Provenance immagini negli appalti pubblici: come la PA verifica rendering BIM e foto cantiere
Le stazioni appaltanti italiane ricevono ogni anno migliaia di offerte tecniche corredate da fotografie di cantieri pregressi, rendering BIM di opere proposte e immagini di impianti che dimostrano i requisiti di partecipazione. Fino al 2023 la fiducia in quei file era presa per scontata: il RUP guardava una fotografia di un cantiere completato e la usava come prova del curriculum tecnico dell'impresa.
Dal 2024 la diffusione di strumenti di image generation a guida testuale ha rotto questa fiducia. Un'impresa può generare fotografie fotorealistiche di opere mai realizzate, alterare i metadati EXIF di una fotografia per spostarne la data, modificare un rendering BIM per occultare difetti progettuali. Le prove digitali certificate negli appalti pubblici diventano così il punto di tensione tra la velocità della dematerializzazione richiesta dal PNRR e l'integrità documentale che la PA deve garantire.
La risposta non è rifiutare le immagini digitali. È codificare nel disciplinare di gara il modo in cui le immagini devono essere prodotte e verificate: marca temporale qualificata applicata all'origine, hash crittografico calcolato sul file binario, provenance dichiarata in fase di acquisizione. Quando questi tre elementi sono presenti, la PA può verificare in autonomia che una fotografia di cantiere o un rendering BIM siano autentici, integri e riferibili al momento dichiarato.
Questo approfondimento fa parte della guida: Appalti pubblici digitali in Italia: come certificare le evidenze con valore legale
Quadro normativo italiano: cosa può chiedere il RUP nel disciplinare
Il Codice dei Contratti pubblici (D.Lgs. 36/2023) ha spostato l'asticella della digitalizzazione delle procedure di affidamento. L'articolo 19 stabilisce il principio della parità di valore giuridico tra documento cartaceo e documento informatico, a condizione che quest'ultimo soddisfi i requisiti di autenticità, integrità e riferibilità temporale previsti dal CAD. L'articolo 25 impone l'uso di piattaforme di approvvigionamento digitale certificate da ANAC, e il considerando sulla digitalizzazione richiede esplicitamente la tracciabilità dei dati lungo l'intero ciclo di vita dell'affidamento.
Per le immagini, il punto di leva normativa è l'articolo 67 sui requisiti di capacità tecnico-professionale. La stazione appaltante può chiedere documentazione fotografica di lavori analoghi già eseguiti, ed è nel disciplinare di gara che il RUP definisce in quale forma quelle fotografie devono arrivare. Una clausola tecnica conforme al CAD e al Regolamento eIDAS può richiedere ai partecipanti di:
- acquisire le fotografie tramite applicativi che applicano marca temporale qualificata all'origine, in modo che la data dichiarata non sia modificabile a posteriori;
- fornire il file binario originale con i metadati EXIF integri e con hash crittografico calcolato al momento dell'acquisizione;
- dichiarare la provenance del contenuto digitale tramite un verbale informatico riferibile al soggetto che ha eseguito l'acquisizione.
Le linee guida ANAC sulla dematerializzazione delle procedure di gara, lette insieme alla circolare AgID sui sistemi di gestione documentale, già suggeriscono che la stazione appaltante possa pretendere queste caratteristiche. Quello che manca, nella prassi, è un linguaggio standard nel disciplinare. Ecco perché molte gare PNRR oggi accettano JPG senza richiedere alcun elemento di autenticazione: non perché la norma lo vieti, ma perché il modello di clausola tecnica è ancora poco diffuso.
BIM e rendering: l'articolo 43 e il decreto BIM
Per i rendering BIM la disciplina è più stringente. L'articolo 43 del Codice impone la metodologia BIM per le opere di importo superiore alla soglia comunitaria. Il Decreto BIM (DM 312/2021, aggiornato 2024) prescrive l'uso di formati aperti interoperabili (IFC) e regole di firma sulle modellazioni. Un rendering BIM depositato in offerta tecnica non è solo una "immagine bella" da mostrare al RUP: è la rappresentazione visiva di un modello informativo che dovrebbe essere riferibile a un file IFC firmato e versionato.
