La sentenza del Consiglio di Stato n. 4857/2025 affronta in modo sistematico il tema dell’utilizzo di strumenti algoritmici nelle procedure di gara alla luce dell’art. 30 del d.lgs. n. 36/2023. Il Collegio chiarisce che l’automatizzazione non incide sulla struttura soggettiva della decisione amministrativa, che resta imputabile all’amministrazione e integralmente sindacabile. Il controllo umano non costituisce un adempimento formale, ma il momento strutturale di ricostruzione dell’imputazione e della responsabilità. La pronuncia offre spunti di rilievo non solo in materia di contratti pubblici, ma più in generale sul rapporto tra digitalizzazione e responsabilità amministrativa.
Consiglio: in materia, segnaliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.
Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti.
- Quadro normativo europeo “all-in-one”
Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.
- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2
Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).
- Requisiti minimi e misure di sicurezza spiegati punto per punto
Ampio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).
- Protezione dei dati personali, domini e obblighi di notifica
Integrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.
- Governance aziendale e responsabilità degli organi di gestione
Capitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).
- Condivisione delle informazioni e notifiche degli incidenti al CSIRT Italia
Analisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).
- Crittografia e transizione post-quantum
Approfondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.
- Vigilanza ACN, ispezioni e sanzioni
Commento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.
- Cooperazione nazionale, CSIRT e gestione delle crisi
Trattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).
- Riforma dei reati informatici e del D.Lgs. 231/2001
Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001.
Perché non puoi farne a meno ora
Con l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.
Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative.
Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Leggi descrizione
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, 2025, Maggioli Editore
36.00 €
34.20 €
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.
Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti.
- Quadro normativo europeo “all-in-one”
Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.
- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2
Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).
- Requisiti minimi e misure di sicurezza spiegati punto per punto
Ampio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).
- Protezione dei dati personali, domini e obblighi di notifica
Integrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.
- Governance aziendale e responsabilità degli organi di gestione
Capitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).
- Condivisione delle informazioni e notifiche degli incidenti al CSIRT Italia
Analisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).
- Crittografia e transizione post-quantum
Approfondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.
- Vigilanza ACN, ispezioni e sanzioni
Commento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.
- Cooperazione nazionale, CSIRT e gestione delle crisi
Trattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).
- Riforma dei reati informatici e del D.Lgs. 231/2001
Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001.
Perché non puoi farne a meno ora
Con l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.
Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative.
Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
L’automatizzazione nelle gare pubbliche tra efficienza e garanzie
Con la sentenza n. 4857/2025 il Consiglio di Stato interviene su una questione destinata ad assumere crescente centralità nel sistema dei contratti pubblici: la legittimità dell’utilizzo di strumenti algoritmici nelle procedure di affidamento.
Il Collegio, confrontandosi con l’art. 30 del d.lgs. n. 36/2023, afferma che l’impiego di sistemi automatizzati è di per sé compatibile con i principi dell’evidenza pubblica, purché non venga meno la riconducibilità della decisione all’amministrazione. In particolare, la sentenza precisa che:
«l’utilizzo di strumenti automatizzati non può determinare un arretramento delle garanzie di trasparenza e di sindacabilità dell’azione amministrativa, né tradursi in una sostituzione integrale della valutazione umana».
La decisione non contesta l’automatizzazione come tale, ma ne delimita il perimetro giuridico. L’algoritmo è ammesso in quanto strumento di supporto tecnico, non in quanto sede sostanziale della decisione.
Algoritmo e formazione della volontà amministrativa
La pronuncia assume rilievo perché chiarisce che l’automatizzazione non modifica la struttura soggettiva della decisione amministrativa. Anche quando l’elaborazione tecnica dei dati è affidata a un sistema informatico, la decisione resta atto dell’amministrazione.
Il Consiglio di Stato osserva che:
«la decisione finale deve restare imputabile all’organo competente, il quale è tenuto a verificare la correttezza del procedimento automatizzato e la conformità dell’esito ai parametri normativi e alla lex specialis».
Il passaggio è decisivo. L’algoritmo non è un centro autonomo di imputazione; non può essere considerato un “terzo neutrale” che sostituisce la funzione amministrativa. Se l’esito dell’atto fosse integralmente predeterminato dal sistema e l’intervento umano si riducesse a mera formalizzazione, si determinerebbe uno scarto tra imputazione formale e formazione sostanziale della volontà.
L’atto amministrativo, per sua natura, è espressione di potere pubblico e presuppone un momento di assunzione consapevole della decisione. L’automatizzazione può incidere sulle modalità tecniche di elaborazione, ma non può dissolvere il momento soggettivo della scelta.
Il controllo umano come requisito strutturale
La sentenza insiste sul fatto che il controllo umano non può essere meramente simbolico. Il Collegio afferma che:
«permane in capo all’amministrazione l’onere di verificare il funzionamento del sistema automatizzato, la correttezza dei dati in ingresso e la coerenza dei criteri applicati, non potendo la responsabilità della decisione essere trasferita sullo strumento tecnico utilizzato».
Il controllo umano assume così una funzione strutturale. Non si tratta di una validazione formale dell’output informatico, ma di un vaglio effettivo che consenta di ricondurre l’esito a un atto di volontà dell’amministrazione.
