webinar - processo simulato

La gara Consip e le sorti del Cloud della PA, il software tradurrà la complessità in opportunità?

di Laura Strano e Carmen Rosa Diolosà (Giurdanella & Partners studio legale) |

La gara bandita dalla CONSIP la cui scadenza, dall’originaria data del 2 marzo 2020 era stata rinviata il 14 luglio, ha subìto, per “mera coincidenza”, dopo il webinar, un ulteriore ennesimo rinvio al 6 agosto. Ma la novità non è solo la proroga, ma anche la modifica del capitolato d’oneri.

La maxi-gara CONSIP da 550 milioni di euro per l’affidamento del Cloud della P.A, così com’è congegnata, è funzionale agli obiettivi della tanto auspicata innovazione e digitalizzazione delle pubbliche amministrazioni e quindi ad una migliore organizzazione e qualità dei servizi ai cittadini?

L’utilizzo del “Configuratore” previsto dalla gara, cioè l’algoritmo che sfornerà sostanzialmente i nomi degli operatori “fortunati” attraverso un mero calcolo matematico, è compatibile con i principi eurocomunitari di libera ed effettiva concorrenza e suddivisione in lotti, che dovrebbero informare tutte le procedure ad evidenza pubblica?

L’accentramento degli acquisti, previsto dall’Accordo Quadro, e il vincolo contrattuale, che ne verrà fuori, determinerannoun risparmio per la pubblica amministrazione? Ma soprattuttosono compatibili con il mercato del Cloud, un mercato in continua evoluzione, in cui ciò che oggi è “nuovo”, domani sarà già superato?

A queste importanti domande si è cercato di rispondere nello Speaker’s Corner DAE, organizzato dal Centro Studi di Diritto Amministrativo (CeSDA) con la direzione scientifica dello Studio legale Giurdanella&Partners, utilizzando lo schema del processo simulato, dedicato a: “Un algoritmo chiamato configuratore. Il processo alla gara Consip e le sorti del Cloud della P.A”.

cloud-nazionale-sovranità-digitale-europea

L’accusa, composta dagli avvocati Marco Antoci e Andrea Giurdanella e dalla dr.ssa Maria Di Tommasi, ha sollevato diverse censure di legittimità al bando in questione, evidenziando i profili controversi dello stesso.

La difesa, rappresentata dall’avv. Corrado Diaco e dall’avv. Massimo Preti, ha, invece, sostenuto le ragioni di Consip, dunque della gara.

E un processo che si rispetti non può non concludersi con una sentenza, emessa dal “giudice” Dell’Aira (già Avvocato capo dello Stato), che ha dato ragione agli avvocati dell’accusa.

Ma poiché gli utenti finali dei servizi sono i cittadini e l’impatto della gara avrà conseguenze sulle singole amministrazioni, altrettanto determinante per la decisione finale è stato l’ascolto dei testimoni: un numeroso gruppo di giuristi, informatici, professionisti del settore, dirigenti, giornalisti.

