La determinazione n. 57 del 22 dicembre 2025 del Garante per la protezione dei dati personali apre una finestra poco osservata su un aspetto cruciale della sicurezza istituzionale: la bonifica ambientale TSCM, cioè l’insieme di attività tecniche finalizzate a individuare e neutralizzare apparati di intercettazione clandestina all’interno di uffici e sedi sensibili. Il documento, firmato digitalmente dalla dirigente Avv. Olga Sesso Sarti, dispone un affidamento diretto per un importo di 24.000 euro oltre IVA alla società SAET s.p.a., per interventi effettuati presso la sede dell’Autorità Garante Privacy alla fine di novembre 2025. La lettura integrale dell’atto consente di ricostruire non solo il perimetro amministrativo dell’operazione, ma anche il contesto normativo e operativo in cui si inserisce, con implicazioni che vanno oltre la mera contabilità pubblica .
Cosa leggere
Oggetto del provvedimento
Il provvedimento nasce da una richiesta di attivazione del 28 novembre 2025, quando le inchieste di Report erano sulla via dell’esaurimento di nuovi contenuti, con riferimento a servizi di bonifica ambientale TSCM su circa 36 locali interni alla sede del Garante. Si tratta di un numero significativo di ambienti, che suggerisce un intervento esteso e strutturato, non una verifica sporadica. La tempistica è uno degli elementi più rilevanti: i servizi sono stati eseguiti in urgenza il 29 e 30 novembre 2025, quindi prima ancora della formalizzazione completa della trattativa sul Mercato elettronico della Pubblica amministrazione. L’urgenza, nel linguaggio amministrativo, non è un dettaglio neutro: indica la percezione di un rischio che non consente dilazioni, soprattutto quando riguarda la riservatezza delle comunicazioni di un’autorità di garanzia.
Il quadro normativo richiamato nella determinazione è ampio e stratificato. Il documento parte dai riferimenti fondativi, come il Regolamento (UE) 2016/679 e il Codice privacy nazionale, per poi innestarsi nel nuovo Codice dei contratti pubblici (d.lgs. 36/2023). È proprio l’articolo 50, comma 1, lettera b), a costituire il perno giuridico dell’affidamento: per servizi di importo inferiore a 140.000 euro, la legge consente l’affidamento diretto anche senza consultazione di più operatori economici. In questo caso, l’Amministrazione ha ritenuto di procedere in autonomia, pur nel rispetto degli obblighi di utilizzo degli strumenti di acquisto come il MEPA, gestito da Consip.
Cos’è il servizio di TSMC
Il TSCM, acronimo di Technical Surveillance Counter Measures (Contromisure Tecniche di Sorveglianza), indica un insieme strutturato di tecniche, procedure e strumenti specialistici utilizzati per rilevare, analizzare e neutralizzare dispositivi di spionaggio illeciti come microspie, telecamere nascoste, spy phone e sistemi di intercettazione occulta, con l’obiettivo di proteggere informazioni riservate e la privacy da intercettazioni non autorizzate sia in ambito aziendale sia privato. Si tratta, in sostanza, di attività di bonifica elettronica finalizzate alla sicurezza delle comunicazioni e degli ambienti, mirate a individuare e rimuovere “cimici” e altri mezzi di ascolto clandestino prima che possano essere sfruttati per il furto di dati sensibili, conversazioni confidenziali o strategie operative. Le operazioni TSCM si basano sull’impiego di tecnologie avanzate capaci di individuare minacce acustiche, segnali a radiofrequenza (RF), emissioni laser o infrarosse, nonché dispositivi nascosti o apparentemente spenti, e trovano applicazione nella protezione di uffici, sale riunioni, abitazioni, veicoli e anche nell’analisi di smartphone e computer per individuare eventuali forme di spyware. Tali attività vengono svolte da professionisti altamente qualificati nel campo della sicurezza, delle telecomunicazioni e dell’elettronica, che utilizzano strumentazioni sofisticate e metodologie consolidate: in sintesi, il TSCM rappresenta l’equivalente tecnologico del controspionaggio, focalizzato sulla prevenzione e sulla difesa attiva contro le intercettazioni elettroniche.
Chi si è aggiudicato il servizio?
La scelta dell’operatore economico non viene motivata con formule generiche. La determinazione dà atto che SAET s.p.a. risulta regolarmente iscritta al MEPA nel bando pertinente e possiede pregresse esperienze documentate nel settore. Questo passaggio è rilevante perché la bonifica TSCM non è un servizio standard come abbiamo appena letto:
richiede competenze specialistiche, strumentazione avanzata e personale qualificato. Non a caso, il contratto fa riferimento a un CCNL specifico, quello degli addetti alla piccola e media industria metalmeccanica e all’installazione di impianti, coerente con attività tecniche ad alta specializzazione.
