L’introduzione della Legge 133/2019, che ha istituito il Perimetro di Sicurezza Cibernetica, ha posto tra gli obiettivi principali, lo sviluppo e l’implementazione di una strategia mirata a rafforzare la resilienza cibernetica nazionale, che ha previsto, tra le altre cose, l’obbligatorietà di adozione di diversi requisiti di sicurezza per enti pubblici e per enti privati che forniscono servizi essenziali. Tale obbligo, ha conseguentemente sollevato la necessità, a livello nazionale, di disporre di adeguate strutture e strumenti tecnici necessari al fine di valutare e verificare l’affidabilità di prodotti ICT per rafforzare la protezione delle infrastrutture critiche nazionali.

In questo contesto, tramite successivi decreti attuativi, sono nati i Laboratori di Prova (LAP), strutture tecniche accreditate dall’Agenzia Cyber Nazionale (ACN) nel rispetto di un ampio contesto normativo, che comprende, a titolo esemplificativo, il DPCM 92/2022, le determinazioni tecniche e lo standard internazionale ISO/IEC 17025.

Ad oggi, i LAP operano in sinergia con il Centro di Valutazione e Certificazione Nazionale (CVCN), quale struttura tecnica dell’ACN atta a valutare i livelli di sicurezza di beni, sistemi e servizi ICT destinati ad essere utilizzati nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC).

L’accreditamento di un LAP da parte dell’ACN, come il Futuring Technology Center di Telsy, è quindi considerabile sia leva strategica abilitante ad una specifica tipologia di business a supporto dell’ACN, unico ente regolatore della cybersicurezza italiana, sia ragione per distinguersi per competenza e riconoscimento istituzionale.

I Laboratori Accreditati di Prova (LAP): definizione e caratteristiche

Nel mondo della cybersicurezza, dove la fiducia e la resilienza sono elementi imprescindibili, i Laboratori di Prova (cd. LAP), accreditati dall’Agenzia sulla Cybersicurezza Nazionale (cd. ACN), giocano un ruolo chiave nello sviluppo tecnologico posto a protezione dell’interesse pubblico.

Infatti, in un contesto di transizione digitale europea sempre mutevole, i LAP contribuiscono attivamente all’implementazione della sicurezza dei prodotti e dei servizi digitali contro le minacce informatiche. Trattasi di hub molto sofisticati dal punto di vista tecnico che hanno come focus la realizzazione di operazioni complesse di verifica e certificazione, in termini di standard di sicurezza, di prodotti digitali e software, che costituiscono, in ambito nazionale, presidi fondamentali a supporto del Centro di Valutazione e Certificazione Nazionale (CVCN).

La normativa di riferimento è costituita dal DPCM 18 maggio 2022, n. 92, che disciplina l’accreditamento dei LAP e dei Centri di Valutazione (CV) nell’ambito della cybersicurezza nazionale.  Il DPCM 92/2022 istituisce un quadro di regole ai fini dell’accreditamento presso l’ACN dei LAP nel settore cybersecurity, indispensabile per la loro operatività, ne definisce l’ambito, i confini operativi, i requisiti gestionali, i ruoli dei tecnici che vi lavorano, nonchè stabilisce un sistema strutturato di gestione e comunicazione con le autorità.

La procedura di accreditamento è disciplinata in modo specifico dall’art. 12 del DPCM sopra citato che si articola in plurimi step, da svolgersi in un arco temporale massimo di 180 giorni, tra i quali vi sono le verifiche e adempimenti preliminari con predisposizione di documentazione tecnica, la visita ispettiva della Commissione di accreditamento che esprimerà un parere su rilascio ovvero diniego dell’accreditamento.

Compliance normativa e valore strategico

Dati la peculiarità del laboratorio e il prestigio delle attività svolte, da dove deriva il valore strategico dei LAP? Possiamo ricavare la risposta al quesito analizzando alcuni riferimenti normativi.

