Piattaforme di Approvvigionamento Digitale: AgID aggiorna le Regole Tecniche per la gestione degli appalti pubblici
Il 2026 porta nuovi adempimenti per le PAD (Piattaforme di Approvvigionamento Digitale) che segnano una discontinuità rispetto alla disciplina del 2023, sostituendo la precedente “Dichiarazione di conformità” del Gestore con un processo di certificazione obbligatoria basato su verifiche di terza parte e standard tecnici più elevati in termini di sicurezza informatica e interoperabilità con le principali banche dati pubbliche, definendo anche primi principi guida per l’utilizzo dell’Intelligenza Artificiale negli appalti pubblici.
Le nuove regole obbligano le Stazioni appaltanti a verificare lo stato di aggiornamento della PAD utilizzata, mentre i Gestori di piattaforme già certificate hanno tempi stringenti per adeguarsi ai nuovi standard.
È quanto emerge dalla Determinazione Direttoriale AgID n. 267 del 31 dicembre 2025, e relativi allegati, che approva la versione 2.0 delle Regole Tecniche e dei relativi allegati per le Piattaforme di Approvvigionamento Digitale (PAD), sostituendo integralmente il precedente provvedimento n. 137/2023. AgID potrà aggiornare le Regole Tecniche e gli Allegati anche separatamente.
Di seguito l’approfondimento a cura della Direzione Legislazione Opere Pubbliche sul nuovo quadro normativo, adottato dall’Agenzia per l’Italia Digitale (AgID) d’intesa con ANAC, il Dipartimento per la Trasformazione Digitale e l’Agenzia per la Cybersicurezza Nazionale.
1. Piattaforme di Approvvigionamento Digitale (PAD)
Le PAD gestiscono digitalmente l’intero ciclo degli appalti dialogando con le banche dati nazionali. I Gestori rispondono della conformità della piattaforma, inclusi i componenti software acquisiti da terzi, garantendo che ogni dato sia fornito una sola volta (principio “once only”)
Le Piattaforme di Approvvigionamento Digitale (PAD) sono sistemi informatici attraverso cui le pubbliche amministrazioni gestiscono digitalmente tutte le fasi di un appalto: dalla pianificazione iniziale al collaudo. In sostanza, sono gli “ambienti di lavoro digitali” dove stazioni appaltanti e imprese si incontrano e interagiscono per l’intera durata di un contratto pubblico, come previsto dagli articoli 21, 22 e 25 del Codice dei Contratti Pubblici o Codice Appalti (D.lgs. 36/2023).
Le PAD sono soggette al Codice dell’Amministrazione Digitale (CAD, D.Lgs. 82/2005) e a tutte le norme in materia di digitalizzazione della Pubblica Amministrazione, comprese le Linee Guida AgID su formazione e conservazione dei documenti informatici, accessibilità dei servizi digitali, sicurezza informatica, protezione dei dati personali e interoperabilità tecnica.
Le Regole Tecniche 2.0 di AgID sono finalizzate a garantire che le PAD dialoghi automaticamente, ossia interoperino, con le due infrastrutture nazionali fondamentali per gli appalti pubblici:
− la Piattaforma Digitale Nazionale Dati (PDND), l’infrastruttura digitale strategica della Presidenza del Consiglio dei Ministri – Dipartimento per la Trasformazione Digitale –, gestita da PagoPA S.p.A., che consente alle Pubbliche Amministrazioni di scambiare dati e servizi anche con soggetti privati. Le PAD interagiscono con i servizi esposti da ANAC tramite la PDND, ai sensi dell’art. 50‑ter del CAD;
− la Banca Dati Nazionale dei Contratti Pubblici (BDNCP), gestita da ANAC, che raccoglie tutte le informazioni relative alle procedure di gara delle amministrazioni italiane per finalità di monitoraggio, trasparenza e prevenzione della corruzione (artt. 23 del Codice dei Contratti Pubblici e 62‑bis del CAD).
