La digitalizzazione end to end del ciclo di vita degli appalti pubblici è un ambizioso traguardo che il nuovo Codice dei Contratti pubblici ha ipotizzato di raggiungere in breve tempo.
In meno di un anno dalla pubblicazione della riforma, l’ecosistema nazionale di approvvigionamento digitale, costituito dalle piattaforme e dai servizi digitali infrastrutturali abilitanti la gestione del ciclo di vita dei contratti pubblici nonché dalle piattaforme di e-procurement certificate da Agid, dovrebbe essere già attivo e rappresentare una vera rivoluzione organizzativa e operativa, sia per le stazioni appaltanti che per gli operatori economici.
La sfida è ardua: sugli scogli della digitalizzazione si sono già infrante le speranze del vecchio Codice 2016, che aveva previsto di dare attuazione all’art. 44 del D.Lgs. 50/2016 entro un anno dall’entrata in vigore della riforma, ma che ne ha visti trascorrere più di cinque, solo per giungere, nel 2021, al DM n. 148 del 12/08/2021, pubblicato il 26/10/2021, che, di fatto, era un provvedimento meramente interlocutorio, che enunciava una serie di principi rinviando a propria volta a Linee Guida Agid per sostanziare in concreto l’approccio teorico del decreto.
Cosa dice il nuovo Codice appalti
Il nuovo Codice cerca di dare impulso alla transizione digitale, razionalizzando innanzitutto la collocazione delle disposizioni che la trattano in un’unica Parte (Parte II del Titolo II del Libro I) e prevedendo tempi stringenti per l’entrata a regime delle relative previsioni.
Nell’ambito del Codice, quasi tutto “autoesecutivo”, le disposizioni in materia di digitalizzazione sono comunque non immediatamente efficaci, dovendosi attendere i provvedimenti tecnici attuativi, in parte di competenza dell’ANAC e in parte di AGID.
Quest’ultima, partita fin dal 2022 con il confronto con gli operatori pubblici e privati in una logica di open innovation, sta rispettando i termini di adozione dei provvedimenti previsti dal Codice e le scadenze della road map che dovrebbe condurre a completare tutti i tasselli entro il corrente anno.
Il termine del primo gennaio 2024 è, in ogni caso, particolarmente sfidante, tenuto conto della complessità delle questioni tecniche da affrontare e risolvere.
Il ruolo di AGID
Un ruolo fondamentale nel passaggio al digitale lo riveste, come si è detto, AGID cui il Codice ha attribuito il compito di elaborare le regole tecniche cui devono attenersi le piattaforme e anche le modalità con le quali le stesse devono essere certificate.
L’architettura del sistema prevede, difatti, che le piattaforme di approvvigionamento digitale, costituite dall’insieme dei servizi e dei sistemi informatici, interconnessi e interoperanti, utilizzati dalle stazioni appaltanti e dagli enti concedenti per svolgere una o più attività del ciclo di vita dei contratti pubblici, interagiscano con i servizi della Banca dati nazionale dei contratti pubblici (BDNCP) nonché con i servizi della Piattaforma digitale nazionale dei dati (PDND).
È la PDND ad assicurare l’interoperabilità tra le banche dati e i servizi coinvolti, ma i componenti delle Piattaforme per poter operare nell’ecosistema ed interagire con gli e-service di ANAC devono ottenere la certificazione AGID, secondo quanto stabilito nelle Regole tecniche. Una volta ottenuta la certificazione, le piattaforme vengono iscritte nell’apposito Registro tenuto da ANAC.
Le Piattaforme certificate permettono l’accesso agli e-service ANAC per il tramite la PDND e inviano dati e documenti relativi alla singola gara/appalto alla BDNCP, sempre gestita dall’Autorità, e costituita:
- dalla Piattaforma Contratti Pubblici – PCP ,
- dal Fascicolo Virtuale dell’Operatore Economico – FVOE,
- dal Casellario informatico dei Contratti Pubblici, dall’Anagrafe degli Operatori Economici e dall’Anagrafe Unica delle Stazioni Appaltanti – AUSA.
Come funziona la certificazione
Ottenuta la certificazione, i Titolari della Piattaforma comunicano ad AGID i riferimenti dei Gestori autorizzati ad usare ciascuno dei propri componenti.
Come chiarito da AGID nelle proprie FAQ, in sostanza, il “Titolare” è il soggetto che richiede la certificazione di un componente della piattaforma ed ha titolo, direttamente o indirettamente, di mantenere tale componente conforme a quanto stabilisce il Codice.
