Algoritmi per la valutazione delle offerte e automatizzazione delle gare: sono i tratti, rivoluzionari per il diritto amministrativo, che modelleranno, dal bando al collaudo, gli appalti di stampo tutto digitale confezionati dal nuovo codice dei contratti pubblici (dlgs n. 36/2023). Peraltro, proprio per questi profili, la riforma del public procurement impone, da subito, una mole di adempimenti documentali e tecnici sulle stazioni appaltanti e un ciclo di formazione ad hoc degli operatori. Le stazioni appaltanti devono, quindi, sfidare il digitale e le intelligenze artificiali per mettere in piedi e gestire procedure online ed esami interamente automatizzati dei documenti presentati dai partecipanti alle selezioni.
La domanda, a questo punto, è quanto sia pronto il settore della contrattualistica pubblica ad affrontare un sistema che disegna un ciclo di vita tutto digitale dei procedimenti per la scelta di fornitori di beni, lavori e servizi.
Questo soprattutto a riguardo dei problemi della sicurezza dei sistemi informativi e della gestione di algoritmi e applicativi.
Peraltro, come conseguenza diretta e immediata ci sarà molto da fare per data protection officer (Dpo) e consulenti privacy. Vediamo perché.
Sicurezza. L’articolo 19, comma 3, del nuovo codice dei contratti inserisce in un quadro tutto digitale le attività e i procedimenti amministrativi connessi al ciclo di vita dei contratti pubblici, ciclo che si svolgerà su piattaforme digitali e sarà animato dai servizi digitali infrastrutturali delle stazioni appaltanti e degli enti concedenti (per i contratti di concessione).
Il successivo articolo 19, comma 5, obbliga le stazioni appaltanti e gli enti concedenti e anche tutti gli operatori economici, che partecipano alle attività e ai procedimenti amministrativi connessi al ciclo di vita dei contratti pubblici, ad adottare misure tecniche e organizzative a presidio della sicurezza informatica e della protezione dei dati personali. Lo stesso comma 5 citato aggiunge che le stazioni appaltanti e gli enti concedenti devono assicurare la formazione del personale addetto, garantendone il costante aggiornamento.
Scritto così sembra facile, ma questo breve comma apre la strada a una mole considerevole di attività.
Presidiare la sicurezza informatica è, infatti, un voluminoso libro che ha due capitoli principali: il presidio tecnico e il presidio documentale, i quali devono viaggiare di pari passo.
La sicurezza informatica, ovviamente, deve garantire l’infrastruttura in quanto tale, minimizzando il rischio di mancato funzionamento, ma deve anche garantire integrità, riservatezza e disponibilità sia dei dati personali sia dei dati non personali.
Si tratta di adempimenti tecnici, che comportano l’uso di hardware e software idoneo a ridurre costantemente al lumicino (se possibile) i pericoli di data breach, con o senza violazione dei dati personali. Quando, poi, sono in ballo, cioè quasi sempre, dati personali (si pensi ai nomi degli amministratori delle imprese e ai requisiti professionali), le misure tecniche e organizzative di sicurezza informatica sono anche misure per garantire la privacy delle persone. I due aspetti (sicurezza dei sistemi e protezione dei dati) sono, infatti, indissolubilmente collegati.
Per la parte documentale, concentrandosi sugli adempimenti previsti dal Gdpr (regolamento Ue sulla privacy n. 2016/679), la sicurezza informatica significa principalmente quattro cose: aggiornare il documento di valutazione dei rischi, scrivere una valutazione di impatto sulla protezione dei dati personali, scrivere e aggiornare le istruzioni agli autorizzati al trattamento, scrivere e aggiornare le procedure in caso di violazione dei dati a seguito di data breach. La stesura e l’aggiornamento costante di questi documenti coinvolge il personale della stazione appaltante e il responsabile della protezione dei dati.
Per la parte tecnica si tratta di pianificare, eseguire e monitorare nel tempo misure tecniche e organizzative per preservare l’accesso ai dati: si va dalle regole tecniche per l’accesso ai sistemi, alle procedure per testare la sicurezza e la tenuta degli stessi, agli audit periodici.
A chiusura di tutto ciò c’è l’obbligo di far seguire corsi di formazione al personale autorizzato: per fare gli appalti pubblici sarà necessario avere dimestichezza con la sicurezza dei sistemi informativi.
Robot aggiudicatore. L’articolo 19, comma 7, del nuovo codice dei contratti prevede che, se possibile e in relazione al tipo di procedura di affidamento, le stazioni appaltanti e gli enti concedenti ricorrano a procedure automatizzate nella valutazione delle offerte. Poche parole per una disposizione deflagrante per il diritto amministrativo come tradizionalmente inteso.
