I limiti giuridici della nuova proposta di regolamento sulla cybersecurity: i principi dell’UE e le garanzie costituzionali italiane – Studio Legale Libutti

Il quadro normativo europeo sulla cybersecurity nel segno della sovranità tecnologica.

1.1 Desta non poche riflessioni la progressiva evoluzione dell’Unione europea, la quale sembra orientarsi non più verso una funzione di integrazione, sostegno e coordinamento delle competenze degli Stati membri, bensì nella direzione una sempre più marcata tendenza a sostituirsi ad essi in ambiti che i Trattati riservano alla loro competenza primaria.

In questo quadro si inserisce la proposta di regolamento COM(2026) 11 (CSA2), noto anche come Cyber Security Act 2[1], il quale si inscrive nel più ampio sviluppo della disciplina europea in materia di cybersicurezza trovando il suo fondamento programmatico nei concetti di “sovranità tecnologica europea” e “sovranità digitale” elaborati negli anni dalla dottrina e dalle istituzioni politiche eurounitarie[2]. Tale evoluzione riflette una tendenza dell’Unione ad assumere funzioni sempre più assimilabili a quelle statuali, estendendo il proprio intervento oltre il tradizionale ambito del mercato interno fino a incidere su settori quali politica industriale, sviluppo tecnologico e sicurezza[3].

Questa dinamica segnala una nuova fase del processo di integrazione europea, caratterizzata dall’adozione di strumenti regolatori capaci di incidere direttamente su ambiti sino ad oggi riservati agli Stati membri, come ad esempio la sicurezza. Ne derivano possibili tensioni con l’attuale assetto dei Trattati, sia sotto il profilo della compatibilità giuridica, sia in termini di legittimazione democratica, in ragione della natura mista dei processi decisionali dell’Unione.

1.2 La proposta CSA2 vede la sua genesi nel percorso della strategia industriale europea e si fonda dunque su una lettura della sovranità tecnologica che trasforma esigenze economiche del mercato interno in giustificazione per interventi normativi di selezione dei partner commerciali basati su criteri di natura non esclusivamente tecnica o economica, bensì orientati da valutazioni di carattere geopolitico.

Tale approccio si basa sull’assunto che la dipendenza da tecnologie extra-UE nei settori critici rappresenti un rischio per la sicurezza e la resilienza dell’Unione[4]. Un dato che non solo sembra non trovare riscontro nei rapporti sugli incidenti informatici allegati alla proposta di regolamento[5], ma che denuncia una sempre più palese invasione della iniziativa legislativa della Commissione dal campo della regolamentazione del mercato a quello della sicurezza che i Trattati riservano agli Stati membri.

Il problema della base giuridica, le possibili violazioni del CSA2.

2.1 Tale evoluzione non si manifesta in modo isolato con la proposta CSA2, ma si inserisce in una traiettoria già da tempo avviata nell’ordinamento europeo, caretterizzata da una progressiva estensione dell’intervento dell’Unione in materia di cybersicurezza come si può evincere già dalle precedenti iniziative normative in materia tra cui si rammentano le direttive NIS, la direttiva CER, il Cyber Resilience Act[6].

In tale contesto, l’azione delle istituzioni europee si è articolata lungo due direttrici principali: da un lato, il rafforzamento della cooperazione e del monitoraggio delle criticità della cybersicurezza attraverso la creazione dell’Agenzia dell’Unione Europea per la cybersicurezza (ENISA); dall’altro, mediante lo sviluppo il tentativo di armonizzazione tecnica mediante l’adozione di sistemi di certificazione di conformità dei componenti e dei servizi ICT (c.d. sistema europeo di certificazione ECCF) [7].

La proposta di regolamento CSA2 rappresenta tuttavia, nei propositi della Commissione, un’evoluzione qualitativa, prevedendo anzitutto un ampliamento delle funzioni regolatorie e di coordinamento di ENISA e introducendo strumenti più incisivi, come l’obbligatorietà dei sistemi di certificazione – sino ad oggi adottati su base volontaria – in alcuni settori critici, come quello per le telecomunicazioni[8]; in secondo luogo misure restrittive sulle catene di approvvigionamento basate su criteri non tecnici rivolte, nei fatti, a limitare l’accesso al mercato europeo degli operatori stranieri provenienti da Paesi ritenuti “non sicuri”.

