L’approvvigionamento di beni ICT da parte delle pubbliche amministrazioni rappresenta oggi uno degli snodi più delicati delle politiche di sicurezza in ambito pubblicistico. La progressiva digitalizzazione delle funzioni pubbliche, unita alla crescente dipendenza da tecnologie informatiche critiche, ha reso evidente come l’acquisto di infrastrutture, software e servizi digitali non possa più essere considerato una mera operazione commerciale, ma debba essere inquadrato quale attività ad elevata rilevanza strategica.
La selezione di fornitori affidabili, la provenienza dei componenti e la sicurezza delle tecnologie impiegate incidono direttamente sulla tutela degli interessi nazionali e sulla resilienza delle infrastrutture critiche che gestiscono dati, comunicazioni e servizi essenziali per le amministrazioni e per l’intero sistema Paese.
In tale prospettiva, l’articolo che segue intende offrire una guida esplicativa alla disciplina secondaria recentemente adottata in materia di beni ICT, con particolare riguardo al DPCM 30 aprile 2025 e alle successive Linee guida emanate dall’Agenzia per la Cybersicurezza Nazionale (ACN). Le due fonti, strettamente connesse all’art. 14 della Legge n. 90/2024, introducono un sistema di criteri premiali obbligatori nelle gare pubbliche, volto a favorire l’utilizzo di tecnologie provenienti da operatori economici ritenuti sicuri sotto il profilo della cybersicurezza.
L’obiettivo del contributo è illustrare le finalità, la portata applicativa e i principali risvolti operativi della normativa, offrendo alle stazioni appaltanti un quadro chiaro degli obblighi connessi all’acquisizione di beni ICT e delle implicazioni giuridiche derivanti dalle nuove misure di protezione della sicurezza nazionale.
Beni ICT e sicurezza nazionale: il perimetro normativo del DPCM 30 aprile 2025
Il DPCM 30 aprile 2025 si inserisce in un percorso normativo volto a consolidare il legame tra l’approvvigionamento di beni ICT e la tutela degli interessi nazionali strategici, riconoscendo che la sicurezza cibernetica non può essere garantita se non a partire dalla catena di fornitura delle tecnologie utilizzate dalle pubbliche amministrazioni.
Il Decreto, pubblicato in attuazione dell’art. 14 della Legge n. 90/2024, disciplina l’acquisizione di prodotti e servizi informatici destinati a contesti critici, quali infrastrutture di rete, sistemi di protezione dei dati, piattaforme cloud, tecnologie di autenticazione, videosorveglianza e strumenti di gestione delle comunicazioni. L’ambito materiale riguarda quindi tutte quelle soluzioni tecnologiche che, per caratteristiche e funzioni, risultano idonee ad influenzare l’integrità, la continuità e la riservatezza delle attività istituzionali, nonché il corretto funzionamento delle componenti essenziali dello Stato.
Sotto il profilo soggettivo, il Decreto impone l’applicazione delle sue disposizioni non solo ai soggetti rientranti nell’art. 2, comma 2, del Codice dell’Amministrazione Digitale, ma anche ai soggetti privati ricompresi nel Perimetro di Sicurezza Nazionale Cibernetica, ai quali vengono estese, mutatis mutandis, le medesime prescrizioni in materia di approvvigionamento di beni ICT. In questa prospettiva, la disciplina opera come vero e proprio meccanismo di difesa della sovranità tecnologica dello Stato, orientando le scelte delle stazioni appaltanti verso fornitori in grado di assicurare elevate garanzie di affidabilità, trasparenza e sicurezza lungo l’intero ciclo di vita dei prodotti e dei servizi digitali acquisiti.
Beni ICT e categorie tecnologiche: individuazione delle tecnologie rilevanti
La disciplina introdotta dal DPCM 30 aprile 2025 attribuisce particolare rilievo alla qualificazione delle categorie tecnologiche la cui acquisizione da parte delle amministrazioni pubbliche assume carattere strategico. Tale qualificazione, contenuta nell’Allegato 2 del Decreto, risulta funzionale a delimitare il perimetro applicativo delle misure di cybersicurezza e dei criteri premiali, consentendo di individuare quei beni ICT il cui impiego è idoneo a incidere sulla protezione delle infrastrutture critiche e sulla tutela dei dati e dei processi digitali pubblici.
