ACCESSO AGLI ATTI NEL CODICE APPALTI E RISCHI DI SECURITY

1. Il diritto di accesso nel Codice dei Contratti

Tematica ai più sconosciuta e spesso ignorata, o comunque non scientemente valutata anche dagli addetti ai lavori degli uffici gare e appalti, è la connessione – non di primo acchito apparente, ma profondamente significativa e impattante su security, business e competitività degli operatori economici – tra l’esercizio dell’accesso agli atti nelle procedure di affidamento ai sensi del vigente Codice dei Contratti (D.Lgs. 36/2023 o “Codice Appalti”) e i rischi derivanti dalla ostensione di informazioni e dati meritevoli di riservatezza e che, in quanto tali, dovrebbero rimanere circoscritti al rapporto confidenziale tra concorrente e Stazione Appaltante.

L’accesso agli atti, istituto fondamentale del diritto amministrativo e primario strumento attuativo del principio di trasparenza dell’agire pubblico (artt. 22 e ss., L. 241/1990), ha da sempre rivestito un rilievo centrale nell’ambito delle procedure di affidamento dei contratti pubblici ed oggi, in modo ancor più pregnante e impattante. Il novellato Codice Appalti infatti, all’art. 35, comma 1, prevede che le stazioni appaltanti e gli enti concedenti assicurino in modalità digitale l’accesso agli atti delle procedure di affidamento e di esecuzione dei contratti pubblici, con acquisizione diretta dei dati e delle informazioni inseriti nelle piattaforme telematiche di e-procurement.

Ciò ai sensi degli artt. 3-bis e 22 della L. 241/1990 e altresì degli artt. 5 e 5-bis del D.lgs. 33/2013, con cui il Legislatore ha proceduto al riordino della disciplina riguardante il diritto di accesso civico (o generalizzato) e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni e con cui, ai fini della presente disamina, ha esposto informazioni e investimenti aziendali, risorse e know-how degli operatori economici a rischi rilevanti per la security aziendale e di cui ampiamente si tratterà nel proseguo. 

Se è pur pacificamente vero che la conoscenza, integrale e tempestiva, della documentazione di gara dei concorrenti e di quella prodotta dalla stazione appaltante nella gestione delle singole procedure, è indispensabile per comprendere se siano stati rispettati i princìpi basilari e generali dell’evidenza pubblica, tra cui legalità, buon andamento, par condicio e libera concorrenza, è altrettanto palese che, in particolare nelle procedure di affidamento con offerta economicamente più vantaggiosa (art. 108, D.lgs. 36/2023), i concorrenti comunicano nelle offerte comunemente note come “tecniche” e composte da relazioni ed elaborati progettuali, gestionali e organizzativi, informazioni che sono patrimonio degli stessi, prodotto di investimenti e di consulenze di professionisti e contenenti, sovente, dati ed elementi che qualora resi pubblici possono pregiudicare la sicurezza delle informazioni, quella di siti produttivi e impianti e, soprattutto anche delle risorse umane nonché, soprattutto in determinati appalti di servizi e lavori, della stazione appaltante stessa (si pensi ai servizi ospedalieri, al facility management presso obiettivi sensibili, alle opere presso infrastrutture critiche, ecc.).

Il secondo e il terzo comma dell’art. 35 trattano della tempistica dell’accesso agli atti, differenziandola in base alla tipologia di documento, al tipo di procedura e alla fase del procedimento. Fatta salva la disciplina prevista dal codice per i contratti secretati (art. 139, D.lgs. 36/2023) o la cui esecuzione richiede speciali misure di sicurezza (ad esempio nell’ambito della Difesa nazionale), l’esercizio del diritto di accesso è differito, tra le varie casistiche e per quanto di interesse nella presente trattazione, in relazione alle offerte e ai verbali relativi alla valutazione delle stesse e agli atti, dati e informazioni a questa presupposti, fino all’aggiudicazione (art. 35, comma 2, lett. d), D.lgs. 36/203).

L’esclusione del diritto di accesso a tutela del principio di riservatezza è prevista al comma 4 dell’art. 35, laddove, alla lettera a), si legge che possono essere esclusi, in relazione alle informazioni fornite nell’ambito dell’offerta o a giustificazione della medesima, i dati e le informazioni che costituiscono, secondo motivata e comprovata dichiarazione dell’offerente, segreti tecnici o commerciali”.

La disposizione citata, come vedremo, costituisce il cardine della legittima limitazione del diritto di accesso e la base giuridica per tutelare il patrimonio degli operatori economici che hanno esposto nelle proprie offerte tecniche informazioni relative allo stesso o che sono prodotto dello stesso.

Alla successiva lettera b) del comma 4, il Codice fa anche espresso riferimento alle piattaforme digitali e alle infrastrutture informatiche utilizzate dalla stazione appaltante o dall’ente concedente, ove coperte da diritti di privativa intellettuale.

Al comma 5 è stabilito che possono consentirsi accesso e divulgazione, limitatamente alle ipotesi di cui al comma 4, lettera a) (segreti tecnici o commerciali) e al comma 4, lettera b), n. 3) (piattaforme e infrastrutture informatiche), solo al concorrente e sempre che la richiesta ostensiva sia “indispensabile ai fini della difesa in giudizio dei propri interessi giuridici rappresentati in relazione alla procedura di gara”. Previsione certamente condivisibile, ma nella pratica facilmente aggirata a favore di accessi agli atti meramente esplorativi e volti a sfruttare il patrimonio e gli investimenti altrui, e pertanto da contenere, all’effetto pratico, con opportune misure atte a garantire la riservatezza delle informazioni di cui al comma 4, lett. a), rendendole meno vulnerabili e riducendo il rischio di esposizione e i danni conseguenti.

Il comma 5, di fatto, nonostante scritto con le migliori intenzioni, cioè la tutela del diritto alla difesa, espone ad abusi da parte degli accedenti e a fughe e pubblicità di dati e informazioni del soggetto che patisce l’accesso ai propri documenti tecnici e organizzativo-gestionali.

Le nuove modalità procedimentali dell’accesso agli atti di gara, a decorrere dal 1° gennaio 2024, unicamente con modalità digitali, sulle piattaforme di e-procurement, alle quali gli operatori economici concorrenti possono accedere direttamente, consente agli stessi operatori di avere più agevole e immediato accesso a tutti i dati, informazioni, documenti e verbali caricati sulla medesima piattaforma, una volta venute meno le esigenze di differimento di cui all’art. 35 comma 2.

Da ciò, deriva la disciplina prevista dall’art. 36 del Codice Appalti, quanto alle modalità operative dell’accesso agli atti di gara, secondo cui, rispettivamente ai commi 1 e 2 :

– l’offerta dell’operatore economico risultato aggiudicatario, i verbali di gara e gli atti, i dati e le informazioni presupposti all’aggiudicazione sono resi disponibili, attraverso la piattaforma di approvvigionamento digitale, a tutti i candidati e offerenti non definitivamente esclusi contestualmente alla comunicazione digitale dell’aggiudicazione ai sensi dell’articolo 90;

– agli operatori economici, collocatisi nei primi cinque posti, in graduatoria sono resi reciprocamente disponibili, attraverso la stessa piattaforma, gli atti di cui al comma precedente, nonché le offerte dagli stessi presentate.

Mentre nel vecchio codice dei contratti era previsto per l’accesso agli atti un iter conforme alla L. 241/1990, il decreto vigente automatizza dunque l’ostensione della documentazione di gara, imponendo giocoforza agli operatori economici di porre in essere adeguate misure di tutela dei propri interessi e, in particolare, dei propri cosiddetti segreti tecnici e/o commerciali.