2.2 Ciò osservato, il regolamento proposto dalla Commissione presenta numerosi profili di criticità tanto con riferimento al rispetto dei principi di attribuzione (art. 5 TUE, 114 TFUE), di proporzionalità e sussidiarietà (art. 5 pag. 4 TUE), quanto con riferimento ai profili di diritto interno dei Paesi membri.

In primo luogo, il nodo centrale riguarda la base giuridica individuata nell’art. 114 TFUE, tradizionalmente utilizzato per l’armonizzazione del mercato interno. Alla luce della giurisprudenza della Corte di giustizia tale base è ritenuta legittima solo quando il mercato interno costituisce il reale centro di gravità dell’intervento. Così Nella sentenza Tobacco Advertising I (causa C-376/98) viene osservato che “interpretare tale articolo [art. 114 TFUE già art. 95 TCE] nel senso che attribuisca al legislatore comunitario una competenza generale a disciplinare il mercato interno non solo sarebbe contrario al tenore stesso delle disposizioni citate, ma sarebbe altresì incompatibile con il principio sancito all’art. 3 B del Trattato CE (divenuto art. 5 CE – oggi art. 5 TUE), secondo cui le competenze della Comunità sono competenze di attribuzione” [9].

Il CSA2, invece, sembra perseguire obiettivi ulteriori, legati alla sicurezza tecnologica e alla sovranità strategica, introducendo strumenti che incidono direttamente sulla selezione dei fornitori e sull’accesso al mercato sulla base di criteri non tecnici.

In particolare, il nuovo sistema di certificazione ECCF (Titolo III della proposta) evolve da strumento neutrale di conformità tecnica di un dispositivo tecnologico a meccanismo potenzialmente selettivo di affidabilità di un fornitore basato su criteri di sicurezza come risulta in particolare dal combinato disposto degli artt. 85 e 100[10].

Parimenti estranee a criteri tecnici appaiono le norme sulla catena di approvvigionamento (Titolo IV della proposta) le quali attribuiscono alla Commissione poteri incisivi come quello di designare un Paese terzo come fonte di problemi sulla sicurezza (art. 100) e di escludere dai settori critici del mercato (NIS2, All. I e II) gli operatori da esso provenienti o ad esso in qualche modo connessi (su tutti art. 103). Trattasi dunque di un potere di valutazione geopolitica e di introduzione di barriere di accesso al mercato europeo per fornitori di dispositivi o di servizi in ragione della loro riconducibilità a Paesi privi di requisiti di affidabilità variamente definiti, tra cui spicca quanto a genericità quello dell’assenza di meccanismi di controllo “indipendenti e democratici” (cfr. art. 100, par. 1 lett. a)-e)).

Ciò accentua inevitabilmente quello slittamento dalla logica del mercato interno, propria del perimetro stabilito dall’art. 114 TFUE, ad una logica di sicurezza basata su valutazioni di carattere geopolitico, che era stata già rilevata nelle precedenti iniziative eurounitarie in materia di cibersicurezza[11], ma che risulta ancor più palese nella proposta di regolamento in commento. Corollario ne è l’evidente rischio di violazione del principio di attribuzione sancito dai Trattati con la possibile invadenza delle competenze degli Stati membri.

A tali criticità si aggiungono ulteriori profili di illegittimità afferenti al rispetto dei principi di proporzionalità e sussidiarietà prescritti dall’art. 5 par. 4 del TUE. Sotto il profilo della proporzionalità, le misure appaiono eccessive rispetto agli obiettivi perseguiti, in quanto basate su criteri non direttamente correlati ai rischi tecnici e sostituibili con strumenti meno restrittivi[12]. E’ stato sottolineato, infatti, come dai rapporti richiamati nel Preambolo si evinca che i principali incidenti siano riconducibili al Phishing, al Ransomware e ai malware, e dunque dipendano da vulnerabilità in gran parte comportamentali o di cattiva configurazione dei sistemi, non attribuibili all’affidabilità dei fornitori dei dispositivi ICT[13]. Né i problemi rappresentati dalla riscontrata arretratezza tecnologica delle reti informative europee, e dalla loro conseguente vulnerabilità, sembrano essere riconducibili alla inaffidabilità dei fornitori stranieri, quanto al contrario al basso livello degli investimenti delle aziende europee[14].

