Difesa del patrimonio informativo pubblico, emanate le linee guida per acquisti della Pa

di Giuseppe Arcidiacono

02 Giugno 2020

Le recenti disposizioni governative finalizzate a promuovere nelle Pubbliche amministrazioni l’utilizzo di soluzioni digitali come strumento di risposta all’emergenza Coronavirus richiedono regole e normative più stringenti per garantire la sicurezza e la salvaguardia dello sterminato patrimonio informativo pubblico.
In tale contesto, l’Agenzia per l’Italia Digitale ha annunciato la pubblicazione delle “Linee guida per la sicurezza nel procurement ICT” (disponibili al seguente indirizzo: https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_122261_725_1.html) che mirano ad introdurre una serie di meccanismi di protezione e salvaguardia nel processo di acquisizione di beni e servizi informatici da parte dell’articolata e complessa macchina statale.

Il processo di generazione del documento
Il documento, invero, è il frutto di un lungo periodo di confronto ed interlocuzioni istituzionali che ha convolto, oltre all’Agid ed alla Protezione Civile, ben 6 Dicasteri (Esteri, Interno, Giustizia, Difesa, Finanze e Sviluppo Economico) in un tavolo tecnico promosso e coordinato dal Nucleo per la sicurezza cibernetica del “Dipartimento Informazioni per la Sicurezza” presso la Presidenza del Consiglio dei ministri. Secondo quanto è possibile leggere nelle premesse delle Linee guida, l’obiettivo di fondo è quello di fornire indicazioni di natura tecnica ed amministrativa a tutti gli Enti che necessitano di avviare procedimenti connessi agli approvvigionamenti elettronici così che sia possibile gestire efficacemente i rischi informatici potenzialmente in grado di compromettere la riservatezza, l’integrità, la disponibilità, l’autenticità e il “non ripudio” dei dati pubblici.
In estrema sintesi, il nuovo documento si pone l’obiettivo di illustrare in modo semplice la problematica della sicurezza nel cosiddetto ‘procurement Ict’, formalizzare concetti di valenza universale, rendendoli coerenti con la norma e con il contesto della Pubblica amministrazione, e presentare buone prassi, soluzioni già in uso, misure semplici da adottare con il fine di verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per migliorarne la qualità.

I destinatari del documento
Le linee guida sono destinate, in particolare, a tutti coloro che all’interno delle pubbliche amministrazioni si occupano, a vario titolo, di acquisizione di strumenti informatici e, pertanto, puntano a sensibilizzare dirigenti, funzionari, Rup, responsabili della transizione al digitale, puntando su tematiche di fondamentale importanza che spesso sono sottovalutate se non addirittura ignorate.
Il documento, infatti, sottolinea con forza come processi di acquisizione non incentrati sui principi della sicurezza possano vanificare, o comunque rendere meno efficaci, le misure adottate dalle amministrazioni per tutelare il proprio patrimonio informativo, ricordando, allo stesso tempo, come la necessità di formalizzare e strutturare il rapporto con i fornitori esterni possa rappresentare una preziosa opportunità per aggiornare, integrare e rivedere le politiche di sicurezza.

Le indicazioni per le Amministrazioni
La prima parte del documento è rivolta specificatamente alle Pubbliche amministrazioni e contiene una serie di indicazioni connesse alla gestione di tutto il processo amministrativo sotteso alle acquisizioni di beni e servizi informatici, abbracciando le fasi della preparazione, dell’esecuzione e della chiusura di un contratto con soggetti terzi.
Per quanto attiene ai passaggi preliminari, le Linee guida, il cui rispetto è obbligatorio per le forniture ritenute critiche da ogni singola Amministrazione, richiedono l’attivazione di specifiche azioni di carattere generale e strategico, non legate alla singola acquisizione, finalizzate a pianificare e preparare ogni passaggio in maniera strutturata, razionale ed organica, anche attraverso tecniche di project management e gestione dei rischi.
In estrema sintesi, gli Enti centrali e periferici devono necessariamente dotarsi di strumenti, metodologie e competenze in grado di declinare in azioni concrete i principi di riferimento definiti, ex ante, in documenti strategici ed operativi, quali ‘policy’, regole, piani e programmi finalizzati a minimizzare gli imprevisti e le situazioni di emergenza.
In relazione alla fase di esecuzione dei contratti, invece, il documento fornisce indicazioni di carattere operativo che devono essere personalizzate in base alle caratteristiche peculiari di ogni acquisizione e possono, in alcuni casi, essere considerate alternative tra loro.
Le ultime indicazioni sono, infine, relative agli adempimenti da porre in essere dopo la chiusura del contratto: in questa fase, in particolare, è necessario verificare il raggiungimento dei livelli funzionali e qualitativi previsti dall’acquisto ma assumono un valore fondamentale anche aspetti amministrativi quali il monitoraggio delle utenze del fornitore, la gestione degli accessi ai sistemi dell’amministrazione o la sottoscrizione di appositi accordi di riservatezza e non divulgazione.

Le indicazioni per Agid e le centrali di committenza
Il documento fornisce anche indicazioni di carattere generale indirizzate all’Agenzia per l’Italia digitale che deve, di fatto, proseguire nella propria missione istituzionale di sensibilizzazione e formazione dei dipendenti e delle amministrazioni verso i temi della sicurezza informatica, ed alle Centrali di committenza, chiamate a svolgere al meglio il proprio ruolo di presidio della legalità e della sicurezza negli appalti pubblici.

Nella parte finale delle linee guida è richiamata con forza la necessità di pervenire ad una profonda e fattiva collaborazione istituzionale tra soggetti che svolgono ruoli diversi ma complementari nel processo di approvvigionamento quali l’Anac, il Centro di valutazione e certificazione nazionale, le stazioni appaltanti e, in generale, tutte le Pubbliche amministrazioni centrali e territoriali.