Tra le categorie ricomprese vi rientrano, a titolo esemplificativo, soluzioni di gestione dell’identità digitale e degli accessi, sistemi antivirus e antimalware, apparecchiature di rete dotate di funzioni di filtraggio e controllo, strumenti per la cifratura e la firma digitale, software dedicati alla gestione dei log e al monitoraggio degli eventi di sicurezza (SIEM), nonché infrastrutture cloud qualificate per l’archiviazione e la protezione dei dati. Accanto a tali tecnologie software, assumono rilevanza anche componenti hardware quali microprocessori con funzioni di sicurezza, dispositivi biometrici, firewall fisici, telecamere di videosorveglianza con capacità di analisi dei flussi, apparati destinati al controllo dell’operatività di reti industriali e sistemi di backup critici.
Attraverso tale classificazione, il Decreto opera una selezione mirata dei beni ICT che, per natura e funzionalità, devono essere sottoposti a requisiti minimi di cybersicurezza e a verifiche documentali, incidendo direttamente sulle scelte tecniche e contrattuali delle stazioni appaltanti, chiamate a riconoscere e trattare tali prodotti come elementi costitutivi della difesa digitale dello Stato.
Il sistema di premialità previsto dall’art. 14 L. 90/2024
Il DPCM 30 aprile 2025 attua l’art. 14 della Legge n. 90/2024, disposizione che ha introdotto un meccanismo di incentivazione degli operatori economici in grado di offrire beni ICT provenienti da contesti geografici ritenuti affidabili sotto il profilo della sicurezza cibernetica. Tale disciplina mira a orientare le scelte delle amministrazioni verso prodotti e servizi realizzati in Paesi che adottano standard elevati di protezione delle informazioni, collaborano con l’Unione europea o con l’Alleanza Atlantica e contribuiscono alla sovranità tecnologica nazionale.
Il criterio premiale, lungi dal configurarsi come mera preferenza commerciale, assume la funzione di strumento di tutela dell’interesse pubblico, volto a rafforzare la sicurezza digitale attraverso l’affidabilità della supply chain.
In tale logica, la legge conferisce alle stazioni appaltanti la facoltà di incidere sull’esito delle procedure di gara non solo sotto il profilo qualitativo, ma anche mediante la determinazione di un tetto massimo al punteggio economico, favorendo così l’attribuzione di punteggi specifici alle offerte che garantiscano origini tecnologiche sicure. La premialità si inserisce, dunque, nel meccanismo dell’offerta economicamente più vantaggiosa, trasformandosi in elemento vincolante per la determinazione del rapporto qualità/prezzo nelle procedure aventi ad oggetto beni ICT, ovvero in requisito minimo laddove si operi con il criterio del minor prezzo.
Ne risulta una disciplina che, pur incidendo sul piano della concorrenza tra operatori, si conforma a un obiettivo superiore: la protezione dell’integrità, della disponibilità e della riservatezza delle infrastrutture pubbliche. Il criterio premiale si configura così come misura di sicurezza nazionale, con effetti diretti sulle modalità di acquisizione dei beni ICT, sul mercato di riferimento e sulla selezione dei fornitori autorizzati a operare nei settori critici della Pubblica Amministrazione.
Beni ICT e criteri premiali nel DPCM: provenienza, Bill of Materials e Paesi “sicuri”
Per la concreta applicazione del sistema premiale, il DPCM 30 aprile 2025 individua un criterio tecnico di verifica della provenienza dei beni ICT attraverso la presentazione, da parte degli operatori economici, della c.d. Bill of Materials (B.O.M.).
