AgID introduce nuove regole per le Piattaforme di Approvvigionamento Digitale: sicurezza, interoperabilità e intelligenza artificiale

Fonti

Fonte: ANCE – https://ance.it/studi-e-ricerche-1/

Approfondimento

Il documento analizza le modifiche introdotte dall’Agenzia per l’Italia Digitale (AgID) alle Regole Tecniche per le Piattaforme di Approvvigionamento Digitale (PAD) con l’obiettivo di rafforzare la sicurezza informatica, l’interoperabilità e l’uso responsabile dell’intelligenza artificiale nei processi di appalto pubblico.

Dati principali

• Data di entrata in vigore delle nuove regole: 30 gennaio 2026.
• Obbligo di certificazione di terza parte per le PAD, sostituendo la precedente dichiarazione di conformità.
• Tre titoli obbligatori per la certificazione: qualificazione ACN, attestazione ANAC (Classe 3) e certificato CAB (Classe 4).
• Scadenze per i gestori già certificati: 30 giorni per presentare il piano di adeguamento e 180 giorni per completare gli interventi.
• Obbligo di test di interoperabilità con la PDND prima della certificazione.
• Nuovo ruolo di AgID come garante tecnico-operativo con poteri di vigilanza.

Possibili Conseguenze

Le PAD che non rispettano i nuovi standard rischiano la decadenza o la revoca della certificazione, con conseguente impossibilità di essere utilizzate per nuove procedure di appalto. Le stazioni appaltanti devono verificare la registrazione delle PAD e la loro qualificazione ACN per evitare sanzioni e garantire la corretta interoperabilità con le banche dati nazionali.

Opinione

Il testo presenta le modifiche in modo tecnico e descrittivo, senza esprimere giudizi di valore. L’obiettivo è fornire informazioni chiare e precise sulle nuove disposizioni.

Analisi Critica (dei Fatti)

Le nuove regole introducono un processo di certificazione più rigoroso, basato su verifiche indipendenti, che aumenta la trasparenza e la sicurezza delle PAD. L’obbligo di qualificazione ACN e di test di interoperabilità con la PDND rafforza la coerenza dei dati e riduce la duplicazione di adempimenti informativi. L’inclusione di principi di intelligenza artificiale garantisce che le decisioni con impatti giuridico‑economici rilevanti non siano affidate esclusivamente a sistemi automatici.

Relazioni (con altri fatti)

Le disposizioni si collegano al Codice dei Contratti Pubblici (D.lgs. 36/2023), al Codice dell’Amministrazione Digitale (D.lgs. 82/2005), al Regolamento ACN, all’AI Act europeo e alla Legge n. 132/2025 sull’intelligenza artificiale. Le PAD devono interagire con la Piattaforma Digitale Nazionale Dati (PDND) e la Banca Dati Nazionale dei Contratti Pubblici (BDNCP) secondo il Modello di Interoperabilità (MoDI).

Contesto (oggettivo)

Il quadro normativo italiano per le piattaforme di appalto digitale è in evoluzione, con l’obiettivo di garantire sicurezza, interoperabilità e trasparenza. Le nuove regole di AgID, adottate in collaborazione con ANAC, il Dipartimento per la Trasformazione Digitale e l’Agenzia per la Cybersicurezza Nazionale, mirano a standardizzare le pratiche di gestione digitale dei contratti pubblici e a promuovere l’uso responsabile dell’intelligenza artificiale.

1. Piattaforme di Approvvigionamento Digitale (PAD)

Le PAD sono sistemi informatici che consentono alle pubbliche amministrazioni di gestire digitalmente tutte le fasi di un appalto, dalla pianificazione alla stipula e al collaudo. Sono soggette al Codice dell’Amministrazione Digitale e alle linee guida AgID per la sicurezza informatica, la protezione dei dati personali e l’interoperabilità tecnica.

