la guida

Cloud per la PA e nuovo Codice appalti, tutto ciò che bisogna sapere

Per la PA è preferibile l’aggiudicazione di appalti cloud con procedura negoziata piuttosto che con bando di gara. Ma bisogna seguire alcune accortezze. Diamo qualche indicazione, seguendo le linee guida ANAC e la Convenzione Consip SPC-Cloud

Pubblicato il 27 Dic 2017

Gabriele Faggioli

CEO Gruppo Digital360, presidente Clusit, Responsabile Scientifico Osservatorio Cybersecurity and Data Protection Politecnico di Milano, CEO Gruppo DIGITAL360, Giurista - Responsabile Scientifico Osservatorio Cybersecurity & Data Protection Politecnico di Milano – Presidente CLUSIT (Associazione Italiana per la Sicurezza Informatica) CEO Gruppo Digital360

Annamaria Italiano

Partner di Partners4Innovation

Rosanna Salvini

giurista

Anche la PA può trarre vantaggio dai servizi cloud computing: per snellire i processi decisionali, migliorare i servizi offerti e, al contempo, affidare in capo al cloud provider la rilevante responsabilità della gestione dei dati.

Ogni forma di esternalizzazione dovrà, pertanto, essere verificata sia sul piano organizzativo, sia su quello contrattuale.

In particolare, sotto tale ultimo profilo, è noto che, a differenza di quanto avviene nelle contrattazioni di natura eminentemente privatistica, le pubbliche amministrazioni (ovvero i soggetti sottoposti alla normativa pubblicistica) dovranno soggiacere alle regole da essa dettate per la scelta del fornitore e per le modalità di affidamento del contratto, volte a garantire i principi di libera concorrenza e parità di trattamento tra gli operatori di mercato.

LEGGI QUADRO SFIDE 2018 CODICE APPALTI

Indice degli argomenti

I vincoli del Codice Appalti

Tali vincoli possono costituire degli ostacoli oggettivi per gli enti aggiudicatari, tanto in sede di prima contrattualizzazione del servizio, quanto di sede di rinnovo dello stesso. Spesso, infatti, non solo la scelta in favore di un determinato servizio è influenzata da valutazioni che si sottraggono ad una logica di gara, ma gli investimenti talora richiesti per poter avviare il servizio medesimo, rendono diseconomica, e talvolta impercorribile, la possibilità di bandire una gara in occasione di ogni rinnovo contrattuale.

Tali considerazioni inducono spesso i soggetti sottoposti alle regole pubblicistiche a ritenere preferibile l’aggiudicare appalti pubblici aventi ad oggetto la fornitura di servizi cloud mediante una procedura negoziata senza previa pubblicazione di un bando di gara.

Ovviamente, ricorrere a tale opzione implica necessariamente capire come gli obblighi previsti nel D.lg.s 50/2016 in relazione all’approvvigionamento di servizi si possano coniugare con la contrattualizzazione di servizi cloud, anche alla luce dei recenti orientamenti ANAC a riguardo.

Il Nuovo Codice degli Appalti ha confermato e rafforzato i principi comunitari già stabiliti con il d.lgs. 163/06 relativi alla massima concorrenza, trasparenza e parità di trattamento degli operatori economici. Questi principi rimangono fondamentali anche nel processo di individuazione del cloud provider.

La rinnovata normativa in tema di contratti pubblici è corredata anche dalle Linee Guida dell’ANAC che ha chiarito ed approfondito molti aspetti del d.lgs. 50/2016.

In particolare, nel settore dei contratti legati all’ICT e all’IT, riveste grande aiuto per gli operatori del settore la Linea Guida n. 8 “Ricorso a procedure negoziate senza previa pubblicazione di un bando nel caso di forniture e servizi ritenuti infungibili”.

Come è noto un servizio è considerato infungibile quando a causa di ragioni tecniche, non esistono possibili sostituti ad esso, oppure, a causa di decisioni prese precedentemente, queste condizionano scelte future.

All’interno del documento, pubblicato il 10 ottobre scorso, viene affrontato il tema del Lock-in con il quale molto spesso i soggetti aggiudicatori di diversa natura, ma sottoposti ugualmente alla disciplina dei contratti pubblici, sono costretti a fare i conti nella definizione di un contratto di cloud computing.

I classici esempi di lock-in nell’ambito dei contratti di cloud computing si verificano per il possesso del cloud provider di informazioni riservate, per i costi di migrazione dei dati, per i costi organizzativi legati alla diversa modalità di fruizione del servizio e i relativi costi di formazione e aggiornamento del personale.

L’altro tema affrontato nella Linea Guida riguarda l’affidamento di forniture e di servizi infungibili, per i quali vi è la possibilità di derogare alla regola di evidenza pubblica (art. 63 d.lgs. 50/2016).

La possibilità di ricorrere a questa deroga si concretizza quando la stazione appaltante accerta in modo rigoroso l’infungibilità del bene, verificando l’impossibilità di ricorrere a fornitori o soluzioni alternative.

L’onere di verificare tale situazione è del soggetto aggiudicatore che dovrà motivare nei propri atti i fondamenti della sua decisione.