Quanto alla sussidiarietà, non risulta dimostrato che un intervento così centralizzato sia necessario rispetto alle competenze e agli strumenti già disponibili a livello nazionale e nell’ambito della cooperazione prevista dalla NIS2. Un esempio su tutti è rappresentato dall’esperienza d’Oltralpe sull’utilizzo con efficacia dello strumento dell’azione speciale, comunemente indicata con l’espressione golden share, che fa parte dell’arsenale giuridico idoneo a completare il controllo sugli asset strategici combinando strumenti di polizia amministrativa con quelli di tipo societario[15].

Ulteriori possibili violazioni potrebbero riscontrarsi con riferimento alle libertà del mercato interno (artt. 34–36 TFUE), in quanto le restrizioni fondate sull’origine dei fornitori possono configurare misure di effetto equivalente e discriminazioni indirette[16]. Infine rilevanti questioni di compatibilità si pongono con la Carta dei diritti fondamentali dell’Unione europea, la quale, come noto, ha lo stesso valore dei Trattati e contiene previsioni a tutela della libertà di impresa (art. 16), del diritto di proprietà (art. 17) e del principio di non discriminazione (artt. 20 e 21) la cui compressione può essere giustificata solamente nel rispetto del principio di proporzionalità[17].

2.3 Analoghi dubbi emergono, ancorché con riferimento all’applicazione della normativa UE negli Stati Membri, rispetto ai principi sanciti dalla CEDU. Ciò con particolare riguardo al diritto di proprietà e al divieto di discriminazione, nonché alla libertà d’impresa così come ricavati dalla giurisprudenza della Corte EDU in applicazione dell’art. 1 del Protocollo n. 1 e dell’art. 14 della Convenzione.

Segnatamente, la Corte di Strasburgo ha rilevato che dall’art. 1 del Protocollo n. 1 non si limita alla proprietà in senso stretto, ma comprende anche interessi patrimoniali, attività economiche e aspettative legittime di natura economica, quali licenze, autorizzazioni e accesso al mercato[18].

Sotto tale aspetto, dunque, le norme previste dal CSA2 e dunque le previsioni nazionali che vi darebbero attuazione, potrebbero determinare l’esclusione di operatori economici da segmenti rilevanti del mercato europeo (ad esempio infrastrutture critiche o servizi digitali essenziali), impattando su tali interessi patrimoniali e configurando una privazione sostanziale del valore economico dell’attività, assimilabile a una forma di interferenza nel diritto di proprietà.

In altre parole nel sistema proposto dal CSA2, la qualificazione di determinati fornitori come “ad alto rischio” appare strettamente correlata, almeno in alcuni casi, al paese di origine dell’operatore o al sistema politico-giuridico di appartenenza, così aprendo all’adozione di misure generalizzate e non individualizzate che rischiano di non superare un vaglio di legittimità condotto sulla base della Convenzione.

2.4 Assumendo ancor di più la prospettiva del diritto interno, e segnatamente dell’ordinamento italiano, le considerazioni sulle criticità della proposta CSA2 in relazione alla CEDU potrebbero assumere rilievo alla luce dell’art. 117 della Costituzione, norma che obbliga il legislatore italiano e le istituzioni a tutti i livelli a rispettare non solo i principi stabiliti dalla Costituzione ma anche i vincoli derivanti dagli obblighi internazionali, assumendo dunque questi ultimi una funzione di parametro interposto di legittimità costituzionale[19].

Del resto, anche non volendo prendere in considerazione alcuna convenzione internazionale, i suddetti principi sono pienamente condivisi dalla Costituzione Italiana, la quale ha quale valore fondante il divieto di ogni discriminazione sancito dall’art. 3, e tutela la libertà di iniziativa economica privata ai sensi dell’art. 41.

Principi questi che non vincolano solo il legislatore ma che permeano l’azione a tutti i livelli dei poteri dello Stato, ivi inclusa la funzione amministrativa la quale deve essere improntata sul principio di legalità, proporzionalità e di ragionevolezza, risultando dunque vietate tutte quelle disposizioni di carattere restrittivo o discriminatorio prive di adeguato bilanciamento con altri valori della Carta.

