Didascalia
Chiunque lavori con o nella Pubblica Amministrazione ha vissuto questi ultimi anni come una corsa contro il tempo per la digitalizzazione. Con il PNRR e gli altri fondi europei sono diventate realtà cloud, piattaforme, sicurezza e servizi digitali che anche solo qualche anno fa si pensava raggiungibili in almeno un decennio. Tuttavia, insieme ai benefici in termini di efficienza e qualità dei servizi, è emerso con crescente evidenza un elemento spesso sottovalutato: la dipendenza dai fornitori tecnologici.
Se un tempo l’attenzione si concentrava quasi esclusivamente sulla fase di gara – scelta del fornitore, definizione dei requisiti, aggiudicazione – oggi è sempre più chiaro che il vero punto critico si colloca nella fase dell'esecuzione. Se questo era scontato per i lavori, adesso è diventato il punto dolente anche dei servizi ICT. Infatti, è nella fase di gestione, controllo e monitoraggio del rapporto contrattuale che si gioca una parte decisiva della sicurezza e della resilienza dell’amministrazione.
Governare i fornitori ICT non significa semplicemente selezionare il miglior offerente, ma presidiare l’intero ciclo di vita della relazione, dalla gara fino all’esecuzione e oltre.
La scelta del fornitore rappresenta solo il primo passo. Su questo punto le qualificazioni per i servizi Cloud (IaaS/PaaS) e i servizi SaaS e il monitoraggio che svolge ACN possono garantire sui requisiti dei fornitori all'inizio del rapporto contrattuale. Ma una volta attivato il servizio, l’amministrazione entra in una relazione continuativa che può durare anni e che spesso implica accessi privilegiati ai sistemi, gestione diretta di dati e operatività su infrastrutture critiche.
È proprio in questa fase che emergono i rischi più significativi. Un fornitore può non rispettare pienamente gli standard di sicurezza previsti, può accumulare vulnerabilità nel tempo, oppure può diventare un punto di accesso per attori malevoli. Ancora più problematico è il caso in cui l’Amministrazione sviluppi una dipendenza strutturale da un fornitore (lock-in), senza reali alternative: una situazione che la normativa considera esplicitamente critica, soprattutto quando l’interruzione del servizio compromette la capacità dell’ente di operare.
In altre parole, il rischio non è statico, ma evolve lungo tutta la durata del contratto. Per questo motivo, la governance dei fornitori deve essere pensata come un processo continuo.
Per comprendere davvero la portata del problema, è utile fare un passo ulteriore: i rischi legati ai fornitori non sono solo “rischi informatici”, ma rischi operativi, che incidono direttamente sulla resilienza dell’amministrazione.
La resilienza, in questo contesto, può essere letta come la capacità dell’ente di:
Quando un fornitore ICT è coinvolto in queste dinamiche, il suo livello di affidabilità diventa un fattore determinante. Analizziamo alcune.
1. Interruzione dei servizi essenziali
Molti servizi pubblici locali – dall’anagrafe ai sistemi di pagamento, dalla gestione dei tributi ai servizi sociali – dipendono da piattaforme gestite da fornitori esterni. Se uno di questi fornitori subisce un’interruzione, un attacco o un malfunzionamento, l’impatto si trasferisce immediatamente sull’ente.
Non si tratta solo di un disservizio tecnico: significa cittadini che non riescono ad accedere ai servizi, processi amministrativi bloccati, perdita di continuità operativa. Nei casi più gravi, si arriva a una vera e propria paralisi temporanea dell’ente.
2. Effetto domino nella supply chain
Un ulteriore elemento critico è rappresentato dall’effetto a catena. Un singolo fornitore può servire contemporaneamente decine o centinaia di amministrazioni. Un incidente che lo colpisce – ad esempio un attacco ransomware o una compromissione dei sistemi – può generare un impatto simultaneo su più enti.
Questo tipo di scenario è esattamente quello che la normativa europea e nazionale intende prevenire: la supply chain non è più un insieme di relazioni isolate, ma una rete interconnessa, dove il rischio si propaga rapidamente.
3. Perdita di controllo sui dati e sui processi
Quando un fornitore gestisce direttamente dati o componenti critiche dei sistemi, l’amministrazione delega parte del proprio controllo operativo. Se il fornitore non è adeguatamente sicuro o trasparente, si crea una zona d’ombra: l’ente non ha piena visibilità su come vengono gestiti i dati, su dove sono conservati o su quali misure di sicurezza siano realmente adottate.
In caso di incidente, questo può tradursi in ritardi nella risposta, difficoltà nel comprendere l’accaduto e maggiore esposizione a danni reputazionali e legali.