2. Standard di cybersecurity richiesti ai gestori di PAD

I gestori devono garantire che le infrastrutture cloud e i servizi digitali rispettino il Regolamento ACN, con qualificazione adeguata alla classificazione dei dati. La qualificazione ACN deve essere pubblicata e comunicata ad AgID. I gestori sono responsabili della conformità della PAD anche quando utilizzano componenti software di terzi.

3. Requisiti per la certificazione delle PAD

La certificazione si basa su quattro classi di requisiti: funzionali generali, funzionali specifici, interoperabilità e procedure end‑to‑end. La verifica di Classe 4 include la verifica delle altre classi e richiede la certificazione CAB.

4. Certificazione di Organismi terzi accreditati

Per ottenere la certificazione, il gestore deve acquisire: (1) qualificazione ACN, (2) attestazione ANAC per la Classe 3 e (3) certificato CAB per la Classe 4. Prima della definizione dei requisiti di accreditamento dei CAB, i gestori possono presentare autodichiarazioni per le Classi 1 e 2.

5. Obbligo di test sull’interoperabilità con la PDND

Le PAD devono superare test di interoperabilità in ambiente di collaudo PDND e ottenere l’attestazione ANAC per la Classe 3 prima di essere certificate.

6. Prime indicazioni per l’utilizzo responsabile dell’Intelligenza Artificiale

Le PAD possono integrare sistemi di IA per supportare la progettazione di gara, l’analisi delle offerte, la gestione della procedura e il monitoraggio della fase esecutiva. L’uso di IA è subordinato a cinque principi fondamentali: trasparenza, spiegabilità, non‑discriminazione, robustezza e supervisione umana.

7. Monitoraggio digitale della fase esecutiva e meccanismi di early warning

Le PAD devono implementare il monitoraggio digitale della fase esecutiva, con meccanismi di early warning che segnalano tempestivamente situazioni anomale alla stazione appaltante e ad ANAC.

8. Rafforzamento del ruolo di AgID: da facilitatore a garante

AgID passa da una funzione amministrativa a quella di garante tecnico‑operativo, con poteri di vigilanza, verifica e controllo. In caso di non conformità, AgID può disporre la cancellazione dalla registrazione delle piattaforme certificate.

9. Obblighi e scadenze per le piattaforme già certificate

I gestori con certificazioni in scadenza nel 2026 devono presentare entro 30 giorni un piano di adeguamento e completare gli interventi entro 180 giorni. Le nuove certificazioni possono essere temporaneamente basate su autodichiarazione per le Classi 1 e 2.

10. Obblighi per le stazioni appaltanti

Le stazioni appaltanti devono verificare l’iscrizione della PAD nel Registro delle Piattaforme Certificate, classificare i propri dati secondo il Regolamento ACN e utilizzare esclusivamente PAD con qualificazione adeguata. Devono inoltre segnalare ad AgID eventuali situazioni di non conformità.

11. Allegati alle Regole tecniche

Le Regole Tecniche comprendono un corpo normativo principale e tre allegati: l’Allegato 1 disciplina il modello di interoperabilità e il Registro delle Piattaforme Certificate; l’Allegato 2 contiene le checklist per la certificazione; l’Allegato 3 fornisce il quadro normativo e tecnico di riferimento.

Domande Frequenti

• Qual è la data di entrata in vigore delle nuove regole? 30 gennaio 2026.
• Che tipo di certificazione è ora obbligatoria per le PAD? Una certificazione di terza parte che richiede qualificazione ACN, attestazione ANAC (Classe 3) e certificato CAB (Classe 4).
• Quali sono i principali obblighi per i gestori già certificati? Presentare entro 30 giorni un piano di adeguamento e completare gli interventi entro 180 giorni.
• Che ruolo assume AgID con le nuove regole? AgID diventa garante tecnico‑operativo con poteri di vigilanza, verifica e controllo.
• Come devono gestire le stazioni appaltanti le PAD? Verificare l’iscrizione nel Registro delle Piattaforme Certificate, classificare i propri dati secondo il Regolamento ACN e utilizzare solo PAD con qualificazione adeguata.