Affidamento urgente
Uno degli aspetti che emergono con chiarezza è la gestione dell’urgenza. Il servizio è stato ordinato tramite PEC il 28 novembre 2025, sulla base dell’accettazione di un preventivo informale, e solo successivamente incardinato nella trattativa diretta sul MEPA. Questo passaggio è formalmente legittimo e previsto dalle prassi, ma segnala una priorità operativa che supera la sequenza ordinaria degli adempimenti. In altri termini, la sicurezza delle comunicazioni e degli ambienti del Garante è stata considerata un’esigenza immediata, tale da giustificare un affidamento d’urgenza.
Dal punto di vista economico, l’importo di 24.000 euro oltre IVA appare contenuto se rapportato alla natura del servizio e all’estensione degli ambienti interessati. La determinazione specifica che i costi per oneri di sicurezza interferenziali sono pari a zero, elemento tipico dei servizi svolti senza interferenze operative con altre attività. Inoltre, proprio per la modesta rilevanza economica, non è stata richiesta la cauzione definitiva, come consentito dall’articolo 53 del Codice dei contratti.
Anche questo dettaglio contribuisce a delineare un affidamento snello, calibrato su un intervento puntuale e non strutturalmente continuativo.
Un altro elemento che merita attenzione è l’assenza di interesse transfrontaliero. La determinazione lo dichiara espressamente, escludendo quindi profili di concorrenza europea o di attrattività internazionale dell’appalto. È una precisazione che rafforza la legittimità dell’affidamento diretto e delimita il perimetro dell’operazione a un contesto nazionale, coerente con la natura sensibile del servizio da cui dovrebbero imparare coloro che credono alla favola che la cybersecurity nazionale abbia un perimetro cibernetico definito quanto i confini del Bel Paese.
La nomina del Responsabile unico di progetto, individuato nel dott. Roberto Canino, funzionario del Dipartimento attività contrattuali, completa il quadro organizzativo. Anche questo passaggio non è meramente formale: il RUP assume la responsabilità della corretta esecuzione del contratto e rappresenta il punto di raccordo tra esigenze tecniche, amministrative e di controllo. In un servizio come la bonifica TSCM, il ruolo del RUP è cruciale per garantire che le attività svolte rispondano effettivamente agli standard richiesti e che le risultanze siano correttamente acquisite dall’Amministrazione.
Leggi determina n. 57 del 22 dicembre 2025
Sul piano sostanziale, l’affidamento per servizi TSCM presso il Garante privacy assume un valore simbolico e operativo. Simbolico perché segnala che l’Autorità incaricata di vigilare sulla protezione dei dati personali investe direttamente nella sicurezza dei propri ambienti, riconoscendo la centralità della protezione delle informazioni anche a livello fisico e infrastrutturale.
Operativo perché conferma che le minacce alla riservatezza non sono solo digitali, ma includono intercettazioni ambientali, microspie, dispositivi clandestini, che richiedono contromisure specifiche.
Dalla scorta al Garante alla caccia delle talpe
In un contesto in cui il Garante è stato al centro di dossier delicati, procedimenti sanzionatori e interlocuzioni istituzionali sensibili, la bonifica TSCM non è una misura accessoria. È parte integrante di una strategia di sicurezza multilivello, che affianca la cybersecurity tradizionale con controlli fisici e ambientali e chissà se la Procura interpellata dallo stesso Garante non abbia avuto qualche danno indiretto da questa bonifica. La scelta di procedere in urgenza e con un operatore specializzato indica una valutazione del rischio che non può essere liquidata come routine amministrativa.
L’affidamento diretto alla SAET s.p.a. per servizi TSCM presso la sede del Garante privacy non è solo una voce di spesa nel bilancio 2025. È un tassello di una più ampia architettura di protezione delle informazioni istituzionali, che intreccia diritto amministrativo, sicurezza tecnica e responsabilità pubblica. Ed è proprio in questi atti, spesso ignorati nel dibattito pubblico, che si misura la distanza tra una tutela dei dati dichiarata e una tutela dei dati effettivamente praticata, purtroppo anche su questo punto sembrerebbe in ritardo dopo lo scandalo mail Fanizza – Comella, e quello che sorprende è per l’appunto la circostanza specifica dove il Garante è oggetto delle attenzioni della Procura per una denuncia effettuata dallo stesso Collegio verso alcune gole profonde e su cui molto prima dell’affidamento, il primo novembre, alcuni dipendenti avevano denunciato un presunto ingresso nella sede durante un giorno di chiusura del componente Guido Scorza, che ha confermato, e di alcuni uomini che , sempre secondo le segnalazioni dei lavoratori, avrebbero avuto accesso fisico a dispositivi e postazioni di lavoro sia dei server sia delle maestranze senza essere registrati all’ingresso. Al momento si tratta di fantasmi e chissà se il prossimo affidamento diretto sarà in favore dei GhostBusters per far luce sulla vicenda.
