Giustizia Insieme

: Simone Francario; Diritto e Processo Amministrativo; 28 Maggio 2025; Visite: 5563

Appalti pubblici e cybersicurezza

Appalti pubblici e cybersicurezza. La disciplina speciale dell’acquisto di beni e servizi informatici nei settori sensibili dopo il DPCM 30 aprile 2025

di Simone Francario

Sommario: 1. Introduzione; 2. La disciplina generale codicistica sugli appalti pubblici dei beni e servizi informatici; 3. La disciplina speciale dettata dal DPCM 30 aprile 2025; 3.1 La collocazione degli appalti pubblici di beni e servizi informatici, disciplinati dal DPCM 30 aprile 2025, nell’ambito della sistematica della disciplina codicistica; 3.2 La partecipazione degli operatori economici extra-UE agli appalti pubblici di beni e servizi informatici disciplinati dal DPCM 30 aprile 2025, con particolare riferimento ai casi di tutela della sicurezza nazionale; 4. Osservazioni conclusive

1. Introduzione

Lo scorso 5 maggio 2025 è stato pubblicato in Gazzetta Ufficiale il DPCM 30 aprile 2025 recante “Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale”, il quale introduce una disciplina specifica per l’acquisto, da parte della p.a., di beni e servizi informatici essenziali in settori sensibili, prevedendo importanti misure di cybersicurezza[i].

Si tratta, in particolare, di contratti pubblici aventi ad oggetto tecnologie critiche -come infrastrutture di rete, software di sicurezza, sistemi di videosorveglianza e gestione dell’accesso, piattaforme cloud e storage, strumenti di identificazione e comunicazione- destinati ad essere utilizzati in ambiti di primaria rilevanza per la vita e la sicurezza dello Stato e delle sue articolazioni.

Tale intervento si colloca all’interno di un più ampio disegno istituzionale volto al rafforzamento della resilienza cibernetica dello Stato[ii].

Negli ultimi anni, infatti, non solo a livello nazionale, ma anche a livello europeo[iii] e globale, si è progressivamente affermata la consapevolezza che la sicurezza nazionale non può più essere garantita esclusivamente con strumenti di difesa tradizionali, ma richiede anche un controllo attivo e consapevole degli strumenti tecnologici utilizzati dalla p.a.

Nell’ordinamento italiano, ad esempio, la creazione dell’Agenzia per la Cybersicurezza Nazionale (ACN)[iv], l’adozione della Strategia nazionale di cybersicurezza[v] 2022-2026, le misure normative in tema di Perimetro di sicurezza nazionale cibernetica (PSNC)[vi] e la recente legge in materia di rafforzamento della cybersicurezza nazionale e dei reati informatici (di cui alla legge 28 giugno 2024, n. 90) rappresentano le tappe principali di questo percorso.

In tale contesto, gli appalti pubblici di beni e servizi informatici nei settori “sensibili”, qualificati tali per la presenza di interessi nazionali strategici e per esigenze di difesa nazionale, assumono un’importanza cruciale e una particolare complessità che portano ad elevare la sicurezza cibernetica dello Stato al rango di un vero e proprio principio generale[vii] che, nella materia specifica, affianca i principi della par condicio e della massima partecipazione, che tradizionalmente governano le procedure di scelta del contraente.

Il DPCM 30 aprile 2025, emanato in attuazione dell’art. 14 della legge 28 giugno 2024 n. 90, come si vedrà meglio nel proseguo, si muove esattamente su questa linea: esso mira ad assicurare che alcuni beni e servizi informatici (di natura “essenziale” o “critica”), quando vengono acquistati dalla p.a. per essere utilizzati nei suddetti settori “sensibili” (qualificati tali per la presenza di interessi nazionali strategici e per esigenze di difesa nazionale), siano intrinsecamente sicuri e provengano da soggetti potenzialmente non ostili.

A tal fine, il citato DPCM, introduce per l’acquisto di tali tecnologie requisiti di sicurezza stringenti sia sotto il profilo tecnico, imponendo il rispetto di alti livelli di cybersicurezza, sia sotto il profilo soggettivo, garantendo che l’operatore economico, qualora appartenente a Stati extra-UE, provenga da Paesi ritenuti “affidabili” sulla scorta di considerazioni geopolitiche.

L’obiettivo, evidentemente, è duplice: da un lato, prevenire l’introduzione di vulnerabilità informatiche in settori pubblici altamente sensibili; dall’altro, evitare che fornitori sotto l’influenza di potenze estere non alleate accedano a dati sensibili dell’apparato statale.

Trattandosi pur sempre di contratti pubblici, la disciplina dettata dal DPCM deve comunque necessariamente coordinarsi con le disposizioni del codice dei contratti pubblici, la cui applicazione, all’apparenza scontata, risulta tuttavia problematica sotto diversi profili.

Il presente articolo si propone pertanto di esaminare il DPCM al fine di fornirne l’inquadramento sistematico nell’ambito della disciplina nazionale dei contratti di appalto pubblici ponendo attenzione anche alle concrete ricadute operative.

A tal fine, dopo aver inquadrato il DPCM nella cornice del vigente codice dei contratti pubblici, l’attenzione si focalizzerà su alcuni profili problematici di immediata evidenza, ravvisabili nel rapporto con in contratti esclusi o con i contratti della difesa e nel chiarimento del regime di partecipazione a tali gare da parte degli operatori economici extra-UE.

2. La disciplina generale codicistica per gli appalti di beni e servizi informatici

Le direttive europee sugli appalti pubblici e sui contratti di concessione (Direttive 2014/23-24-25/UE) non contengono disposizioni specifiche riferite al settore degli appalti di beni e servizi informatici e alle relative misure di cybersicurezza[viii].

Come è noto, in attuazione delle medesime direttive, il legislatore nazionale ha adottato due distinti codici. Mentre nel primo (d.lgs. 50/2016) non vi sono norme in materia di cybersicurezza, nel vigente codice dei contratti pubblici, di cui al d.lgs. 36/2023, sono state invece introdotte due disposizioni specifiche: l’art. 19, co. 5, e l’art. 108, co. 4[ix].

L’art. 19, co. 5, del d.lgs. 36/2023, allo scopo di tutelare la sicurezza cibernetica delle gare pubbliche generalmente considerate impone a tale fine una serie di obblighi in capo sia alle stazioni appaltanti, sia agli operatori economici[x].

Da un lato, la norma stabilisce che le stazioni appaltanti e gli operatori economici che prendono parte alle procedure di evidenza pubblica -che, giova ricordare, devono svolgersi in forma digitalizzata- hanno l’obbligo di adottare misure tecniche e organizzative a presidio della sicurezza informatica e della protezione dei dati personali[xi].

Dall’atro, rivolgendosi alle sole stazioni appaltanti, la norma stabilisce che queste ultime hanno l’ulteriore obbligo di assicurare e curare la formazione del personale addetto alle gare, garantendone anche il costante aggiornamento[xii].

L’altra disposizione codicistica che viene in rilievo, come anticipato, è l’art. 108, co. 4, specificamente dedicato all’acquisto di beni e servizi informatici da parte della p.a[xiii].

Nello specifico la norma prevede che, nelle procedure di evidenza pubblica aventi ad oggetto beni e servizi informatici, le stazioni appaltanti, al fine di individuare l’offerta economicamente più vantaggiosa, devono sempre tenere in considerazione gli elementi di cybersicurezza[xiv].

Ciò posto in via generale, quando l’acquisto delle predette tecnologie è connesso alla “tutela degli interessi nazionali strategici” l’amministrazione ha l’obbligo di attribuire alla componente della cybersicurezza una importanza ancora maggiore, o meglio uno “specifico e peculiare rilievo”. In tali casi, infatti, le stazioni appaltanti devono limitare il peso dell’offerta economica entro il 10% del punteggio complessivo, attribuendo quindi alla componente tecnica dell’offerta (comprensiva delle misure di cybersicurezza cui deve essere dato “specifico e peculiare rilievo”) un peso percentuale di almeno il 90% del punteggio complessivo[xv].

Le disposizioni sopra esaminate esauriscono la disciplina dettata dall’attuale codice dei contratti pubblici in materia che quindi risulta contenuta essenzialmente in due soli articoli[xvi].

Il primo (art. 19, co. 5) non si riferisce direttamente agli appalti pubblici di beni e servizi informatici ma mira a tutelare la sicurezza cibernetica delle procedure di procurement in generale.

Il secondo (art. 108, co. 4), invece, si riferisce proprio a questa particolare tipologia di contratti pubblici ed è finalizzata a garantire, in ultima analisi, che le tecnologie acquistate dalla p.a. siano “sicure” ed abbiano idonee garanzie di cybersicurezza.

L’elemento della cybersicurezza, dunque, rappresenta il nucleo centrale della disciplina già recata dal codice in materia di contratti pubblici di beni e servizi informatici, il cui acquisto non può prescindere dalla presenza di misure di sicurezza informatica, le quali dovranno essere sempre tenute in considerazione e, qualora impattino su settori connessi alla tutela di interessi nazionali strategici, dovranno essere valutate con specifico e peculiare rilievo.

Per quanto riguarda la formulazione dell’art. 108, co. 4, come visto, la norma risulta formulata in modo ampio e generico (i.e., non viene stabilito, a monte, quali sono gli elementi di cybersicurezza da tenere obbligatoriamente in considerazione oppure le modalità con cui valutare il loro impatto complessivo sull’offerta) con la conseguenza che spetterà alle singole stazioni appaltanti, nell’esercizio dei propri poteri discrezionali, il compito (assai delicato) di “tenere in considerazione” o di attribuire “specifico e peculiare rilievo” agli elementi di cybersicurezza dei prodotti o dei servizi informatici da acquistare.

Questo approccio, che lascia ampi spazi di discrezionalità alle stazioni appaltanti, da un lato, ha il pregio di valorizzare il soddisfacimento “su misura” oppure “taylor made” dei fabbisogni tecnologici del soggetto pubblico[xvii]; dall’altro, venendo a mancare standard uniformi -seppur minimi- di cybersicurezza risulta problematico sia perché rischia di non assicurare il medesimo livello di protezione alle diverse amministrazioni, sia perché lascia margini interpretativi per la definizione degli “interessi nazionali strategici” che farebbe scattare obblighi più stringenti sul versante della cybersicurezza, con conseguente mancanza di uniformità.

3. La disciplina speciale dettata dal DPCM 30 aprile 2025

Il recente DPCM 30 aprile 2025, come anticipato, si inserisce da ultimo nell’ambito della strategia nazionale di rinforzo della sicurezza cibernetica delle tecnologie utilizzate dalla p.a. e reca una disciplina specifica per alcuni appalti pubblici di beni e servizi informatici, ritenuti “cruciali” per il corretto funzionamento dello Stato e delle sue articolazioni e dunque meritevoli di una maggior tutela sul versante cibernetico e informatico.

È opportuno chiarire fin da subito che il DPCM in oggetto non si applica indistintamente a tutti gli appalti pubblici aventi ad oggetto tecnologie. Esso si applica solamente agli appalti pubblici di beni e servizi informatici impiegati in due settori specifici, ovverosia: i) in contesti connessi alla tutela di interessi nazionali strategici[xviii]; ii) in contesti connessi alla tutela della sicurezza nazionale.

Ciascun contesto di riferimento, poi, è destinatario di una specifica disciplina ad hoc che mira a garantire che le tecnologie ivi impiegate rispettino elevati standard di cybersicurezza.

In merito al primo “contesto”, relativo alla tutela di interessi nazionali strategici, il DPCM prevede, in sostanza, che le pubbliche amministrazioni[xix] e i soggetti privati inseriti nel PSNC, qualora intendano acquistare taluni beni e servizi informatici elencati nell’allegato 2 al DPCM, devono assicurarsi che tali tecnologie posseggano gli elementi essenziali di cybersicurezza indicati nell’allegato 1 al DPCM.

Il decreto in esame fa riferimento, più precisamente, a beni e servizi informatici[xx] a forte impatto sul piano cibernetico e spesso interconnessi con altre infrastrutture critiche, quali, ad esempio, software di sicurezza, apparati di rete, piattaforme di gestione dei dati, sistemi di videosorveglianza, sistemi “cloud” e di “storage”, dispositivi di autenticazione e strumenti di controllo degli accessi, la cui elencazione completa (e tassativa) è contenuta nell’allegato 2.

La natura di tali tecnologie, unitamente al loro impiego in contesti connessi alla tutela di interessi nazionali strategici rende necessaria e indispensabile la presenza di misure di cybersicurezza rafforzate.

Sotto quest’ultimo profilo il DPCM fa riferimento alla necessaria presenza di “elementi essenziali di cybersicurezza”[xxi], elencati nel dettaglio all’interno dell’allegato 1 al DPCM, i quali, in via esemplificativa, ricomprendono: la protezione da accessi non autorizzati; sistemi di autenticazione e gestione dell’identità; sistemi di protezione della riservatezza e dell’integrità di dati, personali o di altro tipo; caratteristiche tecniche e funzionali che mirano a prevenire vulnerabilità informatiche; la disponibilità di aggiornamenti di sicurezza tempestivi e certificati.

Anche se sul punto il DPCM è silente, la presenza dei citati “elementi essenziali di cybersicurezza” costituisce un primo filtro selettivo per la ricerca della contraente privato per la pubblica amministrazione, introducendo, più che una modalità di valutazione delle offerte, una condizione di ammissibilità delle medesime. Il DPCM, infatti, non stabilisce che i requisiti di cybersicurezza costituiscano elementi premiali, ma al contrario impone che le tecnologie che la pubblica amministrazione intenda acquistare debbano necessariamente e inderogabilmente possedere specifici requisiti tecnici.

In sede di gara, dunque, alla luce della normativa appena esaminata, deve ritenersi che possano essere valutate esclusivamente le offerte che dimostrino la piena conformità agli standard di cybersicurezza previsti. Ne consegue, a contrario, che un’offerta anche economicamente più vantaggiosa rispetto alle altre, ma che difetti dei richiamati requisiti di cybersicurezza, debba essere dichiarata inammissibile in quanto non strutturalmente conforme alla disciplina speciale di settore.

Per quanto riguarda il secondo ambito di applicazione del DPCM 30 aprile 2025, ovverosia quello relativo agli appalti pubblici di beni e servizi informatici ove vengono in rilievo esigenze di tutela della sicurezza nazionale, la disciplina ivi contenuta presenta un approccio diverso.

In primo luogo viene delimitato con più precisione l’ambito oggettivo di applicazione della disciplina.

Ai sensi dell’art. 4, co. 1, del DPCM, è espressamente previsto che i casi in cui vengono in rilievo esigenze di tutela della sicurezza nazionale sono quelli in cui le tecnologie di cybersicurezza sono destinate ad essere impiegate dai soggetti inclusi nel PNSC[xxii] e riguardano le reti, i sistemi informativi e i servizi informatici “da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, è istituito il perimetro di sicurezza nazionale cibernetica”[xxiii], ovvero che sono funzionali alla loro protezione fisica e logica.

In tali casi si applicano criteri di premialità, in maniera paritaria ed uniforme, alle proposte o alle offerte che contemplino l’uso di tecnologie di cybersicurezza provenienti, oltre che dall’Italia, da Paesi ritenuti “affidabili” e segnatamente: da Paesi appartenenti all’Unione europea; da Paesi aderenti all’Alleanza atlantica (NATO); da Paesi terzi individuati nell’allegato 3 del DPCM[xxiv].

Emerge in modo chiaro che, nel contesto della sicurezza nazionale, più che sul profilo oggettivo della fornitura, il DPCM in esame pone l’accento in modo particolare sul profilo soggettivo dei fornitori, e in particolare sulla loro affidabilità e sicurezza desunte sulla base di considerazioni essenzialmente geopolitiche e diplomatiche.

Il DPCM, tuttavia, non specifica ulteriormente il contenuto dei sopra richiamati criteri di premialità né le loro modalità di applicazione, così come non contiene una disciplina specifica attraverso cui valutare l’affidabilità e la sicurezza dei predetti operatori economici.

In assenza di una specifica regolamentazione sul punto, dovrebbe trovare applicazione la relativa disciplina contenuta nel codice dei contratti pubblici oppure, eventualmente, la disciplina contenuta negli accordi internazionali che vengono in rilievo.

