Appalti, se il concorrente è vittima di un cyber attacco: cosa dice il Consiglio di Stato - Agenda Digitale

L'approfondimento

Appalti, se il concorrente è vittima di un cyber attacco: cosa dice il Consiglio di Stato

Una sentenza del Consiglio di Stato permette di approfondire la particolare situazione in cui il concorrente di una gara si ritrovi vittima di un attacco ransonware: ecco cosa prevede la legge e come comportarsi

07 Ott 2021
Enrico Attili

Avvocato, Founder e-Law Studio Legale

Photo by Tingey Injury Law Firm on Unsplash

La casistica giurisprudenziale collegata alla gestione telematica delle gare d’appalto, seppure sotto alcuni profili abbastanza tipizzata, offre comunque spunti di riflessione in ordine a fattispecie peculiari. Il Consiglio di Stato si è espresso sulle conseguenze dell’attacco informatico di cui sarebbe stato vittima il concorrente ad una gara d’appalto per servizi di pulizia, che gli avrebbe impedito di ricontrarre in termini le richieste formulate dalla Stazione Appaltante in sede di soccorso istruttorio ex art. 83, co. 9, D.lgs. n. 50/2016 (attivato in riferimento ad alcune incongruenze riscontrate nel DGUE).

L’iter giudiziario

Dal punto di vista processuale si osserva come, rispetto al ricorso al TAR del secondo classificato, avverso l’aggiudicazione della procedura ad altro operatore economico, quest’ultimo avesse “reagito” con un ricorso incidentale, contestando che il ricorrente principale avrebbe dovuto essere a sua volta escluso: in particolare, sarebbe stata illegittima la tutela accordata alla sua posizione concorrenziale, visto lo sforamento dei termini concessi dalla Stazione Appaltante in sede di soccorso istruttorio, la cui violazione non poteva essere giustificata alla luce dell’attacco informatico di cui sarebbe stato vittima.

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity

Appalti pubblici, ecco come non sprecare i fondi del PNRR

In secondo grado sono seguite la proposizione dei rispettivi appelli, principale ed incidentale, delle parti coinvolte (dunque aggiudicatario e secondo classificato), e la decisione del Consiglio di Stato, che come si dirà ha ribaltato l’approccio seguito dal giudice di prime cure.

L’iniziale sentenza del TAR Calabria – Catanzaro (Sez. I, 2 novembre 2020, n. 1756), infatti, aveva accolto sia il ricorso principale che quello incidentale. Quanto a quest’ultimo, aveva ritenuto che l’attacco informatico subito dal secondo classificato non avrebbe potuto giustificare lo sforamento dei termini per regolarizzare la propria posizione in sede di soccorso istruttorio.

La decisione del Consiglio di Stato

Il Consiglio di Stato, con la sentenza della Sez. V, 16 agosto 2021, n. 5882, ha invece ritenuto che l’attacco informatico di cui trattasi potesse essere assunto a giustificazione della mancata ottemperanza dei termini per riscontrare le richieste della Stazione Appaltante. Prima di proseguire rileva delineare maggiormente la fattispecie controversa. Come in parte anticipato, il concorrente era stato chiamato ad emendare alcuni errori del DGUE, tramite una comunicazione della Stazione Appaltante caricata sulla piattaforma informatica di gara.

Tuttavia, il sistema informatico dell’operatore economico era stato oggetto di un attacco informatico e per alcuni giorni era stato inutilizzabile. Nello specifico, il virus informatico (di tipo c.d. ransomware) tramite il quale era avvenuto l’attacco, aveva colpito non solo la posta elettronica certificata, ma l’intero sistema informatico aziendale: di ciò, si precisa, era stata data prova dinanzi al TAR, tramite apposita perizia.

In merito alle comunicazioni di gara, una clausola del capitolato d’oneri prevedeva altresì che «…l’operatore economico ammesso al Sistema Dinamico di acquisizione per la fornitura di Servizi di pulizia e igiene ambientale per gli immobili in uso, a qualsiasi titolo, alle pubbliche amministrazioni con la presentazione della “Domanda di ammissione” ha eletto domicilio nell’apposita area “comunicazioni” ad esso riservata ai fini della ricezione di ogni comunicazione inerente ogni AS di cui [alla piattaforma informatica di gara], nonché presso l’indirizzo di posta elettronica certificata ivi indicata. Pertanto, nel caso di indisponibilità del Sistema, la stazione appaltante invierà le comunicazioni inerenti l’AS a mezzo pec…».

