Il DPCM del 30 aprile 2025, pubblicato in Gazzetta Ufficiale il 5 maggio sta introducendo una serie di misure innovative destinate a ridefinire le modalità con cui le pubbliche amministrazioni italiane acquistano beni e servizi informatici. L’obiettivo principale è quello di garantire elevati standard di cybersicurezza per tutte le tecnologie impiegate nella tutela degli interessi strategici nazionali. Il provvedimento si inserisce nel quadro della Legge n. 90 del 28 giugno 2024, e in particolare dell’articolo 14, fissando requisiti stringenti per l’approvvigionamento ICT da parte della PA e degli enti pubblici. Tali requisiti mirano a prevenire vulnerabilità, proteggere le infrastrutture digitali critiche e promuovere una maggiore resilienza del sistema informatico nazionale.

Una delle novità più importanti consiste nell’enfasi posta sulla cosiddetta “progettazione sicura”, che implica la realizzazione di sistemi pensati per essere protetti fin dalla fase iniziale. Ogni componente, software o hardware, dovrà garantire la protezione di dati sensibili, la capacità di resistere ad attacchi (inclusi quelli di tipo denial-of-service) e la possibilità di ristabilire rapidamente le funzionalità in caso di incidente. È inoltre fondamentale ridurre le superfici di attacco, ovvero i punti accessibili a possibili aggressori, soprattutto nelle interfacce esposte all’esterno. Inoltre, un altro pilastro del decreto è la gestione delle vulnerabilità. Il DPCM impone un monitoraggio continuo dei sistemi, richiedendo l’adozione di procedure automatizzate per l’identificazione e la correzione delle criticità. Le imprese fornitrici, inoltre, devono garantire la diffusione gratuita e tempestiva degli aggiornamenti di sicurezza, separandoli, ove possibile, da quelli funzionali. Ogni aggiornamento deve essere corredato da istruzioni chiare, indicazioni sul livello di rischio e sulle azioni da intraprendere, favorendo così una risposta rapida e consapevole da parte degli utenti.

Viene dedicata una certa attenzione alla supply chain: viene, dunque, richiesto alle amministrazioni pubbliche di conoscere e valutare i fornitori coinvolti nella realizzazione o gestione delle soluzioni ICT e tale analisi deve includere l’affidabilità dei soggetti, la sensibilità delle componenti fornite e il livello di esposizione al rischio informatico. Il fine è costruire una filiera tecnologica trasparente e sicura, evitando che elementi non controllati possano minare la cybersicurezza nazionale.

Il decreto specifica inoltre quali beni e servizi rientrano nel perimetro delle nuove regole. Si tratta di soluzioni fondamentali per la sicurezza informatica: sistemi di gestione delle identità, software anti-malware, VPN, firewall, infrastrutture crittografiche e molto altro. L’Allegato 2 del DPCM ne offre un elenco dettagliato. La “lista dei Paesi sicuri” si considera un ulteriore elemento strategico, contenuta nell’Allegato 3. Oltre agli Stati membri dell’UE e della NATO, il decreto include Australia, Svizzera, Corea del Sud, Giappone, Israele e Nuova Zelanda. Le tecnologie provenienti da questi Paesi, considerati partner affidabili grazie a specifici accordi di cooperazione, beneficeranno di criteri di premialità nei bandi pubblici. Ciò significa che le offerte basate su soluzioni ICT provenienti da queste nazioni saranno valutate in modo preferenziale, incentivando così un approvvigionamento più sicuro.

In conclusione questo DPCM rappresenta un passo significativo nell’evoluzione della strategia nazionale di cybersicurezza: esso stabilisce criteri tecnici precisi, valorizzando le partnership internazionali affidabili e promuovendo una cultura della sicurezza lungo l’intera filiera tecnologica, il provvedimento contribuisce in modo sostanziale al rafforzamento della protezione delle infrastrutture pubbliche e dei dati sensibili dello Stato. Malgrado sia rivolto principalmente alla pubblica amministrazione, il suo impatto coinvolge anche le aziende ICT, chiamate a diventare parte attiva di un ecosistema digitale sempre più resiliente.

Visualizzazioni: 31