Con la pubblicazione sulla Gazzetta Ufficiale n. 102 del 5 maggio 2025 del DPCM 30 aprile 2025, entra in vigore una nuova disciplina vincolante per le amministrazioni pubbliche e i soggetti inclusi nel perimetro di sicurezza nazionale cibernetica. Il decreto definisce gli standard minimi di cybersicurezza applicabili ai contratti ICT, in attuazione dell’art. 14 della Legge n. 90/2024, rafforzando il presidio normativo a tutela degli interessi strategici e della sicurezza nazionale. Per approfondire il tema, abbiamo pubblicato il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon
Indice
1. Il perimetro di applicazione e i soggetti coinvolti
Il decreto si inserisce nel complesso normativo nazionale ed europeo volto al rafforzamento delle difese cibernetiche, disciplinando i contratti per la fornitura di beni e servizi ICT destinati a contesti critici. Sotto il profilo soggettivo, le disposizioni si applicano sia alle amministrazioni pubbliche, come definite dal Codice dell’Amministrazione Digitale, sia ai soggetti privati già inclusi nel perimetro di sicurezza nazionale cibernetica, introdotto dal D.L. n. 105/2019.
Il provvedimento stabilisce criteri tecnici vincolanti in sede di procurement ICT, individuando gli elementi essenziali di cybersicurezza che devono essere integrati nei capitolati e nelle specifiche di gara. Di questi, in particolare, tratteremo nel Forum Appalti del 2025, che si terrà a Bologna dal 10 all’11 giugno 2025, un’occasione di incontro, confronto e formazione per tutti coloro che si occupano di appalti. L’obiettivo è duplice: da un lato, uniformare i requisiti minimi in fase contrattuale; dall’altro, garantire la protezione delle infrastrutture strategiche nazionali da rischi informatici.
2. Requisiti minimi di cybersicurezza e gestione del rischio ICT
L’Allegato 1 del decreto costituisce il nucleo operativo della disciplina, specificando i requisiti tecnici da rispettare. Le prescrizioni si articolano in due macro-sezioni: proprietà intrinseche dei beni/servizi e gestione delle vulnerabilità.
Per quanto concerne le proprietà tecniche, i prodotti ICT devono garantire integrità, riservatezza e disponibilità delle informazioni, protezione da accessi non autorizzati, resilienza agli attacchi esterni (inclusi attacchi DDoS), nonché funzionalità di aggiornamento automatico e di tracciabilità delle operazioni. Di particolare rilievo è il requisito di “secure by default”, che impone la configurazione sicura per impostazione predefinita.
In materia di gestione delle vulnerabilità, emerge l’obbligo per i fornitori di predisporre una distinta base del software (Software Bill of Materials – SBOM), comprensiva delle dipendenze di primo livello. Altri obblighi includono: correzione tempestiva delle falle di sicurezza, comunicazione trasparente delle vulnerabilità, e valutazione del rischio lungo tutta la catena di fornitura. Per approfondire il tema, abbiamo pubblicato il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon
Investigazioni e prove digitali
Il volume si propone come una guida chiara e aggiornata per professionisti del diritto, consulenti forensi, tecnici informatici e forze dell’ordine che devono orientarsi nel complesso panorama dell’investigazione e della prova digitale. Le tecnologie emergenti stanno radicalmente trasformando il contesto giuridico: blockchain, crypto asset, NFT e smart contract, un tempo considerati di nicchia, sono oggi elementi centrali nelle indagini di polizia giudiziaria, nelle controversie civili e nelle consulenze tecniche forensi.Il testo affronta, con taglio pratico, questioni complesse come la tracciabilità delle transazioni su registri distribuiti, l’attribuzione e il sequestro di wallet digitali e la gestione di flussi finanziari illeciti, e i relativi risvolti giuridici: la trasferibilità mortis causa dei crypto asset, i problemi di proprietà e autenticità legati agli NFT, e l’applicazione concreta degli smart contract in ambito patrimoniale e contrattuale.Gli autori, con un solido background pratico, dedicano ampio spazio alle attività investigative in ambienti cifrati, con un focus specifico sulla raccolta, conservazione e analisi della prova digitale, rispondendo alle crescenti esigenze di validità e affidabilità richieste dai contesti giudiziari. MARCO STELLADocente presso l’Accademia e la Scuola di Polizia Economico-Finanziaria della Guardia di Finanza nelle materie di Informatica, Open Source intelligence e investigazioni online. Autore di numerose pubblicazioni e relatore in convegni sui temi della Social Network Analysis, della Blockchain Intelligence e delle applicazioni di Intelligenza Artificiale.
Marco Stella | Maggioli Editore
32.30 €
3. Tecnologie rilevanti e criteri di premialità
L’Allegato 2 individua ben 22 categorie tecnologiche soggette agli obblighi di sicurezza. Tra le più significative si segnalano: sistemi IAM (Identity and Access Management), software antivirus, VPN, firewall, router, microprocessori con funzionalità di sicurezza, SIEM, dispositivi SCADA, e soluzioni cloud. A ciascuna categoria è associato uno o più codici CPV (Common Procurement Vocabulary), al fine di agevolare l’individuazione dei beni nei documenti di gara.
L’art. 4 introduce un importante strumento di incentivazione: nei contratti che implicano l’uso di tecnologie su reti o sistemi critici, potranno essere applicati criteri di premialità alle offerte che prevedono l’impiego di tecnologie sviluppate in Italia, in ambito UE, NATO o in sei Paesi terzi considerati affidabili (Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda, Svizzera). La premialità è subordinata alla presentazione di un SBOM conforme.
4. Impatto operativo e aggiornabilità della disciplina
Il decreto presenta una forte valenza operativa. Le stazioni appaltanti sono tenute ad adeguare i propri atti di gara, introducendo clausole vincolanti sui requisiti di cybersicurezza, nonché a verificare la conformità tecnica delle forniture. Sarà altresì necessario istituire procedure interne di audit e monitoraggio continuo del rispetto degli obblighi da parte dei fornitori.
L’efficacia del provvedimento è rafforzata dalla sua natura dinamica: è prevista infatti la possibilità di aggiornamento periodico degli allegati, al fine di tenere conto dell’evoluzione tecnologica, delle nuove minacce e dell’ampliamento dei partenariati internazionali. Questo approccio flessibile consente al legislatore di reagire in modo tempestivo al mutato contesto cibernetico globale.
5. Conclusione
Il DPCM 30 aprile 2025 rappresenta un tassello fondamentale nella strategia nazionale di cybersicurezza, traducendo in obblighi giuridici puntuali le esigenze di protezione delle infrastrutture critiche. Per i giuristi coinvolti nella redazione e valutazione di contratti ICT, il decreto impone un’attenta rilettura delle clausole tecniche, delle procedure di selezione dei fornitori e dei meccanismi di verifica della sicurezza, in un’ottica di compliance evolutiva. Il rispetto di tali requisiti non è solo un adempimento formale, ma condizione sostanziale per garantire la continuità operativa e la sicurezza del Paese.
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento