L’Agenzia per la cybersicurezza nazionale (ACN) ha pubblicato delle linee guida per l’applicazione dei criteri di premialità, introdotti dall’art. 14 della L. 90/2024.
I criteri di premialità sono strumenti di valutazione nelle procedure di procurement di beni e servizi ICT, che attribuiscono un punteggio aggiuntivo agli operatori economici che dimostrano l’impiego di tecnologie di cybersicurezza riconducibili a Paesi considerati affidabili.
L’obiettivo è garantire la tutela della sicurezza nazionale, favorendo soluzioni tecnologiche provenienti dall’Italia, dall’Unione europea, dai Paesi NATO o da quelli inclusi nell’Allegato 3 del DPCM 30 aprile 2025 (come modificato dal DPCM 2 ottobre 2025).
Le Linee guida ACN precisano l’ambito soggettivo e oggettivo di applicazione.
Sono tenuti al rispetto dei criteri ivi stabiliti sia i soggetti pubblici e privati inclusi nel Perimetro di sicurezza nazionale cibernetica (ai sensi dell’art. 1, c. 2-bis, D.L. 105/2019), sia le centrali di committenza definite dal D.Lgs. n. 36/2023 (Codice dei contratti pubblici).
Le disposizioni si applicano agli approvvigionamenti di tecnologie di cybersicurezza individuate nell’Allegato 2 del DPCM, comprese quelle funzionali alla protezione logica e fisica dei beni ICT, nonché ai sistemi e servizi di telefonia mobile 4G e 5G, SA e NSA .
Elemento centrale per l’attuazione è la Bill of Materials (BOM), che consente di individuare con precisione il Paese di origine dei componenti o dei servizi.
La BOM deve essere fornita in formato digitale (CycloneDX v. 1.6 o equivalente) e contenere almeno i campi minimi indicati nelle Linee guida.
Per le reti 4G/5G, si adotta un approccio sistemico, basato sulla valutazione di macro-componenti architetturali (RAN, Backhaul, Core), con ponderazione del rischio ispirata al “Report on EU coordinated risk assessment of 5G” e al documento ENISA “Threat landscape for 5G networks” .
La natura del criterio è obbligatoria: le stazioni appaltanti e i soggetti equiparati devono inserire nei documenti di gara specifiche clausole tipo per attribuire la premialità.
Il punteggio riconosciuto è fissato in 8 punti, applicato con logica “on/off”: viene cioè attribuito solo se tutti i componenti/servizi al livello 1 della BOM rispettano i requisiti previsti.
Le Linee guida disciplinano inoltre i controlli: eventuali difformità tra autodichiarazioni e verifiche (anche tramite scrutinio tecnologico ex art. 1, c. 6, lett. a), D.L. 105/2019) possono comportare la risoluzione contrattuale, in applicazione del principio di fiducia di cui all’art. 2 D. Lgs. n. 36/2023 .
Infine, è prevista la possibilità di gare e lotti dedicati per soddisfare le esigenze di protezione degli interessi nazionali strategici.
