Indirizzo
Corso Matteotti 15,
Cremona, CR 26100
Con determinazione n. 137 del 1.6.2023, d’intesa con ANAC e Presidenza del Consiglio dei Ministri, l’Agenzia per l’Italia Digitale ha pubblicato il provvedimento contenente i requisiti tecnici e le modalità di certificazione delle piattaforme di approvvigionamento digitale, di cui all’art 26 del Codice dei contratti (D.lgs. n. 36/2023). Le regole tecniche acquisteranno efficacia dal 1° gennaio 2024.
didascalia
Il suddetto provvedimento definisce i requisiti tecnici delle piattaforme, la loro conformità a quanto disposto dall’articolo 22, comma 2 del decreto 36/2023 in merito allo svolgimento delle diverse attività del ciclo di vita dei contratti pubblici, nonché stabilisce le modalità per la certificazione delle medesime piattaforme.
Alla digitalizzazione viene attribuito non più un mero ruolo di supporto allo svolgimento delle procedure di gara, ma un ben più ampio e trasversale compito di modernizzazione ed efficientamento degli appalti pubblici, con gli obiettivi di:
- ridurre i tempi di gara;
- semplificare le procedure e ridurre i contenziosi;
- contribuire a migliorare l’efficienza amministrativa complessiva e gli oneri amministrativi a carico delle imprese;
- favorire una più ampia partecipazione delle imprese stesse;
- superare le previsioni di cui al decreto ministeriale 12 agosto 2021, n. 148.
Digitalizzazione degli appalti e interoperabilità delle piattaforme.
Per la prima volta, un’intera sezione del Codice degli Appalti viene dedicata alla digitalizzazione del ciclo di vita dei contratti pubblici (artt. 19-36 del nuovo Codice), individuando i principi e i diritti digitali sottesi alla partecipazione alle gare pubbliche e recependo l’esigenza di “definire le modalità per digitalizzare le procedure per tutti gli appalti pubblici e concessioni e definire i requisiti di interoperabilità e interconnettività”, prevista tra gli obiettivi più rilevanti del Piano Nazionale di Ripresa e di Resilienza.
Partendo dal Codice di amministrazione digitale (d.lgs. 82/2005), viene costituito l’ecosistema nazionale di approvvigionamento digitale (e-procurement), composto da piattaforme telematiche “certificate”, che assicurano l’interoperabilità dei servizi svolti (art. 22) e la confluenza delle informazioni sulla Banca dati nazionale dei contratti pubblici dell’ANAC.
Gli obblighi informativi verso la Banca Dati Anac, attraverso le piattaforme telematiche, riguardano anche gli affidamenti diretti a società in house (articolo 23). Tutte le gare transitano attraverso le piattaforme abilitate, pertanto le stazioni appaltanti non dotate di una propria piattaforma devono avvalersi di quelle messe a disposizione da altre stazioni appaltanti (articolo 25).
In tale ecosistema, assumono quindi fondamentale importanza la Banca Dati ANAC e il Fascicolo Virtuale dell’Operatore Economico (art. 24), già reso operativo dall’Autorità Anticorruzione, nonché l’Anagrafe dell’Operatore Economico (art. 31). Il Fascicolo virtuale è utilizzato per accertare, in capo agli operatori economici, il possesso dei requisiti generali (artt. 94 e 95) e speciali (art. 99 del Codice).
Ad ANAC viene affidata la pubblicità legale degli atti (art. 27), riportati sul portale istituzionale, nonché dei dati relativi ai singoli appalti, incluso l’elenco degli operatori economici invitati (art. 28).
Lo “slittamento” di provvedimenti attuativi
Nel contesto, mancano all’appello significativi provvedimenti attuativi, che dovevano essere adottati entro il 30.5.2023 da parte dell’ANAC, relativamente a:
- Individuazione delle tipologie di dati da inserire nel fascicolo virtuale dell’operatore economico concernenti la partecipazione alle procedure di affidamento e il loro esito (art. 24);
- Definizione delle modalità di pubblicità degli atti, garantita dalla Banca Nazionale dei Contratti Pubblici (art. 27);
- Definizione delle informazioni, dati e modalità relative alla programmazione di lavori, servizi e forniture, nonché alle procedure del ciclo di vita dei contratti pubblici (art. 28);
- Definizione delle modalità di calcolo delle quote dei contratti di lavori, servizi e forniture affidati mediante procedure ad evidenza pubblica dai titolari di concessioni (art. 186).