E’ altresì onere del soggetto aggiudicatore prevedere, in sede di strategia di gara o comunque di scelta del fornitore in caso di infungibilità del servizio, tutte le ipotesi di lock-in che potrebbero verificarsi e le soluzioni per evitarle.

Considerati questi due macro temi legati al rispetto dei principi comunitari e considerata la ampia scelta delle procedure di acquisizione previste dal d.lgs 50/2016, comprese quelle relative al procurement innovativo, si rendono fondamentali alcuni passi da parte dei soggetti aggiudicatori prima di concludere un contratto di Cloud Computing o accertare un necessario rinnovo con lo stesso fornitore.

Va precisato che gli strumenti a disposizione del soggetto aggiudicatore sia in fase di affidamento che in fase di potenziale rinnovo possono ritrovarsi nel d.lgs. 50/2016.

Ai sensi dell’art. 66 è previsto lo strumento della Consultazione preliminare di mercato che permette di dare adeguata informazione agli operatori di mercato e richiedere informazioni tecniche da parte del soggetto pubblico.

Al termine di questa fase il soggetto aggiudicatore avrà gli elementi per definire se il servizio che ricerca rientra nella definizione di infungibilità trattata sopra.

Un ulteriore elemento di confronto tecnico ed economico, a prescindere dalla obbligatorietà di adesione, può essere la Convenzione Consip SPC- Cloud che rappresenta il progetto che coinvolge l’AgID e Consip con l’obiettivo di supportare la PA italiana nel rispetto degli obblighi di legge stabiliti dal Codice per l’Amministrazione Digitale e di attuazione dell’Agenda Digitale Italiana.

Un altro strumento fondamentale è la corretta programmazione dell’acquisto del servizio prevista dal Nuovo Codice anche per i servizi per un importo pari a superiore a € 40.000.

Come progettare acquisto del cloud

A nostro avviso, il fulcro degli strumenti sopra menzionati è la accurata progettazione dell’acquisto del servizio.

È opportuno che ogni soggetto aggiudicatore, ivi inclusi coloro che non sono sottoposti completamente agli obblighi previsti dal codice, in sede di strategia di gara o prima delle consultazioni o indagini di mercato, verifichi preliminarmente:

Gli effettivi fabbisogni tecnologici;
Proceda ad uno studio di fattibilità interno che analizzi la realizzazione dal punto di vista tecnico e tenga in considerazione i costi, i benefici attesi, i rischi e i vincoli tecnologici, temporali e normativi;
Consideri il ciclo di vita del servizio (art. 3 lett. hhh del Codice) che comprende tutte le fasi che vanno dalla implementazione alla dismissione del servizio e che riveste importanza nella valutazione dei cosiddetti “switching cost” da sostenere nel cambio di un fornitore.

Analizzando, quindi, lo specifico caso, il soggetto sottoposto alla disciplina dei contratti pubblici avrà la possibilità di:

Verificare l’obbligatorietà o l’opportunità di adesione alle convenzioni attive di Consip, laddove la fattispecie sia applicabile;
Verificare se il caso concreto rientra nella fattispecie di servizio infungibile o meno;
Individuare la corretta procedura di acquisizione per ottenere un servizio efficace nel rispetto della normativa e ridurre tutti i potenziali rischi di lock-in.

In conclusione, quindi, si può considerare la possibilità, per i soggetti sottoposti alla normativa pubblicistica, di derogare al principio dell’evidenza pubblica, procedendo a contrattualizzazione diretta con il cloud service provider, ma l’opportunità e la percorribilità di tale deroga dovrà essere valutata caso per caso, in particolar modo tramite gli strumenti dello studio di fattibilità e della progettazione dell’acquisto, che costituiscono adempimenti preliminari a qualsiasi scelta.

Naturalmente, ogni volta in cui in cui la particolare natura del bene o del servizio richiesto dall’amministrazione sia tale da restringere fisiologicamente la platea dei potenziali partecipanti alle gare o autorizzare la deroga alla regola dell’evidenza pubblica, “le amministrazioni dovranno adoperarsi affinché il sacrificio del processo concorrenziale sia giustificato e compensato, in un’ottica di proporzionalità, dai guadagni di efficienza o, più in generale, dai benefici che ne derivano in termini di qualità ed economicità dei servizi o dei beni forniti. Tale dimostrazione integra un preciso onere motivazionale che ciascuna amministrazione è obbligata a soddisfare valutando il caso concreto alla luce delle caratteristiche dei mercati potenzialmente interessati e delle dinamiche che li caratterizzano” (Anac – Linee Guida per il ricorso a procedure negoziate senza pubblicazione di bando di gara nel caso di forniture e servizi ritenuti infungibili).

Il nodo competenze digitali

Al tempo stesso, per fare acquisti appropriati nell’ambito di un processo sempre più complesso le amministrazioni devono avere consapevolezza dei propri bisogni organizzativi e formativi. Servono quindi assunzioni e formazione per colmare il gap di competenze e, tramite il ricorso all’eprocurement, liberare risorse umane ed economiche.

APPROFONDISCI IL NODO DELLE COMPETENZE PER GLI APPALTI PUBBLICI