La riflessione

Acquisti di servizi cloud per la PA, cosa succede se non si rispettano gli obblighi di legge

Dal 2019 le PA devono acquistare esclusivamente servizi cloud qualificati da Agid, ma sorge il dubbio di cosa potrebbe accadere se l’obbligo non venisse osservato: potrebbe configurarsi un’illegittimità del contratto

10 Feb 2020
Elio Guarnaccia

Avvocato amministrativista, specializzato in appalti pubblici e PA digitale, FIL Studio Legale

Marco Mancarella

Avvocato, Professore di Informatica giuridica - Unisalento, Comitato scientifico @LawLab - LUISS Guido Carli, AU LiquidLaw srl – Azienda spinoff di UniSalento


Dal primo aprile 2019 le pubbliche amministrazioni possono acquisire esclusivamente servizi cloud qualificati da AgID, situazione che pone un dilemma contrattuale e legale. Bisogna infatti chiedersi se, nel caso una PA non dovesse adempiere all’obbligo di acquisizione esclusiva di servizi cloud qualificati da AgID, presenti nello specifico catalogo, possa andare incontro ad un vizio dell’atto contrattuale predisposto in deroga. Facciamo chiarezza su questo aspetto.

Il procurement di servizi cloud per la PA

I servizi cloud qualificati disponibili per la PA sono reperibili nel Catalogo dei servizi Cloud per la Pubbliche Amministrazioni, e si aggiungono a quelli già disponibili a listino erogati nell’ambito del Contratto quadro SPC Cloud Lotto 1 fino alla loro scadenza fisiologica, prevista per luglio 2021. Occorre da subito chiarire che l’obbligo sussiste per tutti gli enti di cui all’art. 2, comma 2, del Codice dell’Amministrazione Digitale – CAD (D.Lgs. 82 del 2005), quindi non solo per le amministrazioni di cui all’articolo 1, comma 2, del Decreto Legislativo 30 marzo 2001 n. 165, ma anche per le società private, se gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse, nonché per le società a controllo pubblico, come definite nel Decreto Legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all’articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria dei gestori di servizi pubblici.

La questione da sciogliere è legata alla necessità di comprendere le conseguenze, in termini di invalidità contrattuale (nullità o annullabilità), in caso di mancato rispetto di tale obbligo. Per dirimere la questione è necessario precisare che l’obbligo in questione affonda le sue basi giuridiche nel CAD ed in ulteriori specifici atti normativi e regolamentari, predisposti in sua attuazione, da passare in rassegna. In primis, con DPCM 31 maggio 2017, fu stata disposta l’emanazione del Piano triennale per l’informatica nella PA 2017-2019 che, nel par. 3.1, delineava gli step evolutivi del sistema cloud nazionale, definendo “il percorso delle PA verso il modello cloud”. In particolare, per incrementare l’adozione del cloud nella PA, il Piano Triennale per l’informatica nella Pubblica Amministrazione 2017 – 2019 introduceva il “Modello Cloud della PA”, ovvero l’insieme di infrastrutture IT e servizi cloud qualificati da AGID a disposizione della PA, secondo una strategia che prevede la realizzazione di tale modello, la definizione e l’attuazione del programma nazionale di abilitazione al Cloud della PA e l’applicazione del principio “cloud first”.

Il cloud nel Piano triennale Agid

Il nuovo Piano triennale 2019-2021, approvato dal Ministro Bongiorno nel corso del 2019, già al suo par. 1.1 definisce con precisione il principio di “cloud first”: le pubbliche amministrazioni, in fase di definizione di un nuovo progetto, e/o di sviluppo di nuovi servizi, in via prioritaria devono valutare l’adozione del paradigma cloud prima di qualsiasi altra tecnologia, tenendo conto della necessità di prevenire il rischio di lock-in. Dovranno altresì valutare il ricorso al cloud di tipo pubblico, privato o ibrido in relazione alla natura dei dati trattati e ai relativi requisiti di confidenzialità. Al par. 3, il Piano 2019-2021 prosegue affermando che “il Modello Cloud della PA è composto da:

  • infrastrutture qualificate da AGID che erogano i servizi Cloud qualificati descritti nel punto seguente;
  • servizi qualificati da AGID consultabili mediante il Cloud Marketplace suddivisi in IaaS (Infrastructure as a Service), PaaS (Platform as a Service) e SaaS (Software as a Service). In sintesi, i servizi cloud qualificati da AGID abilitano le PA a sviluppare nuovi servizi digitali, sono esposti mediante il Cloud Marketplace (Il catalogo dei servizi cloud qualificati) e sono erogati mediante le infrastrutture qualificate: i Cloud Service Provider (CSP) qualificati da AGID, i Poli Strategici Nazionali (PSN) e l’infrastruttura di Community Cloud realizzata dal Raggruppamento Temporaneo di Imprese (RTI) aggiudicatario del Contratto Quadro Consip SPC Cloud Lotto 1, fino al termine del contratto.