Determina n. 137/2023 – riferimenti normativi
. Decreto legislativo 7 marzo 2005, n. 82 e s.m.i. recante il “Codice dell’amministrazione Digitale”;
. Vigente Piano triennale per l’informatica nella pubblica amministrazione 2022-2024
. Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e il D.lgs. 101/2018, recante modifiche e
integrazioni al D.lgs. 196/2003;
. Circolare n. 3 del 6 dicembre 2016 recante “Regole Tecniche aggiuntive per garantire il colloquio e la
condivisione dei dati tra sistemi telematici di acquisto e di negoziazione”, adottata da AgID in attuazione
dell’art. 58, comma 10 del decreto legislativo 18 aprile 2016, n. 50;
. Specifiche tecniche per la definizione del DGUE elettronico italiano “eDGUE-IT”, emesse da AgID il 30 luglio
2021, come allegato alla citata Circolare n. 3/2016;
. Decreto legislativo 31 marzo 2023, n. 36 recante Codice dei contratti pubblici (nel seguito anche Codice),
entrato in vigore il 1° aprile 2023, che acquista efficacia a decorrere dal 1° luglio 2023;
REQUISITI TECNICI E LE MODALITÀ DI CERTIFICAZIONE DELLE PIATTAFORME DI APPROVVIGIONAMENTO DIGITALE
Ambito soggettivo delle Regole tecniche
Sono destinatari delle Regole tecniche:
• I Titolari delle piattaforme di approvvigionamento digitale Soggetti che sviluppano la Piattaforma, garantiscono che essa sia conforme ai requisiti del Codice e delle Regole tecniche e la sottopongono a certificazione AGID ai sensi dell’articolo 26, comma 2 del Codice, con le modalità specificate nelle Regole tecniche
• I Gestori delle piattaforme di approvvigionamento digitale Soggetti che gestiscono l’esercizio di una piattaforma certificata, garantendone il corretto funzionamento e la sicurezza, in conformità alle Regole tecniche
• I soggetti che realizzano piattaforme che consentono la verifica delle garanzie fideiussorie basata su registri distribuiti Le Piattaforme di approvvigionamento digitale sono definite all’articolo 25 del Codice come l’insieme dei servizi e dei sistemi informatici, interconnessi e interoperanti, utilizzati dalle stazioni appaltanti e dagli enti concedenti per svolgere una o più attività dell’intero ciclo di vita dei contratti pubblici (programmazione, progettazione, pubblicazione, affidamento ed esecuzione) interagendo con i servizi della BDNCP, gestita dall’ANAC (articolo 62-bis del CAD), e della PDND, gestita dalla Presidenza del Consiglio (articolo 50-ter del CAD)
Requisiti tecnici
I requisiti tecnici cui le piattaforme devono conformarsi sono raggruppati in 3 classi:
1. Requisiti generali derivanti dal rispetto dei principi e disposizioni richiamati dall’art. 19 c. 1 del Codice (Requisiti di Classe 1)
2. Requisiti funzionali relativi al ciclo di vita dei contratti, raggruppati nelle sottoclassi: generali (Requisiti di Classe 2a) e specifici (Requisiti di Classe 2b)
3. Requisiti per l’interoperabilità, per l’integrazione con i servizi della BDNCP di ANAC (Requisiti di Classe 3)
Solo i requisiti dei punti 2 e 3, rivolti primariamente ai Titolari, sono oggetto di certificazione AGID. Il rispetto dei requisiti generali e dei requisiti funzionali diretti ai Gestori non è oggetto di certificazione ai sensi dell’articolo 26, comma 2 del Codice; restano ferme tutte le disposizioni normative applicabili.
