I criteri di premialità nelle procedure di approvvigionamento dei beni ICT: le nuove linee guida dell’ACN

A cura di Avv. Riccardo Piselli e Avv. Alessandra Pepe

Con Determina del Direttore Generale n. 343069 del 24 ottobre 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato le Linee guida per l’applicazione dei criteri di premialità di cui all’articolo 14 della legge n. 90/2024, elaborate sentita l’Autorità Nazionale Anticorruzione (ANAC). 

Il documento, che dà attuazione all’art. 4 del DPCM 30 aprile 2025, come aggiornato dal DPCM 2 ottobre 2025, rappresenta un passaggio fondamentale nel percorso di integrazione della cybersicurezza nelle procedure di procurement pubblico e privato, fornendo criteri e modalità operative per l’applicazione del sistema di premialità introdotto dall’articolo 14 della Legge n. 90/2024. Tale sistema è finalizzato a incentivare l’utilizzo di tecnologie di cybersicurezza provenienti da operatori economici affidabili, promuovendo così la tutela degli interessi strategici nazionali e la sovranità digitale del Paese.

L’articolo 4 del DPCM 30 aprile 2025, ha infatti introdotto un meccanismo di premialità selettiva volto a orientare gli approvvigionamenti verso tecnologie provenienti da operatori economici ritenuti affidabili, stabiliti in Paesi considerati sicuri ai fini della tutela della sicurezza nazionale e della cybersicurezza.

Rientrano tra questi:

• l’Italia;

• gli altri Stati membri dell’Unione europea;

• i Paesi aderenti all’Alleanza Atlantica (NATO);

• e i Paesi terzi elencati nell’Allegato 3 del DPCM quali Australia, Svizzera, Corea del Sud, Giappone, Israele e Nuova Zelanda – considerati affidabili in virtù di accordi di cooperazione con l’UE o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione tecnologica.

INDICE

• Ambito soggettivo di applicazione
• Quando si applicano
• Come si applicano
• Carattere obbligatorio 
• Verifica ACN

Ambito soggettivo di applicazione

L’obbligo di applicare il criterio di premialità di cui all’art. 14 della L. 90/2024 riguarda tutti i soggetti pubblici e privati inclusi nel Perimetro di sicurezza nazionale cibernetica, anche nella loro veste di stazioni appaltanti, individuati conformemente alla procedura di cui all’art. 1, comma 2-bis, del decreto-legge n. 105/2019. 

Con specifico riferimento ai servizi e ai sistemi di telefonia mobile (in particolare 4G e 5G), l’applicazione si estende – in ragione della loro connessione con le funzioni di tutela della sicurezza nazionale – alle amministrazioni rappresentate nel Comitato interministeriale per la sicurezza della Repubblica di cui all’articolo 5 della legge 3 agosto 2007, n. 124 (amministrazioni CISR). 

Per quanto concerne i soggetti privati, le Linee guida chiariscono che anche coloro che, nella scelta del contraente, non siano vincolati all’applicazione del decreto legislativo n. 36/2023 (Codice dei contratti pubblici) sono comunque tenuti a tenere conto del criterio di premialità, applicandolo secondo le modalità definite al paragrafo 5 delle stesse Linee guida.

Rientrano infine nell’ambito soggettivo di applicazione anche le centrali di committenza, come definite all’art. 1, lett. i), dell’Allegato I.1 al decreto legislativo n. 36/2023. che vengono in rilievo in virtù del loro ruolo di supporto alle pubbliche amministrazioni nell’ambito delle procedure di approvvigionamento di beni e servizi ICT e che indicono le procedure per l’acquisizione dei beni e servizi di cui al paragrafo 2.2.

 

Quando si applicano

I criteri di premialità trovano applicazione in tutte le procedure di approvvigionamento di tecnologie di cybersicurezza, destinate a essere utilizzate su reti, sistemi informativi e servizi informatici dei soggetti inclusi nel Perimetro, nonché nelle acquisizioni funzionali alla protezione fisica e logica dei cosiddetti beni ICT.

L’obbligo si estende anche ai servizi e sistemi di telefonia mobile 4G e 5G, in versione stand-alone (SA) e non stand-alone (NSA), comprese le successive evoluzioni tecnologiche, in quanto strettamente connessi alla gestione di infrastrutture critiche.

Le categorie tecnologiche rilevanti ai fini dell’applicazione del criterio di premialità — e quindi rientranti nel campo di applicazione dell’art. 14 della Legge n. 90/2024 — sono individuate nell’Allegato 2 del DPCM 30 aprile 2025, che elenca dettagliatamente le tecnologie soggette al meccanismo premiale.

Sulla base di tale classificazione, le Linee guida distinguono due gruppi principali di tecnologie:

• Tecnologie con funzioni di sicurezza principali, per le quali la premialità è sempre applicabile, come firewall, sistemi di autenticazione, SIEM (Security Information and Event Management), IDS/IPS e altri strumenti di protezione attiva;
• Tecnologie con funzioni di sicurezza eventuali, soggette a premialità solo se impiegate a fini di cybersicurezza, come router dotati di funzioni di filtraggio dei flussi di dati, switch con controllo accessi logici o servizi cloud erogati in modalità Software as a Service (SaaS) collegati alla sicurezza delle informazioni.