Da questo punto di vista, il meccanismo previsto dal CSA2 appare problematico in quanto può portare all’esclusione di determinati fornitori da segmenti significativi del mercato sulla base di valutazioni generiche, predittive e insufficientemente individualizzate creando un’evidente tensione non solo con l’articolo 41 e con l’articolo 3, ma anche con i principi di buon andamento e di imparzialità che regolano l’attività amministrativa[20] [21]

Laddove l’accesso alle infrastrutture critiche o ai servizi digitali essenziali sia limitato non a causa di comportamenti specifici, carenze comprovate o vulnerabilità tecniche concrete, ma piuttosto in ragione di considerazioni generali legate all’origine, alla dipendenza strategica o alle caratteristiche del sistema giuridico e politico di un paese terzo come vorrebbe il combinato disposto degli artt. 100 e 103 della proposta di regolamento, la misura scaturente rischierebbe di eccedere i valori fondanti dell’ordinamento italiano[22].

Emblematico è il caso che potrebbe prospettarsi ove in applicazione dell’art. 100 del CSA2 una amministrazione approvasse un bando di gara per un appalto pubblico in conformità con le direttive 2014/24/UE e 2014/25/UE, e vi inserisse una norma di carattere escludente per quegli operatori qualificati come ad alto rischio dalla Commissione. Ne deriverebbe un possibile contenzioso dinanzi alla giurisdizione amministrativa e, nella ipotesi di accertamento della natura discriminatoria della disposizione, l’atto amministrativo potrebbe essere annullato.

A ben vedere le sopra esposte preoccupazioni possono essere inquadrate, sebbene in modo più indiretto, in termini di limiti costituzionali al trasferimento e all’esercizio dei poteri nell’ambito dell’ordinamento giuridico europeo. A differenza del modello tedesco di controllo ultra vires, il quadro costituzionale italiano opera attraverso la c.d. teoria dei controlimiti[23]: pur riconoscendo il primato del diritto dell’Unione, l’ordinamento italiano non accetta che l’Unione possa, attraverso un’interpretazione eccessivamente estensiva della propria base giuridica, alterare l’equilibrio costituzionale delle competenze o eludere i principi fondamentali dell’ordinamento giuridico interno.

Anche sotto tale profilo si può concludere che un uso eccessivamente estensivo dell’art. 114 TFUE e la introduzione di meccanismi di esclusione basati su motivazioni non sufficientemente circostanziate potrebbero da un lato alterare l’equilibrio delle competenze tra Unione ordinamento interno, e dall’altro produrre una compressione di principi costituzionalmente protetti tale da innescare tensioni sistemiche e aprire la strada a forme di reazione costituzionale.

Il rischio di un ampio contenzioso e la necessità di un approccio multilivello.

3.1 All’esito dell’analisi svolta, il quadro normativo europeo in materia di cybersicurezza appare caratterizzato da un processo di rafforzamento della c.d. sovranità tecnologica dell’Unione, intesa quale capacità di governare autonomamente le infrastrutture digitali e di garantire la sicurezza del mercato interno. In tale prospettiva, le iniziative normative adottate e proposte evidenziano come l’Unione stia facendo ampio ricorso alle proprie competenze, in particolare a quelle fondate sull’art. 114 TFUE, al fine di promuovere l’utilizzo di tecnologie sviluppate all’interno dello spazio europeo, proteggere i settori economici critici e mitigare i rischi derivanti da minacce informatiche sempre più pervasive.

3.2 Tuttavia, questo processo di integrazione normativa non è privo di criticità. L’uso estensivo della base giuridica del mercato interno solleva, infatti, rilevanti interrogativi in ordine al rispetto dei principi di attribuzione, proporzionalità e sussidiarietà, che delimitano l’esercizio delle competenze dell’Unione. In particolare, la crescente centralizzazione delle politiche di cybersicurezza e il possibile innalzamento di barriere di ingresso a fornitori extra-UE rischiano di avere anzitutto ripercussioni economiche sulle medesime aziende europee, non più libere di avvalersi delle componenti ICT più efficienti e più convenienti. In secondo luogo di incidere sulla capacità degli Stati membri di fronteggiare autonomamente le sfide tecnologiche, in un settore che presenta forti implicazioni strategiche e di sicurezza nazionale.