Requisiti generali (Classe 1)
Requisiti tecnici per il rispetto dei principi e disposizioni richiamati dall’articolo 19, comma 1 del Codice:
• principi e disposizioni del CAD
• esercizio dei diritti di cittadinanza digitale
• principi di neutralità tecnologica e di trasparenza
• protezione dei dati personali
• sicurezza informatica I Titolari delle piattaforme e, per quanto applicabile, i relativi Gestori, devono rispettare:
• le disposizioni in materia di protezione dei dati personali di cui al d.lgs. 30 giugno 2003, n. 196 e al Regolamento (UE) n. 2016/679
• le disposizioni in materia di sicurezza informatica, in particolare i requisiti minimi di cui all’Allegato B del Regolamento di cui all’articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 emesso dall’AGID
• il d.lgs. 24 gennaio 2006, n. 36, in relazione ai dati e alle informazioni da gestire e rendere fruibili in formato aperto e devono altresì rispettare almeno le seguenti Linee Guida AGID:
• le «Linee Guida sulla formazione, gestione e conservazione dei documenti informatici», emesse dall’AGID ai sensi del CAD • le «Linee Guida sull’accessibilità degli strumenti informatici» emesse dall’AGID ai sensi della legge 9 gennaio 2004, n. 4
I Titolari e i Gestori delle piattaforme devono:
• monitorare costantemente la pubblicazione di norme, linee guida e regole tecniche al fine di garantire la conformità alle norme applicabili delle piattaforme e dei servizi da esse prestati
• operare in linea con quanto previsto da standard e best practice come ISO/IEC 20000-1, ISO 9001:2015 e ISO/IEC 27001; eventuali certificazioni, il cui ambito sia coerente, possono essere uno strumento a supporto della prova del rispetto di quanto qui previsto
I Gestori delle piattaforme devono:
• utilizzare piattaforme cui sia stato rilasciato il Certificato AGID secondo quanto stabilito dall’articolo 26, comma 2 del Codice e presenti nell’apposito registro tenuto dall’ANAC, secondo quanto previsto al comma 3 del medesimo articolo
• configurare e gestire le piattaforme in conformità alle Regole tecniche ed alle istruzioni fornite dal Titolare Nel caso in cui il Titolare ed il Gestore della piattaforma siano un medesimo soggetto, deve essere garantita una separazione organizzativa interna che consenta di attribuire le responsabilità individuate delle Regole tecniche ai ruoli di Gestore e Titolare
Requisiti funzionali generali del ciclo di vita dei contratti (Classe 2a)
Accesso digitale alla piattaforma
• La piattaforma deve consentire l’identificazione degli utenti tramite i meccanismi di identificazione elettronica SPID e CIE
• La piattaforma deve consentire l’identificazione elettronica degli utenti anche tramite altre forme, conformemente alla normativa vigente
• La piattaforma deve garantire l’univocità del soggetto identificato indipendentemente dal meccanismo di identificazione elettronica utilizzato
• L’identificazione elettronica dell’utente deve essere garantita al momento dell’accesso e rimane valida fino al termine della sessione di lavoro (es. eventuale integrazione con il sistema di single sign on dell’ente) fermo restando il rispetto dei requisiti di sicurezza
Registrazione, profilazione e delega
• La piattaforma deve prevedere un sistema di profilazione che consenta di associare un profilo applicativo alle singole utenze delle rispettive organizzazioni: Stazione Appaltante, Operatore Economico, Gestore della piattaforma
• La piattaforma deve prevedere in relazione alla Stazione appaltante un profilo applicativo per il ruolo RUP, di cui all’articolo 15 del Codice, e dovrebbe rendere disponibili funzioni di creazione e revoca di ulteriori profili con specifiche deleghe in relazione alla gestione del ciclo di vita dei contratti
• La piattaforma deve prevedere, ove applicabili, profili applicativi per i ruoli di Direttore dell’esecuzione o Direttore dei Lavori, Punto ordinante, Punto istruttore, Presidente di Commissione, deve consentire di associare allo stesso utente ruoli diversi e può rendere disponibili funzioni di creazione e revoca di ulteriori profili applicativi
• La piattaforma deve consentire al Gestore, e può consentire al RUP o al suo delegato, di conoscere il dettaglio di ogni profilo applicativo e le singole attività che esso può svolgere per ogni fase del ciclo di vita del contratto e tutte le associazioni utente-profilo
• La piattaforma deve prevedere in relazione all’Operatore Economico un profilo applicativo per il ruolo di legale rappresentante o suo delegato e può rendere disponibili funzioni di creazione e revoca di ulteriori profili applicativi
• La piattaforma deve prevedere in relazione al Gestore un profilo applicativo per l’amministrazione della piattaforma (es. admin) e può rendere disponibili funzioni di creazione e revoca di ulteriori profili applicativi con specifiche funzioni amministrative individuate dal Gestore