L’interoperabilità è garantita attraverso gli standard tecnici del Modello di Interoperabilità (MoDI), che definisce i protocolli di scambio dati tra amministrazioni e rende operativo il principio del “once only” (art. 19, comma 2, del Codice): ogni informazione – incluse quelle presenti nel fascicolo virtuale dell’operatore economico (FVOE), come le qualificazioni SOA dell’impresa, le certificazioni di qualità, i contratti già eseguiti – viene fornita una sola volta al sistema e non deve essere richiesta nuovamente all’operatore economico in occasione di ogni gara, evitando duplicazioni e riducendo gli oneri burocratici.
2. Standard di cybersecurity richiesti ai gestori di PAD
I Gestori PAD devono garantire che infrastrutture cloud e servizi digitali rispettino il Regolamento ACN con qualificazione adeguata alla classificazione dei dati operata dalla stazione appaltante. Il livello di qualificazione ottenuto deve essere reso pubblico
Ogni PAD è fornita da un soggetto definito “Gestore PAD”, che può coincidere con la stazione appaltante stessa (ad esempio una Regione o una Centrale di committenza che sviluppa la propria piattaforma interna) oppure essere un fornitore terzo privato specializzato. Il Gestore è il responsabile del funzionamento, della sicurezza e della conformità della piattaforma alle presenti Regole Tecniche (art. 19, comma 6, e art. 25, co. 3, del Codice appalti).
Quando il Gestore è un soggetto terzo, deve stipulare con la stazione appaltante un accordo contrattuale che regoli formalmente le responsabilità, i livelli di qualità del servizio (tempi di risposta, disponibilità della piattaforma, assistenza tecnica) e le modalità di supporto agli utenti, come specificato al paragrafo 6.1 delle Regole Tecniche.
In entrambi i casi, il Gestore è responsabile della conformità della PAD alle Regole Tecniche anche quando utilizza componenti software (moduli, librerie, servizi) sviluppati da altri fornitori. In questo caso, il Gestore deve verificare preventivamente che tali componenti possiedano i requisiti e i titoli previsti dalle Regole Tecniche; in caso contrario, deve acquisire i titoli mancanti prima di avviare l’istanza di certificazione.
Un elemento di discontinuità rilevante rispetto alla versione 2023 è l’obbligo di qualificazione ACN posto a carico dei Gestori PAD. Infatti, le nuove Regole Tecniche (par. 3.2) introducono l’obbligo di qualificazione delle infrastrutture digitali e dei servizi cloud utilizzati dalla PAD, secondo quanto stabilito dall’Agenzia per la Cybersicurezza Nazionale (ACN). Tale requisito, assente nella versione 2023, diventa titolo certificatorio autonomo per le PAD.
Al fine di garantire adeguati livelli di sicurezza informatica e capacità di risposta ad attacchi informatici, i Gestori devono assicurare che cloud e infrastrutture digitali rispettino il REG_ACN (D.D. n. 21007/2024). Inoltre, devono comunicare ad AgID e rendere pubblico il livello della qualificazione ottenuta. Tale obbligo grava anche sui gestori di PAD già operative, che devono quindi migrare le proprie infrastrutture verso servizi cloud qualificati ACN.
Le stazioni appaltanti devono classificare i propri dati e servizi digitali e verificare che la PAD utilizzata abbia un livello di qualificazione ACN adeguato a tale classificazione.
Il Regolamento ACN, richiamato dalle Regole Tecniche, classifica i dati e i servizi in tre categorie in ragione della gravità degli effetti derivanti dalla loro compromissione:
– dati e servizi strategici: la loro compromissione può avere un impatto sulla sicurezza nazionale;
– dati e servizi critici: la loro compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
– dati e servizi ordinari: la loro compromissione può portare all’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.
Resta fermo che, per i dati e servizi strategici e critici, le pubbliche amministrazioni possono avvalersi del Polo Strategico Nazionale (PSN), l’infrastruttura cloud nazionale ad alta affidabilità gestita sotto il controllo dell’ACN.
