GIUSTIZIA INSIEME

Alla Commissione Giustizia del Senato della Repubblica Italiana.

Onorevole Commissione,

come richiestomi, rassegno la seguente memoria in materia di misure cautelari alternative alla custodia cautelare in carcere, di misure alternative alla detenzione e di misure di prevenzione personali giurisdizionali e di sorveglianza speciale con particolare riguardo agli strumenti di controllo elettronico.

Gli strumenti di controllo elettronico a distanza previsti dall’art. 275 bis c.p.p. sono parte del sistema processuale penale da circa venticinque anni, arco temporale che sicuramente permette una valutazione a ragion veduta dell’istituto a fronte di un’ampia casistica derivante dall’applicazione di misure cautelari e dalla loro sostituzione da parte dei giudici nelle fasi di merito: G.I.P., G.U.P. e giudici dibattimentali di primo e secondo grado.

Il percorso applicativo del braccialetto elettronico – questo il termine comunemente utilizzato nelle sue diverse tipologie tecniche – è stato talvolta tortuoso e inizialmente limitato alla misura cautelare degli arresti domiciliari, principalmente con finalità specialpreventive rafforzando la possibilità di controllo dei soggetti detenuti in abitazione ma anche di ausilio alle forze dell’ordine nell’attività di controllo tradizionale, ponendo immediatamente alcune criticità relative alla effettiva disponibilità dello strumento e dei relativi tempi di attivazione, a volte molto lunghi.

Specie nei primi anni di applicazione dei dispositivi, si sono verificati casi in cui persone sottoposte a custodia cautelare in carcere sono rimaste decine di giorni in attesa che fosse disponibile il braccialetto elettronico, cui veniva nella sostanza condizionata la sostituzione della misura inframuraria con gli arresti domiciliari, e subito sono sorte perplessità sulla legittimità di tale situazione, giacché la permanenza in carcere dipendeva dalla variabile disponibilità dello strumento di controllo, i cui tempi di attivazione non sono riconducibili al fatto dell’imputato al netto di possibili carenze di linea nell’abitazione individuata come luogo di detenzione.

Queste criticità sembrano allo stato superate grazie all’aumento del numero dei dispositivi elettronici disponibili per come garantiti dal contratto di fornitura in essere, e della relativa semplicità tecnica dell’installazione del braccialetto elettronico, semplicemente collegato alla linea fissa dell’abitazione divenuta luogo di detenzione.

Situazione sensibilmente diversa è quella dello strumento di controllo a distanza doverosamente imposto con l’applicazione delle misure cautelari del divieto di avvicinamento alla persona offesa (art. 282 ter c.p.p.) e dell’allontanamento dalla casa familiare (art. 282 bis c.p.p.), specie nei reati di “codice rosso” elencati al comma sesto dell’articolo da ultimo citato, con particolare riguardo ai delitti di maltrattamenti in famiglia (art. 572 c.p.) e atti persecutori (art. 612 bis c.p.), di particolare allarme sociale a fronte del non raro evolversi in lesioni personali anche gravi o addirittura mortali.

A mio avviso, in questi casi le criticità maggiori non si rinvengono tanto nella disponibilità degli strumenti di controllo a distanza, quanto nei tempi di attivazione del braccialetto elettronico e nella piena funzionalità dello strumento.

Il contrasto alla violenza di genere e domestica ha quindi nel braccialetto elettronico un valido strumento di prevenzione che consente di avvisare la persona offesa dell’avvicinarsi del soggetto maltrattante o persecutore, ma alcuni malfunzionamenti tecnici hanno consegnato alle cronache gravi fatti di sangue che mettono in dubbio la concreta efficacia dello strumento, ponendo seri interrogativi sulle relative tecnicalità operative.

Quanto all’efficacia, ritengo sia comunque arduo porre la persona offesa in perfetta condizione di sicurezza nel caso in cui un soggetto libero animato da intento omicida sia assolutamente determinato a nuocere.

Vengono in considerazione circostanze soggettive, quali le abitudini di vita, le condizioni di vita sociali e familiari, e non credo possa sostenersi che il segnale di allarme emesso si riveli sempre idoneo a porre in assoluta sicurezza la vittima potenziale di violenza quando l’aggressore supera il fatidico limite dei 500 metri previsto dall’art. 282 ter c.p.p., la cui legittimità costituzionale è stata da ultimo statuita dal giudice delle leggi nella recente sentenza n. 173/2024.

Anche la sensazione di perfetta sicurezza può del resto essere fonte di pericolo, e quindi riporre nel braccialetto elettronico fiducia assoluta nel garantire l’incolumità delle vittime mi pare davvero poco opportuno.

In altre parole, sarà anche banale affermare che il rischio zero non esiste, ma ne va comunque tenuto conto in un’ottica realistica di tutela delle vittime.

Va inoltre considerato che il braccialetto elettronico andrebbe applicato in stretta concomitanza rispetto all’esecuzione della misura cautelare, senza ritardi di sorta, giacché proprio nei primissimi giorni di applicazione della misura cautelare la persona sottoposta ad indagini potrebbe sviluppare reazioni incontrollate – e di fatto incontrollabili – ai danni della vittima. Ed anche sotto questo aspetto sarebbe opportuno un intervento normativo che rendesse necessaria la concomitanza tra l’esecuzione della misura cautelare e l’installazione del braccialetto elettronico.

Nella prospettiva dei mezzi scarsi e dei bisogni molteplici, il braccialetto elettronico resta comunque un valido e realisticamente l’unico strumento che consente di tutelare le vittime di violenza sessuale, maltrattamenti e stalking, senza collocare in carcere l’aggressore, che anche in caso di carcerazione potrebbe essere in seguito liberato – non ultimo il caso di espiazione della pena - e tentare nuove aggressioni alla vittima, ponendo nuovamente il tema dell’applicazione di uno strumento di controllo a distanza.

Ciò detto, al fine di garantire il massimo livello di tutela delle vittime, ritengo che una volta applicato il braccialetto bisognerebbe comunque incentivare forme di aiuto psicologico che possano distogliere l’aggressore da affettività patologiche o moleste, e qui la strada scelta dal legislatore nel consentire al giudice di subordinare la sospensione condizionale della pena alla obbligatoria frequentazione di percorsi specifici di recupero presso enti e associazioni operanti nel settore (art. 165, quinto comma, c.p.) mi sembra condivisibile e andrebbe incentivata, poiché i reati di c.d. codice rosso sono spesso riconducibili a carenze educative o a modelli educativi obsoleti, in cui il rapporto di coppia – o più in generale con il prossimo – è ricondotto al diritto di proprietà esercitato in forma assoluta, piuttosto che al principio volontaristico di libera scelta alla base di ogni relazione umana equilibrata.

Occorre però sottolineare che si tratta di strumenti in cui occorre investire con risorse umane e strutturali non sempre compatibili con clausole di invarianza finanziaria che talvolta si leggono nei testi normativi che riguardano il settore giustizia (nel caso di specie prevista dall’art. 6, comma secondo, della Legge n.69/2019), trattandosi di veri e propri investimenti sociali diretti a migliorare il livello educativo e culturale delle persone sotto molteplici aspetti, e che vanno oltre la tematica penalistica strettamente intesa.

In quest’ottica, potrebbe essere incentivato anche l’accesso a forme di giustizia riparativa, fondate sul riconoscimento dell’altro che viene quindi sottratto da forme di reificazione che conducono a gesti estremi e delittuosi, e qui il d.lgs. n.150/2022 (c.d. riforma Cartabia) offre strumenti in cui occorre riporre fiducia, ma che ancora si presentano in forma embrionale e sono comunque ben lontani dalla necessaria verifica di efficacia e congruità.

Mi preme sottolineare un ultimo aspetto.

Le forze dell’ordine sono fortemente coinvolte nell’attività di monitoraggio degli allarmi segnalati dai dispositivi elettronici, e l’esperienza giudiziaria dimostra che talvolta si verificano falsi allarmi legati a tecnicalità di vario genere, da quelle più banali quali lo scaricarsi delle batterie dei dispositivi – quelli antistalking prevedono oltre al braccialetto indossato dall’indagato anche due ricettori mobili che devono essere portati sia dalla persona offesa che dall’indagato – o più complesse anomalie di funzionamento dovute all’intensità del segnale, al netto di possibili manomissioni volontarie totali o parziali.

Si tratta di un impegno gravoso, da rendere compatibile con le altre funzioni di polizia, e che deve trovare necessariamente particolare attenzione nella formazione del personale e soprattutto nell’aggiornamento tecnologico degli strumenti di controllo, trattandosi di un settore in continua evoluzione.

Le pubbliche amministrazioni competenti dovrebbero pertanto essere messe in grado di pretendere dal soggetto fornitore degli strumenti il puntuale adempimento del contratto, in termini di numero di dispositivi forniti e di tempi di attivazione degli stessi. Il capitolato dovrebbe poi garantire il massimo livello tecnologico consentito dal momento, prevedendo in caso di inadempimento strumenti negoziali agili che consentano al limite di rivolgersi rapidamente altrove.

La conclusione a mio avviso evidente è che il braccialetto elettronico, per essere efficace nel contrasto alla violenza di genere e domestica, non deve essere soltanto applicato nei casi che lo richiedono e nel più breve lasso di tempo – obiettivo possibile grazie anche alle modifiche legislative che hanno interessato la tempistica delle indagini relative ai reati di codice rosso – ma deve anche essere perfettamente idoneo sotto l’aspetto strettamente tecnico allo scopo cui è destinato, e costantemente revisionato e aggiornato rispetto all’evoluzione tecnologica, grazie a strumenti negoziali idonei e al costante monitoraggio delle criticità che via via insorgono.

In tal senso mi permetto di segnalare l’opportunità che il legislatore rivolga la sua attenzione alla stesura di norme – di fonte primaria ma anche regolamentari, forse di più rapida entrata in vigore – che consentano agli operatori di avere strumenti sempre all’avanguardia per garantire doverosamente alle vittime dei reati la migliore tutela consentita dal settore tecnologico di interesse.

Concludo la mia memoria con qualche rilievo statistico.

L’applicazione del mezzo di controllo a distanza è in netto aumento, andando di pari passo rispetto al numero crescente di applicazioni di misure cautelari non detentive per i reati di codice rosso. Al novembre 2024 erano attivi 840 dispositivi disposti da giudici del Tribunale di Roma, ma l’andamento è comunque in aumento come segnalato da fonti appartenenti alle Forze dell’ordine.

Del pari obbligatoria è l’applicazione del braccialetto elettronico in occasione dell’applicazione della misura di prevenzione della sorveglianza speciale per i reati di codice rosso. Dalla Sezione competente mi segnalano che negli ultimi tre anni sono state disposte mediamente 55 misure di sorveglianza speciale con contestuale applicazione del braccialetto elettronico.

Sperando di aver fornito utili elementi di valutazione, Vi ringrazio per l’attenzione concessami.

Roma, 10.2.2025

Sul tema si veda anche “Braccialetto elettronico” e protezione vittima di violenza di genere di Maria Monteleone.

Sommario: 1. I fattori che spiegano la “precisazione” del 2017 rispetto a Granital - 2. Aggiustamenti e nuovi interrogativi (la giurisprudenza dal 2019 al 2024) - 3. Recenti tentativi di assestamento (sent.n. 181 del 2024) - 4. Prospettive e incognite del “tono costituzionale” - 5. Il ruolo delle corti costituzionali in sede di rinvio pregiudiziale nella prospettiva della Corte di giustizia - 6. Possibili prospettive.

1. I fattori che spiegano la “precisazione” del 2017 rispetto a Granital

Nella sentenza n. 269 del 2017, la Corte costituzionale giustificò la “precisazione” del consolidato indirizzo avviato nel caso Granital dalla sentenza n. 170 del 1984 in tema di rapporti fra diritto nazionale e diritto dell’Unione europea direttamente applicabile con l’argomento che “il contenuto di impronta tipicamente costituzionale” della Carta dei diritti fondamentali determinava un crescente intreccio di princìpi e diritti con quelli della Costituzione. La conseguente proliferazione di doppie questioni pregiudiziali rendeva dunque necessario per il giudice scegliere fra la non applicazione della normativa nazionale impugnata per contrasto col diritto UE direttamente applicabile e la rimessione alla Corte della questione di legittimità costituzionale, che però la Corte considerò allora un obbligo con l’argomento dei vantaggi in termini di certezza del sindacato accentrato quale “fondamento dell’architettura costituzionale”.

In Granital, l’ipotesi che una legge od atto equiparato potesse violare non solo il diritto UE direttamente applicabile ma anche la Costituzione non era prevista, e comprensibilmente: basti pensare che l’Unione europea non era stata ancora istituita. Per cui non si poneva neanche una possibile scelta per il giudice, a meno che non dubitasse, ma si presumeva in ipotesi di scuola, della conformità del diritto primario UE (tramite la relativa legge nazionale di esecuzione) ai princìpi supremi dell’ordinamento costituzionale, i cosiddetti controlimiti.

Poteva darsi inoltre che il giudice dubitasse del significato da ascrivere al diritto comunitario, e proponesse perciò rinvio pregiudiziale davanti alla Corte di giustizia; ma il campo delle ipotesi era anche qui più limitato, giacché la Corte costituzionale si rifiutava di proporre questioni pregiudiziali, lasciando al solo giudice comune tale scelta. Ripescando un antico precedente (sent. n. 13 del 1960), essa si autodefiniva “organo di garanzia costituzionale, di suprema garanzia della osservanza della Costituzione della Repubblica da parte degli organi costituzionali dello Stato e di quelli delle Regioni”, pur di riservarsi un margine di apprezzamento autonomo dal circuito giudici comuni-Corte di giustizia relativo all’interpretazione del diritto comunitario, in vista di un arbitraggio finale sul relativo contrasto col diritto interno. Nelle ipotesi di doppia pregiudizialità, che cominciano a crescere negli anni Novanta, il rifiuto della Corte di considerarsi giudice ai fini del rinvio comportava infatti che fosse il giudice comune a dover sollevare la questione di pregiudizialità comunitaria avanti alla Corte del Lussemburgo, riceverne l’interpretazione della norma comunitaria ed eventualmente sollevare incidente di costituzionalità, col risultato di riservare alla Corte costituzionale l’ultima parola (fra le altre, ord. nn. 536 del 1995, 316 del 1996, 108 e 109 del 1998).  

Nel 2017, la Corte aveva peraltro abbandonato da tempo quell’indirizzo (a partire dall’ord. n. 102 del 2008 quanto ai giudizi in via principale e dall’ord. n. 207 del 2013 per quelli in via incidentale). La stessa sentenza n. 269 venne emessa all’indomani della conclusione di Taricco, dove il ricorso della Corte al rinvio pregiudiziale era stato strategicamente decisivo.

La proliferazione delle doppie questioni pregiudiziali, determinata dall’applicazione di un documento dal “contenuto di impronta tipicamente costituzionale” come la Carta dei diritti fondamentali, si presentava dunque con caratteri di relativa novità. Ma unitamente all’argomento della maggior certezza garantita dal monopolio della Corte sull’annullamento bastò per affermare che il giudice dovesse sollevare la questione, salvo il ricorso al rinvio pregiudiziale. Si trattava di una soluzione da un lato limitata in termini di parametro, in quanto ristretta alla sola ipotesi in cui la doppia pregiudizialità investisse la Carta dei diritti, non il resto del diritto dell’Unione primario o derivato, dall’altro cogente, in quanto concretizzantesi nell’obbligo per il giudice di sollevare questione di legittimità costituzionale.

Intorno a questi due aspetti ruoterà l’intera evoluzione della giurisprudenza costituzionale.

2. Aggiustamenti e nuovi interrogativi (la giurisprudenza dal 2019 al 2024)

Ben presto la Corte avrebbe sostituito all’obbligo del giudice la facoltà di sollevare questione di legittimità in alternativa alla non applicazione della legge confliggente col diritto dell’Unione direttamente applicabile.

Nella sent. n. 20 del 2019, il nuovo orientamento era sostenuto dall’argomento che “la sopravvenienza delle garanzie approntate dalla CDFUE rispetto a quelle della Costituzione italiana genera, del resto, un concorso di rimedi giurisdizionali, arricchisce gli strumenti di tutela dei diritti fondamentali e, per definizione, esclude ogni preclusione”.

Nella sent. n. 63 del 2019, ribadita l’ammissibilità di questioni sollevate nella ipotesi di concorso di parametri (Costituzione e CDFUE), la Corte aggiungeva: “fermo restando il potere del giudice comune di procedere egli stesso al rinvio pregiudiziale alla Corte di giustizia UE, anche dopo il giudizio incidentale di legittimità costituzionale, e – ricorrendone i presupposti – di non applicare, nella fattispecie concreta sottoposta al suo esame, la disposizione nazionale in contrasto con i diritti sanciti dalla Carta”.

L’orientamento sarebbe stato poi confermato (sent. nn. 11 del 2020 e 182 del 2021). E tuttavia l’affermazione della “non preclusione”, fondata sull’“arricchimento degli strumenti di tutela” assicurato dalla sopravvenienza della Carta, non forniva al giudice alcun criterio utile ad orientarlo nella scelta richiesta dalla presenza di una doppia pregiudizialità. In altre sentenze (nn. 254 del 2020 e 194 del 2018) la Corte si richiamerà al requisito della compiutezza normativa della disposizione del diritto UE applicabile, ma non al punto da dar vita a un indirizzo consolidato.

Ancora più avanti, si sarebbe anzi registrata un’autentica oscillazione fra il ritorno al rispetto della regola Granital, solo temperato dall’avvertenza che il sindacato accentrato non è alternativo ma confluisce con un meccanismo diffuso di attuazione del diritto europeo “nella costruzione di tutele sempre più integrate” (sent. n. 67 del 2022), e l’affermazione, che risulterebbe suffragata “da un’ormai copiosa giurisprudenza costituzionale”, secondo cui l’effetto diretto eventualmente risultante dal diritto dell’Unione non preclude la cognizione della Corte costituzionale circa la legittimità della legge nazionale confliggente, anche qui accompagnata dal rilievo per cui l’arricchimento degli strumenti di tutela assicurato dalla Carta “vede tanto il giudice comune quanto questa Corte impegnati a dare attuazione al diritto dell’Unione europea nell’ordinamento italiano, ciascuno con i propri strumenti e ciascuno nell’ambito delle rispettive competenze” (sent. n. 149 del 2022).

L’orientamento della non alternatività dei rimedi, pur restando costante (v. anche sent. n. 15 del 2024), non riusciva dunque a nascondere accentuazioni opposte, rispettivamente, del primato del diritto dell’Unione quale “architrave su cui poggia la comunità di corti nazionali” (sent. n. 67 del 2022) e del sindacato accentrato quale “fondamento dell’architettura costituzionale” (sent. n. 269 del 2017).

In definitiva, a partire dalla sentenza n. 20 del 2019, la Corte ha lasciato al giudice il compito di scegliere fra le soluzioni riportate, pur senza rinunciare a indicare il proprio favore per la rimessione della questione di legittimità in ragione della maggior certezza del diritto arrecata dal ricorso all’effetto erga omnes proprio delle sentenze di accoglimento. Il percorso del giudice comune di fronte a una doppia pregiudiziale si faceva così più incerto, dovendo egli compiere valutazioni di ordine probabilistico non assistite da un criterio-guida sufficientemente affidabile, delle quali l’ipotesi di un rinvio pregiudiziale alla Corte di giustizia costituiva ulteriore variante.  

3. Recenti tentativi di assestamento (sent.n. 181 del 2024)

Ci si può chiedere se e fino a che punto la sentenza n. 181 del 2024, seguita da altre (sentt. nn. 210 del 2024, 1, 5 e 7 del 2025, ord. n. 21 del 2025), abbia stabilizzato gli orientamenti della giurisprudenza costituzionale.

Certamente i due aspetti fondamentali della “precisazione” del 2017 risultano ora profondamente modificati. Da una parte, infatti, confermando l’indirizzo avviato con la sentenza n. 20 del 2019, la Corte afferma che al giudice non spetta l’obbligo, ma solo la facoltà, di sollevare questione di legittimità costituzionale: richiamando la Corte di giustizia, precisa che le Corti costituzionali non possono «ostacolare o limitare il potere dei giudici di proporre un rinvio pregiudiziale alla Corte di giustizia e di non applicare la legge statale incompatibile con il diritto dell’Unione (Corte di giustizia, grande sezione, sentenza 22 febbraio 2022, in causa C-430/21, RS), quando esso sia provvisto di efficacia diretta (Corte di giustizia, grande sezione, sentenza 24 giugno 2019, in causa C-573/17, Popławski).»