Per il settore delle telecomunicazioni, l’applicazione del criterio di premialità è disciplinata in modo specifico nella Appendice Tecnica TELCO, che definisce i criteri operativi per le reti e i sistemi mobili di nuova generazione.

 

Come si applicano

La Bill of Materials (B.O.M.)

L’applicazione dei criteri premiali è subordinata alla presentazione, da parte degli operatori economici, della Bill of Materials (B.O.M.), un prospetto tecnico digitale che elenca i componenti di fabbricazione del prodotto o delle infrastrutture impiegate per l’erogazione del servizio.
La B.O.M., redatta in formato CycloneDX 1.6, deve indicare provenienza, produttore e relazioni tra componenti, consentendo di verificare la “nazionalità” delle tecnologie e garantire la trasparenza della supply chain.

Ai fini dell’attribuzione del criterio di premialità, ciascun componente elencato al livello 1 della B.O.M. deve essere riconducibile a uno dei Paesi elencati nell’Allegato 3 del DPCM 30 aprile 2025, cioè Italia, Stati membri dell’Unione europea, Paesi aderenti alla NATO o Paesi terzi alleati (Australia, Svizzera, Corea del Sud, Giappone, Israele e Nuova Zelanda).

Il livello 1 della BOM rappresenta l’insieme dei componenti/servizi di cui l’oggetto della fornitura ICT offerta (segnatamente, componenti Software, OS e Firmware afferenti a tecnologie di cybersicurezza).

Per determinare la provenienza l’operatore dovrà indicare in modo preciso:

• il Paese in cui è localizzato il sito produttivo del componente, nel caso di beni materiali o hardware;
• il Paese di erogazione del servizio, nel caso di forniture immateriali o servizi cloud.

Tali informazioni devono essere riportate nel sottocampo “address.country” all’interno dei campi “Manufacturer” (per i produttori) e “Provider” (per i fornitori di servizi), entrambi obbligatori nella struttura della B.O.M..

Meccanismo “on/off”

Una volta verificata la provenienza dei componenti di livello 1, le Linee guida ACN stabiliscono un sistema di attribuzione del punteggio premiale fisso, basato su un meccanismo di tipo “on/off”:

• ON (8 punti) → se tutti i componenti e servizi di livello 1 rispettano i requisiti di provenienza dai Paesi considerati dal DPCM del 30 aprile 2025;
• OFF (0 punti) → se anche un solo componente o servizio non soddisfa tale requisito.

Non è quindi prevista alcuna forma di graduazione o frammentazione del punteggio premiale: esso sarà applicabile solo integralmente, laddove ciascun componente/servizio appartenente al livello 1 rispetti i requisiti di provenienza geografica prescritti dal DPCM.

 

Carattere obbligatorio 

Le Linee guida ACN ribadiscono il carattere obbligatorio del criterio di premialità previsto dall’articolo 14 della Legge n. 90/2024, che dovrà essere espressamente inserito nei documenti di gara da parte delle centrali di committenza e delle stazioni appaltanti, in conformità a quanto previsto dal decreto legislativo n. 36/2023, Libro II, Parte I e Parte IV.

Il riferimento alla premialità dovrà figurare nel bando, nell’avviso o nell’invito, anche mediante utilizzo della clausola tipo riportata al paragrafo 5.3 delle Linee guida. Tale obbligo si estende, mutatis mutandis, anche ai soggetti privati tenuti all’osservanza della disciplina in materia di cybersicurezza, pur non soggetti al Codice dei contratti pubblici: anche tali soggetti dovranno recepire il criterio di premialità nelle proprie procedure interne di approvvigionamento, assicurandone l’applicazione coerente con le finalità di tutela della sicurezza nazionale.

 

Verifica di ACN

Le Linee guida prevedono un sistema di verifica successiva della conformità delle autodichiarazioni rese dagli operatori economici. 

Eventuali difformità rispetto a quanto dichiarato in sede di offerta — ad esempio emerse in occasione di scrutinio tecnologico effettuato dall’Agenzia per la Cybersicurezza Nazionale (ACN) ai sensi dell’art. 1, comma 6, lett. a), del decreto-legge n. 105/2019 — potranno costituire causa di risoluzione contrattuale, qualora siano state previamente inserite apposite clausole di risoluzione espressa.

Tali condotte configurano, inoltre, una violazione del principio di fiducia di cui all’art. 2 del decreto legislativo n. 36/2023, con le conseguenze previste dal Codice dei contratti pubblici (artt. 96 e 98), inclusa l’obbligo di segnalazione all’ANAC.

Trattandosi di procedure di approvvigionamento strettamente connesse alla protezione di interessi nazionali strategici e, più in generale, ai contesti di tutela della sicurezza nazionale si precisa nelle Linee Guida che le stazioni appaltanti, comprese le centrali di committenza, dovranno prevedere — ove necessario — gare dedicate o lotti specifici riservati all’acquisizione di beni e servizi ICT soggetti al criterio di premialità, in modo da assicurare coerenza con il quadro esigenziale e con gli obiettivi di protezione dell’integrità e della resilienza delle infrastrutture critiche nazionali.