Il Mulino, Bologna, 2022;
BIBLIOGRAFIA
245
FERRARI G.F. (cur.), Diritto pubblico dell'economia, Egea, Milano, 2019; FERRARI G.F., MORBIDELLI G. (cur.), Il Codice dei contratti pubblici: D.lvo 18 aprile 2016, n. 50 commentato articolo per articolo, La Tribuna, Piacenza, 2017; FIDONE G., Il partenariato pubblico-privato, in CAFAGNO M., MANGANARO (cur.), L’intervento pubblico nell’economia, in FERRARA L., SORACE D. (cur.), A 150 anni dall’unificazione amministrativa italiana. Studi, Vol. V, Firenze, 2016, 393 ss.; FIDONE G., MATALUNI F., L’aggregazione dei soggetti aggiudicatori di contratti pubblici fra ragioni di integrità, specializzazione e riduzione della spesa, in Foro Amm., n. 11/2014, 2995 ss.; FINOCCHIARO G., DELFINI F. (cur.), Diritto dell’informatica, UTET, Torino, 2014; FIORENTINO L., LA CHIMIA A. (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, Il Mulino, Bologna, 2021; FIORENTINO L., Verso un sistema integrato di sicurezza: dai poteri speciali al perimetro cibernetico, in DELLA CANANEA G., FIORENTINO L. (cur.), I “poteri speciali” del Governo nei settori strategici, Editoriale Scientifica, Napoli, 2020, 39 ss.; FIORENTINO L., I criteri di aggiudicazione, in Giorn. dir. amm., n. 6/2019, 741 ss.; FIORITTO A., Nuove forme e nuove discipline del partenariato pubblico privato, Giappichelli, Torino, 2017; F IORITTO A., La funzione di certezza pubblica , CEDAM, Padova, 2003; FLORIDI L., The European Legislation on AI: A Brief Analysis of Its Philosophical Approach, in MÖKANDER J., ZIOSI M. (Eds.), The 2021 Yearbook of the Digital Ethics Lab, Springer, Cham., 2022, 1 ss.; FORADORI P., La politica europea di sicurezza e difesa. L’Unione Europea nel nuovo rodine globale, Carocci, Roma, 2010; FORGIONE I., Il ruolo strategico dell’Agenzia Nazionale per la Cybersecurity nel contesto del sistema di sicurezza nazionale: organizzazione e funzione, fra regolazione europea e interna, in Dir. amm., n. 4/2022, 113 ss.; FORTE F., Analisi economica del diritto, Voll. I-II, Iiriti, Reggio Calabria, 2005;
246
BIBLIOGRAFIA
FORTI U., Il diritto dello Stato sul territorio, in Arch. Dir. pubbl., Vol. I, fasc. II, Editrice Associazione per lo Studio del Diritto Pubblico Italiano, Roma, 1902; FRACCHIA F., OCCHIENA M., Le norme interne: potere, organizzazione e ordinamenti. Spunti per definire un modello teoricoconcettuale generale applicabile anche alle reti, ai social e all’intelligenza artificiale, Editoriale Scientifica, Napoli, 2020; FRACCHIA F., PANTALONE P., La fatica di semplificare: procedimenti a geometria variabile, amministrazione difensiva, contratti pubblici ed esigenze di collaborazione del privato “responsabilizzato”, in federalismi.it, n. 36/2020, 33 ss.; FRANCHINA L., LUCARIELLO A., RESSA F., Operativo il Centro di Valutazione e Certificazione Nazionale (CVCN): un traguardo per la cyber nazionale, in www.cybersecurity360.it, 1° luglio 2022; FRANCHINA L., Strategia nazionale di cyber security: perché la formazione deve venire prima di tutto, in Agenda Digitale, 20 aprile 2022; FRANCHINI C., La disciplina pubblica dell’economia tra diritto nazionale, diritto europeo e diritto globale, Editoriale Scientifica, Napoli, 2020; FRANCHINI C., La pubblica amministrazione e il diritto amministrativo tra diritto europeo e diritto globale, in AA.VV., Scritti in onore di Eugenio Picozza, Vol. I, Editoriale Scientifica, Napoli, 2019, 751 ss.; FRANCHINI C., L’organizzazione, in CASSESE S. (cur.), Trattato di diritto amministrativo, Vol. I, Giuffrè, Milano, 2003, 297 ss.; FRIEDRICH C.J., Trends of Federalism in Theory and Practice, Praeger, New York, 1968; FROSINI T.E., Il diritto costituzionale di accesso a Internet, in Rivista AIC, n. 1/2011, 1 ss.; FROSINI V., L’organizzazione informatica dello Stato e la libertà del cittadino, in Dir. inf., 1993, 599 ss.; FROSINI V., Cibernetica, diritto e società, Edizioni di Comunità, Milano, 1968; FRUMENTO E., Ripensare la cybersecurity mettendo le persone al centro: come farlo bene, in Agenda Digitale, 14 febbraio 2023; GALETTA D.U., Transizione digitale e diritto ad una buona amministrazione: fra prospettive aperte per le Pubbliche
BIBLIOGRAFIA
247
Amministrazioni dal Piano Nazionale di Ripresa e Resilienza e problemi ancora da affrontare, in federalismi.it, n. 7/2022, 103 ss.; GALETTA D.U., Coamministrazione, reti di amministrazioni, Verwaltungsverbund: modelli organizzativi nuovi o alternative semantiche alla nozione di “cooperazione amministrativa” dell’art. 10 TCE, per definire il fenomeno dell’amministrazione intrecciata?, in CONTIERI A., FRANCARIO F., IMMORDINO M., ZITO A. (cur.), L’interesse pubblico tra politica e amministrazione, Editoriale Scientifica, Napoli, 2010, 191 ss.; GALLO C.E. (cur.), Autorità e consenso nei contratti pubblici. Dalle direttive 2014 al codice 2016, Giappichelli, Torino, 2017; GALLO N., GIUPPONI T.F. (cur.), L’ordinamento della sicurezza. Soggetti e funzioni, Franco Angeli, Milano, 2014; GALLO P., Contratto e buona fede. Buona fede in senso oggettivo e trasformazioni del contratto, UTET, Torino, 2012; GALLO P., Introduzione al diritto comparato, Vol. III, Analisi economica del diritto, Giappichelli, Torino, 1998; GAROFOLI R., SANDULLI M.A. (cur.), Il nuovo diritto degli appalti pubblici. Nella direttiva 2004/18/CE e nella Legge comunitaria n. 62/2005, Giuffrè, Milano, 2005; GASPARI F., L’agenda digitale europea e il riutilizzo dell’informazione del settore pubblico, Giappichelli, Torino, 2016; GAZZELLA S., Sensibilizzare alla cyber security: l’approccio richiesto dal GDPR, in cybersecurity360, 7 ottobre 2021; GEERS K. (ed.), Cyber War in Perspective: Russian Aggression against Ukraine, NATO Cooperative Cyber Defence Centre of Excellence Publications (NATO CCD COE), 2015; GEHLEN A., Die Seele im Technischen Zeitalter. Sozialpsychologische Probleme in der industriellen Gesellschaft, Rowohlts, Hamburg, 1957 (trad. ita. L’uomo nell’era della tecnica, Armando Editore, Roma, 2003); GEHLEN A., Der Mensch. Seine Natur und seine Stellung in der Welt, Junker und Dünnhaupt, Berlin, 1940 (trad. ita. L’uomo. La sua natura e il suo posto nel mondo, Feltrinelli, Milano, 1983); GIACOMA L., KOLB S. (cur.), Dizionario Tedesco-Italiano e Italiano-Tedesco, Zanichelli, Bologna, 2001-2008, 1187;
248
BIBLIOGRAFIA
GIANI L., Attività amministrativa e regolazione di sistema, Giappichelli, Torino, 2002; GIANI L., Il modello regolativo nel quadro dell’evoluzione dei rapporti tra diritto ed economia. Funzione amministrativa di regolazione e modello corporativo, in CASETTA E., ROMANO A., SCOCA F.G. (cur.), Scritti in onore di Leopoldo Mazzarolli, vol. III, CEDAM, Padova, 2007; GIANI L., Destinazione e fruibilità dei beni (di interesse pubblico). Spunti per una rivisitazione della dinamica regolativa, in Nuove Autonomie, n. 2/2016, 163 ss.; GIANI L., Spunti per la costruzione di una “cultura dell’innovazione” negli appalti in sanità, in Nuove Autonomie, n. 2/2018, 205 ss.; GIANI L., D’ORSOGNA M., POLICE A. (cur.), Dal diritto dell’emergenza al diritto del rischio, Editoriale Scientifica, Napoli, 2018; GIANNELLI A., Il PNRR come opportunità, mancata, per rileggere in chiave critica il progressivo (ma non inesorabile) accentramento delle funzioni di acquisto, in Dir. amm., n. 3/2022, 741 ss.; GIANNINI M.S., Il pubblico potere. Stati e amministrazioni pubbliche, Il Mulino, Bologna, 1986; G IANNINI M.S., voce Pianificazione, in Enc. Dir., XXXIII, 1983, 629 ss.; G IANNINI M.S., Diritto pubblico dell’economia, Il Mulino, Bologna, 1977; G IANNINI M.S., Le basi costituzionali della proprietà privata, in Pol. dir., 1971, 487 ss.; GIANNINI M.S., Certezza pubblica, in Enc. dir., VI, 1960, 769 ss.; GIANNINI M.S., Il potere discrezionale della pubblica amministrazione. Concetto e problemi, Giuffrè, Milano, 1939; GIBSON W., Neuromancer, Ace Books, New York, 1984; GIDDENS A., (Ed.), The Global Third Way Debate, Polity, Cambridge, 2001; GILI L., Discrezionalità amministrativa e nuova offerta economicamente più vantaggiosa alla luce del d.lg. 50/2016, in Riv. trim. app., n. 1/2017, 229 ss.; GITTI G., Contratti regolamentari e normativi, CEDAM, Padova, 1994, 5 ss.;