L’iter velocizzato ed efficientato grazie alle piattaforme digitali ha un ulteriore effetto collaterale agli effetti dell’oggetto della presente dissertazione: mentre, antecedentemente alla riforma codicistica, l’accesso agli atti avveniva principalmente con presa visione degli atti cartacei, con il rilascio oneroso per l’accedente di copie fotostatiche degli stessi o con trasmissione di file da scannerizzazione del cartaceo, oggi l’accesso riguarda direttamente i file di offerta in formato digitale, in grandissima parte in pdf, facilmente copiabili nei contenuti e persino convertibili in formato editabile se non adeguatamente protetti, operazione questa sempre a cura del proprietario degli stessi, cioè del soggetto passivo dell’accesso, che quindi è chiamato ad adottare anche misure di protezione informatica dei documenti costituenti la propria offerta.

Il comma 3 dell’art. 36, prevede che nella comunicazione dell’aggiudicazione, la stazione appaltante o l’ente concedente diano atto delle decisioni assunte circa le eventuali richieste di oscuramento di parti delle offerte indicate dagli operatori ai sensi dell’articolo 35, comma 4, lettera a).

Ecco quindi che assumono rilevanza fondamentale due documenti da allegare alle offerte tecniche nelle procedure con offerta economicamente più vantaggiosa: la dichiarazione di diniego motivato, in cui sono motivate in fatto e diritto le parti di offerta da segretare, e la copia dell’offerta stessa debitamente oscurata in relazione alle succitate parti, e ciò proprio al fine di prevenire e contrastare il rischio di divulgazione e disseminazione di informazioni che, qualora rese pubbliche, esporrebbero l’operatore economico e la sua organizzazione a effetti lesivi e dannosi per il proprio patrimonio materiale e immateriale, tra cui anche a know how, immagine e reputazione, competitività e business continuity.

2. La giurisprudenza in materia di limitazione al diritto di accesso agli atti

La giurisprudenza, sin da epoca anteriore all’unificazione della normativa in materia di contratti pubblici con il D.Lgs. 163/2006, aveva affermato che progetti, relazioni e quant’altro prodotto a titolo di offerta tecnica costituisce prodotto di studi, scelte, esperienza professionale e capacità d’inventiva, che non possono essere resi pubblici, in maniera incontrollata e indiscriminata, pena un sicuro pregiudizio economico dei titolari (in primis, Consiglio Stato, Sez. VI, 19 febbraio 2002, n. 1002).

L’art. 13, comma 5, del D.Lgs. 163/2006 così come l’art. 53, comma 5, del D.Lgs. 50/2016 hanno poi previsto, in maniera sufficientemente chiara, l’esclusione del diritto di accesso e di ogni forma di divulgazione  in relazione alle informazioni fornite dagli offerenti nell’ambito delle offerte ovvero a giustificazione delle medesime, che costituiscano, secondo motivata e comprovata dichiarazione dell’offerente, segreti tecnici o commerciali.

E’ stato infatti giustamente rilevato dal Consiglio di Stato come il Legislatore abbia inteso escludere dal raggio di azionabilità del diritto di accesso la documentazione suscettibile di rivelare il know-how industriale e commerciale contenuto nelle offerte tecniche delle imprese, sì da evitare che operatori economici in diretta concorrenza tra loro possano utilizzare questo diritto non già per prendere visione della stessa, allorché utile ai fini della difesa in giudizio dei propri interessi in relazione alla procedura di affidamento del contratto e a coltivare la legittima aspettativa al conseguimento dell’appalto specifico, quanto piuttosto per giovarsi delle specifiche conoscenze possedute da altri, al fine di conseguire un indebito vantaggio commerciale all’interno del mercato (Consiglio Stato, sez. VI, 10 maggio 2010, n. 2814).

In maniera analoga si era poco prima espressa la Corte di Giustizia CE, statuendo che è possibile negare l’accesso ai dati tecnici di un’offerta, se solo si consideri che “l’obiettivo principale delle norme comunitarie in materia di appalti pubblici comprende l’apertura ad una concorrenza non falsata in tutti gli Stati membri… Per conseguire tale obiettivo, è necessario che le amministrazioni aggiudicatrici non divulghino informazioni relative a procedure di aggiudicazione di appalti pubblici il cui contenuto potrebbe essere utilizzato per falsare la concorrenza, sia in una procedura di aggiudicazione in corso, sia in procedure di aggiudicazioni successive” (Corte di Giustizia CE, sentenza 14 febbraio 2008, causa n° C-450/06).

Le procedure di aggiudicazione dei contratti pubblici, per loro natura e per il sistema di regolamentazione comunitario in materia, sono invero fondate su un rapporto di fiducia tra le amministrazioni aggiudicatici e gli operatori economici che partecipano ad esse. Questi ultimi devono pertanto poter comunicare a tali amministrazioni aggiudicatrici qualsiasi informazione utile nell’ambito della procedura di aggiudicazione, senza temere che esse rivelino a terzi elementi di informazione la cui divulgazione potrebbe arrecare pregiudizio agli operatori stessi, sia in termini di libera concorrenza che di esposizione a rischi patrimoniali e non.

Proprio per queste ragioni, l’art. 15, n. 2, della direttiva 93/36/CE prevede che le Amministrazioni aggiudicatrici hanno l’obbligo di rispettare il carattere confidenziale di qualsiasi informazione fornita dai concorrenti.

Con riguardo all’istanza del richiedente accesso, in epoca anteriore al 1° gennaio 2024, si evidenzia in ogni caso la necessarietà della circostanziata motivazione della stessa, non essendo sufficiente l’indicazione di una generica finalità, quale può essere un’affermazione generica del tipo “tutela delle proprie ragioni” o affermazioni equivalenti. Sul punto, il Consiglio di Stato aveva perentoriamente affermato che “… non è consentito esercitare l’accesso alla documentazione posta a corredo dell’offerta selezionata, ove l’impresa aggiudicataria abbia dichiarato che sussistano esigenze di tutela del segreto tecnico o commerciale ed il richiedente non abbia dimostrato la concreta necessità di utilizzare tale documentazione in uno specifico giudizio” (Consiglio Stato, sez. V, 9 dicembre 2008, n. 6121).

La stretta indispensabilità costituisce sempre lo strumento per valutare la possibilità di accogliere l’istanza ostensiva concorrente. Come noto, infatti, la stazione appaltante, così come l’ente concedente, è chiamata non solo a garantire la tutela diritto di difesa in giudizio vantato dal soggetto richiedente l’accesso, ma anche la tutela del segreto tecnico e commerciale eventualmente contenuto nell’offerta tecnica. La giurisprudenza ha infatti confermato i contenuti delle disposizioni codicistiche, in base alle quali tutte le volte che la conoscenza del documento sia indispensabile per poter gestire la propria difesa in giudizio ed anche per esigenze di trasparenza, la richiesta di accesso va accolta, ma sempre previa comparazione degli interessi in gioco (Consiglio di Stato, 29 gennaio 2024, n. 871).

L’amministrazione dunque, come era chiamata a svolgere un ruolo attivo di valutazione tra motivazione e fondatezza dell’istanza di accesso e documentata dichiarazione di diniego, a decorrere dal 2024, è parimenti attore principale e giudice circa la valutazione della fondatezza del diniego espresso prima di pubblicare a portale la documentazione nei modi e forme di cui all’art. 36 del D.Lgs. 36/2023.