Requisiti funzionali generali del ciclo di vita dei contratti (Classe 2a)
Tracciabilità
• La piattaforma deve gestire un Registro di sistema, costituito da uno o più log, che garantisce la registrazione di ogni accesso (utente e profilo applicativo) degli eventi significativi in relazione al ciclo di vita del contratto. Le piattaforme devono avere la capacità di mantenere per due anni le informazioni presenti nel Registro di sistema, salvo differenti accordi con la SA presenti nell’accordo contrattuale
• Per ogni evento registrato nel Registro di sistema la piattaforma deve riportare data e ora e, ove applicabili nel contesto dell’evento, i dati identificativi del soggetto fisico o giuridico o del dispositivo che ha determinato l’evento, la singola operazione effettuata con le informazioni necessarie alla sua contestualizzazione, l’indirizzo IP di provenienza e altre informazioni ritenute utili
• La piattaforma deve garantire che nessun profilo applicativo possa alterare il Registro di sistema
• La piattaforma deve garantire l’inalterabilità del Registro di sistema e la possibilità di verifica della sua integrità
Comunicazioni digitali
• La piattaforma deve gestire le comunicazioni e gli scambi di informazioni di cui al Codice, implementando un’area specifica di comunicazione tra SA e OE in relazione alla procedura. Con riferimento a tale area:
• La piattaforma deve tracciare nel Registro di sistema ogni evento di invio e ricezione
• La piattaforma deve conservare nel fascicolo di gara ogni comunicazione
• Per le comunicazioni non previste dalle piattaforme, quest’ultime devono consentire alle stazioni appaltanti di inserire tali comunicazioni nel fascicolo di gara, tracciando l’operazione nel Registro di sistema • La piattaforma deve informare in maniera chiara dove avvengono le comunicazioni che hanno rilevanza in relazione alla procedura e richiedere i consensi necessari
• La piattaforma può prevedere ulteriori meccanismi di notifica indicando in modo chiaro quale sia il canale che produce gli effetti di comunicazione
Requisiti Classe 2b
a) Redazione o acquisizione degli atti in formato nativo digitale
• La piattaforma deve garantire la redazione o acquisizione degli atti in formato nativo digitale in tutte le attività del ciclo di vita del contratto, nel rispetto del paragrafo 2.1.1 delle Linee Guida sulla formazione, gestione e conservazione dei documenti informatici (formazione del documento informatico), dell’allegato 2 di tali linee guida, in relazione ai formati e dell’allegato 5 relativamente ai metadati
• La piattaforma deve dichiarare le dimensioni massime e i formati dei file accettati
• La piattaforma può indicare limitazioni di formato per ragioni di sicurezza, ad esempio in relazione ai codici eseguibili
• La piattaforma deve accettare documenti con firma o sigillo elettronico
• La piattaforma deve specificare per quali formati effettua la validazione di firme e sigilli elettronici • In caso di mancata accettazione di un documento la piattaforma deve fornire indicazioni chiare sul motivo (es. superamento limite dimensionale, errore di validazione della firma, ecc.)
c) Accesso elettronico alla documentazione di gara
La piattaforma deve rendere disponibili dati e informazioni che raccoglie nelle varie fasi del ciclo di vita della gara nel rispetto dei vincoli prestabiliti dal Codice
• La piattaforma, prima di autorizzare l’accesso a dati ed informazioni relativamente alla documentazione di gara, deve effettuare i seguenti controlli:
• identificare il soggetto che richiede l’accesso, nel rispetto dei requisiti di classe 2a di Accesso digitale alla piattaforma
• associare eventuali profili applicativi e deleghe validi per tale soggetto al momento dell’accesso, nel rispetto dei requisiti di classe 2a di Registrazione, profilazione e delega
• verificare i diritti di accesso in relazione ai profili/deleghe validi e alla fase in cui si trova la gara nel rispetto delle limitazioni previste dal Codice
• tracciare tutti gli accessi, nel rispetto dei requisiti di classe 2a di Tracciabilità
• Nel caso di oscuramento di parti dell’offerta ai sensi dell’articolo 36, la piattaforma deve gestire il collegamento coi documenti non oscurati ed i diritti di accesso corrispondenti – Nota: questo requisito è collegato alla lettera f) Apertura e conservazione del fascicolo di gara in modalità digitale
d) Presentazione del DGUE in formato digitale
• La piattaforma deve garantire la redazione o acquisizione del DGUE di cui al Regolamento di esecuzione (UE) 2016/7 della Commissione del 5 gennaio 2016 nella fase di pubblicazione della procedura di gara nel formato definito dalle linee guida AGID in vigore basato sul formato strutturato XML conforme al modello dati ESPD-EDM ver 2.1.1, definito dalla Commissione europea.