Dall’altra parte, però, la Carta dei diritti fondamentali non è più il solo parametro tratto dal diritto dell’Unione alla cui stregua giudicare l’eventuale vizio della legge nazionale: quando una censura investa la violazione degli “obblighi comunitari” ex art. 117, primo comma, Cost., dice la Corte, “L’obbligo dello Stato è quello di assicurare il rispetto del diritto eurounitario e il principio di preminenza; tale obbligo è violato, sia se il contrasto riguarda la Carta dei diritti fondamentali, sia se il conflitto riguarda un’altra normativa del diritto dell’Unione.” (sent. n. 181 del 2024).

Per ambedue i profili, la posizione assunta nel 2024, e poi come vedremo più volte ribadita, è frutto di progressivi aggiustamenti di tiro.

Quanto al primo profilo, la ribadita facoltà di scelta del giudice comune non equivale affatto a ritenere che per la Corte le due strade siano equivalenti. Non lo erano nemmeno nel 2017, quando il sindacato accentrato era stato definito “fondamento dell’architettura costituzionale”, e a più forte ragione non lo sono state nel 2024.

Già nella sentenza n. 15, la Corte aveva affermato che la proposizione della questione di legittimità “offre un surplus di garanzia al primato del diritto dell’Unione europea, sotto il profilo della certezza e della sua uniforme applicazione.” Ma lo aveva affermato in presenza di una perdurante applicazione da parte di una pubblica amministrazione di normativa interna che in sede giurisdizionale era stata giudicata incompatibile col diritto UE direttamente applicabile, e perciò da lui non applicata. Infatti, così proseguiva la Corte, “Proprio per evitare tale evenienza, e fermi restando ovviamente gli altri rimedi che l’ordinamento conosce per l’uniforme applicazione del diritto quando ciò accada, la questione di legittimità costituzionale offre la possibilità, ove ne ricorrano i presupposti, di addivenire alla rimozione dall’ordinamento, con l’efficacia vincolante propria delle sentenze di accoglimento, di quelle norme che siano in contrasto con il diritto dell’Unione europea”.  

La sent. n. 181 del 2024 generalizza invece l’affermazione del “surplus di garanzia” offerto al primato del diritto dell’Unione dall’accoglimento della questione di legittimità “sotto il profilo della certezza e della sua uniforme applicazione”.

Così stando le cose, ci si può chiedere piuttosto perché la Corte non abbia percorso l’ultimo miglio che, a partire dal 2017, la separa dalla integrale riacquisizione del giudizio sulle leggi incompatibili col diritto UE direttamente applicabile, qualificando come “principio supremo” il sindacato accentrato.

Finora i princìpi supremi sono stati fatti sapientemente balenare quali controlimiti nei rinvii pregiudiziali alla Corte di Giustizia, come nel caso Taricco. Ma se la Corte qualificasse espressamente il sindacato accentrato come controlimite alle limitazioni di sovranità di cui all’art. 11 Cost., potrebbe continuare nello stesso tempo a ragionare di un “concorso di rimedi giurisdizionali” mirante alla “costruzione di tutele sempre più integrate”?

Per poter svolgere una funzione, l’affermazione del sindacato accentrato quale controlimite equivarrebbe a rivendicare un’esclusiva titolarità non del solo potere di annullamento delle leggi ma anche della cognizione circa la loro conformità a Costituzione indipendentemente dalla provenienza (interna o esterna) dell’atto che abbiano in ipotesi violato.

La stessa giurisprudenza mostra come l’evocazione del controlimite non sia facilmente dissociabile dal richiamo alla minaccia di attivare lo strumento ultimo che una corte ha a disposizione per rivendicare una certa funzione, e in quanto tale non bilanciabile con altri. In questo senso, l’evocazione del controlimite del sindacato accentrato andrebbe oltre la constatazione di un vantaggio in termini di certezza del diritto, derivante dal possibile annullamento della legge incostituzionale, che la Corte ha più volte operato a partire dal 2017 quale mero argomento a favore della soluzione accentrata.

Finquando si esaurisca nella generalmente incontestata attribuzione alla Corte del monopolio dell’annullamento delle leggi, l’evocazione del sindacato accentrato può valere appunto nei termini di una soluzione più vantaggiosa della non applicazione, e dunque bilanciabile con essa sulla base di altri argomenti, come avviene ancora nella sent. n. 181 del 2024. Se viceversa il monopolio derivante dal sindacato accentrato venisse riferito alla cognizione circa la conformità della legge a Costituzione in quanto principio supremo dell’ordinamento costituzionale, e pertanto controlimite alle “limitazioni di sovranità” ex art. 11 Cost., non potrebbe non tornare in discussione il fondamento giuridico del rimedio della non applicazione della legge nazionale da parte del giudice comune.

Una scelta simile, con l’abbandono dell’indirizzo inaugurato da Granital e un ritorno a Frontini (1973), isolerebbe nuovamente la Corte dal circuito fra giurisdizioni nazionali ed europee formatosi intorno alla tutela dei diritti fondamentali: non solo per il merito della scelta, ma anche in forza della rivendicazione di giudice delle leggi così implicitamente operata. Superato l’originario stadio dell’isolamento grazie al recente accorto uso dei rinvii pregiudiziali, la Corte tornerebbe al punto di partenza. È appena necessario ricordare che, da Simmenthal in poi, per la Corte di giustizia il principio del primato include l’obbligo per il giudice comune di procedere all’immediata disapplicazione della norma interna contrastante quelle UE dotate di diretta efficacia, con la conseguente difformità da tale principio di meccanismi interni che viceversa impongano la caducazione della norma interna. Che è quanto scaturirebbe dalla qualificazione del sindacato accentrato come principio supremo nel senso anzidetto.

Infine, una tale qualificazione non potrebbe restare senza conseguenze sulla configurazione dell’identità nazionale di cui all’art. 4 TUE. La Corte di giustizia ha già escluso che la Corte costituzionale di uno Stato membro possa richiamarsi alla clausola dell’identità nazionale onde aggirare la regola per cui l’ultima parola sull’interpretazione del diritto primario dell’Unione spetta alla Corte di giustizia.

In RS (2022) ha prima affermato che “l’articolo 19, paragrafo 1, secondo comma, TUE non osta a una normativa o prassi nazionale che prevede che i giudici ordinari di uno Stato membro, in forza del diritto costituzionale nazionale, siano vincolati da una decisione della Corte costituzionale di tale Stato membro che dichiari una norma nazionale conforme alla costituzione di detto Stato membro. Tuttavia, lo stesso non può dirsi nel caso in cui l’applicazione di una siffatta normativa o di una siffatta prassi implichi l’esclusione di qualsiasi competenza di tali giudici ordinari a valutare la conformità al diritto dell’Unione di una norma nazionale, che la Corte costituzionale di tale Stato membro abbia dichiarato conforme a una disposizione costituzionale nazionale che preveda il primato del diritto dell’Unione”. La Corte ha poi aggiunto che, “qualora la Corte costituzionale di uno Stato membro ritenga che una disposizione del diritto derivato dell’Unione, come interpretata dalla Corte di giustizia, violi l’obbligo di rispettare l’identità nazionale di detto Stato membro, tale Corte costituzionale deve sospendere la decisione e investire la Corte di giustizia di una domanda di pronuncia pregiudiziale, ai sensi dell’art. 267 TFUE, al fine di accertare la validità di tale disposizione alla luce dell’art. 4, paragrafo 2, TUE, essendo la Corte di giustizia la sola competente a dichiarare l’invalidità di un atto dell’Unione”. Infine la Corte di giustizia ha desunto dalla propria competenza esclusiva a fornire l’interpretazione definitiva del diritto dell’Unione che “la Corte costituzionale di uno Stato membro non può, sulla base della propria interpretazione di disposizioni del diritto dell’Unione, ivi compresa quella dell’articolo 267 TFUE, legittimamente dichiarare che la Corte di giustizia ha pronunciato una sentenza che viola la sua sfera di competenza e, pertanto, rifiutare di ottemperare a una sentenza pronunciata in via pregiudiziale dalla Corte di giustizia”.

Nel respingere le azioni di annullamento dell’Ungheria e della Polonia contro il regolamento sulla condizionalità finanziaria a tutela dello Stato di diritto n. 2020/2022, la Corte ha poi affermato per la prima volta che “l’art. 2 TUE non è semplicemente una dichiarazione di linee guida politiche o di intenzioni, ma contiene i valori che … sono una parte integrante dell’identità dell’Ue come ordine giuridico comune, valori che hanno una concreta espressione in principi, comprese delle obbligazioni vincolanti per gli Stati” (Ungheria contro Parlamento europeo e Consiglio dell’Unione europea e Polonia contro Parlamento europeo e Consiglio dell’Unione europea (2022)). È, questo, un passaggio costituzionale che impegna una corte che lo abbia varcato a non tornare indietro, orientandone corrispondentemente ruolo e aspettative.

Già prima delle sentenze del 2022 poteva dirsi che più la Corte costituzionale di uno Stato membro assume a parametro il diritto primario dell’Unione, e più si trova a dover assimilare la regola che l’ultima parola nella sua interpretazione, compresa la clausola dell’identità nazionale, spetta alla Corte di giustizia. A più forte ragione ciò vale dopo che la Corte di giustizia ha interpretato l’art. 2 TUE in modo da metterne in luce la portata costituzionale. Anche per questo, la Corte costituzionale non potrebbe vantare nei confronti della Corte del Lussemburgo il carattere “sistemico” dei propri scrutini, ancora di recente paragonato alla valutazione “parcellizzata” della Corte di Strasburgo.

Per tutte queste ragioni, l’evocazione del sindacato accentrato quale principio supremo, o non aggiungerebbe nulla di nuovo ove fosse riferita al monopolio sull’annullamento della legge, cui la Corte ha già più volte accennato dal 2017 in poi, o equivarrebbe a una svolta insuscettibile di trattative con altre corti ove venisse riferita alla stessa cognizione della conformità di una legge a Costituzione indipendentemente dalla provenienza dell’atto con cui si ritenga in collisione.

Non a caso, l’ultimo miglio non è stato percorso neanche nella sent. n. 181 del 2024, che pure appare ai commentatori la punta più avanzata nell’ambito della tendenza della Corte a recuperare terreno nella partita aperta con gli altri giudici sul trattamento delle leggi confliggenti col diritto UE direttamente applicabile.

Ad esprimere quella tendenza, non è dunque l’indicazione dei vantaggi della scelta di sollevare questione di legittimità costituzionale su quella di non applicare la normativa nazionale confliggente. Sul punto la sent. n. 181 del 2024 non aggiunge nulla alla consueta combinazione fra dichiarazioni sulla piena libertà di scelta del giudice comune e indicazioni dei vantaggi offerti dalla proposizione della questione di legittimità in termini di certezza del diritto. L’elemento davvero innovativo consiste invece nella estensione dalla sola Carta dei diritti a tutta la normativa del diritto dell’Unione del parametro alla cui stregua valutare la difformità della normativa nazionale.

 

4. Prospettive e incognite del “tono costituzionale

Già nella sent. n. 20 del 2019 si era colta una propensione della Corte costituzionale a porsi “come organo interno di garanzia dell’uniforme applicazione del diritto UE anche in ambiti non connessi alla tutela dei diritti fondamentali. In questa chiave, il tentativo potrebbe essere quello di mettere l’efficacia erga omnes delle proprie pronunce al servizio di un’attività di conformazione del diritto interno a quegli obblighi sovranazionali che non vengono adeguatamente presi in carico dal legislatore, così da perseguire una corrispondenza più piena e integrata tra diritto interno e sovranazionale, di cui essa potrebbe porsi alla guida nella generalità dei casi”[1]. Ma una volta che la disapplicazione costituisca un rimedio parallelo all’attivazione del giudizio incidentale, si verificherebbero “sovrapposizioni difficilmente governabili nelle sfere d’azione delle due corti”[2].

La sentenza n. 181 del 2024 supera ogni remora a distinguere la Carta dal resto del diritto UE primario o derivato. Nello stesso tempo, la questione di legittimità può dirsi ammissibile purché provvista di “tono costituzionale”. Più precisamente, “Perché questa Corte scrutini nel merito le censure di violazione di una normativa di diritto dell’Unione direttamente applicabile, è necessario che la questione posta dal rimettente presenti un “tono costituzionale”, per il nesso con interessi o princìpi di rilievo costituzionale. Tale nesso si rivela in modo esemplare nel caso di specie.

La direttiva 2006/54/CE, nell’attuare il principio di parità di trattamento tra uomo e donna, già sancito dalla direttiva 76/207/CEE, e nel concretizzare gli artt. 21 e 23 della Carta di Nizza (Considerando n. 5), investe princìpi fondamentali nel disegno costituzionale e con tali princìpi interagisce nel sindacato che questa Corte è chiamata a svolgere al metro dell’art. 3 Cost., in una prospettiva di effettività e di integrazione delle garanzie.”

Mentre la Carta dei diritti veniva qualificata di per sé, nella sent. n. 269 del 2017, “di impronta tipicamente costituzionale”, qui, al cospetto di tutto il diritto dell’Unione, “il tono costituzionale”, o “il nesso con interessi o princìpi di rilievo costituzionale”, va provato di volta in volta, con la conseguenza che una riscontrata assenza di tale “tono” o “nesso” renderebbe inammissibile la questione. Secondo Roberto Mastroianni, l’affermazione sarebbe frutto di un’autolimitazione, ma solo apparentemente[3]. In effetti, essa viene ricollegata dalla Corte ai casi in cui la proposizione della questione di legittimità si rivelerebbe “particolarmente proficua”: ciò avverrebbe “qualora l’interpretazione della normativa vigente non sia scevra di incertezze o la pubblica amministrazione continui ad applicare la disciplina controversa o le questioni interpretative siano foriere di un impatto sistemico, destinato a dispiegare i suoi effetti ben oltre il caso concreto, oppure qualora occorra effettuare un bilanciamento tra princìpi di carattere costituzionale.” Inoltre, soggiunge la Corte, ove “sussista un dubbio sull’attribuzione di efficacia diretta al diritto dell’Unione e la decisione di non applicare il diritto nazionale risulti opinabile e soggetta a contestazioni, la via della questione di legittimità costituzionale consente di fugare ogni incertezza. Questa Corte potrà dichiarare fondata la questione di legittimità costituzionale, se accerta l’esistenza del conflitto tra la normativa nazionale e le norme dell’Unione, indipendentemente dalla circostanza che queste siano dotate di efficacia diretta.”

La subordinazione dell’estensione del parametro del diritto UE al di là della Carta alla sussistenza di un “tono costituzionale” non pare in effetti volta a limitare il giudizio della Corte. Le ipotesi in cui la proposizione si riveli “particolarmente proficua”, e quindi nettamente preferibile a quella della non applicazione della normativa nazionale, pur risultando fra loro profondamente eterogenee, da incertezze di ordine interpretativo a quelle sulla suscettibilità di operare un bilanciamento fra princìpi costituzionali, nel complesso si verificano con grande frequenza nella giurisprudenza della Corte. E sarà comunque essa stessa a valutarne la ricorrenza, a partire da quando si richieda o meno un bilanciamento.   

Per altro verso, i vantaggi della proposizione della questione di legittimità, quali che siano le ipotesi indicate, comunque a titolo esemplificativo, sono sempre riconducibili alla maggiore certezza giuridica derivante dall’annullamento della normativa nazionale confliggente col diritto UE, cui la Corte continua a richiamarsi dal 2017 in poi evitando però di ricondurlo per le ragioni dette al sindacato accentrato quale principio supremo. Solo in quel caso, del resto, la Corte avrebbe potuto richiedere al giudice comune l’obbligo, e non la sola facoltà, di sottoporre avanti a se stessa la questione di legittimità costituzionale nell’ipotesi in discorso. Ma deve averlo sconsigliato il rischio di aprire conflitti di portata imponderabile, tanto con la Corte di giustizia quanto coi giudici comuni.

La spinta alla “marginalizzazione del ‘percorso europeo’” rinvenuta nella sent.n. 181 è stata ritenuta inidonea a “fornire una base teorica solida ad un nuovo assetto dei rapporti tra ordinamenti”, e tale da configurare piuttosto “un nuovo tassello nel tentativo della Corte costituzionale di posizionarsi in un sistema complesso di rapporti tra Corti e Carte che ancora non la vede come punto di riferimento centrale per le questioni che coinvolgono il diritto dell’Unione europea”[4].

Sono non da oggi convinto che non spetti alle corti, nemmeno se corti costituzionali, fondare le proprie pronunce su basi teoriche, vecchie o nuove che siano. Per esse, le teorie potranno costituire uno sfondo, o un punto d’appoggio, rispetto alla conformazione e alla soluzione dei casi. Ho però anche notato come la giurisprudenza avviata nel 2017 abbia abbandonato la prospettiva dei rapporti fra ordinamenti[5], con la conseguente “scomparsa dell’art. 11” notata da Mastroianni. Semplicemente, ora la Corte non crede più che gli ordinamenti siano “autonomi e distinti, ancorché coordinati”, come riteneva nel 1984. Non vi crede, anzitutto perché ha constatato come proprio quella sua affermazione abbia agevolato un percorso di interazioni sempre più fitto fra giudici comuni e Corte di giustizia dal quale si sarebbe così autoesclusa. Nello stesso tempo non osa dichiarare il superamento di quell’assunto, che le imporrebbe di ridefinire l’assetto dei rapporti fra ordinamenti in un contesto anche giuridico troppo precario come quello odierno.   

Rimangono le esigenze di posizionamento, il cui soddisfacimento sta avvenendo con due modalità solo apparentemente convergenti. Della prima si è detto. Culminata nella sentenza n. 181 del 2024, ripresa nella sent. n. 210 dello stesso anno nonché nelle sentt. nn. 1, 5 e 7 e nell’ord. n. 21 del 2025, si risolve nel riaccentrare il sindacato di costituzionalità il più possibile, ossia entro il limite di non considerarlo un principio supremo. Vedremo le avventure del “tono costituzionale”: certo è che la sua estrema latitudine, “suscettibile di espandersi e contrarsi a fisarmonica secondo occasionali convenienze”[6], non può conciliarsi con la ribadita intenzione di cooperare con le altre corti, nazionali ed europee, nel perseguimento di “tutele sempre più integrate”.

L’altra modalità si può cogliere dall’attitudine dialogante dei rinvii pregiudiziali, di cui la vicenda Taricco costituisce un caso esemplare nella misura in cui la Corte vi è risultata tanto ferma nella difesa delle proprie ragioni, quanto aperta al confronto con quelle altrui. Lo stesso può dirsi peraltro delle ordinanze relative alle altre questioni pregiudiziali, anche più recenti. Le ordinanze nn. 29 e 161 del 2024 hanno rispettivamente richiamato il consolidato “quadro di costruttiva e leale cooperazione tra i diversi sistemi di garanzia” e lo “spirito di leale collaborazione” in cui l’istituto in esame opera. Infatti, come notato anche dalla sentenza n. 15 del 2024, “la corretta applicazione e l’interpretazione uniforme del diritto UE sono garantiti dalla Corte di giustizia, cui i giudici nazionali possono rivolgersi attraverso il rinvio pregiudiziale ex art. 267 TFUE, così cooperando direttamente con la funzione affidata dai Trattati alla Corte”. A sua volta l’ordinanza n. 21 del 2025, oltre a riguardare un regolamento che riserva “ampia autonomia” agli Stati membri in ordine alla propria attuazione, ha accompagnato la richiesta di interpretazione rivolta alla Corte di giustizia con argomentate e convinte prese di posizione circa la direzione che dovrebbe prendere, tenendo conto dell’ispirazione solidaristica delle misure redistributive varate dall’Unione per riequilibrare i costi dell’energia, e delle sue conseguenze sulla configurazione degli spazi di disciplina lasciati agli Stati membri.   

5. Il ruolo delle corti costituzionali in sede di rinvio pregiudiziale nella prospettiva della Corte di giustizia

Ma ogni valutazione della dinamica delle relazioni fra corti in sede di rinvio pregiudiziale non potrebbe prescindere da come la Corte di giustizia prospetti a sua volta il ruolo che vi possono giocare le corti costituzionali. Ad essa si è già fatto riferimento quanto alla rivendicazione, anche e soprattutto nei confronti delle Corti costituzionali, del potere di interpretazione ultima del diritto dell’Unione. Ma possono registrarsi anche orientamenti che indicano in positivo il possibile ruolo delle corti costituzionali.