Di seguito le loro opinioni

Santo Fabiano: “L’impostazione della procedura manifesta una serie di equivoci di base che, inevitabilmente condizionano le modalità di conduzione e gli esiti della selezione, trasferendo a un livello “tecnico” questioni che hanno carattere discrezionale. E presumendo che metodologie e strumenti “tecnici” abbiano carattere neutrale. Già la scelta di centralizzare gli acquisti, giustificata da presunte “economie di scala”, oltre a non conseguire le attese economie, spesso ha portato alla riduzione della qualità dei prodotti, alla complessità degli adempimenti, al ritardo negli approvvigionamenti e soprattutto al crollo del mercato locale a vantaggio di quello “globale”, con conseguente danno per l’economia nazionale. Tuttavia, il tema della centralizzazione degli acquisti rimane ancora un tabù, sostenuto illusioni che hanno solo fondamento teorico. Peraltro, da quanto si legge, in relazione alle indagini avviate non sembra nemmeno pienamente perseguito il contrasto a eventuali infiltrazioni. Anzi, in relazione alle notevoli dimensioni degli appalti, si evidenziano complessità maggiori e interferenze di più alto livello e di difficile contrasto. Inoltre non è da trascurare che la “configurazione dell’algoritmo” a cui si affida l’esito della selezione è un “gesto altamente discrezionale”. Anche se la decisione finale è la conseguenza di un calcolo, infatti, le condizioni che determinano il risultato sono diretta conseguenza delle modalità di configurazione dell’algoritmo. Si rende quindi necessario, quando si ricorre a un “automatismo” di tale tipo evidenziare le ragioni che ne giustifichino l’utilizzo poiché si trasferisce la fase del “giudizio” dalla discrezionalità amministrativa (a cui non è lecito rinunciare) a quella “tecnica”, anche laddove ciò non sia previsto o non sia necessario. E non è da trascurare che, in ragione delle modalità di attribuzione dei punteggi, una diversa configurazione, inevitabilmente genera decisioni diametralmente diverse. Vale la pena di adottare un approccio “logico” e funzionale e meno “automatico” che risponda a principi di buona amministrazione, piuttosto che di “mero calcolo”, soprattutto in considerazione dell’oggetto dell’affidamento che attiene al “patrimonio informativo” detenuto e gestito dalle pubbliche informazioni che riguarda non soltanto “dati personali”, anche “sensibili”, ma documenti da cui si evincono decisioni, valutazioni e scelte amministrative riservate alle pubbliche amministrazioni, la cui gestione sarebbe opportuno non venga affidata all’esterno, soprattutto se si tratta di multinazionali”.

Andrea Lisi: “Il Bando di gara di cui si discute ha subito diversi e travagliati “rimaneggiamenti”, questo deriva sia dal suo essere incardinato a cavallo tra Piani triennali sulla digitalizzazione in parte differenti e sia soprattutto da una poco chiara regia sulle strategie che riguardano il Sistema Paese in materia di cloud e poli strategici nazionali. Non c’è alcuna, attuale chiarezza sul punto e non si comprende il senso di far qualificare da AgID oggi cloud provider per servizi IAAS, PAAS, SAAS, se poi la scelta sarà quella di scegliere di fatto tra pochissimi player in grado sostanzialmente di sviluppare servizi di natura centralizzata. Si vuole andare verso una centralizzazione in materia di digitale a livello di Sistema Paese? Affidandosi a cloud provider privati di rilievo internazionale? È questa la strada segnata del “cloud first” nazionale? CAD e regole tecniche affermerebbero ad oggi principi diversi e valorizzerebbero invece un approccio rigoroso a tutela del patrimonio informativo pubblico. Inoltre, l’approccio del Bando che sembrerebbe portare verso la scelta di un unico fornitore di dimensioni considerevoli, quindi una centralizzazione di fatto a livello nazionale, porterebbe le singole PA a violare anche i principi di accountability e privacy by design e by default espressi dal GDPR, generando una sorta di “lock in di Stato”, ma in mano a fornitori privati di natura internazionale. E questo potrebbe risultare molto pericoloso. Alla luce di questo io consiglierei di sospendere un bando così criticabile e sbagliato per metodi e strategie posti in essere”.

Giulia Bimbi: “Come Ente locale, non entro nel merito della questione di legittimità della gara, ma mi chiedo quale sia la collocazione di questa gara in un quadro nazionale che prevede, secondo il nuovo decreto sviluppo, disposizioni volte a favorire la realizzazione di un polo strategico nazionale (cloud) per tutelare l’autonomia tecnologica del Paese, e come si concili con gli accordi quadro regionali (come quello toscano per il TIX). Forse tutto l’impianto dell’accordo quadro CONSIP è da rivedere”.

