L’OIV come garante tecnico (e terzo) della PA: dalla performance alla fiducia pubblica

L’OIV come garante tecnico della PA

Istituito ai sensi dell’art. 14 del D.Lgs. 150/2009, e subentrato ai precedenti servizi di controllo interno del d.lgs. 286/1999, l’OIV opera in piena autonomia, con compiti che vanno dal monitoraggio dei sistemi di valutazione e trasparenza all’elaborazione della relazione annuale, dalla validazione della Relazione sulla performance alla formulazione di pareri vincolanti sulla valutazione dei dirigenti apicali.

Ma ciò che gli conferisce un significato strategico è la sua capacità – che ad oggi, invero, pare ancora sottotraccia – di fungere da “ quarta linea” nel presidio dei rischi (i primi tre la linea manageriale, le Funzioni specialistiche di supporto e controllo come risk management, compliance, RPCT, RPD responsabili cyber security eccetera, e, terzo livello, l’internal auditing) ovvero da soggetto capace di leggere trasversalmente e criticamente l’intero ecosistema dei controlli interni, con uno sguardo sistemico, indipendente e orientato al miglioramento continuo.
In questa ottica andando oltre controlli ad prevalente / apparente carattere di compliance come la pur importante attestazione che è chiamato annualmente a rendere, dietro indicazioni dell’Anac, sull’assolvimento degli obblighi di pubblicazione a fini di trasparenza e il cui nuovo ciclo è stato da poco avviato con la Delibera 192/2025 della predetta Anac.

La nuova funzione dell’OIV

In un momento storico in cui i rischi amministrativi non sono più soltanto economici o procedurali, ma coinvolgono la sfera digitale, la protezione dei dati, la cyber sicurezza, la reputazione e i diritti fondamentali, l’OIV è chiamato ad assumere una funzione nuova: non operativa, ma di presidio sostanziale. Non si tratta di sostituirsi ai responsabili tecnici né di duplicare attività: si tratta di estendere il proprio raggio di osservazione valutativa anche agli ambiti più innovativi e sensibili, come la gestione dei rischi digitali, la protezione dei dati personali, la sicurezza dei sistemi informativi.

Alla luce del disegno di legge recentemente approvato, che – se convertito – ridisegnerà modalità di nomina e competenze dell’OIV, è opportuno interrogarsi su come valorizzarne appieno la portata.
L’evoluzione normativa e tecnologica impone una transizione valutativa che includa la capacità di leggere la resilienza organizzativa, la maturità digitale e la coerenza tra governance, compliance e missione istituzionale.

L’OIV, in questo scenario, diventa uno snodo critico per la valutazione dell’amministrazione nella sua interezza. E tale riforma può costituire momento per chiarire la reale ampia portata di intervento di tale Organismo. Estremizzando, secondo una lettura che ci pare riduttiva, tutto ciò che non rientra nella valutazione della performance dalla valutazione della performance – intesa come obiettivi che la PA si pone e che fungono anche come driver per la valutazione delle Dirigenza – sarebbe estraneo alle competenze dell’OIV.

Il ruolo di vigilanza dell’OIV nella PA

Nell’ambito della cyber security e della protezione dei dati personali, in tale ottica il suo compito non è quello di intervenire tecnicamente, ma di vigilare affinché tali dimensioni siano inserite nella programmazione strategica e nella gestione ordinaria della performance.

L’OIV deve verificare che obiettivi e indicatori relativi a questi ambiti siano presenti nei principali strumenti programmatori (PIAO, Piano Triennale per l’Informatica, Piano Anticorruzione), che siano coerenti con le linee guida nazionali e misurabili secondo logiche di miglioramento continuo.

Deve accertarsi che le amministrazioni adottino concretamente le misure previste dal Gdpr, dal registro dei trattamenti alla Dpia, dalla gestione dei data breach alla formazione del personale.

In questa stessa logica, l’OIV ha il compito di valutare se le responsabilità in materia di cyber security e privacy siano attribuite correttamente, documentate e rendicontate, anche nella valutazione dei dirigenti apicali.

È significativo, in tal senso, il recente intervento dell’Agenzia per la Cybersicurezza Nazionale (la Determina 164179 del 4.4.25), che richiama gli organi di amministrazione e direzione alla responsabilità sulle misure di sicurezza di base. Un richiamo che l’OIV può e deve interpretare come parte integrante del proprio mandato di garanzia.

All’interno di questo ruolo ampliato, si inserisce anche la promozione – attraverso rilievi, raccomandazioni e dialogo strategico – di una cultura della responsabilità digitale, del presidio sostanziale del rischio e della protezione effettiva dei diritti.

Tutto ciò contribuisce non solo al rispetto formale delle norme, ma all’elevazione della qualità del servizio pubblico, alla sua affidabilità e alla sua reputazione.

