DECRETO CURA ITALIA, LO SNELLIMENTO DEL PUBLIC PROCUREMENT ICT: ECCO LA NORMATIVA
L’articolo di Pierluigi Piselli e Riccardo Piselli, pubblicato su Agenda Digitale del 2.4.2020
Il decreto Cura Italia ha introdotto la possibilità di procedure veloci per garantire alla PA l’approvvigionamento di materiale informatico, così da proseguire in sicurezza le proprie attività anche nell’emergenza coronavirus. La decisione offre l’occasione per riflettere sul rapporto tra le prescrizioni del decreto e la normativa di riferimento come il Codice dei contratti pubblici.
Procurement, cosa prevede il Cura Italia
Per l’approvvigionamento di beni e servizi informatici e di connettività, considerati una categoria merceologica speciale, la Legge di stabilità 2016 (L. n. 208/2015, commi 512-520) ha imposto alle amministrazioni pubbliche il ricorso alle convenzioni Consip o al Mercato elettronico o di altri soggetti aggregatori, per i beni e i servizi disponibili presso gli stessi soggetti, senza alcuna distinzione di valore. Le norme prevedono una sola deroga: per i beni non disponibili su Consip e Mepa o per circostanze di necessità ed urgenza. In questo caso l’organo di vertice amministrativo deve redigere un’autorizzazione all’acquisto motivata e trasmetterla al Presidente dell’Anac e all’Agid.
Il legislatore ha inteso garantire l’ottimizzazione e la razionalizzazione degli acquisti di beni e servizi informatici e di connettività, allo scopo di realizzare un risparmio annuale di spesa, tuttavia ricorrere a Consip e Mepa anche per beni di valore irrisorio è apparso un inutile ingessamento delle procedure di acquisto. Il decreto Cura Italia (D.L. n. 18/2020), tra le ulteriori misure di contrasto agli effetti dell’imprevedibile emergenza coronavirus, ha previsto, all’art. 75, una deroga a tali modalità di acquisto di beni e servizi informatici e di connettività con la finalità di:
– agevolare la diffusione del lavoro agile;
– favorire la diffusione di servizi in rete;
– agevolare l’accesso ai servizi in rete da parte di cittadini e imprese.
In particolare ha autorizzato, sino al 31 dicembre 2020, le Amministrazioni pubbliche ad acquistare beni e servizi informatici e servizi di connettività, mediante procedura negoziata senza previa pubblicazione di un bando di gara ai sensi dell’articolo 63, comma 2, lett. c) del D.Lgs. n. 50/2016 (Codice appalti). Si tratta della procedura negoziata utilizzabile quando “per ragioni di estrema urgenza derivante da eventi imprevedibili dall’amministrazione aggiudicatrice, i termini per le procedure aperte o per le procedure ristrette o per le procedure competitive con negoziazione non possono essere rispettati”.
La deroga e la normativa di riferimento
Se è dunque prevista nel nostro ordinamento giuridico una procedura di urgenza per l’affidamento di contratti pubblici, ci si chiede in cosa consista l’ulteriore deroga individuata dalla norma in commento. Tale deroga prevede, innanzitutto, un numero di partecipanti minore da invitare alla selezione: almeno quattro operatori economici, di cui almeno una start up innovativa o una piccola e media impresa innovativa, in luogo dei cinque operatori economici – se sussistono in tale numero soggetti idonei – previsti dalla norma (art. 63, comma 6).
In secondo luogo si deroga alla verifica del possesso dei requisiti di partecipazione previsti dal Codice dei contratti pubblici, verifica sostituita con l’acquisizione di una autocertificazione dell’operatore economico aggiudicatario attestante il possesso dei requisiti generali, finanziari e tecnici, la regolarità del Durc e l’assenza di motivi di esclusione secondo segnalazioni rilevabili dal Casellario Informatico di Anac. È fatta salva la previa verifica del rispetto delle leggi antimafia e delle misure di prevenzione, di cui al D.Lgs. n. 159/2011. Il contratto, inoltre, può essere stipulato immediatamente ed avviata l’esecuzione in deroga all’impedimento temporaneo previsto dalla clausola di stand still di cui all’art. 32, comma 9 del D.Lgs. 50/2020 (sospensione di 35 giorni dall’aggiudicazione per la stipula contrattuale).
