Sovranità tecnologica e cybersicurezza: il DPCM che rivoluziona gli acquisti ICT strategici

Dal 20 maggio 2025 l’Italia compie un salto di qualità nella protezione dei propri asset digitali strategici. Il DPCM del 30 aprile 2025, pubblicato nella Gazzetta Ufficiale n. 102 del 5 maggio, introduce un sistema avanzato per regolamentare l’acquisto di tecnologie informatiche destinate a contesti sensibili per la sicurezza nazionale.

La cybersicurezza diventa questione di sovranità tecnologica

Il nuovo decreto non rappresenta solo l’ennesimo adempimento burocratico, ma segna un cambiamento culturale profondo: la cybersicurezza viene finalmente riconosciuta come pilastro fondamentale della sovranità tecnologica nazionale. Questo provvedimento si inserisce nel solco della legge 28 giugno 2024, n. 90, che ha rafforzato l’impianto normativo italiano in materia di cybersicurezza e contrasto ai reati informatici.

L’approccio italiano appare in linea con le tendenze europee più recenti. È ormai evidente che l’Europa stia cercando di rafforzare la propria autonomia strategica, preservando al contempo un’economia aperta. Lo sviluppo di capacità e tecnologie chiave è diventato una priorità non più rimandabile in un contesto geopolitico sempre più complesso.

La portata del decreto è significativa: coinvolge sia le pubbliche amministrazioni, sia i soggetti privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, ampliando notevolmente il raggio d’azione delle nuove regole. Ospedali, ministeri, enti locali, gestori di servizi pubblici essenziali e numerose società a controllo pubblico dovranno adeguarsi rapidamente al nuovo quadro normativo

Gli elementi chiave del DPCM: sicurezza integrata nell’approvvigionamento

Il cuore del DPCM è costituito da tre elementi fondamentali, organizzati in altrettanti allegati. L’Allegato 1 definisce i requisiti essenziali di cybersicurezza che i beni e servizi informatici devono possedere. Non si tratta solo di specifiche tecniche: il decreto richiede che la sicurezza sia integrata fin dalla progettazione, con prodotti privi di vulnerabilità note, dotati di configurazioni sicure predefinite e meccanismi di protezione avanzati per dati e accessi.

Questo approccio “security by design” rappresenta un cambio di paradigma fondamentale. La sicurezza non può più essere considerata un elemento accessorio da aggiungere a posteriori, ma deve diventare un requisito non funzionale fondamentale fin dalle prime fasi di progettazione di un sistema. Solo così possiamo costruire infrastrutture digitali davvero resilienti.

Grande attenzione viene dedicata anche alla gestione delle vulnerabilità nel tempo, con l’obbligo per i fornitori di identificare e correggere tempestivamente eventuali falle di sicurezza, eseguire test periodici e fornire aggiornamenti sicuri. Questo approccio proattivo rappresenta un cambio di paradigma rispetto alla gestione reattiva tradizionale.

Le tecnologie sotto la lente d’ingrandimento

L’Allegato 2 elenca con precisione le 22 categorie tecnologiche sottoposte ai nuovi requisiti di sicurezza. Il ventaglio è ampio e copre praticamente tutti gli ambiti critici dell’infrastruttura digitale: dai sistemi di gestione dell’identità ai software antimalware, dalle VPN ai router, dai microprocessori ai servizi cloud. Per ciascuna categoria vengono forniti i codici CPV corrispondenti, facilitando l’applicazione pratica nelle procedure di appalto pubblico.

È interessante notare come la sicurezza delle tecnologie critiche stia diventando uno dei pilastri fondamentali della strategia nazionale di cybersicurezza. L’elenco delle tecnologie sembra riflettere un’analisi approfondita delle dipendenze critiche e delle vulnerabilità del sistema-paese, un passo necessario per costruire un’adeguata strategia di mitigazione dei rischi.

Particolarmente significativa è l’inclusione di tecnologie come i software di controllo droni e i sistemi SCADA per il monitoraggio delle infrastrutture critiche, a dimostrazione di un approccio lungimirante che guarda alle minacce future e non solo a quelle attuali.

Geopolitica della cybersicurezza: i fornitori affidabili

Il terzo pilastro del decreto, contenuto nell’Allegato 3, rappresenta forse l’elemento più innovativo: l’indicazione esplicita dei Paesi considerati affidabili per l’approvvigionamento di tecnologie di cybersicurezza. Oltre a Italia, Unione Europea e Paesi NATO, il decreto individua sei nazioni partner: Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera.

Questa classificazione riflette quella che potremmo definire la “geopolitica della tecnologia”, un fenomeno che sta acquisendo sempre maggiore rilevanza nelle relazioni internazionali. Osservo che le decisioni tecnologiche sono sempre più influenzate da considerazioni geopolitiche e di sicurezza nazionale, un trend che il decreto italiano sembra riconoscere e formalizzare.

