Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

software

Riuso dei software, il punto sull’attuazione delle linee guida per la PA

In anteprima, gli elementi più importanti dell’analisi condotta nell’ambito dei cantieri digitali della PA, organizzati da ForumPA, sulla situazione ad alcuni mesi dall’entrata in vigore delle linee guida Agid sul riuso dei software. Un approfondimento su licenze, categorie e lacune

19 Set 2019

Andrea Piccoli

Direzione BU GED - Direzione Tecnica, Vice Presidente Delegato Territoriale, Consiglio Direttivo di ANORC Professioni


Il 9 maggio scorso AGID ha pubblicato le nuove “Linee guida su acquisizione e riuso di software per le pubbliche amministrazioni” in attuazione degli articoli 68 e 69 del Codice dell’Amministrazione Digitale. All’interno delle attività dei cantieri digitali della PA organizzati da ForumPA è attivo un focus group dedicato alle tematiche di riuso e loro applicazione. Dopo alcuni mesi dalla loro entrata in vigore, è stata effettuata una prima analisi della loro attuazione a partire, naturalmente, delle soluzioni proposte disponibili nel nuovo catalogo del riuso, o meglio, nella piattaforma di Developers Italia. Presentiamo qui in anteprima alcuni elementi.

L’analisi

L’attività di analisi è stata condotta a metà del mese di agosto 2019 ed è stata orientata a raccogliere una serie di indicazioni circa le soluzioni pubblicate, al fine di avviare una riflessione più approfondita all’interno del gruppo di lavoro. Si presentano in questa sede alcune prime osservazioni di massima ritenendo necessaria l’attenzione delle istituzioni che operano in questo ambito affinché i nodi vitali per il successo di una importante iniziativa non siano trascurati proprio nella fase delicata dell’applicazione iniziale. Si è in primo luogo considerata la struttura delle informazioni che accompagnano ogni proposta e che includono i seguenti elementi:

  • categoria: individua l’elemento di classificazione delle soluzioni identificato in fase di pubblicazione della soluzione e dichiarato nel file di pubblicazione; costituisce una delle chiavi principali con cui si dovrebbe strutturare la ricerca delle soluzioni omologhe per campo di applicazione nel catalogo stesso;
  • nome soluzione: è la denominazione della soluzione pubblicata;
  • pubblicata da: riguarda l’amministrazione responsabile della pubblicazione della soluzione;
  • in uso: si riferisce alle amministrazioni che stanno usando la soluzione; costituisce quindi una indicazione del suo grado di diffusione;
  • riusi: si tratta dell’indicazione numerica di relativa ai riutilizzi da parte di amministrazioni diverse da quella che pubblica la soluzione;
  • contributori: indica la numerosità e composizione della comunità di riferimento della soluzione, cioè una indicazione delle risorse dedicate e dedicabili alla evoluzione della soluzione;
  • vitalità: è uno degli indici visualizzato sul catalogo e riferito a quanto un progetto sia attivo;
  • licenza: si riferisce alla licenza open source alla base della pubblicazione;
  • tipo manutenzione: indica se la manutenzione è interna alla pubblica amministrazione che pubblica la soluzione o se la stessa è affidata a una comunità aperta o, ancora, se gestita con un opportuno contratto di fornitura.

Nella tabella sottostante si riportano i dati disponibili alla data in cui si è avviata la ricognizione (16 agosto 2019). Le osservazioni che seguono si riferiscono a tali risultati.

Le categorie

La prima osservazione analizzando i dati riguarda il numero delle categorie utilizzate. L’attuale file di pubblicazione consente di selezionare (utilizzando l’editor online disponibile ) la categoria tra molte decine di voci. Una così dettagliata elencazione di voci rischia di rendere troppo complessa la ricerca delle soluzioni di ambito simile che l’amministrazione in fase di valutazione dovrebbe poter confrontare con i propri bisogni.

Si rileva, inoltre, l’assenza di ulteriori e più dettagliati strumenti di ricerca finalizzati a individuare una soluzione disponibile in modo preventivo rispetto alla decisione di procedere con un acquisto. Molto spesso, nella realtà, sono le comunità di riferimento (per esempio amministrazioni che condividono mandato e funzioni simili) a promuovere una proposta sul mercato, ma il catalogo attualmente non offre un supporto in questa direzione.

Manca la cultura del riuso

Osservando i dati relativi alle casistiche di riuso si nota che le casistiche di riutilizzo diffuso delle soluzioni sono, almeno per ora, veramente limitate e spesso legate a contesti istituzionali legati a reti territoriali di appartenenza. Stante gli obblighi di pubblicazione delle soluzioni sviluppate e adottate dalle pubbliche amministrazioni, se non ci incentiva e non si guida con determinazione e coerenza la fase di scelta e di riuso delle soluzioni si rischia di dar vita a un catalogo molto numeroso di soluzioni disponibili ma poco riusate.

Del resto, anche monitorando i bandi di gara e offerte presenti nel MEPA ci si rende conto che manca la cultura del riuso e della applicazione del flusso di ricerca e valutazione delle soluzioni descritto nelle linee guida. Il flusso di valutazione e decisione descritto nei primi capitoli delle linee guida è poco conosciuto mentre permane nei funzionari pubblici il timore di non rispettare la corretta applicazione del Codice degli Appalti. Particolare evidenza della distorsione presente sono le gare per attività di installazione e manutenzione su soluzioni in riuso già adottate o in via di adozione a cui partecipa unicamente la comunità di riferimento di tale soluzione (che è la stessa già dichiarata nel catalogo); con dispendio burocratico inutile sia per la pubblica amministrazione che per il fornitore.