[…] le seguenti circolari AGID […] definiscono le procedure e i requisiti per conseguire le qualificazioni di infrastrutture e servizi:

  • Circolare n. 2/2018 “Criteri per la qualificazione dei Cloud Service Provider per la PA” e relativi allegati, che definisce i requisiti per la qualificazione dei Cloud Service Provider (qui di seguito indicati semplicemente CSP) e la relativa procedura di qualificazione. Il possesso dei predetti requisiti è presupposto per l’inserimento dell’infrastruttura Cloud all’interno del Registro Pubblico dei CSP qualificati e dei servizi IaaS e PaaS nel Cloud Marketplace;
  • Circolare n. 3/2018 “Criteri per la qualificazione di servizi SaaS per il Cloud della PA” e relativi allegati, che definisce i requisiti per la qualificazione dei servizi SaaS erogabili sul Cloud della PA e la relativa procedura di qualificazione. Il possesso dei predetti requisiti è presupposto per l’inserimento dei servizi SaaS nel Cloud Marketplace”.
WHITEPAPER
Telemedicina: come attivare una valida rete ospedale-medici-territorio
PA
Sanità

Pertanto, con le Circolari 2 e 3 del 2018 di Agid, da leggersi in combinato con le Determinazioni nn. 358 e 408 del 2018, è stabilito che, “a decorrere dal 1° aprile 2019 le Amministrazioni di cui all’articolo 2 del D. Lgs n. 82/2005 acquisiscano esclusivamente servizi IaaS, PaaS e SaaS qualificati dall’Agenzia e pubblicati sul Marketplace Cloud della PA”.

Il dubbio di illegittimità

Da quanto appena esposto sorge dunque il lecito dubbio che un eventuale contratto sottoscritto da una PA successivamente al 1 aprile 2019 per un servizio cloud non qualificato AgID, sia illegittimo. Il dubbio fu sottoposto formalmente ad AgID dal prof. avv. Marco Mancarella (AgID – Prot. Ingresso n.0006958 del 21/05/2019) attivandone, ai sensi dell’art. 14-bis CAD, il potere di emanazione di atti amministrativi generali e di redazione e verifica attuativa del Piano triennale per l’informatica nella Pubblica Amministrazione. L’AgID, con nota del 8 agosto 2019 a firma di T. Alvaro, ha dato risposta alla richiesta di parere, così chiarendo: “i contratti sottoscritti dalle pubbliche amministrazioni di cui all’art. 2 del CAD, aventi per oggetto l’acquisizione di servizi IaaS, PaaS e Saas, non ricadono nell’ambito d’applicazione delle Circolari AgID n.2/2018 e n.3/2018, se perfezionati prima del termine statuito nelle medesime Circolari. E’ possibile, invece, ravvisare profili d’illegittimità negli affidamenti effettuati in deroga alle previsioni delle Circolari di cui si discute, a decorrere dal 1 aprile 2019”.

AgID, in tal modo, rileva i profili di illegittimità delle procedure amministrative che conducono alla stipula con il fornitore, pur senza pronunciarsi circa il tipo di patologia che investe il relativo contratto (nullità o annullabilità). Tale indicazione è in ogni caso preziosa perché conferma che il procedimento amministrativo che conduce al contratto è da intendersi viziato a monte, per evidente violazione di legge.

Conclusione

Non è questa la sede per addentrarsi in una approfondita disquisizione sui profili di nullità o annullabilità del contratto di cui si discute, ma è doveroso proporre la seguente riflessione: secondo l’art. 1418 c.c., il contratto è nullo, tra le varie cause, quando è contrario a norme imperative. Orbene, qualificando come norme imperative quelle sopra elencate nel presente contributo, e che, come appena ricostruito, conducono alla chiara affermazione di un obbligo di acquisizione di servizi cloud solo se qualificati da AgID, è ragionevole supporre che la loro violazione possa comportare la nullità di un contratto predisposto dopo il 1 aprile 2019 da una Pubblica Amministrazione in violazione di tale obbligo, quindi in aperta violazione del CAD, nonché del Piano triennale per l’informatica nella PA e, ancor più a valle, delle Circolari AgID nn. 2 e 3/2018. Solo la giurisprudenza, sia ordinaria che amministrativa, che di certo non tarderà a stratificarsi nel corso dell’appena iniziato 2020, potrà fare chiarezza sulla questione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2