Infine, deve essere notato che l’art. 4 del DPCM 30 aprile 2025, che esaurisce la disciplina in materia di contratti pubblici di tecnologie in casi in cui vengono in rilievo esigenze di tutela della sicurezza nazionale, non specifica nel dettaglio (come lo stesso DPCM fa a in merito agli appalti pubblici di tecnologie impiegate in contesti connessi alla tutela di interessi nazionali strategici) quali sono le tecnologie coinvolte e/o i relativi requisiti di cybersicurezza, né richiama espressamente gli allegati 1 e 2. Esso si riferisce esclusivamente a “proposte” e “offerte che contemplino l’uso di tecnologie di cybersicurezza”[xxv], senza ulteriori specificazioni.

Non è quindi chiaro se, e in che misura, l’elenco dei beni e servizi contenuti nell’allegato 2, così come gli elementi essenziali di cybersicurezza contenuti nell’allegato 1 trovino applicazione anche in tale ambito. Il silenzio del legislatore su questo punto apre a diverse opzioni interpretative. Ad esempio, una interpretazione restrittiva (ma più giustificabile in punto di diritto e coerente sotto il profilo sistematico e testuale) potrebbe sostenere, senza troppo margine di errore, che in assenza di un richiamo esplicito gli allegati 1 e 2 del DPCM non si applichino in questo caso. Ne deriverebbe che le offerte “premiate” potrebbero riguardare anche tecnologie non tipizzate (non solo quelle indicate nell’allegato 2 del DPCM) e che i requisiti essenziali di cybersicurezza (indicati nell’allegato 1 del DPCM) non costituirebbero un requisito tecnico minimo dell’offerta. Si tratta, tuttavia, di una questione aperta, che potrà essere chiarita solo attraverso la prassi applicativa o eventuali interventi interpretativi del legislatore.

3.1. La collocazione degli appalti pubblici di beni e servizi informatici, disciplinati dal DPCM 30 aprile 2025, nell'ambito della sistematica della disciplina codicistica

Una prima questione interpretativa di un certo rilievo concerne la qualificazione giuridica degli appalti pubblici disciplinati dal DPCM 30 aprile 2025.

Considerato che tali contratti sono sottoposti ad una disciplina speciale e si riferiscono ad un ambito caratterizzato dalla presenza di interessi nazionali strategici e da esigenze di sicurezza nazionale, i primi dubbi da sciogliere impongono di chiarire se tali contratti rientrino nell’ambito dei c.d. contratti esclusi dall’ambito di applicazione del Codice dei contratti pubblici oppure se restino comunque all’interno del perimetro codicistico attratti nell’ambito della disciplina speciale dettata per gli appalti della difesa; ovvero se rientrino nella disciplina generale del codice pur se con le specialità recate dal DPCM.

Come è noto, il Codice contempla anche la categoria dei contratti c.d. esclusi, per tali intendendosi i contratti pubblici che, per espressa previsione legislativa, sono sottratti, in tutto o in parte, dall’ambito di applicazione del codice dei contratti pubblici[xxvi].

La ratio alla base di tale esclusione, è altrettanto noto, si rinviene nella peculiare ed eterogenea natura degli interessi e delle ragioni sottese alla loro aggiudicazione, quali, ad esempio, il carattere intuitu personae del contratto, motivi di riservatezza o segretezza, la dimensione internazionale del mercato nonché il rispetto di delicati equilibri politico-diplomatici.

La rilevanza di tali interessi può giustificare che la disciplina di tali contratti sia demandata a fonti normative autonome e settoriali, estranee al codice.

Come si è visto nei paragrafi che precedono, gli appalti pubblici di beni e servizi informatici regolati dal DPCM 30 aprile 2025 presentano effettivamente molte di queste caratteristiche: sono caratterizzati dalla presenza di rilevanti e sensibili interessi nazionali, si rivolgono ad una platea internazionale, coinvolgono delicate considerazioni di carattere politico-diplomatico e sono soggetti ad una disciplina specifica dettata ad hoc dallo stesso DPCM.

La compresenza di tutti questi elementi e considerazione potrebbe indurre a collocare tali contratti al di fuori della disciplina codicistica.

Tuttavia, né il codice dei contratti pubblici, né le direttive comunitarie cui esso dà attuazione, né il DPCM 30 aprile 2025, prevedono, espressamente o implicitamente, che tali contratti rientrino nell’ambito dei contratti esclusi e che debbano essere conseguentemente assoggettati ad una diversa disciplina extracodicistica.

Non potendosi prescindere da una espressa indicazione legislativa in tal senso, è quindi evidente che i contratti pubblici regolati dal DPCM in esame, sebbene posseggano spiccati elementi di specialità, rientrano nel perimetro della disciplina codicistica la cui inclusione, tra l’altro, è del tutto coerente con la disciplina speciale recata dallo stesso DPCM che non introduce, ad esempio, diverse modalità o procedure di aggiudicazione, ma insiste, essenzialmente, sui requisiti tecnici minimi delle offerte e sui requisiti soggettivi premiali da attribuire ad alcuni operatori economici.

Rimanendo nell’ambito della disciplina codicistica, è poi comunque da escludere che il richiamo fatto agli interessi nazionali strategici e alle esigenze di sicurezza nazionale valga a consentire la collocazione degli appalti disciplinati dal DPCM 30 aprile 2025 nella categoria degli appalti nel settore della difesa e della sicurezza regolati dall’art. 136 del d.lgs. 36/2023.

Sia l’espresso riferimento a “interessi strategici nazionali” ed a “esigenze di sicurezza nazionale”, sia il fatto che molti beni e servizi informatici oggetto del DPCM potrebbero essere impiegati in contesti militari o “dual use”, possono originare il dubbio che tali appalti rientrino nella disciplina del citato art. 136, il quale prevede che “le disposizioni del codice si applicano ai contratti aggiudicati nei settori della difesa e della sicurezza” ad eccezione dei contratti che: a) rientrano nell’ambito di applicazione del d.lgs. 15 novembre 2011 n. 208 (recante “Disciplina dei contratti pubblici relativi ai lavori, servizi e forniture nei settori della difesa e sicurezza, in attuazione della direttiva 2009/81/CE”); b) ai quali non si applica nemmeno il d.lgs. 208/2011, in virtù dell’art. 6 del medesimo.

Tuttavia, l’ambito oggettivo del DPCM appare più ampio e generale: non riguarda necessariamente beni o servizi tecnologici progettati in modo specifico per scopi militari, né si limita a forniture destinate al Ministero della Difesa o ad altri enti del comparto difensivo. Al contrario, il decreto si rivolge alla generalità delle amministrazioni pubbliche, nonché ai soggetti privati inseriti nel PSNC.

Non pare dunque che i contratti regolati dal DPCM 30 aprile 2025 possano essere di per sé ricompresi in quelli della difesa, salvo ovviamente il caso che l’oggetto della fornitura sia costituito da beni o servizi tecnologici espressamente progettati per fini difensivi.

In linea generale la disciplina prevista dal DPCM 30 aprile 2025 non è dunque riconducibile nel perimetro degli appalti della difesa almeno fintanto che riguardi specificamente forniture di natura militare in senso stretto.

I contratti d’appalto disciplinati dal DPCM 30 aprile 2025, quindi, pur se caratterizzati dalla presenza di interessi nazionali strategici e di esigenze di difesa nazionale non sono dunque riconducibili nell’ambito dei c.d. contratti esclusi, né in quello degli appalti nei settori della difesa e sicurezza atteso che l’ambito oggettivo del DPCM è più ampio.

Alla luce delle considerazioni svolte, dunque, a livello di inquadramento sistematico, gli appalti pubblici presi in considerazione dal DPCM 30 aprile 2025 rientrano nell’ambito della disciplina generale dettata dal codice dei contratti pubblici, con la conseguenza che, in linea di principio, le procedure di aggiudicazione di tali contratti saranno disciplinate dai principi e dalle norme ordinarie contenute nel d.lgs. 36/2023.

Si deve tuttavia considerare che il DPCM, per quanto sia una fonte secondaria, introduce elementi di specialità della disciplina con specifico riferimento all’introduzione di requisiti minimi di cybersicurezza in punto di presentazione delle offerte e di un maggior favor verso la partecipazione di operatori economici appartenenti a Paesi ritenuti sicuri sulla scorta di valutazioni diplomatiche e geopolitiche.

Non si può pertanto ignorare che sotto tale profilo le disposizioni del DPCM integrano con carattere di specialità la disciplina generalmente dettata dal codice dei contratti pubblici. Si può tuttavia ritenere che la disciplina in parte derogatoria introdotta dal DPCM si muova comunque nel rispetto del principio di legalità e della gerarchia del sistema delle fonti in quanto il decreto è stato emanato in attuazione di una specifica norma di legge, l’art. 14 della l. 90/2024, che sotto questo profilo offre idonea copertura legislativa.

3.2. La partecipazione degli operatori economici extra-UE agli appalti pubblici di beni e servizi informatici disciplinati dal DPCM 30 aprile 2025, con particolare riferimento ai casi di tutela della sicurezza nazionale

Una seconda questione interpretativa di rilievo concerne l’individuazione delle condizioni di partecipazione delle imprese stabilite in Paesi extra-UE alle gare pubbliche per l’affidamento dei contratti disciplinati dal DPCM 30 aprile 2025, soprattutto in contesti connessi alla tutela della sicurezza nazionale ove il decreto in esame introduce un chiaro favor nei confronti di alcuni Paesi che possono anche non appartenere alla UE[xxvii].

L’art. 4 del DPCM, come visto, introduce un sistema di premialità selettiva fondato sul Paese di origine delle tecnologie utilizzate nelle offerte. In base a tale disposizione, sono previsti criteri premiali per le proposte che contemplino l’uso di tecnologie di cybersicurezza provenienti da:

i) operatori economici stabiliti in Italia;

ii) operatori economici stabiliti in altri Stati membri dell’Unione europea;

iii) operatori economici stabiliti in Paesi aderenti alla NATO;

iv) operatori economici stabiliti in Paesi terzi indicati nell’allegato 3 del DPCM.

Con riguardo ai punti i) e ii) non sorgono particolari problemi di sorta: è noto che in base al codice dei contratti pubblici, tanto gli operatori economici nazionali, quanto quelli comunitari, possono partecipare alle procedure di affidamento dei contratti pubblici in condizioni di parità[xxviii].

Più problematica potrebbe risultare la partecipazione degli operatori economici appartenenti ai Paesi extra-UE richiamati dal DPCM che, nello specifico, fa riferimento a Stati Uniti e Canada (quali Paesi aderenti alla NATO e non facenti parte dell’Unione europea), nonché ad Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera (quali Paesi elencati nell’allegato 3 del DPCM).

È altrettanto noto, infatti, che la partecipazione degli operatori economici extracomunitari, al contrario di quanto avviene con gli operatori economici stabiliti nell’Unione europea, non è “automatica”: la lex specialis, infatti, potrebbe prevedere un generale divieto di partecipazione per tali operatori; potrebbe imporre condizioni di partecipazione più gravose; oppure, al ricorrere di determinate condizioni, potrebbe garantire loro la partecipazione in condizioni di parità con gli operatori nazionali e comunitari.

L’attuale codice dei contratti pubblici, all’art. 69, prevede che “se sono contemplati dagli allegati 1, 2, 4 e 5 e dalle note generali dell'appendice 1 dell'Unione europea dell’Accordo sugli Appalti Pubblici (AAP) e dagli altri accordi internazionali cui l'Unione è vincolata, le stazioni appaltanti applicano ai lavori, alle forniture, ai servizi e agli operatori economici dei Paesi terzi firmatari di tali accordi un trattamento non meno favorevole di quello concesso ai sensi del codice.”[xxix]

In altre parole, l’art. 69 del d.lgs. 36/2023 stabilisce che gli operatori economici extracomunitari possono partecipare e gareggiare in condizioni di parità con gli operatori nazionali e comunitari solamente al ricorrere di uno dei seguenti requisiti: i) l’appalto in questione rientra nell’ambito del Government Procurement Agreement (GPA; detto anche accordo internazionale sugli appalti pubblici: AAP); oppure, ii) l’appalto in questione rientra nell’ambito di un altro accordo internazionale firmato dall’Unione europea.

Il GPA[xxx], richiamato dall’art. 69 del d.lgs. 36/2023, rappresenta una delle principali fonti normative sovranazionali che disciplinano la materia dei contratti pubblici e costituisce un accordo internazionale plurilaterale stipulato all’interno della World Trade Organization (WTO)[xxxi]. Tuttavia, tale accordo non è vincolante nei confronti di tutti i membri della WTO, ma solamente nei confronti delle parti (ovverosia degli Stati) che lo hanno espressamente sottoscritto.

Ad oggi, come risulta anche dal database ufficiale della WTO, tale accordo risulta sottoscritto da 22 Paesi[xxxii] tra cui, oltre all’Unione europea e i suoi Stati membri, si rinvengono anche Australia, Canada, Israele, Giappone, Corea del Sud, Nuova Zelanda, Svizzera e Stati Uniti.

Nel delimitare l’ambito oggettivo di applicazione dell’accordo occorre fare riferimento all’articolo 2 del GPA in base al quale è previsto che: i) l’accordo non si applica indistintamente a tutti gli appalti aggiudicati dagli Stati firmatari; ii) al contrario, l’accordo si applica solamente a quegli appalti specifici che ciascuno Stato firmatario, al momento della propria adesione, inserisce nell’Appendice I del GPA (c.d. “covered procurement”).

L’Appendice I è suddivisa in più allegati ove gli Stati firmatari devono ulteriormente specificare l’ambito di applicazione oggettiva dell’accordo e, in particolare, devono indicare: i) le amministrazioni cui si applica il GPA e le relative soglie di rilevanza per l’acquisto di beni e servizi[xxxiii]; ii) i beni e i servizi ricompresi nell’ambito di applicazione del GPA[xxxiv]; iii) eventuali eccezioni all’applicazione del GPA.

Ebbene, in una gara pubblica bandita da uno dei Paesi sopra evidenziati, qualora detta gara rientri nell’ambito dei “covered procurement”, troveranno applicazione, oltre alla normativa nazionale, anche le disposizioni contenute nel GPA, tra cui, in particolare, per quanto qui interessa, l’articolo 4.

L’articolo 4 del GPA, rubricato “general principles”, costituisce una norma fondamentale dell’accordo in quanto reca i principi fondamentali che si applicano alle procedure di evidenza pubblica governate dal trattato.

Nello specifico, l’art. 4, ai commi 1 e 2[xxxv], riporta due fondamentali regole del commercio internazionale, ovverosia: la National treatment rule (c.d. Nt rule), in base alla quale l’amministrazione deve concedere agli operatori economici degli Stati firmatari del GPA un trattamento non meno favorevole di quello che lo Stato banditore riserva alle proprie imprese e ai propri beni e servizi; e la Most favoured nation rule (c.d. Mfn rule) in base alla quale l’amministrazione non deve effettuare discriminazioni tra le imprese straniere provenienti da diversi Stati firmatari del GPA.

Quanto affermato dall’articolo 4, commi 1 e 2, del GPA si riflette (anche e soprattutto) in punto di partecipazione delle imprese extracomunitarie agli appalti aggiudicati da stazioni appaltanti italiane: in questo caso, infatti, se l’appalto bandito rientra tra i “covered procurements”, allora, anche gli operatori economici extracomunitari potranno accedervi, in quanto destinatari di un trattamento non meno favorevole di quello riservato agli operatori economici nazionali.

Ricostruiti i tratti essenziali del quadro normativo di riferimento, a livello nazionale e internazionale, occorre a questo punto verificare se e in che modo i principi sopra richiamati si possano applicare agli operatori economici extra-UE, nei confronti dei quali il DPCM 30 aprile 2025 prevede l’applicazione di elementi premiali, nel caso in cui intendano partecipare agli appalti pubblici di beni e servizi informatici in settori connessi a esigenze di tutela della sicurezza nazionale.

Punto di partenza è l’art. 69 del d.lgs. 36/2023 il quale, in merito, rinvia al GPA.

In primo luogo, dunque, bisogna verificare se la commessa pubblica da aggiudicare rientri nell’ambito dei “covered procurements” del GPA, sia sotto il profilo soggettivo che sotto il profilo oggettivo.

In merito al rispetto dell’ambito soggettivo di applicazione del GPA non dovrebbero sorgere particolari problemi in quanto, si è visto, il GPA è stato sottoscritto anche da Australia, Canada, Israele, Giappone, Corea del Sud, Nuova Zelanda, Svizzera e Stati Uniti, ovverosia i Paesi ritenuti “più sicuri e affidabili” da parte del DPCM 30 aprile 2025.

