Capita di rado che l’istituzione incaricata di guidare la transizione digitale della Pubblica Amministrazione venga condannata dal Consiglio di Stato per aver violato le regole che essa stessa ha scritto. È quanto stabilisce la Sentenza n. 4520 del 2026 della Sezione Quinta. AGID, l’Agenzia per l’Italia Digitale, ha bandito e gestito una selezione per dirigente informatico servendosi di una piattaforma non qualificata, affidata a un operatore terzo e ha prodotto elaborati elettronici che, secondo la normativa vigente, non hanno alcun valore probatorio.

Il fatto: un concorso digitale senza garanzie digitali

La procedura, indetta nel 2020 per un posto di dirigente informatico di seconda fascia nell’area Soluzioni PA, si svolse interamente online. I candidati risposero alle prove su tablet, i dati transitarono su server in cloud e la correzione passò attraverso un sistema informatico gestito da un operatore esterno. Di quell’operatore non risulta un atto formale di affidamento, e il bando di concorso non lo menziona. Uno dei candidati esclusi dagli orali, dopo aver chiesto l’accesso agli atti, scoprì che il file indicato dall’amministrazione come il suo elaborato riportava in chiaro, nel nome stesso del documento, il proprio cognome. Fece ricorso al TAR del Lazio, che lo dichiarò inammissibile. Il Consiglio di Stato ha ribaltato quella decisione.

Alla pronuncia si è arrivati dopo un’istruttoria lunga: due ordinanze di verificazione, l’incarico a un esperto del Politecnico di Milano e, infine, una relazione tecnica. La relazione ha concluso che non era possibile accertare il funzionamento della piattaforma, perché il codice sorgente non era mai stato consegnato. Va ricordato che AGID, interrogata sul punto, aveva sostenuto che nella procedura non esisteva “alcun software contenente algoritmo”. Il verificatore ha respinto la tesi con un’osservazione elementare: qualsiasi sistema software si fonda su algoritmi scritti in un codice sorgente. Affermare il contrario non sta in piedi.

I tre vizi rimasti senza smentita

La sentenza ruota attorno a tre profili di illegittimità. Conviene chiarire fin da subito un aspetto che una lettura frettolosa rischia di mancare: il Consiglio di Stato non scrive che l’anonimato è stato violato, né che gli elaborati sono stati manomessi. Dice una cosa giuridicamente diversa, e più scomoda per l’amministrazione. Spettava ad AGID dimostrare che tutto si era svolto regolarmente, e quella prova non è arrivata. I tre profili descritti qui sotto sono perciò i vizi denunciati dal ricorrente, rimasti privi di confutazione perché l’Agenzia non ha depositato gli elementi che avrebbero potuto smentirli.

• Primo, il documento informatico privo di forma. 

Le Linee Guida sulla formazione, gestione e conservazione dei documenti informatici, emanate dalla stessa AGID con efficacia di legge ai sensi dell’art. 71 del Codice dell’Amministrazione Digitale, riconoscono valore giuridico a un documento informatico solo se reca firma digitale o, quanto meno, marca temporale certificata. I file PDF consegnati ai candidati in sede di accesso non avevano né l’una né l’altra. Erano file modificabili da chiunque e la sentenza lo afferma in modo netto: quei file non dimostrano che le risposte siano state davvero fornite in quella data, da quel candidato, né che non siano state alterate in un momento successivo.

• Secondo, l’anonimato compromesso a monte. 

La garanzia dell’anonimato nei concorsi non è una formalità: traduce in regola operativa il principio costituzionale di imparzialità (art. 97 della Costituzione.). In ambiente digitale impone di tenere separati, dentro il sistema informatico e fuori, i dati che identificano il candidato e il contenuto del suo elaborato. Qui accadeva il contrario, visto che il nome del file associato alla prova conteneva il cognome del candidato in chiaro per tutta la fase di custodia e di correzione. La commissione, o chiunque avesse accesso al sistema, poteva quindi collegare elaborato e candidato prima di assegnare il punteggio. Per la Corte il vizio è oggettivo: non occorre dimostrare che quel collegamento sia stato effettivamente fatto, basta che fosse tecnicamente possibile.

• Terzo, l’esternalizzazione senza titolo. AGID ha consegnato la gestione concreta dell’intera procedura, dalla somministrazione alla custodia e al trattamento degli elaborati, a un soggetto privato che il bando non nomina, che non risultava qualificato come fornitore cloud per la PA (dalla stessa AGID in base alle proprie Circolari AGID n. 2 e 3 del 2018 che imponevano che i servizi cloud usati dalle amministrazioni fossero iscritte in appositi elenchi) e che non è mai stato designato Responsabile del trattamento dei dati personali ai sensi dell’art. 28 del GDPR. Non è un rilievo formale. L’abbinamento tra codici anonimi e identità dei candidati, operazione con effetti giuridici diretti, è avvenuto in modo automatizzato dentro un sistema di cui l’amministrazione non ha saputo fornire alcuna documentazione tecnica, neppure quando glielo ha chiesto il giudice.

