L’obbligo di conformità ai requisiti ACN per l’Ambiente di Condivisione Dati nelle linee guida MIT sulla gestione informativa digitale: ambito soggettivo e perimetro applicativo alla luce del decreto direttoriale 21007/2024

La progressiva digitalizzazione delle procedure di affidamento e gestione delle opere pubbliche, culminata nell’introduzione dell’obbligo di utilizzo di di metodi e strumenti di gestione informativa digitale, ha attribuito una funzione centrale nell’ecosistema informativo delle stazioni appaltanti all’Ambiente di Condivisione dei Dati (ACDat, per mantenere uniformità con l’acronimo citato nelle linee guida, e che in ambito internazionale coincide con la definizione di CDE – Common Data Environment).

Tale centralità non è soltanto tecnica o organizzativa, ma assume una precisa rilevanza giuridica, soprattutto
alla luce dell’interazione tra le Linee guida e il Regolamento in materia di infrastrutture digitali e servizi cloud per la pubblica amministrazione adottato dall’Agenzia per la Cybersicurezza Nazionale con Decreto Direttoriale n. 21007/2024 del 27 giugno 2024.

Le Linee guida chiariscono espressamente che l’ACDat, destinato alla gestione, conservazione e condivisione di dati aventi rilevanza amministrativa, tecnica e contrattuale, può essere erogato come servizio cloud nelle modalità IaaS, PaaS o SaaS, oppure in modalità on-premises accessibile tramite rete internet, e che, ai fini della sicurezza cibernetica, esso deve garantire adeguati livelli di affidabilità, disponibilità, integrità, riservatezza e protezione dei dati trattati. In tale contesto viene richiamato il Decreto Direttoriale n. 21007/2024, precisando che il livello di adeguamento o qualificazione dell’ambiente deve corrispondere alla classificazione dei dati e dei servizi digitali operata dall’amministrazione utilizzatrice ai sensi del Regolamento Cloud.

Il richiamo al citato Decreto non costituisce una semplice indicazione, ma introduce un vincolo giuridico diretto che incide sulle modalità con cui le stazioni appaltanti devono configurare e selezionare l’ACDat. Il Regolamento Cloud (art. 33-septies D.L 179 del 18 ottobre 2012, convertito dalla legge 221 del 17 dicembre 2012), attribuisce infatti all’ACN il compito di stabilire i livelli minimi di sicurezza, capacità elaborativa e affidabilità delle infrastrutture digitali e dei servizi cloud per la pubblica amministrazione, nonché di disciplinare i procedimenti di qualificazione e adeguamento.

Per comprendere l’effettivo ambito soggettivo di applicazione di tale disciplina è necessario soffermarsi sulla definizione di “amministrazioni centrali” e “amministrazioni locali”, che il Regolamento individua attraverso il rinvio all’art. 1, comma 3, della legge del 31 dicembre 2009, n. 196. Tale disposizione, nell’ambito della legge di contabilità e finanza pubblica, demanda alla ricognizione operata dall’ISTAT, pubblicata periodicamente nella Gazzetta Ufficiale della Repubblica italiana, l’individuazione delle amministrazioni pubbliche ai fini del conto economico consolidato. Ne consegue che l’obbligo di conformità ai requisiti ACN, per quanto concerne le amministrazioni centrali e locali, si applica ai soggetti ricompresi nell’elenco ufficiale ISTAT vigente, con una delimitazione oggettiva e formale del perimetro dei destinatari.

L’effetto combinato del Decreto Direttoriale n. 21007/2024 e del rinvio alla ricognizione ISTAT comporta che le amministrazioni centrali e locali individuate siano tenute ad assicurare che l’ACDat utilizzato per la gestione informativa delle opere pubbliche sia conforme ai livelli previsti dal Regolamento Cloud. Tale conformità si traduce, a seconda della natura del fornitore, nella necessità che il servizio sia qualificato dall’ACN qualora erogato da un operatore privato, oppure adeguato qualora gestito da un soggetto pubblico o da una società in house. In entrambi i casi, la verifica della conformità si sostanzia nella presenza del servizio nel catalogo delle infrastrutture e dei servizi cloud per la pubblica amministrazione, gestito dall’ACN.

La classificazione dei dati e dei servizi digitali, che costituisce presupposto per l’individuazione del livello di adeguamento o qualificazione richiesto, assume pertanto una funzione determinante. L’ACDat, per sua natura, tratta informazioni che possono riguardare progetti esecutivi, elaborati tecnici, documentazione contrattuale, dati relativi alla sicurezza di infrastrutture strategiche o di edifici pubblici sensibili. La natura e la sensibilità di tali dati impongono all’amministrazione una valutazione preventiva e documentata, in coerenza con il modello di classificazione previsto dal Regolamento, dalla quale discende la scelta del livello minimo di sicurezza richiesto.

Sotto il profilo sistematico, l’obbligo di conformità ai requisiti ACN si inserisce in un più ampio quadro di integrazione tra Codice dei contratti pubblici, Ecosistema nazionale di approvvigionamento digitale e disciplina della cybersicurezza. L’ACDat non coincide con le piattaforme di approvvigionamento digitale, ma si colloca in un rapporto di integrazione funzionale rispetto ad esse, costituendo il sistema di riferimento per la gestione informativa e per il monitoraggio dell’esecuzione del contratto. In questo contesto, l’adozione di un ambiente non conforme ai requisiti ACN determinerebbe una frattura nel
sistema di garanzie posto a tutela dell’integrità, della riservatezza e della disponibilità delle informazioni
pubbliche.

L’obbligatorietà della conformità ACN per l’ACDat utilizzato dalle amministrazioni individuate da ISTAT non può pertanto essere considerata una mera best practice o un’opzione organizzativa. Essa costituisce un adempimento normativo obbligatorio, la cui inosservanza potrebbe incidere sulla legittimità delle scelte tecnologiche della stazione appaltante e, nei casi più gravi, determinare responsabilità sotto il profilo amministrativo e contabile.

In conclusione, il Decreto Direttoriale n. 21007/2024, in combinato disposto con l’art. 1, comma 3, della legge n. 196 del 2009 e con la ricognizione ISTAT pubblicata in Gazzetta Ufficiale, rende inequivocabilmente obbligatoria la conformità ai requisiti ACN per l’Ambiente di Condivisione dei Dati utilizzato dalle pubbliche amministrazioni centrali e locali lì individuate. L’ACDat, ove adottato da amministrazioni rientranti nel perimetro soggettivo individuato e quale infrastruttura informativa essenziale per la gestione digitale delle opere pubbliche, deve pertanto essere adeguato o qualificato secondo i livelli previsti dal Regolamento Cloud, in coerenza con la classificazione dei dati trattati, a garanzia della sicurezza cibernetica e della legittimità dell’azione amministrativa digitale.