In D.B. contro Consob, la Corte di giustizia osserva che “Conformemente ad una consolidata giurisprudenza della Corte, le questioni relative all’interpretazione del diritto dell’Unione sollevate dal giudice nazionale nel contesto di diritto e di fatto che egli definisce sotto la propria responsabilità, e del quale non spetta alla Corte verificare l’esattezza, sono assistite da una presunzione di rilevanza. Il rifiuto della Corte di statuire su una domanda proposta da un giudice nazionale è possibile soltanto qualora risulti in modo manifesto che la richiesta interpretazione del diritto dell’Unione o l’esame della validità di quest’ultimo non ha alcun rapporto con la realtà effettiva o con l’oggetto del procedimento principale, o anche quando il problema sia di natura ipotetica, oppure la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere utilmente alle questioni che le sono sottoposte nonché per comprendere le ragioni per le quali il giudice nazionale ritiene di aver bisogno delle risposte a tali questioni per dirimere la controversia dinanzi ad esso pendente (v., in tal senso, sentenze del 19 novembre 2009, Filipiak, C‑314/08, EU:C:2009:719, punti da 40 a 42, e del 12 dicembre 2019, Slovenské elektrárne, C‑376/18, EU:C:2019:1068, punto 24)”.

In O.D. la specificità dei rinvii pregiudiziali operati dalla Corte costituzionale rispetto a quelli dei giudici comuni diventa un motivo giustificativo della rilevanza della questione pregiudiziale. Il giudizio verteva su una direttiva non ancora attuata in sede nazionale, la quale non poteva perciò essere invocata per veder disapplicate disposizioni nazionali con essa confliggenti. Senonché, soggiunge la Corte di giustizia, “Occorre [......] rilevare che il giudice del rinvio non è il giudice chiamato a pronunciarsi direttamente sulle controversie principali, bensì il giudice costituzionale «a cui è stata rimessa una questione di puro diritto – indipendente dai fatti addotti dinanzi al giudice di merito – questione alla quale esso deve rispondere alla luce sia delle norme di diritto nazionale che delle norme del diritto dell’Unione al fine di fornire non solo al proprio giudice del rinvio, ma anche all’insieme dei giudici italiani, una pronuncia dotata di effetti erga omnes, vincolante tali giudici in ogni controversia pertinente di cui potranno essere investiti. In tale contesto, l’interpretazione del diritto dell’Unione richiesta dal giudice del rinvio presenta un rapporto con l’oggetto della controversia di cui è investito che riguarda esclusivamente la legittimità costituzionale di disposizioni nazionali rispetto al diritto costituzionale nazionale letto alla luce del diritto dell’Unione» (CGUE, grande sezione, sentenza 2 settembre 2021, in causa C‑350/20, OD. e altri).”.

Nella sent.n. 181 del 2024 la nostra Corte costituzionale ha ripreso il passo rilevando come la Corte di giustizia vi abbia “valorizzato l’importanza primaria del ruolo di questa Corte”. Ma in quale direzione?

Il passo di O.D. viene citato dopo aver osservato che “La declaratoria di illegittimità costituzionale, proprio perché trascende il caso concreto da cui ha tratto origine, salvaguarda in modo efficace la certezza del diritto, valore di sicuro rilievo costituzionale (sentenza n. 146 del 2024, punto 8 del Considerato in diritto), di cui i singoli giudici e questa Corte sono egualmente garanti. Questa Corte, inoltre, grazie alla molteplicità e alla duttilità delle tecniche decisorie che adopera, può porre rimedio nel modo più incisivo alle disarmonie enunciate dal rimettente, anche colmando le lacune che possano derivare dalla caducazione delle norme illegittime.”

Il paragone fra giudici comuni e Corte costituzionale viene compiuto da quest’ultima nella prospettiva del diritto interno anche quando il trattamento giurisdizionale della legge venga in rilievo con riguardo ai suoi rapporti col diritto UE direttamente applicabile. Giudici comuni e Corte costituzionale sono “egualmente garanti” della certezza del diritto, ma solo la Corte, oltre al monopolio dell’annullamento, può colmare le lacune che possano derivarne.

Nell’indirizzo più recente, è costante il richiamo alla “vasta gamma di tecniche decisorie” di cui la Corte si avvale, operato al fine di mostrare l’unicità del proprio contributo non solo rispetto ai giudici comuni, ma più in generale nello spazio costituzionale europeo[7]. Tuttavia, nella prospettiva della Corte di giustizia, tale unicità, per quanto vantaggiosa dal punto di vista dell’applicazione del diritto UE, non giustificherebbe l’attivazione del sindacato incidentale in luogo della non applicazione della normativa interna incompatibile col diritto UE. In O.D. troviamo spiegata questa posizione.

Il punto di partenza implicito ad essa sotteso è che i giudici comuni degli Stati membri siano i giudici incaricati dell’applicazione del diritto dell’Unione, considerazione peraltro ricorrente nella giurisprudenza della Corte costituzionale (sent. n. 245 del 2019; ordd. nn. 48 del 2017 e 298 del 2011). Quando costoro rimettano al giudice costituzionale una questione che coinvolga tanto norme di diritto nazionale quanto norme di diritto UE, questi, nel rinviare in via pregiudiziale alla Corte di giustizia una questione di interpretazione del diritto UE, lo fa solo perché il diritto costituzionale va letto alla luce del diritto UE. Si tratta comunque di una questione di puro diritto, che per un verso consente alla Corte di giustizia di fornire un’interpretazione del diritto UE al di là dell’area del diritto direttamente applicabile su cui vi è una “presunzione di rilevanza”, e per l’altro conferma che la Corte costituzionale non è autorizzata a definire autonomamente tale interpretazione. Nella prospettiva del giudice costituzionale, il rinvio pregiudiziale serve a definire “una questione di puro diritto”, che non interseca l’applicazione del diritto UE di cui solo i giudici comuni sono incaricati.

Sarebbe facile replicare, dal punto di vista del diritto costituzionale nazionale, che il rapporto fra giudici comuni e Corte costituzionale non corre lungo la contrapposizione giudizio di merito/giudizio di legittimità, la quale non dà conto del nesso di rilevanza che generalmente deve connettere il giudizio incidentale a quello principale. Ma l’obiezione non sposterebbe i termini della questione così come prospettata dalla Corte di giustizia. Che riguarda bensì il ruolo delle giurisdizioni costituzionali in sede di rinvio pregiudiziale, ma si ripercuote pure direttamente sul loro rapporto coi giudici comuni in quanto incaricati in esclusiva dell’applicazione del diritto dell’Unione.

6. Possibili prospettive

Come dimostrano le questioni pregiudiziali fin qui prospettate, nemmeno il più recente indirizzo della Corte costituzionale mira a contestare il potere della Corte di giustizia nell’interpretazione del diritto dell’Unione. Casomai la richiesta che le questioni presentino un “tono costituzionale” dovrebbe o vorrebbe agire in via preliminare, con un ridimensionamento del peso del diritto dell’Unione in sede di interpretazione della normativa applicabile, e una corrispondente riconduzione dei giudici comuni all’ovile della stessa Corte costituzionale. La quale si candiderebbe a quel punto a interloquire in via privilegiata con la Corte di giustizia.

Per riuscire nell’intento, il nuovo indirizzo deve però pur sempre affidare la sua capacità persuasiva – avendo la Corte abbandonato saggiamente la via dell’obbligo – circa i vantaggi in termini di certezza del diritto del possibile annullamento della normativa nazionale confliggente col diritto UE direttamente applicabile. Argomento spendibile, a condizione di dimostrare che l’alternativa della non applicazione si sia prestata a oscillazioni, incertezze o abusi. E dovrebbe far riflettere che i giudici comuni continuano a seguirla in misura consistente ad otto anni di distanza dalla sentenza n. 269 del 2017.

Il richiamo al “tono costituzionale” accentua ulteriormente l’intensità dell’istanza rivolta a costoro, dispiegandosi come si è detto sull’intero diritto dell’Unione proprio per alimentare al massimo le occasioni che rendano possibile il loro ritorno all’ovile. Questo approccio quantitativo è il risvolto di una perdurante debolezza della Corte in una partita a tre nella quale le altre due parti sembrano continuare ad esercitare i rispettivi sperimentati ruoli senza particolari preoccupazioni.

È auspicabile che la Corte si avveda della necessità, se non anche dell’urgenza dal suo punto di vista, di passare da un approccio quantitativo ad uno qualitativo, nel quale il ruolo della giurisdizione costituzionale venga giuocato sul piano delle grandi opzioni di principio, le sole a consentire un autentico “tono costituzionale”. Non sto ipotizzando ovviamente il ritorno a una riserva di giurisdizione costituzionale sui soli princìpi supremi o controlimiti, che aveva alle spalle quella separazione fra ordinamenti, accompagnata da congegni di coordinamento, su cui era stata costruita Granital. Immagino piuttosto che, dalla realistica presa d’atto della proliferazione delle doppie questioni pregiudiziali, la Corte desuma l’esigenza di concentrarsi su casi analoghi a Taricco, in cui l’interlocuzione con la Corte di giustizia diventa cruciale, o su casi nei quali sia essa stessa a poter e dover evidenziare analogie e differenze fra diritto nazionale e diritto dell’Unione nella prospettiva dei princìpi costituzionali, come in effetti è avvenuto felicemente nell’ordinanza n. 21 del 2025.

In ogni caso, un’autentica autorevolezza si può mantenere, o recuperare, con la rinuncia a intervenire compulsivamente in ogni occasione possibile. I casi di inammissibilità, anche per assenza di “tono costituzionale”, potranno allora rivelarsi altrettanto importanti per comprendere quanto possa funzionare la nuova direzione di marcia.

Relazione al Convegno della Scuola Superiore della Magistratura “I rinvii pregiudiziali che hanno fatto l’Europa”, Napoli, 24-26 marzo 2025.

[1] G.Repetto, Esercizi di pluralismo costituzionale. Le trasformazioni della tutela dei diritti fondamentali in Europa tra ambito di applicazione della Carta e “doppia pregiudizialità”, in Diritto pubblico, 2022, 803.

[2] G.Repetto, Esercizi di pluralismo costituzionale, cit., 805.

[3] R.Mastroianni, La sentenza della Corte costituzionale n. 181 del 2024 in tema di rapporti tra ordinamenti, ovvero la scomparsa dell’art. 11 della Costituzione, in Quaderni AISDUE, n. 1/2025, 8.

[4] R.Mastroianni, La sentenza della Corte costituzionale, cit., risp. 3 e 24.

[5] C.Pinelli, Granital e i suoi derivati. A quaranta anni da Corte cost.n. 170 del 1984, in Rivista AIC, n. 4/2024.

[6] A.Ruggeri, Rapporti tra diritto interno e diritto eurounitario, dal punto di vista della teoria della Costituzione, e tecniche retorico-argomentative nella recente giurisprudenza costituzionale, in Diritti fondamentali, n. 1/2025, 16.

[7] Per un accenno C.Pinelli, Granital e i suoi derivati, cit.

Sommario: 1. Una prima inadeguatezza con tre effetti di costo. – 2. Le “morti da carbonio” imputabili all’Italia e la violazione dell’art. 8 CEDU. – 3. Le conseguenze della doppia inadeguatezza della mitigazione italiana 

1. Una prima inadeguatezza con tre effetti di costo

Ha destato preoccupazione la notizia della recente pubblicazione, da parte di ISPRA, dei dati ufficiali relativi alle emissioni di gas serra, prodotte dall’Italia nel 2023[1].

Da un lato, le emissioni complessive sono in calo, rispetto al 2022, solo del 6,8%. Dall’altro, però, risultano in aumento quelle causate dai trasporti, responsabili del 28% del totale. Questo significa che l’Italia non è in linea con gli obiettivi di mitigazione climatica, per essa stabiliti dal Regolamento europeo n. 2023/857, sul c.d. Effort Sharing. La disciplina europea, infatti, stabilisce, per ciascuno Stato, un obiettivo nazionale di riduzione delle emissioni di gas serra entro il 2030 nei seguenti settori: trasporti nazionali (escluso il trasporto aereo), edilizia, agricoltura, piccola industria (esclusa dal settore ETS) e rifiuti. In totale, le emissioni contemplate dal Regolamento rappresentano quasi il 60% delle emissioni interne dell’UE. L’obiettivo della normativa europea, pertanto, è quello di far sì che ciascuno Stato contribuisca concretamente al conseguimento della riduzione delle emissioni dell’intero continente «almeno del 55% entro il 2030» (rispetto ai livelli del 1990), così concorrendo al conseguimento del Green Deal europeo.

Per l’Italia, il taglio contemplato entro il 2030 è del 43,7% rispetto al 2005, con riguardo a tutte le emissioni prodotte, inclusi appunto i trasporti.

Su questo fronte, però, il paese non è evidentemente sulla buona strada. I dati ISRPA non danno luogo a equivoci[2]: la mancata diminuzione delle emissioni dei trasporti ha portato a un progressivo avvicinamento dei livelli emissivi italiani ai tetti massimi consentiti dalle fonti UE, fino al loro superamento registrato nel 2021 (per 5,5 milioni di tonnellate di CO₂ equivalente[3]), nel 2022 (per 5,4 milioni) e nel 2023 (per 8,2 milioni), segnando, alla fine, un +7% rispetto ai livelli del 1990. Tra l’altro, una constatazione simile era già pervenuta dal documento allegato all’ultimo DEF, dove si legge che «la mancata riduzione delle emissioni dei settori trasporti e civile ha portato … al superamento [delle quote annuali di emissioni] registrato per l’anno a partire dal 2021»[4].

Dunque, il disallineamento è in atto e questo produce serie conseguenze negative, in termini di costo e di danni. I costi sono principalmente di tre tipi.

Il primo consiste nell’incremento dei costi sociali da mancata mitigazione. Per comprenderlo, basta fare riferimento al costo sociale del carbonio. Esso, infatti, rappresenta il valore economico del danno (socio-economico) causato dalle emissioni di CO₂ equivalente, All’interno della UE, tale costo è utilizzato sia per valutare l’efficacia delle politiche climatiche sia per determinare il prezzo del carbonio nei mercati delle emissioni. Nel corso del 2023, questo costo è stato stimato intorno ai 100€ per tonnellata di CO₂ equivalente. Di conseguenza, se l’Italia non dovesse centrare gli obiettivi emissivi per circa 100 milioni di tonnellate cumulate nel periodo fino al 2030 (il che appare possibile con l’attuale trend registrato da ISPRA), essa si troverebbe a dover rispondere del costo sociale di almeno 10 miliardi di euro.

A questa conseguenza negativa, poi, si sommerebbe un secondo costo, questa volta monetario, derivante dalla necessità, per lo Stato italiano, di far ricorso al mercato del carbonio, al fine di acquistare da altri Stati le quote emissive in eccesso.

Infine, in ragione di quanto previsto dall’art. 14 del Regolamento UE n. 2023/857, lo Stato dovrebbe farsi carico anche di un ultimo costo, legato agli oneri amministrativi conseguenti agli accertamenti UE, dato che, una volta riscontrata dalla Commissione l’inadeguatezza italiana, il Governo sarà tenuto a presentare, entro tre mesi dall’accertamento, un piano d’azione correttivo, ossia un vera e propria azione di urgente e drastica mitigazione climatica, traumaticamente incidente sul tessuto economico-sociale del paese.

Quindi, lo scenario offerto da ISPRA è oggettivamente preoccupante.

 

2. Le “morti da carbonio” imputabili all’Italia e la violazione dell’art. 8 CEDU

Ma non è tutto, purtroppo.

Due altri elementi vanno considerati, a seguito dei dati ISPRA.

Il primo riguarda le c.d. “morti da carbonio”, dunque una categoria di danno. Com’è noto, le emissioni di gas serra sono anche una fonte di imputazione di decessi, sia per inquinamento[5] sia per altri effetti da riscaldamento globale. Su questo secondo fronte, viene ora utilizzata, a livello internazionale, la cosiddetta “regola delle 1000 tonnellate”, elaborata sulla base del costo sociale del carbonio, accettato dagli Stati. Essa stima quante morti sono imputabili alla combustione di una specifica quantità di CO₂ equivalente[6] e viene utilizzata per valutare l’impatto sulle persone, nel presente e nel futuro, delle decisioni climatiche degli Stati (e anche delle imprese climalteranti[7]).

In sintesi, la “regola delle 1000 tonnellate” stima che l’emissione appunto di 1.000 tonnellate di CO₂ equivalente causa la morte prematura di almeno 1 persona.

Se si rapporta questa regola ai milioni di tonnellate di emissioni non ridotte dello Stato italiano in adempimento delle previsioni europee, emerge uno scenario di danno, statisticamente stimabile e non confutabile, che porterebbe lo Stato a rispondere di lesione del principio del neminem laedere a seguito, da un lato, della violazione del diritto europeo e, dall’altro, del nesso causale emissione-decessi (presenti e futuri). Nuovi profili di responsabilità extracontrattuale si aprirebbero a carico dell’amministrazione pubblica.

Il secondo elemento è connesso al precedente, ma trova fondamento nell’art. 8 della CEDU. Com’è noto, il potere di mitigazione climatica di uno Stato, membro sia della UE che della CEDU, soggiace a un doppo limite: quello europeo e quello appunto CEDU[8]. I dati ISPRA del 2023 arrivano dopo la storica sentenza della Corte di Strasburgo nel caso “Verein KlimaSeniorinnen” del 9 aprile 2024, i cui paragrafi 441 e 550 hanno stabilito, tra le altre cose, i requisiti necessari affinché la mitigazione statale risulti conforme alla tutela effettiva intertemporale dei diritti presidiati dall’art. 8 CEDU. La conformità alla CEDU, pertanto, si affianca a quella unionale europea. Si tratta, tuttavia, di una conformità qualitativa e non invece meramente quantitativa (come quella richiesta dal Regolamento UE n. 2023/857), essendo volta a ridurre non semplicemente le emissioni statali, bensì il rischio di danno alla qualità della vita, imputabile alle emissioni statali. Detto altrimenti, la conformità a CEDU implica, prima ancora che un giudizio prognostico sulla traiettoria della mitigazione climatica (in sede UE svolto dalla Commissione ai sensi del citato art. 14 del Regolamento UE n. 2023/857), un giudizio diagnostico, che la Corte di Strasburgo attribuisce a qualsiasi potere statale, in merito all’adempimento nazionale degli obblighi positivi di protezione derivanti dall’art. 8 CEDU: adempimento a sua volta verificabile attraverso lo scrutinio dei cinque requisiti necessari di mitigazione, scanditi dal citato paragrafo 550 di “Verein KlimaSeniorinnen”.

Poiché neppure dei cinque requisiti necessari CEDU risulta traccia dai dati ISPRA, si deve presumere che l’inadeguatezza della mitigazione climatica italiana si estenda anche al non adempimento degli obblighi positivi di protezione ex art. 8 CEDU. Profilo, questo, che si aggiunge, senza sostituirsi, a quelli già evidenziati sul fronte unionale europeo, dato che la UE non aderisce alla CEDU e la CEDU, a sua volta, vincola l’Italia per la migliore tutela dei diritti (nei termini ovviamente dell’art. 117 comma 1 Cost.).

 

3. Le conseguenze della doppia inadeguatezza della mitigazione italiana

Ecco allora che questa doppia inadeguatezza della mitigazione climatica (sul fronte dell’Effort Sharing, richiesto dalla UE, sommato all’inadempimento degli obblighi positivi di protezione, riconosciuti dalla Corte di Strasburgo) espone l’Italia, nel convergente quadro di conoscenza dei danni prodotti e producibili dalle emissioni eccedenti (quantificati dalla “regola delle 1000 tonnellate”), su un crinale di plurime responsabilità di varia natura, tanto politiche e istituzionali (tra Stato e UE) quanto giuridiche tra Stato e cittadini, evidentemente legittimati, questi ultimi, a far valere la giustiziabilità delle proprie ragioni di tutela in termini di mancata attuazione del diritto europeo e di violazione diretta dell’art. 8 CEDU.

Se l’Italia non provvederà con urgenza a prendere sul serio il Green Deal europeo nel rispetto delle quantità europee di Effort Sharing e dei metodi di garanzia dei diritti umani, disegnati dalla decisione “Verein KlimaSeniorinnen”, la sua mitigazione climatica risulterà facilmente censurabile anche in sede giudiziaria, tanto civile, in nome del neminem laedere per mancata riduzione del rischio[9] nell’adempimento degli obblighi positivi di protezione, quanto amministrativa, per atti illegitimi in contrasto con l’ Effort Sharing e con la CEDU: e questo sia prima del 2030, in ragione del riformato art. 9 Cost. che impegna ad agire «anche nell’’interesse delle generazioni future», sia, e soprattutto, dopo il 2030, quando la “regola delle 1000 tonnellate” servirà a contare gli effettivi decessi da emissioni non ridotte, che si sarebbero potuti evitare adempiendo al diritto UE e alla CEDU, a discapito di tutte le soglie di sicurezza climatica indicate dalle fonti internazionali, a partire dall’art. 2 dell’UNFCCC del 1992 e dagli artt. 2 e 8 dell’Accordo di Parigi del 2015.

