Agid ha pubblicato le linee guida finalizzate a fare in modo che i beni e i servizi informatici acquistati dalle PA rispondano ad opportuni livelli di sicurezza. Non sono meri consigli, sono parte delle regole tecniche e di indirizzo per l’attuazione del Codice dell’Amministrazione Digitale previste dall’articolo 71 del medesimo.
Le Linee guida sono focalizzate sull’attività di procurement perché solo al momento della gara una PA può attuare cambiamenti nelle politiche di sicurezza per tutelare il proprio patrimonio informativo. Dopo la gara, ogni cambiamento risulta essere molto più complicato, se non impossibile, poiché termini e condizioni di fornitura resteranno vincolati da un rapporto contrattuale che durerà diversi anni. Ma nonostante si prefiggano lo scopo di fornire indicazioni tecniche ed amministrative da recepire nella documentazione di gara, le Linee guida abbracciano l’intero ciclo di vita di un contratto: dalla ricognizione alla strategia contrattuale fino al monitoraggio del nuovo contratto ed alla distruzione dei dati non più usati al termine di un progetto o alla fine del ciclo di vita di un dispositivo.
Un manuale per la sicurezza del procurement
Queste Linee Guida sono sintetiche e facilmente applicabili, solo trenta pagine rispetto alle 1.543 delle precedenti “Linee guida sulla qualità dei beni e dei servizi ICT per la definizione ed il governo dei contratti” che costituivano un manuale in dodici volumi. Lo scopo è fornire in linguaggio semplice ma concreto buone prassi, soluzioni già in uso, misure semplici da adottare, strumenti operativi, esempi pratici. Nonostante la sinteticità, le Linee Guida si mostrano concretamente fondate sull’esperienza e dunque ben lontane da mere considerazioni teoriche. È proprio quello che ci voleva. Sono scritte non solo per il responsabile della transizione al digitale ma per il dirigente, il funzionario, il responsabile unico del procedimento nella gara, il responsabile dell’organizzazione, pianificazione e sicurezza.
E finalmente ritorna l’attenzione sui Fornitori della Pubblica Amministrazione, da qualche stazione appaltante talvolta considerati quasi un disturbo anziché una risorsa preziosa per il Paese. Le Linee Guida sono infatti espressamente dedicate anche ai Fornitori, riconoscendo l’importanza che essi hanno nel recepire in modo propositivo le richieste degli Enti Pubblici fino a guidare la Domanda pubblica proattivamente tramite i contenuti innovativi delle proprie Offerte nelle gare.
AgID avrebbe potuto redigere autonomamente le Linee Guida, avendo il compito di contribuire alla diffusione delle tecnologie dell’informazione e della comunicazione favorendo l’innovazione e la crescita economica. Ma al tavolo di lavoro che in quattro mesi ha contribuito alle Linee guida hanno partecipato numerose Amministrazioni Centrali dalla Presidenza del Consiglio dei Ministri fino al Ministero dell’Economia e delle Finanze. Non poteva mancare, quando si parla di procurement pubblico, la Consip SpA che come è noto ha l’obiettivo di razionalizzare la spesa pubblica e dal 2000 ad oggi ha aggiudicato centinaia di gare di particolare pregio ed impatto sul Mercato.
I contenuti
Lo stile è al 90% imperativo. Nelle Linee Guida il verbo “dovere” è coniugato 87 volte all’indicativo presente e solo due volte al condizionale e il verbo “suggerire” è usato solo 8 volte. La statistica non lascia dubbi sul rinnovato vigore di AgID nelle Linee Guida. Solo così si lascia il segno nel lettore e si eliminano gli alibi per non agire. Si inizia con l’invitare le Amministrazioni ad organizzarsi, a dotarsi di strumenti, metodologie e competenze, a definire una politica da seguire, stabilire regole, criteri, piani d’azione e si conclude con il monito a non cadere in situazioni inaspettate dove si è costretti ad improvvisare. “Improvvisare” è un termine chiaro e appropriato per esprimere ciò che accade quando mancano regole, competenza, piani e programmi. Se i termini sono essenziali a beneficio di chiarezza ed efficacia, ogni monito è garbato fino a mostrare umiltà, ad esempio nel far presente che le azioni proposte sono prassi che le Amministrazioni hanno già svolto per altri scopi e nell’invitare a verificare e sanare eventuali carenze.
