Commento alla delibera Anac n. 116 del 1 Aprile
La transizione digitale della Pubblica Amministrazione rappresenta una rivoluzione irreversibile, ma l’esigenza di efficienza tecnologica non può trasformarsi in una scorciatoia per abdicare alle prerogative fondamentali dello Stato. Cosa accade, infatti, quando una primaria centrale di committenza pubblica, chiamata a gestire procedure di gara per un valore superiore a 1,4 miliardi di euro, decide di cedere le proprie “chiavi digitali” a soggetti privati?
La recente Delibera n. 116 del 1° aprile 2026 dell’Autorità Nazionale Anticorruzione (ANAC) ha portato alla luce una dinamica tanto complessa quanto allarmante all’interno di un importante soggetto aggregatore regionale. A causa di carenze organizzative interne, l’ente aveva deciso di esternalizzare a società private l’attività di acquisizione della documentazione necessaria per la verifica dei requisiti generali degli operatori economici, come certificati penali, carichi pendenti e documentazione antimafia. Il meccanismo non si limitava a un semplice supporto, ma si spingeva fino alla cessione diretta delle credenziali informatiche in uso all’amministrazione, permettendo ai privati di operare all’interno delle banche dati pubbliche.
L’Autorità ha tracciato un confine netto: la verifica dei requisiti, intesa sia come acquisizione documentale che come successiva valutazione, è l’essenza stessa dell’attività provvedimentale della stazione appaltante e non può in alcun modo essere delegata all’esterno. Questa esternalizzazione illecita ha non solo violato le norme del Codice dei Contratti Pubblici, ma ha aggirato i presidi di sicurezza del Fascicolo Virtuale dell’Operatore Economico (FVOE), generando enormi rischi per la riservatezza dei dati sensibili acquisiti “in via di fatto” da soggetti estranei all’ente. Il sistema ha persino generato cortocircuiti in cui un operatore economico privato, incaricato illegittimamente dei controlli, ha potuto acquisire la documentazione relativa ai propri stessi requisiti per altre gare, diventando di fatto “controllore di sé stesso”.
Nell’era del public procurement interconnesso e agentico, l’infrastruttura tecnologica richiede un presidio umano e istituzionale rigoroso da parte di un RUP che sia rigorosamente un dipendente della Pubblica Amministrazione: delegare l’accesso informatico significa compromettere la radice stessa della legalità e della sicurezza dei dati personali pubblici.
Ma vediamo nel dettaglio cosa la delibera affronta.
1. Introduzione: la tensione tra efficienza organizzativa e riserva di funzione pubblica.
L’entrata a regime del d.lgs. 36/2023 ha imposto alle Stazioni Appaltanti un radicale mutamento di paradigma, orientato alla massima tempestività e al raggiungimento del “principio del risultato”. Tale tensione teleologica, tuttavia, si scontra sovente con le ataviche carenze di organico delle Amministrazioni, inducendo i soggetti procedenti a esplorare moduli organizzativi basati sull’esternalizzazione di fasi del ciclo di vita dell’appalto. In questo contesto si innesta la recente pronuncia dell’Autorità Nazionale Anticorruzione (Delibera n. 116 del 1° aprile 2026), scaturita da un’ispezione presso un soggetto aggregatore regionale (di seguito la Determina della S.A. oggetto della specifica verifica: https://areacom.eu/system/files/filefield_paths/det-dirigenziale-147-del-26-09-25_0.pdf. L’Autorità ha censurato una prassi amministrativa mediante la quale l’Ente aveva appaltato a operatori economici privati l’intera fase di acquisizione documentale preordinata alla verifica dei requisiti ex artt. 94 e ss. del Codice, giungendo persino a conferire specifiche deleghe e a cedere le credenziali informatiche istituzionali ai dipendenti della società privata.
2. Il proprium dell’attività provvedimentale e il divieto di delega a terzi.
Il fulcro dogmatico della Delibera in commento risiede nella perimetrazione dell’attività istruttoria all’interno della riserva di funzione pubblica.