È oggi evidente che il meccanismo di automatica ostensione introdotto dal nuovo Codice dei Contratti impone, da un lato, un serio impegno preventivo e proattivo da parte dei concorrenti nel motivare compiutamente e adeguatamente l’espresso diniego all’accesso alle parti di offerta da segretare e, dall’altro, alle amministrazioni di effettuare un’attenta valutazione della dichiarazione circa la presenza di segreti tecnici e/o commerciali e di operare un opportuno e spesso non semplice bilanciamento tra interessi contrapposti di trasparenza e riservatezza. Ovvio che in questa operazione di analisi e valutazione la differenza, a favore dell’interesse alla riservatezza, la può fare solo la predisposizione di un idoneo documento che motivi e dimostri, in fatto e in diritto, la presenza di informazioni da mantenere debitamente oscurate e non divulgabili.

In merito all’oscuramento delle offerte tecniche si rileva come questo non possa essere in alcun caso totale, né parziale se non motivato, in quanto contrario ai principi di trasparenza e parità di trattamento. L’operatore economico deve infatti dimostrare, opportunamente avvalendosi di professionisti e funzioni aziendali quali quelle Security e Legale, la presenza di informazioni riservate, indicarle in modo circostanziato, oscurarle nella copia prevista e dimostrare il rischio di un danno derivante dalla loro divulgazione. Specifici dati, informazioni, soluzioni e proposte debbono pertanto dimostrare di avere carattere segreto o riservato, ove afferenti ad elementi del know how aziendale (TAR Trento, Sez., I, 19 aprile 2023, n. 59).

Il termine know how va inteso come aspetto o insieme di elementi prodotto di ingegno, inventiva, esperienza concreta, investimento, ecc. e non deve essere oggetto di mere affermazioni generiche, pena il legittimo rigetto della dichiarazione di diniego; deve bensì essere suffragato dalla presenza di informazioni chiaramente identificabili, economicamente e competitivamente sfruttabili e perciò in grado di garantire un vantaggio competitivo sul mercato del settore, condizioni che per la giurisprudenza amministrativa legittimano la limitazione del diritto di accesso in quanto aventi carattere di segretezza oggettiva (cfr. Consiglio di Stato, 15 ottobre 2024, n. 8257). 

Le informazioni e trattazioni oscurate debbono pertanto costituire il prodotto di studi specialistici, applicabili a più procedure di concessione o appalto, e come tali possono essere considerati segreti tecnici e commerciali, mentre, secondo una recentissima pronuncia, non possono essere considerati segreti le proposte migliorative e i metodi organizzativi (cfr. TAR Veneto, 10 marzo 2025, n. 327).

In merito a questa ultima statuizione di primo grado, si rileva il valore patrimoniale del concetto di studi specialistici utilizzabili in più procedure e, quindi, in grado di falsare la par condicio e la libera concorrenza se utilizzati da altri operatori economici, vanificando il carattere distintivo e la competitività del titolare legittimo delle informazioni di che trattasi.

Al contempo, si ritiene che le locuzioni “proposte migliorative” e “metodi organizzativi” vadano correttamente dimensionate e valutate caso per caso. Vi sono infatti proposte che per la loro specificità al contesto e all’oggetto della gara non sono replicabili in procedure analoghe e, pertanto, non vi è ragione di non renderle accessibili, tranne nel caso, ad esempio, in cui contengano segreti di carattere industriale ai sensi dell’art. 98 del D.Lgs. 30/2005; mente ve ne sono altri in cui una circostanziata proposizione di migliorie e modalità organizzative, ancorché concepite per una particolare procedura, sono in realtà per analogia applicabili ad una indefinita quantità di altre gare, assumendo la caratteristica di “studio specialistico utilizzabile in più procedure”.

Con riferimento alla definizione di segreto tecnico e commerciale, la giurisprudenza amministrativa ha infatti statuito che la qualifica in oggetto “deve essere riservata a elaborazioni e studi, di carattere specialistico, che trovino applicazione in una serie indeterminata di appalti e siano in grado di differenziare il valore del servizio offerto solo a condizione che i concorrenti non ne vengano mai a conoscenza” (cfr. TAR Lombardia, Milano, 7 marzo 2022, n. 543 e 23 gennaio 2023, n. 203).

Ne consegue la necessità di attento oscuramento e adeguata motivazione a suffragio delle parti di offerta che, spesso anche grazie all’impiego di consulenti specialisti, contengono elaborazioni e prodotti di studi che differenziano significativamente la proposta presentatae che, qualora resi utilizzabili da altri, vanificherebbero l’unicità, la distintività e il vantaggio competitivo del proponente sul mercato.

L’offerta tecnica nelle procedure di affidamento con metodo dell’offerta economicamente più vantaggiosa deve quindi presentarsi come il prodotto di un significativo patrimonio esperienziale dell’operatore economico e di un investimento di risorse in studi, progettazione ed elaborazione che di per sé costituiscono elementi fortemente distintivi della proposta rivolta unicamente alla stazione appaltante e nell’interesse esclusivo di Quest’ultima e della collettività quale beneficiaria finale di lavori, servizi e forniture.

Come da ormai consolidato orientamento giurisprudenziale, il diniego di accesso all’offerta deve quindi essere avallato dalla presenza di informazioni precisamente individuate e con le seguenti vulnerabilità:

• suscettibilità di sfruttamento economico, in grado di garantire un potenziale indebito vantaggio concorrenziale nel mercato di riferimento all’operatore esercitante il diritto di accesso;
• presenza di effettivi e comprovabili caratteri di segretezza oggettiva, cioè la non conoscenza o non facile accessibilità da parte di altri operatori del settore delle specifiche tematiche oggetto di segretazione, salvo investimenti a livello di figure specialistiche in organico aziendale ovvero in consulenti esterni;
• presenza di effettivi e comprovabili caratteri di segretezza soggettiva, cioè di misure di protezione delle informazioni di tipo organizzativo o tecnologico ovvero consistenti in accordi contrattuali.
  Quali misure di carattere organizzativo ai annovera, su tutte, la classificazione delle informazioni su più livelli di autorizzazione all’interno dell’impresa ovvero all’interno di un raggruppamento temporaneo, consorzio o rete; di carattere tecnologico, parimenti, è la previsione di misure di difesa logica a difesa del patrimonio informativo nonché l’implementazione delle procedure di cui alla norma ISO 27001:2022 e ISO 27002:2022. In materia di accordi contrattuali atti a comprovare la segretezza soggettiva si citano le policy aziendali in materia di riservatezza sottoscritte per accettazione dai dipendenti e con previsione di sanzioni disciplinari, oltre che civili e penali, i contratti con soggetti esterni all’organizzazione aziendale, con reciproci doveri di tutela delle informazioni e non divulgazione delle stesse al di fuori del rapporto contrattuale tra impresa e consulente o tra impresa e produttore/fornitore, pena anche la violazione dei diritti di proprietà intellettuale del professionista esterno e di proprietà industriale del produttore.

(cfr., ex multis, TAR Campania, Salerno, 31 maggio 2023, n. 1294; TAR Campania, Napoli, 28 marzo 2024, n. 2078; Consiglio di Stato,15 ottobre 2024, n. 8257; TAR Veneto, 05 novembre 2024, n. 2605).