[1] Cfr. L. Aterini, Ispra, l'Italia ha tagliato le emissioni di gas serra del 26,4% sul 1990 mentre l'UE segna -37>#/i###, in Greenreport, 25 marzo 2025; S. Deganello, Emissioni, l’Italia sfora il tetto Ue: «Rischia di dover pagare oltre 25 miliardi», ne Il Sole-24 ore Energia e Ambiente, 6 aprile 2025.

[2] Si legga, per sintesi, il Comunicato stampa di ISRPA.

[3] La CO₂ equivalente costituisce l’unità di misura che quantifica la forza climalterante di tutti i gas serra, parametrata a quella del biossido di carbonio.

[4] Relazione sullo stato di attuazione degli impegni per la riduzione delle emissioni di gas ad effetto serra, allegata al Documento di economia e finanza (DEF) 2024.

[5] Valga, per tutti, il riferimento al World Air Quality Report 2024.

[6] J.M. Pearce, R. Parncu, Quantifying Global Greenhouse Gas Emissions in Human Deaths to Guide Energy Policy, in Energies, 16, 2023, 6074.

[7] Considerato che solo 36 multinazionali dell’Oil & Gas sono responsabili di circa la metà delle emissioni globali di CO₂ (cfr. Carbon Majors: 2023 Data Update).

[8] M. Cunha Verciano, Il doppio limite del potere di mitigazione climatica dell’Italia dopo le sentenze CEDU del 9 aprile 2024, in www.giustiziainsieme.it, 22 gennaio 2025.

[9] Nella distinzione tra riduzione delle emissioni e riduzione del rischio, sancita dal paragrafo 441 di “Verein KlimaSeniorinnen”.

Foto via Wikimedia Commons.

Memoria illustrativa del Procuratore Nazionale Antimafia e Antiterrorismo sulle novità contenute nella proposta di legge AC 1822, approvata dal Senato della Repubblica il 10 aprile 2024, relativa alla modifica del codice di procedura penale in materia di sequestro di dispositivi, sistemi informatici o telematici o memorie digitali.

Reputo doveroso rassegnare le considerazioni che seguono, in ragione dell’allarme per l’efficacia delle indagini in materia di criminalità organizzata e di sicurezza cibernetica che genera la considerazione di alcuni dei contenuti della proposta di legge AC 1822, approvata dal Senato della Repubblica il 10 aprile 2024.

Come noto, la proposta legislativa in oggetto prevede una innovativa procedura per i sequestri di dispositivi e sistemi informatici o telematici, memorie digitali, dati, informazioni, programmi, comunicazioni e corrispondenza informatica inviate e ricevute (art. 254-ter c.p.p.)

Le soluzioni prefigurate per non pochi e rilevanti aspetti destano profonda preoccupazione.

Naturalmente, non è in discussione la necessità di deciso rafforzamento delle garanzie difensive, ma la capacità di individuare forme di adeguata protezione dei diritti senza minare ingiustificatamente la capacità di risposta repressiva dei più gravi fenomeni criminali.

In generale, credo di essere stato fra i primi a porre in sede parlamentare il tema di un deciso avanzamento degli equilibri fra esigenze delle indagini e diritti della persona, attraverso la previsione di nuove e più elevate garanzie individuali e della stessa funzione difensiva.

Mi riferisco alla mia audizione dinanzi alla Commissione giustizia del Senato del 31 gennaio 2023. In quella sede, infatti, sottolineavo come vi fosse:

“un evidente ritardo normativo nel prendere atto della profonda necessità di innalzamento delle garanzie legali collegate alla tutela dei dati personali che confluiscono nei sistemi digitali: un ritardo evidente, direttamente collegato al da tempo sopravvenuto rilievo eccezionale dei dati personali diversi da quelli oggetto della tradizionale captazione delle comunicazioni: ma tale da imporre, come è stato detto, “la formulazione di un nuovo apparato normativo dagli orizzonti più vasti”. La stessa nozione codicistica di “intercettazione”, intesa quale captazione clandestina dei flussi di comunicazione in atto fra due soggetti, entra in crisi nell’era digitale, non valendo ad abbracciare e disciplinare unitariamente fenomeni diversi, ma caratterizzati comunemente dalla sottrazione alla sfera di privatezza delle persone di dati di straordinario rilievo giuridico e sociale. È questo un punto cruciale per cogliere la radice di tensioni che la giurisprudenza mostra di non saper risolvere e che probabilmente non può risolvere, come dimostra la sofferenza visibile nell’impiego delle tradizionali categorie del documento e della corrispondenza per individuare la cornice normativa di attività invasive per le quali si rivela la necessità di rafforzamento delle garanzie individuali. Una sofferenza ancor più grande, perché palesemente sostenuta dalla consapevolezza che soltanto il legislatore può definire il punto di equilibrio fra efficienza delle indagini e tutela della riservatezza e delle altre libertà fondamentali; è forse giunto il momento di riconoscere che vi è un deficit di effettività del principio di legalità processuale e delle correlate garanzie difensive che può essere colmato senza pregiudizio per le esigenze di accertamento dei reati più gravi e in coerenza con l’intervento legislativo del 2017; mi riferisco alle possibilità di acquisizione occulta di chat pregresse e comunque di contenuti dei dispositivi di comunicazione telematica mediante captatore in funzione on line search o alle possibilità di ispezione, perquisizione e sequestro di archivi informatici, quali quelli contenuti anche in un semplice smartphone, derivanti dall’inquadramento giurisprudenziale di queste attività come attività “atipiche” di ricerca della prova: è giunto il momento, di “valorizzare, nel settore delle indagini digitali, il principio di proporzionalità quale parametro di legittimità per le attività investigative”… , ciò che oggi non è, se, come sovente accade, è dato sequestrare uno smartphone o altro dispositivo analogo con provvedimento adottabile procedendo per qualsivoglia reato: in ipotesi, anche per semplici contravvenzioni ovvero comunque per delitti di scarsa gravità. In pratica, si tratta di innalzare il valore del principio di libertà di comunicazione prevedendo l’intervento del Giudice e l’introduzione di rigorose condizioni di proporzionalità ed adeguatezza dell’agire investigativo, così legando l’esercizio del potere di acquisizione dei dati personali a rigidi presupposti, definiti da adeguati limiti edittali e da altre tassative specificazioni e, non ultimo, a più rigorosi e perciò controllabili oneri motivazionali; soprattutto, è necessario prevedere che i dati siano trattati come quelli delle intercettazioni, confluendo nell’Archivio delle Intercettazioni: soltanto così i dati irrilevanti a fini di giustizia potranno restare segregati e sfuggire ad ogni diffusione sterminatrice della reputazione, dell’onore e della vita delle persone.”

Dunque, non può che trovare apprezzamento una disciplina che, per non pochi versi consolidando risultati intanto conseguiti in via interpretativa dalla giurisprudenza della Corte di Cassazione, prevede che le acquisizioni dai dispositivi informatici e telematici siano distinte tra rilevanti ed irrilevanti e, per le seconde, proprio come già previsto per le intercettazioni telefoniche, se ne disponga la conservazione, con diritto di accesso solo ai soggetti interessati al procedimento e senza estrazione di copie se non attraverso una procedura governata dal giudice.

L’allarme per la sorte delle indagini che il mio ufficio ha la responsabilità di coordinare nasce da ben altro.

Una prima ragione di grave preoccupazione nasce dalla constatazione della inutile pesantezza delle procedure per l’acquisizione, in fase di indagini, dei contenuti digitali.

Infatti, il testo normativo in esame, dispone che tale attività venga svolta attraverso ben tre provvedimenti di sequestro, dei quali due disposti dal GIP ed uno dal pubblico ministero.

Si prevede infatti che si debba adottare:

a) un primo sequestro - disposto dal GIP su richiesta del PM - relativo all’intero dispositivo;

b) un secondo sequestro - disposto dal PM - sui contenuti estratti che non abbiano carattere di comunicazioni informatiche o telematiche;

c) un terzo sequestro - ancora disposto dal GIP su istanza del PM - relativo ai contenuti estratti dal dispositivo che assumano natura di comunicazioni.

A questa lunga teoria di atti si dovrà inoltre aggiungere un ulteriore sequestro - di natura preventiva, disposto dal GIP su richiesta del PM - qualora il dispositivo, una volta estratti i contenuti rilevati, non possa essere restituito, perché contenente dati o informazioni la cui detenzione integra il reato (ad esempio materiale pedopornografico), ovvero perché suscettibili di confisca obbligatoria o facoltativa all’esito del giudizio, in quanto utilizzato per la commissione del reato (come accade per il dispositivo utilizzato per commettere i reati di stalking ex art. 612-bis c.p. o di revenge porn ex art. 612-ter c.p., ma come accade anche per i gravi delitti cibernetici con riguardo a dispositivi e infrastrutture utilizzati per attacchi ad infrastrutture critiche).

Appare certo che questa proliferazione di interlocuzioni con il GIP per ogni dispositivo sequestrato, oltre a ritardare oltremodo le indagini, procurerà un aggravio insostenibile per uffici spesso onerati da ritardi superiori alla durata delle indagini preliminari nel vaglio delle richieste cautelari per indagini di criminalità organizzata.

Poco male, si dirà, se da questo passa necessariamente una più elevata tutela dei diritti individuali.

Ma forse sarebbe opportuno considerare l’impatto reale di una catena processuale così concepita.

Un duplice, anzi di regola triplice intervento del giudice delle indagini preliminari equivale ad introdurre un potente moltiplicatore dei casi di incompatibilità del giudice, insostenibile soprattutto negli uffici di minori dimensioni.

Un’architettura procedimentale così complessa per giungere alla acquisizione dei dati contenuti in dispositivi in sistemi informatici e telematici, ulteriormente appesantita nel caso in cui si tratti di estrarre contenuti comunicativi, appare sbilanciata rispetto al regime che disciplina le medesime acquisizioni di documenti in formato cartaceo anziché digitale, tanto da offrire, a chi avesse l’accortezza di documentare le proprie attività criminali solo su supporto digitale (si pensi alle scritture contabili o alle corrispondenze d’azienda) una tutela rafforzata nei confronti delle attività di indagine rispetto a chi tale scelta avveduta non abbia assunto.

Si potrebbe persino ironizzare sulla capacità del testo approvato dal Senato a divenire un vero e proprio incentivo alla digitalizzazione delle attività illecite o quantomeno della loro documentazione.  

Ma anche l’amaro sorriso dell’ironia si spegne dinanzi alla considerazione della brutalizzazione delle esigenze di contrasto della criminalità mafiosa e delle minacce alla sicurezza cibernetica che inevitabilmente deriverà da altri contenuti del disegno di legge, se approvato nella sua attuale formulazione.

Prima di considerare tali aspetti, appare doveroso, in omaggio ad elementari canoni di lealtà istituzionale, segnalare che l’eccessiva onerosità pratico-organizzativa e ordinamentale prima sottolineata potrebbe ridursi grandemente senza sacrificio per le istanze di maggior tutela delle corrispondenze acquisibili tramite analisi dei dispositivi.

Sul punto conviene dunque segnalare che il regime attualmente delineato potrebbe modificarsi prevedendo che il sequestro previsto dall’art. 1, comma 1, della proposta, relativo all’intero dispositivo, possa estendersi anche ai contenuti non comunicativi estratti all’esito dell’analisi e quindi, assorbire in sé anche l’ipotesi disciplinata al comma 12, prima parte. Al contempo, una specifica ed ulteriore valutazione, riservata esclusivamente al GIP, potrebbe riguardare i soli contenuti comunicativi ritenuti rilevanti per le indagini come già previsto dalla seconda parte dello stesso comma 12.

 

Sempre in funzione di semplificazione ed alleggerimento della procedura, si potrebbe altresì prevedere, in relazione alla disciplina dettata per la restituzione del dispositivo analizzato (cfr. comma 11 dell’articolo 1 del testo), che il sequestro originario possa essere mantenuto, con eventuale reiezione dell’istanza di parte volta alla restituzione, in tutti i casi nei quali il dispositivo possa essere oggetto di confisca facoltativa o obbligatoria all’esito del giudizio e nei casi in cui contenga dati o programmi dei quali sia vietata la detenzione. 

Operando queste modifiche si potrebbe ricondurre l’intera disciplina in una dimensione di sostenibilità, senza alcun nocumento oggettivo ai diritti di libertà ed inviolabilità delle comunicazioni private che si intende qui tutelare.

 

Il barocco nell’arte ha prodotto capolavori straordinari, ma nell’amministrazione della giustizia le architetture normative che ne imitano la tendenza alla sovrabbondanza formale possono generare effetti disastrosi.

Non soltanto nella dimensione processuale nazionale.

L’introduzione del nuovo regime produrrà conseguenze non di certo positive anche sulla rapidità e sull’efficacia della cooperazione giudiziaria internazionale.

In relazione alla domanda di cooperazione degli altri Stati, la laboriosità delle procedure di sequestro e successive analisi dei dispositivi produrrà certamente un significativo allungamento dei tempi di risposta della giustizia italiana, ciò che risulterà insopportabile con riferimento a quelle indagini, prime tra tutte quelle relative ai crimini informatici, che richiedono una assoluta speditezza al fine di non disperdere l’utilità dei dati investigativi che si vanno acquisendo.

Ad esempio, l’acquisizione di un indirizzo IP, fondamentale per giungere all’individuazione degli autori del crimine, diverrà inutile se conseguita oltre i termini di data retention differenti da Stato a Stato e fino ad ora non disciplinati uniformemente da un testo sovranazionale.

Per non parlare, poi, nel caso di esecuzione di un provvedimento di sequestro disposto dalla A.G. estera di un server in Italia, della necessità di effettuare, con le modalità della consulenza tecnica irripetibile, la copia forense, così “vincolando” gli ordinamenti esteri a “subire” macchinosi e defatiganti procedimenti, per mettere a disposizione un device, che, ad oggi, verrebbe consegnato in tempi rapidi.

Si pensi, soltanto, alla necessità di:

a) notificare gli avvisi, ovviamente da tradurre, anche all’estero;

b) nominare degli interpreti, ove gli interessati esteri intendano partecipare al conferimento dell’incarico.

Ancor più difficile sarà poi giungere ad una acquisizione di e-evidence all’estero che risulti all’esito utilizzabile nel processo italiano.

Infatti, la Corte di Giustizia e la giurisprudenza nazionale stabiliscono che, ai fini dell’utilizzabilità, le modalità di acquisizione adottate all’estero non devono essere meno garantite di quelle previste dal diritto interno per la gestione di situazioni analoghe (Corte Giust. UE Grande Sez. 6 ottobre 2020, C-511/18).

Non vi è dubbio che una procedura come quella in esame non abbia analogie con altre discipline straniere.

Sulla sorte reale delle prospettive della cooperazione internazionale peserà grandemente altresì la disposizione - dell’intrinseca irragionevolezza della quale si dirà oltre - dell’art. 1, comma 14, relativa ai limiti di utilizzabilità delle acquisizioni dei contenuti digitali.

Di fatto, per tale via si disperderanno i vantaggi dell’acquisizione di prove legalmente assunte negli ordinamenti di altri Stati, connessi alla possibilità di estendere gli effetti della richiesta di cooperazione giudiziaria a procedimenti diversi e per reati diversi.

Oggi, se una Autorità giudiziaria estera - in esecuzione di una commissione rogatoria o di un ordine di indagine europeo - consegna un device sequestrato in quello Stato, senza apporre condizioni sull’utilizzo processuale, l’Autorità giudiziaria italiana può ben utilizzare il contenuto, anche per reati diversi da quello per cui si procede e ben può mettere a disposizione quella memoria digitale anche di altre autorità giudiziarie ove emergano nuovi e diversi reati di competenza di altri uffici.

Domani, ove approvato nella sua attuale formulazione il testo in esame, viceversa, l’Autorità giudiziaria italiana, senza che vi siano condizioni apposte da quella estera, sarà costretta all’utilizzo del materiale di prova faticosamente per le sole fattispecie di reato per cui già procedeva, salvo a reiterare la medesima domanda, con inutile dispendio di tempo e risorse, in ogni ulteriore procedura interna.

Naturalmente, pur in mancanza dei limiti propri delle clausole di specialità del diritto internazionale penale, ben può il legislatore ancorare l’utilizzabilità dei dati acquisiti a parametri corrispondenti a fondamentali principi di proporzionalità e adeguatezza delle soglie di tutela.

Ma proprio per questa via si giunge al vero punto di crisi dell’intero sistema delle indagini in materia di criminalità organizzata e cybercrime generato dall’impianto normativo prefigurato.

Come accennato, il disegno di legge prevede al comma 14 dell’art. 1 l’applicazione di varie disposizioni codicistiche, fra le quali quelle di cui all’art. 270 c.p.p., dettate in tema di utilizzazione delle intercettazioni in altri procedimenti.

Secondo tali disposizioni, i risultati delle acquisizioni non saranno utilizzabili in procedimenti diversi, salvo che risultino rilevanti e indispensabili per l’accertamento di delitti per i quali è obbligatorio l'arresto in flagranza.

La stessa, gravemente pregiudizievole disciplina introdotta dal legislatore del 2023 per le intercettazioni, ma con incalcolabili effetti ingiustificatamente nocivi per la tenuta dell’azione di contrasto dei più gravi fenomeni criminali.

Quale sarà questo disastroso impatto, si fa presto ad indicare, passando in rapida rassegna il dettato dell’art. 380 c.p.p., per verificare quali siano alcuni dei delitti rispetto ai quali la documentazione informatica acquisita non costituirebbe più prova in altri procedimenti:

- art. 256 c.p. (procacciamento di notizie segrete concernenti la sicurezza dello Stato)

- art. 314 c.p.: peculato, anche se aggravato dalla finalità di agevolazione di organizzazioni mafiose o commesso avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- artt. 316-bis e 316-ter c.p., delitti di malversazione di erogazioni pubbliche e indebita percezione di erogazioni pubbliche, disposizioni queste che sanzionano condotte di chi rispettivamente destini risorse pubbliche per finalità diverse per le quali sono state erogate e di chi riceva contributi, sovvenzioni, finanziamenti dallo Stato presentando documenti falsi o atti equipollenti, anche se aggravati dalla finalità di agevolazione di organizzazioni mafiose o commessi avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 318, 319, 319-ter, corruzione, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 321 c.p., corruzione in atti giudiziari, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose (eccettuato il caso, assai raro, di fatto da cui deriva una ingiusta condanna superiore ad anni cinque di reclusione);

- art. 326 c.p.: rivelazione di segreto di ufficio, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- artt. 353 e 353-bis c.p., in tema di turbata libertà degli incanti e turbata libertà di scelta del contraente, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 356 c.p., frode nelle pubbliche forniture, anche aggravata dalla finalità agevolatrice di mafia o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- artt. 378 e 379 c.p., delitti di favoreggiamento personale o reale, anche se aggravati dalla finalità di agevolazione di organizzazioni mafiose o commessi avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 386 c.p., procurata evasione, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 390 c.p., procurata inosservanza di pena, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 391-ter c.p., introduzione indebita di cellulari e altri dispositivi idonei a effettuare comunicazioni in istituti penitenziari, anche aggravato dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 415-bis c.p., rivolta all’interno di un istituto penitenziario, anche aggravata dalla finalità di agevolazione di organizzazioni mafiose o commessa avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 416 c.p., direzione, organizzazione e partecipazione ad associazioni per delinquere, anche se aggravate dalla finalità di agevolazione di organizzazioni mafiose o avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 416, comma 6, c.p., direzione, organizzazione e partecipazione ad associazioni per delinquere finalizzate alla commissione di reati in materia di immigrazione illegale, salvo che il reato non sia aggravato dalla finalità di reclutare persone da destinare alla prostituzione o comunque allo sfruttamento sessuale o lavorativo ovvero riguardi l’ingresso di minori da impiegare in attività illecite al fine di favorirne lo sfruttamento ovvero dalla finalità di trame profitto, anche indiretto;

- art. 416 c.p., direzione, organizzazione e partecipazione ad associazione per delinquere finalizzata alla commissione di reati in materia di contraffazione di marchi, segni distintivi, brevetti, modelli e disegni nonché di introduzione nello Stato e commercio di prodotti con segni falsi, anche se aggravate dalla finalità di agevolazione di organizzazioni mafiose o avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 416 c.p., partecipazione ad associazione criminosa diretta a commettere reati di sfruttamento sessuale di minori, compresa la violenza sessuale ai danni di minori degli anni diciotto;

- art. 452-quaterdecies c.p., attività organizzate per il traffico illecito di rifiuti, anche se si tratta di rifiuti ad alta radioattività e se aggravate dalla finalità di agevolazione di organizzazioni mafiose o commesse avvalendosi delle condizioni di cui all’art. 416-bis c.p.