e) Presentazione delle offerte
La piattaforma deve fornire all’OE schemi e moduli per la formazione o funzioni di caricamento dei documenti dell’offerta
• La piattaforma deve fornire funzioni di tracciatura relativamente all’istante di caricamento e all’integrità del contenuto dei documenti dell’offerta
• La piattaforma deve rendere riservato (non leggibile) il contenuto dei documenti che compongono le offerta impedendo la leggibilità del contenuto a chiunque, fino al giorno fissato per la loro apertura
• La piattaforma deve consentire l’invio di integrazioni dell’offerta, quando previsto dal Codice
• La piattaforma deve consentire di raggruppare la documentazione che compone l’offerta in offerta tecnica, offerta economica e altra documentazione amministrativa e di procedere separatamente all’apertura dell’offerta tecnica, dell’offerta economica e della documentazione amministrativa (qui di seguito i raggruppamenti sono indicati con «Buste»)
• La piattaforma deve consentire di associare al soggetto formalmente autorizzato all’apertura delle «Buste» il profilo applicativo che abilita tale funzione
• Dopo l’apertura, la piattaforma deve consentire l’accesso al contenuto delle «Buste» solo ai soggetti formalmente autorizzati
• La piattaforma traccia nel Registro di sistema:
• l’assegnazione e la revoca dei profili applicativi che consentono l’apertura delle «Buste» e la possibilità di accedere al contenuto dopo l’apertura con l’indicazione del soggetto cui si riferisce
• l’evento di apertura delle «Buste» ed il successivo accesso al contenuto con l’indicazione del soggetto cui l’evento si riferisce
• La piattaforma deve consentire di rendere distinguibili tra loro i soggetti che hanno rispettivamente il diritto di apertura delle «Buste» ed accesso al relativo contenuto e il diritto di gestione/trattamento del Registro di sistema, fermo restando il requisito di immodificabilità del Registro di sistema
• La piattaforma deve supportare l’inversione procedimentale
f) Apertura e conservazione del fascicolo di gara in modalità digitale
La piattaforma deve predisporre le informazioni necessarie per la conservazione a norma del fascicolo di gara secondo le Linee Guida sulla formazione, gestione e conservazione dei documenti informatici e i relativi allegati
• La piattaforma deve predisporre i metadati obbligatori per la documentazione di gara in conformità con l’allegato 5 «Metadati» delle citate LLGG, con l’esclusione dei metadati che dipendono dal piano di classificazione e relativo piano di organizzazione delle aggregazioni documentali adottato dalla Stazione Appaltante ai sensi dell’articolo 64 del TUDA
• Per consentire alla Stazione Appaltante di identificare correttamente i documenti coerentemente col proprio piano di organizzazione delle aggregazioni documentali, la piattaforma deve fornire i seguenti metadati relativi al fascicolo di gara, che costituiscono identificatori persistenti ai sensi delle LLGG:
• L’identificatore del contratto (o appalto) fornito da ANAC
• Il CIG
• La piattaforma deve consentire la visione, l’ import/export del Fascicolo in qualunque momento del ciclo di vita del contratto, con le limitazioni indicate in riferimento alla lettera c) Accesso elettronico alla documentazione di gara
Requisiti Classe 3- interoperabilità
Riguardano gli aspetti di interoperabilità con la PDND e l’integrazione con i servizi infrastrutturali abilitanti di ANAC:
• La piattaforma deve ottenere la certificazione AGID secondo quanto stabilito dalle Regole tecniche per poter effettuare la registrazione sulla PDND
• La piattaforma deve rispettare quanto previsto dalle ”Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati” [LG_ITEROP] che adottano il modello di interoperabilità delle pubbliche amministrazioni (MoDI) fondato sull’Infrastruttura tecnologica d’interoperabilità (PDND) di cui all’articolo 50-ter del CAD
• Ogni Gestore di piattaforma certificata si deve registrare alla PDND col ruolo di Fruitore (ruolo definito dalle [LG_ITEROP]) degli e-service esposti da ANAC e previsti dai relativi provvedimenti
• La piattaforma deve identificare tramite SPID o CIE, o altro mezzo di identificazione elettronica rilasciato nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione a norma dell’articolo 9 del Regolamento eIDAS, la persona fisica che effettua operazioni sulla piattaforma che comportano l’utilizzo di e-service esposti da ANAC