Tale documento contiene l’elenco dei componenti e dei servizi utilizzati nella realizzazione del prodotto o nell’erogazione del servizio informatico offerto; contiene una descrizione tecnica del prodotto, con certificazione della sua provenienza geografica, assumendo così la funzione di elemento probatorio ai fini dell’attribuzione del punteggio premiale.
Il Decreto impone che ciascun componente di livello 1 della B.O.M. sia riconducibile a operatori stabiliti in Italia, in Stati membri dell’Unione europea, nei Paesi aderenti all’Alleanza Atlantica (NATO), ovvero nei Paesi terzi elencati nell’Allegato 3 del medesimo DPCM, considerati affidabili in ragione di accordi di cooperazione in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e sviluppo tecnologico. La provenienza deve essere indicata in modo puntuale nella sezione relativa ai campi “Manufacturer” o “Provider”, mediante specificazione dello Stato in cui è localizzato il sito produttivo del componente o il server di erogazione del servizio informatico.
Da tali prescrizioni emerge un modello di selezione dei fornitori che non si fonda su elementi meramente commerciali, ma sulla verifica concreta della filiera produttiva dei beni ICT, nella consapevolezza che la sicurezza cibernetica non può essere efficacemente garantita se uno solo dei componenti critici proviene da contesti considerati insicuri o non allineati agli standard internazionali applicati dallo Stato italiano.
Linee guida ACN e l’obbligo di inserimento dei criteri premiali nelle procedure per beni ICT
Le Linee guida adottate dall’Agenzia per la Cybersicurezza Nazionale con Determina del Direttore Generale n. 343069 del 24 ottobre 2025 assumono una funzione determinante nella concreta applicazione del sistema di premialità previsto dall’art. 14 della Legge n. 90/2024 e attuato dal DPCM 30 aprile 2025.
Esse impongono obblighi specifici alle stazioni appaltanti pubbliche e ai soggetti privati ricompresi nel Perimetro di Sicurezza Nazionale Cibernetica, ai quali è richiesto di conformare le proprie procedure di acquisizione di beni ICT e servizi digitali alle prescrizioni introdotte dal nuovo sistema di sicurezza nazionale.
Sotto il profilo soggettivo, le Linee guida chiariscono che il criterio premiale si applica alle amministrazioni e ai soggetti pubblici obbligati dal Codice dell’Amministrazione Digitale, nonché ai soggetti privati che, pur non sottoposti al Codice dei contratti pubblici, siano inclusi nel Perimetro di Sicurezza Nazionale Cibernetica e si procurino beni ICT destinati a infrastrutture o sistemi rilevanti per la sicurezza nazionale.
La disciplina si estende, inoltre, alle centrali di committenza, le quali devono recepire il criterio premiale nella predisposizione degli atti di gara, anche qualora agiscano in supporto ad amministrazioni terze. In tal senso, la normativa non opera in funzione del soggetto aggiudicatore, ma della natura del bene o servizio informatico acquisito, rendendo l’obbligo applicabile indipendentemente dalla qualificazione pubblica o privata dell’ente.
Quanto all’ambito oggettivo, le Linee guida specificano che la premialità deve essere applicata in tutte le procedure di acquisizione di beni ICT destinati a reti, sistemi informativi e servizi digitali che incidano sulla sicurezza nazionale, compresi hardware, software, infrastrutture cloud, sistemi di autenticazione, strumenti di protezione dei dati e componenti destinati a garantire la sicurezza fisica e logica delle infrastrutture critiche.
L’obbligo si estende, inoltre, ai servizi e ai sistemi di telefonia mobile 4G e 5G, sia stand-alone che non stand-alone, nonché alle loro evoluzioni tecnologiche, posta la loro intrinseca connessione con la gestione di reti strategiche e con la trasmissione di dati sensibili. Per tali tecnologie, la disciplina applicativa è integrata dall’Appendice Tecnica TELCO, la quale stabilisce criteri specifici per la predisposizione della documentazione tecnica e per l’attribuzione della premialità.