- art. 517-quater c.p., contraffazione di indicazioni geografiche o denominazione di origine dei prodotti agroalimentari, anche se aggravata dalla finalità di agevolazione di organizzazioni mafiose;

- art. 600-quater c.p., detenzione di materiale pedopornografico;

- art. 612-ter c.p., diffusione illecita di immagini o video sessualmente espliciti (c.d. revenge porn);

- art. 615-ter c.p., accesso abusivo ad un sistema informatico o telematico, anche se commesso da pubblico ufficiale o da incaricato di pubblico servizio o quando dal fatto derivi la distruzione o il danneggiamento dei sistemi, anche se di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico;

- artt. 648-ter e 648-ter c.p., delitti di riciclaggio e di impiego in attività economiche e finanziarie di beni e altre utilità provenienti da delitto;

- delitti di detenzione e porto di un’arma comune da sparo, anche se aggravati dalla finalità di agevolazione di organizzazioni mafiose o avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- art. 86 d.lgs. 26 aprile 2024, n. 141, direzione, organizzazione e partecipazione ad associazione per delinquere finalizzata al contrabbando di tabacchi lavorati esteri, anche se aggravate dalla finalità di agevolazione di organizzazioni mafiose o avvalendosi delle condizioni di cui all’art. 416-bis c.p.;

- tutti gli altri numerosi delitti che, se pur commessi con finalità di agevolazione mafiosa ovvero avvalendosi delle condizioni di cui all’art. 416-bis c.p., non abbiano soglie edittali tali da rientrare nel novero di quelli suscettibili di arresto obbligatorio in flagranza.

Tali indicative esemplificazioni offrono misura visibile del sacrificio delle istanze di contrasto dei fenomeni criminali ai quali si riferiscono.

Naturalmente, si tratta di materia tipicamente affidata alla responsabilità politica propria dell’attività legislativa, ma della quale appare doveroso far risaltare gli effettivi contorni più chiaramente di quanto riesca a rendere la tecnica del rinvio alla disposizione che regola l’utilizzabilità delle intercettazioni in altri procedimenti mediante ulteriore rinvio alla disciplina dei casi di arresto obbligatorio nella flagranza del reato.

È appena il caso di sottolineare che anche le medesime limitazioni alla circolazione della prova acquisita mediante intercettazioni di così gravi delitti o, per lo meno, in ogni caso, di quelli commessi al fine di agevolare le associazioni mafiose o avvalendosi delle condizioni di cui all’art. 416-bis c.p. introdotte nella conversione del d.l. 90/2023 meriterebbero nuova e più attenta considerazione, per il loro disastroso impatto sulla sorte delle indagini in materia di criminalità organizzata.

Ma è del tutto evidente che la riproduzione di quelle medesime limitazioni all’acquisizione dei dati digitali contenuti in dispositivi e sistemi informatici e telematici appare destinata ad ingigantirne la portata paralizzante delle investigazioni, anche in materia di criminalità organizzata, che la realtà impone invece di proiettare verso le strutture e le attività criminali che ormai trovano nello spazio virtuale la loro ordinaria dimensione, a partire da quelle che si nutrono di criptovalute o ormai si svolgono nel metaverso.

Si tenga in considerazione il dato per cui l’art. 270 c.p.p. è una disposizione dettata a tutela delle garanzie di cui all’art. 15 Cost. (cfr. Corte costituzionale, sentenza n. 63 del 1994).

In altri termini, vi è una precisa necessità, di rilievo costituzionale, secondo la quale il decreto del giudice non deve divenire una sorta di autorizzazione in bianco, in forza della quale i risultati delle intercettazioni possano circolare liberamente al di fuori del recinto processuale in cui essi sono stati acquisiti.

Ma questa esigenza non pare riconoscibile nel caso in esame, nel quale la prova acquisita è costituita da documenti informatici, che vengono appresi in un’unica soluzione, nel rispetto di principi di pertinenza e di proporzionalità.

Un’acquisizione che, secondo il nuovo statuto processuale, è ben più articolata rispetto alle stesse attività in materia di intercettazione, atteso che sono previsti fino a tre diversi decreti dell’autorità giudiziaria, tutti ancorati alla necessità di scrutinio della sussistenza di rigorosi presupposti.

La scelta prefigurata attraverso l’espresso richiamo all’art. 270 del codice di rito non sembra giustificata. Certamente non lo è nella dimensione accolta nel testo approvato dal Senato.

In primo luogo, il richiamo alla citata disposizione pare esteso sia ai contenuti di natura comunicativa che a quelli di natura non comunicativa, rinvenuti nei dispositivi sequestrati.

Ma soltanto, i primi possono essere latamente assimilabili ai contenuti di una captazione; i secondi vanno comunque equiparati a meri documenti digitali.

Non è dato comprendere la ragione per la quale le esigenze di tutela della riservatezza delle comunicazioni debbano meccanicamente estendersi a un ambito del tutto avulso dal concetto di comunicazione.

In secondo luogo, attesa l’applicabilità dell’intero complesso normativo non solo agli smartphone, ma a qualsiasi dispositivo o sistema telematico caduto in sequestro, ne consegue che, rispetto, ad esempio, a un server, che ha l’ordinaria funzione di acquisire e trasmettere dati, qualsiasi elemento informatico in esso contenuto subirebbe lo stesso limitato regime di utilizzazione, producendo un effetto assolutamente abnorme.

Peraltro, che tale sistema di ridotta circolazione sia esorbitante anche rispetto agli obiettivi di tutela che il legislatore intende perseguire con questa riforma lo si desume dal raffronto con la recente disciplina della acquisizione dei dati del traffico telefonico.

Si rammenti in proposito che la Corte costituzionale (sentenza n. 170/2023) ha evidenziato la natura comunicativa dei cd. tabulati, affermando come “non possa ravvisarsi una differenza ontologica tra il contenuto di una conversazione o di una comunicazione e il documento che rivela i dati estrinseci di queste, quale il tabulato telefonico…”. E tuttavia, la recente modifica del regime di acquisizione dei tabulati telefonici, pur prevedendo l’intervento del giudice, come intende fare oggi il legislatore, non ha in alcun modo limitato l’utilizzazione probatoria dei risultati acquisiti ai sensi dell’art. 270 c.p.p.

Non vi è dubbio che il raffronto tra le due discipline rende evidente la irragionevolezza delle limitazioni di natura investigativa che si intendono introdurre oggi, attraverso il disegno di legge in esame.

Si rischia, all’evidenza, un pericoloso arretramento dell’azione di contrasto della criminalità mafiosa, in sostanziale spregio dell’impegno, asseritamente da tutti inteso come prioritario e inderogabile, a non indebolire gli strumenti investigativi utilizzabili per arginare la pericolosità di gruppi criminali che hanno ormai nello spazio virtuale il loro fondamentale cardine organizzativo.

In ogni caso, quand’anche si volesse mantenere la limitazione alla circolazione dei dati acquisiti in altri procedimenti al fine di non depotenziare il contrasto alla criminalità organizzata e alle minacce di natura cibernetica, sarebbe necessario prevedere che detto divieto di utilizzo non si applichi per tutti i reati di cui all’art. 51, comma 3-bis e 3-quater, c.p.p. e a quelli previsti nell’art. 371-bis, comma 4-bis, c.p.p.

In modo del tutto omogeneo con quanto già previsto in altra parte dell’articolato (art 254-ter, comma 10, c.p.p.), dove ci si è premurati di porre una apposita deroga processuale anche per i reati anzidetti, altrimenti svuotata di gran parte del suo reale valore.

Le considerazioni fin qui svolte non esauriscono i profili di criticità dei contenuti del disegno di legge, dovendo riservarsi le ultime osservazioni agli aspetti di maggiore ed ingiustificato appesantimento procedurale.

Il testo della novella prevede altresì che “Nel corso delle indagini preliminari, il giudice per le indagini preliminari, a richiesta del pubblico ministero, dispone con decreto motivato il sequestro di dispositivi e sistemi informatici o telematici o di memorie digitali, necessari per la prosecuzione delle indagini in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta, nel rispetto del criterio di proporzione. Il decreto che dispone il sequestro è immediatamente trasmesso, a cura della cancelleria, al pubblico ministero, che ne cura l’esecuzione.”

Appare, invero, assai discutibile la delimitazione delle condizioni del sequestro dei dispostivi o sistemi informatici necessari per la prosecuzione delle indagini attraverso la formula “in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta”.

Quid iuris, infatti, qualora il sequestro sia necessario non tanto per individuare le circostanze e di tempo e di luogo del fatto o per definire le modalità della condotta criminosa, ma per identificare gli autori del fatto?

Si pensi al caso in cui dall’utilizzo di videoriprese sia possibile definire, in termini di certezza assoluta, le circostanze di tempo e di luogo del fatto reato per cui si procede (ad esempio una rapina) e le modalità della condotta criminosa (due persone armate e travisate), ma non sia possibile identificare gli autori del fatto e questa identificazione necessiti anche dell’acquisizione di un device che possa contenere elementi utili per l’identificazione (videoriprese di sopralluoghi sui luoghi effettuati nei giorni precedenti).

L’identificazione degli autori non sembra possa ricomprendersi nel concetto di modalità della condotta, se non attraverso un’applicazione analogica della norma, come tale contrastante con il principio secondo il quale disposizioni eccezionali non possano essere applicate oltre i casi e i modi previsti dalla legge.

Ed ancora: se si vuole verificare se i soggetti indiziati di una determinata rapina ne abbiano commesse altre, il sequestro non sarebbe parimenti possibile, poiché non sono individuate le circostanze di tempo e di luogo dei fatti che radicano l’esigenza di proseguire le indagini.

Parimenti per identificare i fornitori di un ingente carico di stupefacenti ovvero gli autori di reati informatici, laddove siano già acclarate le modalità fattuali, i tempi e luoghi della attività criminosa.

Qualora il fatto sia esattamente ricostruito nella sua dinamica spazio/temporale e siano stati identificati gli autori, inoltre, può certamente accadere che il sequestro del dispositivo rivesta una indubbia utilità per rafforzare la piattaforma indiziaria acquisita a carico degli indagati.

In questo caso come conciliare le finalità di rafforzamento indiziario con le strettoie della disciplina normativa?

Proprio al fine di evitare queste difficolta, il legislatore del 1988, disciplinando all’art. 267 c.p.p. i presupposti a fronte dei quali è possibile autorizzare operazioni di intercettazione telefonica ed ambientale, ha stabilito che le stesse siano possibili qualora assolutamente indispensabili (o quantomeno necessarie per i reati ricompresi nell’art. 13 d.l. 152/1991) ai fini della prosecuzione delle indagini, senza ulteriori limitazioni.

In altre parole, per le intercettazioni, strumento questo ben più invasivo del sequestro di apparecchi informatici, la legge si limita a prevedere il requisito della assoluta indispensabilità ai fini della prosecuzione delle indagini, che, se da un lato, appare più rigoroso in termini generali (assoluta indispensabilità ai fini della prosecuzione delle indagini, rispetto a necessità per la prosecuzione delle indagini), dall’altro, però non indica in maniera espressa quali siano le esigenze che il mezzo di ricerca della prova mira a soddisfare.

Si segnala, pertanto, l’opportunità di eliminare dalla proposta di formulazione dell’art. 254-ter, comma 1, c.p.p. la dizione “in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta”, sostituendola con quella: necessari per la prosecuzione delle indagini,

Appare, infine, doveroso rimarcare ulteriori aspetti critici.

Il dovere di assicurare il preventivo contraddittorio nella formazione della copia forense (art 254-ter, comma 6, c.p.p.) può risultare potenzialmente foriero di indebita dilatazione dei tempi di trattazione dei procedimenti e di aggravio di adempimenti, dovendosi notificare alle parti la data e l’ora del conferimento di incarico.

Ulteriori difficoltà operative il sequestro incontrerebbe allorquando debba essere effettuato in esecuzione di domande di assistenza internazionale, atteso che le notifiche dovrebbero essere fatte anche all’estero, previa traduzione degli avvisi nella lingua conosciuta dai soggetti cui devono essere notificati gli stessi. Non vi è dubbio che il rispetto di questa macchinosa procedura potrebbe creare non pochi ostacoli alla tempestiva risposta alla richiesta di assistenza formulata dalla autorità estera.

In particolare, al sesto comma dell’art. 254-ter c.p.p. si prevede, inoltre, che, entro 5 giorni dal deposito del verbale di sequestro, abbia inizio la procedura di formazione della duplicazione del contenuto del materiale informatico sequestrato attraverso la creazione di una copia immodificabile.

Giova, ai fini critici che si intende rassegnare, descrivere la scansione essenziale della relativa procedura:

a) avviso alle persone sottoposte a indagini, ai soggetti ai quali sono stati sequestrati i supporti, a quelli che avrebbero diritto alla restituzione e alle persone offese del giorno, delle modalità di conferimento dell’incarico di consulenza tecnica, mutuando dalla disciplina dell’art. 360 c.p.p.;

b) possibilità di duplicare anche dati, informazioni e programmi accessibili da remoto dal dispositivo in sequestro;

c) facoltà per le parti di nominare propri consulenti, di partecipare allo svolgimento delle operazioni e di formulare osservazioni e riserve;

d) restituzione dei supporti all’esito della formazione della copia forense, salvo che il sequestro sia stato disposto a fini preventivi.

Il disegno di legge opportunamente prevede delle deroghe alle disposizioni dettate dai commi 6, 7 e 8, laddove si proceda in relazione ai delitti previsti dagli artt. 406, comma 5-bis, c.p. e 371-bis, comma 4-bis c.p.p., ovvero quando ci sia il pericolo per vita o l’incolumità di una persona, per la sicurezza dello Stato, ovvero pericolo di concreto pregiudizio per le indagini in corso, o un pericolo attuale di cancellazione dei dati o delle informazioni.

In sostanza, negli anzidetti casi non è previsto il contraddittorio sulle modalità di duplicazione dei supporti, salva ovviamente l’osservanza di cautele per garantire che la copia formata sia conforme all’originale e sia ovviamente immodificabile.

Nonostante la clausola semplificatrice prima richiamata, l’impianto procedurale prefigurato appare oltremodo macchinoso e pregiudizievole per l’efficacia delle indagini.

Si pensi alla difficoltà ed alle lungaggini che derivano dalla necessità di procedere alla comunicazione dell’avviso di fissazione del conferimento dell’incarico di duplicazione, qualora il procedimento risulti iscritto a carico di numerosi indagati, alcuni dei quali magari residenti all’estero (si pensi, a meso titolo di esempio, ad articolati procedimenti penali in tema di criminalità economica transazionale, o in materia di riciclaggio transazionale o ancora di immigrazione clandestina), procedura che determina una inevitabile dilatazione dei tempi, difficilmente compatibile con i rigorosi termini delle indagini preliminari.

O ancora ai procedimenti penali con una pluralità di persone offese (ad esempio truffe a danno di un numero elevato di persone), alle quali è necessario dare avviso della data di fissazione del conferimento dell’incarico.

A fronte di queste ipotesi, tutt’altro che remote, la deroga prevista dall’art. 254-ter, comma 10, appare difficilmente applicabile, con il concreto rischio che le procedure di comunicazione dell’avviso consumino totalmente i termini di indagine preliminare.

Si tenga conto che la procedura proposta nella novella legislativa è parzialmente sovrapponibile a quella prevista dall’art. 360 c.p.p.

Bisogna però ricordare che la procedura ex art. 360 c.p.p. costituisce una eccezione alla procedura ordinaria di accertamento tecnico, cioè quella disciplinata dall’art. 359 c.p.p., come tale applicabile solo in caso in cui l’accertamento “riguardi persone, cose o luoghi il cui stato è soggetto a modificazione”.

Non si comprende, in altre parole, perché a fronte di un accertamento tecnico, la duplicazione forense del contenuto del device, che attiene ad un oggetto che non presenta alcun rischio di modificazione (il dispositivo, infatti, è sotto sequestro e, qualora ricorra il rischio di sua modificazione o cancellazione, è possibile optare per la procedura semplificata ex comma 10) si debba seguire una procedura articolata, complessa, complicata e del tutto contraria alle naturali esigenze di speditezza investigativa.

Se la garanzia per tutte le parti processuali è costituita da quanto previsto dal successivo comma 9, a norma del quale “La duplicazione avviene su adeguati supporti informatici mediante una procedura che assicuri la conformità del duplicato all’originale e la sua immodificabilità” allora è difficile comprendere i motivi che inducono il legislatore a fare ricorso per la mera duplicazione forense (che si ricorda è solo un procedimento tecnico) ad una procedura complicata e che non fornisce garanzie di sicurezza maggiori rispetto a quella ordinaria.

Si rammenti che la formazione della cd. copia forense è considerata dalla Corte di cassazione una procedura che non richiede il contraddittorio anticipato.

Questo perché si tratta di attività meccaniche, che non richiedono alcuna complessa elaborazione intellettuale da parte dell’ausiliario del PM (cfr. Cass., Sez. II, 07/02/2023, n. 17984).

In conclusione, una procedura come quella prefigurata è destinata a creare un notevole e inutile appesantimento delle attività investigative, senza correlativo, reale rafforzamento delle garanzie.

Infine, va segnalato che il comma 12 dell’art. 1 del disegno di legge, nel regolare le attività consequenziali alla formazione della copia forense, detta prescrizioni che destano non poche perplessità.

Come detto, il sequestro informatico viene autorizzato dal GIP con decreto motivato, in relazione alla necessità di proseguire le indagini in relazione a circostanze di tempo e di luogo del fatto e alle modalità della condotta, nel rispetto del principio di proporzionalità.

Quindi, l’acquisizione del “contenitore” informatico presuppone un controllo giurisdizionale che, oltre a vagliare la ricorrenza del fumus del reato, deve altresì scrutinare le esigenze investigative poste a fondamento della mozione del pubblico ministero.

Se questo è il quadro, non appare comprensibile la esigenza che il PM emetta un provvedimento di sequestro, all’esito delle analisi del materiale informatico, su quelle informazioni, dati e programmi strettamente pertinenti al reato in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta, nel rispetto del principio di proporzionalità.

L’irragionevolezza di ciò si può cogliere se si correla quella previsione sia con la disciplina generale dei sequestri che con quella delle intercettazioni.

Infatti, laddove il pubblico ministero emetta un decreto di perquisizione e contestuale sequestro di quanto eventualmente rinvenuto, non è dato sapere a monte che cosa nello specifico verrà reperito nella disponibilità del soggetto attinto dal mezzo di ricerca della prova.

Però, una volta eseguito il provvedimento e reperito materiale pertinente con il provvedimento, non è necessario un nuovo decreto.

Si pensi al caso di una indagine nei confronti di un indiziato di pedofilia:

a) se il PM dispone perquisizione e sequestro, nel caso di reperimento di foto e altra documentazione fisica (bigliettini, lettere, manoscritti) che dimostrino il tema di accusa, non deve procedere a nuovo sequestro;

b) se il PM chiede al GIP la emissione di un sequestro informatico e vengono trovate le stesse foto, gli stessi bigliettini, lettere e manoscritti nella memoria del telefono (poiché esse erano state scansite ovvero fotografate e poi conservate nell’archivio del supporto), deve procedere a un nuovo sequestro, peraltro con presupposti non previsti per il sequestro fisico (stretta pertinenza con il reato, in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta, nel rispetto dei criteri di proporzionalità e necessità).

Vi è poi un’altra considerazione.

Si è detto che il sequestro informatico presuppone uno scrutinio giurisdizionale in punto di fumus e di esigenze investigative.

Alla stessa stregua, mutatis mutandis, del regime delle intercettazioni, nel quale il mezzo di ricerca della prova presuppone un vaglio del giudice che procede.

Ebbene, nel caso delle intercettazioni, all’esito delle analisi effettuate dalla polizia giudiziaria, non viene emesso alcun provvedimento di sequestro del materiale pertinente al tema di prova (le tracce audio, video e telematiche rilevanti).

Semplicemente, il PM utilizza quel materiale a fini cautelari e, al momento antecedente all’esercizio dell’azione penale (avviso 415-bis c.p.p.; richiesta di giudizio immediato), deposita un elenco di tracce informatiche rilevanti, acquisendo dall’archivio riservato, atti giudiziari (decreto intercettivi e mozioni) e di polizia giudiziaria (annotazioni e informative), che afferiscano le tracce telematiche di cui all’elenco.

Tutto ciò, senza fare alcun provvedimento di sequestro.

Peraltro, il giudizio di rilevanza delle tracce intercettive non prevede alcuna stretta pertinenza al reato in relazione “alle circostanze di tempo e di luogo del fatto e alle modalità della condotta, nel rispetto dei criteri di necessità e proporzione”.