3.3 Il rischio che dalla introduzione delle norme previste dal CSA2 si sviluppi un ampio contenzioso è dunque realistico. Anzitutto con riferimento al possibile rimedio rappresentato dall’art. 263 TFUE attivabile dagli Stati membri o dal Parlamento ove dovesse riscontrarsi un uso distorto dell’art. 114 TFUE e dunque un vizio di competenza. In secondo luogo, ancor più rilevante dalla prospettiva degli operatori economici è il rimedio previsto dall’art. 267 TFUE il quale, come noto, consiste nel rinvio pregiudiziale dinanzi alla Corte di giustizia dell’Unione europea attivabile in via incidentale nel corso di una controversia pendente presso una giurisdizione domestica.

Non da ultimo un ulteriore livello di tutela deriva dal sistema dei diritti fondamentali, quale risultante dalla Carta dei diritti fondamentali dell’Unione europea e dalla Convenzione europea dei diritti dell’uomo. E’ stato osservato come le misure del CSA2 potrebbero incidere su libertà di impresa, diritto di proprietà e principio di non discriminazione ed essere sottoposte al sindacato del giudice nazionale e, in ultima istanza, della Corte EDU.

Nel sistema italiano, è stato evidenziato come eventuali violazioni dei diritti convenzionali possono rilevare anche attraverso l’art. 117 Cost., che impone il rispetto degli obblighi internazionali. Ciò consente, in via mediata, un controllo di compatibilità costituzionale delle norme interne di attuazione del diritto dell’Unione. Detto controllo incidentale può altresì avvenire anche ai sensi dell’art. 3 e art. 41 della Costituzione ove le misure introdotte dal CSA2 si risolvano in una lesione non giustificata del principio di uguaglianza e in una compressione della libertà di impresa non adeguatamente bilanciata dagli obiettivi effettivamente perseguiti. Un controllo che potrebbe addirittura estendersi ad una vaglio di costituzionalità delle norme UE ove le stesse si trovassero in antinomia con i principi fondamentali dell’ordinamento interno.

3.4 In tale contesto, il modello europeo sembra allontanarsi dall’attuale sistema multilivello, nel quale il ruolo dell’Unione si affianca – senza sostituirsi integralmente – a quello degli ordinamenti nazionali che rimangono però il perno centrale delle politiche industriali e in materia di sicurezza, secondo una prospettiva maggiormente compatibile con l’attuale formulazione dei Trattari e probabilmente più rispettosa delle specificità e dei contesti nazionali.

Il caso italiano, da questo punto di vista, appare emblematico: pur in assenza di grandi operatori globali nel settore digitale, il sistema nazionale si caratterizza per un tessuto dinamico di piccole e medie imprese e per un quadro normativo avanzato, che include strumenti quali il perimetro di sicurezza nazionale cibernetica[24] e i poteri speciali (golden power)[25].

Alla luce di tali considerazioni, il rafforzamento della sovranità tecnologica europea non può essere interpretato in termini meramente centralizzatori, ma richiede un equilibrio tra livello unionale e livello nazionale. La soluzione sembra rinvenibile in un approccio realmente multilivello, fondato su forme di cooperazione orizzontale e sull’individuazione di strumenti normativi adeguati alla natura transnazionale dei fenomeni digitali.

Avv. Michele Trotta | Avv. Giuseppe Libutti | Prof. Avv. Sergio Santoro

[1] Proposta di regolamento presentata dalla Commissione Europea il 20 gennaio 2026 per aggiornare e rafforzare il precedente regolamento (UE) 2019/881 (chiamato anche CSA1). Da ora in poi anche CSA2.

[2] La sovranità digitale è stata definita in modo piuttosto vago come “Europe’s ability to act independently in the digital world.” Vedi T. MADIEGA (EPRS), Digital Sovereignty for Europe, 2020.

[3] V. anche J. Borrell, “Perché l’autonomia strategica europea è importante”, Blog dell’Alto rappresentante dell’Unione europea per gli affari esteri e la politica di sicurezza / Vicepresidente della Commissione, 3/12/2020, consultabile alla URL https://www.eeas.europa.eu/eeas/perch%C3%A9-lautonomiastrategica-europea-%C3%A8-importante_it.