Primo tra tutti per la sua centralità ai fini della comprensione del ruolo strategico dei LAP, va considerato l’Art. 1 comma 7 lett. B del Decreto-legge 105/2019 che attribuisce al CVCN, a cui per espressa previsione di legge i laboratori forniranno il supporto tecnico necessario, la funzione di “verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note” degli asset strategici ricompresi nel c.d. Perimetro di sicurezza nazionale cibernetica, di cui al D.L. 105/2019 (cd. PSNC) nonché di garantire la sicurezza della loro supply chain.

In secondo luogo, il DPCM 92/2022, sopra richiamato, consente di confermare ulteriormente la strategicità dei LAP, prevedendo all’art 9 comma 5 come causa ostativa all’accreditamento “motivi inerenti alla sicurezza della Repubblica”, specificando al comma 6 che si debba tenere in particolare considerazione la presenza, nella compagine sociale, di cittadini o imprese stranieri.

Anche limitando l’analisi a questi pochi, benché significativi, frammenti di norme è possibile comprendere come l’intenzione del legislatore sia quella di creare in Italia, limitando la presenza di capitali esteri, hub tecnologicamente avanzati in grado di supportare l’autorità nel compito di verificare il rispetto, da parte delle imprese interessate, delle misure di sicurezza inerenti ai Beni ITC, ossia di quei beni ritenuti strategici poiché necessari “ai fini dello svolgimento di funzioni essenziali dello Stato o per l’erogazione di servizi essenziali” (DPCM 99/2022 art. 1 comma 1 lett. g).

Ambito di operatività e certificazioni per i LAP

Come già detto, una volta accreditato, il LAP si occupa di affiancare il CVCN nell’esprimere valutazioni sulla sicurezza di prodotti, servizi e sistemi ICT dei vari soggetti inseriti nel PSNC.

Quando un laboratorio si occupa della verifica di prodotti e/o servizi inseriti nel PSNC, deve operare secondo principi molto chiari e stringenti, tra cui spiccano riservatezza e imparzialità, così come richiesto dalla norma ISO/IEC 17025. Tale standard internazionale è considerato un pilastro di queste strutture, tanto da entrare nel corpo normativo, attualmente adottato dallo Stato italiano (Art. 8 DPCM 92/2022).

In un’epoca in cui ogni vulnerabilità può diventare un varco per attacchi informatici, con potenziali impatti enormi e complessi da gestire ma, ancor di più, da sanare, garantire riservatezza e imparzialità è sinonimo di responsabilità e impegno verso l’interesse collettivo. Questi principi non sono solo meri obblighi normativi, ma costituiscono le fondamenta etiche e operative di un sistema di sicurezza digitale credibile.

Il principio di riservatezza impone che tutte le informazioni tecniche, progettuali e operative ottenute durante le attività di prova vengano trattate con il massimo livello di protezione. I laboratori sono spesso esposti a dettagli critici di software, dispositivi o architetture che, se divulgati, potrebbero mettere a rischio l’intera infrastruttura nazionale. La tutela di questi dati non è solo una formalità, ma una misura concreta per prevenire vulnerabilità e minacce esterne, sempre più frequenti dato l’attuale contesto geopolitico.

Parallelamente, il principio di imparzialità garantisce che le analisi svolte siano del tutto indipendenti da interessi economici, politici o relazionali. Anche in presenza di rapporti commerciali con i soggetti valutati, il laboratorio è tenuto a dimostrare di non subire influenze che possano comprometterne l’oggettività. In altre parole, non deve esistere alcun conflitto di interesse che possa alterare l’esito delle verifiche o l’affidabilità dei giudizi tecnici.

Conclusioni

In conclusione, un’azienda che ha superato con successo l’iter di accreditamento e ha un LAP, gode di una posizione di rilievo sul mercato poiché l’utilità concreta dei laboratori è quella di generare un accrescimento delle capacità digitali e di certificazione, orientato ad una completa autonomia dal punto di vista tecnologico.