4. Impatti reputazionali e istituzionali
Infine, non va sottovalutato l’impatto reputazionale. Un incidente legato a un fornitore – anche se tecnicamente esterno – viene percepito dai cittadini come un problema dell’amministrazione. La fiducia nei servizi digitali può essere compromessa rapidamente, con effetti duraturi.
Varie normative evidenziano la necessità di gestire i rischi introdotti da fornitori. Nel settore finanziario il Regolamento DORA obbliga gli operatori economici a gestire in modo strutturato i rischi relativi alle attività svolte dal fornitore ICT, ponendo espliciti obblighi su categorizzazione, analisi e monitoraggio continuo. Anche la NIS2 pone specifici obblighi alle Amministrazioni che rientrano nel perimetro di applicazione del d. lgs 138/2024 e trovano piena attuazione con la pubblicazione di qualche giorno fa della Determina del Direttore Generale di ACN n. 127437/2026.
Anche se le Province, in generale, non sono soggette alla NIS2, è tuttavia fondamentale comprendere e gestire tali rischi. Questo significa che non basta più verificare requisiti tecnici in fase di gara. Occorre:
Quindi anche le Amministrazioni che non sono soggette alla NIS2 dovrebbero considerare l'importanza di censire i fornitori rilevanti o critici, cioè quelli la cui fornitura è essenziale o non facilmente sostituibile, e stabilire misure di controllo e monitoraggio.
In questo nuovo scenario, il contratto ICT assume un ruolo strategico. Non è più solo un documento amministrativo, ma uno strumento attraverso cui l’Amministrazione definisce le regole di ingaggio con il fornitore.
Un contratto efficace deve tradurre il tema della sicurezza in obblighi concreti. Questo significa prevedere, già in fase di progettazione, requisiti chiari su gestione delle vulnerabilità, aggiornamenti, continuità operativa e gestione degli incidenti. È fondamentale stabilire tempi certi di notifica in caso di eventi di sicurezza e prevedere la possibilità per l’amministrazione di effettuare verifiche e audit.
Ma il vero salto di qualità sta nel superare l’idea del contratto come documento statico. La complessità dei servizi ICT e la rapidità con cui evolvono le minacce richiedono contratti “vivi”, che siano in grado di sostenere un controllo continuo e adattarsi alle esigenze che emergono nel tempo.
È proprio qui che entra in gioco la circolare AgID n. 1/2021 sul monitoraggio dei contratti ICT, uno strumento di controllo generale, finalizzato alla verifica del raggiungimento degli obiettivi contrattuali, al rispetto degli livelli di servizi e dei costi, ma il cui modello può essere facilmente applicato anche in ambito sicurezza. Attenzione, anche in questo caso non è detto che l'ambito di applicazione della Circolare possa comprendere le Province. Ma è l'approccio metodologico utilizzato che è funzionale alla gestione dei fornitori.
La circolare chiarisce un principio fondamentale: la gestione del contratto non si esaurisce nella fase iniziale, ma deve essere accompagnata da un’attività strutturata di monitoraggio lungo tutto il ciclo di vita. Il monitoraggio viene definito come un insieme di attività di verifica e valutazione che supportano l’amministrazione nel raggiungimento degli obiettivi contrattuali.
Questo implica l’organizzazione di un vero e proprio sistema di controllo, con ruoli, responsabilità e strumenti dedicati. Le amministrazioni sono chiamate a individuare un responsabile del monitoraggio (nel caso il referente della cybersicurezza), a definire indicatori e metriche, a pianificare verifiche periodiche e a produrre report che consentano di valutare l’andamento della fornitura.
Un elemento particolarmente rilevante è la capacità del monitoraggio di intercettare tempestivamente criticità e non conformità. Quando emergono scostamenti rispetto agli obiettivi contrattuali, il fornitore è tenuto a predisporre azioni correttive, che vengono seguite e verificate dall’amministrazione. In questo modo, il controllo non è solo reattivo, ma diventa uno strumento di gestione del rischio.
E per chiudere
I rischi legati ai fornitori ICT non sono più un tema tecnico, ma una questione di continuità operativa e capacità istituzionale. La resilienza della Pubblica Amministrazione dipende sempre più dalla qualità e dall’affidabilità della propria supply chain.
Passare “dalla gara al controllo” significa proprio questo: riconoscere che la sicurezza e la resilienza non si costruiscono solo scegliendo il fornitore giusto, ma governando nel tempo la relazione, con strumenti contrattuali adeguati e un monitoraggio continuo.
In un contesto sempre più interconnesso, la vera sfida per le amministrazioni locali è sviluppare questa capacità di governo. Perché, oggi più che mai, la solidità dei servizi pubblici dipende anche – e soprattutto – dalla solidità dei partner che li rendono possibili.