• La piattaforma deve trasmettere mediante la PDND e secondo quanto previsto da [LG_ITEROP] il livello di garanzia associato all’identificazione elettronica dell’utente che sta eseguendo operazioni sulla piattaforma che comportano l’utilizzo di e-service esposti da ANAC per i quali è necessario ottenere l’autorizzazione
• Qualora l’e-service ANAC richiamato richieda un livello di garanzia più elevato di quello attivo, la piattaforma deve gestire la richiesta di una riidentificazione elettronica da parte dell’utente della piattaforma col livello minimo previsto dall’operazione
La piattaforma, mediante l’interazione con i servizi infrastrutturali abilitanti di ANAC richiamati tramite la PDND e in conformità con quanto previsto dal provvedimento ANAC emesso ai sensi dell’articolo 23 comma 5 del Codice deve:
• garantire la Pubblicazione e trasmissione dei dati e documenti alla BDNCP (art. 22, c. 2, l. b) )
• acquisire i codici univoci d’identificazione in relazione alla creazione del piano, del contratto e del/dei CIG (uno per ogni lotto, ove previsto) per garantire la metadatazione della documentazione di gara anche al fine di supportare la sua corretta conservazione
• garantire l’Interoperabilità con il FVOE (art. 22, c. 2, l. d) ) tramite gli e-service resi disponibili da ANAC gestendo la richiesta ed il recupero dei documenti necessari per le verifiche da parte della SA
• gestire nelle fasi di pubblicazione, affidamento ed esecuzione l’invio delle schede informative e documentazione a supporto necessarie a garantire il Controllo tecnico, contabile e amministrativo dei contratti in fase di esecuzione e gestione delle garanzie (art. 22, c. 2, l. g))
Certificazione AGID
Il processo di certificazione AGID prevede:
Sviluppo di una checklist modulare, comprensiva di tutti i requisiti tecnici oggetto di certificazione (Classi 2 e 3) individuando per ciascun requisito i criteri che devono essere soddisfatti
• La checklist sarà pubblicata successivamente alle Regole tecniche e alla disponibilità dell’ambiente di qualificazione di ANAC per la propria piattaforma
• Per il primo periodo dell’applicazione del Codice, si prevede l’invio ad AGID di un’istanza di certificazione costituita da una autovalutazione basata sulla checklist, che sarà valutata da AGID ai fine del rilascio della certificazione delle piattaforme
• La seconda fase prevede il coinvolgimento di organismi di terza parte per la valutazione della conformità accreditati a norma del regolamento (CE) n. 765/2008 secondo modalità definite dall’AGID. Gli scenari possibili sono:
• utilizzo di Laboratori di prova (ISO/IEC 17025)
• utilizzo di Organismi di Certificazione (ISO/IEC 17065) L’AGID effettua comunicazione ad ANAC ad ogni rilascio di certificazione con i dati identificativi della piattaforma (Titolare, nome e versione della piattaforma comunicata dal Titolare)
Requisiti del Gestore e dichiarazione di conformità
Il Gestore della Piattaforma deve operare in conformità con le disposizioni delle presenti Regole tecniche. La figura del Gestore può coincidere con la Stazione Appaltante (SA). In caso contrario il rapporto tra Gestore e SA deve essere regolato da un accordo contrattuale tra le Parti, che regola l’assunzione formale di responsabilità da parte del Gestore per le attività svolte e connesse al ciclo di vita dei contratti pubblici. L’accordo contrattuale tra le Parti regola anche i livelli di qualità al fine di stabilire i servizi offerti agli utenti della Piattaforma e quelli di supporto. Nel caso in cui la Piattaforma preveda l’accesso con credenziali rilasciate dalla SA attraverso un processo dalla stessa definito e diverse, ad esempio, da SPID e CIE, l’accordo contrattuale deve prevedere la presa di responsabilità da parte della SA ad effettuare correttamente il riconoscimento degli utenti cui sono associate tali credenziali. Qualora la Piattaforma si integri col sistema di gestione delle identificazioni e degli accessi (IAM, Identity and Access Management) della SA, l’accordo contrattuale deve prevedere la presa di responsabilità da parte della SA ad operare correttamente il proprio sistema IAM.