BIBLIOGRAFIA
249
GIUPPONI T.F., I rapporti tra sicurezza e difesa. Differenze e profili di convergenza, in Dir. Cost., n. 1/2022, 21 ss. GIUPPONI T.F., Le dimensioni costituzionali della sicurezza, Il Mulino, Bologna, 2010; GIUPPONI T.F., Servizi di informazione e segreto di Stato nella legge n. 124/2007, in AA.VV., Studi in onore di Luigi Arcidiacono, IV, Giappichelli, Torino, 2010, 1677 ss.; GRIMVALL G., Un mare di dati. Come interpretare numeri e grafici nel modo giusto, Edizioni Dedalo, Bari, 2022; GUARDA A., Alla ricerca della sicurezza: società, regole e tecnologie digitali, in CASO R., Sicurezza informatica: regole e prassi, Atti del Convegno tenuto presso la Facoltà di Giurisprudenza di Trento il 6 maggio 2005, Università degli Studi di Trento, 2006; GUPTA U., Done Deals. Venture Capitalists Tell Their Story, Harvard Business School Press, Harvard, 2000; HAYEK F.A., Law, Legislation and Liberty, Vol. I, Rules and Order, Routledge, London, 1973; HAYEK F.A., Law, Legislation and Liberty, Vol. II, The Mirage of Social Justice, Routledge, London, 1976; HOBBS C. (ed.), Europe’s Digital Sovereignty: from Rulemaker to Superpower in the Age of US-China Rivalry, in Essay Collection, European Council on Foreign Relations, 2020; HOLMSTRÖM B.R., MILGROM P., Multitask Principal-Agent Analyses. Incentive Contracts, Asset Ownership, and Job Design, in Journal of Law, Economics, and Organization, n. 7/1991, 24 ss.; HOLMSTRÖM B.R., Moral Hazard and Observability, in Bell Journal of Economics, n. 10/1979, 74 ss.; HUFF H.R. (Ed.), Into The Nano Era. Moore’s Law Beyond Planar Silicon CMOS, Springer, New York, 2009;
HUTCHESON G. D., The Economic Implications of Moore’s Law, in HUFF H.R. (Ed.), Into The Nano Era. Moore’s Law Beyond Planar Silicon CMOS, Springer, New York, 2009, 11 ss.; IANNOTTA L., Principio di legalità e amministrazione di risultato, in PINELLI C. (cur.), Amministrazione e legalità. Fonti normative e ordinamenti (Atti del Convegno, Macerata, 21-22 maggio 1999), Giuffrè, Milano, 2000;
250
BIBLIOGRAFIA
IANNOTTA L., Previsione e realizzazione del risultato nella pubblica amministrazione: dagli interessi ai beni, in Dir. amm. n. 1/1999, 57 ss.; IMMORDINO M., I contratti della pubblica amministrazione, in F.G. Scoca (cur.), Diritto amministrativo, Giappichelli, Torino, 2021; IMMORDINO M., ZITO A., Aggregazione e centralizzazione della domanda pubblica di beni: stato dell’arte e proposte di migliorie al sistema vigente, in Nuove autonomie, n. 2/2018, 223 ss.; IMMORDINO M., Police A. (cur.), Principio di legalità e amministrazione di risultati (Atti del Convegno di Palermo, 27-28 febbraio 2003), Giappichelli, Torino, 2004, 1 ss.; IMMORDINO M., La certezza del diritto nei rapporti tra amministrazione e cittadini, Giappichelli, Torino 2003; IOSSA E., BIAGI F., VALBONESI P., Pre-commercial procurement, procurement of innovative solutions and innovation partnerships in the EU: rationale and strategy, in Economics of innovation and New Technology, 2018, 730 ss.; IRTI N., L’ordine giuridico del mercato, Laterza, Roma-Bari, 2004; IRTI N., Norma e luoghi. Problemi di geo-diritto, Laterza, RomaBari, 2001; KAHLENBORN W., FRIJDAL J., MOSER C., ESSIG M., Strategic use of public procurement in Europe. Final report to the European Commission, Berlin, 2011; KARO E., DRECHSLER W., KATTEL R., STILLINGS C., Introduction to the Special Issue: Public Administration, Technology and Innovation, in Halduskultuur – Administrative Culture, 13, 1/2012 4 ss.; KATTEL R., DRECHSLER W., KARO E., How to Make an Entrepreneurial State, Yale University Press, New Haven, 2022; KETTEMANN M., KUNZ R., GOLIA A. JR (Eds.), International Law and the Internet, Nomos, Baden-Baden, 2022;
KOHLER C., The EU Cybersecurity Act and European Standard: An Introduction to the Role of European Standardization, in International Cybersecurity Law Review, n. 1/2020, 7 ss.; KRÖNKE C., Innovation Partnership: Purpose, Scope of Application and Key Elements of a New Instrument of Strategic Procurement, in RACCA G.M., YUKINS C.R. (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, Bruylant, Bruxelles, 2019, 337 ss.;
BIBLIOGRAFIA
251
LA SPINA A., MAJONE G., Lo Stato regolatore, Il Mulino, Bologna, 2000; LAFARGE F., Administrative Cooperation between Member States and Implementation of EU Law, in Eur. Publ. Law, 2010, 600 ss.; LALLI A. (cur.), L’amministrazione pubblica nell’era digitale, Giappichelli, Torino, 2022; LATHROP D., RUMA L., Open Government: Collaboration, Transparency, and Participation in Practice, O’Reilly, Sebastopol, 2010; LAURO A., Sicurezza cibernetica e organizzazione dei poteri: spunti di comparazione, in Rivista del gruppo di Pisa, n. 3/2021; LAZZARA P., La regolazione amministrativa: contenuto e regime, in Dir. amm., n. 2/2018, 337 ss.; LEDDA F., Dal principio di legalità al principio di infallibilità dell’amministrazione, in Foro amm., 1997, 3303 ss.; LEMBER V., KATTEL R., KALVET T. (Eds.), Public Procurement, Innovation and Policy, Springer, Berlin Heidelberg, 2014; LEON P., Historie économique et sociale du monde, Voll. I-VI, Librairie Armand Colin, Paris, 1977; LEONE G., L’offerta economicamente più vantaggiosa…non è sempre la migliore offerta, in Dir. e proc. amm., n. 3/2018, 837 ss.; LEVI F., L’attività conoscitiva della pubblica amministrazione, Giappichelli, Torino, 1967; LICASTRO A., La riscoperta dell’abuso di dipendenza economica nell’era dei mercati digitali, in federalismi.it, n. 13/2022, 118 ss.; LICATA P., Infrastrutture critiche più sicure, in vigore le direttive Nis2 e Cer, in corrierecomunicazioni.it, gennaio 2023; LICHÈRE F., CARANTA R., TREUMER S. (Eds.), Modernising Public Procurement The New Directive, Djøf, Copenhagen, 2014; LINDERT P.H., Spesa sociale e crescita, Università Bocconi, Milano, 2007; LOCATELLI I., Process Innovation Under the New Public Procurement Directives, in RACCA G.M., YUKINS C.R. (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, Bruylant, Bruxelles, 2019, 31 ss.; LOMBARDI R., I miei incontri letterari con Umberto Eco. Ovvero: riflessioni a margine sulla ricerca scientifica e il metodo, in Nuove autonomie, n. 2/2020, 295 ss.;
252
BIBLIOGRAFIA
LOMBARDI R., La tutela delle posizioni giuridiche meta-individuali nel processo amministrativo, Giappichelli, Torino, 2008; LOSANO M.G., Giuscibernetica. Macchine e modelli cibernetici nel diritto, Einaudi, Torino, 1969; LOTTINI M., From “Administrative Cooperation” in the Application of European Union Law to “Administrative Cooperation” in the Protection of European Rights and Liberties, in Eur. Rev. Publ. Law, 2012, 131 ss.; LUCIANI M., La riforma della Presidenza del Consiglio (e dei Ministeri), in Dir. amm., n. 3/2016, 253 ss.; LUHMANN N., Soziale Systeme. Grundriß einer allgemeinen Theorie, Suhrkamp, Frankfurt, 1984; LXVII GOVERNO ITALIANO, Piano Nazionale di Ripresa e Resilienza, Roma, 2021; MANGIAMELI S., La proprietà privata nella Costituzione, Giuffrè, Milano, 1986; MANN M., The Rise and Decline of the Nation State, Blackwell, Oxford, 1990; MANTELERO A., Responsabilità e rischio nel Reg. Ue 2016/679, in Nuove Leggi Civ. Comm., 1/2017, 144 ss.; MANZELLA A., La Presidenza del Consiglio dei Ministri e l’art. 95 della Costituzione, in Osservatorio costituzionale, n. 1/2018, 8 ss.; MAOGOTO J., Technology and the Law on the Use of Force: New Security Challenges in the Twenty-First Century, Routledge, Londra, 2014; MARABINI F., La tutela giuridica del “software” e l’“open source”, in Cib. dir., 2/2017, 405 ss.; MARCHIONATTI R., MORNATI F., Principi di economia politica, Giappichelli, Torino, 2010;
