Le nuove “Linee guida su acquisizione e riuso di software per le pubbliche amministrazioni” in attuazione degli articoli 68 e 69 del Codice dell’Amministrazione Digitale, pubblicate da Agid il 9 maggio rappresentano per la loro impostazione (e tempo di attesa) un importante elemento di novità, nonostante le tematiche di riuso non siano nuove nell’ambito normativo della pubblica amministrazione, essendo presenti in modo chiaro già nel Codice dell’Amministrazione Digitale (CAD) del 2015.
Linee guida riuso e piano triennale
Le linee guida vanno hanno lette in riferimento anche al Piano triennale per l’informatica nella pubblica amministrazione 2019-2021 recentemente approvato dal Ministro Giulia Bongiorno che nel collocare l’orientamento al paradigma di cloud first inserisce anche nel capitolo 9 importanti riferimenti al riuso delle soluzioni software nella PA con licenza aperta individuando tre importanti linee di azione:
- promuovere la composizione di comunità tra le PA per la realizzazione, gestione e diffusione di software open source;
- sviluppare modelli di business intorno all’utilizzo di soluzioni e componenti software open source di proprietà delle PA;
- ottimizzare costi e tempi di gestione del software utilizzato dalle PA.
Ed appunto in riferimento a tali linee d’azione che le nuove linee guida su acquisizione e riuso di software per le pubbliche amministrazioni collocano con un linguaggio chiaro e comprensibile le attività che coinvolgono:
- le pubbliche amministrazioni titolari delle soluzioni applicative, componenti e buone pratiche da condividere;
- le comunità dedicate alla manutenzione ed evoluzione tecnica di tali soluzioni (che prendono il nome di incaricati) e che possono essere sia rappresentate da singoli contributori, fornitori e società in-house;
- le pubbliche amministrazioni adottanti tali soluzioni o che nelle fasi iniziali le valutano rispetto alla corrispondenza dei propri requisiti.
Linee guida Agid, gli obblighi in fase di valutazione
Le linee guida nella prima parte aprono con un forte orientamento alla fase di ricerca e valutazione delle soluzioni poste in riuso descrivendo il processo di valutazione che era già reso obbligatorio dall’articolo 68, comma 1 del CAD; e preliminare (come già previsto per altro nel Codice degli Appalti) alla scelta di acquisto di soluzioni sottoposte a licenza d’uso. Così come richiamano, sempre in riferimento al medesimo articolo del CAD, gli obblighi di pubblicazione delle soluzioni di cui le pubbliche amministrazioni sono titolari in quanto realizzati su specifiche richieste.
L’ultimo degli allegati, E, riassume in una tabella i diversi obblighi da adempiere in fase di valutazione nelle diverse casistiche di adozione delle soluzioni, rispettandone la gerarchia di scelta.
Data la delicatezza e complessità di valutazione delle soluzioni in riuso rispetto alle esigenze di una pubblica amministrazione interessata al suo riutilizzo, appare fondamentale l’apporto informativo e consulenziale che dovrebbe essere offerto dall’amministrazione titolare, dalla comunità di riferimento e supportato da AGID stessa.
Ritengo, che nel processo di valutazione, nei contesti in cui la soluzione posta in riuso sia un sistema complesso funzionalmente come ad esempio una soluzione di gestione documentale, è auspicabile quindi l’utilizzo di check list funzionali che sono già di patrimonio della pubblica amministrazione, come ad esempio quelle nate per la valutazione e impostazione del “sistema di gestione dei procedimenti amministrativi nazionali” (SGPA).
Il ruolo di Developers Italia
Le linee guida proseguono definendo il ruolo di Developers Italia come strumento per la ricerca e vetrina delle soluzioni portate in riuso, alla scelta e requisiti del sistema di condivisione del codice e della gestione del ciclo di vita delle soluzioni e le modalità di scelta di licenze aperte da parte della pubblica amministrazione che rende disponibile la soluzione. Sul tema della scelta della licenza aperta con cui procedere alla pubblicazione, vista la complessità dell’argomento (il numero di licenze aperte e di loro distinzione di contesto di utilizzo è significativamente numeroso), Agid renderà operativi dei centri di competenza specifici che prevedono la collaborazione e cooperazione con eventuali centri di competenza sull’open source e riuso già esistenti in alcuni territori.
In fase di adozione di una soluzione pubblica in riuso viene meno la necessità del protocollo di intesa con la pubblica amministrazione cedente e particolare attenzione delle linee guida è volta a garantire piena attuazione dell’articolo 69 del CAD relativamente sia all’acquisizione della titolarità degli eventuali nuovi sviluppi commissionati ai fornitori, sia le eventuali modifiche e personalizzazioni richieste agli incaricati che vanno poste esse stesse in riuso. Si spera che gli enti di controllo preposti vigilino sulla corretta applicazione di questi punti magari introducendo gli opportuni obblighi di trasparenza e di comunicazione raccordando la normativa degli appalti con opportune linee guida o disposizioni (ANAC).