Viene, dunque, delineata una procedura negoziata in deroga a tutte le norme del Codice dei Contratti e rimessa alla quasi totale discrezionalità della singola Amministrazione aggiudicatrice, con il solo onere, previsto dalla norma, di dover trasmettere al Dipartimento per la trasformazione digitale e al Dipartimento della funzione pubblica della Presidenza del Consiglio dei Ministri, gli atti con i quali sono indette le procedure negoziate. Trasmissione che, verosimilmente, ha un valore meramente informativo, finalizzato al coordinamento degli acquisti in tale settore ma non anche di diritto di veto da parte di tali Amministrazioni centrali.
Il limite a tale completa discrezionalità dell’Amministrazione Pubblica può derivare dalla disposizione volta a garantire il coordinamento nazionale e l’integrazione ed interoperabilità tra i diversi sistemi e servizi: gli acquisti “devono essere relativi a progetti coerenti con il Piano triennale per l’informatica nella pubblica amministrazione” e “Gli interventi di sviluppo e implementazione dei sistemi informativi devono prevedere, nei casi in cui ciò è possibile, l’integrazione con le piattaforme abilitanti previste dagli articoli 5, 62, 64 e 64-bis dal decreto legislativo 7 marzo 2005, n. 82” (i.e.: Piattaforma tecnologica per l’interconnessione tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati; Anagrafe nazionale della popolazione residente – ANPR; Sistema pubblico per la gestione dell’identità digitale di soggetti giuridici – SPID; Accesso telematico ai servizi della pubblica amministrazione).
Elementi critici
Una previsione che, a nostro avviso, va considerata con favore, ma che stride fortemente con la logica della deregulation propria dell’articolo in commento, che pone nel nulla tutte le garanzie comunitarie e nazionali poste a tutela della concorrenza. La disposizione – meritevole nei fini che dichiara di perseguire – sembra esporsi tuttavia ad alcune criticità di non poco conto. Ci si riferisce, anzitutto, al perimetro oggettivo della deroga: l’acquisto di “beni e servizi informatici, preferibilmente basati sul modello cloud Saas (Software as a Service)”. È noto che siffatto modello costituisce, in estrema sintesi, una forma di esternalizzazione (outsourcing) di sistemi e dati: “L’utente – in questo caso una P.A. – non devono curarsi (dell’acquisto e) della gestione di sistemi informatici che sono completamente gestiti da soggetti terzi nella cui nuvola sono conservati i dati”[1].
Senza scendere in tecnicismi, generalmente si distingue tra i c.d. cloud pubblici e i c.d. cloud privati: “Una private cloud (o nuvola privata) è un’infrastruttura informatica per lo più dedicata alle esigenze di una singola organizzazione”, potendo in questo senso essere paragonati ai tradizionali data center. “Nel caso delle public cloud, invece, l’infrastruttura è di proprietà di un fornitore specializzato nell’erogazione di servizi che mette a disposizione di (più) utenti, aziende o amministrazioni […] i propri sistemi”[2], generalmente dietro il pagamento di un canone a utilizzo (pay-per-use). Generalmente i primi sono più costosi rispetto ai secondi, ma offrono anche una maggiore sicurezza informatica e tutela in relazione ai dati. Nessuna indicazione normativa diretta viene in soccorso per comprendere se la preferenza vada intesa in un senso o nell’altro. Tuttavia, il riferimento al modello di servizio “software as a service” è generalmente (anche se non necessariamente) letto come afferente al cloud pubblico.