Il Gestore deve svolgere le seguenti attività:
• abilitazione degli utenti e/o delegati;
• gestione della Piattaforma in relazione alle attività connesse con la messa a disposizione di servizi e comunicazioni verso gli utenti;
• gestione delle attività di tracciamento;
attività di anonimizzazione e/o aggregazione sulla totalità dei dati acquisiti e gestiti, nonché la messa a disposizione degli stessi in formato aperto secondo le previsioni del CAD;
• monitoraggio del funzionamento della piattaforma a supporto del miglioramento ed evoluzione della stessa (analisi, ricerca e sviluppo).
In ognuna di tali attività, il Gestore deve assicurare la protezione dei dati personali trattati, nel rispetto della normativa nazionale e unionale.
Il Gestore deve ridurre il trattamento ai soli dati personali strettamente necessari per il perseguimento delle finalità poste alla base delle singole attività di trattamento e, conseguentemente, essere in grado di comprovare, nel rispetto del principio di responsabilizzazione, che i dati personali siano pertinenti, necessari e non eccessivi rispetto alla finalità perseguita.
Il Gestore deve predisporre una valutazione di impatto sulla protezione dei dati personali e consultare se necessario il Garante per la protezione dei dati personali ai sensi degli articoli 35 e 36 del GDPR. Per quanto concerne i trattamenti la cui titolarità è individuata in capo al Gestore, questi deve rendere, mediante la Piattaforma, un’apposita informativa. Il Gestore deve adottare misure organizzative adeguate a garantire l’esercizio dei diritti degli interessati. Nell’erogazione dei servizi e delle funzionalità previste dalla piattaforma, il Gestore può fare ricorso a soggetti terzi, opportunamente nominati responsabili del trattamento. In tal caso, il Gestore deve privilegiare fornitori situati sul territorio nazionale e dell’Unione Europea. Laddove non sia possibile, il Gestore può ricorrere a responsabili situati in Paesi terzi, che offrano garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate alla sicurezza dei trattamenti e alla tutela dell’interessato, nel rispetto della normativa. Il Gestore deve istruire i responsabili del trattamento sulla necessità di conservare i dati personali all’interno dell’Unione Europea laddove i fornitori non siano in grado di offrire garanzie sufficienti ad assicurare l’effettivo rispetto del Capo V del GDPR relativamente alle misure tecniche e organizzative adeguate alla sicurezza dei trattamenti e alla tutela dell’interessato.
Ai sensi del Considerando 83 e dell’articolo 32 del GDPR e nel rispetto del principio di responsabilizzazione, il Gestore deve implementare ogni misura tecnica e organizzativa adeguata a garantire un livello di sicurezza adeguato al rischio. Tali misure di sicurezza comprendono almeno:
• la cifratura “in transit” e “data at rest” e laddove possibile l’anonimizzazione dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Dichiarazione di conformità di Piattaforma
I passi fondamentali del processo sono i seguenti:
– Riconoscimento del Gestore autorizzato a rilasciare le dichiarazioni di conformità di piattaforma;
– Adesione del Gestore autorizzato alla piattaforma PDND;
– Predisposizione di una Piattaforma di approvvigionamento da parte di un Gestore autorizzato;
– Configurazione e test della Piattaforma nel ruolo di “Client Fruitore PDND” degli e-service ANAC;
– Effettuazione del test di interoperabilità;
– Emissione della “Dichiarazione di conformità di Piattaforma” da parte del Gestore autorizzato. Ai fini della individuazione dei Gestori autorizzati, il Titolare di componenti di piattaforma certificati deve comunicare all’AGID le seguenti informazioni e gli aggiornamenti delle medesime relative ad ogni Gestore che utilizza la propria piattaforma:
•dati identificativi del Gestore;
•versione della piattaforma utilizzata e dei componenti essenziali certificati; il domicilio digitale del Gestore. L’AGID comunica all’ANAC le informazioni relative ai Gestori autorizzati di cui al requisito [5.2-1], al fine di consentire all’ANAC di aggiornare il Registro delle piattaforme certificate, nella sezione dei Gestori autorizzati.