Il “Gestore”, invece, è il soggetto che integra uno o più componenti certificati per realizzare una specifica istanza di piattaforma. È compito dei Gestori eseguire i test di integrazione per ciascuna istanza in ambiente di collaudo della PDND e, a seguito dell’esito positivo di tali test, emettere la relativa dichiarazione di conformità e trasmetterla ad AGID.
Le Piattaforme per cui sono state rilasciate le dichiarazioni, iscritte nell’apposita sezione del Registro tenuto da ANAC, possono essere messe in esercizio nell’ambiente di produzione della PDND.
Quindi la certificazione delle piattaforme da parte di AGID rappresenta uno snodo fondamentale nel processo di digitalizzazione.
Lo schema di certificazione AGID
L’11 settembre 2023 è stato messo in consultazione da AGID lo schema operativo di certificazione delle piattaforme, con termine fino al 20 settembre per la presentazione delle osservazioni.
Il 25 settembre è stato rilasciato lo schema definitivo che, fermo restando l’impianto complessivo, precisa meglio le interazioni tra la certificazione della piattaforma rilasciata da AGID in sede di prima istanza e il successivo mantenimento della stessa, che si basa, invece, su una certificazione di terza parte – ovvero sul rilascio di una valutazione di conformità da parte di un organismo accreditato per il settore specifico ai sensi della norma ISO/IEC 17065 – e sui successivi audit di verifica.
Non è possibile bypassare il sistema il caso di aggiornamenti di componenti già certificati, in quanto una eventuale nuova istanza di certificazione per una nuova versione di un componente già certificato viene automaticamente rigettata.
Gli step dello schema Agid
Gli step previsti dallo schema, sostanzialmente invariati rispetto allo schema in consultazione, sono i seguenti:
- Il Titolare invia ad AGID un’istanza di certificazione completa della check list elaborata sulla base del format allegato allo schema di certificazione, compilata tranne che per la parte relativa all’esito dei test relativi ai requisiti di Classe 3. AGID verifica la completezza della documentazione inviata e delle informazioni richieste e, in caso negativo, rigetta l’istanza dandone comunicazione al Titolare, in caso positivo, invece, AGID ne dà comunicazione, oltre che al Titolare, anche ad ANAC per l’abilitazione all’ambiente di test del Gestore incaricato e indicato nella medesima istanza di certificazione.
- Il Titolare fornisce al Gestore la check list validata e quest’ultimo, coadiuvato dal Titolare, procede nei successivi 60 giorni ad effettuare i test, recuperare i log resi disponibili da ANAC all’esito delle prove e trasmetterli insieme alla check list completata con i risultati dei test all’AGID. Se si sfora il termine dei 60 gg, l’istanza viene rigettata. Se l’invio è, invece, tempestivo, l’istanza viene valutata e AGID procede al rilascio della certificazione o al rigetto dell’’stanza, ad informandone sia il Titolare che l’ANAC.
Il certificato iniziale rilasciato da AGID ha comunque una durata provvisoria di un anno massimo, entro il quale va chiesta la certificazione di terza parte di cui si è detto. Se la valutazione di conformità ad un organismo accreditato viene tempestivamente richiesta prima dello spirare dei 12 mesi, la scadenza del primo certificato viene prolungata fino all’esito della valutazione, entro il limite massimo di 3 mesi. Se la valutazione di conformità è positiva, l’organismo accreditato rilascia un certificato da rinnovare ogni 24 mesi. Il certificato e la pertinente relazione di valutazione di conformità vengono presentati ad AGID entro i successivi 5 giorni.
La durata
La certificazione di terza parte ha durata biennale ed il suo mantenimento è subordinato al buon esito dell’audit annuale di sorveglianza che viene effettuato sul campo dagli organismi di valutazione della conformità, anche in base alle informazioni che AGID fornisce preventivamente a tali organismi.
Se il rapporto registra delle non conformità, il Titolare, per mantenere la certificazione, dovrà adottare azioni correttive entro 30 giorni e applicare nei successivi 90 giorni, salvo che il team di audit non richieda motivatamente tempistiche più brevi.
I requisiti di accreditamento degli organismi e le modalità operative, così come le regole per il rilascio, mantenimento, rinnovo, sospensione revoca e il contenuto del certificato di terza parte devono essere stabiliti da Accredia, l’Ente Unico di Accreditamento italiano, di concerto con AGID.