Per quanto riguarda l’ambito oggettivo di applicazione del GPA, la questione non può essere risolta in via teorica in quanto occorre verificare, nel concreto, una serie di elementi fondamentali della commessa pubblica quali il valore della commessa (che deve rispettare le soglie di rilevanza indicate nell’Appendice 1), le tecnologie o i servizi richiesti (che devono coincidere con i beni e i servizi indicati nell’Appendice 1) e l’assenza di eventuali esclusioni.

Se entrambi questi profili risultano soddisfatti e l’appalto rientra nell’ambito dei “covered procurements” del GPA, allora nei confronti degli operatori economici extra-UE presi in considerazione dal DPCM 30 aprile 2025 troveranno applicazione, in punto di partecipazione alla procedura di evidenza pubblica, la Mfn rule e la Nt rule contenute nell’art. 4 del GPA, la cui applicazione, come visto, garantisce la partecipazione di tali operatori economici in condizioni di sostanziale parità con gli operatori economici nazionali ed UE.

Nel caso in cui non dovesse applicarsi il GPA e non dovessero trovare applicazione neanche eventuali altri accordi internazionali -stipulati tra gli Stati coinvolti nella predetta procedura di procurement ed aventi ad oggetto la reciproca apertura dei rispettivi mercati dei contratti pubblici- allora la partecipazione degli operatori economici extra-UE contemplati dal DPCM 30 aprile 2025 sarà rimessa alla discrezionalità delle singole stazioni appaltanti, le quali potranno decidere di vietarne la partecipazione, renderla più gravosa oppure consentirla in condizione di parità con gli operatori economici nazionali e comunitari.

4. Osservazioni conclusive

Il DPCM 30 aprile 2025 si inserisce in una traiettoria normativa e strategica che riflette la crescente centralità degli interessi di sicurezza cibernetica nello spazio pubblico. Il provvedimento rappresenta un primo esempio concreto di disciplina attuativa in materia di appalti pubblici di tecnologie informatiche impiegate in contesti sensibili, e come tale costituisce un tassello essenziale del nuovo assetto multilivello della sicurezza tecnologica nazionale.

Come emerso dall’analisi condotta, il DPCM delinea un doppio regime: da un lato, quello relativo ai contesti connessi alla tutela degli interessi nazionali strategici, per i quali vengono specificamente individuati beni e servizi informatici soggetti a obblighi stringenti in termini di cybersicurezza e affidabilità tecnica dell’offerta; dall’altro, quello afferente alla tutela della sicurezza nazionale, che introduce meccanismi premiali selettivi basati sull’origine geografica delle tecnologie impiegate, con chiaro riferimento alla loro provenienza da Stati ritenuti affidabili in chiave geopolitica.

È stato inoltre chiarito che, sebbene gli appalti disciplinati dal DPCM in oggetto siano caratterizzati de esigenze di tutela di interessi nazionali sensibili e di tutela della difesa nazionale, ciò non vale ad assoggettare tali contratti alla disciplina dei “contratti esclusi” o dei contratti “della difesa e sicurezza” (salvo, in quest’ultimo settore, casi particolari), ragion per cui rimangono assoggettati alle norme ordinarie dettate dal codice dei contratti pubblici integrato con la disciplina speciale prevista dal DPCM grazie alla copertura legislativa contenuta nell’art. 14 della l. 90/2024.

Non mancano, tuttavia, alcuni aspetti problematici che il DPCM 30 aprile 2025 lascia irrisolti. Tra questi, l’ampia discrezionalità riconosciuta alle stazioni appaltanti nella definizione del concetto di “interessi strategici nazionali”, con il rischio di applicazioni disomogenee, e la mancata esplicita previsione, nel contesto della sicurezza nazionale, di requisiti tecnici minimi di cybersicurezza, che il DPCM sembra sostituire accontentandosi di una valutazione fondata unicamente sulla provenienza geopolitica dell’operatore economico. Lo stesso tema della partecipazione degli operatori economici extra-UE, rispetto al quale il DPCM introduce un sistema di premialità fondato su criteri geopolitici e diplomatici, rimane comunque denso di implicazioni problematiche. Tale partecipazione, alla luce dell’art. 69 del d.lgs. 36/2023 e della normativa contenuta nel GPA, può essere infatti garantita a condizione che l’appalto rientri tra i c.d. “covered procurements”. In difetto di tale copertura, la partecipazione di tali operatori economici non è preclusa a monte, ma rimarrà soggetta alla valutazione discrezionale delle stazioni appaltanti.

[i] Tra i primi commenti sul tema, riferiti al testo originario del DDL AC1717 e della legge 28 giugno 2024 n. 90 cui il DPCM 30 aprile 2025 dà attuazione, si vedano: L. PREVITI, La nuova legge sulla cybersicurezza, un passo avanti e due indietro, in Giornale di diritto amministrativo, I, 2025, pp. 60 e ss.; G. FIORINELLI e M. GIANNELLI (a cura di), Il DDL Cybersicurezza (AC1717). Problemi e prospettive in vista del recepimento della NIS 2, in Rivista italiana di informatica e diritto, I, 2024; L. NANNIPIERI, Cybersicurezza e appalti pubblici: verso un nuovo (e incerto) quadro regolatorio, in G. FIORINELLI e M. GIANNELLI (a cura di), Il DDL Cybersicurezza (AC1717). Problemi e prospettive in vista del recepimento della NIS 2, op. cit., pp. 19 e ss.

[ii] Sul più ampio tema della regolamentazione della sicurezza cibernetica dello Stato e delle sue articolazioni, nell’ambito di una vasta letteratura si vedano ex multis: M. MACCHIA e G. SFERRAZZO, Sicurezza e rischio tecnologico. La funzione di cybersecurity, in Diritto amministrativo, I, 2025, pp. 109 e ss.; L. MORONI, La Governance della cybersicurezza a livello interno ed europeo: un quadro intricato, in Federalismi, 2024, pp. 179 e ss.; M. A. RIZZI e F. SERINI, Una proposta di studio dei concetti di cybersicurezza e cyberresilienza in senso giuridico tra ordinamento europeo e italiano, in Rivista italiana di informatica e diritto, 2024, pp. 115 e ss.; P.G. CHIARA, DDL Cybersicurezza: tra l’inasprimento della risposta penale del legislatore nazionale e il modello preventivo-amministrativo della direttiva NIS2, in Rivista italiana di informatica e diritto, 2024, pp. 31 e ss.; S. ROSSA, Cybersicurezza e Pubblica Amministrazione, Editoriale Scientifica, Napoli, 2023; L. PREVITI, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, in Federalismi, 2022, pp. 65 e ss.; L. PREVITI, La gestione del rischio informatico nella decisione amministrativa robotica, in Rivista italiana di informatica e diritto, 2022, pp. 67 e ss.; F. SERINI, La nuova architettura di cybersicurezza nazionale: note a prima lettura del decreto-legge n. 82 del 2021, in Federalismi, 2022, pp. 241 e ss.; B. BRUNO, Cybersecurity tra legislazioni, interessi nazionali e mercato: il complesso equilibrio tra velocità, competitività e diritti individuali, in Federalismi, 2020, pp. 11 e ss.;

[iii] Come è noto lo sviluppo e la regolamentazione della cybersicurezza in Italia si colloca, a sua volta, all’interno di una più grande strategia comunitaria volta a rinforzare e soprattutto coordinare le difese cibernetiche dei Paesi europei e dell’Unione europea.

A livello europeo, le principali tappe relative alla creazione di un quadro giuridico comune in materia di cybersicurezza sono rappresentate da: l’istituzione della European Network and Information Security Agency -ENISA- (con regolamento UE/2004/460) che costituisce l’agenzia europea destinata ad operare in materia di cybersicurezza con importanti compiti in punto di cooperazione e coordinamento dell’attività dei singoli Stati membri; la direttiva UE 2016/1148, c.d. direttiva NIS I (“Network and Information System”) la quale, oltre ad istituire il sistema di governance europea in materia, inter alia, prevede che alcuni soggetti, quali gli “operatori dei servizi essenziali” indicati dalla direttiva (OES) e i “fornitori di servizi digitali” (FSD) che offrono servizi all’interno dell’UE, debbano adottare misure tecniche e organizzative per rendere sicure le proprie reti e i sistemi informatici e più in generale debbano garantire il rispetto di alti standard di cybersicurezza; il regolamento UE 2019/881 (c.d. Cybersecurity Act) che implementa i compiti e le funzioni dell’ENISA; la direttiva UE 2022/2555, c.d. direttiva NIS II, che abroga e sostituisce la precedente NIS I, la quale potenzia e rafforza le misure già introdotte con la precedente NIS I e conferma, tra le altre cose, l’istituzione delle autorità nazionali in materia di cybersicurezza (c.d. autorità nazionali competenti NIS).

[iv] L’Agenzia per la Cybersicurezza Nazionale è stata istituita con d.l. 14 giugno 2021, n. 82, recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” e costituisce l’autorità NIS di riferimento nell’ordinamento italiano.

Sull’Agenzia per la Cybersicurezza Nazionale si vedano, ex multis: L. MORONI, La Governance della cybersicurezza a livello interno ed europeo: un quadro intricato, op. cit.; G.G. CUSENZA, I poteri dell’Agenzia per la Cybersicurezza Nazionale: una nuova regolazione del mercato cibernetico, in R. URSI (a cura di), La sicurezza nel cyberspazio, Franco Angeli, Milano, 2023, pp. 123 e ss.; L. PARONA, L’istituzione dell’Agenzia per la Cybersicurezza Nazionale, in Giornale di diritto amministrativo, 2021, pp. 709 e ss.

[v] Ci si riferisce al documento, di carattere programmatico e di indirizzo generale, adottato dall’Agenzia per la Cybersicurezza Nazionale, che illustra le principali sfide da affrontare in tema di cybersicurezza nel quadriennio di riferimento, gli obiettivi da raggiungere e le strategie da impiegare. In particolare, la citata Strategia nazionale di cybersicurezza persegue tre obiettivi fondamentali: i. Obiettivo protezione (ovverosia “la protezione degli asset strategici nazionali, attraverso un approccio sistemico orientato alla gestione e mitigazione del rischio, formato sia da un quadro normativo che da misure, strumenti e controlli che possono abilitare una transizione digitale resiliente del Paese. Di particolare importanza è lo sviluppo di strategie e iniziative per la verifica e valutazione della sicurezza delle infrastrutture ICT, ivi inclusi gli aspetti di approvvigionamento e supply-chain a impatto nazionale”); ii. Obiettivo risposta (ovverosia “la risposta alle minacce, agli incidenti e alle crisi cyber nazionali, attraverso l’impiego di elevate capacità nazionali di monitoraggio, rilevamento, analisi e risposta e l’attivazione di processi che coinvolgano tutti gli attori facenti parte dell’ecosistema di cybersicurezza nazionale”); iii. Obiettivo sviluppo (ovverosia “lo sviluppo consapevole e sicuro delle tecnologie digitali, della ricerca e della competitività industriale, in grado di rispondere alle esigenze di mercato. La costellazione di centri di eccellenza e imprese che compongono, assieme all’accademia, il tessuto della ricerca e dello sviluppo è infatti un patrimonio essenziale per il nostro Paese con importanti potenzialità di espansione”). Ai fini del presente articolo giova sottolineare che anche all’interno della Strategia nazionale di cybersicurezza, nell’ambito dell’obiettivo protezione, viene ribadito che costituisce un aspetto di particolare importanza il rafforzamento delle misure di cybersicurezza all’interno delle “infrastrutture ICT, ivi inclusi gli aspetti di approvvigionamento e supply-chain a impatto nazionale”, una formulazione molto ampia, e che data proprio la sua ampiezza sembra ricomprendere appieno la fornitura e l’approvvigionamento di beni e servizi informatici (o comunque infrastrutture ICT in genere) anche da parte di soggetti pubblici.

[vi] Il perimetro di sicurezza nazionale cibernetica è stato istituito con d.l. 21 settembre 2019, n. 105, il cui fine, a mente dell’art. 1, co. 1, del medesimo d.l., è quello di “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale […].” I soggetti ricompresi nel PSNC sono individuati con separato DPCM non soggetto a pubblicazione o istanze di accesso, con la conseguenza che solo i soggetti ivi ricompresi riceveranno comunicazione della relativa iscrizione all’interno del PSNC.

In generale sul PSNC si veda, fra tutti, S. MELE, Il Perimento di sicurezza nazionale cibernetica e il nuovo “golden power”, in G. CASSANO e S. PREVITI (a cura di), Il diritto di internet nell’era digitale, Giuffrè, Milano, 2020, pp. 186 e ss.

[vii] Come evidenziato dalla dottrina, il concetto di cybersicurezza tenderebbe ormai a distinguersi e ad assumere una propria autonomia rispetto al concetto di sicurezza nazionale, pur rimanendo a questo strettamente connesso. Cfr. in ptc. M. MACCHIA e G. SFERRAZZO, Sicurezza e rischio tecnologico. La funzione di cybersecurity, op. cit., pp. 115 e ss.

Sotto questo profilo la dottrina giunge anche ad affermare che la cybersicurezza potrebbe essere qualificata come vero e proprio bene pubblico. Ex multis si veda R. BRIGHI e P.G. CHIARA, La cybersecurity come bene pubblico: alcune riflessioni normative a partire dai recenti sviluppi nel diritto dell’Unione Europea, in Federalismi, 2021, pp. 18 e ss.

[viii] Come è stato notato da S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, in Rivista interdisciplinare sul diritto delle amministrazioni pubbliche, II/2024, p. 340, con specifico riferimento alla mancata regolamentazione della materia da parte del legislatore comunitario, “le Direttive 2014/23-24-25/UE in materia di appalti e concessioni non contengono né una disciplina generale sugli appalti di cybersecurity né minime e particolari disposizioni. Questo aspetto, che di primo acchitto può essere giustificato con la riconduzione di questa materia all’ambito di stretto interesse nazionale “tradizionale” dei diversi Paesi membri (nonostante vi sia una precisa disciplina europea in materia di appalti nel settore della difesa), comporta che l’intervento in materia di appalti di cybersecurity sia demandato ai legislatori domestici”.

Sebbene non sia presente nelle direttive europee in materia di appalti pubblici, la disciplina generale della cybersicurezza in ambito europeo si rinviene in altre fonti normative e, in particolare, nel c.d. Cybersecurity Act contenuto nel Regolamento 2019/881 e nelle altre fonti indicate supra sub nota 3.

[ix] In generale, sulla disciplina recata dal codice dei contratti pubblici in materia di cybersicurezza si veda T. COCCHI, La cybersicurezza nel prisma del diritto dei contratti pubblici: un tentativo di ricostruzione delle regole del gioco tra requisiti di partecipazione, criteri di aggiudicazione ed esigenze di certezza, in Munus, I, 2024, pp. 177 e ss.

[x] Per un’analisi dettagliata della norma in esame si rinvia a G. VESPERINI, Commento all’articolo 19, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, pp. 200 e ss.

[xi] Cfr. G. VESPERINI, Commento all’articolo 19, op. cit., p. 211, ove si sottolinea che “La relazione del Consiglio di Stato giustifica così la norma: ‘in attesa che le iniziative di regolazione dell’utilizzazione di strumenti e tecnologie digitali, anche per quanto concerne i profili di sicurezza, vengano portate a compimento e, soprattutto, concretamente attuate’, le norme in esame ‘sono funzionali anche a favorire la diffusione di misure, da parte delle amministrazioni, utili alla qualificazione e alla sicurezza, stimolando anche per tale via una uniformità di standard e una crescita complessiva della cultura della sicurezza informatica nella pubblica amministrazione e tra gli operatori economici’”.

[xii] Non deve essere sottovalutata l’importanza della norma sotto il profilo della formazione e del costante aggiornamento del personale amministrativo. La materia della cybersicurezza, soprattutto nel settore delle gare pubbliche, si presenta particolarmente tecnica e -soprattutto, come avviene di consueto in ambito tecnologico- è una materia caratterizzata da una rapidissima evoluzione, il che implica che la formazione e l’aggiornamento del personale delle stazioni appaltanti costituisce un presupposto fondamentale per garantire la resilienza cibernetica della p.a.

Cfr. G. VESPERINI, Commento all’articolo 19, op. cit., p. 212.

[xiii] Cfr. G. MACDONALD, Commento all’articolo 108, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, pp. 977 e ss.

[xiv] Cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., p. 341.