Possedere un LAP per un’azienda è sinonimo di avanguardia tecnologica posta a tutela della cybersicurezza nonché di compliance normativa garantita mediante attività di ricerca e sviluppo di soluzioni al passo con le esigenze del mondo digitale nel rispetto di un quadro normativo molto composito.

Gli autori

Erica Onorati, laureata in Giurisprudenza all’Università LUISS Guido Carli di Roma con una tesi in diritto civile intitolata “Le clausole di rinegoziazione”, incentrata sull’analisi e sull’applicabilità della rinegoziazione in materia contrattuale. Ha poi conseguito un Executive Master presso il Sole 24 Ore Business School in Cybersecurity e Data Protection, avente ad oggetto l’analisi delle strategie per proteggere gli asset aziendali e prevenire i rischi informatici. Specializzata nel profilo di diritto civile, ha approfondito temi legati alla responsabilità contrattuale ed extracontrattuale e al diritto societario e commerciale. Dopo diverse esperienze maturate in ambito legale in contesti aziendali come giurista d’impresa, attualmente ricopre il ruolo di Legal Supervisor in Telsy, con un focus incentrato sulla gestione della contrattualistica d’impresa, sulla consulenza legale fornita alle linee di business coinvolte nei vari settori di operatività aziendale, sulle operazioni straordinarie e sulla segreteria societaria.

Niccolò Francesco Terracciano, studente di Giurisprudenza presso l’Università LUISS Guido Carli di Roma, ha maturato esperienza in associazioni senza scopo di lucro, avendo modo di approfondire le tematiche relative al diritto commerciale e alla consulenza d’impresa. Attualmente, ricopre il ruolo di Legal Specialist in Telsy dove sta sviluppando in ambito aziendale le conoscenze teoriche apprese durante il percorso di studi in materia di diritto civile, societario e delle nuove tecnologie.

Marco Rosafio, laureato in Giurisprudenza all’Università LUISS Guido Carli di Roma con una tesi in diritto delle crisi d’impresa, ha conseguito, presso la medesima Università, un Master di II livello in Diritto d’Impresa. Ha prestato la propria attività presso uno studio legale operando nell’ambito della contrattualistica d’impresa, del diritto societario e del contenzioso. Attualmente, ricopre il ruolo di Legal Assistant in Telsy, approfondendo le medesime tematiche all’interno del contesto aziendale.

Alessio De Simone, laureato in Giurisprudenza all’Università degli Studi di Roma Tre con una tesi sperimentale in diritto penale intitolata “Misure di prevenzione patrimoniali Antimafia”, specializzata sulle possibili strategie requirenti nel settore. Ha poi conseguito un Master di II Livello durante la Scuola di Specializzazione per le Professioni Legali. La tesi sperimentale, unita al Master citato, gli ha permesso di ottenere un tirocinio presso la Procura della Repubblica nella sezione Antiterrorismo, conclusa con una valutazione positiva. Attualmente ricopre il ruolo di Responsabile per i Rapporti con il CVCN nel Laboratorio Accreditato di Prova di Telsy.

Aurora Avignoni, laureata in Criminologia presso l’Università di Greenwich di Londra e, successivamente, ha conseguito un Master in Cyber Intelligence e Protezione Strategica del Sistema Paese, con un focus approfondito sulla sicurezza nazionale e la tutela delle informazioni strategiche. Nel corso degli anni ha maturato, presso primarie società di consulenza, competenze trasversali nella gestione e protezione dei dati di carattere strategico. Attualmente, in Telsy ricopre il ruolo di Specialist nell’ambito Golden Power e Perimetro di Sicurezza Nazionale Cibernetica, ed è responsabile della sicurezza del Futuring Technology Center, Laboratorio di Prova (LAP) accreditato dall’Agenzia Cyber Nazionale (ACN).