Le relazioni del RPD e del RPCT

La legge riconosce all’OIV pieno accesso a tutti gli atti, documenti e sistemi informativi – nel rispetto della normativa in materia di protezione dei dati personali – e gli assegna il supporto di una struttura tecnica permanente.

Ma questo potenziale può esprimersi soltanto se l’OIV dialoga in modo strutturato e stabile con tutte le funzioni di controllo, ricevendo e valorizzando le informazioni prodotte, comprese le relazioni del RPD e quelle del RPCT.

Ad oggi, solo per quest’ultimo esiste un obbligo normativo esplicito di segnalazione all’OIV. In futuro, questa logica relazionale dovrebbe essere estesa a tutte le funzioni di presidio, superando la logica dei silos e restituendo una visione unitaria del sistema di integrità.

La sezione cyber nella Relazione per l’OIV per la PA

Proprio in quest’ottica si propone di integrare nella Relazione annuale dell’OIV una sezione sistematica dedicata a cybersecurity e privacy, articolata secondo direttrici che consentano una lettura trasversale, comparabile e costruttiva.

L’adozione di un modello analitico condiviso, capace di tradurre in evidenza valutativa le dinamiche organizzative, normative e tecniche di questi ambiti, rappresenta un passo necessario verso controlli non più orientati solo alla conformità, ma alla sostanza, all’impatto, al miglioramento.

La coerenza tra etica pubblica ed accountability amministrativa

Ciò che oggi si chiede all’OIV non è solo la verifica formale che vi sia il rispetto formale della norma, bensì la capacità di presidiare con visione la coerenza tra etica pubblica e accountability amministrativa.
In un ecosistema complesso, in cui i dati sono potere, la sicurezza è condizione di fiducia e la trasparenza è leva democratica, l’OIV rappresenta – o può rappresentare – quel livello di garanzia di ‘quarto livello’ che unifica, dà senso e porta a sintesi l’intero sistema dei controlli.
Un organo che osserva in profondità e valuta in altezza, che connette i principi ispiratori della funzione pubblica con le pratiche quotidiane delle amministrazioni. È lì, in questo spazio intermedio e strategico, che l’OIV può fare la differenza: dando assurance al vertice e credibilità alle Pubbliche Amministrazioni.

Proposta di linee guida

Prima di porporre, di seguito, una ipotesi di massima per delle linee guida di relazione per l’integrazione della cyber security e della privacy nella Relazione OIV orientata al controllo sostanziale e adattabile alle specificità di ciascuna amministrazione, occorre precisare che presso alcuni enti pubblici, come l’Inps e l’Inail, la governance prevede un ulteriore comprimario, il Comitato di indirizzo e vigilanza (CIV), per i citati enti (in base all’art. 3 del d lgs 479/1994), le cui competenze e azione in parte sono parallele a quelle dell’’OIV.

Differenza fra OIV e CIV nella PA

In via molto sintetica, su una questione che merita comunque specifiche analisi, sebbene CIV e OIV esercitino funzioni di controllo e supervisione, la loro natura, composizione e finalità sono differenti:

• il CIV è un organo collegiale di rappresentanza delle parti sociali (organizzazioni sindacali, datoriali e dei lavoratori autonomi);
• le sue funzioni principali riguardano la definizione degli indirizzi strategici, l’approvazione di bilanci e regolamenti, la vigilanza sull’efficienza e la qualità dei servizi erogati dall’ente;
• invece l’OIV, come sopra visto è un organo prettamente tecnico e, si sottolinea, terzo.

Le sovrapposizioni fra le due figure

Le sovrapposizioni tra i due organismi emergono in ambiti come la valutazione dei risultati, la vigilanza sui servizi e il monitoraggio della trasparenza.

Per esempio, entrambi si interessano al raggiungimento degli obiettivi strategici, alla qualità percepita dagli utenti e all’efficienza amministrativa.

Nonostante queste aree comuni, CIV e OIV operano su piani distinti: il primo con un ruolo politico-istituzionale e rappresentativo, il secondo con una funzione tecnica di valutazione.

Le interazioni tra i due possono avvenire tramite lo scambio di informazioni, soprattutto per migliorare la governance dell’ente e garantireun’amministrazione più trasparente, responsabile e orientata ai risultati.

La relazione complementare nella normativa vigente

A conferma di questo rapporto complementare, la normativa vigente prevede espressamente che il CIV possa avvalersi dell’OIV per l’esercizio delle proprie funzioni di vigilanza “per acquisire i dati e gli elementi relativi alla realizzazione degli obiettivi e alla corretta ed economica gestione delle risorse”.

Questo supporto, nel rispetto dell’autonomia dell’OIV, può tradursi in analisi tecniche, dati sulla performance e contributi valutativi che consentono al CIV di operare con maggiore efficacia e fondatezza.