[xv] Cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., p. 341 ove l’A. in particolare specifica che “L’art. 108, co. 4, del Codice, invece, al quarto periodo stabilisce che nelle procedure di approvvigionamento di forniture e servizi informatici per l’Amministrazione Pubblica le stazioni appaltanti, e le centrali di committenza, dovendo procedere con l’aggiudicazione sulla base del criterio dell’offerta economicamente vantaggiosa, sono tenute a considerare gli elementi di cybersecurity nella valutazione dell’elemento qualitativo-tecnico dell’offerta; e qualora tali procedure siano riferibili a contesti rilevanti per gli interessi nazionali strategici, le stazioni appaltanti devono limitare la ponderazione della valutazione della componente economica dell’offerta a dieci punti percentuali del punteggio complessivo, in tal modo aumentando notevolmente “il peso” della componente tecnica dell’offerta.”

[xvi] Parte della dottrina ha comunque evidenziato che l’introduzione di tali due nuove disposizioni nel d.lgs. 36/2023, sebbene abbia risvolti positivi poiché ha il merito di codificare importanti principi, d’altro lato ha comunque una “portata limitata: vengono formalizzati due aspetti che, nella realtà dei fatti, erano presenti già prima dell’intervento normativo del 2023 – soprattutto in relazione a quelle Amministrazioni aggiudicatrici da sempre deputate agli appalti di tecnologia. Appare inesatto ritenere che, prima dell’entrata in vigore del recente Codice appalti, le stazioni appaltanti non considerassero l’elemento della cybersicurezza nella valutazione della componente tecnica dell’offerta in gare relative a forniture, servizi e processi informatici”, cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., p. 341.

[xvii] Cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., pp. 341-342.

[xviii] Il DPCM in esame, tuttavia, non contiene una definizione positiva della nozione di “interessi nazionali strategici.” Ciò, come già evidenziato dalla dottrina, l’assenza di un’esatta perimetrazione dell’ampio concetto di “interessi nazionali strategici” costituisce una prima (e notevole) criticità del DPCM ora in esame che ne potrebbe ostacolare la corretta applicazione e generare un notevole contenzioso in una materia già di per sé altamente tecnica e relativa a interessi o contesti -comunque denominati- sensibili.

Cfr. L. NANNIPIERI, Cybersicurezza e appalti pubblici: verso un nuovo (e incerto) quadro regolatorio, op cit., pp. 20-21.

[xix] L’art. 1, co. 1, lett. a), del DPCM 30 aprile 2025, nel delimitare l'ambito di applicazione soggettivo della normativa, fa riferimento ai soggetti di cui all’art. 2, co. 2, del codice dell’amministrazione digitale, di cui al d.lgs. 7 marzo 2005, n. 82, il quale a sua volta rimanda all’art. 1, co. 2, del d.lgs. 30 marzo 2001, n. 165. In buona sostanza, tramite i rinvii operati dal DPCM 30 aprile 2025, si arriva a coprire pressoché l’intera platea dei soggetti pubblici il che, tenuto conto delle finalità del DPCM in esame, potrebbe risultare sovrabbondante. Come sottolineato da L. NANNIPIERI, Cybersicurezza e appalti pubblici: verso un nuovo (e incerto) quadro regolatorio, op cit., p. 21, (ove l’A. si riferisce segnatamente all’art. 10 del DDL 1717 ma la cui formulazione, sul punto, è rimasta pressoché inalterata nell’attuale art. 1, co. 1, lett. a) del DPCM 30 aprile 2025) l’elenco dei destinatari della norma “appare decisamente ampio” e “Come osservato in sede istruttoria (cfr. audizione dell’ANCI), l’ambito di applicazione della disposizione dovrebbe essere meglio specificato, in quanto il rinvio per relationem all’art. 2, co. 2, d.lgs. 82/2005 condurrebbe ad una generalizzata efficacia applicativa della disposizione anche a soggetti che non svolgono attività di approvvigionamento di beni e servizi informatici legati alla tutela di interessi nazionali strategici. Si pensi, ad esempio, alla generalità delle società a controllo pubblico, ovvero agli istituti di istruzione ovvero, ancora, alla generalità indiscriminata degli enti locali.”

[xx] DPCM 30 aprile 2025, art. 3, il quale rinvia all’allegato 2.

[xxi] DPCM 30 aprile 2025, art. 2, il quale rinvia all’allegato 1.

[xxii] L’art. 4, co. 1, del DPCM 30 aprile 2025, si riferisce infatti ai soggetti di cui all’art. 1, co. 2bis, del d.l. 105/2019, il quale, rinviando all’art. 1, co. 2, lett. a), fa riferimento a tutti i soggetti (amministrazioni pubbliche, enti e operatori pubblici e privati) inclusi nel Perimetro di sicurezza nazionale cibernetica.

[xxiii] L’art. 4, co. 1, del DPCM 30 aprile 2025, rimanda alle “reti, sistemi informativi e servizi informatici” di cui all’art. 1, co. 2, lett. b) del d.l. 105/2019, il quale a sua volta rimanda all’art. 1, co. 1, del medesimo d.l. 105/2019 sopra riportato.

[xxiv] L’allegato 3 del DPCM 30 aprile 2025, fa riferimento ai Paesi terzi che sono parte di accordi di collaborazione sia con l’Unione europea sia con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione. Nello specifico, tali Paesi sono: Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera.

[xxv] DPCM 30 aprile 2025, art. 1, co. 1, lett. c).

[xxvi] Nel vigente codice dei contratti pubblici di cui al d.lgs. 36/2023 la norma di riferimento è contenuta nell’art. 13 del codice che prevede che “le disposizioni del codice non si applicano ai contratti esclusi”.

Per quanto riguarda l’individuazione delle singole categorie di contratti esclusi, l’art. 56 individua i contratti esclusi nei settori ordinari, mentre gli artt. 141-152 recano l’elenco dei contratti esclusi nei settori speciali.

Per un’analisi approfondita dell’art. 13 del d.lgs. 36/2023, si veda S. TOSCHEI, Commento all’articolo 13, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, pp. 132 e ss.

[xxvii] In generale sul tema della partecipazione degli operatori economici extracomunitari alle procedure di evidenza pubblica bandite in Italia, seppur con riferimento alla normativa recata dal previgente codice dei contratti pubblici di cui al d.lgs. 50/2016, sia consentito il rinvio a S. FRANCARIO, La partecipazione alle gare d’appalto pubblico degli operatori economici extracomunitari, in Amministrativamente, 2022, pp. 145 e ss.

[xxviii] Cfr. D.lgs. 36/2023, art. 65.

[xxix] L’art. 69 del d.lgs. 36/2023 riprende in maniera pressoché identica l’art. 49 del previgente d.lgs. 50/2016.

Sull’inquadramento generale e sulla disciplina recata dall’art. 49 del d.lgs. 50/2016 si rinvia a F. FRACCHIA, Fonti internazionali, in M.A. SANDULLI e R. DE NICTOLIS (diretto da), Trattato sui Contratti Pubblici, Milano, 2019, II, pp. 84 e ss.

Sulla disciplina recata dall’art. 69 del d.lgs. 36/2023 si rinvia a M. MARTINELLI, Commento all’articolo 69, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, p. 706.

[xxx] Nell’ambito di una vastissima letteratura, sul GPA si rinvia per tutti a S. ARROWSMITH e R.D. ANDERSON (edito da), The WTO Regime on Government Procurement: Challenge and Reform, Cambridge University Press, Cambridge, 2011, e ivi ulteriori riferimenti bibliografici.

[xxxi] Sulla struttura e sul funzionamento generale della WTO si vedano, ex multis: VAN DE BOSSCHE e D. PRÉVOST, Essentials of WTO Law, Cambridge, Cambridge University Press, 2016; B.M. HOEKAMN e P.C. MAVROIDIS, World Trade Organization – Law, Economics and politics, New York, Routledge, 2016.

[xxxii] L’Unione europea e i suoi Stati membri contano come un’unica parte in quanto il GPA è stato sottoscritto direttamente dalla prima.

[xxxiii] Segnatamente, nell’Allegato 1 vengono indicate le amministrazioni centrali e le relative soglie di rilevanza per l’acquisto di beni e servizi; nell’Allegato 2 vengono indicate le amministrazioni sub-centrali e le relative soglie di rilevanza per l’acquisto di beni e servizi; nell’Allegato 3 vengono indicate tutte le altre amministrazioni e le relative soglie di rilevanza per l’acquisto di beni e servizi.

[xxxiv] Nell’Allegato 4 e nell’Allegato 5 vengono specificati, rispettivamente, i beni e i servizi rientranti nell’ambito di applicazione del GPA.

[xxxv] Nello specifico, l’art. 4, co. 1, del GPA prevede che “With respect to any measure regarding covered procurement, each Party, including its procuring entities, shall accord immediately and unconditionally to the goods and services of any other Party and to the suppliers of any other Party offering the goods or services of any Party, treatment no less favourable than the treatment the Party, including its procuring entities, accords to: a) domestic goods, services and suppliers; and b) goods, services and suppliers of any other Party.”

Mentre l’art. 4, co. 2, del GPA stabilisce che “With respect to any measure regarding covered procurement, a Party, including its procuring entities, shall not: a) treat a locally established supplier less favourably than another locally established supplier on the basis of the degree of foreign affiliation or ownership; or b) discriminate against a locally established supplier on the basis that the goods or services offered by that supplier for a particular procurement are goods or services of any other Party.”

: Redazione; Violenza di genere; 27 Maggio 2025; Visite: 9150

Il reato di femminicidio presentato dal Governo: un appello

Riceviamo e pubblichiamo questo appello firmato da molte docenti universitarie.

Il reato di femminicidio presentato dal Governo: le ragioni della nostra contrarietà

Il disegno di legge n. 1433 del 31 marzo 2025, rubricato “Introduzione del delitto di femminicidio e altri interventi normativi per il contrasto alla violenza nei confronti delle donne e per la tutela delle vittime”, intende introdurre una fattispecie di reato autonoma per il femminicidio, punita con l’ergastolo.

Nel ribadire l’assoluta importanza delle iniziative di contrasto alla violenza contro le donne, che dovrebbero essere stabilmente iscritte nell’agenda politica ed intraprese con decisione, manifestiamo la nostra contrarietà a questa proposta di riforma per diverse ragioni.

Innanzitutto preme evidenziare che, sebbene priva di una fattispecie autonoma di femminicidio, grazie alle modifiche normative intervenute negli ultimi anni, la disciplina italiana, almeno sul piano sanzionatorio, già coglie lo specifico disvalore della condotta, consentendo di applicare la pena dell’ergastolo all’uccisione di una donna per motivi di genere (i recenti episodi di cronaca lo dimostrano). Nell’attuale quadro normativo - che senz’altro necessita di interventi di riforma - la nuova fattispecie incriminatrice non sembra pertanto incrementare l’effettività della tutela penale, ma, come da più parti si sottolinea, assume una valenza meramente simbolica. Pur consapevoli dell’importanza di questa dimensione del diritto e del suo ruolo sui processi culturali, è fondato il timore che l’enfasi posta sulla rilevanza promozionale e pedagogica di tale intervento legislativo impedisca di avviare una riflessione sull’insieme delle pratiche sociali, politiche, pubbliche ed istituzionali che di fatto giustificano o favoriscono la violenza maschile.

Senza entrare in questa fase nel merito delle tecniche di tipizzazione, che appaiono carenti sotto il profilo della determinatezza e afferrabilità processuale, né della previsione di una pena fissa, si può dubitare del fatto che la minaccia della pena dell’ergastolo sia in grado di far desistere dall’azione criminosa colui che non abbia interiorizzato il valore della libertà femminile e il principio del rispetto della persona. Questi auspicati effetti di deterrenza non hanno mai ricevuto alcuna conferma, come emerge, del resto, dall’esperienza degli Stati Sudamericani, che hanno variamente incriminato il reato di femminicidio in presenza di un numero elevatissimo di donne assassinate.

Al contrario, osservando la realtà, si può constatare come qualsiasi intervento repressivo svincolato da azioni di perequazione sociale ed economica e da strategie di prevenzione, di tipo innanzitutto culturale, risulti del tutto inefficace.

Con il nostro intervento non intendiamo contrapporci ad iniziative di contrasto alla violenza contro le donne, né sminuire la rilevanza del problema; vorremmo sollecitare, invece, una riflessione più ampia e articolata del tema, che tenga conto della complessità del fenomeno, le cui cause sono profondamente radicate nella cultura e, a più livelli, nella struttura della nostra società. Il contesto sociale, economico e lavorativo in cui viviamo riflette un’immagine della donna frequentemente subalterna e mortificata, che favorisce o giustifica atteggiamenti di delegittimazione, sopraffazione e manipolazione, precursori di sempre più gravi atti di violenza.

L’obiettivo prioritario deve essere il contrasto alle molteplici forme di discriminazione e violazione dei diritti umani che sono considerate “fisiologiche” della differenza di genere e che impediscono la piena affermazione dei diritti delle donne e la corretta percezione delle condotte di prevaricazione e abuso. Ed è in questa prospettiva che è necessario intervenire, evitando strumentalizzazioni populistiche, sempre più spesso indifferenti ai canoni che necessariamente informano lo strumento penale, quali la extrema ratio e la tassatività, e utili più per accreditare l’impegno del legislatore che per offrire risposte effettive ed efficaci.

Lunedì, 26 maggio 2025

Elena Mattevi Università di Trento

Ilaria Merenda Università Roma Tre

Kolis Summerer Libera Università di Bolzano

Silvia Tordini Cagli Università di Bologna

Valeria Torre Università di Foggia

Cecilia Valbonesi Unitelma Sapienza

Maria Virgilio Università di Bologna

Anna Costantini Università di Torino

Malaika Bianchi Università di Parma

Lucia Risicato Università di Messina

Valentina Badalamenti Università di Bologna

Costanza Bernasconi Università di Ferrara

Annamaria Peccioli Università di Genova

Mariavaleria del Tufo Suor Orsola di Benincasa

Gilda Ripamonti Università degli Studi dell’Insubria

Monica Tortorelli Università del Molise

Chiara Perini Università degli Studi dell’Insubria

Sofia Braschi Università di Pavia

Licia Siracusa Università di Palermo

Debora Provolo Università di Padova

Francesca Rocchi Università di Teramo

Margareth Helfer Università di Innsbruck

Caterina Paonessa Università di Firenze

Anna Maria Maugeri Università di Catania

Emma Venafro Università di Pisa

Francesca Curi Università di Bologna

Rosa Palavera Università degli Studi di Urbino

Valentina Masarone Università degli Studi di Napoli

Antonia Menghini Università di Trento

Rosaria Sicurella Università di Catania

Marta Lamanuzzi Università Cattolica del Sacro Cuore, Milano

Gaetana Morgante Sant’Anna - Pisa

Valeria Scalia Università di Catania

Tiziana Vitarelli Università di Messina

Matilde Botto Università di Bologna

Daria Perrone Università eCampus

Stefania Sartarelli Università degli Studi di Perugia

Simona Raffaele Università degli Studi di Messina

Alessandra Szegö Università del Piemonte Orientale

Anna Lisa Maccari Biagi Università di Siena

Francesca Moro Università di Trento

Lucrezia Franceschetti Università di Trento

Sara Riccardi Università di Pisa

Maria Federica Carriero Università La Sapienza di Roma

Chiara Silva Università di Padova

Eliana Reccia Università della Campania Luigi Vanvitelli

Sofia Regini Università di Trento

Antonella Merli Università di Camerino

Rebecca Girani Università di Bologna

Cristina de Maglie Università di Pavia

Claudia Cantisani Università di Pisa

Arianna Visconti Università Cattolica del Sacro Cuore, Milano

Clara Rigoni Università di Losanna

Marina Di Lello Finuoli Università Cattolica del Sacro Cuore, Milano

Simona Tigano Università di Catania

Eliana Greco Università Cattolica del Sacro Cuore, Milano

Maria Giovanna Brancati Università Luiss Guido Carli

Lucia Maldonato Università Cattolica del Sacro Cuore, Milano

Alice Ferrato Università di Padova

Marta Bertolino Università Cattolica del Sacro Cuore, Milano

Sara Prandi Università di Torino

Lara Ferla Università Cattolica del Sacro Cuore, Milano

Antonella Pirrelli Università di Pavia

Maria Teresa Collica Università degli Studi di Messina

Maria Beatrice Mirri Università La Sapienza di Roma

Maria Teresa Trapasso Università La Sapienza di Roma

Emanuela Fronza Università di Bologna

Silvia Massi Università Uninettuno

Amalia Orsina Università di Catania

Teresa Travaglia Università degli Studi di Messina

Priscilla Bertelloni Università Cattolica del Sacro Cuore, Piacenza

Filomena Pisconti Università di Bari

Kelly Mae Smith, Università di Trento

Francesca Consorte Università di Parma

Magdalena Cogo Università di Trento

Alice Savarino Università di Basilea

Maristella Amisano Università della Calabria

Sul tema si veda anche: Nominare il femminicidio. Non in nostro nome di Maria Virgilio e Nominare la violenza maschile contro le donne: diritto penale e giustizia tra conflitto simbolico e responsabilità politica di Ilaria Boiano, Reato di femminicidio, partiamo dalle parole di Maria Virgilio.

