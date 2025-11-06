Categorie principali
Cybersicurezza: le linee guida ACN per i criteri di premialità nei contratti pubblici

L’Agenzia per la Cybersicurezza Nazionale ha pubblicato le Linee guida per l’applicazione dei criteri di premialità nei contratti pubblici.

Allegati

L’Agenzia per la Cybersicurezza Nazionale ha pubblicato le Linee guida per l’applicazione dei criteri di premialità nei contratti pubblici. In ballo ci sono non solo appalti e tecnologie, ma una nuova architettura di fiducia nazionale. Chi lavora con la pubblica amministrazione – o spera di farlo – è avvisato. Sugli adempimenti per la cybersicurezza, abbiamo organizzato il corso Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025 e il Master in Compliance Management.

Scarica le linee guida in PDF

Linee-guida_Criteri_Premialita.pdf 1 MB

Indice

1. La premialità diventa legge: cosa dice l’art. 14 della legge 90/2024


L’articolo 14 della legge n. 90/2024 – colonna normativa del nuovo ecosistema nazionale di cybersicurezza – introduce un principio chiave: nelle procedure pubbliche per l’acquisto di prodotti e servizi ICT, i criteri di aggiudicazione devono premiare la cybersicurezza, valutata secondo parametri stabiliti a livello centrale.
Tradotto: se vuoi vincere un bando della PA con una tecnologia digitale, devi dimostrare di avere una cybersicurezza all’altezza, ben documentata, controllabile, e, in certi casi, anche “nazionalmente fedele”.
L’obiettivo è chiaro: ridurre la dipendenza da tecnologie estere opache, favorire soluzioni sicure, trasparenti, interoperabili e, quando possibile, italiane o europee. Ma per capire come funziona questo meccanismo – e perché interessa anche giuristi, DPO, responsabili procurement e legali d’impresa – serve leggere con attenzione le Linee guida pubblicate da ACN nell’ottobre 2025, sentita l’ANAC.

2. Il cuore della riforma: la cybersicurezza entra nei bandi


Le Linee guida specificano i criteri premianti da inserire nei bandi pubblici e spiegano come calcolare il punteggio che un’offerta può ottenere grazie a:

  • una maggiore trasparenza del software (tramite la cosiddetta BOM, Bill of Materials),
  • la nazionalità della tecnologia,
  • la qualità delle misure di sicurezza implementate,
  • l’adesione a standard riconosciuti e a schemi di certificazione.

Non si tratta di semplici “consigli”, ma di criteri obbligatori per tutte le amministrazioni pubbliche, che dovranno strutturare i bandi (e i capitolati) con queste indicazioni, pena la loro impugnabilità o inefficacia.
In altre parole: chi compra, deve premiare la cybersicurezza. Chi vende, deve saperla dimostrare.

3. La BOM: il “menu” degli ingredienti digitali


Il cuore tecnico della rivoluzione è proprio lei: la BOM (Bill of Materials). Che cos’è?
Una distinta base del software, ovvero un documento strutturato che elenca tutti i componenti di un sistema informatico o digitale, comprese librerie, plugin, dipendenze, versioni, fornitori e licenze.
La BOM serve a:

  • identificare vulnerabilità note,
  • verificare la provenienza delle componenti,
  • controllare eventuali rischi di sicurezza o compliance.

ACN chiede una BOM profonda e ampia: non basta elencare la macroarchitettura, serve dettagliare fino al terzo livello, in alcuni casi anche oltre. E non solo per i prodotti software, ma anche per servizi digitali e piattaforme SaaS.
La BOM diventa così uno strumento di trasparenza e tracciabilità, fondamentale nei processi di valutazione, monitoraggio e verifica ex post.

4. Tecnologie sovrane: perché l’origine conta


Un altro aspetto non secondario è la nazionalità delle tecnologie impiegate.
Le Linee guida specificano che viene premiata la localizzazione dell’origine tecnologica (produzione, sviluppo, controllo, governance) sul territorio nazionale o dell’Unione Europea, in coerenza con gli obiettivi strategici di cyber-resilienza, sovranità digitale e autonomia strategica.
Non si tratta di autarchia tecnologica, ma di una preferenza strategica: meno dipendenze da vendor esterni, più controllo sugli aggiornamenti, più affidabilità in caso di crisi geopolitiche o cyber-attacchi sistemici.
Il principio della “digital sovereignty” – evocato in ambito europeo da anni – trova qui una prima concreta applicazione a livello normativo e operativo in Italia.

5. Come si calcola il punteggio: ponderazione, clausole tipo e controlli


Il documento fornisce esempi pratici di ponderazione del criterio di premialità all’interno dell’offerta tecnica, suggerendo anche clausole tipo da inserire negli atti di gara.
Ma attenzione: non è sufficiente dichiarare il rispetto del criterio per ottenere il punteggio. Serve documentarlo, allegare la BOM in formato leggibile, compilare i campi minimi previsti (e quelli facoltativi per ottenere punteggi superiori), ed essere pronti a sottoporsi a controlli a campione o sistematici.
Le PA potranno inoltre prevedere lotti riservati o dedicati esclusivamente a tecnologie con determinate caratteristiche di cybersicurezza, escludendo chi non è in grado di fornire tali garanzie.

6. Chi deve preoccuparsi? Tutti. Ma qualcuno di più.


Le Linee guida hanno impatto immediato su:

  • fornitori IT e operatori del cloud che vogliono lavorare con la PA,
  • uffici legali e procurement pubblici che devono impostare i bandi,
  • DPO e referenti privacy, chiamati a valutare la trasparenza delle soluzioni proposte,
  • soggetti aggregatori, centrali di committenza, stazioni appaltanti,
  • ma anche su consulenti, integratori, software house e legal tech provider.

Chi finora ha trattato la cybersicurezza come un “bollino” o un paragrafo accessorio della documentazione, dovrà ripensare l’intera value proposition, dotarsi di strumenti per generare BOM affidabili, garantire origine controllata, e soprattutto imparare a raccontare bene – e documentare meglio – la propria affidabilità digitale.

7. Le PA non sono più solo acquirenti: diventano architetti della sicurezza


Un ultimo punto, forse il più importante: queste Linee guida trasformano le pubbliche amministrazioni in protagoniste della cybersicurezza nazionale.
Non si tratta più solo di “comprare bene”, ma di definire standard, orientare il mercato, premiare comportamenti virtuosi e costruire ecosistemi sicuri.
Un cambio di paradigma. E anche una responsabilità.
Perché ogni bando scritto male, ogni criterio eluso, ogni BOM incompleta, è una porta aperta nel sistema immunitario digitale del Paese.

8. Conclusione: la rivoluzione silenziosa è già iniziata


Chi lavora nel settore pubblico o fornisce tecnologie alla PA non può più ignorare queste Linee guida.
Non sono un’appendice tecnica, ma una nuova grammatica per la fiducia digitale, su cui si misureranno affidabilità, integrità, trasparenza e capacità competitiva.
La cybersicurezza, da oggi, non è solo una questione tecnica o normativa, ma un criterio di selezione pubblica, una voce nei punteggi di gara, una condizione di accesso ai fondi pubblici.
E come per ogni cambiamento serio, chi se ne accorge troppo tardi… resterà fuori.

Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