3. La security aziendale e la tutela della riservatezza nelle procedure di affidamento

In questo contesto la funzione Security è chiamata, oltre che ad agire in sinergia con la funzione Legal&Compliance, a dare un significativo contributo in termini di analisi del contesto esterno e interno (oggetto e ambito della procedura di affidamento, competitors, portatori di interesse a livello locale, nazionale, internazionale, ecc.), valutazione e analisi delle informazioni fornite nelle offerte, minacce alle stesse e minacce scaturenti dalla loro divulgazione, business intelligence, Risk Assesment e definizione di misure di trattamento del rischio, tra cui indubbiamente si annoverano le procedure interne afferenti alla segretezza soggettiva e l’adeguata, completa e performante predisposizione di un motivato diniego all’accesso che accompagni e suffraghi la copia oscurata dell’offerta. Adempimento quest’ultimo di fondamentale importanza ai sensi e per gli effetti dell’art. 35 del D.Lgs. 36/2023 e, come precedentemente accennato, trattato più come un atto dovuto – e con la superficialità che ne consegue – dagli uffici gare aziendali, anziché come un valido strumento di prevenzione e protezione degli asset aziendali e del business.

A questo fine, l’oscuramento delle parti di offerta da segretare deve interessare gli elementi aventi le seguenti principali caratteristiche:

• presenza di informazioni altamente specifiche e specialistiche;
• contenuti suscettibili di sfruttamento economico in procedure analoghe e con  indebito arricchimento da parte di operatori economici concorrenti in caso di divulgazione degli stessi;
• contenuti di management, tecnici e gestionali, verosimilmente non conosciuti dai competitor sul mercato;
• contenuti di management, tattici e operativi, conoscibili dai competitors di cui al punto che precede solo a fronte di onerosi investimenti specifici (es. in consulenti specializzati);
• informazioni classificate su più livelli di confidenzialità, riservatezza e segretezza all’interno dell’organizzazione dell’operatore economico;
• informazioni possedute derivanti da accordi contrattuali ad hoc e/o con esclusiva riconosciuta dai propri partner commerciali;
• informazioni, dati ed elementi descrittivi di processi, modalità di gestione, ecc. di proprietà dell’operatore economico, quindi strettamente e incontrovertibilmente facenti parte del patrimonio aziendale materiale e immateriale e con conseguenti problematiche di security, trattandosi di informazioni sensibili (ad esempio, tra le numerose, la programmazione delle attività all’interno dell’azienda o presso il luogo di erogazione di un servizio, le procedure di segreteria e gestione di dati sensibili, le procedure di manutenzione di impianti, le metodologie di lavoro laddove specialistiche e innovative, la cybersicurezza e la protezione della propria data farm, ecc.) la cui conoscenza potrebbe favorire condotte antigiuridiche a danno dell’impresa, del proprio personale, dei propri beni e aventi causa (si pensi, a mero titolo esemplificativo, a minacce consistenti in sabotaggi, furti, attentati, spionaggio industriale, ecc.);
• informazioni attinenti alla organizzazione della security dei siti produttivi e della supply chain (stabilimenti, cantieri, piattaforme logistiche, transport facilities, ecc.), trattandosi di informazioni con rapporto luogo produttivo – risorse umane presenti – tipologia e valore dei beni, la cui ostensione a terzi e la possibile relativa disseminazione potrebbe comportare l’esposizione a minacce di matrice antigiuridica e criminosa con riverbero sia sulle risorse umane, bene inestimabile da proteggere, che sul compendio produttivo e sul ciclo di lavoro;
• la trattazione di procedure relative al business continuity management ai sensi della norma ISO 22301:2019 e, pertanto, al piano di continuità operativa che è proprietà intellettuale e industriale dell’operatore compliant rispetto alla norma citata;
• la trattazione di procedure relative al crisis management ai sensi della norma ISO 22361:2023, per le medesime motivazioni di cui al punto che precede e in quanto verrebbero rese accessibili procedure e contromisure che, per loro intima natura, sono attuate in situazioni contingenti ed emergenziali, quali eventi interruttivi della produzione e la concretizzazione fenomenologica di una crisi;
• informazioni sul ciclo di erogazione delle attività contrattuali presso immobili e aree della stazione appaltante o suoi aventi causa, aventi carattere di esclusività e unicità, in quanto attinenti al rapporto tra appaltatore e committente, e in quanto tali non conoscibili a terzi soggetti e prodotto di studi e investimenti sia di tempo (sopralluoghi e progettazione) che economici in termini di risorse umane dedicate al project management. Si rilevano in merito anche minacce alla physical security, oltre che dell’operatore economico e delle sue risorse umane e materiali, anche per la committenza e la collettività, in quanto potrebbero essere oggetto di divulgazione e disseminazione informazioni di dettaglio su ciclo della attività in un contesto critico, sensibile o comunque vulnerabile;
• contenuti tecnici frutto di inventiva o protetti quali opere dell’ingegno (es. brevetti), ad alta specializzazione tecnologica, e pertanto attinenti anche alla proprietà intellettuale di partner commerciali e passibili di sfruttamento indebito nel mercato di settore da parte di altri competitor senza alcun investimento da parte di questi ultimi e con il carattere della non conoscibilità da parte di altri operatori economici, in assenza di ricerche e investimenti in tal senso (segretezza oggettiva), e connotate dalla esistenza di misure di segretezza soggettiva in ragione del derivare da accordi commerciali e partnership con specialisti;
• dati e caratteristiche dei sistemi informativi sviluppati in house ovvero utilizzati in virtù di contratti di licenza, con dettaglio circa misure di cybersicurezza, difese logiche, compliance normativa. Significativi sono in tal senso gli investimenti oggi sempre più richiesti in materia di adeguamento alle più recenti normative e prescrizioni di settore, tra cui quelle dell’ACN, considerati altresì gli ambiti estesi di applicazione della recente direttiva NIS 2. Parimenti da considerare sono gli investimenti relativi alla infrastruttura informatica, in termini di ridondanza, sicurezza dei dati e funzioni apposite per rispondere alle esigenze contrattuali. L’estendere a terzi soggetti le specifiche informazioni significherebbe porre nell’altrui disponibilità elementi di compliance e Information Security, modalità di gestione, policy, misure di management (patch management, change management, disaster recovery, system integration, ecc.) che, oltre ad essere proprietà intellettuale, presentano profili di vulnerabilità in materia di sicurezza delle informazioni e delle reti;
• procedure e manuali di qualità, gestione ambientale, salute e sicurezza, Risk management, in ragione della concretezza e attualità dei dati ivi riportati e strettamente riguardanti il singolo operatore economico ma, al contempo, mutuabili da altri soggetti nel proprio contesto, conseguendo un vantaggio economico (assenza o contrazione dei costi per procedure e sistemi certificati e di compliance) e intellettuale, in ragione del venire in possesso di processi già implementati e quindi, nella pratica, “pronti all’uso”;
• documenti di valutazione dei rischi, sia a livello corporate e di business (rischi speculativi) che a livello di sicurezza e quindi di rischi puri, intesi come minacce alla safety (antinfortunistica e tutela della salute sul lavoro) e alla security (condotte criminose, antigiuridiche o comunque potenzialmente dannose o lesive per l’organizzazione), la cui divulgazione non solo si traduce nella conoscibilità di know how e processi, ma anche e soprattutto di vulnerabilità (cosiddetti punti deboli) dell’organizzazione, di situazioni oggetto di politiche di miglioramento, di strategie sul mercato, di ricerca e sviluppo e politiche aziendali;
• presenza di dati e informazioni personali, ad esempio di figure aziendali e consulenziali in staff e operative. In osservanza del GDPR (regolamento 679/2016/UE)  in materia di protezione dei dati personali, il trattamento di dati che riconducono a persone determinate, perché giocoforza non pseudoanonimizzabili,  deve essere circoscritto alla singola procedura e le informazioni di che trattasi debbono rimanere limitate e circoscritte al rapporto tra titolare del trattamento e stazione appaltante, pena esposizione alle azioni previste dall’ordinamento a tutela dei dati personali.