A fronte di tale previsione di lex specialis, si pone(va) il dubbio che tale comunicazione, considerato che la piattaforma fosse teoricamente accessibile da un altro device, potesse ritenersi comunque conosciuta dal concorrente dal momento della sua ricezione (o meglio, del caricamento) – anche alla luce della indicata elezione di domicilio (ai fini di gara) nell’area “comunicazioni” della piattaforma informatica – con conseguente assenza di un diritto alla rimessione in termini. Viceversa, l’attacco alla casella di posta elettronica certificata risultava non ovviabile (non, perlomeno, in tempi brevi), visto che l’accesso non poteva essere garantito, contrariamente all’accesso alla piattaforma di gara, tramite un altro device.

Applicazione dei principi di leale collaborazione e buona fede

Nel delineato contesto, mentre il TAR ha optato per la possibilità di anestetizzare gli effetti dell’atto informatico impiegando un altro device, il Consiglio di Stato ha reso una pronuncia di segno opposto, ricorrendo ad un excursus argomentativo che, muovendo dal principio di leale collaborazione e buona fede nei rapporti tra privato e pubblica amministrazione, identifica la nozione di forza maggiore, declinandola al caso di specie.

Nello specifico, l’applicazione dei predetti principi generali comporta la facoltà, anche se sarebbe meglio dire il dovere, per la Pubblica Amministrazione committente, di rimettere in termini il concorrente che, per causa di forza maggiore, non abbia potuto assolvere in termini agli adempimenti procedimentali richiestigli (entro un dato termine ed a pena di esclusione) dalla lex specialis. Al riguardo, il Supremo Consesso amministrativo ha richiamato l’orientamento maturato in ordine alla comprova del possesso dei requisiti dichiarati in gara, il cui termine è stato ritenuto perentorio tranne che nel «…caso di oggettivo impedimento alla produzione della documentazione non in disponibilità…», citando a supporto svariati precedenti (quali Consiglio di Stato, Sez. VI, 5 aprile 2017, n. 1589; Sez. IV, 16 febbraio 2012, n. 810; Sez. V, 13 dicembre 2010, n. 8739).

La «forza maggiore», invece, è stata definita sulla base delle decisioni assunte dalla giurisprudenza civile, in particolare dagli Ermellini, ed individuata «…in un evento che non può evitarsi neanche con la maggiore diligenza possibile (cfr. Cass.,. III, 1 febbraio 2018, n. 2480; 31 ottobre 2017, n. 25837)…».

Tanto chiarito, il Consiglio di Stato ha altresì precisato, rifacendosi ad altro precedente, che «…nel caso dell’attacco di un virus informatico che comprometta l’accesso alla posta elettronica certificata, richiedendo per la sua soluzione l’intervento di un operatore specializzato e del tempo necessario a ripristinare il sistema (cfr. Cons. St., V, 18 ottobre 2018, n. 5958)…» si verta in una chiara ipotesi di forza maggiore. Sulla base di detti assunti, considerata la perentorietà del termine assegnato dalla Stazione Appaltante al fine di regolarizzare la propria posizione in sede di soccorso istruttorio, il Collegio procedente ha ulteriormente chiarito che «…la rimessione in termini può essere concessa solo nei casi eccezionali di effettiva impossibilità ad adempiere…», dunque di forza maggiore.

Le conseguenze del ransomware

Nel caso di specie, peraltro, l’attacco non si era arrestato alla casella di posta elettronica, ma aveva coinvolto l’intero sistema informatico del concorrente, bloccato dal giorno prima della ricezione della comunicazione di soccorso istruttorio, sino a circa quattro giorni prima della scadenza del termine assegnato per adempiere dalla Stazione Appaltante. Si riporta, al riguardo, la scansione temporale indicata in sentenza: comunicazione sul soccorso istruttorio datata 23 ottobre 2020; termine di dieci giorni per adempiere, in scadenza il 2 novembre 2020; blocco dei sistemi informatici del concorrente dal 22 ottobre 2020 fino al 29 ottobre 2020.

