gli effetti

Decreto Ucraina, che devono fare la stazione appaltante e l’operatore economico

La crisi Ucraina, come noto, ha imposto anche al nostro al Governo di adottare misure volte a contrastare gli effetti economici e umanitari. Così è stato emanato il DL 21/22 che punta, tra l’altro, a rafforzare la sovranità tecnologica. Vediamo come e con quali conseguenza per le PA e gli operatori economici

31 Mar 2022
Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Baccalaureata

Con il DL n. 21 del 21 marzo 2022, cosiddetto “decreto Ucraina” è iniziata la corsa delle PA che sono tutte tenute a sostituire antivirus, antimalware e firewall di provenienza russa. Questa sanguinosa guerra (della Russia contro l’Ucraina) ha da settimane messo in allarme anche chi utilizza prodotti e servizi tecnologici di sicurezza informatica di organizzazioni legate alla Federazione russa.

Se da un lato non v’è certezza che il Kaspersky sia in grado di fornire servizi e aggiornamenti ai propri prodotti, dall’altro c’è un fondato timore che il colosso russo possa essere una possibile fonte di esfiltrazione di dati o veicolo di attacchi cibernetici.

Il decreto ucraina, PA e forniture ict sotto lo scudo

L’art. 29 del DL 21/2022, in particolare, stabilisce alcune disposizioni volte al rafforzamento della disciplina in materia di cybersecurity.

Ecco il decreto “Kaspersky”, perché è chiave la sovranità tecnologica

I tre fronti

Nella specie, sono tre i fronti d’irrobustimento dell’apparato difensivo a protezione delle reti e dei dispositivi:

  • una diversificazione;
  • una corsia preferenziale per le forniture di servizi e prodotti sostitutivi;
  • uno scudo dei dipendenti pubblici rispetto a eventuali ipotesi di responsabilità erariale — per mala gestio del denaro pubblico — per appalti speedy.

Ma andiamo con ordine.

La diversificazione

Il decreto ucraina poi con specifico riferimento ai prodotti e applicativi di sicurezza dei dispositivi e delle reti, impone alle PA l’obbligo di diversificarli, specie se in uso.

WHITEPAPER
Facility Management: come aumentare qualità e trasparenza, riducendo i costi
Blockchain
IoT

In altri termini, costringe tutte le PA ad acquisire altri prodotti o servizi in relazione a ciascuna delle categorie che saranno individuate con apposita circolare da parte dell’ACN (Agenzia per la cybersicurezza).

Il tutto al fine di non più dipendere dalle aziende come Kaspersky di provenienza russa.

Gli appalti in corsia preferenziale

Non c’è tempo, occorre muoversi mentre la guerra si protrae. Ma bisogna anche fare i conti con i tempi tecnici delle gare di appalto.

Le PA grazie a una deroga alle regole del codice appalti (il famoso D.lgs n. 50/2016 e le sue 818 modifiche), al fine di diversificare i prodotti e servizi di sicurezza informatica, potranno “viaggiare” su due corsie preferenziali. Da un lato ci saranno gli strumenti di acquisto messi a disposizione dalle centrali di committenza e procedure negoziate senza la preventiva pubblicazione del bando, senza passare (ecco la deroga) da quei controlli che generalmente vengono richiesti.

Lo scudo e la responsabilità erariale

Lo si sa: le deroghe alla normativa sugli appalti costituiscono sempre motivo di preoccupazione per i funzionari pubblici. Sicché la discrezionalità, in questo ambito, potrebbe sollevare contestazioni ed essere fonte di responsabilità.

Talché il decreto ucraina stronca il problema sul nascere, stoppando in radice qualsivoglia forma di responsabilità erariale. Infatti, nel DL 21/22 si legge che «l’attuazione dell’obbligo di acquisire con tempestività prodotti differenziali di sicurezza informatica è fuori del campo di applicazione dell’azione di responsabilità prevista dalla legge 20/1994».

LE PRINCIPALI MISURE DEL DECRETO UCRAINA
CosaCome
bonus sociale elettricità e gas (riconosciuto)per il periodo 1° aprile-31 dicembre 2022, a chi ha un valore ISEE pari a 12.000 euro
potenziamento delle attività di sorveglianza sui prezzipotenziando attività e strumenti a disposizione di “Mister prezzi” affiancando al Garante per la sorveglianza dei prezzi (già istituito presso il MISE) un’apposita “Unità di missione” (da istituire) per:
  • attività istruttorie,
  • analisi,
  • valutazione ed elaborazione dei dati;
garanzia di trasparenza e monitoraggio nel mercato del gas naturaleonerando i titolari dei contratti di approvvigionamento di gas nel trasmettere al Ministero della transizione ecologica e all’Autorità di Regolazione per Energia Reti e Ambiente (cd ARERA) i contratti già sottoscritti ovvero da sottoscrivere

Il decreto ucraina, per la prima volta adottate misure cyber

Nel decreto ucraina al fine assicurare la sicurezza delle reti e dei sistemi informativi e informatici per la prima volta compaiono misure volte, come detto, il rafforzamento della disciplina cyber, peraltro necessarie in conseguenza del protrarsi di questo conflitto bellico.