Quanto alla scelta di assicurare l’immediata e reciproca “messa a disposizione digitale” degli atti, la Relazione di accompagnamento al Codice dei Contratti vigente l’ha giustificata con esigenze di efficienza amministrativa e velocità del procedimento, ma la ha altresì calmierata, in relazione alla previsione dell’art. 36, onde evitare partecipazioni alle procedure di gara “pretestuose”, in quanto un ampliamento eccessivo della regola della conoscibilità diretta delle offerte potrebbe indurre molti operatori economici a partecipare alle gare a mero titolo esplorativo ancorché con scarse o assenti chance di buon piazzamento in graduatoria. Ciò non esime dal dover operare, caso per caso e a priori, non conoscendo il proprio esito nella partecipazione alla gara, un’attenta analisi delle trattazioni da segretare da parte delle figure aziendali più idonee.

Quanto alla immediata comunicazione e decisione da parte della stazione appaltante sulle eventuali richieste di oscuramento di segreti tecnici e commerciali, la Relazione succitata – nel sottolineare l’utilità di un tale modus procedendi rispetto alle esigenze di speditezza delle procedure – ha rimarcato come la stazione appaltante, già nella fase procedimentale della valutazione delle offerte, abbia modo di considerare la sussistenza e la rilevanza delle ragioni di segretezza dichiarate dai partecipanti. Proprio per ottimizzare i tempi, pertanto, già in questa fase la commissione di gara valuterà se l’offerta, nel caso in cui dovesse rientrare nelle ipotesi di cui ai commi 1 e 2 dell’art. 36, potrà essere resa accessibile nella sua interezza oppure andranno mantenute coperte, perché ritenute segrete, le parti indicate dall’operatore economico.

In caso di messa a disposizione sulla piattaforma dell’offerta selezionata, con indicazione delle parti oscurate, il procedimento di accesso nella sua fase amministrativa si intenderà così concluso, per cui coloro che hanno interesse a conoscere le parti riservate dovranno adire direttamente il giudice amministrativo.

L’art. 36 del Codice contiene poi disposizioni di carattere processuale, che introducono e delineano un nuovo rito speciale, caratterizzato da termini assai stringenti, concernente le sole decisioni assunte in merito alla divulgabilità o meno dei secreti tecnici e/o commerciali indicati dai concorrenti.
La norma prevede – al suo comma 4 – che le decisioni sono impugnabili ai sensi dell’art. 116 del D.lgs. 104/2010 (Codice del processo amministrativo), con ricorso notificato e depositato entro dieci giorni dalla comunicazione digitale della aggiudicazione di cui all’art. 90 D.lgs. 36/2023 e che, in tali giudizi, le parti possono costituirsi entro dieci giorni dal perfezionamento nei propri confronti della notifica del ricorso. A tutela dei singoli concorrenti che abbiano dichiarato in offerta la presenza di segreti tecnici e/o commerciali da oscurare (a norma dell’art. 35, comma 4, lett. a, D.Lgs. 36/2023), il comma 5 dell’art. 36 prevede che, laddove la stazione appaltante non condivida le ragioni di segretezza rappresentate dall’offerente selezionato e/o dagli altri 4 collocatisi in graduatoria dopo il primo (a fronte della immediata messa a disposizione digitale della loro documentazione di gara, di cui ai commi 1 e 2), l’ostensione delle parti dell’offerta di cui è stato richiesto l’oscuramento non è consentita prima del decorso del termine di impugnazione delle decisioni di cui al comma 4.

La velocità che contraddistingue il rito impone un approccio preventivo, ancorché ipotetico, all’evenienza di dover agire, e una rapida capacità di reazione e attivazione delle funzioni security, gare e appalti, legale e avvocato amministrativista, compresa una rete di domiciliatari ove necessaria per la rappresentanza in giudizio. La possibilità di adire il giudice amministrativo, a fronte del rigetto da parte della stazione appaltante del diniego all’accesso, costituisce una doverosa e legittima tutela  ma, vuoi per l’onerosità del procedimento (tempo, costi, ecc.), vuoi per scelte più o meno condivisibili di cosiddetto “quieto vivere”, le aziende sovente desistono e finiscono per tacitamente e passivamente acconsentire all’ostensione e al rilascio della copia non oscurata dei propri elaborati. Occorre quindi una importante ponderazione caso per caso sul rapporto costi – benefici delle azioni da intraprendere, privilegiando la protezione del proprio patrimonio, la business continuity e la reputazione sul mercato.

Seria minaccia al conseguimento degli obiettivi di cui alla presente trattazione è invece il comma 6 dell’art. 36, che mira – nell’intenzione del Legislatore – “a scongiurare la pratica abbastanza diffusa tra gli operatori economici di indicare come segrete parti delle offerte senza che sussistano reali ragioni”. Il comma di che trattasi prevede infatti la facoltà per la stazione appaltante, che ritenga insussistenti, o anche strumentali e defatiganti, le ragioni di segretezza dichiarate dal concorrente, di inoltrare segnalazione all’ANAC la quale può irrogare una sanzione pecuniaria nella misura stabilita dall’articolo 222, comma 9, qualora vi siano reiterati rigetti di istanze di oscuramento. La disposizione, di dubbia legittimità costituzionale a parere di chi scrive, tende sì correttamente a inibire e scoraggiare dal dichiarare inesistenti o fallaci esigenze di segretezza e l’oscuramento indiscriminato privo di motivazione; tuttavia ciò si traduce nell’inibire a priori la facoltà di avvalersi dell’istituto del diniego motivato anche laddove fondato e doveroso per tutelare l’impresa. Questa situazione costituisce un ulteriore rischio per gli operatori economici, che oltre al danno dell’ostensione dei propri elaborati rischiano pure la beffa (e il danno economico) della sanzione. Rebus sic stantibus, la minaccia di segnalazione all’ANAC e sanzionatoria impongono, al contempo, di eseguire l’attività di oscuramento e di redigere la dichiarazione motivata a supporto in modo estremamente compito, preciso, circostanziato e giuridicamente ineccepibile. Ciò dovrebbe appunto essere svolto non dall’ufficio gare, solitamente oberato da scadenze e da altre produzioni, bensì dalla funzione Security e da quella Legale, a tutela di persone, beni materiali e immateriali e della competitività d’impresa.

4. L’accesso civico generalizzato: un ulteriore rischio di security

Con riguardo alla disciplina di cui all’art. 36, commi 1, 2 e 3, del Codice dei Contratti e al rinvio codicistico (cfr. Relazione del Legislatore al D.Lgs. 36/2023) all’art. 55, comma 2, lett. c) della direttiva 2014/24/UE, che spalanca le porte alla ostensione dell’offerta selezionata, e soprattutto al diritto di accesso civico generalizzato ai sensi dell’art. 5, D.Lgs. 33/2013 applicato ai contratti pubblici, le minacce a danno dell’aggiudicatario così come a quelle dei successivi 4 operatori in graduatoria si amplificano ulteriormente e in maniera potenzialmente esponenziale, in quanto chicchessia può entrare in possesso di informazioni e dati riservati meritevoli di tutela e segretazione.