[4] Si veda il Preambolo della proposta di regolamento CSA2

[5] ENISA Threat Landscape 2025. Dai dati empirici richiamati, in particolare nei rapporti ENISA, emerge che la maggior parte degli incidenti informatici deriva da vulnerabilità tecniche e comportamentali (phishing, ransomware, errori di configurazione), mentre i rischi legati alla supply chain risultano meno frequenti e riconducibili soprattutto a fenomeni di cyberspionaggio. Nonostante ciò, la proposta sembra privilegiare un approccio basato sulla limitazione dell’accesso al mercato per operatori stranieri quale strumento di sicurezza.

[6] Direttiva (UE) 2016/1148 (NIS1); Direttiva (UE) 2022/2555 (NIS2); Direttiva (UE) 2022/2557 (CER); Regulation (EU) 2024/2847 (CRA)

[7] Si tratta di uno strumento di attestazione dell’affidabilità tecnica di un fornitore sino ad oggi utilizzato su base volontaria e disciplinato da CSA1 e NIS; v. regolamento (UE) 2019/881;

[8] Art. 110 CSA2

[9] Corte di giustizia, causa C-376/98, Tobacco Advertising I, punto 83; vedi anche Corte di Giustizia, sentenza 13 luglio 1995, causa C-350/92, Spagna/Consiglio, Racc. pag. I-1985, punto 35; Corte di Giustizia, sentenza 9 ottobre 2001, causa C-377/98, Paesi Bassi/Parlamento e Consiglio, Racc. pag. I-7079, punto 15; Corte di Giustizia, sentenza 10 dicembre 2002, causa C-491/01, British American Tobacco (Investments) e Imperial Tobacco, cit., punto 61; Corte di Giustizia, sentenza 14 dicembre 2004, causa C-434/2002, Arnold André, cit., punto 31; Corte di Giustizia, sentenza 9 settembre 2001, causa C-198/2001, Swedish Match, cit., punto 30, e Alliance for Natural Health e a., cit., punto 29.

[10] Le aperture a fattori non puramente tecnici si riscontrano nel combinato disposto di cui all’art. 85 e 100, par. 4 lett. c e d) che esclude i fornitori ad alto rischio individuati secondo le procedure di cui al Titolo IV dalla possibilità di diventare organismi di valutazione della conformità accreditati ai sensi del Titolo III.

[11] Sara Poli I Post di AISDUE, III (2021), aisdue.eu Sezione “Atti convegni AISDUE”, n. 5, 20 dicembre 2021 Annali AISDUE, ISSN 2723-9969

[12] Sul bilanciamento tra gli oneri imposti e i benefici perseguiti V. ex multis Corte di giustizia, causa C-331/88, Fedesa, punto 13; Corte di giustizia, causa C-58/08, Vodafone, punto 51

[13] ENISA Threat Landscape 2025.

[14] Nel Rapporto Draghi sulla competitività UE del 2024 si sottolinea, specialmente con riferimento alle telecomunicazioni, che le problematiche del mercato europeo sono riconducibili alla frammentazione degli operatori e ad un basso livello degli investimenti (V. Mario Draghi, The future of European competitiveness Part B | In-depth analysis and recommendations, 2024, cap. 3.1, pag. 68).

[15] Nella modulazione di questi poteri, alcuni Stati esteri dispongono di strumenti contrattuali particolarmente incisivi – quali i proxy agreements in USA – che consentono una rigorosa separazione delle informazioni strategiche (v. Sandrine Clavel et David Chekroun, Golden share (action spécifique) et contrôle des investissements étrangers: vers une gouvernance de la sécurité économique? Dalloz actualité, 13 mars 2026).

[16] Tale principio, elaborato sin dalla giurisprudenza Dassonville, è stato ulteriormente sviluppato nella sentenza Cassis de Dijon e costituisce uno dei pilastri del mercato interno.

[17] v., tra le altre, le sentenze della Corte di Giustizia dell’Unione Europea, sentenza 22 gennaio 2013 causa C‑283/11, Sky Österreich GmbH v ORF; sentenza 3 settembre 2008, cause C-402/05 P and C-415/05 P.Kadi and Al Barakaat v Council and Commission (2008).

