Enti e Associazioni

Cybersecurity e gare pubbliche: requisiti restrittivi non sono un abuso ma una cintura di sicurezza

Redazione Redazione
Maggio 04, 2026 - 09:31
0 0

lentepubblica.it

Nel dibattito sugli appalti digitali esiste una parola che viene spesso usata come clava contro le stazioni appaltanti: “restrittivo”.

Basta che una lex specialis richieda una certificazione tecnica o una qualificazione di piattaforma perché qualcuno invochi, quasi automaticamente, la violazione del favor partecipationis e della tassatività dei requisiti. Il punto è che, nel d.lgs. 36/2023, questa lettura sta cambiando asse. La concorrenza resta un valore, ma non è un idolo assoluto: è uno strumento funzionale a selezionare operatori realmente idonei, soprattutto quando l’oggetto della prestazione incide su dati, infrastrutture e servizi digitali in cloud.

È in questa prospettiva che si colloca l’indirizzo reso dall’ANAC nel parere di precontenzioso n. 103/2026, che legittima requisiti speciali ulteriori (e anche stringenti) in materia di cybersicurezza quando trovano fondamento in una normativa speciale, sono attinenti e proporzionati e risultano funzionali al conseguimento del risultato.

La questione esaminata

Il caso è paradigmatico: una procedura aperta per un servizio complesso di gestione di procedimenti sanzionatori amministrativi, nel quale l’elemento tecnologico non è accessorio ma strutturale, con utilizzo di soluzioni cloud in modalità SaaS. La lex specialis pretendeva, come requisiti di capacità tecnica e professionale, il possesso di certificazioni ISO/IEC 27001, 27017 e 27018, oltre alla qualificazione del servizio cloud SaaS rilasciata dall’Agenzia per la cybersicurezza nazionale.

L’operatore istante contestava la scelta su due fronti: a) tali certificazioni sarebbero requisiti non tipizzati dall’art. 100 e dunque non esigibili come condizioni di partecipazione, semmai valorizzabili come elementi premiali; b) la richiesta estesa a tutti i componenti del raggruppamento temporaneo sarebbe eccessiva e contraria al favor partecipationis.

La risposta dell’Autorità

La risposta dell’Autorità è interessante perché non si limita a “dire di sì” ai requisiti, ma costruisce una motivazione su due livelli, entrambi rilevanti per chi scrive bandi digitali. Il primo livello è testuale e si aggancia a una clausola chiave del Codice: l’art. 100, comma 12, sancisce la tassatività dei requisiti speciali “fatte salve” le ipotesi previste da leggi speciali.

Qui sta la crepa – voluta – nella tassatività: se un corpus normativo settoriale impone standard tecnici inderogabili per erogare servizi digitali alla PA, la stazione appaltante non solo può, ma deve pretendere che l’operatore sia strutturalmente conforme a quegli standard prima di affidargli il servizio. In questa logica, le certificazioni non sono “premi”, ma presupposti di idoneità, perché attestano un assetto organizzativo e di controllo coerente con obblighi di sicurezza e protezione dei dati.

Il secondo livello è più “politico” nel senso tecnico del termine, perché riguarda la discrezionalità amministrativa e il nuovo baricentro dei principi del Codice. ANAC valorizza esplicitamente il principio del risultato e, in filigrana, quello della fiducia, per affermare che la discrezionalità della stazione appaltante nella conformazione dei requisiti non è più un’eccezione da esercitare con timore, ma un potere fisiologico da esercitare entro limiti rigorosi: attinenza, proporzionalità, ragionevolezza e coerenza con l’interesse pubblico perseguito.

In sostanza, l’Autorità dice questo: se il servizio è tecnologicamente sensibile, la stazione appaltante può pretendere requisiti tecnici che riducano il rischio, purché non inventi barriere arbitrarie e sappia dimostrare perché quel requisito è davvero funzionale alla prestazione.

La tassatività dei requisiti speciali

Questo passaggio è decisivo perché sposta l’asse interpretativo classico. Per anni la tassatività dei requisiti speciali è stata letta come un recinto rigido, dentro il quale la stazione appaltante poteva muoversi solo in spazi strettamente tipizzati.

Il parere n. 103/2026 recepisce invece l’evoluzione giurisprudenziale più recente e, in particolare, richiama l’arresto del Consiglio di Stato, Sez. V, 22 dicembre 2025, n. 10185, secondo cui le stazioni appaltanti possono introdurre requisiti ulteriori rispetto a quelli tipizzati se risultano attinenti e proporzionati all’oggetto del contratto e coerenti con l’interesse pubblico, che non coincide soltanto con l’ampliamento massimo della platea dei concorrenti, ma anche con la selezione di operatori capaci di garantire standard tecnici e qualitativi adeguati. Il favor partecipationis, quindi, non è un veto alla qualità: è un criterio di bilanciamento contro le restrizioni ingiustificate.