La disposizione apre, infatti, le porte a provvedimenti amministrativi imputabili a macchine, anziché a esseri umani.
Qualcuno, certo, sosterrà una lettura minimalista della disposizione, affermando che le macchine devono limitarsi a fare il lavoro esecutivo istruttorio, lasciando agli umani il potere decisionale. In astratto si può dire tutto ciò che si vuole, ma nella prassi una norma come il comma 7 apre la strada a dispositivi, magari firmati (digitalmente ovviamente) da umani, che non faranno altro che riprodurre la valutazione della macchina, lasciando sullo sfondo una possibilità del tutto teorica di controllo dell’umano a posteriori rispetto all’algoritmo.
La sostanza decisionale sarà un output della macchina, anche se la forma sarà (per quanto tempo ancora?) un provvedimento sottoscritto da un umano.
Questo impone di pensare a chi e come potrà o dovrà elaborare la logica degli algoritmi, considerato che dall’intelligenza artificiale ci si attende la capacità di fare anche valutazioni discrezionali. Non si tratta, quindi, solo di attivare un sistema asettico di intelligenza artificiale. Sono in gioco la trasparenza, l’imparzialità e il buon andamento delle procedure di appalto.
A questo riguardo, andando all’impianto normativo, l’articolo 30 del nuovo codice dei contratti impone alle stazioni appaltanti ed enti concedenti di percorrere, senza ripensamenti, la strada dell’uso di procedure automatizzate nel ciclo di vita dei contratti pubblici e ciò ricorrendo a soluzioni tecnologiche, inclusa l’intelligenza artificiale.
Le esigenze di trasparenza sono tenute in conto dalla disposizione, sempre dell’articolo 30, che prescrive agli enti appaltanti e concedenti, nell’acquisto o sviluppo delle soluzioni tecnologiche, di assicurare la disponibilità del codice sorgente, della relativa documentazione e di ogni altro elemento utile a comprenderne le logiche di funzionamento.
Nello stesso quadro, relativamente agli atti di indizione delle gare enti appaltanti e concedenti dovranno inserire clausole volte ad assicurare le prestazioni di assistenza e manutenzione necessarie alla correzione degli errori e degli effetti indesiderati derivanti dall’automazione.
Quanto alle decisioni del robot, l’articolo 30 citato ha chiari i pericoli di fondo se si preoccupa di imporre, nel caso di decisioni assunte mediante automazione, il rispetto di alcuni principi.
I primi sono quelli di conoscibilità e comprensibilità: ogni operatore economico avrà diritto a conoscere l’esistenza di processi decisionali automatizzati che lo riguardino e, in tal caso, a ricevere informazioni significative sulla logica utilizzata. Ma non basta, ovviamente.
Il secondo principio è quello di non esclusività della decisione algoritmica, per cui comunque dovrà esistere nel processo decisionale un contributo umano capace di controllare, validare ovvero smentire la decisione automatizzata. Si tratta di un intervento che, però, già è residuale nella sua formulazione astratta e, in concreto, non potrà essere realizzato facilmente dall’essere umano se non conosce a menadito i meccanismi di funzionamento dell’intelligenza artificiale, cosa che, per definizione, non potrà essere mai realizzata al 100%, visto che questi sistemi evoluti imparano continuamente da se stessi e si evolvono, quindi, con la possibilità di tagliare fuori l’essere umano. Il terzo principio è quello della non discriminazione algoritmica, per cui il titolare mette in atto misure tecniche e organizzative adeguate al fine di impedire effetti discriminatori nei confronti degli operatori economici: affermazione di principio del tutto condivisibile, ma la cui realizzazione pratica prevedibilmente stenterà ad affermarsi.
Anche su questi aspetti, uffici privacy e Dpo devono tirarsi su le maniche, visto che l’articolo 30 obbliga stazioni appaltanti ed enti concedenti ad adottare ogni misura tecnica e organizzativa atta a garantire che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori, nonché a impedire effetti discriminatori nei confronti di persone fisiche sulla base della nazionalità, dell’origine etnica,delle opinioni politiche, della religione, delle convinzioni personali, dell’appartenenza sindacale, dei caratteri somatici, dello status genetico, dello stato di salute, del genere o dell’orientamento sessuale.
Tutti profili che indurranno a redigere un robusto apparato documentale, che documenti quanto fatto, anche in un’ottica di gestione del contenzioso sull’esito delle gare. A corredo dell’obbligo di mettere tutto alla luce del sole, l’art. 30 del nuovo codice dei contratti si chiude con la prescrizione alle amministrazioni di pubblicare sul sito internet istituzionale, nella sezione “Amministrazione trasparente”, l’elenco delle soluzioni tecnologiche utilizzate ai fini dello svolgimento della propria attività.