3. Requisiti per la certificazione delle PAD
I requisiti delle PAD sono articolati in quattro classi (generali, specifici, interoperabilità, end-to-end) che coprono tutte le fasi del ciclo di vita del contratto pubblico: programmazione, progettazione, pubblicazione, affidamento ed esecuzione
I requisiti richiesti ai Gestori e alle PAD ai fini dell’iscrizione nel Registro delle Piattaforme Certificate gestito da ANAC sono articolati in quattro classi (Par. 3.3 RT):
– Classe 1: requisiti funzionali generali (accesso digitale alla piattaforma; registrazione, profilazione e delega, tracciabilità e comunicazioni digitali);
– Classe 2: requisiti funzionali specifici (gestione documenti digitali, DGUE, offerte, fascicolo di gara, pubblicità legale, comunicazioni a candidati e offerenti);
– Classe 3: requisiti di interoperabilità (conformità MoDI, interazione con e-service ANAC tramite PDND, gestione errori);
– Classe 4: requisiti di procedure end-to-end (v. Allegato 2 alle RT), che comportano la simulazione dello svolgimento di una procedura di gara completa nella quale devono essere gestiti dalla PAD tutti i flussi di lavoro previsti, verificando sia i casi standard sia le situazioni problematiche (gare deserte, procedure annullate, modifiche contrattuali, subappalti). La verifica di Classe 4 accerta contestualmente anche la conformità ai requisiti di Classe 1 e 2, oltre al possesso delle attestazioni ANAC per la Classe 3.
L’obiettivo è garantire una gestione integralmente digitale dell’appalto senza soluzione di continuità, dalla fase iniziale alla fase finale del contratto pubblico, all’interno della PAD e in interoperabilità con la BDNCP, senza passaggi manuali o extra-sistema. Le PAD devono coprire digitalmente l’intero ciclo di vita del contratto (art. 21 e 22 D.lgs. 36/2023), garantendo tracciabilità, coerenza dei dati e automatismi.
I requisiti funzionali sono riferiti alle cinque fasi del ciclo di vita digitale dei contratti pubblici (art. 21 Codice):
– programmazione: trasmissione dei dati della pianificazione triennale alla piattaforma SCP per l’allineamento con la BDNCP;
– progettazione: predisposizione della documentazione di gara;
– pubblicazione: acquisizione del CIG, creazione del fascicolo di gara e pubblicità legale;
– affidamento: gestione digitale della procedura di selezione, comunicazioni SA-OE, valutazione delle offerte e aggiudicazione, con flussi verso la BDNCP;
– esecuzione: gestione digitale del contratto dalla stipula al collaudo, inclusi subappalti, modifiche, SAL, controlli e pagamenti, con trasmissione dati alla BDNCP.
4. Certificazione di Organismi terzi accreditati
La certificazione si ottiene attraverso tre titoli obbligatori: qualificazione ACN, attestazione ANAC per Classe 3, certificato CAB per Classe 4. Il sistema sostituisce la Dichiarazione di conformità non più accettabile dopo il 31 dicembre 2025
Il processo di certificazione delle PAD subisce una trasformazione radicale rispetto al 2023. Nella versione precedente, fino al 31 dicembre 2025 era sufficiente una Dichiarazione di conformità presentata dal Gestore (art. 16-quater DL 19/2024); ora si passa a un sistema di certificazione di terza parte (cap. 4 delle Regole Tecniche) basato su verifiche indipendenti.
Per ottenere la certificazione, il Gestore deve acquisire tre titoli obbligatori:
- Qualificazione ACN per la sicurezza delle infrastrutture cloud e dei servizi digitali (par. 3.2 RT);
- Attestazione ANAC per i requisiti di Classe 3 (interoperabilità), rilasciata dopo il superamento dei test in ambiente di collaudo PDND (par. 5.2 RT);
- Certificato CAB per i requisiti di Classe 4 (procedure end-to-end), rilasciato da Organismi di Valutazione della Conformità (CAB – Conformity Assessment Bodies) accreditati da Accredia secondo lo standard ISO/IEC 17065, che verificano la conformità delle PAD alle checklist definite da AgID nell’Allegato 2 delle Regole Tecniche attraverso audit indipendenti. La verifica di Classe 4 include anche l’accertamento dei requisiti di Classe 1 e 2.
In attesa che Accredia definisca i requisiti di accreditamento specifici dei CAB di concerto con AgID, i Gestori possono presentare per i requisiti di Classe 1 e Classe 2 un’autodichiarazione secondo il modello AgID, fermo restando l’obbligo di acquisire comunque la qualificazione ACN e l’attestazione ANAC per la Classe 3 (art. 8.2 RT).