Le licenze

Analizzando la tipologia di licenza applicata si nota una diversificazione nella scelta che suscita qualche perplessità. Anche in questo caso il file di pubblicazione offre una notevole molteplicità di scelta, tanto da sollevare il dubbio che l’amministrazione che rende disponibile la soluzione sia davvero consapevole delle differenze tra modelli di licenza molto simili tra loro.

Mentre si osserva che le raccomandazioni spingono per l’utilizzo di licenze EUPL-1.2, che rappresentano il miglior raccordo con le indicazioni condivise a livello europeo, si nota tuttavia che la stessa è scarsamente utilizzata (un solo caso). È bene sottolineare, a questo proposito, che l’amministrazione che cerca una soluzione non è sempre pronta a cogliere le sfumature delle diverse tipologie di licenza open e delle loro numerose derivazioni, e quindi, in assenza di maggiore chiarezza nella presentazione delle informazioni, semplicemente finirà per sottovalutare e tenere in scarsa considerazione tale informazione con i rischi di cattivo utilizzo e gestione che ne derivano.

Manutenzione ed evoluzione delle soluzioni

Un altro aspetto che solleva qualche preoccupazione nel merito del sistema del riuso proposto riguarda la descrizione del tipo di manutenzione offerta sulla soluzione, che spesso è di tipo interno (limitata cioè al numero di risorse che contribuiscono al progetto stesso nell’ambito dell’amministrazione stessa). Si osserva che spesso i progetti presenti nel catalogo prevedono la manutenzione interna mentre la comunità di riferimento risulta fin troppo frequentemente composta da un numero esiguo di soggetti: vi è quindi il forte dubbio sulla possibilità concreta che tale comunità di far fronte a possibili e diverse richieste di riuso della soluzione e della sua evoluzione.

Questa osservazione alimenta ulteriormente perplessità e difficoltà già incontrate in passato da alcune amministrazioni nel riuso delle soluzioni, allorché si sono trovate spesso a valutare o dover gestire soluzioni poco mantenute e carenti di risorse per far fronte alla loro evoluzione. In fase di pubblicazione sarebbe, quindi, apprezzabile la presenza di una descrizione più analitica del modello organizzativo e di gestione della comunità di riferimento della soluzione: si tratta, infatti, di una informazione vitale da comprendere da parte dell’amministrazione che intenda riutilizzare una soluzione entrando essa stessa in modo diretto o indiretto nella comunità di riferimento stessa.

Informazioni e supporto al riuso

Il ruolo di supporto di AGID alle pubbliche amministrazioni che intendono pubblicare e riutilizzare le soluzioni è costituito dal centro di competenza dedicato, il CCROS, il Centro di competenza per il riuso e l’open source di AgID, volto a costruire strumenti a supporto dei processi di acquisto, sviluppo e riuso di soluzioni informatiche nelle pubbliche amministrazioni, che è stato presentato nel maggio scorso nella conferenza RTD (Responsabili Trasformazione Digitale). Si può interagire con AGID al seguente indirizzo.

Nelle pagine del catalogo si trovano invece i collegamenti al canale dedicato al riuso all’interno di Forum Italia e Slack. Nelle pagine del catalogo non c’è tuttavia traccia dei riferimenti al CCROS di cui sopra, con il rischio di creare disorientamento negli enti alla ricerca di una soluzione. A questo proposito si ritiene opportuno osservare, con riferimento allo spirito della conduzione della piattaforma di Developers Italia, che lo slogan “Sei un programmatore, uno smanettone del codice o un nerd in erba?” suscita non poche perplessità sulla natura del messaggio e sul tipo di comunità di riferimento a cui si ritiene di dover affidare il futuro delle soluzioni digitali del paese. Le soluzioni riusabili per garantire sicurezza, efficienza e efficacia, liceità degli atti hanno bisogno di una comunità multi- disciplinare di professionisti e non di “smanettoni del codice”. Forse una delle remore che hanno limitato in questa fase la pubblicazione delle soluzioni già in riuso nella modalità di codice aperto è appunto l’assenza di un riferimento chiaro alle comunità di riferimento consolidate, facendo prevalere una modalità di annuncio ammiccante, ma non necessariamente adatta alle complesse finalità perseguite in questo ambito.

L’aspetto, importante e strategico nella scelta di una soluzione da parte di una pubblica amministrazione riguarda la valutazione della soluzione in termini di qualità e sicurezza. In assenza di una qualificazione in merito, o quanto meno di una autodichiarazione relativa alle misure e ai modelli organizzativi applicati dal punto di vista della sicurezza delle soluzioni e dell‘attuazione delle tecniche di sviluppo di codice sicuro, il rischio che potenziali criticità si diffondano assieme alle soluzioni, specie dove la comunità di riferimento è limitata e destrutturata, risulta senza dubbio elevato e in grado di compromettere il raggiungimento degli obiettivi che le linee guida si prefiggono.

I grandi assenti

Confrontando le poche decine di soluzioni in riuso nel nuovo catalogo con quanto presentepresenti nel vecchio catalogo del riuso, non si può non notare un alto numero di assenti. In particolare, nell’attuale catalogo non c’è traccia di soluzioni significative per la gestione documentale, la digitalizzazione dei procedimenti amministrativi e il protocollo informatico, sebbene alcune di queste proposte siano in uso in diverse pubbliche amministrazioni e continuano ad essere offerte al mercato come soluzioni in riuso.

A quando una scadenza per la regolarizzazione? Come si regolarizza e controlla il riuso che avviene ancora per convenzioni tra pubbliche amministrazioni o veicolato all’interno di forniture afferenti i bandi Consip?

@RIPRODUZIONE RISERVATA

Articolo 1 di 4