In merito, il Consiglio di Stato, in Adunanza Plenaria, ha definitivamente riconosciuto la possibilità di conoscere, da parte del quisque de populo, gli atti delle procedure di gara, nei limiti della tutela degli interessi pubblici e privati coinvolti, secondo quanto previsto dall’articolo 5-bis del D.lgs. 33/2013 (Consiglio di Stato, 2 aprile 2020, n. 10).
Ciò porta a ritenere che l’offerta selezionata all’esito di una procedura di gara, diventi di interesse pubblico in quanto, rispetto alla collettività, è l’offerta che la pubblica amministrazione si impegna a realizzare e a pagare con soldi pubblici, con la possibilità, pertanto, di essere conosciuta da tutti i cittadini, oltre che dai partecipanti alla procedura di gara, che sono in linea teorica legittimati a conoscere gli atti della medesima e a sapere come l’Amministrazione ha fatto la sua scelta, anche per tutelare i propri interessi in sede processuale.

Con il vigente Codice dei Contratti, il Legislatore ha positivizzato quanto già ammesso dalla giurisprudenza amministrativa e in particolare dall’Adunanza Plenaria del Consiglio di Stato, con cui è stata definitivamente sdoganata l’applicabilità dell’accesso civico nella materia dei contratti pubblici e in ogni loro fase, facendosi scudo con l’abusato principio di trasparenza, che si esprime nella “conoscibilità dei documenti amministrativi e rappresenta il fondamento della democrazia amministrativa in uno stato di diritto, assicurando anche il buon funzionamento della pubblica amministrazione attraverso l’intellegibilità dei processi decisionali e l’assenza di corruzione” (Consiglio di Stato, 11 aprile 2022, n. 2670).

Pur comprendendo il valore dei principi di trasparenza e pubblica partecipazione all’amministrazione della cosa pubblica, è pertanto essenziale che i dati e le informazioni trattate in offerta tecnica siano debitamente tutelate e segretate laddove ne sussistano gli estremi, onde evitare che astratti proclami di principio, svincolati dalla realtà, si trasformino agevolmente in concrete minacce per le imprese e cagione di rischi e danni diretti, indiretti e consequenziali per le realtà produttive.

La conoscibilità indiscriminata delle proposte tecniche e progettuali espone infatti gli operatori economici a rischi gravi per la security, annoverandosi tra questi i reati contro persone e patrimonio materiale e immateriale, danni di immagine e reputazione, danni legali da azioni di partner commerciali cui potrebbe risultare violata la proprietà intellettuale o industriale, danni alla business continuity e alla competitività sul mercato.

Rischi che peraltro si riverberano anche sulle stazioni appaltanti stesse, in quanto spesso nelle offerte tecniche sono trattate in dettaglio, sia grafico/planimetrico che descrittivo e sotto forma di relazioni, informazioni strutturali e funzionali di siti e immobili pubblici, peraltro spesso obiettivi sensibili (ad esempio Università, scuole, musei, sedi istituzionali, ecc.)e infrastrutture critiche nazionali ed europee (ospedali, porti, aeroporti, stazioni e tratte ferroviarie, impianti energetici, ecc.).

L’importanza del diniego e dell’oscuramento è quindi accresciuta e ulteriormente rinvigorita, sicché si ritiene opportuno e doveroso oscurare sempre le informazioni sensibili e vulnerabili, quali le analisi di rischio, le descrizioni di processi, stabilimenti produttivi e uffici, i dati personali, le specifiche delle misure adottate per la cybersecurity e per la sicurezza dell’infrastruttura informatica, il riporto di dettagli della vita interna dell’azienda e dei flussi logistici e di lavoro, delle catene di fornitura, ecc. Elementi tutti aventi le caratteristiche richieste dalla giurisprudenza precedentemente citata per poter essere legittimamente riconosciuti come segreti tecnici e/o commerciali. 

Questo rapporto bilaterale tra operatore economico e stazione appaltante, con condivisi rischi di security, è caratterizzato non tanto dal trasferimento di quote di rischio, quanto piuttosto dalla consequenzialità del rischio stesso.
Informazioni sensibili e riservate riguardanti l’operatore economico sono infatti messe nella disponibilità del pubblico (da parte dell’amministrazione stessa) con possibili ripercussioni – patrimoniali e non – sul titolare delle informazioni medesime, come precedentemente trattato; soggetti non parte del rapporto tra committente e operatore economico, di conseguenza, entrano in possesso di elementi conoscitivi utili per minacciare e ledere interessi dell’amministrazione, sia allo scopo di commettere di reati, anche di una certa gravità come si vedrà nel proseguo, sia per intaccare la reputazione e l’immagine dell’ente così come dell’operatore economico.

È quindi fortemente necessario che, da un lato, gli operatori economici illustrino e motivino adeguatamente il proprio diniego alle informazioni contenute nelle proprie offerte e che le amministrazioni, a fronte di istanze di accesso civico, valutino attentamente e con la doverosa sensibilità le domande ricevute, soppesando l’esistenza dell’interesse motivato all’accesso e le ripercussioni del concederlo, per sé e per l’operatore economico, il tutto nel pieno rispetto dei principi applicabili agli atti amministrativi nella normativa vigente.

A titolo esemplificativo, si riportano – tra gli innumerevoli possibili –  i seguenti casi:

• esplicitazione in offerta tecnica di informazioni circa l’ubicazione di locali presidiati, orari di presidio e numero di addetti alla vigilanza ovvero ai servizi ausiliari alla sicurezza in turno, metodologie di esecuzione del servizio adottate, presso un museo, una galleria d’arte oppure presso una sede universitaria o ministeriale, con conseguente conoscibilità di dati idonei ad ordire azioni criminose, a soggetti dediti al furto di opere d’arte o ad atti vandalici;
• descrizione della disponibilità di mezzi di pronto intervento e per ronde ispettive e delle specifiche tecniche di centrali operative, di telesorveglianza e televigilanza ai sensi della norma UNI 50518:2023 di Istituti di cui al DM 269/2010 e alla norma UNI 10891:2022; informazioni utili per progettare azioni e piani mirati aventi ad oggetto sedi e installazioni oggetto di protezione e controllo da parte di un Istituto di Vigilanza ovvero di mezzi per il trasporto valori;
• informazioni afferenti all’impiantistica in ambito ospedaliero oggetto di appalti di facility management, la cui indiscriminata conoscibilità espone l’infrastruttura a sabotaggi e attentati;
• informazioni circa depositi temporanei, e relative misure di difesa e gestione, e sul flusso logistico dei rifiuti di radiologia e medicina nucleare presso aziende ospedaliere, in quanto materiali soggetti a misure di Nuclear & Radiological Security e attenzionati in quanto “dual use”, ovverosia utilizzabili per attentati di matrice terroristica o per azioni equiparabili e, quindi, possibili oggetto di furto da parte di organizzazioni terroristiche così come da parte di gruppi sovversivi;
• descrizione di misure di sicurezza attiva (videosorveglianza, allarmi antintrusione e controllo accessi) e passiva (tipologie di cancelli, recinzioni, finestre, armadiature e casseforti, ecc.), di personale in servizio e relativi orari di presenza, presso un magazzino farmaceutico di un’azienda sanitaria, obiettivo sensibile in quanto contenente grandi quantità di farmaci, nonché stupefacenti, veleni, gas medicali, ecc.;
• informazioni circa le aree Air side di un aeroporto e delle relative difese perimetrali, così come di quelle portuali cui si accede dai varchi doganali, ad esempio in una procedura di affidamento di servizi di handling, di pulizia o manutenzione del verde, che si rivelano così causa di vulnerabilità, esponendo l’infrastruttura a numerosi rischi quali, in primis, il terrorismo e reati contro la sicurezza dei trasporti, così come possono favorire traffici illeciti e indebite intrusioni in perimetri ad accesso limitato o interdetto;
• informazioni e descrizioni tecniche di impianti attinenti alle infrastrutture ferroviarie, con potenziale accessibilità dei dati stessi a soggetti che ordiscono atti finalizzati alla interruzione del traffico, al sabotaggio, ad azioni di disturbo strumentali a tumulti e manifestazioni di varia natura e finanche a reati gravissimi come il disastro ferroviario e riconducibili al terrorismo;
• esposizione di percorsi, tabelle orarie, descrizione dei carichi e delle modalità di carico, scarico e trasporto, identificazione dei mezzi, ecc., in procedure di affidamento di servizi di logistica, con conseguente conoscibilità a terzi di informazioni passibili di essere utilizzate per pianificare rapine, furti e minacce alla supply chain;
• procedure di lavoro presso uffici segretariali, front office e backoffice, contact center, help desk e affini, con trattamento dati sensibili e personali e archiviazione degli stessi in formato cartaceo e/o digitale su dispositivi e server, in quanto, oltre ai rischi di violazioni contemplati dal GDPR, la conoscibilità da parte di terzi dei processi adottati si rivela una vulnerabilità del sistema di gestione delle informazioni, offrendo il fianco a possibili accessi indebiti, furti o danneggiamenti di dati dell’operatore economico e degli interessati al trattamento;
• procedure di lavoro in servizi che prevedono il maneggio di contante, quali ad esempio la gestione di parcheggi, ticketing, biglietterie, ecc., laddove sono specificate le modalità di gestione del denaro incassato e di relativi deposito temporaneo e trasporto, in quanto informazioni di interesse per compiere rapine e furti,con diversi livelli di rischio in base al rapporto tra momento e luogo di detenzione del contante;
• presenza nei curricula professionali, spesso riportati nelle offerte tecniche e nella documentazione amministrativa, di dati personali quali luogo e data di nascita, inquadramento (da cui si desume una verosimile retribuzione), residenza, contatto telefonico, ecc., che, laddove resi pubblichi, espongono le persone a una moltitudine di minacce, da quelle riguardanti i dati personali, a pedinamenti, a furto in abitazione, a efferati delitti di rapina, estorsione, sequestro di persona, con esposizione al rischio anche dei propri familiari;
• procedure di due diligence (es. sulle risorse umane, sui fornitori e partner commerciali e così via), che rese pubbliche possono fungere da utile indirizzo per simulare idoneità ad incarichi in azienda e ad eludere i controlli operati in fase pre-assuntiva e di qualificazione fornitori, e possono altresì essere utilizzate per condurre pretestuose campagne diffamatorie e arrecare un danno reputazionale all’operatore economico.