Senza tale momento di verifica, la decisione rischierebbe di configurarsi come un prodotto impersonale, sottratto a una piena ricostruibilità giuridica. La sindacabilità dell’atto presuppone, infatti, che il percorso logico che conduce all’esito sia intelligibile e imputabile.
Il profilo teorico: decisione, imputabilità e “luogo” della responsabilità
La pronuncia offre l’occasione per una riflessione più ampia sulla natura della decisione amministrativa nell’era digitale.
Tradizionalmente, la decisione è concepita come atto imputabile a un organo, nel quale si concentra la volontà dell’amministrazione. La progressiva digitalizzazione dei procedimenti e l’introduzione di sistemi algoritmici tendono però a frammentare il percorso decisionale in una sequenza di operazioni tecniche, istruttorie e automatizzate.
Il rischio non è l’uso dell’algoritmo in sé, ma la possibile dissoluzione del “luogo decisionale”. Se la decisione si forma integralmente all’interno di un processo tecnico non pienamente governato, l’imputazione rischia di diventare puramente formale.
La sentenza n. 4857/2025 reagisce a questo rischio riaffermando che la decisione deve restare riconoscibile come atto consapevole dell’amministrazione. Il controllo umano rappresenta il punto di ricomposizione dell’unità decisionale e di ricostruzione della responsabilità.
In questa prospettiva, la digitalizzazione non attenua la responsabilità amministrativa, ma ne esige una più rigorosa delimitazione organizzativa. L’eventuale errore non può essere neutralizzato invocando la natura tecnica dello strumento, permanendo in capo all’amministrazione la responsabilità della scelta organizzativa compiuta.
Automatizzazione e responsabilità amministrativa in sede erariale
La sentenza n. 4857/2025 si colloca in continuità con l’orientamento già espresso dal Consiglio di Stato in materia di algoritmi decisionali, in particolare con le pronunce che hanno affermato l’ammissibilità dell’automatizzazione a condizione che siano garantite trasparenza e sindacabilità del procedimento.
Già in precedenti arresti si era chiarito che l’algoritmo costituisce uno strumento tecnico al servizio dell’amministrazione e che l’utilizzo di procedure automatizzate non può eludere l’obbligo di motivazione e di intelligibilità dell’atto. In tali occasioni il giudice amministrativo aveva sottolineato che l’amministrazione «non può sottrarsi al dovere di rendere conoscibili i criteri e le modalità di funzionamento del sistema impiegato», dovendo assicurare la possibilità di ricostruire il percorso logico che conduce alla decisione.
La novità della sentenza n. 4857/2025 consiste, tuttavia, nell’aver collocato tali principi all’interno della disciplina positiva dei contratti pubblici, valorizzando l’art. 30 del d.lgs. 36/2023 come norma che non si limita a consentire l’uso di strumenti digitali, ma implicitamente ribadisce la permanenza della responsabilità decisionale in capo all’amministrazione.
Il Collegio, infatti, non si arresta alla verifica della trasparenza del sistema. La sentenza afferma, infatti, che «la decisione amministrativa, anche quando mediata da strumenti automatizzati, deve restare integralmente riferibile all’organo competente», escludendo che l’automatizzazione possa costituire una forma di deresponsabilizzazione funzionale.
In questo passaggio si coglie un’evoluzione significativa: non è solo questione di accessibilità dei criteri algoritmici, ma di preservazione della struttura soggettiva della decisione amministrativa. L’affermazione secondo cui la decisione deve restare imputabile all’amministrazione assume rilievo anche sul piano della responsabilità erariale. Se l’automatizzazione incide sulla formazione dell’atto ma non ne modifica la titolarità, l’eventuale illegittimità derivante da un errato funzionamento del sistema o da una non corretta configurazione dei parametri non può essere considerata un fatto “tecnico” neutro. Essa si traduce in una scelta organizzativa imputabile all’ente e, nei casi di danno, suscettibile di valutazione sotto il profilo della colpa grave di chi abbia introdotto o validato il sistema senza adeguati presidi di controllo.
In questa prospettiva, la sentenza n. 4857/2025 non si limita a riaffermare la sindacabilità dell’atto, ma rafforza indirettamente l’esigenza di una chiara delimitazione delle responsabilità interne nella fase di progettazione, gestione e verifica degli strumenti algoritmici. L’automatizzazione, lungi dal costituire uno schermo rispetto alla responsabilità, può rendere più agevole l’individuazione del nesso tra scelta organizzativa e conseguenze dannose.
Conclusioni
La sentenza del Consiglio di Stato non introduce un limite tecnologico, bensì un limite giuridico. L’automatizzazione è compatibile con il sistema dei contratti pubblici nella misura in cui non comprometta la trasparenza, la sindacabilità e l’imputabilità della decisione.
Il controllo umano non è un presidio accessorio. È il momento in cui la decisione torna ad essere atto del potere pubblico e, come tale, suscettibile di responsabilità.
In questo senso, l’automatizzazione non elimina il problema della responsabilità amministrativa: lo rende strutturalmente più visibile.