Si tratta di misure finalizzate a prevenire eventuali «pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche» le note PA.

Il rafforzamento della disciplina cyber (art. 29 – DL 21/2022)

Partiamo dal dato normativo. È l’art. 29 (qui il testo) a richiedere alle PA di dismettere subito l’antivirus Kaspersky ovvero dei prodotti in uso acquistati presso aziende connesse al mondo russo. Siano esse extra UE ovvero intra UE ma il leitmotiv è costante: “stop” alle soluzioni della russa Kaspersky.

I prodotti interessati, gli altri software (russi) banditi

Con riferimento al primo punto, soffermiamoci sui prodotti interessati. Il decreto Ucraina copre, in proposito, quei prodotti e servizi dai quali dipende la sicurezza informatica.

L’obiettivo è palese: assicurare la continuità e, anzi, il rafforzamento della sicurezza dei dispositivi denominati “endpoint security” tra cui si annoverano gli applicativi antivirus, antimalware e altri.

I cd “endpoint detection and response”- EDR sono applicativi volti alla sicurezza dei dispositivi, delle postazioni di lavoro e dei server contro le minacce informatiche, attraverso l’uso di firme euristiche/modelli comportamentali.

I cd WAF “web application firewall” sono invece prodotti necessari al fine di ridurre il rischio di compromissione delle reti e sistemi tramite lo sfruttamento delle vulnerabilità su applicazioni web, grazie all’analisi automatica ed eventuale filtraggio delle richieste via web.

Cosa cambia sul fronte operational, per le aziende/operatori economici

Vediamo quindi che cosa operativamente cambia per la stazione appaltante e l’operatore economico.

In virtù della citata espressa deroga al VI comma dell’art. 63 del codice appalti, le PA sono quindi autorizzate a procedere tramite gara (procedura negoziata) senza una previa pubblicazione del bando di gara, così accorciando i tempi.

Alcuni possibili scenari problematici

Facciamo un esempio.

Gara pubblica indetta ben prima dei noti fatti di guerra, con aggiudicazione provvisoria., Prima che la PA annulli la gara agendo in autotutela, indicendone un’altra con rischi del caso, scoppia la guerra e tra gli effetti ecco che esce il DL in disamina.

Quid iuris?

Ricordiamo che nelle gare l’operatore/azienda fornitrice non può chiedere il lucro cessante o mancato guadagno, dovendo ricominciare da capo l’intera trafila di trattativa commerciale con conseguente perdita di provvigioni, tempo, danaro e risorse.

Le conseguenze, tra cui la durata

Il mondo delle PA non è come nel mondo privato dove qualunque tipo di approvvigionamento si sceglie e si compera.

Non funziona così. Come detto, occorrono procedure negoziate che seguono tutti gli step come per legge, salvo gli affidamenti diretti, purché nei limiti di soglia ex lege stabilita.

In materia di contratti, la preoccupazione maggiore che gli operatori economici vivono risiede nella durata annuale che potrebbe determinare un duplice scenario: da un lato la rivisitazione di tutti i contratti in essere; e dall’altro un possibile aumento dei costi poiché i provider non avendo più la garanzia di “lunga durata” sugli appalti aggiudicati, saranno costretti ad un incremento in tal senso.

Kaspersky, e le aziende private

Il noto russo Kaspersky nei confronti dei quali anche il Garante Privacy ha aperto un’istruttoria con il chiaro intento di verificare la correttezza del trattamento dei dati, se è imposto per legge ex art. 29 DL 21/22 impone l’obbligo di dismetterlo da parte delle PA, tale imposizione non vale altrettanto per le aziende private.

Certo, la dismissione del noto e predetto antivirus, è altrettanto consigliata anche nel comparto privato; se non altro in considerazione del fatto che, nonostante le presunte smentite, non sarebbero più garantiti gli aggiornamenti con quanto per conseguenza in termini di una minore e più vulnerabile protezione.

WHITEPAPER
Employee engagement da remoto: i tool che aumentano partecipazione e produttività
Digital Transformation
Risorse Umane/Organizzazione
@RIPRODUZIONE RISERVATA

Articolo 1 di 4