Cybersicurezza e pubblica amministrazione

Stefano Rossa, Cybersicurezza e Pubblica Amministrazione, in Contributi di Diritto amministrativo. Studi e Monografie, collana diretta da F.G. Scoca, M. D’Orsogna, L. Giani, M. Immordino, A. Police, M.A. Sandulli, M.R. Spasiano, Editoriale Scientifica, Napoli, 2023, pp. 1-274, ISBN 979-12-5976-671-7.

***

La monografia analizza in chiave giuridica il tema della cybersicurezza pubblica, concentrandosi in particolare sui profili relativi alla Pubblica Amministrazione.

L’opera, che si sviluppa in sei capitoli, dopo aver ricostruito il significato del concetto di “cybersicurezza pubblica”, pone in evidenza alcuni aspetti della cybersicurezza che rappresentano rilievi critici per il Diritto amministrativo: su tutti la centralità delle reti e delle infrastrutture digitali, impiegate dalle Pubbliche Amministrazioni, per l’esercizio di funzioni amministrative e la prestazione di servizi pubblici con le tecnologie dell’informazione e della comunicazione (ICT), in un momento storico nel quale i poteri pubblici agiscono sempre più con strumenti digital-based. In tale contesto, la proprietà e la concreta gestione delle infrastrutture digitali impiegate dai soggetti pubblici assumono notevole rilevanza, sennonché emerge la circostanza per cui i proprietari e i gestori delle stesse non sono i soggetti pubblici ma quelli privati: le c.d. Big Tech. Lo Stato, e più in generale la Pubblica Amministrazione, si trova dunque costretto a rivolgersi al mercato per l’acquisto di beni e servizi digitali, fra cui giocoforza quelli relativi alla cybersicurezza. Le caratteristiche peculiari del mercato digitale, quali la rapidità dell’evoluzione tecnologica, i costanti e ingenti investimenti necessari a sostenere tale rapida evoluzione, l’asimmetria informativa e organizzativa fra i vari player di mercato e il relativo effetto lock-in, pongono lo Stato “acquirente pubblico” in una situazione di debolezza e di dipendenza nei confronti delle imprese tecnologiche “fornitrici di tecnologia”.

Le suddette criticità si riflettono sulla disciplina giuridica della cybersicurezza pubblica, ampiamente esaminata nel volume.

Da un lato, la trattazione si focalizza sulla “dimensione verticale” della cybersicurezza pubblica, riguardante il rapporto che intercorre fra i diversi livelli di governo europei e nazionali, indagandone con approccio storico-evolutivo la disciplina giuridica dell’Unione europea e quella italiana, approfondendo la relazione fra l’ENISA, l’European Network and Information Security Agency (anche nota come European Union Agency for Cybersecurity) e le diverse agenzie nazionali di cybersicurezza, in particolare ACN, l’Agenzia per la Cybersicurezza Nazionale italiana. Dall’altro lato, invece, è analizzata la “dimensione orizzontale”, concernente il rapporto che nell’ambito cyber si instaura fra tutti i soggetti coinvolti, abbiano essi natura pubblica o privata, e che viene in rilievo proprio in riferimento all’ambito degli acquisti pubblici di beni e servizi di cybersicurezza.

Dall’analisi delle due “dimensioni”, soprattutto di quella “orizzontale”, emerge un dato significativo: nonostante uno dei pilastri concettuali della cybersicurezza (recte: della cyber-resilienza) sia la collaborazione fra i vari attori coinvolti in tale ambito, la disciplina giuridica della cybersicurezza pubblica risulta essere caratterizzata da un approccio di tipo autoritativo anziché (anche) da uno di natura collaborativa fra tutti gli attori coinvolti, in particolare fra quelli pubblici e privati. Una logica autoritativa basata nello specifico sul binomio “obbligo-sanzione” (si pensi, ad esempio, agli obblighi dell’adozione di misure tecniche minime e di comunicazione di cyber incidenti o all’obbligo del rispetto del quadro comune per la certificazione della cybersicurezza di beni e servizi) che limita fortemente le potenzialità delle politiche di cybersicurezza pubblica e che si concretizza, in particolare, nella fase dell’acquisto pubblico di beni e servizi di cybersicurezza, poiché si ricorre prevalentemente a procedure di scelta del contraente “tradizionali”, caratterizzate da un’accentuata formalità e distanza fra l’acquirente pubblico e il fornitore privato, tipica della logica regolatoria – su tutte la procedura aperta come momento d’attuazione della centralizzazione delle committenze.

Mettendo in evidenza la necessità di ampliare gli spazi di collaborazione, al fine di incrementare l’efficacia delle politiche pubbliche di cybersicurezza, l’analisi suggerisce il ricorso ad alcuni istituti in grado di instaurare una relazione (maggiormente) sinergica fra pubblico-privato, specificamente nell’ambito degli appalti pubblici di beni e servizi di cybersicurezza, fra cui gli appalti innovativi (in particolare il partenariato per l’innovazione). Procedure di scelta del contraente, vale a dire, caratterizzate da una maggior collaborazione fra chi si trova ad acquistare beni o servizi – i soggetti pubblici – e chi, invece, quei beni o servizi li vende – i soggetti privati – in grado di ridurre le criticità tipiche del mercato tecnologico nella fase di acquisto di beni e servizi.

Il ricorso agli appalti innovativi, a ben guardare, consentirebbe il recupero della funzione pianificatoria pubblica: lo Stato non si troverebbe più nella situazione di “subire” le scelte del fornitore di tecnologia, ma avrebbe astrattamente la possibilità di confrontarsi con le imprese in una situazione di eguaglianza e parità (tecnica, informativa, gestionale). Anzi, avrebbe addirittura potenzialmente uno strumento con cui guidare il processo tecnologico attraverso una collaborazione “orientata” al raggiungimento dei fini posti dal soggetto pubblico e dai suoi fabbisogni, sulla scia dello Stato Innovatore (recte: Entrepreneurial State) teorizzato da M. Mazzucato, affiorando in tal modo un suo ritrovato ruolo centrale – come del resto testimoniano i tentativi di alcuni Paesi di costruire infrastrutture digitali statali. Tutto ciò però è condizionato dal raggiungimento di un livello più elevato di alfabetismo digitale, nella società civile e nella Pubblica Amministrazione, tramite una solida promozione della cultura ICT e, nello specifico, di cybersicurezza.