Richiamato l’orientamento giurisprudenziale circa le caratteristiche che le informazioni debbono avere per essere considerate segreti tecnici e/o commerciali e per essere ammesse all’oscuramento con diniego all’accesso, in particolare che tali elementi debbano avere caratteristiche di innovazione, alta specializzazione, di derivazione da studi specialistici, di non agevole conoscibilità dai competitors, di essere economicamente e competitivamente sfruttabili e perciò in grado di garantire un vantaggio competitivo sul mercato del settore, emerge come il Legislatore e la Giustizia amministrativa trattino la materia solo sotto il punto di vista della disciplina della libera concorrenza e della tutela della par condicio tra concorrenti, per riconoscere e ammettere limitazioni all’attuazione del principio di trasparenza, e, solo di riflesso e in via mediata e complementare, tendano alla protezione della proprietà intellettuale e industriale degli operatori economici, soggetto passivo dell’esercizio del diritto di accesso, e loro aventi causa. Nessuna attenzione, nemmeno in via laterale od incidentale, è rivolta alle tematiche di security, tant’è che informazioni specifiche come negli esempi precedentemente riportati non sono ritenute segreti tecnici e/o commerciali, proprio perché spesso spendibili solo in una procedura specifica e non replicabili, quindi non in grado di alterare il mercato in caso di altrui appropriazione e utilizzo. Che non sono segreti tecnici o commerciali è abbastanza veritiero, anche se la valutazione andrebbe sempre operata caso per caso e in base al contesto, ma è palesemente vero che informazioni come quelle esemplificate rappresentano catalizzatori di vulnerabilità e di esposizione a minacce.

L’accesso civico ben si presta, infine, ad azioni illegittime di spionaggio e competitive intelligence. Con la maschera dell’esercizio dei diritti sulla cosa pubblica, un soggetto può accedere agli atti di gara ed estrarre quanto di interesse del suo mandante, che ben può essere un’impresa non partecipante alla procedura di affidamento, intenzionata a impadronirsi di informazioni e di modi di presentare le offerte in future procedure, così come può essere un’impresa non ammessa all’accesso automatico in quanto classificata oltre il quinto posto di graduatoria di gara (cfr. art. 36, comma 2, D.Lgs. 36/2023).

Un’ultima evidenza di criticità di security riguarda i livelli di accesso alle informazioni da parte del personale delle imprese che esercitano, con successo, l’accesso agli atti.  Frequentemente, una volta accedute le offerte degli altri concorrenti, queste sono disseminate all’interno delle aziende per essere rese conoscibili a diverse funzioni, sia manageriali che impiegatizie.
Il risultato è che, in assenza di controlli interni – sia in fase pre-assuntiva, per avere contezza delle caratteristiche di coloro ai quali saranno fornite le informazioni, sia durante la vigenza del rapporto di lavoro –  e di una disciplina chiara e ferrea di riservatezza delle informazioni di cui si venga a conoscenza nell’esercizio delle proprie funzioni, gli elementi di know how, prodotto di ingegno, segreti commerciali e industriali, peculiarità con evidenze di security (cfr. esemplificazioni in precedenza riportate), finiscono nella disponibilità incontrollata di una moltitudine di soggetti con conseguente amplificazione dei rischi, che vanno dalla vendita e indebito utilizzo delle informazioni alla commissione, al concorso e al favoreggiamento di reati a danno di altri operatori economici e/o di stazioni appaltanti. Ecco che quindi, anche per fronteggiare efficacemente queste condotte, è fondamentale il predisporre adeguate dichiarazioni di diniego all’accesso agli atti ed eseguire con attenzione l’oscuramento delle offerte nelle parti che si ritiene opportuno segretare.

5. Conclusioni

L’adeguata formulazione del diniego in sede di presentazione delle offerte, in particolare nelle procedure con offerta economicamente più vantaggiosa, e la precisa e mai frettolosa edizione delle copie oscurate delle offerte tecniche, si rivelano quindi misure procedurali di trattamento di numerosi rischi cui sono esposti gli operatori economici partecipando a procedure di affidamento di contratti pubblici. A maggior ragione con l’entrata in vigore del D.Lgs. 36/2023, che automatizza la procedura di accesso agli atti, a differenza della disciplina previgente che prevedeva l’istanza da parte degli interessati all’esercizio dell’accesso. Lo sbilanciamento a favore della trasparenza, a svantaggio della riservatezza, e i conseguenti rischi per il business e la competitività, impongono con veemenza che gli operatori economici, avvalendosi di idonee professionalità nel campo della security e legale, adottino caso per caso (ergo, gara per gara), adeguate misure per negare fondatamente l’accesso agli atti.

L’accesso di altri operatori economici alle informazioni oscurate si traduce infatti nell’acquisizione a titolo gratuito di elementi tali da poter essere utilizzati sul mercato contro il legittimo proprietario degli stessi, con indebito arricchimento riscontrabile nello sfruttamento delle conoscenze carpite in altre procedure di affidamento e, in generale, nel mercato, vanificando impegni e investimenti operati dall’operatore economico che patisce l’accesso agli atti, con violazione di diritti di proprietà intellettuale, potenziale perdita di appeal sul mercato, messa a repentaglio della business continuity e della competitività, ponendo così a rischio le chance di aggiudicazione in affidamenti futuri, ponendo fortemente in condizioni di vulnerabilità la stabilità dell’impresa, del proprio personale dipendente e altresì dei creditori e dei soci.