Il Gestore che utilizza componenti software sviluppati da altri fornitori deve verificare che possiedano i requisiti previsti; in caso contrario, deve acquisire i titoli mancanti prima di avviare l’istanza di certificazione.
Il nuovo sistema consente di certificare anche PAD che implementano solo alcune delle attività del ciclo di vita dei contratti pubblici, a condizione che siano chiaramente identificate le funzionalità coperte.
5. Obbligo di test sull’ Interoperabilità con la PDND
Le PAD devono essere conformi al MoDI e dialogare con BDNCP e PDND secondo protocolli definiti nell’Allegato 1. Prima della certificazione, i gestori devono superare test di interoperabilità in ambiente collaudo PDND ottenendo attestazione ANAC per i requisiti di Classe 3.
Il provvedimento rafforza in modo significativo gli obblighi di interoperabilità (par. 3.3.3 delle Regole Tecniche), già presenti nella versione 2023. Le PAD devono essere conformi al Modello di Interoperabilità delle Pubbliche Amministrazioni (MoDI) e dialogare in modo automatico e strutturato con la BDNCP, la PDND e le altre banche dati pubbliche rilevanti, secondo prescrizioni tecniche e pattern di interoperabilità definiti puntualmente nell’Allegato 1 delle Regole Tecniche.
Considerato che le PAD interagiscono con i servizi esposti da ANAC attraverso la Piattaforma Digitale Nazionale Dati (PDND), prima di ottenere la certificazione, i gestori devono richiedere l’abilitazione all’ambiente di collaudo PDND ed eseguire test di interoperabilità con gli e-service ANAC (par. 5.2 delle Regole Tecniche). Solo al superamento positivo dei test, ANAC rilascia l’attestazione necessaria per i requisiti di Classe 3.
L’obiettivo è evitare alle imprese la ripetizione di adempimenti informativi già assolti presso altre amministrazioni: i dati relativi alle qualificazioni SOA, ai contratti precedentemente eseguiti, alle certificazioni possedute dall’operatore economico, devono essere acquisiti automaticamente dalle banche dati pubbliche e non richiesti nuovamente in sede di partecipazione alla gara.
6. Prime indicazioni per l’utilizzo responsabile dell’Intelligenza Artificiale
L’utilizzo di sistemi IA nelle PAD è subordinato al rispetto di cinque principi fondamentali. Elemento cardine: nessuna decisione con impatti giuridico-economici rilevanti può essere demandata a un sistema automatico senza supervisione umana
Una delle innovazioni più rilevanti rispetto al testo del 2023 è l’introduzione del capitolo 7 delle Regole Tecniche, interamente dedicato all’utilizzo di sistemi di Intelligenza Artificiale nelle procedure di appalto. Si tratta di un elemento completamente assente nelle Regole Tecniche 2023 e rappresenta un primo quadro di principi nazionale per l’IA negli appalti pubblici, in attuazione dell’articolo 30 del Codice dei Contratti Pubblici (“Uso di procedure automatizzate nel ciclo di vita dei contratti pubblici”) e in coerenza con la Legge n. 132/2025 sull’Intelligenza Artificiale.
Le nuove regole prevedono che le PAD possano integrare strumenti di IA per diverse finalità: supporto alla progettazione di gara (analisi predittiva dei rischi, suggerimenti per la definizione dei criteri di valutazione, verifica automatica della completezza e coerenza della documentazione di gara); analisi e valutazione delle offerte (classificazione automatica dei documenti, estrazione e confronto di dati strutturati, individuazione di potenziali offerte anomale); gestione della procedura (comunicazioni standardizzate, monitoraggio delle scadenze, supporto alla gestione del contenzioso tramite analisi della documentazione); monitoraggio della fase esecutiva (monitoraggio dell’esecuzione contrattuale, analisi predittiva di possibili ritardi o criticità, supporto alla gestione della contabilità e dei pagamenti), elaborazioni statistiche e analisi predittive rispetto a procedure simili (early warning).
