Cybersicurezza e interesse nazionale: le nuove regole del governo sui contratti ICT

Il Decreto del Presidente del Consiglio dei Ministri del 30 aprile 2025, pubblicato nella Gazzetta Ufficiale n. 102 di ieri, lunedì 5 maggio 2025, apporta novità rilevanti al quadro giuridico nazionale in materia di approvvigionamento di beni e servizi informatici nei settori strategici. La normativa interviene in attuazione dell’art. 14 della Legge 28 giugno 2024, n. 90, delineando un impianto regolatorio che unisce logiche di sicurezza nazionale, sovranità tecnologica e cooperazione internazionale.

Ambito oggettivo e finalità strategiche

Il provvedimento disciplina l’acquisto di beni e servizi ICT destinati a contesti sensibili, connessi alla tutela degli interessi nazionali strategici e alla sicurezza della Repubblica. Si rivolge tanto a soggetti pubblici (di cui all’art. 2, comma 2, del CAD) quanto a soggetti privati strategici, ricompresi nel perimetro di sicurezza cibernetica.

La ratio è duplice: da un lato garantire un livello adeguato di cybersicurezza intrinseca dei sistemi, dall’altro incentivare l’impiego di tecnologie sviluppate in Paesi alleati o partner dell’Unione europea e della NATO, valorizzando la filiera tecnologica nazionale.

---

Pilastri normativi: gli elementi essenziali di cybersicurezza

L’Allegato 1 del decreto cristallizza un insieme di requisiti tecnici e organizzativi vincolanti, tra cui:

• assenza di vulnerabilità note nei prodotti all’atto della fornitura;
• configurazione sicura di default e possibilità di ripristino;
• aggiornamenti automatici e tempestivi, con notifica agli utilizzatori;
• cifratura avanzata dei dati e sistemi di autenticazione robusti;
• controllo degli accessi, minimizzazione dei dati trattati e resilienza agli attacchi DoS;
• tracciamento e logging delle operazioni critiche.

La sezione II impone ulteriori obblighi sul piano della gestione delle vulnerabilità, tra cui la fornitura di una distinta base del software (Software Bill of Materials), test di sicurezza periodici, e canali sicuri per la distribuzione delle patch.

---

Categorie tecnologiche coinvolte

L’Allegato 2 individua ben 22 categorie di beni e servizi informatici per i quali si richiede il rispetto degli elementi di cybersicurezza. L’elenco è dettagliato e spazia da VPN, firewall, microprocessori sicuri, a sistemi di videosorveglianza, piattaforme cloud, infrastrutture critiche, fino a droni, dispositivi FPGA e componenti di automazione industriale.

L’integrazione con i codici CPV (Common Procurement Vocabulary) fornisce un criterio oggettivo di identificazione nei procedimenti di gara.

---

Premialità e geopolitica della sicurezza

Uno degli aspetti più innovativi è contenuto nell’art. 4: i criteri di premialità nelle procedure di acquisto si applicano quando le offerte prevedano l’impiego di tecnologie ICT Italiane, di Paesi UE, NATO, oppure di Paesi terzi con accordi di cooperazione riconosciuti.

L’Allegato 3 enumera i sei Paesi terzi inizialmente ammessi: Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera. La selezione è frutto di valutazioni diplomatiche e tecniche, in un’ottica di affidabilità operativa e affinità strategica.

---

Implicazioni pratiche per operatori pubblici e privati

Il decreto impone un cambio di paradigma per le strutture pubbliche e le imprese soggette agli obblighi: l’approvvigionamento ICT non può più basarsi esclusivamente su logiche economiche, ma deve coniugare criteri di sicurezza, tracciabilità, affidabilità e trasparenza.

Sarà necessario:

• effettuare valutazioni di rischio ex ante;
• richiedere ai fornitori una documentazione tecnica conforme (inclusi SBOM);
• mantenere un registro aggiornato delle vulnerabilità;
• garantire una resilienza continua degli asset digitali.