È sufficiente che vi sia un legame funzionale tra il materiale intercettivo e il reato per cui si procede, evitando inutili moltiplicazioni di adempimenti formali privi di reale idoneità a porsi a presidio dei diritti delle persone coinvolte nelle indagini,

Infine, qualche riflessione merita il riferimento ai presupposti in base ai quali il giudice può disporre il sequestro di dati inerenti a comunicazioni, conversazioni o a corrispondenza informatica inviata o ricevuta, presupposti che secondo la norma sono i seguenti;

- stretta pertinenza al reato in relazione alle circostanze di tempo e di luogo del fatto e alle modalità della condotta.

- limiti di ammissibilità di attività di intercettazione (art. 266 c.p.p.);

- presupposti dell’attività di intercettazione (art. 267, comma 1, c.p.p.).

Ne deriva che tutti gli elementi comunicativi rinvenuti all’interno di device sequestrato non potranno essere utilizzati qualora:

- attengano a fatti reato per cui non è ammissibile l’attività di intercettazione telefonica/ambientale;

- oppure, anche se relativi a fatti reato per cui è possibile l’attività di intercettazione, non sussistano gravi indizi della commissione del reato per cui si procede e l’acquisizione non sia assolutamente indispensabile alla prosecuzione delle indagini (salva la diversa disciplina prevista per i procedimenti per cui è applicabile l’art. 13 DL 152/91).

La conseguenza è del tutto evidente.

Per certe tipologie di reati per i quali non sussistono i limiti edittali di pena previsti dall’art. 266, comma 1 c.p.p., (pena della reclusione superiore nel massimo a cinque anni, salvo alcune limitate deroghe) si rischia di creare una sorta di inespugnabile cassaforte , al cui interno collocare dati cd. comunicativi che non potranno mai essere acquisiti in quanto relativi a reati puniti con la semplice pena dell’ammenda, della multa, dell’arresto o, infine, della reclusione, inferiore o corrispondente nel massimo a cinque anni.

Gli esempi sono molteplici e tutti facilmente declinabili.

Si pensi, ad esempio, a tutte le fattispecie di reati che così profondamente agitano la nostra sensibilità e incidono sulle nostre comunicazioni sociali, tra cui tutte le fattispecie di truffa, magari ai danni di persone fragili, (art. 640, comma 2, c.p.) o ai reati di accesso abusivo ai sistemi informatici (art. 615 ter, comma 1, c.p.) e frode informatica (anche nella fattispecie aggravata di cui all’art. 640 ter, comma 2, c.p.), oppure alla maggior parte dei reati tributari posti a presidio di primari interessi economici dello Stato (artt. 3, 4 e 5 d.lgs.. 74/2000); ed ancora a tutti i reati societari (2621 c.c. e seguenti), ai reati colposi tra cui il disastro colposo), ai reati posti a tutela del delicato lavoro svolte delle forze dell’ordine (art. 336 e 337 c.p.) per finire al reato che tutela le nostre frontiere, quello di favoreggiamento dell’immigrazione clandestina (art. 12, comma 5 e 5-bis, d.lvo 286/98). Ma gli esempi potrebbero continuare all’infinito.

Così come infinite appaiono le possibilità che una riforma di questa portata, nei limiti descritti, possa, al di là di ogni lodevole intenzione, determinare l’apertura di pericolosi spazi di sostanziale impunità di gravi fenomeni criminali.

Una conclusione tanto amara quanto realistica, in mancanza di necessarie correzioni.

Appalti pubblici e cybersicurezza. La disciplina speciale dell’acquisto di beni e servizi informatici nei settori sensibili dopo il DPCM 30 aprile 2025

di Simone Francario

Sommario: 1. Introduzione; 2. La disciplina generale codicistica sugli appalti pubblici dei beni e servizi informatici; 3. La disciplina speciale dettata dal DPCM 30 aprile 2025; 3.1 La collocazione degli appalti pubblici di beni e servizi informatici, disciplinati dal DPCM 30 aprile 2025, nell’ambito della sistematica della disciplina codicistica; 3.2 La partecipazione degli operatori economici extra-UE agli appalti pubblici di beni e servizi informatici disciplinati dal DPCM 30 aprile 2025, con particolare riferimento ai casi di tutela della sicurezza nazionale; 4. Osservazioni conclusive

1. Introduzione

Lo scorso 5 maggio 2025 è stato pubblicato in Gazzetta Ufficiale il DPCM 30 aprile 2025 recante “Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale”, il quale introduce una disciplina specifica per l’acquisto, da parte della p.a., di beni e servizi informatici essenziali in settori sensibili, prevedendo importanti misure di cybersicurezza[i].

Si tratta, in particolare, di contratti pubblici aventi ad oggetto tecnologie critiche -come infrastrutture di rete, software di sicurezza, sistemi di videosorveglianza e gestione dell’accesso, piattaforme cloud e storage, strumenti di identificazione e comunicazione- destinati ad essere utilizzati in ambiti di primaria rilevanza per la vita e la sicurezza dello Stato e delle sue articolazioni.

Tale intervento si colloca all’interno di un più ampio disegno istituzionale volto al rafforzamento della resilienza cibernetica dello Stato[ii].

Negli ultimi anni, infatti, non solo a livello nazionale, ma anche a livello europeo[iii] e globale, si è progressivamente affermata la consapevolezza che la sicurezza nazionale non può più essere garantita esclusivamente con strumenti di difesa tradizionali, ma richiede anche un controllo attivo e consapevole degli strumenti tecnologici utilizzati dalla p.a.

Nell’ordinamento italiano, ad esempio, la creazione dell’Agenzia per la Cybersicurezza Nazionale (ACN)[iv], l’adozione della Strategia nazionale di cybersicurezza[v] 2022-2026, le misure normative in tema di Perimetro di sicurezza nazionale cibernetica (PSNC)[vi] e la recente legge in materia di rafforzamento della cybersicurezza nazionale e dei reati informatici (di cui alla legge 28 giugno 2024, n. 90) rappresentano le tappe principali di questo percorso.

In tale contesto, gli appalti pubblici di beni e servizi informatici nei settori “sensibili”, qualificati tali per la presenza di interessi nazionali strategici e per esigenze di difesa nazionale, assumono un’importanza cruciale e una particolare complessità che portano ad elevare la sicurezza cibernetica dello Stato al rango di un vero e proprio principio generale[vii] che, nella materia specifica, affianca i principi della par condicio e della massima partecipazione, che tradizionalmente governano le procedure di scelta del contraente.

Il DPCM 30 aprile 2025, emanato in attuazione dell’art. 14 della legge 28 giugno 2024 n. 90, come si vedrà meglio nel proseguo, si muove esattamente su questa linea: esso mira ad assicurare che alcuni beni e servizi informatici (di natura “essenziale” o “critica”), quando vengono acquistati dalla p.a. per essere utilizzati nei suddetti settori “sensibili” (qualificati tali per la presenza di interessi nazionali strategici e per esigenze di difesa nazionale), siano intrinsecamente sicuri e provengano da soggetti potenzialmente non ostili.

A tal fine, il citato DPCM, introduce per l’acquisto di tali tecnologie requisiti di sicurezza stringenti sia sotto il profilo tecnico, imponendo il rispetto di alti livelli di cybersicurezza, sia sotto il profilo soggettivo, garantendo che l’operatore economico, qualora appartenente a Stati extra-UE, provenga da Paesi ritenuti “affidabili” sulla scorta di considerazioni geopolitiche.

L’obiettivo, evidentemente, è duplice: da un lato, prevenire l’introduzione di vulnerabilità informatiche in settori pubblici altamente sensibili; dall’altro, evitare che fornitori sotto l’influenza di potenze estere non alleate accedano a dati sensibili dell’apparato statale.

Trattandosi pur sempre di contratti pubblici, la disciplina dettata dal DPCM deve comunque necessariamente coordinarsi con le disposizioni del codice dei contratti pubblici, la cui applicazione, all’apparenza scontata, risulta tuttavia problematica sotto diversi profili.

Il presente articolo si propone pertanto di esaminare il DPCM al fine di fornirne l’inquadramento sistematico nell’ambito della disciplina nazionale dei contratti di appalto pubblici ponendo attenzione anche alle concrete ricadute operative.

A tal fine, dopo aver inquadrato il DPCM nella cornice del vigente codice dei contratti pubblici, l’attenzione si focalizzerà su alcuni profili problematici di immediata evidenza, ravvisabili nel rapporto con in contratti esclusi o con i contratti della difesa e nel chiarimento del regime di partecipazione a tali gare da parte degli operatori economici extra-UE.

 2. La disciplina generale codicistica per gli appalti di beni e servizi informatici

Le direttive europee sugli appalti pubblici e sui contratti di concessione (Direttive 2014/23-24-25/UE) non contengono disposizioni specifiche riferite al settore degli appalti di beni e servizi informatici e alle relative misure di cybersicurezza[viii].

Come è noto, in attuazione delle medesime direttive, il legislatore nazionale ha adottato due distinti codici. Mentre nel primo (d.lgs. 50/2016) non vi sono norme in materia di cybersicurezza, nel vigente codice dei contratti pubblici, di cui al d.lgs. 36/2023, sono state invece introdotte due disposizioni specifiche: l’art. 19, co. 5, e l’art. 108, co. 4[ix].

L’art. 19, co. 5, del d.lgs. 36/2023, allo scopo di tutelare la sicurezza cibernetica delle gare pubbliche generalmente considerate impone a tale fine una serie di obblighi in capo sia alle stazioni appaltanti, sia agli operatori economici[x].

Da un lato, la norma stabilisce che le stazioni appaltanti e gli operatori economici che prendono parte alle procedure di evidenza pubblica -che, giova ricordare, devono svolgersi in forma digitalizzata- hanno l’obbligo di adottare misure tecniche e organizzative a presidio della sicurezza informatica e della protezione dei dati personali[xi].

Dall’atro, rivolgendosi alle sole stazioni appaltanti, la norma stabilisce che queste ultime hanno l’ulteriore obbligo di assicurare e curare la formazione del personale addetto alle gare, garantendone anche il costante aggiornamento[xii].

L’altra disposizione codicistica che viene in rilievo, come anticipato, è l’art. 108, co. 4, specificamente dedicato all’acquisto di beni e servizi informatici da parte della p.a[xiii].

Nello specifico la norma prevede che, nelle procedure di evidenza pubblica aventi ad oggetto beni e servizi informatici, le stazioni appaltanti, al fine di individuare l’offerta economicamente più vantaggiosa, devono sempre tenere in considerazione gli elementi di cybersicurezza[xiv].

Ciò posto in via generale, quando l’acquisto delle predette tecnologie è connesso alla “tutela degli interessi nazionali strategici” l’amministrazione ha l’obbligo di attribuire alla componente della cybersicurezza una importanza ancora maggiore, o meglio uno “specifico e peculiare rilievo”. In tali casi, infatti, le stazioni appaltanti devono limitare il peso dell’offerta economica entro il 10% del punteggio complessivo, attribuendo quindi alla componente tecnica dell’offerta (comprensiva delle misure di cybersicurezza cui deve essere dato “specifico e peculiare rilievo”) un peso percentuale di almeno il 90% del punteggio complessivo[xv].

Le disposizioni sopra esaminate esauriscono la disciplina dettata dall’attuale codice dei contratti pubblici in materia che quindi risulta contenuta essenzialmente in due soli articoli[xvi].

Il primo (art. 19, co. 5) non si riferisce direttamente agli appalti pubblici di beni e servizi informatici ma mira a tutelare la sicurezza cibernetica delle procedure di procurement in generale.

Il secondo (art. 108, co. 4), invece, si riferisce proprio a questa particolare tipologia di contratti pubblici ed è finalizzata a garantire, in ultima analisi, che le tecnologie acquistate dalla p.a. siano “sicure” ed abbiano idonee garanzie di cybersicurezza.

L’elemento della cybersicurezza, dunque, rappresenta il nucleo centrale della disciplina già recata dal codice in materia di contratti pubblici di beni e servizi informatici, il cui acquisto non può prescindere dalla presenza di misure di sicurezza informatica, le quali dovranno essere sempre tenute in considerazione e, qualora impattino su settori connessi alla tutela di interessi nazionali strategici, dovranno essere valutate con specifico e peculiare rilievo.

Per quanto riguarda la formulazione dell’art. 108, co. 4, come visto, la norma risulta formulata in modo ampio e generico (i.e., non viene stabilito, a monte, quali sono gli elementi di cybersicurezza da tenere obbligatoriamente in considerazione oppure le modalità con cui valutare il loro impatto complessivo sull’offerta) con la conseguenza che spetterà alle singole stazioni appaltanti, nell’esercizio dei propri poteri discrezionali, il compito (assai delicato) di “tenere in considerazione” o di attribuire “specifico e peculiare rilievo” agli elementi di cybersicurezza dei prodotti o dei servizi informatici da acquistare.

Questo approccio, che lascia ampi spazi di discrezionalità alle stazioni appaltanti, da un lato, ha il pregio di valorizzare il soddisfacimento “su misura” oppure “taylor made” dei fabbisogni tecnologici del soggetto pubblico[xvii]; dall’altro, venendo a mancare standard uniformi -seppur minimi- di cybersicurezza risulta problematico sia perché rischia di non assicurare il medesimo livello di protezione alle diverse amministrazioni, sia perché lascia margini interpretativi per la definizione degli “interessi nazionali strategici” che farebbe scattare obblighi più stringenti sul versante della cybersicurezza, con conseguente mancanza di uniformità. 

3. La disciplina speciale dettata dal DPCM 30 aprile 2025

Il recente DPCM 30 aprile 2025, come anticipato, si inserisce da ultimo nell’ambito della strategia nazionale di rinforzo della sicurezza cibernetica delle tecnologie utilizzate dalla p.a. e reca una disciplina specifica per alcuni appalti pubblici di beni e servizi informatici, ritenuti “cruciali” per il corretto funzionamento dello Stato e delle sue articolazioni e dunque meritevoli di una maggior tutela sul versante cibernetico e informatico.

È opportuno chiarire fin da subito che il DPCM in oggetto non si applica indistintamente a tutti gli appalti pubblici aventi ad oggetto tecnologie. Esso si applica solamente agli appalti pubblici di beni e servizi informatici impiegati in due settori specifici, ovverosia: i) in contesti connessi alla tutela di interessi nazionali strategici[xviii]; ii) in contesti connessi alla tutela della sicurezza nazionale.

Ciascun contesto di riferimento, poi, è destinatario di una specifica disciplina ad hoc che mira a garantire che le tecnologie ivi impiegate rispettino elevati standard di cybersicurezza.

In merito al primo “contesto”, relativo alla tutela di interessi nazionali strategici, il DPCM prevede, in sostanza, che le pubbliche amministrazioni[xix] e i soggetti privati inseriti nel PSNC, qualora intendano acquistare taluni beni e servizi informatici elencati nell’allegato 2 al DPCM, devono assicurarsi che tali tecnologie posseggano gli elementi essenziali di cybersicurezza indicati nell’allegato 1 al DPCM.

Il decreto in esame fa riferimento, più precisamente, a beni e servizi informatici[xx] a forte impatto sul piano cibernetico e spesso interconnessi con altre infrastrutture critiche, quali, ad esempio, software di sicurezza, apparati di rete, piattaforme di gestione dei dati, sistemi di videosorveglianza, sistemi “cloud” e di “storage”, dispositivi di autenticazione e strumenti di controllo degli accessi, la cui elencazione completa (e tassativa) è contenuta nell’allegato 2.

La natura di tali tecnologie, unitamente al loro impiego in contesti connessi alla tutela di interessi nazionali strategici rende necessaria e indispensabile la presenza di misure di cybersicurezza rafforzate.

Sotto quest’ultimo profilo il DPCM fa riferimento alla necessaria presenza di “elementi essenziali di cybersicurezza”[xxi], elencati nel dettaglio all’interno dell’allegato 1 al DPCM, i quali, in via esemplificativa, ricomprendono: la protezione da accessi non autorizzati; sistemi di autenticazione e gestione dell’identità; sistemi di protezione della riservatezza e dell’integrità di dati, personali o di altro tipo; caratteristiche tecniche e funzionali che mirano a prevenire vulnerabilità informatiche; la disponibilità di aggiornamenti di sicurezza tempestivi e certificati.

Anche se sul punto il DPCM è silente, la presenza dei citati “elementi essenziali di cybersicurezza” costituisce un primo filtro selettivo per la ricerca della contraente privato per la pubblica amministrazione, introducendo, più che una modalità di valutazione delle offerte, una condizione di ammissibilità delle medesime. Il DPCM, infatti, non stabilisce che i requisiti di cybersicurezza costituiscano elementi premiali, ma al contrario impone che le tecnologie che la pubblica amministrazione intenda acquistare debbano necessariamente e inderogabilmente possedere specifici requisiti tecnici. 

In sede di gara, dunque, alla luce della normativa appena esaminata, deve ritenersi che possano essere valutate esclusivamente le offerte che dimostrino la piena conformità agli standard di cybersicurezza previsti. Ne consegue, a contrario, che un’offerta anche economicamente più vantaggiosa rispetto alle altre, ma che difetti dei richiamati requisiti di cybersicurezza, debba essere dichiarata inammissibile in quanto non strutturalmente conforme alla disciplina speciale di settore.

Per quanto riguarda il secondo ambito di applicazione del DPCM 30 aprile 2025, ovverosia quello relativo agli appalti pubblici di beni e servizi informatici ove vengono in rilievo esigenze di tutela della sicurezza nazionale, la disciplina ivi contenuta presenta un approccio diverso.

In primo luogo viene delimitato con più precisione l’ambito oggettivo di applicazione della disciplina.

Ai sensi dell’art. 4, co. 1, del DPCM, è espressamente previsto che i casi in cui vengono in rilievo esigenze di tutela della sicurezza nazionale sono quelli in cui le tecnologie di cybersicurezza sono destinate ad essere impiegate dai soggetti inclusi nel PNSC[xxii] e riguardano le reti, i sistemi informativi e i servizi informatici “da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, è istituito il perimetro di sicurezza nazionale cibernetica”[xxiii], ovvero che sono funzionali alla loro protezione fisica e logica.

In tali casi si applicano criteri di premialità, in maniera paritaria ed uniforme, alle proposte o alle offerte che contemplino l’uso di tecnologie di cybersicurezza provenienti, oltre che dall’Italia, da Paesi ritenuti “affidabili” e segnatamente: da Paesi appartenenti all’Unione europea; da Paesi aderenti all’Alleanza atlantica (NATO); da Paesi terzi individuati nell’allegato 3 del DPCM[xxiv].

Emerge in modo chiaro che, nel contesto della sicurezza nazionale, più che sul profilo oggettivo della fornitura, il DPCM in esame pone l’accento in modo particolare sul profilo soggettivo dei fornitori, e in particolare sulla loro affidabilità e sicurezza desunte sulla base di considerazioni essenzialmente geopolitiche e diplomatiche.

Il DPCM, tuttavia, non specifica ulteriormente il contenuto dei sopra richiamati criteri di premialità né le loro modalità di applicazione, così come non contiene una disciplina specifica attraverso cui valutare l’affidabilità e la sicurezza dei predetti operatori economici.

In assenza di una specifica regolamentazione sul punto, dovrebbe trovare applicazione la relativa disciplina contenuta nel codice dei contratti pubblici oppure, eventualmente, la disciplina contenuta negli accordi internazionali che vengono in rilievo.

Infine, deve essere notato che l’art. 4 del DPCM 30 aprile 2025, che esaurisce la disciplina in materia di contratti pubblici di tecnologie in casi in cui vengono in rilievo esigenze di tutela della sicurezza nazionale, non specifica nel dettaglio (come lo stesso DPCM fa a in merito agli appalti pubblici di tecnologie impiegate in contesti connessi alla tutela di interessi nazionali strategici) quali sono le tecnologie coinvolte e/o i relativi requisiti di cybersicurezza, né richiama espressamente gli allegati 1 e 2. Esso si riferisce esclusivamente a “proposte” e “offerte che contemplino l’uso di tecnologie di cybersicurezza”[xxv], senza ulteriori specificazioni.

Non è quindi chiaro se, e in che misura, l’elenco dei beni e servizi contenuti nell’allegato 2, così come gli elementi essenziali di cybersicurezza contenuti nell’allegato 1 trovino applicazione anche in tale ambito. Il silenzio del legislatore su questo punto apre a diverse opzioni interpretative. Ad esempio, una interpretazione restrittiva (ma più giustificabile in punto di diritto e coerente sotto il profilo sistematico e testuale) potrebbe sostenere, senza troppo margine di errore, che in assenza di un richiamo esplicito gli allegati 1 e 2 del DPCM non si applichino in questo caso. Ne deriverebbe che le offerte “premiate” potrebbero riguardare anche tecnologie non tipizzate (non solo quelle indicate nell’allegato 2 del DPCM) e che i requisiti essenziali di cybersicurezza (indicati nell’allegato 1 del DPCM) non costituirebbero un requisito tecnico minimo dell’offerta. Si tratta, tuttavia, di una questione aperta, che potrà essere chiarita solo attraverso la prassi applicativa o eventuali interventi interpretativi del legislatore.