Danno indiretto in termini di violazione della proprietà intellettuale e pregiudizio al business è indirettamente patito anche dagli specialisti, consulenti e liberi professionisti, studi professionali e partner commerciali degli operatori economici che subiscono l’accesso atti. È infatti di tutta evidenza che, consentendo l’accesso agli atti, anche coloro i quali non hanno rapporti con le citate professionalità, potrebbero entrare in possesso di informazioni tutelate e da tutelarsi in ragione dei rapporti in essere di natura contrattuale e commerciale tra essi e l’operatore economico i cui atti sono acceduti. Il possesso acquisito a titolo gratuito con lo strumento dell’accesso agli atti, oltre che violare la segretezza soggettiva delle informazioni – proprio perché soggiacenti ad accordi ad hoc – si concreta nell’acquisizione di elaborati, idee e prodotti da parte di terzi non clienti e a titolo gratuito.
In questo caso, l’inadeguata predisposizione di diniego all’accesso e l’errato od omesso oscuramento delle informazioni frutto dell’ingegno altrui in virtù di incarico professionale opportunamente disciplinato, espongono l’operatore economico negligente e improvvido ad azioni da parte dei consulenti e partner commerciali, cioè al rischio legale, con conseguente necessità di gestire un contenzioso, patire una eventuale quanto verosimile condanna risarcitoria e le spese relative al sostenere un giudizio ordinario, ovvero di dover soccombere in sede di composizione transattiva del contenzioso, patendo comunque un danno economico.

L’accesso agli atti, infine, può essere strumentale alla commissione di svariati reati contro la persona, contro il patrimonio materiale e immateriale, nonché causa di danni di immagine e reputazionali consequenziali, sia per l’operatore economico che subisce l’ostensione della propria documentazione, sia per la stazione appaltante e suoi aventi causa qualora siano divulgate informazioni attenzionabili in termini di security.

In linea generale, si conclude altresì rappresentando che, come ben noto, se ai fini di eventuali azioni dinanzi alla giustizia amministrativa può essere utile agli interessati l’accesso alla documentazione amministrativa, all’offerta economica e ai giustificativi (in caso di anomalia dell’offerta) dell’aggiudicatario e dei primi 5 operatori in graduatoria, al contrario a nulla rileva l’accesso alla documentazione tecnico-qualitativa, cioè alla cosiddetta offerta tecnica, in quanto tale non soggetta al sindacato del giudice amministrativo, che non esercita l’azione giudicante con discrezionalità tecnica e che perciò finisce per essere utilizzata dagli operatori economici solo a scopo esplorativo e cioè come fonte cui attingere per migliorare senza merito alcuno la propria progettazione e le proprie proposte.

In sostanza, quindi, la normativa vigente che disciplina il diritto di accesso diviene indebitamente strumento di appropriazione del patrimonio tecnico-gestionale e commerciale d’altri al fine del successivo sfruttamento, in aperto contrasto con le norme che tutelano, da un lato, il diritto alla riservatezza e, dall’altro, la libera concorrenza.

Sfruttamento che dal piano commerciale e industriale può estendersi alla commissione di reati con lo scopo di danneggiare imprese concorrenti e mercato, quali, a titolo meramente esemplificativo, sabotaggi, furto di informazioni e di beni materiali, attentati, rapine, ma anche condotte diffamatorie, lesive della reputazione, ad esempio dileggiando pubblicamente le altrui proposte tecniche e commerciali o utilizzando le stesse per millantare l’inadeguatezza e l’incompetenza di concorrenti. In questo caso, si potrebbe parlare di “accesso offensivo”, cioè operato non per difendere i propri interessi in giudizio (“accesso difensivo”) né per finalità esplorative (“accesso pretesto” o “accesso ricognitivo”), bensì per attaccare uno o più competitors con lo scopo di screditarli.

Da ultimo si rifletta sulla contraddittorietà dell’accesso indiscriminato agli atti, in particolare alle offerte tecniche, in quanto automaticamente ammesso salvo che siano riconosciute fondatezza e motivazione delle dichiarazioni di diniego. L’automatismo introdotto dal Codice Appalti, unitamente alla prassi invalsa da ormai due decenni dalle stazioni appaltanti di concedere agevolmente e con superficialità l’ostensione della documentazione di gara prodotta dagli operatori economici, si manifestano come favoreggiamento della perpetrazione di un abuso di diritto.
Come infatti sono tutelati i diritti di proprietà industriale, la riservatezza dei dati e il segreto tecnico nel diritto civile e penale, e perciò  severamente punite azioni quali lo spionaggio industriale, l’appropriazione di dati e informazioni tecniche e commerciali, l’infedeltà dei dipendenti, ecc., è chiaramente un controsenso giuridico che, in un settore cotanto sensibile come quello delle procedure per l’affidamento dei contratti pubblici, imprese tra loro concorrenti possano invece accedere alle stesse informazioni, con il beneplacito delle stazioni appaltanti cui le informazioni di che trattasi sono state fornite dagli operatori economici nell’ambito della confidenzialità e della segretezza delle offerte.

A cura di Stefano Bassi

Estratto curricolare dell’autore

STEFANO BASSI

Laurea Magistrale in Giurisprudenza, Master’s Degree in Scienze della Difesa e della Sicurezza, Master universitario “Manager della Security”.

Certificato Professionista della Security UNI 10459:2017 (credenziale ICMQ n° 25-00890).

Iscritto ad AIPSA – Associazione Italiana Professionisti della Security Aziendale.

Referente area Parma Divisione Security per SQUAD S.M.P.D. (NATO cod. NCAGE AN161, ONU cod. UNGM 398296)

Vanta 20 anni di esperienza in materia di Security in contesti di media e alta complessità.

Si è occupato di analisi sociale, geopolitica e dei fenomeni criminosi, Travel Risk Management e difesa di siti produttivi per cantieri e attività commerciali in Italia, Est Europa e Africa occidentale, di coordinamento tattico e operativo di filiale in Romania, project management e compliance. Ha ricoperto il ruolo di Responsabile Affari Legali e Appalti presso impresa del settore delle costruzioni infrastrutturali e di protezione civile e, successivamente, di Project Manager d’Area Security, Safety e Facility Management presso un’importante Società multiservizi in ambito sanitario e istituzionale.

Ha quindi svolto la funzione di responsabile Security, Affari legali e Risorse Umane presso Società di servizi e progettazione nell’ambito dei contratti pubblici. Attualmente Security Manager e Senior Security Project Manager nell’ambito dei servizi pubblici presso infrastrutture critiche e obiettivi sensibili (Aziende Ospedaliere, aeroporti e porti, stazioni e reti ferroviarie, Università, caserme e installazioni militari e di Pubblica Sicurezza, Ministeri e altre Amministrazioni Pubbliche) e dei servizi privati in grandi contesti industriali e poli logistici.

Ha svolto attività accademica in materia di diritto dell’Unione europea e diritto internazionale, dedicandosi in particolare a tematiche inerenti geopolitica e contratti pubblici, difesa strategica militare e sicurezza comune, missioni militari nell’ambito delle Nazioni Unite e della NATO, Intelligence e cooperazione polizia giudiziaria.

Ha servito nell’Arma dei Carabinieri ed è attualmente attivo in qualità di socio effettivo presso l’Associazione Nazionale Carabinieri, Sezione di Parma.