Nel delineato contesto non sarebbe invece sostenibile che il concorrente avrebbe potuto avere contezza delle richieste della Stazione Appaltante accedendo alla Piattaforma informatica di gara da un altro device: ciò in quanto, spiega il Consiglio di Stato, «… non è dimostrato nella specie … che la società fosse venuta a conoscenza, prima della scadenza del termine assegnato per il soccorso istruttorio, del fatto che la stazione appaltante aveva inviato sulla piattaforma telematica utilizzata per la gara la comunicazione concernente il soccorso istruttorio…».

L’analisi

La conclusione cui giunge la sentenza all’esame appare in via teorica corretta, posto che il concorrente in alcun modo avrebbe potuto avere contezza dell’attivazione del soccorso istruttorio, in quanto erano temporaneamente inaccessibili, sia il contesto virtuale di riferimento (ovvero l’area comunicazioni della Piattaforma di gara), sia il metodo alternativo di ricezione delle comunicazioni di gara (ovvero la casella di posta elettronica certificata). Desta qualche perplessità, invece, alla luce della scansione temporale di cui sopra, il fatto che il Consiglio di Stato non abbia considerato sufficienti quattro giorni – intercorrenti tra il ripristino del sistema informatico del concorrente e la scadenza del termine assegnato per assolvere alle richieste formulate dalla Stazione Appaltante in sede di soccorso istruttorio – per avvedersi delle, e riscontrare le, richieste della Committente. Ciò, soprattutto se si considera che la «forza maggiore», per come definita in sentenza, era stata accostata alla «maggiore diligenza possibile» nel cercare di evitare gli effetti negativi dell’evento avverso.

Per prendere (adeguata) posizione al riguardo, tuttavia, bisognerebbe avere esatta contezza degli adempimenti cui era stato chiamato il concorrente: stando alla ricostruzione fattuale appresa dalla lettura della sentenza, per il vero, rettificare le inesattezze del DGUE non appare operazione impossibile in tale arco temporale. Inoltre, che la procedura di gara fosse in corso era senz’altro noto all’operatore economico, che una volta ripristinati i sistemi avrebbe potuto (e dovuto) verificare immediatamente cosa fosse accaduto «in loro assenza»: salvo che, chiaramente, anche a ripristino avvenuto non si fosse riscontrata una sorta di lento ritorno alla normalità, che aveva reso impossibile procedere celermente nel senso prospettato.

In questa sede, si ripete, mancano dettagliate (e necessarie) informazioni: ci si limita dunque a rilevare come, in situazioni consimili nelle quali dovesse trovarsi chi legge, qualora quattro giorni siano sufficienti a riscontrare le richieste della Stazione Appaltante, è preferibile non adagiarsi sulla sentenza in commento, che avrebbe potuto esitare in una decisione diversa, per quanto abbastanza rigida.

Cosa deve fare il concorrente in caso di attacco informatico

Ovvero che, durante una procedura di evidenza pubblica, i richiamati principi di correttezza e leale collaborazione impongono al concorrente – anche in presenza di un attacco informatico che renda inservibile il proprio sistema, compromettendo sotto vari profili l’accesso alle informazioni concernenti lo svolgimento della procedura di gara – di farsi parte diligente informando immediatamente la Stazione Appaltante, sì da individuare forme alternative di comunicazione; inoltre, una volta ripristinato il sistema, appare necessario verificare immediatamente, presso l’area comunicazioni della Piattaforma di gara, eventuali richieste della Stazione Appaltante, al fine di riscontrarle tempestivamente (ove ancora possibile), ovvero richiedere una opportuna rimessione in termini in presenza di adempimenti eccessivamente complessi e non assolvibili nell’arco di pochi giorni: in difetto di detti adempimenti, richiesti all’operatore economico nella sua veste di parte diligente, il concorrente potrebbe essere escluso, non rappresentando più, l’attacco informatico, un evento integralmente impeditivo, dunque una causa di forza maggiore.

Sotto altra angolazione, si rileva come la circostanza di non avere avuto a disposizione l’intero termine assegnato dalla Stazione Appaltante in sede di soccorso istruttorio – anche in presenza di un attacco informatico e specie qualora, una volta riparati i conseguenti malfunzionamenti, residui la possibilità di riscontrare a scadenza le richieste della Committenza – potrebbe non essere sufficiente ad invocare la dilazione del termine stesso. Preme, dunque, allertare gli operatori economici affinché non conformino acriticamente la propria condotta di gara ad un caso giurisprudenziale che presenta peculiarità non necessariamente replicabili in altre circostanze.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3