MARIANI P., Le relazioni internazionali dell’Unione europea. Aspetti giuridici della politica estera, di sicurezza e difesa comune, Giuffrè, Milano, 2005; MARTINES F., La digitalizzazione della pubblica amministrazione, in Riv. dir. media, n. 2/2018, 1 ss.; MARTINI F., Open source, pubblica amministrazione e libero mercato concorrenziale, in Dir. econ., 3-4/2009, 677 ss.;
BIBLIOGRAFIA
253
MARTINO L., La quinta dimensione della conflittualità. L’ascesa del cyberspazio e i suoi effetti sulla politica internazionale, in Pol. e soc., n. 1/2018, 65 ss.; MARX K., Il capitale. Critica dell’economia politica, Libro I, Tomo II, Edizioni Rinascita, Roma, 1952; MAS-COLELL A., WHINSTON M.D., GREEN J.R., Microeconomic Theory, Oxford University Press, Oxford, 1995; MASCOLO A., Il “cloud de confiance”: un’occasione mancata per il cloud computing europeo?, in Osservatorio sullo Stato Digitale IRPA, 24 marzo 2022; MASSERA A., SIMONCINI M., La tutela amministrativa del segreto di Stato e delle informazioni classificate, in Giorn. dir. amm., n. 4/2012, 362 ss.; MASTRAGOSTINO F. (cur.), Diritto dei contratti pubblici. Assetto e dinamiche evolutive alla luce del codice, degli atti attuativi e dei decreti semplificazione 2020-2021, Giappichelli, Torino, 2021; MASUCCI A., Digitalizzazione dell’amministrazione e servizi pubblici “on line”. Lineamenti del disegno normative, in Dir. pubbl., n. 1/2019, 117 ss.; MATTALIA M., L’offerta economicamente più vantaggiosa e l’applicazione della formula matematica prevista dal disciplinare di gara, in Foro amm. – CdS, n. 11/2010, 2400 ss.; MATTARELLA B.G., La centralizzazione delle committenze, in Giorn. dir. amm., 2016, 613 ss.; MATTARELLA B.G., voce Discrezionalità amministrativa, in CASSESE S. (cur.), Dizionario di diritto pubblico, Giuffrè, Milano, 2006, 1993 ss.; MATTEI U., The Rise and Fall of Law and Economics. An Essay for Judge Guido Calabresi, in Maryland Law Review, n. 64/2005, 220 ss.; MAURIZIO C., Contenuti social a pagamento: le nuove strategie di Instagram e TikTok, in Agenda Digitale, 8 marzo 2022; MAZZANTINI G., Analisi economica della spesa pubblica italiana, in FIORENTINO L., LA CHIMIA A. (cur.), Il procurement delle pubbliche amministrazioni. Tra innovazione e sostenibilità, il Mulino, Bologna, 2021, 41 ss.; MAZZARELLI V., Passato e presente delle pianificazioni, in Dir. amm., 2007, 669 ss.;
254
BIBLIOGRAFIA
MAZZUCATO M., Mission Economy. A Moonshot Guide to Changing Capitalism, Allen Lane-Penguin, London, 2021 (trad. ita. Missione economia. Una guida per cambiare il capitalismo, Laterza, Bari-Roma, 2021); MAZZUCATO M., The Value of Everything. Makers and Takers in the Global Economy, Allen Lane-Penguin, London, 2018 (trad. ita. Il valore di tutto. Chi lo produce e chi lo sottrae nell’economia globale, Laterza, Bari-Roma, 2018); MAZZUCATO M., The Entrepreneurial State: Debunking Public vs. Private Sector Myths, Anthem Press, London, 2013 (trad. Ita. Lo Stato innovatore. Sfatare il mito del pubblico contro il privato, Laterza, Roma-Bari, 2014); MCCLOSKEY D.N., MINGARDI A., The Myth of the Entrepreneurial State, AIER, Great Barrington, Mass., 2020; MELE S., BAVETTA F., Regolamento DORA: analisi dei principali adempimenti, in dirittobancario.it, gennaio 2023; MELE S., Il Perimetro di sicurezza nazionale cibernetica e il nuovo “golden power”, in CASSANO G., PREVITI S. (cur.), Il diritto di internet nell’era digitale Giuffrè, Milano, 2020, 186 ss.; MELE S., Gli scenari attuali della guerra all’informazione, in ZICCARDI G., PERRI P. (cur.), Tecnologia e diritto, Voll. III, Giuffrè, Milano, 2019, 271 ss.; MELE S., NERI C., Ecco la prima cyber-security strategy dell’Unione Europea, in formiche.net, 12 febbraio 2013; MENOTTI R., BRANDIMARTE P., Il difficile cammino della PESD: sviluppi in corso e prospettive, in VACCA G. (cur.), Il dilemma euroatlantico. Rapporto 2004 della Fondazione Istituto Gramsci sull'integrazione europea, Dedalo, Bari, 2004, 277 ss.; MERLONI F., Le agenzie a cinque anni dal d.lgs. n. 300: l’abbandono del modello generale?, in VESPERINI G. (cur.), La riforma dell’organizzazione centrale, Giuffrè, Milano, 2005, 21 ss.; MERLONI F., Le agenzie nel sistema amministrativo italiano, in Dir. pubbl., n. 3/1999; MERUSI F., Analisi economica del diritto e diritto amministrativo, in Dir. amm., 2007, 427 ss.; MESSINEO F., voce Contratto normativo, in Enc. dir., X, 1962, 121 ss.;
BIBLIOGRAFIA
255
MINISTERO PER LA PUBBLICA AMMINISTRAZIONE, Pa, necessarie più di 700.000 assunzioni entro il 2025, 2021; MINNITI E., Cyber-spazio ed intelligence: le nuove frontiere della sovranità nazionale, in Forum di Quaderni Costituzionali, n. 6/2016; MITRAKAS A., The emerging EU framework on cybersecurity certification, in Datenschutz und Datensicherheit, n. 7/2018, 411 ss.; MOLITERNI A., Le prospettive del partenariato pubblico-privato nella stagione del PNRR, in Dir. amm., n. 2/2022, 441 ss.; MONETTI T., commento sub art. 68, in BOCCIA C., CONTESSA C., DE GIOVANNI E. (cur.), Codice dell’amministrazione digitale (D.lgs. 7 marzo 2005, n. 82 commentato e annotato per articolo. Aggiornato al D.lgs. 13 dicembre 2017, n. 217), La Tribuna, Piacenza, 2018, 290 ss.; MONETTI T., commento sub art. 69, in BOCCIA C., CONTESSA C., DE GIOVANNI E. (cur.), Codice dell’amministrazione digitale (D.lgs. 7 marzo 2005, n. 82 commentato e annotato per articolo. Aggiornato al D.lgs. 13 dicembre 2017, n. 217), La Tribuna, Piacenza, 2018, 293 ss.; MONTEROSSO P.L., Cybersecurity: conoscenza e consapevolezza come prerequisiti per l’amministrazione digitale, in Ist. fed., n. 3/2019, 783 ss.; MOORE G.E., Progress In Digital Integrated Electronics, in Technical Digest 1975. International Electron Devices Meeting, IEEE, 1975, 11 ss.; MOORE G.E., Cramming more components onto integrated circuits, in Electronics, Vol. 38, n. 8/1965, 114 ss.; MORBIDELLI G., Scritti di diritto pubblico dell’economia, Giappichelli, Torino, 2001; MORETTI G., Il lungo viaggio delle parole, in Prometeo. Rivista trimestrale di scienze e storia, anno 40, num. 158, giugno 2022, 59 ss.; MORLINO E., Centralizzazione degli acquisti pubblici ed enti locali: la prospettiva europea nel caso Asmel, in Riv. it. dir. pubbl. comunit., n. 2/2021, 315 ss.; MORO P., FIORAVANZI B., Verità digitale Dalle fake news all’alfabetismo informativo, in Calumet, vol 15, n. 2/2022, 56 ss.; MORTATI C., voce Discrezionalità, in Noviss. dig. it., V, Torino, 1959, 1098 ss.; MORTATI C., voce Potere discrezionale, in Nuovo Dig. it., 1939, 79 ss.;
256
BIBLIOGRAFIA