Il nuovo perimetro della tassatività

Il parere è interessante anche perché si colloca in un dialogo interno all’ANAC. Viene infatti evocato un precedente orientamento (parere n. 375/2025) più rigido, nel quale la previsione di certificazioni di qualità come requisiti a pena di esclusione era stata letta con maggiore severità.

Il nuovo indirizzo non contraddice la tassatività; la “ricompone” con la clausola di salvezza e con la lettura contemporanea della discrezionalità: la tassatività non elimina il potere conformativo della stazione appaltante, ma lo vincola a una prova di coerenza e proporzionalità, soprattutto quando la normativa settoriale impone standard di sicurezza.

Stazioni appaltanti e requisiti “cyber”

Che cosa deve fare, allora, una stazione appaltante che vuole inserire requisiti “cyber” senza esporsi a ricorsi? La risposta non è un formulario, ma un metodo.

  1. Ancorare i requisiti a una base normativa settoriale effettiva, non a mere preferenze tecniche. Se si pretende una qualificazione o una certificazione, bisogna dimostrare che quella certificazione è il modo ragionevole per garantire conformità a obblighi di sicurezza, protezione dei dati e affidabilità del cloud nella PA.
  2. Dimostrare l’attinenza all’oggetto. Non basta dire “servizio informatico”. Bisogna spiegare perché, nel caso concreto, l’assetto cloud e la gestione di dati e procedure richiedono standard elevati e perché l’assenza di quei requisiti aumenterebbe un rischio incompatibile con l’interesse pubblico.
  3. Proporzionalità vera. Il requisito deve essere calibrato sul servizio. Se la prestazione è SaaS qualificato, la qualificazione ACN ha senso come requisito. Se la componente cloud è marginale, quel requisito rischia di diventare sproporzionato.
  4. Gestione corretta dei raggruppamenti. Se si estendono requisiti a tutti i componenti dell’RTI, va motivato in rapporto alla ripartizione delle prestazioni. Pretendere che ogni mandante possieda certificazioni che attengono alla componente cloud, quando la mandante svolge solo attività non connesse, può diventare un eccesso. Viceversa, se la prestazione è integrata e ogni componente incide su gestione e trattamento dei dati, l’estensione può essere ragionevole.

Le implicazioni di questa lettura

Il risultato pratico di questo indirizzo è chiaro: in un appalto digitale la stazione appaltante non deve più temere di “selezionare” troppo, deve temere di selezionare male. Se i requisiti sono costruiti come barriere arbitrarie, il giudice li abbatte; se invece sono lo strumento necessario per assicurare conformità a standard normativi e qualità della prestazione, diventano difendibili e, anzi, coerenti con il principio del risultato. È un ribaltamento culturale che interessa direttamente tutte le amministrazioni che stanno migrando servizi in cloud e che gestiscono procedure e banche dati sensibili: la cybersicurezza non è un punteggio, è una condizione di idoneità.

In conclusione, il messaggio di ANAC (e della giurisprudenza che l’Autorità richiama) è lineare: i requisiti tecnici ulteriori non sono vietati, sono pericolosi solo quando sono gratuiti. Quando invece sono radicati in una normativa speciale e sono calibrati sull’oggetto, diventano una cintura di sicurezza della procedura e non un abuso contro il mercato. La concorrenza, in questa chiave, non è sacrificata: è orientata. Perché nei servizi digitali alla PA il risultato non è “aver aggiudicato”, ma aver affidato a chi può davvero garantire sicurezza, affidabilità e continuità.

The post Cybersecurity e gare pubbliche: requisiti restrittivi non sono un abuso ma una cintura di sicurezza appeared first on lentepubblica.it.

Leggi di più
Articolo precedente

Addio processi inutili: la Corte Costituzionale “cancella” le accuse senza pr...

Articolo successivo

Giovani trovati morti in un fossato: il luogo dell'incidente

Qual è la tua reazione?

Mi piace Mi piace 0
Antipatico Antipatico 0
Lo amo Lo amo 0
Comico Comico 0
Wow Wow 0
Triste Triste 0
Furioso Furioso 0
Redazione
Redazione

Redazione Eventi e News

Articoli correlati

I concorsi pubblici in scadenza a maggio 2026

Redazione
Maggio 03, 2026
0
0
1° Maggio: Lavoro, Dignità e Futuro rimettendo le persone al centro

1° Maggio: Lavoro, Dignità e Futuro rimettendo le pe...

Redazione
Maggio 02, 2026
0
4

Un solo cartello per più telecamere: scatta la viola...

Redazione
Maggio 05, 2026
0
0
Decreto accise 2026: ecco quali sono tutte le novità

Decreto accise 2026: ecco quali sono tutte le novità

Redazione
Maggio 02, 2026
0
4

Come viene pagato in busta paga il Primo Maggio 2026?

Redazione
Maggio 03, 2026
0
0

Decreto accise 2026: ecco quali sono tutte le novità

Redazione
Maggio 03, 2026
0
0

Commenti (0)

User