In linea con il quadro normativo europeo (AI Act) e il quadro nazionale, l’utilizzo dell’IA è subordinato al rispetto rigoroso di cinque principi fondamentali (par. 7.3 delle Regole Tecniche):
– trasparenza: deve essere sempre chiaramente indicato all’utente quando interagisce con un sistema IA;
– spiegabilità: i risultati devono essere, per quanto tecnicamente possibile, spiegabili e ricostruibili;
– non-discriminazione ed equità: necessità di prevenire l’introduzione o l’amplificazione di bias negli algoritmi;
– robustezza e sicurezza: i sistemi devono funzionare in modo affidabile e protetto da manipolazioni;
– supervisione e controllo umano: principio cardine secondo cui nessuna decisione con impatti giuridico-economici rilevanti può essere demandata a un sistema automatico.
Quest’ultimo principio è cardine: nessuna decisione con impatti giuridico-economici rilevanti – ammissione/esclusione, valutazione dell’offerta, aggiudicazione, risoluzione del contratto – può essere demandata a un sistema automatico, in piena coerenza con l’articolo 30, comma 3, lettera b) del Codice che prevede la “non esclusività della decisione algoritmica”.
Corollario fondamentale è la tracciabilità per il RUP (par. 7.4) o altro personale incaricato, che deve poter accedere agevolmente alle informazioni essenziali che hanno costituito la base per l’elaborazione di un determinato risultato da parte del sistema IA, inclusi i dati di input utilizzati, i parametri principali considerati e la correlazione tra questi elementi e l’output fornito.
Le Regole Tecniche (par. 7.6) richiamano la necessità di classificazione del rischio e l’applicazione degli obblighi AI Act per i casi ad alto rischio o a rischio limitato ma soggetti all’art.50 dell’AI Act, per tutti gli altri livelli di rischio invece rimanda alle linee guida referenziate dal Piano triennale per l’informatica nella Pubblica Amministrazione.
7. Monitoraggio digitale della fase esecutiva e meccanismi di early warning
Le PAD devono implementare il monitoraggio digitale della fase esecutiva con meccanismi di early warning che segnalano tempestivamente situazioni anomale alla stazione appaltante e ad ANAC.
Le nuove Regole Tecniche (par. 3.1.2) introducono l’obbligo per le PAD di implementare il monitoraggio digitale della fase esecutiva del contratto, con particolare riferimento alla riconducibilità delle fatture elettroniche agli acconti corrispondenti agli Stati di Avanzamento Lavori (SAL) e all’attivazione di meccanismi di early warning capaci di intercettare i momenti di criticità o stallo nell’avanzamento dei contratti pubblici.
Si tratta di sistemi automatizzati che, analizzando i dati relativi all’esecuzione – SAL approvati, pagamenti effettuati, sospensioni, varianti, ritardi rispetto al cronoprogramma – sono in grado di segnalare tempestivamente alla stazione appaltante situazioni anomale che potrebbero compromettere il rispetto delle tempistiche contrattuali. L’obiettivo è consentire alla stazione appaltante di attivare opportune misure rimediali prima che i ritardi divengano irreversibili, in attuazione del principio generale di tempestività nell’esecuzione di cui all’articolo 1 del Codice.
I dati di early warning devono essere resi disponibili anche all’Autorità Nazionale Anticorruzione ai fini della vigilanza sul corretto agire delle stazioni appaltanti.
Per le imprese di costruzioni, l’introduzione di questi meccanismi può rappresentare sia un’opportunità (maggiore tempestività nei pagamenti, dialogo più strutturato con la SA in caso di difficoltà operative) sia un elemento di attenzione – sarà essenziale verificare che i meccanismi di early warning siano calibrati correttamente e non vengano usati impropriamente per penalizzare le imprese in presenza di ritardi non imputabili alle stesse. Gli operatori del settore dovranno garantire un aggiornamento puntuale dei dati di avanzamento, elemento indispensabile per il corretto funzionamento del sistema.
8. Rafforzamento del ruolo di AgID: da facilitatore a garante
AgID assume un ruolo attivo raccogliendo e verificando l’adeguatezza di tutti i titoli presentati dai gestori. In caso di riscontro negativo anche di un solo titolo, la certificazione non viene rilasciata o viene disposta la cancellazione dal Registro. AgID esercita poteri di vigilanza ex art. 18-bis CAD agendo d’ufficio o su segnalazione
Con le nuove Regole Tecniche (Par. 4.2), il ruolo dell’Agenzia per l’Italia Digitale passa da una funzione prevalentemente amministrativo-formale a quella di garante tecnico-operativo dell’intero ecosistema PAD, che esercita poteri di vigilanza, verifica, controllo e monitoraggio d’ufficio ovvero su segnalazione del difensore civico digitale (v. anche Par. 3.1.2, sugli “Obblighi di transizione digitale e monitoraggio” dell’AgID).