L’Autorità chiarisce in modo inequivocabile che la verifica dei requisiti dell’operatore economico – declinata sia come materiale acquisizione documentale dalle banche dati (es. casellario giudiziale, anagrafe antimafia, agenzia delle entrate) sia come successiva valutazione discrezionale – costituisce espressione diretta del proprium dell’attività provvedimentale.
Essa è il presupposto indefettibile per l’efficacia dell’aggiudicazione (art. 17, comma 5, d.lgs. 36/2023) e, in quanto tale, qualifica in via esclusiva la gestione pubblica degli affidamenti.
Ne discende un divieto assoluto di esternalizzazione di tale fase ad operatori economici privati.
Tale divieto trova espresso fondamento testuale nel combinato disposto dell’art. 62, comma 11, e dell’art. 3, comma 1, lett. z), punto 4, dell’Allegato I.1 del Codice, i quali precludono ai prestatori di servizi ausiliari la “gestione delle procedure di appalto in nome e per conto della stazione appaltante”.
2. L’assetto organizzativo legittimo: il RUP e il “Responsabile di fase”
La preclusione all’esternalizzazione non si traduce, tuttavia, in un vincolo all’isolamento amministrativo del Responsabile Unico del Progetto (RUP). L’ordinamento offre strumenti flessibili, che devono però essere declinati nel rigoroso alveo del pubblico impiego. L’ANAC ribadisce l’esigenza ineludibile che sia il RUP a effettuare, coordinare e presidiare i controlli. Laddove la complessità della procedura o i carichi di lavoro impongano una parcellizzazione delle competenze, il RUP ha la facoltà di tracciare un atto di delega formale nominando un “responsabile di fase”. Il discrimen di legittimità individuato dall’Autorità risiede nello status giuridico di tale delegato: il responsabile di fase deve essere obbligatoriamente individuato all’interno della Stazione Appaltante, tra il personale dipendente (a tempo determinato o indeterminato) incardinato nella pianta organica dell’Ente.
Un consulente privato, ancorché contrattualizzato ex art. 15, comma 6 (Supporto al RUP), può fornire pareri e supporto giuridico-tecnico, ma non può mai sostituirsi all’Amministrazione nell’esercizio del potere acquisitivo e valutativo.
3. Ecosistema digitale, FVOE e i rischi di Data Breach
Di particolare pregio risultano i rilievi dell’Autorità in merito all’interazione tra le prassi esternalizzative e l’ecosistema nazionale di e-procurement. La materiale cessione di credenziali istituzionali (quali SPID, CIE o account BDNCP) a dipendenti di società private al fine di operare sul Fascicolo Virtuale dell’Operatore Economico (FVOE) scardina alla radice i principi di tracciabilità e non ripudiabilità delle operazioni informatiche imposti dall’art. 19 del Codice. Oltre ai profili di nullità procedimentale, l’ANAC evidenzia l’estrema gravità di tale condotta sotto il profilo della protezione dei dati personali. L’acquisizione “in via di fatto” di documenti ipersensibili (quali certificati penali o carichi pendenti) da parte di soggetti terzi estranei all’Amministrazione procedente configura un palese e macroscopico illecito in materia di privacy (GDPR), esponendo l’Ente a responsabilità dirette e ingenerando il rischio di cortocircuiti in cui un operatore privato, in regime di potenziale conflitto di interessi, si trovi a operare come “controllore” di dati riguardanti i propri diretti competitor o se stesso.
4. Conclusioni
La Delibera 116/2026 rappresenta un fondamentale arresto giurisprudenziale-amministrativo contro la pericolosa deriva della “privatizzazione” dell’istruttoria di gara. L’insegnamento che si trae è che la spinta verso la semplificazione e l’efficienza non può mai risolversi in un’abdicazione dell’esercizio del potere autoritativo. Le Stazioni Appaltanti sono chiamate a governare i processi investendo nella formazione del personale interno e utilizzando correttamente gli strumenti di interoperabilità (FVOE, PDND), relegando gli incarichi esterni alla sola assistenza consultiva, senza mai cedere le “chiavi digitali” dell’azione amministrativa.