Sul versante soggettivo, la norma in commento non reca alcun perimetro di sorta: tutte le amministrazioni ex art. 3 del D. Lgs. 18 aprile 2016, n. 50, nonché tutte le autorità indipendenti sono autorizzate all’acquisto in deroga di servizi cloud Saas. Quindi anche tutte le amministrazioni operanti in settori iper-regolamentati o sensibili, come quello sanitario, quello bancario, assicurativo o la stessa difesa. Insomma, tutte le amministrazioni sono autorizzate a migrare dati degli utenti su piattaforme private offerte in Saas. Questa è, a nostro avviso, la portata veramente dirompente della disposizione, che rimette alla discrezionalità dell’amministrazione ogni scelta in merito al se e come avvalersi di sistemi Saas e, in ultima istanza, al se e come esternalizzare – senza alcun controllo preventivo e successivo – la gestione dei dati pubblici o privati a operatori terzi (potenzialmente e molto probabilmente anche internazionali).
Il rischio di lock-in
Altro elemento di criticità derivante dall’attuazione delle norme può ravvisarsi nel c.d. rischio di lock-in, così definito dalla Commissione europea per gli appalti nel settore informatico: «Il lock-in si verifica quando l’amministrazione non può cambiare facilmente fornitore alla scadenza del periodo contrattuale perché non sono disponibili le informazioni essenziali sul sistema che consentirebbero a un nuovo fornitore di subentrare al precedente in modo efficiente[3]». Questa circostanza negativa si verifica spesso per numerosi affidamenti avvenuti attraverso procedure negoziate senza previa pubblicazione di un bando di gara, talvolta in modo inconsapevole da parte della stessa stazione appaltante, la quale, nel predisporre il capitolato speciale può non considerare il rischio che, a seguito del primo affidamento, venga indirettamente definito anche il nominativo del vincitore dei successivi affidamenti. Ciò si verifica soprattutto quando non vi è un’attenta programmazione dei fabbisogni e i documenti di gara sono predisposti a ridosso della scadenza dei contratti o, come nel caso di specie, in situazioni di estrema urgenza.
Non esiste una regola generale per prevenire e superare il lock-in, ma occorre procedere caso per caso. Come evidenziato da ANAC nelle Linee guida n. 8, una delle possibili soluzioni in taluni settori consiste nel prevedere che un singolo affidamento possa essere assegnato a due o più fornitori (multi-sourcing); un’altra soluzione proposta dalla Commissione Europea per il settore dell’ICT è quella di agire sulle specifiche tecniche, mediante affidamenti su standard e non su sistemi prioritari[4].
Conclusione
A fronte della portata di tali macro-criticità che l’attuazione dell’articolo potrebbe ingenerare, vi è certamente un aspetto positivo del provvedimento. Esso nasce in seguito ad un momento critico per il Paese, ma crea al tempo stesso condizioni che possono accelerare in modo strutturale la trasformazione digitale del Paese. La norma è pensata per dare impulso al mercato con una richiesta aperta di servizi digitali e in cloud a tutte le aziende in grado di produrli, nel rispetto delle indicazioni del Piano Triennale.
La norma, inoltre, sembra poter assecondare il processo che la pandemia sta innescando: uno switch culturale che conduce molti settori e professioni ad evolversi, accelerando in pochi giorni un cambiamento che decenni di politiche normative non hanno generato, ed aprendo a nuove, importanti opportunità.
_
Note
1. Cfr. Garante per la protezione dei dati personali, Cloud Computing: indicazioni per l’utilizzo consapevole dei servizi, p. 9 ss (https://www.garanteprivacy.it/documents/10160/10704/1819933). ↑
2. Ivi, p. 4. ↑
3. Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni, Contro il lock-in: costruire sistemi TIC aperti facendo un uso migliore degli standard negli appalti pubblici, Com (2013) 455 final del 25 giugno 2013. ↑
4. In tal senso: ANAC, Deliberazione n. 950 del 2017-Linee guida n. 8 “Linee guida per il ricorso a procedure negoziate senza previa pubblicazione di un bando nel caso di forniture e servizi ritenuti infungibili”. ↑