Immagine: Eugenio Spreafico, Dal lavoro. Il ritorno dalla filanda (1890-1895; olio su tela, 101 x 194,5 cm; Monza, Musei Civici).

: Maria Virgilio; Violenza di genere; 27 Maggio 2025; Visite: 2988

Reato di femminicidio, partiamo dalle parole

Proprio l’8 marzo 2025, nella Giornata internazionale dei diritti delle donne, il Governo Meloni ha inteso offrire alle donne la sorpresa di un disegno di legge il cui fulcro è la creazione di una nuova fattispecie di delitto esplicitamente denominata “femminicidio”. Ne viene fornita una definizione («chiunque cagiona la morte di una donna quando il fatto è commesso come atto di discriminazione o di odio verso la persona offesa in quanto donna o per reprimere l’esercizio dei suoi diritti o delle sue libertà o, comunque, l’espressione della sua personalità») e, quanto al profilo sanzionatorio, la previsione della pena è quella dell’ergastolo (fisso, automatico).

Le reazioni allo scoop governativo hanno trovato consenso e plauso da parte di chi ha accolto tale modifica normativa come rivoluzionaria e innovativa, esaltando e apprezzando la valenza culturale, pedagogica e di uso promozionale del diritto penale, che già dal cambiamento nominalistico trarrebbe forza propulsiva verso un diritto penale moderno, non più neutro e falsamente universale, ma finalmente declinato anche al femminile. Dissentiamo da tali posizioni perché, puntando sul fattore lessicale invece che sulla effettività, assecondano una opzione di politica criminale solo simbolica, che cioè strumentalizza le valenze simboliche del diritto penale in chiave di pretesa rassicurazione collettiva. Purtroppo si incoraggiano così le politiche di legislazione criminale che sfociano nelle leggi-manifesto e del cd. populismo punitivo (nella realtà severo a senso unico, soltanto contro i diversi, i dissenzienti e i ritenuti nemici del sistema).

Peraltro dovremmo prender atto che in Italia la parola femminicidio si è ormai imposta e affermata nella attenzione pubblica e mediatica, nella politica e nella accademia. Ad oggi le resistenze iniziali alla sua concettualizzazione sono state vinte, come dimostra anche il fatto che nel 2023 Treccani, il prestigioso istituto italiano che si occupa di lingua e cultura, ha riconosciuto il femminicidio “parola dell’anno” e che già nel 2013 l’Accademia della Crusca aveva dedicato alla parola una consulenza linguistica. Dunque il femminicidio “esiste” nella rappresentazione sociale, tanto che compare nel lessico dei giuristi (ma come termine sociologico) e anche nei testi delle sentenze attente alla cd. prospettiva di genere (o di quelle che nominano il femminicidio, ma per escluderlo).

La tragedia del delitto Turetta in danno di Giulia Cecchettin ha rafforzato tale diffusa consapevolezza sociale e, sotto questo profilo valoriale, il mero riconoscimento nominalistico a livello giuridico penale nulla può aggiungere. Del resto è questione discussa se il diritto registri e segua i mutamenti nelle coscienze oppure li stimoli e li anticipi: quando il diritto è quello penale, si riducono le capacità di cambiamento sociale tramite lo strumento punitivo della minaccia e della inflizione della pena.

Certo le parole contano, eccome! Sia nel linguaggio comune che nel linguaggio giuridico. Ma le relative trasposizioni vanno verificate attentamente nei loro effetti.

Intanto la tipicizzazione penale prospettata dal Governo deve misurarsi con la varietà delle possibili scelte lessicali. In Italia ha prevalso il termine femminicidio e il Governo ha seguito tale onda; ma c’è chi preferisce femicidio o femmicidio o congiuntamente femicidio/femminicidio oppure ginocidio. In effetti l’origine del termine è l’inglese femicide, di natura sociologica, introdotto negli anni ’70 da Diana H. Russell, che voleva significare qualcosa di più ampio delle violenze contro le donne inquadrabili nel delitto di omicidio. Ma l’elaborazione giuridica si è assai dinamicamente sviluppata altrove, nel mondo sudamericano, e dunque in lingua spagnola (feminicidio), sulla base della impostazione antropologica della messicana Marcela Lagarde, mirata ad attirare l’attenzione politica sulla drammatica situazione vissuta dalle donne in Messico e volta a smascherare le responsabilità statali e istituzionali.

Sono assai numerosi i paesi sudamericani – a cominciare dal Costa Rica nel 2007 fino agli stati federali del Mexico – che hanno utilizzato lo strumento penale contro gli omicidi di donne, ma con una eterogeneità sorprendente nelle soluzioni praticate: basta consultare a livello ONU le accurate rassegne online (su Unodoc di Patsili Toledo Vasquez e su Unwomen di Alicia Deus e Diana Gonzalez), purché si riesca a orientarsi nella consultazione delle intricate tabelle di raffronto. Orbene la comparazione giuridica con la varietà delle opzioni nei sistemi penali sudamericani rende evidente la difficoltà di intervenire legislativamente in materia e dimostra che il disegno governativo è intervenuto d’imperio e ha scelto con l’accetta tra tutte le possibili opzioni tecniche di struttura: bene tutelato (“in quanto donna”); definizione e elementi costitutivi; fattispecie autonoma invece che omicidio aggravato; qualità e numero delle aggravanti; entità della pena; autore neutro o sessuato; soggetto passivo solo donna o altro; contestuale normazione penale di tutte le altre forme di violenza contro le donne; e, soprattutto, contestuali norme di prevenzione e di stanziamento risorse; oltre che nomen iuris (anche la Croazia ha recentemente normato l’omicidio di donna, ma senza rinominarlo, esattamente al contrario della riforma del Belgio, che ha nominato senza rinormare).

Il testo governativo circola ancora in bozza. Vedremo il definitivo. Ma non si dica che sarà poi il Parlamento a correggere e rettificare: l’esperienza della dinamica Governo-Parlamento non induce fiducia! E l’attuale sistema delle audizioni parlamentari non è certo veicolo di discussione aperta e confronto democratico, giacché non può dar voce a tutti gli operatori coinvolti sul campo.

Piuttosto la comparazione con il Sudamerica ci suggerisce un profilo di significativa differenza. Là, soprattutto nei paesi con numeri più impressionanti di assassini di donne (l’organismo ONU ECLAC – Commissione Economica per l’America latina e i Caraibi conteggia nell’anno 2023 una media di ben 11 donne al giorno assassinate per motivi basati sul genere), l’attenzione riformatrice era rivolta primariamente a creare consapevolezza sociale della tragica realtà machista e patriarcale, legittimata e impunita. È a questo fine che i movimenti femministi attuarono tutte le possibili pratiche politiche, ivi comprese quelle di nominazione giuridica. Oggi la tensione è volta piuttosto alla creazione di osservatori istituzionali che consentano la raccolta di dati, presupposto per progettare le politiche corrette. Peraltro i bilanci delle singole e differenziate scelte ordinamentali sudamericane, ormai più che decennali, non sono stati ancora redatti e purtroppo, anche a causa della accentuata diversità delle opzioni tecnico-criminali praticate dai vari sistemi, sono difficilmente comparabili tra loro.

Mi sembra che la condizione della realtà italiana non sia equivalente e che, dunque, possiamo evitare politiche e strategie giuridiche affrettate e, nella sostanza, di primazia penalistica.

Ma non vogliamo, con la sottolineatura delle innegabili difficoltà di politica e di tecnica criminale, portare acqua al mulino di quei critici del disegno di legge governativo che, nel formulare censure condivisibili, non riescono tuttavia a nascondere il loro profondo misoginismo nei confronti di ogni iniziativa che iscriva nell’agenda politica il contrasto alla violenza contro le donne basata sul genere.

Contributo già apparso qui e oggi ripubblicato con l'autorizzazione dell'autrice, che si ringrazia.

Immagine: particolare da Suzanne Valadon, Girl on a Small Wall, 1930, olio su tela, National Museum of Women in the Arts, DC, Gift of Wallace and Wilhelmina Holladay.

: Santo Di Nuovo, Mariavittoria Catanzariti, Gianluigi Ciacci, Elio Guarnaccia, Mario Valentini, Carlo Pennisi, Angelo Costanzo; Diritto e innovazione; 26 Maggio 2025; Visite: 3788

La digitalizzazione della giustizia: giuristi forensi e nuove tecnologie

Sommario: 1. L’intelligenza artificiale tra percezioni soggettive e regolazioni normative (a cura di Santo Di Nuovo) - 2. L’AI Act alla prova delle sfide globali: potenzialità e limiti di un modello regolatorio (a cura di Mariavittoria Catanzariti) - 3. Protezione dei dati personali e Intelligenza Artificiale) a cura di Gianluigi Ciacci - 4. Intelligenza Artificiale e azione amministrativa. L'articolo 30 del codice dei contratti pubblici (a cura di Elio Guarnaccia) - 5. I progetti di legge italiani per la disciplina dell’Intelligenza Artificiale (a cura di Mario Valentini) - 6. Due osservazioni (a cura di Carlo Pennisi) - 7. Conclusioni (a cura di Angelo Costanzo).

1. L’intelligenza artificiale tra percezioni soggettive e regolazioni normative (a cura di Santo Di Nuovo)

Una recente rassegna sul “diritto digitale guidato dall'intelligenza artificiale” [2] riassume i vantaggi dell’I.A. che possono migliorare i metodi forensi tradizionali: analizzare vasti insiemi di dati, identificare modelli complessi e automatizzare compiti ripetitivi. Al tempo stesso però evidenzia le sfide etiche e legali proposte dall’impiego dell'I.A.: tra esse, la parzialità delle catene algoritmiche, l'ammissibilità delle prove generate dall'IA in ambito giudiziario, le preoccupazioni sulla privacy degli utenti. Man mano che l'interazione tra le capacità dell'IA e le competenze umane si evolve – conclude l’autore - i professionisti del diritto devono rimanere vigili nell'affrontare le sfide associate, assicurando che le considerazioni tecniche ed etiche siano integrate nelle nuove metodologie proposte dall’I.A. per mantenere il necessario equilibrio tra il progresso tecnologico e il mantenimento di standard etici nelle pratiche forensi.

In questa introduzione accennerò all’atteggiamento dell’utente umano verso le innovazioni basate su A.I., fonte spesso di confusione e incertezza. Esso oscilla tra l’entusiasmo per gli indubbi vantaggi e la paura di perdere il controllo delle operazioni che gli agenti intelligenti possono svolgere in autonomia. C’è chi pensa all’uso della I.A. generativa come utile aiuto per sintetizzare in tempi brevi una grande mole di dati, ma anche per ottimizzare le relazioni o le sentenze (o farle scriverle del tutto?). All’opposto ci sono i timori, derivati da spunti letterari e cinematografici, sull’eccessivo potere attribuito agli agenti artificiali, e sulla possibilità di “eterogenesi dei fini” per cui l’I.A. programmata per certi scopi poi potrebbe perseguirne altri, andando fuori controllo.

Per superare questa dicotomia - poco produttiva se radicalizzata – occorre un aumento delle conoscenze critiche sull’I.A. e le sue applicazioni; conoscenze che sono però molto complesse, per cui si finisce per affidarsi ai “tecnici” considerando le tecnologie come una “scatola nera” di cui si vedono gli esiti senza conoscerne i principi e il funzionamento.

Certo è utile che gli operatori abbiano consapevolezza dei problemi di uso, anche se non possono avere conoscenza di come la tecnologia funziona tecnicamente. Del resto, è quello che avviene quando si usano software di videoscrittura o di calcolo senza conoscere gli algoritmi che sono alla base del loro funzionamento. Quando si usa la realtà virtuale o un robot (anche quello che aiuta in cucina o nelle pulizie, o nella domotica, o nella guida dei veicoli), ma anche lo smartphone che ci accompagna in ogni momento della nostra vita, non occorre sapere come è programmata la rete neurale che ne costituisce la “mente” artificiale. Sappiamo però a che cosa servono questi strumenti “intelligenti”, come possono aiutarci, e dobbiamo essere consapevoli di quali sono i loro limiti e i rischi di un cattivo uso.

Lo stesso vale per l’I.A. applicata al diritto, che peraltro include temi molto diversi tra loro:

- raccolta e analisi di big data

- automatizzazione di procedure con o senza controllo dell’operatore umano

- rilevamento di malware o di disfunzioni nei sistemi

- ottimizzazione delle reti organizzative e della condivisione di pratiche

- generazione di testi

- protezione, o indebita appropriazione, dei dati

Ognuno di questi aspetti comporta problemi diversi: tecnici (di usabilità, di accettabilità, di generalizzabilità a contesti diversi), etici e normativi. Va in ogni caso assicurata la controllabilità dell’agente artificiale per garantire le comunità di riferimento che verranno coinvolte negli usi applicativi - nell’ambito del diritto: magistrati, personale ausiliario, avvocati, periti, investigatori, ecc. – affinché gli scopi e gli esiti siano compatibili con il funzionamento e il benessere della comunità sociale. In linea con l’obiettivo ribadito dagli orientamenti etici per l’I.A. della Commissione Europea[3] (da cui è poi derivato l’IAct del 2024 in attesa di applicazione anche nel nostro Paese): creare una cultura dell'IA affidabile, che permetta a tutti di sfruttarne i vantaggi in un modo che garantisca il rispetto dei nostri valori fondamentali: i diritti fondamentali, la democrazia e lo Stato di diritto.

2. L’AI Act alla prova delle sfide globali: potenzialità e limiti di un modello regolatorio (a cura di Mariavittoria Catanzariti)

Il Regolamento EU 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 sulla AI (cosiddetto AI Act) entrato in vigore lo scorso agosto rappresenta il primo corpus iuris in materia di intelligenza artificiale a firma del legislatore europeo. L’UE rinsalda il suo collaudato ruolo di first mover regolatorio digitale, inaugurato con Regolamento Generale sulla protezione dei dati personali (GDPR), che conferma la costruzione di un modello giuridico ispirato alla compatibilità tra libertà economiche e diritti fondamentali.

I capisaldi di questo regolamento sono essenzialmente quattro: l’approccio antropocentrico fondato sulla dignità della persona, la gradualità del rischio dei sistemi di intelligenza artificiale, l’ampia portata materiale e territoriale del regolamento europeo e l’elenco dei sistemi ad alto rischio. L’architettura giuridica complessiva, tuttavia, lascia adito a non poche criticità, alcune delle quali sono oggetto delle brevi riflessioni svolte di seguito.

Sotto il primo profilo occorre precisare che il Regolamento era stato preceduto nel 2019 dalle Linee guida etiche per una intelligenza artificiale affidabile, che avevano svolto una funzione uniformatrice e preparatoria rispetto ai principi applicabili all’uso dei sistemi di intelligenza artificiale – tra i quali trasparenza, robustezza, qualità e protezione dei dati. Il controllo umano sulle decisioni automatizzate è stato inteso come baluardo della autodeterminazione informativa in contrasto a pratiche manipolatorie. Tuttavia, gli strumenti di effettiva realizzazione del controllo umano si risolvono in meccanismi di autocertificazione obbligatoria per i sistemi di intelligenza artificiale ad alto rischio ad opera di produttori, sviluppatori e utilizzatori - sulla falsariga del modello di responsabilità da prodotto – e di adesione a codici di condotta per i sistemi non ad altro rischio. Rispetto alle violazioni dell’AI Act, infatti, non è prevista alcun tipo di interlocuzione da parte dell’individuo, né tampoco rimedi giurisdizionali specifici, salvo la possibilità di presentare un reclamo a un'autorità di vigilanza del mercato o il diritto a ottenere dall’utilizzatore spiegazioni chiare e significative sul ruolo dell’uso sistema AI nella procedura decisionale.