MOSCA C., GAMBACURTA S., SCANDONE G., VALENTINI M., I servizi di informazione e il segreto di Stato, Giuffrè, Milano, 2008; MOSTACCI E., Critica della ragione algoritmica: Internet, partecipazione politica e diritti fondamentali, in Costituzionalismo.it, n. 2/2019, 57 ss.; MULLER É. (dir.), La commande publique: un levier pour l’action publique?, Dalloz, Parigi, 2018; NAPOLITANO G., ABRESCIA M., Analisi economica del diritto pubblico. Teorie, applicazioni e limiti, Il Mulino, Bologna, 2009; N APOLITANO G., Analisi economica del diritto pubblico , in C ASSESE S. (dir.), Dizionario di diritto pubblico , Vol. I, Giuffrè, Milano, 2006, 299 ss.; NAPOLITANO G., Aldo M. Sandulli e la teoria dei beni privati di interesse pubblico, in AA.VV., A.M. Sandulli (1915-1984). Attualità del pensiero giuridico del Maestro, Giuffrè, Milano, 2004, 555 ss.; NICOSIA F.M., “Modello Consip” tra Stato e mercato (lineamenti e prospettive evolutive), in Riv. it. dir. pubbl. comunit., n. 4/2022, 711 ss.; NIELSEN R., TREUMER S. (Eds.), The New EU Public Procurement Directives, Djøf, Copenhagen, 2005; NIGRO M., Le norme-principio della Costituzione e la discrezionalità amministrativa, in Foro it., 1951, I, III, c. 28; NULLI M. (cur.), Gli appalti precommerciali in Italia: una ricostruzione tra teorie generali ed esperienze regionali, Pubblicazioni della Provincia Autonoma di Trento, Trento, 2013. OECD, Public Procurement for Innovation Good Practices and Strategies, in OECD Public Governance Review, giugno 2017; OROFINO A.G., La trasparenza oltre la crisi. Accesso, informatizzazione e controllo civico, Cacucci, Bari, 2020; O ROFINO A.G., La semplificazione digitale , in Dir. econ. , n. 3/2019, 87 ss.; OROFINO A.G., Forme elettroniche e procedimenti amministrativi, Cacucci, Bari, 2008; OTRANTO P., Internet nell’organizzazione amministrativa. Reti di libertà, Cacucci, Bari, 2015; PACE A., La sicurezza pubblica nella legalità costituzionale, in Rivista AIC, n. 1/2015, 1 ss.;
BIBLIOGRAFIA
257
PAGALLO U., Il diritto nell’età dell’informazione. Il riposizionamento tecnologico degli ordinamenti giuridici tra complessità sociale, lotta per il potere e tutela dei diritti, Giappichelli, Torino, 2014; P AGALLO U., Teoria giuridica della complessità , Giappichelli, Torino, 2006; PAGLIARIN C., PERATHONER C., LAIMER S. (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, Giuffrè, Milano, 2021; PAGLIARIN C., Il partenariato per l’innovazione. La pubblica amministrazione e l’iniziativa privata per l’innovazione, in PAGLIARIN C., PERATHONER C., LAIMER S. (cur.), Contratti pubblici e innovazione. Una strategia per far ripartire l’Europa, Giuffrè, Milano, 2021, 137 ss.; PAJNO A., TORCHIA L., La nuova disciplina dei contratti pubblici: le regole, i controlli, il processo, in astridonline.it, 2015; PAJNO A., La Presidenza del Consiglio dei ministri: dal vecchio al nuovo ordinamento, in PAJNO A., TORCHIA L. (cur.), La riforma del Governo. Commento ai decreti legislativi n. 300 e n. 303/1999 sulla riorganizzazione della Presidenza del consiglio dei ministri, Il Mulino, Bologna, 2000, 35 ss.; PALIERO C.E., TRAVI A., Sanzioni amministrative, in Enc. Dir., Vol. XLI, Giuffrè, Milano, 1989, 345 ss.; PALLADINO A., Cybersecurity: adottata la Direttiva NIS2 per rafforzare la resilienza, in Osservatorio IRPA, marzo 2023; PAPA S., Gli appalti precommerciali: un particolare approccio all’aggiudicazione degli appalti di ricerca e sviluppo, in Giustamm., n. 3/2017; PARDOLESI P., Profili comparatistici di analisi economica del diritto privato, Cacucci, Bari, 2015; PARETO V., Corso di economia politica, Einaudi, Torino, 1942; PARETO V., Manuale di economia politica, Soc. Editr. Libraria, Milano, 1906; PARONA L., L’istituzione dell’Agenzia per la cybersicurezza nazionale, in Giorn. dir. amm., n. 6/2021, 709 ss.; P ARUZZO F., I sovrani della rete. Piattaforme digitali e limiti costituzionali al potere privato , Edizioni Scientifiche Italiane, Napoli, 2022;
258
BIBLIOGRAFIA
P ASCUZZI G. (cur.), Il diritto dell’era digitale , Il Mulino, Bologna, 2016; PATRITO P., PAVONI F., La disciplina del riutilizzo dei dati pubblici dal punto di vista del diritto amministrativo: prime riflessioni, in Dir. inf., n. 1/2012, 87 ss.; PELUSO F., La disciplina italiana in tema di cybersecurity, in CONTALDO A., MULA D., (cur.), Cybersecurity Law, Disciplina italiana ed europea della sicurezza cibernetica anche alla lice delle norme tecniche, Pacini, Pisa, 2020, 119 ss.; PERFETTI L.R., POLIDORI P. (cur.), Analisi economica e metodo giuridico: i servizi pubblici locali, CEDAM, Padova, 2003; PERLROTH N., This Is How They Tell Me the World Ends: The Cyberweapons Arms Race, Bloomsbury, London, 2021 (trad. ita. Così mi hanno detto che finirà il mondo. La corsa agli armamenti cibernetici e il futuro dell’umanità, il Saggiatore, Milano, 2022); PERONGINI S., Il principio del risultato e il principio di concorrenza nello schema definitivo di codice dei contratti pubblici, in CORSO G., IMMORDINO M. (cur.), Studi in onore di Filippo Salvia. Convegno “Quale piano per il futuro dell’urbanistica?”, Palermo, 30 novembre 2021, Editoriale Scientifica, Napoli, 517 ss.; PERONGINI S., Il principio di legalità e amministrazione di risultati, in IMMORDINO M., POLICE A. (cur.), Principio di legalità e amministrazione di risultati (Atti del Convegno di Palermo, 27-28 febbraio 2003), Giappichelli, Torino, 2004, 39 ss., PERRI P., Sicurezza giuridica e sicurezza informatica, in DURANTE M., PAGALLO U. (cur.), Manuale di informatica giuridica e diritto delle nuove tecnologie, UTET, Torino, 2012, 337 ss.; PESCE G., Amministrazione digitale: genesi, sviluppi, prospettive, Editoriale Scientifica, Napoli, 2018; PICARO R., La modellazione informativa per l’edilizia e le infrastrutture, in Riv. giur. edil., n. 5/2018, 393 ss.; PICOZZA E., I contratti con la pubblica amministrazione tra diritto comunitario e diritto nazionale, in FRANCHINI C. (cur.), I contratti con la pubblica amministrazione, II, UTET, Torino, 2007, 28 ss.; PIETROPAOLI S., Le grandi sfide attuali e del prossimo futuro, in FAINI F., PIETROPAOLI S., Scienza giuridica e tecnologie informatiche. Temi e problemi, cit., 274, in part. 278 ss.;
BIBLIOGRAFIA
259
PIGNATTI M., La disciplina dell’accordo quadro tra efficienza dell’attività contrattuale e il principio di concorrenza nell’ordinamento giuridico europeo, in DPCE online, n. 3/2021, 3193 ss.; PIGNATTI M., Le metodologie per la determinazione dell’offerta economicamente più vantaggiosa, in Foro amm. – CdS, n. 6/2013, 1526 ss.; PIGOU A.C., The Economics of Welfare, MacMillan, London, 1920; PIRAINO S., La funzione amministrativa fra discrezionalità e arbitrio, Giuffrè, Milano, 1990; PIRAS A., voce Discrezionalità amministrativa, in Enc. Dir., XIII, 1963, 7 ss.; PISELLI P., Public procurement 4.0: i nuovi strumenti digital al servizio della contrattualistica pubblica, in Riv. trim. app., n. 3/2019, 861 ss.; PITRUZZELLA G., Il Presidente del Consiglio dei ministri e l’organizzazione del Governo, CEDAM, Padova, 1986; POGGI A., Pianificazione e controllo strategico in una logica di apprendimento dinamico, Giuffrè, Milano, 1998; P OGGI G., R YAN G., Arnold Gehlen e i presupposti antropologici della teoria volontaristica dell’azione , in Rass. ita. di sociologia , n. 3/1967, 353 ss.; POLANYI K., The Great Transformation. The Political and Economic Origins of Our Time, Rinehart, New York-Toronto, 1944; POLICE A., L’attività contrattuale delle pubbliche amministrazioni, in DELLA CANANEA G., DUGATO M., MARCHETTI B., POLICE A., RAMAJOLI M. (cur.), Manuale di diritto amministrativo, Giappichelli, Torino, 2022, 381 ss.; POLICE A., I poteri sanzionatori “di regolazione” delle Autorità amministrative indipendenti tra legalità e giustiziabilità, in CARBONE A. (cur.), L’amministrazione nell’assetto costituzionale dei poteri pubblici. Scritti per Vincenzo Cerulli Irelli, Giappichelli, Torino, 2021, 185 ss.; POLICE A. (cur.), I beni pubblici: tutela, valorizzazione e gestione, Atti del Convegno (Roma, novembre 2006), Giuffrè, Milano, 2008; POLICE A., La predeterminazione delle decisioni amministrative. Gradualità e trasparenza nell’esercizio del potere discrezionale, Esi, Napoli, 1997;