Sul piano operativo, le Linee guida stabiliscono le modalità con cui il criterio premiale deve essere tradotto nei documenti di gara. La premialità deve risultare esplicitamente nel bando, nell’avviso o nell’invito, e deve essere disciplinata mediante clausole conformi al modello indicato dall’ACN.
Le stazioni appaltanti sono tenute a richiedere agli operatori economici la presentazione della Bill of Materials (B.O.M.) in formato CycloneDX 1.6 o formato equivalente autorizzato, completa dell’indicazione della provenienza dei componenti attraverso i campi obbligatori “Manufacturer” e “Provider”. Tale documento deve essere accompagnato da un’autodichiarazione attestante la correttezza e completezza della distinta e la provenienza dei componenti dai Paesi considerati sicuri. La provenienza, ai fini dell’attribuzione del punteggio, deve risultare univoca per tutti i componenti di livello 1, pena la perdita integrale del beneficio premiale.
Le Linee guida precisano, inoltre, che la premialità non può essere suddivisa o graduata in funzione della percentuale di componenti conformi: essa opera secondo un meccanismo binario (“on/off”) che assegna otto punti esclusivamente quando tutti i componenti di livello 1 provengono da Paesi appartenenti all’Unione europea o altri in white list. La presenza anche di un solo componente di livello 1 proveniente da un Paese non considerato affidabile comporta automaticamente la mancata attribuzione dell’intero punteggio.
Da ciò discende l’assoluta obbligatorietà del criterio premiale: la sua omissione nei documenti di gara integra una violazione della disciplina di settore, con possibili conseguenze in caso di controllo da parte dell’ACN.
Le clausole tipo da inserire nei disciplinari per l’applicazione dei criteri di premialità
Le linee guida di ACN precisano che le Stazioni appaltanti, comprese le centrali di committenza, includono nella documentazione di gara una clausola ad hoc per l’attribuzione della premialità. A titolo esemplificativo, ACN propone due esempi di clausola tipo:
Ipotesi 1 (generale, ad esclusione di approvvigionamenti di sistemi e servizi telefonia mobile 4G e 5G)
«Ai sensi dell’articolo 4, primo periodo, del DPCM del 30 aprile 2025, come modificato dal DPCM 2 ottobre 2025, gli operatori economici producono, in sede di offerta, l’elenco di tutti gli elementi (componenti o servizi) per il livello 1 della BOM (Bill of Materials) conforme ai requisiti di cui alle Linee guida adottate dall’Agenzia per la cybersicurezza nazionale, sentita l’Autorità nazionale anticorruzione, comprensiva almeno dei campi minimi indicati nelle medesime Linee guida;
nonché una autodichiarazione che attesti che la propria offerta contempla, al livello di dettaglio riportato nella BOM, di cui si attesta la correttezza e la completezza, l’uso di tecnologie di cybersicurezza italiane, o di Paesi appartenenti all’Unione europea, o di Paesi aderenti all’Alleanza atlantica (NATO), o di Paesi terzi di cui all’Allegato 3 del citato DPCM.
La BOM dovrà essere fornita, ai sensi dell’Allegato 1, parte II, n. 1), lett. a), del DPCM 30 aprile 2025, in formato CycloneDX versione 1.6 o altro formato equivalente, previa autorizzazione della stazione appaltante».
Ipotesi 2 (approvvigionamenti di sistemi e servizi telefonia mobile 4G e 5G)
«Ai sensi dell’articolo 4, secondo e terzo periodo, del DPCM del 30 aprile 2025, come modificato dal DPCM 2 ottobre 2025, gli operatori economici producono, in sede di offerta, l’elenco di tutti i componenti di fabbricazione delle infrastrutture impiegate per erogare i servizi e sistemi di telefonia mobile 4G e 5G, in versione sia stand-alone che non stand-alone, e successive evoluzioni tecnologiche, conforme ai requisiti di cui alle Linee guida adottate dall’Agenzia per la cybersicurezza nazionale, sentita l’Autorità nazionale anticorruzione, comprensiva dei campi del prospetto indicati nelle medesime Linee guida;
nonché una autodichiarazione che attesti che la propria offerta contempla, al livello del prospetto indicato nelle medesime Linee guida, di cui si attesta la correttezza e la completezza, l’uso di tecnologie di cybersicurezza italiane, o di Paesi appartenenti all’Unione europea, o di Paesi aderenti all’Alleanza atlantica (NATO), o di Paesi terzi di cui all’Allegato 3 del citato DPCM.