Gli allegati (i riferimenti tecnici e di supporto agli attori coinvolti)
Gli allegati alle linee guida costituiscono un riferimento tecnico preciso e di supporto a tutti gli attori coinvolti nella realizzazione e conduzione di soluzioni applicative poste in riuso, dalla pubblica amministrazione cedente a quelle sottoscriventi e che quindi vanno a comporre delle comunità di pubbliche amministrazioni di riferimento per i fornitori e la comunità di sviluppo. Il paradigma di inserire i requisiti specifici indicandone il livello di applicazione richiesto (MUST, SHOULD, MAY) è molto chiaro e facilita la comprensione e lettura.
Il primo allegato A descrive i requisiti del sistema di pubblicazione e gestione del ciclo di vita della soluzione applicativa e l’attribuzione della licenza, con alcuni dettagli tecnici di files che devono essere presenti nel codice pubblicato al fine di renderlo indicizzabile correttamente da parte del sito di Developers Italia.
L’allegato B descrive gli aspetti manutentivi della soluzione in riuso sia descrivendo chiaramente la gestione delle attività correttive e manutentive ed anche di richiesta di supporto sulla soluzione, delineando anche alcuni SLA (Service Level Agreement) precisi. Di particolare precisazione e definizione in sede contrattuale necessita l’attuazione del paragrafo B nella casistica in cui l’incaricato non sia una società collegata alla amministrazione titolare e là dove, necessariamente, l’incarico offra i propri servizi di manutenzione, evoluzione e formazione sulla soluzione alle diverse amministrazioni che compongono la comunità che riutilizza la soluzione. Ovviamente lo scenario in cui l’incaricato è una società in-house della amministrazione titolare trova più semplice attuazione.
Il terzo allegato, C, entra nello specifico della scelta delle licenze aperte da attribuire alla soluzione posta in riuso, delineando una breve guida considerando le diverse componenti che possono essere oggetto di riuso, da intere applicazioni, librerie o documentazione di progetto. AGID stà costituendo uno specifico centro di competenza per aiutare e guidare le pubbliche amministrazioni titolari nella scelta della corretta licenza da applicare nei diversi contesti, essendo un ambito complesso dal punto di vista legale e dovendo comunque collocare i percorsi di scelta anche nel rispetto delle indicazioni della Commissione Europea.
Nell’allegato D sono descritti gli aspetti di iterazione all’interno della comunità delle pubbliche amministrazioni che riutilizzano una soluzione e nei confronti dell’incaricato. Di particolare rilievo è il paragrafo D.4 che specifica meglio gli obblighi di pubblicazione in riuso anche di soluzioni che inizialmente non sono originate all’interno della pubblica amministrazione.
Gli aspetti critici e la compliance Gdpr
Gli aspetti critici che si auspica saranno affrontati nel prossimo periodo, al fine di dare pieno sviluppo e attuazione alle linee guida, sono relativi alla connotazione nelle gare, nel Mepa, nei bandi Consip degli obblighi ed evidenze necessarie a rendere trasparente ed evidente il processo di valutazione e discriminazione dei requisiti e agevolare il rapporto tra la comunità delle pubbliche amministrazioni che riutilizzano e la comunità di sviluppo e consulenziale che offre i necessari servizi realizzativi, formativi e di accompagnamento multidisciplinare necessari al diffondersi delle soluzioni.
Relativamente alla nuova gestione del catalogo del riuso di Developers Italia, è di sicuro valore a supporto della fase di ricerca e scelta della soluzione, fornire evidenza della compliance della soluzione stessa, ad esempio con particolare attenzione alle tematiche di applicazione del GDPR.
Ad esempio, si potrebbe inserire l’obbligo di pubblicazione dei report della esecuzione dei test OWASP nel caso la soluzione oggetto della pubblicazione sia una soluzione o componente web based; ed anche una esplicita checklist sulle misure di “privacy by design” adottate nella soluzione. Anche la valutazione sulla qualità dell’incaricato o dei diversi incaricati, collegati ad una soluzione dovrebbe essere resa evidente, ad esempio attestando la qualità dei processi di sviluppo adottati (ISO 9001) e le certificazioni di competenza specifiche sulle tecnologie e piattaforme utilizzate nella soluzione. Si dovrebbe, infine, rendere evidente mediante attestazione o altra documentazione l’applicazione delle Linee guida sullo sviluppo di software sicuro già pubblicate da AGID stessa. Ha forse senso pensare ad una qualificazione da parte di AGID per gli incaricati coinvolti nel ciclo di vita delle soluzioni in riuso?
Un qualche raccordo è necessario rispetto al marketplace dalla pubblica amministrazione, di recente introduzione, per gestire le casistiche in cui l’amministrazione titolare o la comunità degli incaricati intenda offrire in modalità cloud le soluzioni già portate in riuso.
Di sicuro auspicio è anche la diffusione di buone prassi nella comunità, mutuando le ormai mature “best practice” del mondo open source, e di formazione sullo specifico tema del riuso da parte di AGID e degli altri interlocutori istituzionali della pubblica amministrazione; con attenzione a creare le condizioni affinché il riuso e l’apertura all’open source in una visione “cloud first” sia di concreto stimolo allo sviluppo delle comunità tecniche, consulenziali, formative multidisciplinari che offrono da tempo i loro servizi alle pubbliche amministrazioni creando la cooperazione e sinergia necessarie allo sviluppo economico e al recupero dei ritardi nella digitalizzazione del paese.