Il Gestore di piattaforma, all’atto della prima configurazione della piattaforma, deve:
•richiedere l’attivazione della procedura di adesione su PDND come Fruitore degli e-service ANAC;
•effettuare la richiesta di fruizione degli e-service ANAC in ambiente di collaudo PDND, nel ruolo di Fruitore a tutti gli e-service ANAC;
•a valle dell’accettazione della richiesta da parte di ANAC, provvedere all’ “analisi del rischio sulla protezione dei dati personali” in ambiente di collaudo PDND relativamente alla finalità di cui al comma 3 dell’articolo 23 del Codice;
•effettuare la registrazione del “Client Fruitore PDND” in ambiente di collaudo PDND;
• effettuare un test di conformità ai requisiti di interoperabilità con la BDNCP;
• ad esito positivo dei test di cui al [5.2-2.5] emettere una “Dichiarazione di conformità di Piattaforma”, ove si attesta di aver usato prodotti certificati, di averli installati correttamente e di aver testato le funzionalità di “client fruitore” PDND;
•effettuare la richiesta di fruizione degli e-service ANAC in ambiente di esercizio PDND, nel ruolo di Fruitore a tutti gli e-service ANAC;
•a valle dell’accettazione della richiesta di cui al punto [5.2-2.7] da parte di ANAC, provvedere all’ “analisi del rischio sulla protezione dei dati personali” in ambiente di esercizio PDND relativamente alla finalità di cui al comma 3 dell’articolo 23 del Codice;
•effettuare la registrazione del “Client Fruitore PDND” in ambiente di esercizio PDND. Nel caso in cui il Gestore risulti già aderente della PDND il requisito si considera già assolto. L’AGID comunica all’ANAC le dichiarazioni di conformità di Piattaforma ricevute dai Gestori autorizzati, al fine di consentire all’ANAC di aggiornare il Registro delle piattaforme certificate, nella sezione delle Piattaforme che hanno ottenuto la dichiarazione di conformità.
Caratteristiche dei registri distribuiti per le piattaforme di emissione di garanzie fideiussorie
Si fa riferimento alle seguenti definizioni:
• «tecnologie basate su registri distribuiti»: articolo 8-ter, comma 1, del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12;
• quanto definito nella norma EN ISO 22739.
• L’ambito oggettivo sono le caratteristiche tecniche dei registri distribuiti nello specifico ambito di applicazione di cui all’articolo 106, comma 3 del Codice, ossia dalle piattaforme che, per consentire la verifica della garanzia fideiussoria, si basano su registri distribuiti. Qui di seguito «piattaforme basate su registri distribuiti»
• Le piattaforme basate su registri distribuiti non devono memorizzare dati personali sui registri distribuiti
• Le piattaforme basate su registri distribuiti devono memorizzare sui registri distribuiti l’impronta (hash value) delle garanzie fideiussorie, sia in versione finale che in eventuali versioni intermedie, e devono utilizzare funzioni di hash approvate dall’AGID nell’ambito delle firme elettroniche qualificate di cui al Regolamento eIDAS. Per versione finale della garanzia fideiussoria si intende la garanzia emessa e firmata digitalmente come previsto dall’articolo 106, comma 3 del Codice
• Le piattaforme basate su registri distribuiti devono consentire la verifica di validità della garanzia fideiussoria a chiunque sia in possesso di un duplicato informatico di garanzia fideiussoria o della sua impronta
Le piattaforme basate su registri distribuiti devono soddisfare i requisiti generali di Classe 1 in quanto applicabili
• Le piattaforme basate su registri distribuiti devono soddisfare una delle seguenti condizioni:
• i registri distribuiti su cui si basano devono implementare un sistema di tipo «permissioned» o «permissioned distributed ledger technology system» e devono garantire che la scrittura nei registri distribuiti della garanzia fideiussoria emessa è sotto il controllo di uno dei soggetti cui è consentito rilasciare garanzie fideiussorie ai sensi dell’articolo 106, comma 3 del Codice. L’identificazione elettronica di tali soggetti deve avere un livello di garanzia significativo o elevato con riferimento al Regolamento eIDAS; oppure
• la scrittura nei registri distribuiti della garanzia fideiussoria emessa è effettuata per mezzo di uno smart contract che deve garantire che solo un soggetto cui è consentito rilasciare garanzie fideiussorie ai sensi dell’articolo 106, comma 3 del Codice è autorizzato a scrivere nel registro distribuito, previa identificazione elettronica con un livello di garanzia significativo o elevato con riferimento al Regolamento eIDAS
• In coerenza col principio DNSH le piattaforme dovrebbero valutare l’utilizzo di meccanismi di consenso efficienti in termini energetici