260
BIBLIOGRAFIA
POLICE A., La natura della responsabilità amministrativa, in SCOCA F.G. (dir.), La responsabilità amministrativa e il suo processo, CEDAM, Padova, 1997, 61 ss.; POLINSKY A.M., An introduction to law and economics, Little Brown and co., Boston-Toronto, 1983;
POLLICINO O., Judicial Protection of Fundamental Rights on the Internet. A Road Towards Digital Constitutionalism?, Bloomsbury, London, 2021; POLLICINO O., ROMEO G. (Eds.), The Internet and Constitutional Law. The protection of fundamental rights and constitutional adjudication in Europe, Routledge, New York, 2016; PONTI B., Il patrimonio informativo pubblico come risorsa. I limiti del regime italiano di riutilizzo dei dati delle pubbliche amministrazioni, in Dir. pubbl., 3/2020, 991 ss.; PONZIO S., An Overview of Innovative Procurement, in Ius Publicum Network Review, 2/2018, 1 ss.; POSNER R.A., The Economics of Justice, Harvard University Press, Cambridge, Mass., 1983; POSNER R.A., Economic Analysis of Law, Little Brown and co., Boston-Toronto, 1972; PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA DELLA REPUBBLICA, Relazione annuale al Parlamento sulla politica dell’informazione per la sicurezza, 2022; PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA DELLA REPUBBLICA, Relazione annuale al Parlamento sulla politica dell’informazione per la sicurezza, 2021; PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA DELLA REPUBBLICA, voce Cyberspace, in Glossario Intelligence. Il linguaggio degli Organismi informativi, 2019, 40; PRESIDENZA DEL CONSIGLIO DEI MINISTRI, SISTEMA DI INFORMAZIONE PER LA SICUREZZA DELLA REPUBBLICA, voce Cybersecurity, Glossario Intelligence. Il linguaggio degli Organismi informativi, 2019, 39;
BIBLIOGRAFIA
261
PRESIDENZA DEL CONSIGLIO DEI MINISTRI, Piano nazionale per la protezione cibernetica e la sicurezza informatica, marzo 2017; PRESIDENZA DEL CONSIGLIO DEI MINISTRI, Piano nazionale per la protezione cibernetica e la sicurezza informatica, dicembre 2013; PRESUTTI E., Discrezionalità pura e discrezionalità tecnica, in Giur it., 1910, 10 ss.; PREVITI L., Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, in federalismi.it, n. 25/2022, 65 ss.; PUBUSA A., Merito e discrezionalità amministrativa, in Dig. Disc. Pubbl., IX, 1994, 411 ss.; QUADRI E., Il BIM, in SPASIANO M.R, CALABRÒ M., MARI G., GAMBERDELLA F., TANDA P., PIETROSANTI A.G., Fondamenti di diritto per l’architettura e l’ingegneria civile, Editoriale Scientifica, Napoli, 2020, 443 ss.; QUINTARELLI S., On Rights and Competition Citizen's Rights and Business’ Rights in a Progressively More Immaterial World, in Riv. it. di Antitrust, n. 3/2015, 8 ss.; RACCA G.M., Le innovazioni necessarie per la trasformazione digitale e sostenibile dei contratti pubblici, in federalismi.it, n. 15/2022, 191 ss.; RACCA G.M., La Corte di giustizia e le scelte nazionali per una efficiente e trasparente aggregazione dei contratti pubblici: una sfida per l'evoluzione digitale della “funzione appalti” nazionale, regionale e locale, in Riv. it. dir. pubbl. comunit., n. 2/2021, 185 ss.; R ACCA G.M., PONZIO S., Contrats publics transnationaux: une perspective complexe, in Ius Publicum Network Review, n. 1/2021, 1 ss.; RACCA G.M., PONZIO S., La scelta del contraente come funzione pubblica: i modelli organizzativi per l’aggregazione dei contratti pubblici, in Dir. amm., n. 1/2019, 33 ss.; RACCA G.M., YUKINS C.R. (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, Bruylant, Bruxelles, 2019; RACCA G.M, YUKINS C.R., Introduction. The Promise and Perrils of Innovation in Cross-Border Procurement, in RACCA G.M., C.R. YUKINS (Eds.), Joint Public Procurement and Innovation – Lessons Across Borders, Bruylant, Bruxelles, 2019, 1 ss.;
262
BIBLIOGRAFIA
RACCA G.M., PONZIO S., GUALTIERI D., PP2Innovate Tool – Guida al PPI nel settore “smart – energy”, Interreg Central Europe, 2018; RACCA G.M., La contrattazione pubblica come strumento di politica industriale, in MARZUOLI C., TORRICELLI S. (cur.), La dimensione sociale della contrattazione pubblica. Disciplina dei contratti ed esternalizzazioni sostenibili, Editoriale Scientifica, Napoli, 2017, 171 ss.;
RACCA G.M., PONZIO S., Nuovi modelli organizzativi per il ‘joint procurement’ e l’innovazione dei contratti pubblici in Europa in VALCÁRCEL FERNÁNDEZ P. (Eds.), Compra conjunta y demanda agregada en la contratación del sector público. Un análisis jurídico y económico, Aranzadi, Pamplona, 2016, 373 ss.; RACCA G.M., CAVALLO PERIN R., ALBANO G.L., The Safeguard of Competition in the Execution Phase of Public Procurement: Framework Agreements as Flexible Competitive Tools, intervento al seminario The New Public Law in a Global (Dis)order. A Perspective from Italy, Istituto di Ricerche Sulla Pubblica Amministrazione (IRPA) and Jean Monnet Center of NYU School of Law, settembre 2010; RAFFIOTTA E.C., Cybersecurity Regulation in the European Union and the Issues of Constitutional Law, in Rivista AIC, n. 4/2022, 1 ss.; RENZI A., La nuova via della cybersecurity: la Strategia Nazionale, in Osservatorio IRPA, 29 settembre 2022; RENZI A., La sicurezza cibernetica: lo stato dell’arte, in Giorn. dir. amm., n. 4/2021, 538 ss.; RICARDO D., On the Principles of Political Economy and Taxation, John Murray Publ., London, 1817; RICCÒ B., voce Legge di Moore, in Enciclopedia Treccani della Scienza e della Tecnica, 2008; RICOLFI M., VAN EECHOUD M., MORANDO F., TZIAVOSZ P., FERRAO L., The “Licensing” of Public Sector Information, in Inf. dir., n. 1-2/2011, 129 ss.; RICOTTA F.N., Questioni sull’utilizzo della backdoor a scopo di investigazione, in Cass. Pen., n. 7-8/2022, 2836 ss.;
BIBLIOGRAFIA
263
RISVIG HAMER C., COMBA M.E. (Eds.), Centralising Public Procurement. The Approach of Eu Member States, Elgar, Cheltenham, 2021; RISVIG HAMER C., CPBs and their users: shared liability, contract management and remedies, in RISVIG HAMER C., COMBA M.E. (Eds.), Centralising Public Procurement. The Approach of Eu Member States, Elgar, Cheltenham, 2021, 87 ss.; R ISVIG H AMER C., Regular purchases and aggregated procurement: the changes in the new Public Procurement Directive regarding framework agreements, dynamic purchasing systems and central purchasing bodies, in Public Procurement Law Review , n. 4/2014, 201 ss.; RITTER G.A., Storia dello Stato sociale, Laterza, Roma-Bari, 1996; ROCHET C., PEIGNOT J., PENERANDA A., Digitalizing the Public Organization: Information System Architecture as a Key Competency to Foster Innovation Capabilities in Public Administration, in Halduskultuur – Administrative Culture, 13, 1/2012, 49 ss.; RODOTÀ S., Il terribile diritto - Studi sulla proprietà privata, Il Mulino, Bologna 1981; ROMANO S., Osservazioni sulla natura giuridica del territorio dello Stato, in Arch. Dir. pubbl., Vol. I, fasc. II, Editrice Associazione per lo Studio del Diritto Pubblico Italiano, Roma, 1902; ROMANO TASSONE A., Amministrazione pubblica e produzione di “certezza”: problemi attuali e spunti ricostruttivi, in Dir. amm., n. 4/2005, 867 ss.; ROMANO TASSONE A., Sulla formula “amministrazione per risultati”, in MOLASCHI V., VIDETTA C. (cur.), Scritti in onore di Elio Casetta, Jovene, Napoli, 2001, 813 ss.; ROSENZWEIG P., Cybersecurity and Public Goods: The Public/Private “Partnership”, in Cyberwarfare: How Conflicts in Cyberspace are Challenging America and Changing the World, Praeger Security International, 2012; ROSS P.E., Moore’s Second Law, in Forbes, 25 marzo 1995, 116 ss.; ROSSA S., Administrative Law Reflections on Cybersecurity, and on Its Institutional Actors, in the European Union and Italy, in Italian Journal of Public Law, Vol. 14, n. 2/2022, 426 ss.;