Il principio destinato a contare: il rischio probatorio sta sulla PA

L’aspetto più nuovo della sentenza riguarda chi deve provare cosa, nei contenziosi sulle procedure digitali. Il Consiglio di Stato applica il principio di vicinanza della prova. Quando i fatti rilevanti sono nella disponibilità esclusiva di una parte, è quella parte a dover dimostrare la regolarità, non l’altra a dover provare l’irregolarità. Nei concorsi gestiti con strumenti informatici, gli elementi che contano (il codice sorgente, i log di sistema, le specifiche procedurali, le chiavi crittografiche) li detiene l’amministrazione, o chi lavora per suo conto. Il candidato non vi ha accesso.

La conclusione è di conseguenza lineare. AGID non ha assolto l’onere probatorio che gravava su di essa. Il mancato deposito del codice sorgente e degli artefatti correlati, malgrado due ordinanze istruttorie che lo richiedevano, non è una circostanza neutra: è una soccombenza sul piano della prova, e conferma la fondatezza dei motivi del ricorrente. Il ragionamento si pone in continuità con la Sentenza n. 7058/2025dello stesso Consiglio di Stato ed è destinato a pesare su ogni futuro contenzioso che coinvolga sistemi automatizzati nelle amministrazioni. Il segreto tecnico e l’indisponibilità del codice, lungi dal proteggere chi li invoca, finiscono per accusarlo.

Una catena di responsabilità che ha scelto il silenzio

C’è un elemento che le carte processuali mostrano con chiarezza e che però nel dibattito pubblico resta in ombra. Le irregolarità accertate dal Consiglio di Stato non erano nascoste. Non erano difetti emersi soltanto dopo, grazie all’analisi di un perito universitario. Erano vizi strutturali e visibili, riscontrabili da chiunque avesse letto le Linee Guida che l’Agenzia stessa aveva emanato pochi mesi prima delle prove.

Il file con il cognome del candidato in chiaro era presente nel sistema durante tutta la correzione. L’assenza di firma digitale e di marca temporale sugli elaborati saltava agli occhi già al primo accesso agli atti. La mancata qualificazione cloud dell’operatore esterno si poteva verificare consultando il catalogo pubblico, gestito peraltro proprio da AGID. Eppure nessuno, lungo la catena di responsabilità dell’Agenzia, ha sollevato un’obiezione, aperto una verifica interna o sospeso la procedura. Il concorso è proseguito, la graduatoria è stata approvata, il vincitore è stato nominato.

Quando il ricorrente si è rivolto all’amministrazione con istanze di accesso e richieste istruttorie, la risposta è stata in sostanza la negazione dell’evidenza: nessun algoritmo, nessun problema, tutto in regola. Questa linea è stata difesa per due gradi di giudizio con una costanza che fa riflettere. Non somiglia alla disattenzione di un funzionario di livello intermedio, ma presuppone scelte compiute a livelli che disponevano sia delle competenze tecniche per riconoscere i vizi, sia dell’autorità per rimediarvi.

Lo stesso Consiglio di Stato non ha glissato sul punto. Nella motivazione si legge che 

“…l’esternalizzazione, da parte di AGID, della procedura concorsuale non può evidentemente costituire valida ragione per impedire la ricostruzione documentale della procedura selettiva…”. 

Tradotto, affidare a terzi non cancella la responsabilità di chi a quei terzi ha conferito l’incarico. Chi ha firmato gli atti di indirizzo, chi ha presieduto la commissione, chi ha approvato la graduatoria finale ha preso decisioni in un contesto di irregolarità ormai acclarata? La sentenza non si occupa di responsabilità penali o disciplinari, perché non è suo compito, ma il ritratto che emerge è quello di un ente che ha preferito la scorciatoia procedurale alla legalità sostanziale, e che ha scelto di resistere in giudizio anziché ammettere l’errore.

Rimane una domanda, e non è retorica: quante procedure analoghe hanno prodotto gli stessi vizi, senza che nessuno li notasse? Per accorgersene serviva vedere ciò che avrebbe dovuto risultare evidente a chi aveva le competenze tecniche necessarie, e insieme saperlo qualificare in termini giuridici. Non tutti coloro che subiscono un danno possiedono entrambe queste capacità. Per questo l’esito ha un valore che va oltre il singolo caso. La tenacia di una sola persona ha creato un precedente che protegge chiunque, da qui in avanti, parteciperà a un concorso pubblico in forma digitale.