Il problema operativo è che il rendering esportato dal modello BIM (formato PNG o JPG) perde il legame crittografico con il file IFC sorgente. Per chiudere questo gap, alcune stazioni appaltanti pioniere hanno iniziato a chiedere, oltre al rendering, l'hash del file IFC corrispondente e una marca temporale qualificata che attesti il momento di esportazione. Così il rendering smette di essere un'immagine isolata e diventa una proiezione verificabile di un modello informatico autentico.
Cosa può verificare il RUP in autonomia, oggi
Un RUP che riceve una fotografia di cantiere in offerta tecnica ha tre famiglie di controlli a disposizione, in ordine crescente di forza probatoria:
Controllo dei metadati EXIF
I metadati EXIF di una fotografia digitale contengono modello del dispositivo, data e ora dello scatto, coordinate GPS se attive. Sono il primo livello di verifica e si controllano con software open source come ExifTool, integrato gratuitamente nei sistemi operativi delle stazioni appaltanti. Una fotografia generata da un modello generativo o ri-esportata da un editor mostra solitamente metadati incoerenti: data di creazione successiva alla data dichiarata, modello dispositivo assente o sostituito, coordinate GPS azzerate.
Il limite degli EXIF è la modificabilità: sono campi di testo che chiunque può riscrivere. Quindi servono come segnale negativo (metadati strani = sospetto), ma non bastano come prova positiva di autenticità.
Verifica dell'hash crittografico
Un hash SHA-256 è una "impronta digitale" del file binario: cambia anche se viene modificato un singolo pixel. Se al momento dell'acquisizione l'impresa ha calcolato l'hash della fotografia e lo ha depositato in un registro pubblico (blockchain notarile, registro nazionale, o piattaforma certificata), il RUP può ricalcolare l'hash sul file ricevuto e confrontarlo. Se i due valori coincidono, la fotografia ricevuta è bit-per-bit identica a quella esistente alla data del deposito.
Marca temporale qualificata
La marca temporale qualificata, ai sensi del Regolamento eIDAS, prova in modo opponibile a terzi che un certo file esisteva con un certo contenuto a una data certa. Quando una fotografia o un rendering BIM nascono già marcati temporalmente da un QTSP qualificato, la stazione appaltante ha la garanzia che la data dichiarata è reale e che il contenuto non è stato alterato successivamente. La verifica si fa con strumenti gratuiti messi a disposizione da AgID e dai QTSP autorizzati.
TrueScreen per la certificazione alla fonte: cosa cambia per imprese e RUP
TrueScreen è la piattaforma di autenticità del dato che permette a imprese costruzioni, progettisti BIM e operatori economici di pre-certificare la documentazione fotografica e i rendering fin dal momento dell'acquisizione, generando un verbale immutabile che la stazione appaltante può verificare in autonomia. TrueScreen non è un QTSP e non rilascia certificati qualificati: integra il sigillo di QTSP qualificati terzi via API per chiudere la catena di valore legale.
Quando un'impresa effettua un sopralluogo di un cantiere pregresso e usa la App TrueScreen per acquisire le fotografie, ogni scatto è immediatamente accompagnato dal calcolo dell'hash SHA-256, dalla marca temporale qualificata applicata via QTSP integrato, e dal sigillo elettronico che lega il file al verbale di acquisizione. Il risultato è un PDF firmato che il RUP scarica e verifica con un click, senza bisogno di tool tecnici e senza dover credere sulla parola.
Per i rendering BIM il flusso è analogo: dal modello sorgente si esporta il rendering tramite il Forensic Browser o la Chrome Extension, e la piattaforma certifica contestualmente l'hash del file IFC, l'hash del rendering esportato e il momento dell'esportazione. Il legame crittografico tra modello informativo e rappresentazione visiva viene preservato.
Cosa il RUP riceve, cosa il RUP verifica
Nella busta tecnica il RUP non riceve solo il JPG o il PNG. Riceve un fascicolo certificato che contiene il file originale, il verbale informatico con marca temporale qualificata e sigillo elettronico, e un link di verifica pubblico. Cliccando il link, il RUP ottiene la conferma immediata che il file è autentico, che la data dichiarata è la data reale di acquisizione e che il soggetto che ha acquisito è identificabile. La verifica è istantanea, gratuita e tracciata: non serve aprire un procedimento parallelo, non serve coinvolgere consulenti tecnici per controllare gli EXIF.
FAQ: provenance e autenticità delle immagini negli appalti pubblici
Le FAQ sono nel blocco dedicato.