Nella versione 2023, AgID si limitava a ricevere e protocollare le dichiarazioni di conformità; ora raccoglie e verifica l’adeguatezza di tutte le informazioni comunicate dal gestore relative ai requisiti e titoli oggetto della certificazione. In caso di esito positivo, AgID invia tali informazioni ad ANAC per l’iscrizione nel Registro delle Piattaforme Certificate; in caso di verifica negativa anche di un solo titolo, la certificazione non viene rilasciata o, se già presente, viene disposta la cancellazione dal Registro.
Le nuove Regole richiamano esplicitamente i poteri di vigilanza di cui all’articolo 18-bis del CAD: AgID esercita poteri di vigilanza, verifica, controllo e monitoraggio sul rispetto delle disposizioni del CAD e di ogni altra norma in materia di innovazione tecnologica e digitalizzazione, agendo d’ufficio o su segnalazione del Difensore civico digitale.
Nei casi in cui, a seguito di una segnalazione da parte di ANAC, di una stazione appaltante o di altri soggetti, AgID rilevi una situazione di non conformità nella trasmissione alla BDNCP delle informazioni obbligatoriamente previste, avvia con proprio provvedimento gli accertamenti necessari e può disporre la cancellazione dal Registro. L’articolo 23, comma 7 del Codice prevede espressamente che “nei casi in cui si omettano informazioni o attività necessarie a garantire l’interoperabilità dei dati, l’ANAC o le stazioni appaltanti effettuano una segnalazione all’AgID per l’esercizio dei poteri sanzionatori“.
Il Registro delle Piattaforme Certificate gestito da ANAC è composto da quattro sezioni, di cui solo due pubblicamente consultabili (Gestori PAD e PAD certificate), consentendo alle stazioni appaltanti di verificare immediatamente lo stato di certificazione delle piattaforme (par. 4.3).
AgID pubblica, inoltre, sul sito istituzionale specificazioni, chiarimenti, note informative e casi esemplificativi su aspetti che non richiedono la modifica delle Regole tecniche o dei relativi Allegati (cap. 8).
9. Obblighi e scadenze per le piattaforme già certificate
I gestori con certificazioni in scadenza nel 2026 hanno 30 giorni per trasmettere il piano di adeguamento e 180 giorni per completare gli interventi. Per nuove certificazioni è prevista autodichiarazione temporanea per Classe 1 e 2
Il Capitolo 8 delle Regole tecniche impone ai gestori di PAD già in possesso di certificazione secondo le vecchie Regole Tecniche di adeguarsi ai nuovi standard entro termini stringenti.
Per le certificazioni in scadenza nel 2026, entro 30 giorni dall’entrata in vigore delle nuove Regole Tecniche (ossia il 30 gennaio 2026 considerando il giorno successivo alla pubblicazione nella sezione “Amministrazione Trasparente” del sito AgID), i gestori PAD devono trasmettere ad AgID l’elenco dettagliato degli interventi che si impegnano ad implementare e la pianificazione temporale di tali interventi, che devono essere completati gradualmente entro i successivi 180 giorni (art. 8, comma 2, lettera “b” delle Regole Tecniche).
La trasmissione dell’elenco e del piano determina il rinnovo delle certificazioni già ottenute fino all’avvio delle attività di verifica da parte dei CAB. Tuttavia, AgID, ANAC, DTD e ACN si riservano di valutare la documentazione trasmessa e possono disporre verifiche intermedie.
Senza la trasmissione del piano entro 30 giorni, la piattaforma rischia la decadenza della certificazione; senza il completamento degli interventi entro 180 giorni, la certificazione può essere revocata con conseguente impossibilità per le stazioni appaltanti di utilizzare la piattaforma per nuove procedure.