La selezione non è casuale ma risponde a criteri rigorosi: questi Paesi hanno stretto accordi di collaborazione sia con l’UE sia con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione. Si delinea così una vera e propria mappa geopolitica della fiducia tecnologica, con implicazioni significative per il mercato e per le relazioni internazionali.

Premialità per le tecnologie “amiche”: un incentivo all’industria europea

Un aspetto particolarmente rilevante è l’introduzione di criteri di premialità per le offerte che prevedono l’utilizzo di tecnologie di cybersicurezza sviluppate in Italia, nell’Unione Europea, in Paesi NATO o nei sei Paesi terzi individuati. Questo meccanismo si applica soprattutto quando le tecnologie sono destinate alla protezione di asset critici per la sicurezza nazionale.

Incentivare lo sviluppo di un ecosistema nazionale ed europeo di cybersicurezza è essenziale per ridurre le dipendenze strategiche. I criteri di premialità potrebbero rappresentare un passo concreto in questa direzione, stimolando investimenti e innovazione in un settore sempre più cruciale.

L’innovazione più significativa riguarda la trasparenza della catena di fornitura: gli operatori economici dovranno presentare un dettagliato Bill of Materials (B.O.M.) che elenchi tutti i componenti del prodotto o del servizio offerto. Questa misura risponde all’esigenza di contrastare le minacce legate alla supply chain, sempre più utilizzate dagli attori ostili per compromettere sistemi critici.

Le sfide dell’implementazione e l’impatto sul mercato

L’entrata in vigore del decreto il 20 maggio 2025 segna l’inizio di una fase di adeguamento che non sarà priva di sfide. Le organizzazioni coinvolte dovranno rivedere profondamente le loro procedure di procurement, integrando i nuovi requisiti di cybersicurezza fin dalle fasi preliminari.

L’integrazione della cybersecurity nei processi di procurement rappresenta una delle sfide principali per le organizzazioni italiane. Le amministrazioni pubbliche, in particolare, dovranno sviluppare nuove competenze per valutare efficacemente la sicurezza delle tecnologie acquisite, un compito tutt’altro che banale che richiederà investimenti in formazione e nuove professionalità.

Per il mercato ICT italiano ed europeo, il decreto rappresenta un’opportunità significativa. Il mercato italiano della cybersicurezza ha registrato una crescita costante negli ultimi anni, ma rimane frammentato e con una forte presenza di tecnologie extra-europee. I criteri di premialità potrebbero favorire il consolidamento dell’industria nazionale e europea, creando campioni in grado di competere su scala globale.

I fornitori locali, spesso penalizzati dalla concorrenza di colossi extra-europei, potrebbero beneficiare dei criteri di premialità per conquistare nuove quote di mercato nel settore pubblico. D’altra parte, i fornitori internazionali dovranno adattarsi rapidamente, dimostrando non solo l’eccellenza tecnica dei loro prodotti ma anche la conformità ai requisiti di sicurezza e la provenienza da Paesi considerati affidabili.

Il futuro della sicurezza digitale nazionale

Il DPCM del 30 aprile 2025 segna un punto di svolta nella politica di cybersicurezza italiana: per la prima volta, la sicurezza digitale viene affrontata come questione strategica nazionale, integrando considerazioni tecniche, industriali e geopolitiche.

Questo approccio appare coerente con il Piano Nazionale di Ripresa e Resilienza, che dedica risorse significative al rafforzamento delle difese cyber nazionali. L’Italia sembra puntare a raggiungere un’autonomia strategica nel settore, riducendo la dipendenza da tecnologie extra-europee per componenti critici, un obiettivo ambizioso ma necessario nel contesto attuale.

In un mondo caratterizzato da crescenti tensioni e da una competizione tecnologica sempre più accesa, questo approccio integrato rappresenta una risposta necessaria alle minacce emergenti. La cybersicurezza è diventata un elemento centrale della sicurezza nazionale, richiedendo un approccio a 360 gradi che includa aspetti tecnologici, normativi e geopolitici, una visione che il decreto sembra abbracciare pienamente.

Come previsto dall’articolo 6 del decreto, il provvedimento sarà soggetto ad aggiornamenti periodici per adattarsi all’evoluzione del contesto tecnologico e geopolitico. Questa flessibilità è essenziale in un ambito in rapida evoluzione come quello della cybersicurezza.

La strada verso una vera sovranità tecnologica e una protezione efficace degli interessi nazionali nel dominio cyber è ancora lunga, ma con questo decreto l’Italia compie un passo importante nella giusta direzione. La sfida ora passa alle organizzazioni coinvolte, chiamate a trasformare i requisiti normativi in pratiche concrete e a contribuire alla costruzione di un ecosistema digitale più sicuro e resiliente.