Con riguardo alla gradualità del rischio, l’art. 5 del Regolamento vieta l’uso dei sistemi che comportano un rischio inaccettabile, prevedendo per le imprese un obbligo di conformità entro sei mesi dall’entrata in vigore. Si tratta di sistemi utilizzati per pratiche di manipolazione, sfruttamento e controllo sociale e previsti dall’art. 5 del Regolamento, come i sistemi che utilizzano tecniche subliminali manipolatorie, che sfruttano la vulnerabilità di soggetti, che valutano o classificano le persone in base a un social scoring, che effettuano valutazioni sul rischio di commissione di reati, che ampliano banche dati di riconoscimento facciale mediante tecniche di scraping, che inferiscono emozioni personali sul luogo di lavoro e nei luoghi di istruzione, che compiono categorizzazione biometrica con finalità discriminatoria o remota in spazi accessibili al pubblico e tranne che per finalità di contrasto tassativamente previste. Anche rispetto a tali sistemi, se è vero che essi costituiscono pratiche vietate, non è chiaro che tipo di rimedi individuali specifici renda disponibili il Regolamento. Al momento l’unica norma applicabile sembrerebbe quella di cui all’art. 22 GDPR in ordine al diritto alla decisione umana, sulla quale di recente la Corte di Giustizia si è espressa delineando le caratteristiche del significato di decisioni automatizzate produttive di effetti giuridici e includendo tra esse la profilazione (C-634/21, Schufa Holding (Scoring), 7 dicembre 2023). Sembrerebbe piuttosto che la centralità dell’approccio antropocentrico si risolva in una valutazione a monte circa l’inaccettabilità del rischio che non pone l’individuo al centro di un contesto mutevole nel quale possono variare le situazioni pregiudizievoli a seconda degli interessi meritevoli ma preconfeziona una sorta di obbligazione di risultato.

In relazione all’ampia portata dell’AI Act, va osservato che esso si applica dal punto di vista territoriale e materiale tanto alla immissione sul mercato (distribuzione e uso nel corso di attività commerciali) quanto alla messa in servizio nel mercato UE (fornitura all’utilizzatore per il primo uso) da parte di utilizzatori anche se non stabiliti o ubicati all’interno dell’UE di sistemi di IA o modelli di IA per finalità generali nell'Unione, utilizzatori stabiliti o ubicati all’interno dell’UE, importatori e distributori di sistemi AI, fabbricanti di prodotti che immettono sul mercato o mettono in servizio un sistema di IA insieme al loro prodotto e con il loro nome o marchio, rappresentanti dei fornitori non stabiliti in UE, persone interessate che si trovano in UE, fornitori e utilizzatori nell’Unione stabiliti o ubicati in un paese terzo, qualora l’output prodotto sia utilizzato nell’UE. Si prevede sostanzialmente un ambito di applicazione esteso persino agli output prodotti in Europa, con evidente difficoltà di inquadramento del fatto giuridico nello spazio e nel tempo in ossequio al principio di certezza del diritto, in quanto un output di un sistema di AI può addirittura riferirsi a un’utilizzazione diluita nel tempo dei risultati indipendentemente dalla utilizzazione del sistema stesso in Europa. Tra le deroghe si annoverano la sicurezza nazionale, la difesa e l’uso militare - con evidenti discrasie in ordine al dual use, mentre sono esenti dall’applicazione dell’AI Act le autorità pubbliche di paesi terzi e organizzazioni internazionali.

Ultimo profilo, non di poco conto, riguarda l’elenco di cui all’Allegato III sui sistemi ad alto rischio, considerati legittimi, per i quali vige un obbligo di certificazione, che può essere aggiornato nel tempo dalla Commissione, con ulteriori profili dubbi ancora una volta in ordine alla certezza del diritto. Tra i settori più problematici si evidenziano quelli relativi allo scoring lavorativo e all’accesso alle prestazioni pubbliche essenziali in ordine alla valutazione dell’affidabilità creditizia, nonché quelli relativi all’amministrazione della giustizia e ai processi democratici. In particolare, con riguardo a questi ultimi, appare molto labile la previsione normativa che circoscrive l’applicabilità delle previsioni relative ai sistemi ad alto rischio alla sola attività di supporto alla decisione giudiziale, identificato nella ricerca e nell'interpretazione dei fatti e del diritto e nell'applicazione della legge a una serie concreta di fatti, ma non esprimendosi nettamente sul punto e lasciando ampio spazio alla interpretazione.

Le perplessità sono dunque molteplici a fronte di un successo regolatorio indiscutibile che tuttavia invita all’esercizio della consapevolezza.

3. Protezione dei dati personali e Intelligenza Artificiale) a cura di Gianluigi Ciacci

Lo sviluppo di un’attenzione “diffusa” per l’IA, conseguenza anche del moltiplicarsi delle sue applicazioni nella quotidianità degli utenti (si pensi ad esempio agli assistenti virtuali nei cellulari o in device casalinghi, ed all’“esplosione” dei chatbot e dell’intelligenza artificiale generativa), oltre a portarla al di fuori della discussione tra esperti, ha fatto nascere un dibattito sulla necessità di trovare un equilibrio fra due opposte esigenze:

– non rallentare, o addirittura bloccare, il progresso del settore, e quindi le conseguenze positive dello stesso (e poi sì, anche l’enorme business da essa resa possibile direttamente, per il valore in sé dell’IA e, indirettamente, per la ricchezza prodotta dalle sue applicazioni);

– impedire che tale progresso avvenga in danno dei suoi utenti.

Dicotomia che raggiunge una forte criticità, da una parte, proprio nel momento in cui dal suo sviluppo dipendono enormi interessi economici (“aumentando la posta in gioco”); e, dall’altra, quando il danno agli utenti riguarda i loro dati personali: in questo secondo caso soprattutto a causa della presenza di una normativa forte, rappresentata dal Regolamento UE 27 aprile 2016, n. 679 (il c.d. GDPR), finalizzata proprio a prevenire, o comunque limitare, tale danno. Infatti questa disciplina applicata ai sistemi di I.A. incontra diversi problemi, che rendono il rispetto degli obblighi da essa dettati estremamente complesso per i titolari di trattamento che usano, in diverse realtà, tali sistemi.

Per risolvere tali difficoltà applicative, ci si deve muovere dall’analisi del contesto normativo che oggi regolamenta l’I.A. e le sue applicazioni, attraverso la conoscenza approfondita della disciplina in materia di protezione dei dati personali, per poi arrivare a “tracciare” la strada da seguire.

Così, con riferimento alle prime norme dettate per le macchine intelligenti, la loro analisi dimostra come siano sempre presenti riferimenti, più o meno specifici, alla tutela delle informazioni relative agli individui: riferimenti che ribadiscono e sottolineano l'importanza del rispetto dei diritti fondamentali dell'individuo, in particolare quello alla protezione dei suoi dati personali, anche nella realtà delle applicazioni dell’I.A.. Situazione che pone il contrasto indicato non tanto e non solo nella dicotomia “applico/non applico”, ma anche nella più ampia scelta tra “rispetto/non rispetto” la legge: e allora non si può certo ritenere ammissibile la rinuncia alla legalità, e nella specie a tale protezione.

Provando allora ad immaginare le possibili soluzioni a tale contrasto, le “cose da fare”, indichiamo tre differenti ambiti.

Innanzitutto, dal punta di vista dei “player” del settore, cioè da un lato i produttori/fornitori di sistemi di I.A., dall’altro gli utilizzatori di tali sistemi (comunque tutti “titolari del trattamento” se questi vengono applicati ad informazioni relative a dati personali), questi devono essere portati ad adeguarsi obbligatoriamente e in maniera corretta ed effettiva al sistema della protezione dei dati personali introdotto dal Regolamento 2016/679, ognuno nell’ambito della propria attività di trattamento di tali dati.

Con riferimento poi agli utenti delle macchine intelligenti, occorre sviluppare il più possibile una tutela “dal basso”, cioè posta in essere dagli stessi interessati che, in maniera più o meno consapevole, cedono i loro dati ai player citati: tutela che deve partire dalla loro corretta ed efficace informazione e formazione, in generale sulla realtà digitale in cui vivono, ma anche in particolare su quella del trattamento dei dati personali, sugli utilizzi che se ne fanno nei sistemi di intelligenza artificiale, e quindi sulle modalità della loro tutela. Portandoli in questo modo a realizzare che non possono più essere solo passivi fruitori della sempre più pervasiva innovazione tecnologica, né d’altro canto “tecno-entusiasti” senza alcun senso critico: ma che devono diventare “tecno-consapevoli”, capaci così di gestire tale innovazione, e dunque di proteggere i propri diritti fondamentali, non ultimo per evitare di essere gestiti da essa.

Infine, si ritiene necessario potenziare il più possibile anche la tutela “dall’alto”, sia a livello normativo, realizzando discipline che non si limitino solo a semplici richiami o ad affermazioni generali di principio, ma che individuino regole certe ed efficaci; sia rispetto alle Autorità di controllo (nel nostro Paese il Garante per la protezione dei dati personali), in particolare potenziandole e rendendole maggiormente operative. Dando quindi a queste ultime la possibilità di fornire un concreto ausilio per la realizzazione di quanto appena riportato: e dunque di condurre all’adeguamento alla disciplina normativa, in maniera qualitativamente migliore, i citati “player” del settore e, allo stesso tempo, di rendere consapevoli il maggior numero possibile di interessati.

Soluzioni sicuramente ambiziose, e allo stesso tempo di difficile realizzazione, e comunque non in tempi brevi. Ma occorre capire innanzitutto che, a fronte della repentina evoluzione delle macchine intelligenti, sempre più potenti ed invasive della nostra sfera privata, non si può non fare qualcosa per giungere alla soluzione del contrasto tra sviluppo dell’I.A. e protezione dei dati. E questo avendo ben chiaro che il problema in realtà si pone su un livello più alto di quanto possa sembrare: in particolare quello tra la limitazione, o addirittura la rinuncia a un diritto fondamentale dell’individuo per l’importanza (economica) del settore, il cui sviluppo può comunque avere indubbi vantaggi per tutti noi, ed in ogni caso è oramai impossibile fermare.

Per questo motivo la soluzione sembra essere fondamentalmente quella di un “salto culturale”, giuridico e tecnologico, finalizzato a portare al 100% di successo il sistema di protezione dei dati personali, quale contrappeso e limite rispetto agli innovativi (e di moda) sistemi di intelligenza artificiale. Sfruttando in questo modo le utilità che possono apportare alla nostra vita, senza doverne subire necessariamente gli aspetti negativi .

4. Intelligenza Artificiale e azione amministrativa. L'articolo 30 del codice dei contratti pubblici (a cura di Elio Guarnaccia)

La digitalizzazione della pubblica amministrazione, avviata normativamente nel 1997 con il decreto legislativo che ha disciplinato per prima volta in Europa la firma digitale, vive un periodo di profonda maturazione, sia in conseguenza dell’ormai piena attuazione del codice dell’amministrazione digitale, il decreto legislativo 82 del 2005, sia, proprio con riferimento agli appalti pubblici, alla luce dell’intera digitalizzazione del ciclo di vita dei contratti pubblici voluta dal decreto legislativo 36 del 2023.

E infatti, il corpus normativo attualmente vigente in materia di appalti pubblici, ha inteso prevedere in modo generalizzato e vincolante per tutte le pubbliche amministrazioni la digitalizzazione di tutti gli step del procedimento di approvvigionamento pubblico, ossia programmazione, progettazione, pubblicazione, affidamento ed esecuzione. E ciò non in esecuzione di nuove direttive comunitarie, ma sulla scorta del cd. principio del risultato, nel quadro della spinta voluta dal PNRR per la ripresa del nostro paese dopo la pandemia, e comunque in piena conformità con i principi, gli strumenti e le regole imposti dal codice dell’amministrazione digitale nel settore della transizione digitale della PA.

Ed è proprio un articolo del codice contratti pubblici, l’articolo 30, l’unica norma di legge vigente del nostro ordinamento giuridico, che si occupa di intelligenza artificiale. E lo fa esprimendo una preferenza verso la scelta delle stazioni appaltanti di “automatizzare le proprie attività ricorrendo a soluzioni tecnologiche, ivi incluse l'intelligenza artificiale e le tecnologie di registri distribuiti”.

Ma questa preferenza viene espressa mantenendo fermo l’ormai consolidato rapporto di strumentalità tra uso dell’informatica e efficienza dell’azione amministrativa, specificando infatti che l’adozione di applicativi di AI deve essere in ogni caso volta a “migliorare l'efficienza”, così come d’altronde ritroviamo all’art. 3bis della legge n. 241\90, laddove già il legislatore del 2005 sanciva che “le amministrazioni pubbliche agiscono mediante strumenti informatici e telematici … per conseguire maggiore efficienza nella loro attività”.

La norma in commento, dunque, disciplina espressamente le regole che le stazioni appaltanti devono seguire per inglobare nelle piattaforme di approvvigionamento digitale -la via maestra per l’espletamento delle gare d’appalto, segnata dall’art. 25 del codice- specifici applicativi di intelligenza artificiale.

In particolare, il comma 2 prevede che, nell'acquisto di soluzioni di AI, le stazioni appaltanti devono prioritariamente assicurare “la disponibilità del codice sorgente”, inclusa la relativa documentazione ed ogni altro elemento utile a comprenderne le logiche di funzionamento.

È evidente dunque l’esigenza del legislatore di garantire alla PA committente maggiore trasparenza e conoscibilità possibile dell’algoritmo, che al tal fine opera un’evidente inversione di tendenza rispetto all’art. 68 CAD, che invece, nel prevedere l’acquisto da parte delle pubbliche amministrazioni di programmi informatici, i cd. software -nel cui ambito devono annoverarsi le soluzioni algoritmiche e automatizzate- indicava come soluzione preferibile il “software sviluppato per conto della pubblica amministrazione”, relegando al terzo posto, dopo il riutilizzo di software, il software a codice sorgente aperto.

Ma l’art. 30 si spinge oltre: recependo la giurisprudenza amministrativa già stratificatasi sul punto, essa infatti prevede quali debbano essere le caratteristiche necessarie che devono avere i provvedimenti amministrativi formati con l’intelligenza artificiale: a) conoscibilità e comprensibilità, b) non esclusività, c) non discriminazione.

Si tratta, dunque, di una norma primaria di grande portata. E ciò anche perché la sua formulazione di fatto la fa diventare paletto normativo da seguire per qualsiasi procedura di acquisto pubblico di intelligenza artificiale, e per di più a prescindere dall’utilizzo a cui l’AI verrà destinata dalla pubblica

5. I progetti di legge italiani per la disciplina dell’Intelligenza Artificiale (a cura di Mario Valentini)

Introduzione

Il Disegno di Legge (DDL) sull'Intelligenza Artificiale, presentato al Senato il 20 maggio 2024, ha l'obiettivo di bilanciare le opportunità offerte dalle nuove tecnologie con i rischi legati al loro uso improprio. Questo provvedimento, composto da 27 articoli e suddiviso in 6 capi, affronta una serie di temi cruciali per la regolamentazione dell'IA in Italia. Tra questi, si trovano i principi e le finalità dell'IA, le disposizioni di settore, la strategia nazionale, la tutela degli utenti, il diritto d'autore, le disposizioni penali e quelle finanziarie.

Il DDL è stato approvato dal Senato il 20 marzo 2025 e attende ora la discussione alla Camera dei deputati. Un concetto chiave del disegno di legge è l'autonomia: l'IA è vista come uno strumento che coadiuva le decisioni umane senza sostituirle, promuovendo lo sviluppo di sistemi comprensibili e tecnologicamente avanzati. Questo approccio vuole garantire che le decisioni automatizzate siano sempre controllate dall'autodeterminazione umana.

1. Dalle prescrizioni etiche allo sviluppo economico

Gli articoli 3, 4 e 5 stabiliscono le prescrizioni etiche e operative per l'IA in Italia, concentrandosi su dignità umana, sicurezza e trasparenza, e promuovendo lo sviluppo economico.

2. Salute, lavoro e giustizia: il Capo II del DDL Intelligenza artificiale

Il Capo II del DDL riguarda l'uso dell'IA in sanità, lavoro e giustizia, migliorando efficienza e trasparenza. L'articolo 7 disciplina l'uso dell'IA nel settore sanitario, mentre l'articolo 10 regola l'uso dell'IA nel settore lavorativo.

3. Difesa e sicurezza nazionale

Il DDL prevede l'uso dell'IA nella difesa e sicurezza nazionale per monitorare minacce, proteggere dati e gestire emergenze informatiche. Include strumenti per il disaster recovery e il miglioramento della cybersicurezza. L'articolo 6 esclude le attività di IA legate alla sicurezza nazionale dalla normativa generale. I sistemi di IA destinati all'uso pubblico devono essere installati su server ubicati in Italia per garantire la sicurezza dei dati sensibili.