Gli interventi tecnici richiesti includono:
- ¾ qualificazione ACN delle infrastrutture cloud (se non già presente);
- ¾ test di interoperabilità in ambiente collaudo PDND e ottenimento attestazione ANAC per Classe 3;
- ¾ sviluppo funzionalità di monitoraggio esecutivo ed early warning;
- ¾ conformità al capitolo 7 per eventuali componenti IA (dichiarazione utilizzo, attestazione aderenza ai principi, documentazione misure tecniche, tracciabilità input/output);
- ¾ certificazione Classe 4 da parte di CAB accreditato.
Per le nuove certificazioni, fino alla piena operatività dei CAB, i Gestori possono dichiarare il possesso dei requisiti di Classe 1 e 2 mediante autodichiarazione secondo il modello AgID, fermi restando gli obblighi di qualificazione ACN e attestazione ANAC Classe 3.
10. Obblighi per le stazioni appaltanti
Le stazioni appaltanti devono verificare l’iscrizione della PAD utilizzata nel Registro gestito da ANAC, classificare i propri dati secondo il Regolamento ACN, utilizzare esclusivamente PAD con qualificazione adeguata e segnalare ad AgID situazioni di non conformità rilevate.
Le stazioni appaltanti devono verificare con i propri fornitori tecnologici lo stato di implementazione degli aggiornamenti. È essenziale verificare che la piattaforma utilizzata sia effettivamente iscritta nel Registro delle Piattaforme Certificate gestito da ANAC (art. 26, comma 3, Codice), consultabile pubblicamente, e verificare periodicamente il mantenimento dell’iscrizione.
Inoltre, le stazioni appaltanti devono classificare i propri dati e servizi digitali secondo i criteri stabiliti dal Regolamento Cloud ACN e utilizzare esclusivamente PAD con qualificazione di livello adeguato alla classificazione operata.
È opportuno che le stazioni appaltanti inseriscano nei contratti di fornitura con i gestori PAD clausole che impongano il rispetto tempestivo delle nuove prescrizioni tecniche. Le stazioni appaltanti possono e in alcuni casi devono segnalare ad AgID situazioni di non conformità delle PAD, in particolare quando rilevano omissioni di informazioni o attività necessarie a garantire l’interoperabilità dei dati con la BDNCP (articolo 23, comma 7 del Codice).
Quando il Gestore PAD non coincide con la stazione appaltante, il rapporto deve essere regolato da accordo contrattuale che disciplini livelli di qualità, servizi offerti, responsabilità in materia di riconoscimento utenti e gestione sistema IAM, attività di tracciamento, protezione dati personali (nomina a responsabile del trattamento).
11. Allegati alle Regole tecniche
Le Regole Tecniche si articolano in un corpo normativo principale e tre Allegati tecnici che ne costituiscono parte integrante: Allegato 1 disciplina il modello di interoperabilità e il Registro delle Piattaforme Certificate; Allegato 2 contiene le checklist per la certificazione, che guida la verifica dei requisiti organizzati in quattro classi; Allegato 3 fornisce il quadro normativo e tecnico di riferimento.
La disciplina, l’autorizzazione, il funzionamento e il controllo sono regolati dalle nuove Regole Tecniche, adottate con Determinazione AgID n. 267/2025 e pubblicate nel sito trasparenza dell’AgID, che si articolano in un corpo normativo principale (le Regole Tecniche di seguito approfondito) e tre Allegati tecnici. Si precisa che gli Allegati contengono un nutrito numero di termini tecnici – solo in parte provenienti dal Codice dell’Amministrazione Digitale (D.Lgs. 82/2005), ma in molti casi derivanti dalla programmazione informatica (v. cap. 2.4 “Termini e definizioni” delle Regole Tecniche).
L’Allegato 1 – Modello di interoperabilità per le PAD – disciplina le modalità attraverso cui le piattaforme si connettono e scambiano dati con la BDNCP e la PDND, garantendo che tutte le informazioni sulle procedure di gara affluiscano automaticamente alle banche dati nazionali senza necessità di duplicazione manuale.