 3.1. La collocazione degli appalti pubblici di beni e servizi informatici, disciplinati dal DPCM 30 aprile 2025, nell'ambito della sistematica della disciplina codicistica

Una prima questione interpretativa di un certo rilievo concerne la qualificazione giuridica degli appalti pubblici disciplinati dal DPCM 30 aprile 2025. 

Considerato che tali contratti sono sottoposti ad una disciplina speciale e si riferiscono ad un ambito caratterizzato dalla presenza di interessi nazionali strategici e da esigenze di sicurezza nazionale, i primi dubbi da sciogliere impongono di chiarire se tali contratti rientrino nell’ambito dei c.d. contratti esclusi dall’ambito di applicazione del Codice dei contratti pubblici oppure se restino comunque all’interno del perimetro codicistico attratti nell’ambito della disciplina speciale dettata per gli appalti della difesa; ovvero se rientrino nella disciplina generale del codice pur se con le specialità recate dal DPCM.

Come è noto, il Codice contempla anche la categoria dei contratti c.d. esclusi, per tali intendendosi i contratti pubblici che, per espressa previsione legislativa, sono sottratti, in tutto o in parte, dall’ambito di applicazione del codice dei contratti pubblici[xxvi].

La ratio alla base di tale esclusione, è altrettanto noto, si rinviene nella peculiare ed eterogenea natura degli interessi e delle ragioni sottese alla loro aggiudicazione, quali, ad esempio, il carattere intuitu personae del contratto, motivi di riservatezza o segretezza, la dimensione internazionale del mercato nonché il rispetto di delicati equilibri politico-diplomatici.

La rilevanza di tali interessi può giustificare che la disciplina di tali contratti sia demandata a fonti normative autonome e settoriali, estranee al codice.

Come si è visto nei paragrafi che precedono, gli appalti pubblici di beni e servizi informatici regolati dal DPCM 30 aprile 2025 presentano effettivamente molte di queste caratteristiche: sono caratterizzati dalla presenza di rilevanti e sensibili interessi nazionali, si rivolgono ad una platea internazionale, coinvolgono delicate considerazioni di carattere politico-diplomatico e sono soggetti ad una disciplina specifica dettata ad hoc dallo stesso DPCM.

La compresenza di tutti questi elementi e considerazione potrebbe indurre a collocare tali contratti al di fuori della disciplina codicistica.

Tuttavia, né il codice dei contratti pubblici, né le direttive comunitarie cui esso dà attuazione, né il DPCM 30 aprile 2025, prevedono, espressamente o implicitamente, che tali contratti rientrino nell’ambito dei contratti esclusi e che debbano essere conseguentemente assoggettati ad una diversa disciplina extracodicistica.

Non potendosi prescindere da una espressa indicazione legislativa in tal senso, è quindi evidente che i contratti pubblici regolati dal DPCM in esame, sebbene posseggano spiccati elementi di specialità, rientrano nel perimetro della disciplina codicistica la cui inclusione, tra l’altro, è del tutto coerente con la disciplina speciale recata dallo stesso DPCM che non introduce, ad esempio, diverse modalità o procedure di aggiudicazione, ma insiste, essenzialmente, sui requisiti tecnici minimi delle offerte e sui requisiti soggettivi premiali da attribuire ad alcuni operatori economici.

Rimanendo nell’ambito della disciplina codicistica, è poi comunque da escludere che il richiamo fatto agli interessi nazionali strategici e alle esigenze di sicurezza nazionale valga a consentire la collocazione degli appalti disciplinati dal DPCM 30 aprile 2025 nella categoria degli appalti nel settore della difesa e della sicurezza regolati dall’art. 136 del d.lgs. 36/2023.

Sia l’espresso riferimento a “interessi strategici nazionali” ed a “esigenze di sicurezza nazionale”, sia il fatto che molti beni e servizi informatici oggetto del DPCM potrebbero essere impiegati in contesti militari o “dual use”, possono originare il dubbio che tali appalti rientrino nella disciplina del citato art. 136, il quale prevede che “le disposizioni del codice si applicano ai contratti aggiudicati nei settori della difesa e della sicurezza” ad eccezione dei contratti che: a) rientrano nell’ambito di applicazione del d.lgs. 15 novembre 2011 n. 208 (recante “Disciplina dei contratti pubblici relativi ai lavori, servizi e forniture nei settori della difesa e sicurezza, in attuazione della direttiva 2009/81/CE”); b) ai quali non si applica nemmeno il d.lgs. 208/2011, in virtù dell’art. 6 del medesimo.

Tuttavia, l’ambito oggettivo del DPCM appare più ampio e generale: non riguarda necessariamente beni o servizi tecnologici progettati in modo specifico per scopi militari, né si limita a forniture destinate al Ministero della Difesa o ad altri enti del comparto difensivo. Al contrario, il decreto si rivolge alla generalità delle amministrazioni pubbliche, nonché ai soggetti privati inseriti nel PSNC.

Non pare dunque che i contratti regolati dal DPCM 30 aprile 2025 possano essere di per sé ricompresi in quelli della difesa, salvo ovviamente il caso che l’oggetto della fornitura sia costituito da beni o servizi tecnologici espressamente progettati per fini difensivi.

In linea generale la disciplina prevista dal DPCM 30 aprile 2025 non è dunque riconducibile nel perimetro degli appalti della difesa almeno fintanto che riguardi specificamente forniture di natura militare in senso stretto.

I contratti d’appalto disciplinati dal DPCM 30 aprile 2025, quindi, pur se caratterizzati dalla presenza di interessi nazionali strategici e di esigenze di difesa nazionale non sono dunque riconducibili nell’ambito dei c.d. contratti esclusi, né in quello degli appalti nei settori della difesa e sicurezza atteso che l’ambito oggettivo del DPCM è più ampio.

Alla luce delle considerazioni svolte, dunque, a livello di inquadramento sistematico, gli appalti pubblici presi in considerazione dal DPCM 30 aprile 2025 rientrano nell’ambito della disciplina generale dettata dal codice dei contratti pubblici, con la conseguenza che, in linea di principio, le procedure di aggiudicazione di tali contratti saranno disciplinate dai principi e dalle norme ordinarie contenute nel d.lgs. 36/2023. 

Si deve tuttavia considerare che il DPCM, per quanto sia una fonte secondaria, introduce elementi di specialità della disciplina con specifico riferimento all’introduzione di requisiti minimi di cybersicurezza in punto di presentazione delle offerte e di un maggior favor verso la partecipazione di operatori economici appartenenti a Paesi ritenuti sicuri sulla scorta di valutazioni diplomatiche e geopolitiche.

Non si può pertanto ignorare che sotto tale profilo le disposizioni del DPCM integrano con carattere di specialità la disciplina generalmente dettata dal codice dei contratti pubblici. Si può tuttavia ritenere che la disciplina in parte derogatoria introdotta dal DPCM si muova comunque nel rispetto del principio di legalità e della gerarchia del sistema delle fonti in quanto il decreto è stato emanato in attuazione di una specifica norma di legge, l’art. 14 della l. 90/2024, che sotto questo profilo offre idonea copertura legislativa.

3.2. La partecipazione degli operatori economici extra-UE agli appalti pubblici di beni e servizi informatici disciplinati dal DPCM 30 aprile 2025, con particolare riferimento ai casi di tutela della sicurezza nazionale

Una seconda questione interpretativa di rilievo concerne l’individuazione delle condizioni di partecipazione delle imprese stabilite in Paesi extra-UE alle gare pubbliche per l’affidamento dei contratti disciplinati dal DPCM 30 aprile 2025, soprattutto in contesti connessi alla tutela della sicurezza nazionale ove il decreto in esame introduce un chiaro favor nei confronti di alcuni Paesi che possono anche non appartenere alla UE[xxvii].

L’art. 4 del DPCM, come visto, introduce un sistema di premialità selettiva fondato sul Paese di origine delle tecnologie utilizzate nelle offerte. In base a tale disposizione, sono previsti criteri premiali per le proposte che contemplino l’uso di tecnologie di cybersicurezza provenienti da:

i) operatori economici stabiliti in Italia;

ii) operatori economici stabiliti in altri Stati membri dell’Unione europea;

iii) operatori economici stabiliti in Paesi aderenti alla NATO;

iv) operatori economici stabiliti in Paesi terzi indicati nell’allegato 3 del DPCM.

Con riguardo ai punti i) e ii) non sorgono particolari problemi di sorta: è noto che in base al codice dei contratti pubblici, tanto gli operatori economici nazionali, quanto quelli comunitari, possono partecipare alle procedure di affidamento dei contratti pubblici in condizioni di parità[xxviii].

Più problematica potrebbe risultare la partecipazione degli operatori economici appartenenti ai Paesi extra-UE richiamati dal DPCM che, nello specifico, fa riferimento a Stati Uniti e Canada (quali Paesi aderenti alla NATO e non facenti parte dell’Unione europea), nonché ad Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera (quali Paesi elencati nell’allegato 3 del DPCM).

È altrettanto noto, infatti, che la partecipazione degli operatori economici extracomunitari, al contrario di quanto avviene con gli operatori economici stabiliti nell’Unione europea, non è “automatica”: la lex specialis, infatti, potrebbe prevedere un generale divieto di partecipazione per tali operatori; potrebbe imporre condizioni di partecipazione più gravose; oppure, al ricorrere di determinate condizioni, potrebbe garantire loro la partecipazione in condizioni di parità con gli operatori nazionali e comunitari.

L’attuale codice dei contratti pubblici, all’art. 69, prevede che “se sono contemplati dagli allegati 1, 2, 4 e 5 e dalle note generali dell'appendice 1 dell'Unione europea dell’Accordo sugli Appalti Pubblici (AAP) e dagli altri accordi internazionali cui l'Unione è vincolata, le stazioni appaltanti applicano ai lavori, alle forniture, ai servizi e agli operatori economici dei Paesi terzi firmatari di tali accordi un trattamento non meno favorevole di quello concesso ai sensi del codice.”[xxix]

In altre parole, l’art. 69 del d.lgs. 36/2023 stabilisce che gli operatori economici extracomunitari possono partecipare e gareggiare in condizioni di parità con gli operatori nazionali e comunitari solamente al ricorrere di uno dei seguenti requisiti: i) l’appalto in questione rientra nell’ambito del Government Procurement Agreement (GPA; detto anche accordo internazionale sugli appalti pubblici: AAP); oppure, ii) l’appalto in questione rientra nell’ambito di un altro accordo internazionale firmato dall’Unione europea.

Il GPA[xxx], richiamato dall’art. 69 del d.lgs. 36/2023, rappresenta una delle principali fonti normative sovranazionali che disciplinano la materia dei contratti pubblici e costituisce un accordo internazionale plurilaterale stipulato all’interno della World Trade Organization (WTO)[xxxi]. Tuttavia, tale accordo non è vincolante nei confronti di tutti i membri della WTO, ma solamente nei confronti delle parti (ovverosia degli Stati) che lo hanno espressamente sottoscritto.

Ad oggi, come risulta anche dal database ufficiale della WTO, tale accordo risulta sottoscritto da 22 Paesi[xxxii] tra cui, oltre all’Unione europea e i suoi Stati membri, si rinvengono anche Australia, Canada, Israele, Giappone, Corea del Sud, Nuova Zelanda, Svizzera e Stati Uniti.

Nel delimitare l’ambito oggettivo di applicazione dell’accordo occorre fare riferimento all’articolo 2 del GPA in base al quale è previsto che: i) l’accordo non si applica indistintamente a tutti gli appalti aggiudicati dagli Stati firmatari; ii) al contrario, l’accordo si applica solamente a quegli appalti specifici che ciascuno Stato firmatario, al momento della propria adesione, inserisce nell’Appendice I del GPA (c.d. “covered procurement”).

L’Appendice I è suddivisa in più allegati ove gli Stati firmatari devono ulteriormente specificare l’ambito di applicazione oggettiva dell’accordo e, in particolare, devono indicare: i) le amministrazioni cui si applica il GPA e le relative soglie di rilevanza per l’acquisto di beni e servizi[xxxiii]; ii) i beni e i servizi ricompresi nell’ambito di applicazione del GPA[xxxiv]; iii) eventuali eccezioni all’applicazione del GPA.

Ebbene, in una gara pubblica bandita da uno dei Paesi sopra evidenziati, qualora detta gara rientri nell’ambito dei “covered procurement”, troveranno applicazione, oltre alla normativa nazionale, anche le disposizioni contenute nel GPA, tra cui, in particolare, per quanto qui interessa, l’articolo 4.

L’articolo 4 del GPA, rubricato “general principles”, costituisce una norma fondamentale dell’accordo in quanto reca i principi fondamentali che si applicano alle procedure di evidenza pubblica governate dal trattato.

Nello specifico, l’art. 4, ai commi 1 e 2[xxxv], riporta due fondamentali regole del commercio internazionale, ovverosia: la National treatment rule (c.d. Nt rule), in base alla quale l’amministrazione deve concedere agli operatori economici degli Stati firmatari del GPA un trattamento non meno favorevole di quello che lo Stato banditore riserva alle proprie imprese e ai propri beni e servizi; e la Most favoured nation rule (c.d. Mfn rule) in base alla quale l’amministrazione non deve effettuare discriminazioni tra le imprese straniere provenienti da diversi Stati firmatari del GPA.

Quanto affermato dall’articolo 4, commi 1 e 2, del GPA si riflette (anche e soprattutto) in punto di partecipazione delle imprese extracomunitarie agli appalti aggiudicati da stazioni appaltanti italiane: in questo caso, infatti, se l’appalto bandito rientra tra i “covered procurements”, allora, anche gli operatori economici extracomunitari potranno accedervi, in quanto destinatari di un trattamento non meno favorevole di quello riservato agli operatori economici nazionali.

Ricostruiti i tratti essenziali del quadro normativo di riferimento, a livello nazionale e internazionale, occorre a questo punto verificare se e in che modo i principi sopra richiamati si possano applicare agli operatori economici extra-UE, nei confronti dei quali il DPCM 30 aprile 2025 prevede l’applicazione di elementi premiali, nel caso in cui intendano partecipare agli appalti pubblici di beni e servizi informatici in settori connessi a esigenze di tutela della sicurezza nazionale.

Punto di partenza è l’art. 69 del d.lgs. 36/2023 il quale, in merito, rinvia al GPA.

In primo luogo, dunque, bisogna verificare se la commessa pubblica da aggiudicare rientri nell’ambito dei “covered procurements” del GPA, sia sotto il profilo soggettivo che sotto il profilo oggettivo.

In merito al rispetto dell’ambito soggettivo di applicazione del GPA non dovrebbero sorgere particolari problemi in quanto, si è visto, il GPA è stato sottoscritto anche da Australia, Canada, Israele, Giappone, Corea del Sud, Nuova Zelanda, Svizzera e Stati Uniti, ovverosia i Paesi ritenuti “più sicuri e affidabili” da parte del DPCM 30 aprile 2025.

Per quanto riguarda l’ambito oggettivo di applicazione del GPA, la questione non può essere risolta in via teorica in quanto occorre verificare, nel concreto, una serie di elementi fondamentali della commessa pubblica quali il valore della commessa (che deve rispettare le soglie di rilevanza indicate nell’Appendice 1), le tecnologie o i servizi richiesti (che devono coincidere con i beni e i servizi indicati nell’Appendice 1) e l’assenza di eventuali esclusioni.

Se entrambi questi profili risultano soddisfatti e l’appalto rientra nell’ambito dei “covered procurements” del GPA, allora nei confronti degli operatori economici extra-UE presi in considerazione dal DPCM 30 aprile 2025 troveranno applicazione, in punto di partecipazione alla procedura di evidenza pubblica, la Mfn rule e la Nt rule contenute nell’art. 4 del GPA, la cui applicazione, come visto, garantisce la partecipazione di tali operatori economici in condizioni di sostanziale parità con gli operatori economici nazionali ed UE.

Nel caso in cui non dovesse applicarsi il GPA e non dovessero trovare applicazione neanche eventuali altri accordi internazionali -stipulati tra gli Stati coinvolti nella predetta procedura di procurement ed aventi ad oggetto la reciproca apertura dei rispettivi mercati dei contratti pubblici- allora la partecipazione degli operatori economici extra-UE contemplati dal DPCM 30 aprile 2025 sarà rimessa alla discrezionalità delle singole stazioni appaltanti, le quali potranno decidere di vietarne la partecipazione, renderla più gravosa oppure consentirla in condizione di parità con gli operatori economici nazionali e comunitari.

4. Osservazioni conclusive  

Il DPCM 30 aprile 2025 si inserisce in una traiettoria normativa e strategica che riflette la crescente centralità degli interessi di sicurezza cibernetica nello spazio pubblico. Il provvedimento rappresenta un primo esempio concreto di disciplina attuativa in materia di appalti pubblici di tecnologie informatiche impiegate in contesti sensibili, e come tale costituisce un tassello essenziale del nuovo assetto multilivello della sicurezza tecnologica nazionale.

Come emerso dall’analisi condotta, il DPCM delinea un doppio regime: da un lato, quello relativo ai contesti connessi alla tutela degli interessi nazionali strategici, per i quali vengono specificamente individuati beni e servizi informatici soggetti a obblighi stringenti in termini di cybersicurezza e affidabilità tecnica dell’offerta; dall’altro, quello afferente alla tutela della sicurezza nazionale, che introduce meccanismi premiali selettivi basati sull’origine geografica delle tecnologie impiegate, con chiaro riferimento alla loro provenienza da Stati ritenuti affidabili in chiave geopolitica.

È stato inoltre chiarito che, sebbene gli appalti disciplinati dal DPCM in oggetto siano caratterizzati de esigenze di tutela di interessi nazionali sensibili e di tutela della difesa nazionale, ciò non vale ad assoggettare tali contratti alla disciplina dei “contratti esclusi” o dei contratti “della difesa e sicurezza” (salvo, in quest’ultimo settore, casi particolari), ragion per cui rimangono assoggettati alle norme ordinarie dettate dal codice dei contratti pubblici integrato con la disciplina speciale prevista dal DPCM grazie alla copertura legislativa contenuta nell’art. 14 della l. 90/2024.

Non mancano, tuttavia, alcuni aspetti problematici che il DPCM 30 aprile 2025 lascia irrisolti. Tra questi, l’ampia discrezionalità riconosciuta alle stazioni appaltanti nella definizione del concetto di “interessi strategici nazionali”, con il rischio di applicazioni disomogenee, e la mancata esplicita previsione, nel contesto della sicurezza nazionale, di requisiti tecnici minimi di cybersicurezza, che il DPCM sembra sostituire accontentandosi di una valutazione fondata unicamente sulla provenienza geopolitica dell’operatore economico. Lo stesso tema della partecipazione degli operatori economici extra-UE, rispetto al quale il DPCM introduce un sistema di premialità fondato su criteri geopolitici e diplomatici, rimane comunque denso di implicazioni problematiche. Tale partecipazione, alla luce dell’art. 69 del d.lgs. 36/2023 e della normativa contenuta nel GPA, può essere infatti garantita a condizione che l’appalto rientri tra i c.d. “covered procurements”. In difetto di tale copertura, la partecipazione di tali operatori economici non è preclusa a monte, ma rimarrà soggetta alla valutazione discrezionale delle stazioni appaltanti.

 

[i] Tra i primi commenti sul tema, riferiti al testo originario del DDL AC1717 e della legge 28 giugno 2024 n. 90 cui il DPCM 30 aprile 2025 dà attuazione, si vedano: L. PREVITI, La nuova legge sulla cybersicurezza, un passo avanti e due indietro, in Giornale di diritto amministrativo, I, 2025, pp. 60 e ss.; G. FIORINELLI e M. GIANNELLI (a cura di), Il DDL Cybersicurezza (AC1717). Problemi e prospettive in vista del recepimento della NIS 2, in Rivista italiana di informatica e diritto, I, 2024; L. NANNIPIERI, Cybersicurezza e appalti pubblici: verso un nuovo (e incerto) quadro regolatorio, in G. FIORINELLI e M. GIANNELLI (a cura di), Il DDL Cybersicurezza (AC1717). Problemi e prospettive in vista del recepimento della NIS 2, op. cit., pp. 19 e ss.

