Il DPCM del 2 ottobre 2025, pubblicato in Gazzetta Ufficiale n. 243 del 18 ottobre, aggiorna la disciplina dei contratti per beni e servizi informatici e consolida la tutela degli interessi strategici del Paese. Il provvedimento estende il perimetro operativo della sicurezza cibernetica e allinea le scelte di fornitura pubblica a criteri più selettivi e trasparenti.
Perimetro di sicurezza cibernetica e reti 5G
Il decreto inserisce reti e servizi di telefonia mobile 4G e 5G tra le tecnologie considerate strategiche, sia in modalità stand alone sia non stand alone, riconoscendo il loro ruolo nella protezione dei sistemi ICT nazionali. L’estensione riguarda soggetti pubblici e attori privati già ricompresi nel perimetro di sicurezza nazionale cibernetica. In questo modo la connettività diventa parte integrante dell’architettura di difesa digitale – non solo un’infrastruttura abilitante, ma un tassello sotto vigilanza regolatoria.
Criteri di gara e fornitori affidabili
Il DPCM introduce meccanismi di premialità per le amministrazioni e per i soggetti rappresentati nel Comitato Interministeriale per la Sicurezza della Repubblica che adottano soluzioni sviluppate in Italia o provenienti da Paesi dell’Unione Europea e della NATO, oltre che da Stati con accordi di cooperazione in materia di cybersicurezza con l’UE o con l’Alleanza Atlantica. L’obiettivo è rafforzare l’affidabilità della catena di fornitura e contenere il rischio di dipendenze tecnologiche da attori non allineati ai requisiti di sicurezza occidentali.
Il decreto aggiorna anche i codici del Common Procurement Vocabulary per riflettere in modo più preciso le categorie dei beni e dei servizi ICT oggetto delle nuove tutele. Questo adeguamento facilita la classificazione negli atti di gara e rende più coerente la mappatura degli acquisti con le priorità di sicurezza e con il quadro geopolitico attuale.
Dal punto di vista delle imprese fornitrici, il segnale è chiaro: la qualità tecnica resta decisiva, ma il rischio paese e la tracciabilità della filiera diventano elementi che pesano nella scelta. È una logica che premia chi investe in trasparenza, certificazioni e governance dei dati.
Il DPCM del 2 ottobre 2025 si innesta sul percorso già avviato con il decreto del 30 aprile 2025, rafforzandone la portata. La novità sulle reti mobili eleva il livello di controllo su infrastrutture che sostengono servizi essenziali, dal cloud pubblico alla sanità digitale, dalle piattaforme per i servizi ai cittadini alle reti industriali. Ne deriva un perimetro di protezione più concreto, con ricadute operative su audit, monitoraggi e gestione dei rischi lungo tutto il ciclo di vita delle forniture.
Per chi guida progetti digitali nella pubblica amministrazione e nelle utility, la priorità è costruire gare con requisiti chiari su sicurezza, manutenzione e continuità operativa, evitando oneri sproporzionati per le Pmi ma senza sconti sulla robustezza dei controlli.
Nel complesso, il provvedimento punta a una sovranità digitale più solida. Chi opera nel mercato dovrà misurarsi con capitolati più esigenti, prove di affidabilità documentate e una selezione dei partner in linea con la politica di sicurezza nazionale. La maturità del sistema si misurerà nella capacità di conciliare innovazione, concorrenza e tutela degli interessi strategici del Paese.