[18] CEDU, Centro Europa 7 S.r.l. e Di Stefano c. Italia (2012)

[19] Nel sistema delineato dalla Corte costituzionale con le sentenze n. 348 e n. 349 del 2007 e ribadito con la richiamata sentenza n. 120 del 2018 il giudice nazionale è chiamato a svolgere un ruolo centrale nel garantire il rispetto dell’art. 117 della Costituzione e dunque della CEDU, dando così attuazione a quel controllo giurisdizionale effettivo sulle decisioni incidenti sui diritti civili di cui si è più volte sottolineata l’indispensabilità.

[20] V. legge 241/1990.

[21] Sulla applicazione effettuata dalla Corte Costituzionale degli artt. 3 e 41 della Costituzione si veda di recente sentenza n. 84 del 2017. In cui viene osservato che le restrizioni all’attività economica devono essere: non discriminatorie, proporzionate, giustificate da interessi pubblici reali.

[22] E’ il caso che si potrebbe prospettare ove trovassero piena applicazione l’art. 85, l’art. 100, l’art. 103 della CSA2. L’art. 111 addirittura prevede che i fornitori di reti di comunicazione elettronica mobili, fisse e satellitari non possono utilizzare, installare o integrare in alcuna forma componenti ICT o componenti che li includano, se provenienti da fornitori ad alto rischio, nel funzionamento delle risorse ICT fondamentali.

[23] La Corte costituzionale, a partire dalla sentenza n. 183 del 1973 (Frontini), ha infatti affermato che il trasferimento di competenze all’ordinamento europeo trova fondamento nell’art. 11 Cost., ma è subordinato al rispetto dei principi fondamentali dell’ordinamento e dei diritti inviolabili della persona. Tale impostazione è stata sviluppata attraverso la teoria dei c.d. controlimiti, che costituiscono una clausola di salvaguardia dell’identità costituzionale nazionale.

Nella successiva giurisprudenza – dalla sentenza n. 170 del 1984 (Granital) fino alle più recenti decisioni Taricco (sentt. nn. 24 del 2017 e 115 del 2018) – la Corte ha progressivamente consolidato un modello di integrazione aperta ma condizionata, nel quale il primato del diritto dell’Unione trova il proprio fondamento nella Costituzione e incontra un limite nei principi supremi dell’ordinamento. In tale prospettiva, pur privilegiando il dialogo con la Corte di giustizia attraverso il rinvio pregiudiziale, la Corte costituzionale non ha escluso in linea di principio la possibilità di sindacare gli atti dell’Unione qualora essi incidano su tali principi.

[24] In particolare, con il d.l. n. 82/2021 è stata istituita l’Agenzia per la cybersicurezza nazionale (ACN), quale autorità centrale responsabile del coordinamento delle politiche di sicurezza informatica e dell’attuazione delle strategie nazionali, in linea con gli obblighi derivanti dalla direttiva NIS 2. A ciò si affianca il c.d. Perimetro di sicurezza nazionale cibernetica (d.l. n. 105/2019), che individua soggetti pubblici e privati operanti in settori strategici e impone specifici obblighi di sicurezza e notifica degli incidenti.

[25] Un ulteriore strumento rilevante è rappresentato dalla disciplina del golden power, progressivamente estesa anche al settore delle tecnologie digitali e delle reti di comunicazione elettronica (in particolare 5G). Tale meccanismo consente al Governo italiano di esercitare poteri speciali su operazioni societarie e contratti riguardanti asset strategici, inclusi quelli relativi alla sicurezza delle reti e delle infrastrutture ICT, al fine di prevenire rischi per la sicurezza nazionale. In questo senso, esso costituisce un punto di intersezione tra tutela della sicurezza statale e regolazione del mercato interno, riflettendo a livello nazionale le medesime tensioni che emergono a livello europeo (v. anche M. Clarich, La disciplina del golden power in Italia e l’estensione dei poteri speciali alle reti 5G, in G. Napolitano (a cura di), Foreign Direct Investment screening. Il controllo sugli investimenti esteri diretti, Il Mulino, Bologna, 2019, 118).