[ii] Sul più ampio tema della regolamentazione della sicurezza cibernetica dello Stato e delle sue articolazioni, nell’ambito di una vasta letteratura si vedano ex multis: M. MACCHIA e G. SFERRAZZO, Sicurezza e rischio tecnologico. La funzione di cybersecurity, in Diritto amministrativo, I, 2025, pp. 109 e ss.; L. MORONI, La Governance della cybersicurezza a livello interno ed europeo: un quadro intricato, in Federalismi, 2024, pp. 179 e ss.; M. A. RIZZI e F. SERINI, Una proposta di studio dei concetti di cybersicurezza e cyberresilienza in senso giuridico tra ordinamento europeo e italiano, in Rivista italiana di informatica e diritto, 2024, pp. 115 e ss.; P.G. CHIARA, DDL Cybersicurezza: tra l’inasprimento della risposta penale del legislatore nazionale e il modello preventivo-amministrativo della direttiva NIS2, in Rivista italiana di informatica e diritto, 2024, pp. 31 e ss.; S. ROSSA, Cybersicurezza e Pubblica Amministrazione, Editoriale Scientifica, Napoli, 2023; L. PREVITI, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, in Federalismi, 2022, pp. 65 e ss.; L. PREVITI, La gestione del rischio informatico nella decisione amministrativa robotica, in Rivista italiana di informatica e diritto, 2022, pp. 67 e ss.; F. SERINI, La nuova architettura di cybersicurezza nazionale: note a prima lettura del decreto-legge n. 82 del 2021, in Federalismi, 2022, pp. 241 e ss.; B. BRUNO, Cybersecurity tra legislazioni, interessi nazionali e mercato: il complesso equilibrio tra velocità, competitività e diritti individuali, in Federalismi, 2020, pp. 11 e ss.; 

[iii] Come è noto lo sviluppo e la regolamentazione della cybersicurezza in Italia si colloca, a sua volta, all’interno di una più grande strategia comunitaria volta a rinforzare e soprattutto coordinare le difese cibernetiche dei Paesi europei e dell’Unione europea.

A livello europeo, le principali tappe relative alla creazione di un quadro giuridico comune in materia di cybersicurezza sono rappresentate da: l’istituzione della European Network and Information Security Agency -ENISA- (con regolamento UE/2004/460) che costituisce l’agenzia europea destinata ad operare in materia di cybersicurezza con importanti compiti in punto di cooperazione e coordinamento dell’attività dei singoli Stati membri; la direttiva UE 2016/1148, c.d. direttiva NIS I (“Network and Information System”) la quale, oltre ad istituire il sistema di governance europea in materia, inter alia, prevede che alcuni soggetti, quali gli “operatori dei servizi essenziali” indicati dalla direttiva (OES) e i “fornitori di servizi digitali” (FSD) che offrono servizi all’interno dell’UE, debbano adottare misure tecniche e organizzative per rendere sicure le proprie reti e i sistemi informatici e più in generale debbano garantire il rispetto di alti standard di cybersicurezza; il regolamento UE 2019/881 (c.d. Cybersecurity Act) che implementa i compiti e le funzioni dell’ENISA; la direttiva UE 2022/2555, c.d. direttiva NIS II, che abroga e sostituisce la precedente NIS I, la quale potenzia e rafforza le misure già introdotte con la precedente NIS I e conferma, tra le altre cose, l’istituzione delle autorità nazionali in materia di cybersicurezza (c.d. autorità nazionali competenti NIS).

[iv] L’Agenzia per la Cybersicurezza Nazionale è stata istituita con d.l. 14 giugno 2021, n. 82, recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” e costituisce l’autorità NIS di riferimento nell’ordinamento italiano.

Sull’Agenzia per la Cybersicurezza Nazionale si vedano, ex multis: L. MORONI, La Governance della cybersicurezza a livello interno ed europeo: un quadro intricato, op. cit.; G.G. CUSENZA, I poteri dell’Agenzia per la Cybersicurezza Nazionale: una nuova regolazione del mercato cibernetico, in R. URSI (a cura di), La sicurezza nel cyberspazio, Franco Angeli, Milano, 2023, pp. 123 e ss.; L. PARONA, L’istituzione dell’Agenzia per la Cybersicurezza Nazionale, in Giornale di diritto amministrativo, 2021, pp. 709 e ss.

[v] Ci si riferisce al documento, di carattere programmatico e di indirizzo generale, adottato dall’Agenzia per la Cybersicurezza Nazionale, che illustra le principali sfide da affrontare in tema di cybersicurezza nel quadriennio di riferimento, gli obiettivi da raggiungere e le strategie da impiegare. In particolare, la citata Strategia nazionale di cybersicurezza persegue tre obiettivi fondamentali: i. Obiettivo protezione (ovverosia “la protezione degli asset strategici nazionali, attraverso un approccio sistemico orientato alla gestione e mitigazione del rischio, formato sia da un quadro normativo che da misure, strumenti e controlli che possono abilitare una transizione digitale resiliente del Paese. Di particolare importanza è lo sviluppo di strategie e iniziative per la verifica e valutazione della sicurezza delle infrastrutture ICT, ivi inclusi gli aspetti di approvvigionamento e supply-chain a impatto nazionale”); ii. Obiettivo risposta (ovverosia “la risposta alle minacce, agli incidenti e alle crisi cyber nazionali, attraverso l’impiego di elevate capacità nazionali di monitoraggio, rilevamento, analisi e risposta e l’attivazione di processi che coinvolgano tutti gli attori facenti parte dell’ecosistema di cybersicurezza nazionale”); iii. Obiettivo sviluppo (ovverosia “lo sviluppo consapevole e sicuro delle tecnologie digitali, della ricerca e della competitività industriale, in grado di rispondere alle esigenze di mercato. La costellazione di centri di eccellenza e imprese che compongono, assieme all’accademia, il tessuto della ricerca e dello sviluppo è infatti un patrimonio essenziale per il nostro Paese con importanti potenzialità di espansione”). Ai fini del presente articolo giova sottolineare che anche all’interno della Strategia nazionale di cybersicurezza, nell’ambito dell’obiettivo protezione, viene ribadito che costituisce un aspetto di particolare importanza il rafforzamento delle misure di cybersicurezza all’interno delle “infrastrutture ICT, ivi inclusi gli aspetti di approvvigionamento e supply-chain a impatto nazionale”, una formulazione molto ampia, e che data proprio la sua ampiezza sembra ricomprendere appieno la fornitura e l’approvvigionamento di beni e servizi informatici (o comunque infrastrutture ICT in genere) anche da parte di soggetti pubblici.

[vi] Il perimetro di sicurezza nazionale cibernetica è stato istituito con d.l. 21 settembre 2019, n. 105, il cui fine, a mente dell’art. 1, co. 1, del medesimo d.l., è quello di “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale […].” I soggetti ricompresi nel PSNC sono individuati con separato DPCM non soggetto a pubblicazione o istanze di accesso, con la conseguenza che solo i soggetti ivi ricompresi riceveranno comunicazione della relativa iscrizione all’interno del PSNC.

In generale sul PSNC si veda, fra tutti, S. MELE, Il Perimento di sicurezza nazionale cibernetica e il nuovo “golden power”, in G. CASSANO e S. PREVITI (a cura di), Il diritto di internet nell’era digitale, Giuffrè, Milano, 2020, pp. 186 e ss.

[vii] Come evidenziato dalla dottrina, il concetto di cybersicurezza tenderebbe ormai a distinguersi e ad assumere una propria autonomia rispetto al concetto di sicurezza nazionale, pur rimanendo a questo strettamente connesso. Cfr. in ptc. M. MACCHIA e G. SFERRAZZO, Sicurezza e rischio tecnologico. La funzione di cybersecurity, op. cit., pp. 115 e ss.

Sotto questo profilo la dottrina giunge anche ad affermare che la cybersicurezza potrebbe essere qualificata come vero e proprio bene pubblico. Ex multis si veda R. BRIGHI e P.G. CHIARA, La cybersecurity come bene pubblico: alcune riflessioni normative a partire dai recenti sviluppi nel diritto dell’Unione Europea, in Federalismi, 2021, pp. 18 e ss.

[viii] Come è stato notato da S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, in Rivista interdisciplinare sul diritto delle amministrazioni pubbliche, II/2024, p. 340, con specifico riferimento alla mancata regolamentazione della materia da parte del legislatore comunitario, “le Direttive 2014/23-24-25/UE in materia di appalti e concessioni non contengono né una disciplina generale sugli appalti di cybersecurity né minime e particolari disposizioni. Questo aspetto, che di primo acchitto può essere giustificato con la riconduzione di questa materia all’ambito di stretto interesse nazionale “tradizionale” dei diversi Paesi membri (nonostante vi sia una precisa disciplina europea in materia di appalti nel settore della difesa), comporta che l’intervento in materia di appalti di cybersecurity sia demandato ai legislatori domestici”.

Sebbene non sia presente nelle direttive europee in materia di appalti pubblici, la disciplina generale della cybersicurezza in ambito europeo si rinviene in altre fonti normative e, in particolare, nel c.d. Cybersecurity Act contenuto nel Regolamento 2019/881 e nelle altre fonti indicate supra sub nota 3.

[ix] In generale, sulla disciplina recata dal codice dei contratti pubblici in materia di cybersicurezza si veda T. COCCHI, La cybersicurezza nel prisma del diritto dei contratti pubblici: un tentativo di ricostruzione delle regole del gioco tra requisiti di partecipazione, criteri di aggiudicazione ed esigenze di certezza, in Munus, I, 2024, pp. 177 e ss.

[x] Per un’analisi dettagliata della norma in esame si rinvia a G. VESPERINI, Commento all’articolo 19, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, pp. 200 e ss.

[xi] Cfr. G. VESPERINI, Commento all’articolo 19, op. cit., p. 211, ove si sottolinea che “La relazione del Consiglio di Stato giustifica così la norma: ‘in attesa che le iniziative di regolazione dell’utilizzazione di strumenti e tecnologie digitali, anche per quanto concerne i profili di sicurezza, vengano portate a compimento e, soprattutto, concretamente attuate’, le norme in esame ‘sono funzionali anche a favorire la diffusione di misure, da parte delle amministrazioni, utili alla qualificazione e alla sicurezza, stimolando anche per tale via una uniformità di standard e una crescita complessiva della cultura della sicurezza informatica nella pubblica amministrazione e tra gli operatori economici’”.

[xii] Non deve essere sottovalutata l’importanza della norma sotto il profilo della formazione e del costante aggiornamento del personale amministrativo. La materia della cybersicurezza, soprattutto nel settore delle gare pubbliche, si presenta particolarmente tecnica e -soprattutto, come avviene di consueto in ambito tecnologico- è una materia caratterizzata da una rapidissima evoluzione, il che implica che la formazione e l’aggiornamento del personale delle stazioni appaltanti costituisce un presupposto fondamentale per garantire la resilienza cibernetica della p.a.

Cfr. G. VESPERINI, Commento all’articolo 19, op. cit., p. 212.

[xiii] Cfr. G. MACDONALD, Commento all’articolo 108, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, pp. 977 e ss.

[xiv] Cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., p. 341.

[xv] Cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., p. 341 ove l’A. in particolare specifica che “L’art. 108, co. 4, del Codice, invece, al quarto periodo stabilisce che nelle procedure di approvvigionamento di forniture e servizi informatici per l’Amministrazione Pubblica le stazioni appaltanti, e le centrali di committenza, dovendo procedere con l’aggiudicazione sulla base del criterio dell’offerta economicamente vantaggiosa, sono tenute a considerare gli elementi di cybersecurity nella valutazione dell’elemento qualitativo-tecnico dell’offerta; e qualora tali procedure siano riferibili a contesti rilevanti per gli interessi nazionali strategici, le stazioni appaltanti devono limitare la ponderazione della valutazione della componente economica dell’offerta a dieci punti percentuali del punteggio complessivo, in tal modo aumentando notevolmente “il peso” della componente tecnica dell’offerta.”

[xvi] Parte della dottrina ha comunque evidenziato che l’introduzione di tali due nuove disposizioni nel d.lgs. 36/2023, sebbene abbia risvolti positivi poiché ha il merito di codificare importanti principi, d’altro lato ha comunque una “portata limitata: vengono formalizzati due aspetti che, nella realtà dei fatti, erano presenti già prima dell’intervento normativo del 2023 – soprattutto in relazione a quelle Amministrazioni aggiudicatrici da sempre deputate agli appalti di tecnologia. Appare inesatto ritenere che, prima dell’entrata in vigore del recente Codice appalti, le stazioni appaltanti non considerassero l’elemento della cybersicurezza nella valutazione della componente tecnica dell’offerta in gare relative a forniture, servizi e processi informatici”, cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., p. 341.

[xvii] Cfr. S. ROSSA, Appalti pubblici e cybersecurity, fra (maggior) programmaticità e (minor) operatività nella disciplina del nuovo Codice dei contratti pubblici, op. cit., pp. 341-342.

[xviii] Il DPCM in esame, tuttavia, non contiene una definizione positiva della nozione di “interessi nazionali strategici.” Ciò, come già evidenziato dalla dottrina, l’assenza di un’esatta perimetrazione dell’ampio concetto di “interessi nazionali strategici” costituisce una prima (e notevole) criticità del DPCM ora in esame che ne potrebbe ostacolare la corretta applicazione e generare un notevole contenzioso in una materia già di per sé altamente tecnica e relativa a interessi o contesti -comunque denominati- sensibili.

Cfr. L. NANNIPIERI, Cybersicurezza e appalti pubblici: verso un nuovo (e incerto) quadro regolatorio, op cit., pp. 20-21.

[xix] L’art. 1, co. 1, lett. a), del DPCM 30 aprile 2025, nel delimitare l'ambito di applicazione soggettivo della normativa, fa riferimento ai soggetti di cui all’art. 2, co. 2, del codice dell’amministrazione digitale, di cui al d.lgs. 7 marzo 2005, n. 82, il quale a sua volta rimanda all’art. 1, co. 2, del d.lgs. 30 marzo 2001, n. 165. In buona sostanza, tramite i rinvii operati dal DPCM 30 aprile 2025, si arriva a coprire pressoché l’intera platea dei soggetti pubblici il che, tenuto conto delle finalità del DPCM in esame, potrebbe risultare sovrabbondante. Come sottolineato da L. NANNIPIERI, Cybersicurezza e appalti pubblici: verso un nuovo (e incerto) quadro regolatorio, op cit., p. 21, (ove l’A. si riferisce segnatamente all’art. 10 del DDL 1717 ma la cui formulazione, sul punto, è rimasta pressoché inalterata nell’attuale art. 1, co. 1, lett. a) del DPCM 30 aprile 2025) l’elenco dei destinatari della norma “appare decisamente ampio” e “Come osservato in sede istruttoria (cfr. audizione dell’ANCI), l’ambito di applicazione della disposizione dovrebbe essere meglio specificato, in quanto il rinvio per relationem all’art. 2, co. 2, d.lgs. 82/2005 condurrebbe ad una generalizzata efficacia applicativa della disposizione anche a soggetti che non svolgono attività di approvvigionamento di beni e servizi informatici legati alla tutela di interessi nazionali strategici. Si pensi, ad esempio, alla generalità delle società a controllo pubblico, ovvero agli istituti di istruzione ovvero, ancora, alla generalità indiscriminata degli enti locali.”

[xx] DPCM 30 aprile 2025, art. 3, il quale rinvia all’allegato 2.

[xxi] DPCM 30 aprile 2025, art. 2, il quale rinvia all’allegato 1.

[xxii] L’art. 4, co. 1, del DPCM 30 aprile 2025, si riferisce infatti ai soggetti di cui all’art. 1, co. 2bis, del d.l. 105/2019, il quale, rinviando all’art. 1, co. 2, lett. a), fa riferimento a tutti i soggetti (amministrazioni pubbliche, enti e operatori pubblici e privati) inclusi nel Perimetro di sicurezza nazionale cibernetica.

[xxiii] L’art. 4, co. 1, del DPCM 30 aprile 2025, rimanda alle “reti, sistemi informativi e servizi informatici” di cui all’art. 1, co. 2, lett. b) del d.l. 105/2019, il quale a sua volta rimanda all’art. 1, co. 1, del medesimo d.l. 105/2019 sopra riportato.

[xxiv] L’allegato 3 del DPCM 30 aprile 2025, fa riferimento ai Paesi terzi che sono parte di accordi di collaborazione sia con l’Unione europea sia con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione. Nello specifico, tali Paesi sono: Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda e Svizzera.

[xxv] DPCM 30 aprile 2025, art. 1, co. 1, lett. c).

[xxvi] Nel vigente codice dei contratti pubblici di cui al d.lgs. 36/2023 la norma di riferimento è contenuta nell’art. 13 del codice che prevede che “le disposizioni del codice non si applicano ai contratti esclusi”.

Per quanto riguarda l’individuazione delle singole categorie di contratti esclusi, l’art. 56 individua i contratti esclusi nei settori ordinari, mentre gli artt. 141-152 recano l’elenco dei contratti esclusi nei settori speciali.

Per un’analisi approfondita dell’art. 13 del d.lgs. 36/2023, si veda S. TOSCHEI, Commento all’articolo 13, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, pp. 132 e ss.

[xxvii] In generale sul tema della partecipazione degli operatori economici extracomunitari alle procedure di evidenza pubblica bandite in Italia, seppur con riferimento alla normativa recata dal previgente codice dei contratti pubblici di cui al d.lgs. 50/2016, sia consentito il rinvio a S. FRANCARIO, La partecipazione alle gare d’appalto pubblico degli operatori economici extracomunitari, in Amministrativamente, 2022, pp. 145 e ss.

[xxviii] Cfr. D.lgs. 36/2023, art. 65.

[xxix] L’art. 69 del d.lgs. 36/2023 riprende in maniera pressoché identica l’art. 49 del previgente d.lgs. 50/2016. 

Sull’inquadramento generale e sulla disciplina recata dall’art. 49 del d.lgs. 50/2016 si rinvia a F. FRACCHIA, Fonti internazionali, in M.A. SANDULLI e R. DE NICTOLIS (diretto da), Trattato sui Contratti Pubblici, Milano, 2019, II, pp. 84 e ss.

Sulla disciplina recata dall’art. 69 del d.lgs. 36/2023 si rinvia a M. MARTINELLI, Commento all’articolo 69, in A. BOTTO e S. CASTROVINCI ZENNA (a cura di), Commentario alla normativa sui contratti pubblici, Torino, Giappichelli, 2024, p. 706.

[xxx] Nell’ambito di una vastissima letteratura, sul GPA si rinvia per tutti a S. ARROWSMITH e R.D. ANDERSON (edito da), The WTO Regime on Government Procurement: Challenge and Reform, Cambridge University Press, Cambridge, 2011, e ivi ulteriori riferimenti bibliografici.

[xxxi] Sulla struttura e sul funzionamento generale della WTO si vedano, ex multis: VAN DE BOSSCHE e D. PRÉVOST, Essentials of WTO Law, Cambridge, Cambridge University Press, 2016; B.M. HOEKAMN e P.C. MAVROIDIS, World Trade Organization – Law, Economics and politics, New York, Routledge, 2016.

[xxxii] L’Unione europea e i suoi Stati membri contano come un’unica parte in quanto il GPA è stato sottoscritto direttamente dalla prima.

[xxxiii] Segnatamente, nell’Allegato 1 vengono indicate le amministrazioni centrali e le relative soglie di rilevanza per l’acquisto di beni e servizi; nell’Allegato 2 vengono indicate le amministrazioni sub-centrali e le relative soglie di rilevanza per l’acquisto di beni e servizi; nell’Allegato 3 vengono indicate tutte le altre amministrazioni e le relative soglie di rilevanza per l’acquisto di beni e servizi.

[xxxiv] Nell’Allegato 4 e nell’Allegato 5 vengono specificati, rispettivamente, i beni e i servizi rientranti nell’ambito di applicazione del GPA.

[xxxv] Nello specifico, l’art. 4, co. 1, del GPA prevede che “With respect to any measure regarding covered procurement, each Party, including its procuring entities, shall accord immediately and unconditionally to the goods and services of any other Party and to the suppliers of any other Party offering the goods or services of any Party, treatment no less favourable than the treatment the Party, including its procuring entities, accords to: a) domestic goods, services and suppliers; and b) goods, services and suppliers of any other Party.”

Mentre l’art. 4, co. 2, del GPA stabilisce che “With respect to any measure regarding covered procurement, a Party, including its procuring entities, shall not: a) treat a locally established supplier less favourably than another locally established supplier on the basis of the degree of foreign affiliation or ownership; or b) discriminate against a locally established supplier on the basis that the goods or services offered by that supplier for a particular procurement are goods or services of any other Party.”