264
BIBLIOGRAFIA
ROSSA S., Sviluppo sostenibile e appalti pubblici. Sul ruolo degli appalti innovativi come strumento di sostenibilità, in CERIDAP, n. 4/2022, 61 ss.; ROSSA S., Riflessioni giuspubblicistiche in merito alle teorie “Nudge” e “One Health”, in Corti Supreme e Salute, n. 3/2022, 827 ss.; ROSSA S., Contributo allo studio delle funzioni amministrative digitali. Il processo di digitalizzazione della Pubblica Amministrazione e il ruolo dei dati aperti, Wolters Kluwer-CEDAM, Milano, 2021; ROSSA S., L’impiego dei social network nella pubblica amministrazione: quid iuris?, in Media Laws – Rivista di diritto dei media, n. 1/2020, 201 ss.; ROSSA S., Il difficile rapporto fra la “piena giurisdizione” ai fini CEDU, le sanzioni delle amministrazioni indipendenti e il giudizio amministrativo, in Dir. e proc. amm., n. 1/2020, 287 ss.; ROSSA S., CELESTE E., A colpi di tweet: social network, pubblica amministrazione e politica, in Istituz. del federalismo, n. 1/2020, 121 ss.; ROSSA S., Il diritto all’informazione come base per una amministrazione digitale: una comparazione fra Italia ed Estonia, in Dir. econ., n. 2/2019, 543 ss.; ROSSA S., Open data e amministrazioni regionali e locali. Riflessioni sul processo di digitalizzazione partendo dall’esperienza della Regione Piemonte, in Dir. inf., n. 4-5/2019, 1121 ss.; ROSSI L.S., From EU Pillar to Area: The Impact of the Lisbon Treaty on the External Dimension of Freedom, Security and Justice, in Dir. UE, n. 4/2011, 999 ss.; ROTELLI E., La Presidenza del Consiglio dei ministri. Il problema del coordinamento dell'amministrazione centrale in Italia (1848-1948), Giuffrè, Milano, 1972; RUFFO G., Rete e reti, in DURANTE M., PAGALLO U. (cur.), Manuale di informatica giuridica e diritto delle nuove tecnologie, UTET, Torino, 2012, 20 ss.; RUOHONEN J., An Acid Test for Europeanization: Public Cyber Security Procurement in the European Union, in European Journal for Security Research, vol. 5/2020, 349 ss.; RUOTOLO M., Sicurezza, dignità e lotta alla povertà. Dal “diritto alla sicurezza” alla “sicurezza dei diritti”, Editoriale Scientifica, Napoli, 2012;
BIBLIOGRAFIA
265
RUPP K., SELBERHERR S., The Economic Limit to Moore’s Law, in IEEE Transactions on Semiconductor Manufacturing, Vol. 24, n. 1/2011, 1 ss.; SACCO R., voce Programmazione economica, in Dig. disc. priv. sez. civ., VIII agg., 2013, 533 ss.; SACCO R., Lingua e diritto, in Ars Interpretandi, 2000, 119; SALA M., La crittografia al centro dello scontro tra Apple e FBI, in Gnosis, n. 2/2016, 138 ss.; SALAMONE L.V.M., La disciplina del cyberspace alla luce della direttiva europea delle reti e dell’informazione, in federalismi.it, n. 23/2017, 2 ss.; SALANDRI L., CONTALDO A., La nuova disciplina giuridica c.d. “orizzontale” della cybersicurezza per le infrastrutture in un’ottica di sviluppo dei sistemi informativi, in Rivista amministrativa della Repubblica italiana, n. 11-12/2016, 567 ss.; SALTARI L., TONETTI A. (cur.), Il regime giuridico delle autostrade. In Italia, in Europa e nelle principali esperienze straniere, Giuffrè, Milano, 2017; SALVAGGIO S.A., GONZÁLEZ N., The European framework for cybersecurity: strong assets, intricate history, in Int. Cybersecur. Law Rev., n. 4/2023, 137 ss.; SANCHEZ-GRAELLS A., The Emergence of Trans-EU Collaborative Procurement: A “Living Lab” for European Public Law, in Pub. Proc. Law Rev., n. 1/2020, 37 ss.; SANCHEZ- GRAELLS A., Is Joint Cross-Border Public Procurement Legally Feasible or Simply Commercially Tolerated? A Critical Assessment of the BBG-SKI JCBPP Feasibility Study, in Eur. Proc. Publ. Priv. Part. Law Rev., 12/2017, 97 ss.; SANCHEZ GRAELLS A., Public procurement and the EU competition rules, Hart, Oxford, 2011; SANDULLI A., Lo “Stato digitale”. Pubblico e privato nelle infrastrutture digitali nazionali strategiche, in Riv. trim. dir. pubbl., n. 2/2021, 513 ss.; SANDULLI A.M., Beni pubblici, in Enc. Dir., V, Milano, 1959, 278 ss.; SANDULLI A.M., Spunti per lo studio dei beni privati d’interesse pubblico, in Dir. Econ., 1956, 163 ss.;
266
BIBLIOGRAFIA
SANDULLI M.A., DE NICTOLIS R. (dir.), Trattato sui contratti pubblici, Vol. III, Procedure di gara e criteri di scelta del contraente, Giuffrè Francis Lefebvre, Milano, 2019; SANDULLI M.A., DE NICTOLIS R., GAROFOLI R. (cur.), Trattato sui contratti pubblici, Giuffrè, Milano, 2008; SANDULLI M.A., Sanzioni amministrative, in Enc. giur. Treccani, Vol. XXVIII, Bologna-Roma, Zanichelli, 1992, 1 ss.; SANTARELLI M., Centro di coordinamento nazionale per la cyber: funzioni e obiettivi, in Agenda digitale.eu, 21 marzo 2021; SANTI G., Il partenariato contrattuale pubblico-privato ed il contratto di concessione. Gli interventi di sussidiarietà orizzontale ed il baratto amministrativo. Il contraente generale, in MASTRAGOSTINO F. (cur.), Diritto dei contratti pubblici. Assetto e dinamiche evolutive alla luce del codice, degli atti attuativi e dei decreti semplificazione 20202021, Giappichelli, Torino, 2021, 155 ss.; SAVINO M., Solo per i tuoi occhi? La riforma del sistema italiano di intelligence, in Giorn. dir. amm., n. 2/2008, 121 ss.; SCHMITT C., Il Nomos della terra nel diritto internazionale dello Jus Public Europeaum, Adelphi, Milano, 1991; SCHMITT M.N. (ed.), Tallinn Manual on the International Law Applicable to Cyber Warfare, Cambridge University Press, Cambridge, 2013; SCHOTANUS F., Joint procurement: an economics and management perspective, in RISVIG HAMER C., COMBA M.E., Centralising Public Procurement. The Approach of Eu Member States, Elgar, Cheltenham, 2021, 54 ss.; SCIULLO G., Alla ricerca del centro: le trasformazioni in atto nell’amministrazione statale italiana, Il Mulino, Bologna, 2000; SCOCA F.G., DI SCIASCIO A.F. (cur.), Il nuovo Codice dei contratti pubblici (D.lgs. 50 del 18 aprile 2016): profili sostanziali e processuali, Editoriale Scientifica, Napoli, 2017; SCOCA F.G, La discrezionalità nel pensiero di Giannini e nella dottrina successiva, in Riv. trim. dir. pubbl., 2000, 1045 ss.; SERINI F., La nuova architettura di cybersicurezza nazionale: note a prima lettura del decreto-legge n. 82 del 2021, in federalismi.it, n. 12/2022, 241 ss.; SGUEO G., La visione e la voce nella transizione digitale dei governi democratici, in Riv. trim. dir. pubbl., n. 4/2022, 1115 ss.;
BIBLIOGRAFIA
267