Emerge un coraggioso realismo quando, dopo anni bui di dissuasione del ricorso alla consulenza, tagli violenti al budget per la formazione e blocco delle nuove assunzioni, si raccomanda l’aggiornamento delle competenze in tema di Procurement Management, Gestione Progetti, Asset Management, Change Management, Risk Management, Sicurezza e Protezione dei Dati. E qui si vede la mano di AgID che da quando si chiamava AIPA, CNIPA o DigitPA ha il fine di portare cultura e innovazione nella Pubblica Amministrazione. E lo si fa con linguaggio diretto, senza lasciare dubbi al lettore, al punto che si raccomandano percorsi didattici e di aggiornamento nonché il ricorso a società di supporto e consulenza. Dopo anni fa nuovamente comparsa la parola “consulenza”, per anni bandita dal vocabolario pubblico al punto che la Consip nei bandi del Mepa per non far scattare l’allarme fino al 2016 la chiamava “Servizi di supporto alle attività delle Pubbliche Amministrazioni” e dal 2016 ad oggi ancora la chiama “Servizi di supporto specialistico”.
Non c’è traccia dello stile esaltante tipico dei predicatori del settore ICT che amano qualificarsi con titoli mistici. Qui troviamo solo il sano realismo di chi invita a cercare al proprio interno notizie anche sui casi di insuccesso nelle precedenti acquisizioni ICT, proprio quelle che chiunque avrebbe cercato di dimenticare. Emerge infatti la consapevolezza che dagli errori si impara molto più che dai successi e che il rischio di errore per tutti è sempre dietro l’angolo. Conoscendo le principali cause di insuccesso dei progetti ICT, si evidenzia l’obbligo di definire ruoli e responsabilità connesse con la sicurezza ICT identificando profili idonei e assegnando incarichi formali, l’obbligo di inventariare i beni e i servizi informatici classificandoli per criticità, rischi, minacce e vulnerabilità, l’obbligo di eseguire azioni di audit e valutazione del fornitore, audit interni.
Per semplificare si tenta di dettare un criterio di scelta tra Mepa e Accordi Quadro, ipotizzando che la linea di confine sia la bassa o l’alta criticità e invitando a verificare che il bando Mepa contenga requisiti di sicurezza adeguati. Purtroppo si dimentica che nel Mepa i bandi non indirizzano livelli di criticità né pongono alcun requisito di sicurezza ma lasciano all’Ente autonomia nel definire i requisiti (senza limiti minimi e massimi a severità e criticità) e quindi il confine tra Mepa e Sdapa non risiede nel livello di criticità o nei requisiti di sicurezza. Di contro, laddove criticità e sicurezza sono importanti, il MePA può risultare addirittura preferibile perché nel MePA l’Ente può specializzare i requisiti quanto ritiene opportuno. Inoltre non si citano gli importantissimi strumenti di acquisizione Consip quali le Convenzioni e il Sistema Dinamico di Acquisizione particolarmente perfezionati nel settore ICT e che peraltro da oltre quattro anni la Pubblica Amministrazione insieme a MePA e Accordi Quadro per Legge ha l’obbligo di impiegare. È dunque opportuna una celere rivisitazione della sezione per adeguarla allo stato attuale degli strumenti di acquisizione Consip.
Le indicazioni per AgID
Le Linee guida si avviano alla conclusione con le indicazioni strategiche per AgID che, pur rientrando già nel perimetro delle attività istituzionali, potrebbero essere oggetto di specifiche ulteriori iniziative formalizzate nelle prossime edizioni del Piano Triennale. E lo si fa toccando tutte le attività istituzionali: il presidio della tematica della sicurezza nel procurement ICT, la diffusione di Best Practice, l’emissione dei Pareri sui contratti pubblici, l’attività di monitoraggio ex post dei contratti.
L’ultima indicazione riguarda la continuità della disponibilità degli strumenti Consip per l’acquisizione di beni e servizi ICT. Si propone di pianificare di concerto con Consip, la tempistica delle gare che interessano sistemi e progetti critici sotto l’aspetto della sicurezza per evitare che accordi quadro siano esauriti e i successivi non siano ancora disponibili perché le relative gare sono ancora da aggiudicare. Il tema toccato è importante quanto delicato, perché dietro il termine “pianificazione” evidentemente si cela non l’azione della pianificazione ma il rispetto della pianificazione e tutti gli aspetti inerenti la qualità complessiva delle iniziative di gara nonché il relativo contenzioso che impattano sul rispetto della pianificazione.
Le centrali di committenza
La visione di insieme di AgID abbraccia anche le Centrali di Committenza a cui, andando oltre il ruolo minimale di stazione appaltante, riconosce l’importante ruolo di soggetto attuatore di miglioramenti evolutivi per gli aspetti di sicurezza delle forniture ICT. Il tema è molto importante, non si sarebbe potuto concludere le Linee guida senza affrontarlo. Con termini garbatamente propositivi e mai imperativi si suggeriscono le azioni di interazione con gli stakeholder sui temi che in base all’esperienza sono i più strategici: le Commissioni di gara, l’armonizzazione tra approcci e tecnologie, la conformità a comitati di governo, la collaborazione con il Centro di valutazione e certificazione nazionale (CVCN).