Il paradosso istituzionale e l’AI Act sullo sfondo

La vicenda assume contorni quasi paradossali se si pensa al ruolo complessivo di AGID. L’Agenzia è l’autorità nazionale che vigila sull’applicazione del Codice dell’Amministrazione Digitale, vigila sui Trust Service Provider del Regolamento Eidas, qualificava i servizi cloud destinati alla PA e cura ancora oggi l’attuazione del Piano Triennale per l’informatica pubblica. È, insomma, il soggetto che avrebbe dovuto sanzionare proprio il tipo di condotta che ha poi tenuto nel gestire il proprio concorso.

Il Regolamento UE 2024/1689, noto come AI Act, classifica come sistemi ad alto rischio quelli impiegati per il reclutamento, la selezione e la valutazione del personale (Allegato III), e impone in questi casi obblighi stringenti di governance dei dati, tracciabilità, supervisione umana e trasparenza. La sentenza vi fa riferimento, anche tramite una pronuncia del TAR Lazio (n. 1895/2026): i sistemi informatici usati nei concorsi non sono strumenti neutri, ma moduli del procedimento amministrativo, soggetti agli stessi vincoli di legalità e trasparenza che valgono per gli atti tradizionali. L’istituzione che avrebbe dovuto accompagnare il Paese verso queste regole si è trovata, nel caso esaminato, a non tenerne conto. Un cortocircuito che il giudice amministrativo ha chiamato con il suo nome.

Che cosa cambia per le amministrazioni che gestiscono concorsi digitali

Non si tratta di una pronuncia di nicchia, comprensibile solo agli informatici. 

È un precedente che fissa le condizioni minime di legittimità dei concorsi pubblici digitali, e più in generale di ogni procedura amministrativa affidata a piattaforme esterne. Le amministrazioni che vorranno selezionare il personale con strumenti informatici dovranno garantire almeno quattro requisiti.

Ogni documento prodotto dalla piattaforma deve recare firma digitale o marca temporale, in conformità alle Linee Guida AGID e all’art. 20 del CAD.

La separazione tra dati anagrafici ed elaborati va assicurata a livello di architettura del sistema, non solo sul piano procedurale, con cifratura asimmetrica e registrazione certificata degli accessi.

Qualsiasi fornitore terzo deve essere indicato espressamente nel bando, qualificato se necessario secondo le regole (definite adesso da ACN) e designato formalmente Responsabile del trattamento ai sensi dell’art. 28 del GDPR. La delega operativa non sposta sul fornitore la responsabilità giuridica del committente.

Il codice sorgente del sistema, insieme alla documentazione di collaudo, ai log con data e ora certa e alle chiavi crittografiche impiegate, va conservato e tenuto disponibile per un eventuale esame in giudizio. Su questo la sentenza si rivela particolarmente avanzata: richiamando l’art. 30 del Codice dei contratti pubblici, afferma una preferenza dell’ordinamento per il software open source rispetto alle soluzioni proprietarie e stabilisce che né il segreto commerciale né l’indisponibilità del codice possono essere opposti al giudice o all’interessato.

Quest’ultimo punto merita qualche parola in più, perché tocca un nervo scoperto. La trasparenza del codice sorgente nei sistemi pubblici è oggi al centro del dibattito europeo sulla sovranità digitale. Le iniziative più recenti dell’Unione sull’interoperabilità del settore pubblico vanno nella stessa direzione, perché incoraggiano soluzioni di open government technology e l’uso di standard aperti e verificabili nei sistemi che erogano servizi pubblici. Il principio è il medesimo che ispira la sentenza: un’amministrazione che affida funzioni pubbliche a un software non può fondare la propria azione su codice opaco e fuori dal controllo democratico. La pronuncia non discute apertamente questo quadro sovranazionale, ma vi si colloca con coerenza. In sede contenziosa il giudice italiano arriva dove il legislatore europeo sta arrivando in via regolamentare.

Se questi requisiti mancano, come dimostra il caso AGID, la procedura può essere annullata per intero. E l’onere di provare che tutto è andato per il verso giusto resterà sempre dell’amministrazione, mai del candidato che ai sistemi non ha mai potuto accedere.

Riferimenti: Consiglio di Stato, Sez. V, sentenza n. 4520/2026 (R.G. 4104/2023, ud. 15 aprile 2026). D.Lgs. 82/2005 (CAD), artt. 20 e 71. Linee Guida AGID sulla formazione, gestione e conservazione dei documenti informatici, 17 maggio 2021. Circolari AGID n. 2 e 3 del 9 aprile 2018. Reg. UE 2016/679 (GDPR), art. 28. Reg. UE 2024/1689 (AI Act), Allegato III. D.Lgs. 36/2023, art. 30. Cons. Stato, sentt. n. 7058/2025, 4929/2025, 4857/2025.