S GUEO G., La transizione digitale , in Gior. dir. amm. , n. 6/2021, 746 ss.; SGUEO G., L’amministrazione digitale, in Giorn. dir. amm., 1/2016, 114 ss.; SIRILLI G., voce Innovazione tecnologica, in Enciclopedia Treccani della Scienza e della Tecnica, 2008; SMITH A., An Inquiry into the Nature and Causes of the Wealth of Nations, W. Strahan and T. Cadell, London, 1776; SMITH P., Innovation Procurement – What Exactly Does It Mean?, in Public Spend Forum, May 2017; SOCIETÀ ITALIANA DI POLITICA DEI TRASPORTI, Le concessioni di infrastrutture nel settore dei trasporti. Tra fallimento dello Stato e fallimenti del mercato. Report 2019, Maggioli, Santarcangelo di Romagna, 2020; SORICELLI G., Le agenzie amministrative nel quadro dell’organizzazione dei pubblici poteri, Jovene, Napoli, 2002; SORRENTINO G., Il sistema degli acquisti sul Mepa nella “release” 2022: guida operativa sulle nuove modalità di negoziazione, in App. e contr., n. 6/2022, 57 ss.; SPADA C., I contratti di ricerca e sviluppo, in Dir. amm., n. 3/2021, 687 ss.; SPASIANO M.R., Riflessioni in tema di centralizzazione della committenza negli appalti pubblici, in CERIDAP, n. 1/2023, 127 ss.; SPASIANO M.R, CALABRÒ M., MARI G., GAMBERDELLA F., TANDA P., PIETROSANTI A.G. (cur.), Fondamenti di diritto per l’architettura e l’ingegneria civile, Editoriale Scientifica, Napoli, 2020; SPASIANO M.R., Nuove riflessioni in tema di amministrazione di risultato, in AA.VV., Scritti per Franco Gaetano Scoca, Vol. V, Editoriale Scientifica, Napoli, 2020, 4845 ss.; SPASIANO M.R., Funzione amministrativa e legalità di risultato, Giappichelli, Torino, 2003; SPENCE A.M., Market signaling. Informational transfer in hiring and related screening processes, Harvard University Press, Cambridge, 1974; SPENCE A.M., Job Market Signaling, in Quarterly Journal of Economics, n. 87/1973, 355 ss.; STIGLIZ J., Informazione, economia pubblica e macroeconomia, Il Mulino, Bologna, 2002;
268
BIBLIOGRAFIA
STIGLIZ J., Information and the Chance in the Paradigm of Economics, Prize Lecture, 8 dicembre 2001; STIPO M., voce Programmazione statale e programmazione regionale, in Enc. giur., XXIV, 1991, 1 ss.; TADDEO M., Is Cybersecurity a Public Good?, in Minds & Machines, n. 29/2019, 354 ss.; TANZARELLA P., Accesso a Internet: verso un nuovo diritto sociale?, in CAVASINO E., SCALA G., VERDE G. (cur.), I diritti sociali dal riconoscimento alla garanzia, il ruolo della giurisprudenza, Atti del Convegno di Trapani, Editoriale Scientifica, Napoli, 2013, 517 ss.; TENTONI L., Crisi di governo? In Italia è quasi normale: in 73 anni di Repubblica 6 anni in “ordinaria amministrazione”, in Lab Parlamento, 2019; TETI A., Cyber espionage e cyber counterintelligence. Spionaggio e controspionaggio cibernetico, Rubettino, Soveria Mannelli, 2018; THALER R.H., SUSTEIN C.R., Nudge. Improving Decisions About Health, Wealth, and Happiness, Yale University Press, New HavenLondon, 2008; THEIL H., Economics of Information Theory, North-Holland Publishing Company, Chicago, 1967; TIRONI A., Polo Strategico nazionale, ecco il bando: modello e obiettivi della proposta, in Agenda Digitale, 31 gennaio 2022; TOIATI L., CSIRT network, il modello cooperativo europeo per la gestione della cyber security, in cybersecurity360.it, 9 luglio 2021; TONOLETTI B., L’accertamento amministrativo, CEDAM, Padova, 2001; TORCHIA L., Lo Stato digitale. Una introduzione, Il Mulino, Bologna, 2023; TORCHIA L., La responsabilità amministrativa, in Giorn. dir. amm., n. 6/2020, 763 ss.; TORRE A. (cur.), Costituzioni e sicurezza dello Stato, Maggioli, Santarcangelo di Romagna, 2013; TOSONI L., Direttiva NIS, così è l’attuazione italiana (dopo il recepimento): i punti principali del decreto, in Agenda digitale.eu, 15 gennaio 2021; TOSONI L., Cybersecurity Act, ecco le nuove norme in arrivo su certificazione dei prodotti e servizi ICT, in Agenda digitale.eu, 7 giugno 2019;
BIBLIOGRAFIA
269
TRAVOSTINO M., Le licenze Creative Commons, in DURANTE M., PAGALLO U. (cur.), Manuale di informatica giuridica e diritto delle nuove tecnologie, UTET, Torino, 2012, 201 ss.; TREUMER S., COMBA M. (Eds.), Modernising Public Procurement. The Approach of EU Member States, Elgar, Cheltenham, 2018; TROPEA G., Spinte gentili per la pubblica amministrazione?, in Dir. econ., n. 1/2022, 31 ss.; TROPEA G., La discrezionalità amministrativa tra semplificazioni e liberalizzazioni, anche alla luce della legge n. 124/2015, in Dir. amm., n. 1/2016, 107 ss.; TSAGOURIAS N., BUCHAN R. (eds.), Research Handbook on International Law and Cyberspace, Elgar, Cheltenham, 2015; URSI R., La difesa: tradizione e innovazione, in Dir. cost., n. 1/2022, 5 ss.; URSI R., La sicurezza pubblica, Il Mulino, Bologna, 2022; VACCA G. (cur.), Il dilemma euroatlantico. Rapporto 2004 della Fondazione Istituto Gramsci sull'integrazione europea, Dedalo, Bari, 2004; VALAGUZZA S., Nudging pubblico vs. pubblico: nuovi strumenti per una regolazione flessibile di ANAC, in Riv. regolaz. dei mercati, n. 1/2017, 91 ss.; VALCÁRCEL FERNÁNDEZ P., The Relevance of Promoting Collaborative and Joint Cross Border Procurement for Buying Innovative Solutions, in RACCA G.M., YUKINS C.R. (Eds.), Joint Public Procurement and Innovation – Lessons Across Boders, Bruylant, Bruxelles, 2019, 133 ss.; VALENTINI V., Burocrazia difensiva e restyling dell’abuso d’ufficio, in Giust. pen., n. 8-9/2020, 502 ss.; VERDE A., Appalti pubblici nel settore ICT: rischio di lock-in, problematiche applicative e possibili soluzioni, in MediAppalti, 14 febbraio 2020; VERDE G., Il Piano Nazionale di Ripresa e Resilienza e la riforma della giustizia, in Nuove Autonomie, n. 1/2021, 169 ss.; VIGNA P.L., La nuova disciplina dei servizi di sicurezza, in Legisl. Pen., n. 4/2007, 2, 693 ss.; VILLAMENA S., Codice dei contratti pubblici 2016. Nuovo lessico ambientale, clausole ecologiche, sostenibilità, economicità, in Riv. giur. edil., n. 3/2017, 2, 101 ss.;
270
BIBLIOGRAFIA
VINER J., The Intellectual History of Laissez Faire, in Journal Law and Econ., 1960, 45 ss.; VINTI S., Gli accordi quadro e i sistemi dinamici di acquisizione, in CANCRINI A., FRANCHINI C., VINTI S. (cur.), Codice degli appalti pubblici, Giappichelli, Torino 2014, 370 ss.; VIOLANTE L., Diritto e potere nell’era digitale. Cybersociety, cybercommunity, cyberstate, cyberspace: tredici tesi, in BioLaw Journal, n. 1/2022, 145 ss.; VON LUCKE J., GROSSE K., Open Government Collaboration. Opportunities and Challenges of Open Collaborating With and Within Government, in GASCÓ-HERNANDEZ M. (cur.), Open Government. Opportunities and Challenges for Public Governance, Springer, New York, 2014, 189 ss.; WEISS P.F., Protecting A Right to Access Internet Content: The Feasibility of Judicial Enforcement in a Non-neutral Network, in Brooklyn Law Review, n. 77/2011; WHYTE C., MAZANEC B.M., Understanding Cyber Warfare: Politics, Policy and Strategy, Routledge, Londra, 2019; WIENER N., The Human Use of the Human Beings, Houghton Mifflin Company, Boston, 1950; WIENER N., Cybernetics: or Control and Communication in the Animal and the Machine, Technology Press, John Wiley and Sons New York, 1948. ZANOBINI G., Le sanzioni amministrative, Bocca, Torino, 1924; ZENO ZENCOVICH V., Access to network as a Fundamental right, Relazione al Convegno Human rights and New Technologies, EUI, Firenze, 15 dicembre 2008; ZICCARDI G., PERRI P. (cur.), Tecnologia e diritto, Voll. I-III, Giuffrè, Milano, 2019; ZITO A., La nudge regulation nella teoria giuridica dell’agire amministrativo. Presupposti e limiti del suo utilizzo da parte delle pubbliche amministrazioni, Editoriale Scientifica, Napoli, 2021; ZITO A., La nuova disciplina degli acquisti centralizzati ad oggetto “informatico”, introdotta dalla legge di stabilità per il 2016: dalla ricognizione dei problemi ad un primo inquadramento sistematico, in Nuove Autonomie, n. 3/2016, 341 ss.;
BIBLIOGRAFIA
271
ZITO A., DETTORI S., TURATTO R. (cur.), Guida operativa alle attività di Partenariato Pubblico Privato, Santarcangelo di Romagna, Maggioli, 2015; ZITO A., Le pretese partecipative del privato nel procedimento amministrativo, Giuffrè, Milano, 1996; ZUBOFF S., The Age of Surveillance Capitalism. The Fight for the Future at the New Frontier of Power, Profile Books, London, 2019.