L’Allegato disciplina anche il Registro delle Piattaforme Certificate (RPC), gestito da ANAC, pubblicamente consultabile, che consente alle stazioni appaltanti di verificare in ogni momento quali piattaforme sono effettivamente autorizzate e quali Gestori ne sono responsabili. Articola il processo che, attraverso l’adesione alla PDND, i test in ambiente di collaudo sotto controllo ANAC e l’ottenimento dell’attestazione di Classe 3 (v. di seguito), consente il passaggio finale all’ambiente di produzione a seguito della certificazione completa.
Infine, definisce i requisiti di sicurezza informatica che proteggono i dati sensibili delle procedure, garantendo la tracciabilità completa di ogni accesso agli e-service ANAC tramite token jws contenente l’identità dell’utente (codice fiscale), il livello di autenticazione (LoA SPID/CIE/eIDAS), l’identificativo della stazione appaltante (AUSA) e la versione certificata della PAD dal RPC (v. parr. 3.2 Regole Tecniche 2.0, 4.2-4.3 Allegato 1 e REG_ACN ex D.D. ACN n. 21007/2024).
L’Allegato 2 – Checklist per la certificazione delle PAD – contiene le checklist per verificare i requisiti e i titoli richiesti ai gestori e alle PAD, suddivisi in 4 classi e in rispettivi macro-requisiti (v. 3.3 RT):
– La Classe 1 assicura le funzionalità di base: accesso sicuro tramite identità digitale certificata (SPID/CIE), tracciabilità immodificabile di tutte le operazioni, corretta gestione dei ruoli (RUP, ADS o Amministratore di Sistema, OE) e permessi, certificazione delle comunicazioni tra stazione appaltante e concorrenti.
– La Classe 2 verifica la capacità della piattaforma di gestire l’intera procedura d’appalto: redazione/acquisizione atti nativi digitali, gestione buste offerte (tecnica/economica/amministrativa), DGUE elettronico, fascicolo gara a norma (metadati, conservazione, IdDoc/CIG), pubblicità a valore legale (PVL) sulla pagina web di ANAC (artt. 84-85 Codice).
– La Classe 3 garantisce l’effettiva integrazione nell’ecosistema pubblico: flusso automatico dei dati via PDND verso ANAC per il monitoraggio nazionale, accesso al Fascicolo Virtuale dell’Operatore Economico per le verifiche dei requisiti senza duplicazione documentale (principio “once only” cit.), conformità agli standard di interoperabilità nazionali.
– La Classe 4 sottopone la piattaforma a test operativi completi su procedure reali dall’inizio alla fine, verificando sia i casi standard che le situazioni problematiche (gare deserte, procedure annullate, modifiche contrattuali, subappalti). Include la checklist puntuale di tutti i documenti che devono essere gestiti nel fascicolo digitale per ogni fase e tipologia di procedura. La verifica di Classe 4 accerta contestualmente anche la conformità ai requisiti di Classe 1 e 2, oltre al possesso delle attestazioni ANAC per la Classe 3
L’Allegato 3 – Quadro normativo e tecnico di riferimento – fornisce il fondamento giuridico e tecnico dell’intera disciplina, mappando sistematicamente tutte le fonti normative europee e nazionali che si applicano alle piattaforme: dalle direttive appalti alle disposizioni del Codice dei contratti pubblici, dalle norme sull’identità digitale e i servizi fiduciari (regolamento eIDAS) alle prescrizioni sulla cybersicurezza (direttiva NIS2), dalle prime regole sull’intelligenza artificiale (AI Act) ai principi di interoperabilità europea (Interoperable Europe Act). Elenca gli standard tecnici internazionali e le Linee Guida AgID che costituiscono il quadro operativo vincolante per l’amministrazione digitale, nonché le iniziative europee di riferimento per l’interoperabilità transfrontaliera nell’e-procurement (PEPPOL).
Il sistema così delineato assicura che ogni Gestore PAD debba completare test e acquisire tutti i titoli previsti prima di richiedere la certificazione ad AgID. Per i componenti software (moduli, librerie, servizi) che svolgono funzioni di Classe 3, costituisce titolo obbligatorio l’attestazione ANAC, sia che siano sviluppati internamente sia che siano acquisiti da terzi. Il Gestore che utilizza componenti di terzi deve verificarne la conformità e, se necessario, provvedere all’ottenimento dei titoli prima dell’istanza di certificazione.
