DIGITALIZZAZIONE APPALTI
BIM e cybersicurezza: la piattaforma digitale collaborativa ACDat rientra tra i servizi cloud regolati dall’ACN
In un contesto in cui la digitalizzazione dei processi di progettazione e gestione delle opere pubbliche rappresenta un obiettivo strategico per la modernizzazione della Pubblica Amministrazione, si fa sempre più pressante la necessità di chiarire il quadro normativo e regolamentare applicabile agli strumenti digitali impiegati. Tra questi, un ruolo centrale è occupato dall’Ambiente di Condivisione dei Dati (ACDat) o Common Data Environment (CDE), piattaforma digitale collaborativa utilizzata, in particolare, nell’ambito dell’adozione del Building Information Modeling (BIM) da parte delle stazioni appaltanti.
Il codice degli appalti, (Dlgs 36/2023) e il successivo correttivo (Dlgs 209/2024) stabiliscono nell’ Allegato I.9 Art. 1 comma 4 che le stazioni appaltanti pubbliche hanno l’obbligo di dotarsi di un Ambiente di Condivisione dei Dati.
Tale soluzione informatica costituisce il fulcro della gestione informativa durante tutto il ciclo di vita di un appalto pubblico, dal suo affidamento alla gestione del contratto. È la piattaforma informatica attraverso la quale la committenza e i fornitori si coordinano e scambiano le informazioni (materiale tecnico, contrattuale, modelli, elaborati grafici, informazioni di natura economico finanziaria ecc.) al fine di garantire che il procedimento si svolga secondo principi di trasparenza, in conformità alle clausole contrattuali stipulate ed alla salvaguardia e protezione dei dati scambiati.
Fatte queste premesse diventa lecito domandarsi se piattaforme informatiche aventi le caratteristiche di un ACDat si possano configurare come “servizi cloud per la Pubblica Amministrazione” alla luce del Regolamento adottato dall’Agenzia per la Cybersicurezza Nazionale (ACN) in materia di infrastrutture digitali e servizi cloud destinati agli enti pubblici.
L’ACDat come ambiente digitale collaborativo e cloud-based
L’Ambiente di Condivisione dei Dati si configura, per caratteristiche intrinseche, come una piattaforma centralizzata di raccolta, gestione e condivisione delle informazioni relative a un’opera pubblica. Esso è strutturato per accogliere sia dati strutturati che non strutturati e per garantire l’interoperabilità tra i vari attori coinvolti nel ciclo di vita dell’opera: dalla progettazione, alla costruzione, fino alla manutenzione e gestione.
Altre caratteristiche fondamentali sono quelle di essere soluzioni tecnologiche con ampie possibilità di gestire molti dati, di gestire con formati aperti e interoperabili, di attuare l’automazione di processi approvativi, di garantire l’accesso a molti stakeholders con la possibilità di personalizzazione e adattamento alle molteplici esigenze dell’utenza.
Tali caratteristiche sono ampiamente documentate nei codici internazionali (ISO 19650), nelle norme tecniche italiane (UNI 11337) ed oggetto di indagine nei tavoli di lavoro del CEN nella Technical Committee for BIM (CEN/TC 442).
Dal punto di vista infrastrutturale, i CDE sono nella quasi totalità dei casi implementati su architetture cloud-based, secondo modelli SaaS (Software as a Service), PaaS (Platform as a Service) o IaaS (Infrastructure as a Service), e resi disponibili tramite Internet. Ciò li rende evidentemente assimilabili, per configurazione e modalità di erogazione, a veri e propri servizi cloud, come delineati all’articolo 1, lettere p) e q), del Regolamento ACN.
Obbligo di qualificazione o adeguamento: il nodo normativo
Alla luce di quanto sopra, si ritiene che l’ACDat rientri nel perimetro applicativo del Regolamento ACN, e che pertanto, se fornito da soggetto privato, sia soggetto all’obbligo di qualificazione secondo le matrici definite negli allegati tecnici del regolamento (QC1–QC4); se invece gestito da una Pubblica Amministrazione o da una società in house, sia necessario procedere al relativo adeguamento (matrici AC1–AC4).
Il livello di qualificazione o adeguamento richiesto non è uniforme, ma dipende dalla classificazione dei dati trattati, come previsto dall’art. 3 del Regolamento. I dati possono essere classificati in tre categorie:
- Dati ordinari
- Dati critici (es. modelli o planimetrie di edifici e infrastrutture pubbliche, documentazione tecnica riservata)
- Dati strategici (es. informazioni sensibili su opere di rilevanza nazionale o infrastrutture critiche)
Laddove l’ACDat tratti almeno dati critici, risulta necessario raggiungere un livello minimo di qualificazione QC2. In presenza di dati strategici, il livello si eleva a QC3, con requisiti di sicurezza, resilienza e controllo ancora più stringenti secondo la normativa.
Conseguenze della non conformità: tra legittimità e responsabilità
L’utilizzo, da parte di una stazione appaltante, di un ACDat non qualificato o non adeguato rispetto ai livelli richiesti dal Regolamento ACN comporta serie conseguenze sul piano della legittimità dell’azione amministrativa. In particolare, l’art. 21 del Regolamento attribuisce all’ACN il potere di revoca o inibizione del servizio, qualora esso non risulti conforme ai requisiti previsti.
Non meno rilevante è il profilo della responsabilità amministrativa e contabile: in caso di danno derivante dalla violazione degli obblighi di sicurezza informatica, possono configurarsi ipotesi di responsabilità diretta a carico dei funzionari responsabili della gestione o affidamento del servizio non conforme.
Una scelta strategica per la PA digitale
Alla luce del quadro normativo delineato, appare evidente che l’utilizzo di un ACDat non possa più essere considerato una scelta meramente tecnica. Si tratta, al contrario, di una decisione regolata da norme stringenti, la cui corretta applicazione rappresenta una condizione essenziale per la conformità procedimentale, la continuità operativa e la tutela dell’interesse pubblico.
Le stazioni appaltanti sono dunque chiamate ad adottare un approccio consapevole, basato sulla valutazione preliminare della natura e classificazione dei dati trattati, sulla verifica del livello di qualificazione/adeguamento del servizio e sull’adozione di soluzioni conformi al Regolamento ACN.
In un’epoca in cui la gestione digitale delle opere pubbliche rappresenta un nodo cruciale della trasformazione della PA, il rispetto dei requisiti previsti dall’ACN non è, dunque, soltanto un obbligo giuridico, ma anche una scelta di responsabilità istituzionale. Solo garantendo la sicurezza, l’affidabilità e la conformità dei servizi cloud adottati sarà possibile costruire un ecosistema digitale pubblico robusto, sostenibile e realmente funzionale alle necessità operative