In sintesi, CIV e OIV impostando una funzionale dialettica non si sovrappongono ma si integrano, rappresentando due facce del controllo pubblico: una più strategica e partecipativa, l’altra più tecnica e valutativa.

Il ruolo dell’OIV nnella PA nel quadro di revisione normativa

Per esercitare un ruolo che secondo quanto qui delineato sembra implicare un “vaste programme” in realtà, secondo quanto qui proposto, l’OIV dovrebbe “solo” dialogare con le funzioni e i soggetti competenti in materia e, sulla base della loro attività documentata, misurare il livello di maturità della PA presso cui opera con intento propulsivo per perfezionare l’outcome e l’output della PA.
C’è da auspicare quindi che la ripetuta ipotesi di revisione normativa rafforzi il ruolo di tale Organismo che può essere un vero alleato per la PA del XXI secolo.

Quadro analitico per l’integrazione di cyber security e privacy nella Relazione OIV

Nel percorso verso un controllo sostanziale e orientato alla resilienza digitale, l’OIV può avvalersi di un impianto valutativo che accompagni l’analisi, connettendo coerenza normativa, programmazione strategica, attuazione concreta e impatto organizzativo.

Si propone quindi un quadro metodologico a supporto della propria funzione, utile a leggere e rappresentare, in ottica integrata, il livello di maturità e presidio delle pubbliche amministrazioni rispetto alla sicurezza informatica e alla protezione dei dati personali.

L’analisi può aprirsi con una sezione introduttiva che inquadri il contesto normativo e tecnologico di riferimento, specificando le principali disposizioni applicabili all’amministrazione (Gdpr, Codice dell’Amministrazione Digitale, Linee Guida AgID, determinazioni Acn eccetera) e chiarendo le finalità della valutazione. Non una verifica tecnica, ma una lettura strategica delle azioni intraprese in materia di cyber security e privacy in rapporto alla coerenza complessiva della performance organizzativa.

A seguire, è opportuno osservare se e in che misura gli obiettivi di sicurezza informatica e protezione dei dati siano effettivamente integrati nei principali strumenti di pianificazione, quali il PIAO, il Piano triennale per l’informatica nella PA, il Piano della performance e il Piano anticorruzione e trasparenza.

Non è sufficiente la presenza formale. Ciò che rileva è la rilevabilità concreta degli obiettivi, la loro declinazione operativa e la coerenza con le indicazioni provenienti da Acn e Garante Privacy.

Lo stato di attuazione delle misure adottate

L’OIV potrà poi analizzare lo stato di attuazione delle misure adottate: la presenza di policy e procedure in materia di sicurezza dei dati e dei sistemi, l’adozione del registro dei trattamenti, la conduzione delle valutazioni d’impatto (Dpia), la nomina del Dpo, la gestione degli incidenti e delle violazioni (data breach), le attività di formazione e sensibilizzazione del personale, la
definizione delle responsabilità organizzative.

Una particolare attenzione va riservata al grado di accountability dimostrato dall’ente, ossia alla sua capacità di documentare, spiegare e motivare le scelte compiute.

Laddove presenti, indicatori specifici potranno offrire una dimensione oggettiva della performance in questi ambiti. Per esempio, il tempo medio di risposta a un incidente informatico, la percentuale di personale formato su privacy e sicurezza, il numero di trattamenti valutati tramite Dpia, o la frequenza delle esercitazioni di sicurezza.

Tuttavia, questi dati vanno interpretati qualitativamente, nella loro capacità di riflettere una reale cultura del rischio e della protezione.

La fotografia delle criticità

Il quadro si completa con l’individuazione di eventuali criticità – come disallineamenti tra piano e azione, debolezze nei flussi informativi, deleghe non presidiate – e con la formulazione di raccomandazioni mirate, calibrate sulla capacità dell’organizzazione di migliorare nel tempo.

Il giudizio dell’OIV non è sanzionatorio, ma trasformativo: è uno strumento per sollecitare evoluzioni, rendere visibili le aree grigie, incoraggiare consapevolezza.

In quest’ottica, la ventilata ipotesi di nomina per sorteggio dall’apposito Elenco di una parte dei componenti dell’OIV ne marcherebbe ancor più la natura un organo terzo indipendente.

I vantaggi dell’OIV nella PA

Sarà fondamentale tirare le fila dell’intero esercizio valutativo, riflettendo sul modo in cui la sicurezza informatica e la protezione dei dati personali impattano sulla qualità complessiva dell’amministrazione.

Una PA che protegge le proprie informazioni, che sa gestire il rischio digitale, che rispetta i diritti delle persone, è una PA che accresce la propria credibilità, rafforza il patto con i cittadini e rende concreto il valore della funzione pubblica.