4. Strategia e governance

Il DDL assegna la governance dell'IA ad AgID e ACN, una decisione contestata da alcune associazioni per i diritti digitali che preferivano un'autorità indipendente. Il Garante della Privacy ha evidenziato la mancanza di un ente autorizzato per i sistemi di identificazione biometrica in tempo reale e si è candidato per questo ruolo. Le opposizioni propongono la creazione di vari osservatori e commissioni, tra cui un Osservatorio sui Diritti Digitali a Palazzo Chigi, una commissione per l'uso dell'IA in ambito giudiziario, una commissione dati, analisi e la ricerca clinica presso il Ministero della Salute.

5. Investimenti nell'IA

L'articolo 21 delinea gli investimenti nei settori dell'IA, cybersicurezza e calcolo quantistico. Il governo ha previsto un fondo da 1 miliardo di euro, gestito da Cdp Venture Capital Sgr, per sostenere lo sviluppo dell'IA in Italia. Questo fondo è destinato sia alle PMI che alle grandi aziende per favorire ricerca e innovazione. Tuttavia, l'apertura del fondo a investitori stranieri ha suscitato dibattiti sulla tutela dell'industria nazionale e il controllo strategico delle tecnologie emergenti.

6. Sistema sanzionatorio

L'articolo 25 del DDL apporta modifiche al Codice penale, inasprendo le pene per reati commessi mediante l'uso dell'IA. Le aggravanti sono previste quando l'IA costituisce un mezzo insidioso, ostacola la difesa pubblica e privata, o peggiora le conseguenze del reato. Viene introdotto il reato di "Illecita diffusione di contenuti generati o alterati con sistemi di IA" (articolo 612-quater), punendo chi causa danni ingiusti, diffondendo immagini, video o voci falsificati o alterati senza consenso, utilizzando l'IA.

Il DDL Intelligenza Artificiale è stato approvato lo scorso 20 marzo 2025 al Senato e si attende ora la sua discussione alla Camera dei deputati.

6. Due osservazioni (a cura di Carlo Pennisi)

Dal punto di vista sociologico si tratta di due questioni connesse, sul piano culturale, tecnico e normativo.

La prima riguarda un aspetto del carattere performativo che rivestono gli strumenti di cui si parla rispetto alle decisioni in cui vengono coinvolti, sia che si propongano in forma di piattaforme, di software o di chatbot. Ciascuno di questi strumenti, in effetti, sembra andare oltre la predisposizione delle alternative decisionali, la contestuale riduzione e moltiplicazione degli ambiti di interrogazione o di applicazione. Ciascuno di essi deriva infatti da un processo di digitalizzazione della realtà e della sua rappresentazione (testuale o iconica) che, in attesa degli sviluppi operativi della logica quantistica, implica selezioni, classificazioni, tipizzazioni e generalizzazioni volte ad adeguare al carattere binario dell’universo digitale ciascuna delle dimensioni di realtà interessate; volte a rendere “discrete” dimensioni della realtà che devono spesso la propria identità al loro carattere continuo (comunicazioni, interazioni, emozioni, sentimenti, i loro processi e gli esiti).

In questo senso, il carattere performativo di tali strumenti si realizza anche, pur suscitando meno attenzione e dibattito, sul piano cognitivo, sul piano della determinazione dei contenuti sui quali si esercita la decisione alla quale vengono dedicati questi strumenti (definizioni, imputazioni, previsioni, acquisti, ma anche formulazioni di testi).

Nell’ambito della pratica giuridica il ruolo cognitivo di questi strumenti non può essere sottovalutato. Può comportare che l’attribuzione di significato normativo, ad una prescrizione la cui fattispecie sia derivata da processi di quel tipo, sfugga alla normatività che le deriva dalla sua qualificazione giuridica e venga piuttosto derivata dallo stato di fatto digitalmente predefinito – molta della logica “evidence based” non sfugge a questo rischio. La performatività sul cognitivo compiuta dal digitale può così risultare una sottrazione di potere normativo all’ordinamento a favore di un passaggio che si rivela certamente di potere ma la cui autorità, la cui legittimazione istituzionale, rimane ancora da verificare.

La seconda questione ha a che fare con quello che si dice “uso consapevole” di queste tecnologie, quale strumento di prudenza e di difesa dalle loro eventuali distorsioni. Al di là dell’auspicio, questa indicazione di solito fa riferimento alla consapevolezza relativa all’oggetto di cui si parla, ossia ancora i software, il loro funzionamento e le loro regole. È una prospettiva comprensibile dal punto di vista professionale. Poiché si tratta di strumenti, la responsabilità nel loro uso impone prudenza e conoscenza, quindi informazione e formazione continua.

Tuttavia, l’aspetto della consapevolezza sul quale occorre richiamare l’attenzione, anche rispetto a quanto già osservato, ha a che fare con la specifica dimensione riflessiva dell’esercizio professionale. Un approccio professionale nei confronti della tecnologia impone anche un atteggiamento autocontrollato sulla professione che sorregga e dia contenuto al carattere, appunto, “strumentale” della tecnologia rispetto ai fini, al quadro normativo ed empirico nel cui ambito si realizza l’esercizio professionale.

Tale carattere strumentale, tuttavia, rimane tale solo sino a quando l’uso della tecnologia risulta decidibile. Su questa decidibilità si conserva, professionalmente, il carattere di strumento della tecnologia. Interrogarsi soltanto sulla semplice “utilità” delle tecnologie che si propongono alle pratiche professionali, sul risparmio di tempo, sulle loro potenzialità economiche, può celare, paradossalmente, proprio il loro carattere strumentale, ossia il fatto che vengono scelte e adoperate in vista di un obiettivo, di un fine che, professionalmente non può essere solo individuale. E celare il loro carattere strumentale significa divenirne “utenti”, ossia operatori “configurati” dalle regole e dalle decisioni del software.

Ora, se nell’uso quotidiano questa configurazione da utente molte volte risulta inevitabile (con tutte le conseguenze che la ricerca ha messo in luce), nell’uso professionale finisce col risultare contraddittoria proprio con la dimensione professionale della pratica entro cui si realizza il ricorso al software. Perché, in effetti, non si è soli dinanzi a questi strumenti, e meno che mai lo si è da professionisti. Anche solo la disponibilità del loro uso è frutto di una o più decisioni già prese da altri – e capire in quale veste sarebbe già informativo.

Ma, soprattutto, la decisione di adoperarli è compiuta nell’ambito di un esercizio di ruolo che non può essere concepito esclusivamente sul piano individuale e psicologico (come talvolta rischia di fare generalizzando la problematica della relazione uomo-macchina). In quest’ambito, la decisione di servirsi di tecnologia, e il modo in cui lo si fa, è parte di una pratica che possa dirsi professionale nella misura in cui è configurata dall’ordinamento entro il quale quel ruolo assume senso e identità. Questa condizione non è esclusivamente normativa, ma si specifica in molteplici dimensioni: l’organizzazione pubblica di cui si è parte o con la quale si è in relazione, le prassi procedimentali e processuali nelle quali si opera, le scelte deontologiche e regolatorie dell’ordine professionale al quale si appartiene, le pratiche di studio consolidate, le relazioni con il cliente. Ciascuna di queste dimensioni operative e normative interagisce con tutte le altre e definisce nel concreto la selettività specifica, di fatto e normativa, in cui si realizza l’uso dei software che si rendono disponibili al professionista.

Da questo punto di vista, la consapevolezza non riguarda più soltanto l’oggetto ma, appunto, il suo carattere strumentale rispetto agli obiettivi, ai fini e, va detto, rispetto ai valori, ai quali è orientato ciascuno degli ambiti normativi e di pratiche entro i quali assume senso l’esercizio professionale. In altri termini, la consapevolezza riguarda anche il quadro di istituzioni sociali e giuridiche che danno senso, orientamento normativo e valore all’esercizio professionale, perché è solo in riferimento a queste dimensioni che si definisce in senso proprio il carattere strumentale nell’uso della tecnologia.

Tale consapevolezza, motore della riflessività della pratica professionale, assume rilevanza in due direzioni inseparabili. Per un verso, rende progressivamente chiare le sfide ed i cambiamenti necessari nel quadro istituzionale e normativo che orienta l’esercizio professionale, sul piano dei fini e dei loro rapporti con i mezzi disponibili. Per un altro verso sollecita il professionista a mantenere soltanto strumentale il proprio rapporto con la tecnologia, rapportandone gli usi che gli sono possibili ai fini ed al quadro istituzionale entro cui si muove.

La tecnologia trasforma le professioni, gli ordinamenti, i ruoli e le pratiche non per una propria forza, ma attraverso l’uso che se ne compie e, soprattutto, attraverso modalità che riescono o meno a salvaguardare ciascuno degli obiettivi specifici dei livelli di senso, empirici e normativi, entro cui il professionista esercita il proprio ruolo.

7. Conclusioni (a cura di Angelo Costanzo)

L’espressione «intelligenza artificiale» (coniata durante il convegno di Dartmouth nel 1956), mentre esprime correttamente la natura artificiale dei sistemi che vengono così denominati, inganna circa le sue vere capacità.

Converrebbe, allora, abituarsi a riconsiderare i diversi strumenti offerti dalla cosiddetta intelligenza artificiale, dando loro nomi aderenti alle variegate realtà in cui si articolano.

In generale, potremmo parlare di forme di «razionalità algoritmica a base elettronico-silicea». Oppure ─ nel caso di sistemi che, con strumenti matematici scoprono schemi in miriadi di dati e poi trasformano i risultati nel linguaggio simbolico o nel linguaggio scritto ─ usare (ma forse non avrebbe successo…) l’espressione, da qualcuno proposta, «sintetizzatori di schemi antropoglossi».

Il diritto guidato dall'intelligenza artificiale offre nuove risorse e comporta nuovi impegni per i giuristi, specialmente in relazione alla IA generativa.

Infatti, è evidente che chi usa questi strumenti, sebbene non possa avere la conoscenza che appartiene agli esperti del settore, dovrebbe comunque essere nella condizione di comprendere i meccanismi di funzionamento.

Fondamentale è comprendere quali sono gli scarti fra i criteri che si utilizzano quando ci si serve della sola intelligenza umana e quelli sulla base dei quali funzionano gli strumenti offertigli dalla IA.

Il modello giuridico che regge il cosiddetto AI Act europeo enfatizza, fra i suoi punti essenziali, un l’approccio antropocentrico alla IA e si preoccupa della compatibilità tra la libertà economica nella produzione e nel diffusione dei nuovi strumenti e il rispetto dei diritti fondamentali. In questa prospettiva, delinea i rischi accettabili e quelli inaccettabili.

Tuttavia, restano da definire concretamente i percorsi attraverso i quali gli enti (privati o pubblici) che svilupperanno i sistemi saranno in grado di comprendere per tempo se e come il loro impegno di risorse umane e economiche riceverà il lasciapassare dalle autorità preposte al controllo del settore.

Inoltre, rimane ardua la soluzione del problema della efficacia delle regole europee rispetto ai sistemi provenienti dall’esterno dell’Unione.

Occorrerà vedere, ancora, con quali diverse declinazioni le legislazioni nazionali specificheranno i contenuti delle regolamentazione europea.

In Italia, il disegno di legge sulla IA, in corso di approvazione, ribadisce il principio che le decisioni automatizzate devono essere sempre controllate dal decisore umano nei settori della salute, della lavoro e della giustizia. Prefigura una disciplina derogatoria per le attività di IA connesse alla sicurezza nazionale dalla normativa generale. Assegna la governance dell'IA ad Agi e ACN. Prevede un fondo per sostenere favorire in Italia la ricerca e l’innovazione in materia.

Intanto, nel mercato, gli enormi interessi economici in campo possono condurre a situazioni che travalicano gli interessi degli utenti, particolarmente per quel che riguarda la protezione dei loro dati personali, che ─ va sempre ricordato ─ si realizza anzitutto attraverso la tecno-consapevolezza da parte degli utenti.

In questo ambito, in Italia, l’azione del Garante per la protezione dei dati personali andrebbe potenziata e resa più diffusamente conoscibile dal pubblico.

Gli strumenti della IA offrono sempre più rilevanti possibilità di utilizzo alla Pubblica amministrazione, che costituisce la sede nella quale la loro implementazione e i loro controllo possono essere ottimali.

Per altro verso, nello svolgimento delle professioni, gli strumenti di IA possiedono una forza performativa che deriva da una digitalizzazione delle rappresentazioni della realtà che incide della determinazione dei contenuti delle decisioni raggiunte (anche) tramite questi strumenti: per esempio, questo può produrre distorsioni nella interpretazione delle norme e, quindi, una dislocazione dei poteri normativi a agenti non legittimati.

Inoltre, in vari modi gli strumenti della possono modificare i profili delle professioni intellettuali nei diversi settori giuridici, in che implica scelte deontologiche e regolatorie che non andrebbero lasciate ai singoli professionisti, ma esercitate dagli ordini professionali in relazione ai valori sociali ai quali si ispirano le professioni.

[1] Incontro del 4 marzo 2025 promosso dal Centro di ricerca sulla giustizia dei minori e della famiglia “Enzo Zappalà” dell’Università di Catania.

[2] R. T. Yadav, AI-Driven Digital Forensics. International Journal of Scientific Research & Engineering Trends, Vol. 10 (2024), Issue 4, pp. 1673-1681.

[3]European Commission. Ethics guidelines for trustworthy AI, 2019. https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai.

Lynn Hershman Leeson

Immagine: Lynn Hershman Leeson, Logic Paralyzes the Heart, fonte MOMENTA.

: Riccardo Guastini; Gli attori della giustizia; 24 Maggio 2025; Visite: 2769

Leggere Giovanni Tarello

Memoria, testimonianze e ritratti di giuristi italiani del Novecento - a cura di Vincenzo Antonio Poso

Leggere Giovanni Tarello

Sommario: 1. Introduzione - 2. Filosofia del diritto - 3. Interpretazione - 4. Scienza giuridica - 5. Tarello su Tarello.

1. Introduzione

Giovanni Tarello è stato un maestro della filosofia analitica del diritto. Come Norberto Bobbio (si parva licet), Uberto Scarpelli, Luigi Ferrajoli… Ma bisogna precisare che quella di Tarello è una filosofia del diritto alquanto peculiare.

Scorro rapidamente le sue opere maggiori. Il primo studio italiano su Il realismo giuridico americano (1962). Il memorabile (per i giuslavoristi) Teorie e ideologie del diritto sindacale (1967). Una lunga serie di “studi di teoria e metateoria del diritto” raccolti con il titolo Diritto, enunciati, usi (1974). Una Storia della cultura giuridica moderna (1976). Il volume del Trattato Cicu-Messineo su L’interpretazione della legge (1980). La raccolta di saggi postuma, Cultura giuridica e politica del diritto (1988), che include tra le altre cose un corso di lezioni su La disciplina costituzionale della proprietà (1973) e una nota alla prima sentenza costituzionale (n. 16, 1978, relatore Paladin) sui criteri di ammissibilità del referendum abrogativo, Tecniche interpretative e referendum popolare (1978). La raccolta, ancora postuma, di studi storici sulla formazione del diritto processuale civile con il titolo Dottrine del processo civile (1989).

Ebbene, si può dire che tutti i lavori di Tarello siano – per dirla con Bobbio – opera di meta-giurisprudenza: analisi logica o, secondo i casi, storiografica delle dottrine dei giuristi.

Per leggere con soddisfazione intellettuale questi (ed altri) lavori, ci sono tre idee di Tarello che conviene conoscere previamente.

La prima riguarda la filosofia del diritto.

La seconda riguarda l’interpretazione.

La terza riguarda la “scienza giuridica”, cosiddetta, ossia la dottrina, la dogmatica.

2. Filosofia del diritto

In generale, Tarello concepisce il discorso filosofico – alla maniera del positivismo logico – come un discorso di secondo grado, o meta-discorso, il cui oggetto è costituito dai discorsi delle diverse scienze. La medesima idea, per menzionare un altro grande giurista, si ritrova in Alf Ross.

Le scienze hanno ad oggetto il mondo. La filosofia no: la filosofia ha ad oggetto le scienze stesse. Non esiste un mondo ulteriore (metafisico) oltre quello studiato dalle scienze, e oggetto di una conoscenza “più alta” (metafisica appunto).