Il prospetto di tutti i componenti di fabbricazione delle infrastrutture impiegate per erogare i servizi e sistemi di telefonia mobile 4G e 5G, in versione sia stand-alone che non stand-alone, e successive evoluzioni tecnologiche, dovrà essere fornito come previsto nel prospetto di cui all’Appendice tecnica TELCO delle medesime Linee guida».
Verifica successiva dell’ACN e conseguenze sulle procedure di gara relative ai beni ICT
Il sistema dei criteri premiali non si esaurisce nella fase di presentazione dell’offerta. Le Linee guida ACN chiariscono che la Bill of Materials e le autodichiarazioni rese dagli operatori economici in sede di gara sono soggette a verifiche successive, anche dopo l’aggiudicazione, mediante attività di scrutinio tecnico eseguite dall’Agenzia ai sensi dell’art. 1, comma 6, lett. a), del decreto-legge n. 105/2019.
Tale previsione segna una rilevante discontinuità rispetto alla tradizionale fase dei controlli nelle gare pubbliche, poiché introduce un presidio di sicurezza nazionale destinato a incidere direttamente sull’efficacia del contratto avente ad oggetto beni ICT.
La verifica opera come valutazione tecnica dell’effettiva corrispondenza tra i componenti impiegati e quanto dichiarato nella B.O.M., assicurando che i prodotti o i servizi utilizzati dalla pubblica amministrazione non presentino elementi estranei ai Paesi considerati affidabili dal DPCM 30 aprile 2025.
Qualora dalla verifica emerga anche una sola difformità rispetto alla distinta dichiarata o siano individuati componenti di livello 1 provenienti da Paesi non affidabili, le Linee guida impongono che la stazione appaltante preveda nei contratti clausole di risoluzione espressa, da applicare in caso di non conformità.
L’eventuale inserimento di componenti non dichiarati o la presenza di elementi provenienti da Paesi non riconosciuti sicuri non comportano una mera penalità economica, ma configurano una violazione del principio di fiducia sancito dall’art. 2 del Codice dei contratti pubblici, con conseguenze sul rapporto contrattuale, sulla responsabilità dell’operatore economico e sull’obbligo di segnalazione all’ANAC ai sensi degli artt. 96 e 98 del D.lgs. n. 36/2023.
Di particolare rilievo è il fatto che la verifica dell’ACN non si pone come attività eventuale, ma come controllo strettamente connesso alla tutela degli interessi nazionali strategici. La natura critica dei beni ICT oggetto della disciplina rende necessaria una vigilanza continua sull’intera supply chain tecnologica, la cui integrità non può essere garantita unicamente attraverso le dichiarazioni rese in fase di gara.
Ne deriva un modello di protezione multilivello che vincola gli operatori economici a mantenere per l’intera durata del contratto le stesse condizioni di sicurezza dichiarate nell’offerta, ponendo un obbligo permanente di conformità e trasparenza tecnologica.
Conclusioni: supporto legale qualificato per l’applicazione della normativa
Il quadro delineato dal DPCM 30 aprile 2025 e dalle Linee guida ACN richiede alle stazioni appaltanti un approccio tecnico-giuridico rigoroso, fondato sulla corretta individuazione dei beni ICT, sulla predisposizione delle clausole premiali e sulla gestione delle verifiche della supply chain informatica.
Si tratta di adempimenti che impongono una competenza trasversale tra diritto degli appalti e sicurezza informatica, ambito nel quale il nostro Studio opera stabilmente, affiancando enti pubblici e soggetti privati.
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.