5. Checklist operativa in base al combinato disposto di cui agli artt. 15 e Allegato I.2
✅ COSE DA FARE
– Mantenere la titolarità pubblica delle verifiche: Il RUP deve sempre esercitare in prima persona le funzioni di coordinamento, controllo e decisione finale sull’esito delle verifiche dei requisiti generali e speciali.
– La valutazione documentale e l’eventuale adozione dei provvedimenti di esclusione spettano inderogabilmente all’Amministrazione.
– Nominare solo delegati interni all’Ente: Qualora la complessità o il volume delle gare richieda un ausilio, il RUP deve formalizzare un atto di delega nominando un “responsabile di fase”.
– Individuare tale soggetto deve essere individuato esclusivamente tra il personale dipendente della Stazione Appaltante, assunto a tempo determinato o indeterminato.
– Utilizzare rigorosamente il FVOE: L’acquisizione dei documenti a comprova dei requisiti (casellario giudiziale, carichi pendenti, regolarità fiscale, antimafia) deve avvenire telematicamente tramite il Fascicolo Virtuale dell’Operatore Economico (FVOE) istituito presso la BDNCP.
– Garantire la tracciabilità e la sicurezza informatica: L’accesso alle banche dati pubbliche deve avvenire utilizzando esclusivamente le identità digitali forti (SPID, CIE, CNS) associate nominalmente ai dipendenti pubblici autorizzati, al fine di garantire la totale tracciabilità e non ripudiabilità delle operazioni.
– Circoscrivere il “Supporto al RUP”: L’affidamento di incarichi a professionisti o società esterne (ex art. 15, comma 6, D.Lgs. 36/2023) è legittimo solo se limitato ad attività di mera assistenza istruttoria, consulenza tecnica o supporto giuridico su documentazione già lecitamente estratta dai funzionari pubblici
❌ COSE DA NON FARE
– NON esternalizzare l’acquisizione documentale a privati: È assolutamente vietato delegare a operatori economici privati (società di consulenza o servizi) l’accesso alle banche dati istituzionali per il reperimento e lo scaricamento dei certificati inerenti ai concorrenti.
Questa attività costituisce il proprium del potere provvedimentale pubblico
– NON cedere MAI le credenziali informatiche: È severamente proibito cedere password, account istituzionali, deleghe telematiche o dispositivi di firma digitale in uso all’Ente o al RUP a soggetti esterni all’Amministrazione
Tale condotta configura illeciti. gravissimi di natura amministrativa, contabile e potenzialmente penale (es. rivelazione di segreti d’ufficio o accesso abusivo a sistema informatico).
– NON violare la disciplina sulla Privacy (GDPR): Non bisogna mai consentire a terzi non autorizzati (come le società esterne di supporto) di trattare, visionare o estrarre “in via di fatto” dati ipersensibili e giudiziari degli operatori economici. La Pubblica Amministrazione rimane l’unico Titolare del trattamento legittimato ad accedere a tali informazioni
– NON demandare la gestione delle procedure in nome e per conto della PA: È vietato stipulare contratti di appalto aventi ad oggetto attività di committenza ausiliaria che si traducano nella delega dell’effettiva conduzione della procedura o dell’adozione di decisioni rilevanti per l’aggiudicazione, in violazione dell’art. 62, comma 11 del Codice.
– NON generare cortocircuiti e conflitti di interesse: Non bisogna mai creare assetti organizzativi in cui il soggetto privato incaricato (illegittimamente) dei controlli per conto della PA possa trovarsi a verificare i requisiti dei propri competitor in altre gare o, nel caso peggiore, finisca per acquisire e validare la documentazione relativa ai propri stessi requisiti.
Grazie per avermi letto fin qui.
Le slide riepilogativa seguono qui: ANAC_Deliberation_116_Legal_Dossier_(3)
Un video generato con Ai: podcast generato da ai.