SITOGRAFIA GENERALE
http://eafip.eu/resources/videos/ http://www.sicurezzacibernetica.it/it/db/ncss/Italy/index.php https://assets.innovazione.gov.it/1610546390-midbook2025.pdf https://assets.innovazione.gov.it/1643643952-cs-fondo-repubblicadigitale2901-new.pdf https://bit.ly/2J7Kn4E https://bit.ly/3ACuqzA https://bit.ly/3AP6lqA https://bit.ly/3Ar1Bav https://bit.ly/3CeQ7In https://bit.ly/3csYea0 https://bit.ly/3cybbzp https://bit.ly/3DeCJmB https://bit.ly/3DPfd1c https://bit.ly/3dXHhVp https://bit.ly/3G2Zdds https://bit.ly/3i1Oaac https://bit.ly/3Kq33xf https://bit.ly/3KSYNqT https://bit.ly/3Ng0dwq https://bit.ly/3NU8p5z https://bit.ly/3PS6nCx https://bit.ly/3PuC1Wy https://bit.ly/3QVhAU3 https://bit.ly/3szhs1Z https://bit.ly/3Tnph7i https://bit.ly/3TU,1M5L https://bit.ly/3u30vh5 https://bit.ly/3u5aLWs https://bit.ly/3UCrDPs https://bit.ly/3ufaboO https://bit.ly/3UYWyXy https://bit.ly/3wGPKTm https://bit.ly/40M6dSN https://bit.ly/41Hiitc https://bit.ly/41xtSYf https://bit.ly/43LFZ5s https://bit.ly/43NchwO
274
SITOGRAFIA
https://bit.ly/43T179V https://cert.europa.eu https://datareportal.com/reports/digital-2022-global-overview-report https://dati.anticorruzione.it/superset/dashboard/appalti/ https://digital-strategy.ec.europa.eu/en/policies/desi https://digital-strategy.ec.europa.eu/it/policies/ppi https://docs.italia.it/italia/mid/strategia-nazionale-competenze-digitalidocs/it/1.0/index.html https://eafip.eu/ https://ec.europa.eu/newsroom/dae/redirection/document/88751 https://europa.eu/next-generation-eu/index_it https://innovazione.gov.it/dipartimento/focus/polo-strategiconazionale/ https://intel.ly/2OZhsWY https://italiadomani.gov.it/it/home.html https://padigitale2026.gov.it/misure https://www.acn.gov.it/ https://www.acquistinretepa.it/opencms/opencms/ https://www.acquistinretepa.it/opencms/opencms/categoriaProdotti.ht ml https://www.agid.gov.it/it/agenzia/appalti-innovativi https://www.agid.gov.it/it/agenzia/piano-triennale https://www.anticorruzione.it/-/linee-guida-n.-2 https://www.anticorruzione.it/-/linee-guida-n.-5 https://www.britannica.com/technology/Moores-law https://www.consip.it/attivit/digitalizzazione-pa https://www.consip.it/attivit/gare-strategiche https://www.csirt.gov.it/ https://www.cybersecurityframework.it/ https://www.editorialedomani.it/politica/mondo/donald-trumpreintegro-twitter-account-sospeso-musk-capitol-hill-m70dum16 https://www.enisa.europa.eu/ https://www.europarl.europa.eu/ftu/pdf/it/FTU_3.1.11.pdf https://www.ilpost.it/2021/01/09/twitter-trump-sospeso/ https://www.phd-ai.it/en/359-2/ https://www.polostrategiconazionale.it/ https://www.treccani.it/vocabolario/innovazione/ https://x-tee.ee/home (ultima consultazione: 11.04.2023)
CONTRIBUTI DI DIRITTO AMMINISTRATIVO Collana diretta da FRANCO GAETANO SCOCA, GUIDO CORSO MARINA D’ORSOGNA, LOREDANA GIANI, MARIA IMMORDINO, ARISTIDE POLICE, MARIA ALESSANDRA SANDULLI, MARIO SPASIANO
Sezione Studi e Monografie 1. M. RAGUSA, Porto e poteri pubblici. Una ipotesi sul valore attuale del demanio portuale, 2017 2. A. IACOPINO, Modelli e strumenti per la valorizzazione dei beni culturali. Spunti di riflessione nella prospettiva del risultato amministrativo, 2017 3. F. APERIO BELLA, Tra procedimento e processo. Contributo allo studio delle tutele nei confronti della pubblica amministrazione, 2017 4. A. GIANNELLI, Concessione di beni e concorrenza. Contributo in tema di compatibilità tra logica pro-concorrenziale e principi di diritto interno in tema di gestione dei beni pubblici, 2017 5. N. GULLO, Emergenza criminale e diritto amministrativo, l’amministrazione pubblica dei beni confiscati, 2017 6. M. TRIMARCHI. L’inesauribilità del potere amministrativo. Profili critici, 2018 7. C. MICCICHÈ, Beni comuni: risorse per lo sviluppo sostenibile, 2018 8. A. GIUSTI, La rigenerazione urbana. Temi, questioni e approcci nell’urbanistica di nuova generazione, 2018 9. C. CELONE, LA responsabilità dirigenziale tra Stato ed Enti locali, 2018 10. G. PESCE, Digital First. Amministrazione digitale: genesi, sviluppi, prospettive, 2018 11. V. BERLINGÒ, Contributo ad uno studio dell’attività amministrativa interna nelle riforme dell’Italia e della Cina, 2018 12. C. FELIZIANI, Giustizia amministrativa, amministrazione e ordinamenti giuridici. Tra diritto nazionale, diritto dell’Unione europea e Cedu, 2018 13. N. POSTERARO, Domande manifestamente inaccoglibili e dovere di provvedere, 2018 14. A. AREDDu, Contributo allo studio degli itinerari culturali, 2019 15. G. STRAZZA, La s.c.i.a. tra semplificazione, liberalizzazione e complicazione, 2020 16. A. PAIRE, Contributo allo studio degli usi civici, 2020 17. E. PARISI, Le sospensioni del processo amministrativo, 2020 18. G. IACOVONE, Decisioni cautelari amministrative, 2020 19. G. TERRACCIANO, A.M. COLARUSSO, L’indizio nella decisione amministrativa, 2021
20. S. TRANQUILLI, Il malum discordiae del potere amministrativo, 2022 21. V. BRIGANTE, Garanzie della forma e pubblica amministrazione, 2022 22. F. FOLLIERI, Il silenzio nei procedimenti ad iniziativa officiosa, 2023 23. G. GARGANO, La riserva di procedimento amministrativo, 2023 24. N. POSTERARO, Contributo allo studio della fifesa civica quale strumento di risoluzione alternativa alle controversie, 2023
Sezione Classici e Nuove Prospettive 1. L. GIANI, A. POLICE (a cura di), Itinerari interrotti. Il pensiero di Franco Ledda e di Antonio Romano Tassone per una ricostruzione del diritto amministrativo, 2017 2. L. GIANI, M. D’ORSOGNA, A. POLICE (a cura di), Dal diritto dell’emergenza all’emergenza del rischio, 2018 3. G. COLOMBINI, M. D’ORSOGNA, L. GIANI, A. POLICE (a cura di), Infrastrutture di trasporto e sistemi di regolazione e gestione, 2018
Finito di stampare nel mese di maggio 2023 dalle Arti Grafiche Licenziato – Napoli