Ciò comporta evidentemente una radicale riduzione delle varie discipline filosofiche a meta-scienze, o filosofie delle scienze (dell’una o dell’altra scienza). Vi sarà dunque una filosofia della fisica, una filosofia della matematica, una filosofia della chimica, e via enumerando, fino a giungere alla filosofia del diritto (anzi: della scienza giuridica). Ma non può esservi una filosofia senza complementi di specificazione: la «panfilosofia scissa da qualsivoglia specifica disciplina scientifica o tecnica», secondo Tarello, è vaniloquio.

Da questo punto di vista, la filosofia del diritto non può che essere analisi linguistica, storiografica, sociologica, e politica della “giurisprudenza”, intesa qui nel senso classico di prudentia juris.

In questo modo, Tarello vuole accreditare, tra l’altro, l’idea che la filosofia del diritto sia ancillare al lavoro dei giuristi, e perciò non possa essere coltivata se non dai giuristi stessi. Insomma, il filosofo del diritto dovrebbe essere – per formazione intellettuale, interessi, e competenze – un giurista tra gli altri giuristi.

È ovvio che, da questo punto di vista, opere come i Lineamenti di filosofia del diritto di Hegel, malgrado il nome, sono chiacchiere prive di qualsiasi interesse per gli studi giuridici. Questo modo di pensare, inoltre, conduce a screditare come irrilevante, e tendenzialmente estraneo alla filosofia del diritto bene intesa, almeno uno dei tradizionali e più coltivati settori di riflessione dei gius-filosofi professionisti: la cosiddetta filosofia della giustizia (che è, propriamente, un’etica normativa).

Ecco, dunque, che quasi tutti i lavori di Tarello si presentano come studi di meta-giurisprudenza analitica ed empirica.

(i) Meta-giurisprudenza analitica: nel senso che Tarello si avvale degli strumenti caratteristici dell’analisi del linguaggio, da lui stesso rielaborati nel saggio (un piccolo libro in effetti, poi rifuso nel volume del 1974) Introduzione al linguaggio precettivo (1968).

La filosofia analitica – si noti – non è “una filosofia” nel senso tradizionale (e volgare) di questa parola: non è una concezione del mondo e, ovviamente, neppure una scienza. Anzi si oppone fermamente a quel modo di filosofare che consiste nel blaterare dei massimi sistemi e/o pretende di attingere, oltre le scienze, alla essenza ultima del mondo: cosa di cui «si deve tacere», direbbe Wittgenstein. La filosofia – la sola “buona” filosofia – è l’analisi logica del linguaggio delle scienze (e, marginalmente, del linguaggio ordinario).

(ii) Meta-giurisprudenza empirica: nel senso che Tarello non fa un discorso sulla scienza giuridica in generale (come è d’uso fare, da parte di filosofi del diritto), ma compie una indagine concreta sopra le dottrine effettivamente elaborate dall’uno o l’altro gruppo circoscritto di giuristi in un determinato frangente.

Ne risulta definitivamente screditata come irrilevante e priva di interesse (almeno: irrilevante per i giuristi, irrilevante in una Facoltà di giurisprudenza) qualunque filosofia del diritto che non consista in, o non sia ultimamente finalizzata a, l’analisi delle dottrine giuridiche.

3. Interpretazione

L’opera fondamentale di Tarello in tema di interpretazione è ovviamente L’interpretazione della legge, del 1980 (anche se diversi frammenti erano già stati pubblicati in varie dispense degli anni precedenti, a sei mani, con Silvana Castignone e chi scrive). Ma già nel 1966 Tarello aveva pubblicato un breve saggio, “Il ‘problema dell’interpretazione’: una formulazione ambigua”, in cui metteva in discussione quel modo di vedere tradizionale secondo cui l’interpretazione è un’attività conoscitiva che si esercita su norme. È un modo di vedere oggidì generalmente screditato, ma tuttora presente nei modi di argomentare della dottrina e della giurisprudenza, per tacere delle inconsapevoli facezie di molti politici, secondo cui le leggi non si interpretano affatto, si applicano.

Sicché: (a) le norme preesistono all’interpretazione, e l’attività interpretativa consiste appunto nel prenderne conoscenza; (b) gli enunciati interpretativi (“Il testo normativo T significa S”) hanno valori di verità, cioè si danno interpretazioni vere e interpretazioni false. Per ogni testo normativo, vi è una interpretazione vera, tutte le altre essendo false. La cosiddetta “scienza giuridica” è un’impresa genuinamente scientifica, il cui prodotto è l’insieme delle interpretazioni vere. Da questo punto di vista, “il” problema dell’interpretazione ha natura non politica, ma epistemologica: qual è il metodo corretto per scoprire il “vero” significato dei testi normativi?

Tarello, per contro, delinea i tratti fondamentali di una teoria alternativa dell’interpretazione, scettica o realistica.

(i) In primo luogo, le norme non hanno significato per la banale ragione che sono esse stesse null’altro che significati: entità concettuali, per così dire, non linguistiche. Le norme sono altra cosa degli enunciati normativi che le esprimono: non sono quegli stessi enunciati, ma il loro contenuto di senso. Si osserva o si viola una norma, non un enunciato.

(ii) Pertanto, le norme sono non già l’oggetto dell’interpretazione, ma il suo prodotto. Non preesistono all’interpretazione, ma ne derivano. L’interpretazione consiste precisamente nella ascrizione di significato agli enunciati normativi delle fonti del diritto.

(iii) Senonché gli enunciati normativi, di solito, ammettono (non una sola interpretazione, ma) una pluralità di interpretazioni sincronicamente confliggenti e diacronicamente mutevoli, che dipendono dalla ambiguità e dalla vaghezza del linguaggio in cui le norme sono formulate, dalle circostanze di fatto in cui le formulazioni normative sono interpretate, dalla varietà di metodi interpretativi in uso, dalla molteplicità di elaborazioni dottrinali, e – s’intende – dalle idee di giustizia degli interpreti.

(iv) Ne segue che l’interpretazione non è né vera né falsa: tecnicamente, gli enunciati interpretativi non hanno valori di verità. Dire che una data interpretazione è vera e un’altra falsa è pura propaganda politica: di politica del diritto, s’intende.

Questo saggio di Tarello sull’interpretazione, recentemente ristampato (Lo Stato, n. 16, 2021), riveste uno speciale interesse poiché è, per molti aspetti, il lavoro seminale della “Scuola di Genova”.

4. Scienza giuridica

In gioventù, Tarello aveva studiato il realismo giuridico americano, cui aveva dedicato un libro nel 1962, e palesemente ne era rimasto profondamente influenzato. Il realismo di Tarello si caratterizza soprattutto per il cosiddetto “scetticismo delle norme” (e secondariamente per lo “scetticismo dei fatti”). Le sue tesi principali sono ben tratteggiate nel saggio cui accennavo sopra.

A farla breve: il diritto è indeterminato. Sicché la discrezionalità interpretativa è pervasiva. E, ovviamente, le questioni di interpretazione sono decise in ultima istanza dai giudici (o, più in generale, dagli organi dell’applicazione, giacché non tutto il diritto, specie il diritto costituzionale, è giustiziabile). Sicché in un certo senso – per dirla con i realisti americani – il diritto è quello che i giudici dicono che sia.

È facile congettura che questo modo di vedere sia condizionato dal sistema di common law e dalla regola del precedente vincolante. Ma vi è, nel realismo di Tarello e della sua Scuola, un tratto che lo distingue dal realismo americano. Mi riferisco all’idea che – almeno nella cultura giuridica continentale – la dottrina, la dogmatica, prima ancora della giurisprudenza, sia un’attività squisitamente nomopoietica, e che il diritto sia modellato, costruito, prima che dai giudici, dai giuristi.

È la dottrina, infatti, che fatalmente condiziona la giurisprudenza, elaborando concetti, metodi di interpretazione, proposte interpretative, schemi di argomentazione, costruzioni dogmatiche, norme implicite: determinando, in ultima analisi, la stessa forma mentis dei giudici. Vi sono intere parti del diritto vigente che sono Juristenrecht. Il diritto sindacale è un caso paradigmatico.

Le ricerche meta-giurisprudenziali di Tarello screditano definitivamente come falso e mistificatorio quel modo di vedere corrente secondo cui i giuristi-interpreti non creano diritto, e dunque non fanno politica, ma si limitano a prendere conoscenza del diritto che trovano bello e fatto ad opera del legislatore. Almeno in certe circostanze, il diritto nasce non dalla legge, ma proprio dalle costruzioni concettuali dei giuristi. «La dottrina giuridica – scrive Tarello, riferendosi in particolare alle dottrine gius-lavoristiche – interviene nel processo di creazione del diritto; e, in alcuni settori, interviene da protagonista».

Non vi è alcuna possibile confusione tra la rotazione della terra attorno al sole e la scienza astronomica che la descrive, giacché l’astronomia è conoscenza degli astri, ma non un astro essa stessa. E il movimento dei pianeti, a differenza della scienza astronomica, non è un’entità linguistica. Quando invece si tratta delle relazioni tra diritto e dottrina giuridica, siffatta confusione è possibile e di fatto si produce. Così è perché tanto il diritto quanto la dottrina giuridica altro non sono che linguaggi (discorsi).

In altre parole, è impossibile tracciare una distinzione netta tra il linguaggio del diritto e il linguaggio dei giuristi: essi sono soggetti ad un continuo processo osmotico. Il discorso dei giuristi non “verte su” il discorso delle fonti normative: piuttosto i giuristi modellano ed arricchiscono continuamente il loro oggetto di studio, come un violinista che interpolasse note apocrife nello spartito che sta eseguendo.

Insomma, l’interpretazione non è un’impresa conoscitiva, e la dogmatica, la dottrina, è non già conoscenza del diritto, ma parte costitutiva del diritto stesso, e quindi non “scienza giuridica”, ma oggetto di studio di una scienza giuridica bene intesa. Questo modo di vedere è pervasivo anche nei lavori storici di Tarello.

5. Tarello su Tarello

Concludo rileggendo, sine glossa, due paginette autobiografiche di Tarello. Si tratta della trascrizione, rivista dall’autore, di un intervento pronunciato ad un seminario della scuola analitica di filosofia del diritto, svoltosi a Camerino nel 1971.

«Come e perché mi sono dedicato a ciò che si chiama “filosofia analitica del diritto” è presto detto. Per un’esigenza che è venuta fuori nell’ambito di studi di diritto in una Facoltà di giurisprudenza, da problemi che venivano fuori da studi giuridici tecnici. La mia formazione non era inizialmente la formazione di un filosofo; e, devo dire, l’interesse “filosofico” (in qualsiasi senso di questa parola) è stato per me un interesse tardo.

Nel corso degli studi di giurisprudenza mi sono trovato di fronte a un’esigenza non già “morale” ma “metodologica” o, se vogliamo, funzionale: e precisamente l’esigenza di sgombrare la strada da concetti che mi sembravano o inutili o dannosi; dannosi o dal punto di vista della efficienza, o dal punto di vista politico-ideologico.

Nel corso di un tentativo di trovare le armi per liberarmi almeno di alcuni di questi concetti, che mi sembravano molto ingombranti, ho diretto la mia attenzione prima di tutto al c.d. “realismo giuridico americano”, che mi sembrava il recipiente degli strumenti più distruttori e bombardieri che, a livello metodologico, fossero a disposizione. Nello studiare e mettere insieme delle idee che mi sembrava di poter attribuire ai realisti americani, o a quelli che andavano sotto questa rubrica, mi sono accorto di aver formato un libro sul “realismo americano”, secondo un piano che era ben lontano dallo spirito dei membri di quel movimento della cultura giuridica. Avevo interpretato quel movimento come critica di due tipi di concetti (concetti sistematici e concetti dogmatici) e come critica dell’argomentazione giuridica; e il dare conto del lavoro metodo logico dei realisti americani mi suggeriva la possibilità di fare a meno del principale concetto in uso nella “teoria (generale) del diritto”.

Il principale concetto in uso nella teoria del diritto è quello di norma. A differenza di Bobbio e Scarpelli (questo discorso è anche un discorso sui tempi di una vicenda) il mio problema non era quello di chiarire e utilizzare il concetto di norma, ma quello di farne a meno.

Una serie di tentativi di studiare, da una parte, le operazioni degli operatori giuridici e, dall’altra parte, l’interpretazione giuridica, hanno avuto la loro motivazione (forse psicologica) nella possibilità che ravvisai, e nell’esigenza che provai, di incrinare il concetto di norma in quanto centro della ricostruzione teorica del diritto. Mi è sembrato successivamente, e questo è stato cronologicamente il momento e psicologicamente la ragione del mio accostamento agli studiosi “analitici”, che, portando il discorso da questo concetto di norma (che mi sembrava uno di quei termini che “non fanno senso”) ai documenti e al loro impiego, avrei potuto risolvere qualche problema metodologico.

Per cui direi che il perché del mio assumere un atteggiamento “analitico” è un perché molto diverso dal perché (ad esempio) di Scarpelli. Il quale Scarpelli, per la verità, è stato allora il mio punto di riferimento critico e perciò anche di ispirazione; cioè guardavo ai lavori di Scarpelli, e soprattutto non ai primi ma alla Semantica del linguaggio normativo, cioè al terzo suo libro, come a un lavoro metodologicamente il più interessante tra quelli che mi sembrava di avere a disposizione, e d’altra parte come a quello che avrebbe potuto funzionare non solo come termine di confronto ma come oggetto di aggressione, proprio per il fatto che il discorso di Scarpelli manteneva, in fin dei conti, al centro di un interesse teorico-giuridico la “norma”, e non invece dei documenti, degli enunciati, il loro uso da parte di operatori giuridici.

L’idea che bisognasse arrivare a fare una teoria (non delle norme ma) delle operazioni dei giuristi ha motivato, sotto il profilo metodologico (e non certo sotto il profilo di una mia storia personale), l’attenzione per le ideologie dei giuristi e per le operazioni giuridiche, viste come operazioni al servizio di qualche cosa e perciò come operazioni che o esprimono, o sono espressioni di, ideologie.

A questo “perché” del mio assumere un atteggiamento analitico consideravo collegati quegli studi che in realtà volevo fare, e che riguardavano alcune zone della cultura giuridica e alcune “ideologie” (in un senso molto Iato, cioè ideologie degli operatori giuridici).

Un’altra ragione, un altro perché, del mio accostarmi agli studi “analitici” o, dal punto di vista della distinzione di Pattaro, agli studi di “logica giuridica” è da vedersi in una mia opinione sull’uso della logica giuridica da parte dei teorici del diritto, probabilmente molto diversa da quella che è maggioritaria intorno a questo tavolo. Cioè io ho sempre pensato che lo studio della logica fosse “liberatore” (nel senso che gli studi di logica permettono di non confondere mai delle operazioni giuridiche con dei calcoli logici e che “la logica” non è mai, né può essere, al servizio di nessuna sua “applicazione”, perché nessuno schema vuole piuttosto un’interpretazione che un’altra interpretazione). Io credo, continuo a credere, che non si possa fare sensatamente un discorso precettivo nei confronti dell’operatore giuridico partendo da uno studio di carattere logico; e non credo vi sia ·alcuna associazione, nemmeno remota, tra gli studi logici e qualsiasi atteggiamento normativistico o positivistico.

Quanto a ciò che osservava Scarpelli, dirò che non credo di essere sulla strada di allontanarmi da queste posizioni perché le due ragioni per le quali mi sono accostato a queste posizioni, e cioè – ripeto – il carattere liberatore degli studi logici e la aggressione che un atteggiamento analitico mi consente, a livello di teoria, nei confronti di qualsiasi sistema di concetti, sono ragioni che permangono e credo che permarranno.»

Appalti pubblici e cybersicurezza

Il reato di femminicidio presentato dal Governo: un appello

Reato di femminicidio, partiamo dalle parole

La digitalizzazione della giustizia: giuristi forensi e nuove tecnologie

Leggere Giovanni Tarello

ISSN: 2974-9999
Editrice Pacini Giuridica
Registrazione: 5 maggio 2023 n. 68 presso il Tribunale di Roma

​Appalti pubblici e cybersicurezza

Il reato di femminicidio presentato dal Governo: un appello

Reato di femminicidio, partiamo dalle parole

La digitalizzazione della giustizia: giuristi forensi e nuove tecnologie

Leggere Giovanni Tarello

ISSN: 2974-9999Editrice Pacini GiuridicaRegistrazione: 5 maggio 2023 n. 68 presso il Tribunale di Roma

Appalti pubblici e cybersicurezza

ISSN: 2974-9999
Editrice Pacini Giuridica
Registrazione: 5 maggio 2023 n. 68 presso il Tribunale di Roma