Flavia Marzano: “Il rischio lock-in è sicuramente presente non solo per l’acquisto di software (che nella PA dovrebbe essere preferibilmente open source) ma anche per il cloud e personalmente sono fortemente convinta che il cloud della Pubblica Amministrazione debba essere privato almeno per quanto riguarda dati sensibili o comunque da proteggere, e potrebbe eventualmente essere ibrido per dati che possono avere interesse generale (anche generare opportunità di business). Con la consapevolezza da parte della PA che quei dati hanno un valore, anche economico!”

Sonia Montegiove: “Se è vero che il cloud è una delle tecnologie abilitanti anche per la PA, è anche vero che, come tutte le tecnologie digitali, porta con sé una serie di rischi che vanno valutati con grande attenzione. Tra questi il lock-in, ovvero la dipendenza della PA da fornitore che nel caso del cloud può diventare un limite importante, e l’attenzione al dove e come saranno conservati dati che rappresentano un bene pubblico da tutelare. Per questo si deve parlare di interoperabilità tra cloud, di uso di open standard in grado di garantire trasferibilità e di openness, ovvero di attenzione a privilegiare soluzioni aperte e libere che possano generare valore nei territori, così come dimostrato dal caso francese studiato dalla Harvard Business School. Non basta, insomma, scegliere in base alla semplicità e comodità di un servizio come troppo spesso avviene: è necessario che le PA valutino benefici e limiti delle diverse soluzioni, tutelando le libertà digitali, e muovendosi pertanto in un quadro di sostenibilità“.

Simone Chiarelli: “La tesi dell’accusa e della difesa sono state entrambe puntuali ed hanno evidenziato come la situazione appaia degna di importanza ma incerta. Personalmente ritengo, che in questa situazione, occorra tener fermo il principio di “presunzione di legittimità dell’azione amministrativa” essendo onere per l’accusa dimostrare gli elementi probatori o i chiari indizi di potenziale illegittimità. Ritengo che tale prova non sia emersa in quanto: 1) il settore è particolare e del tutto peculiare. Siamo in ambito informatico laddove le esigenze di unitarietà o di forte centralizzazione (anche di riduzione del numero di competitor) è correlato all’esigenza del particolare servizio; 2) la suddivisione in lotti non appare priva di ragionevolezza, sebbene siano evidenti i criteri volti a garantire una forte rilevanza della componente qualitativa su quella quantitativa (economica); la discrezionalità amministrativa nella scelta dei criteri è ampiamente riconosciuta dalla giurisprudenza corrente; 4) la scelta dell’accordo quadro non sacrifica, in astratto, le scelte delle singole amministrazioni e la possibilità, in contesti particolari, di non aderire alle proposte dell’accordo e realizzare affidamenti a terzi (anche piccole e medie imprese). In definitiva, pur riscontrando forti elementi di criticità (peraltro propri di quasi tutti i bandi Consip degli ultimi anni, alcuni dei quali con risvolti anche non solo amministrativi) non sembrano emergere evidenti elementi di illegittimità del bando”.

Roberto Scano: “Il tema delle competenze professionali è importante anche per i bandi. In questo caso CONSIP ha giustamente definito dei profili professionali ispirandosi al lavoro europeo promosso da AGID in tema di competenze digitali professionali. Positivo, a mio avviso, anche il fatto di effettuare gara di ampia portata in modo da responsabilizzare le amministrazioni con prodotti di alto livello. Servirà comunque attività di formazione interna alla PA su questi temi”.

Massimo La Diega: “Lo strumento dell’accordo quadro a differenza delle convenzioni dovrebbe permettere agli enti un minimo di ‘libertà’ nella scelta del fornitore come ad esempio nella gara SPC2. Di fatto avremo un fornitore unico e quindi siamo davanti un finto accordo quadro. Dovrebbe essere annullata questa gara perché potrebbe essere causa di una schizzofrenia digitale non in linea con la direzione intrapresa dal governo che vede una gestione sovraorganizzata del cloud”.

Luigi Oliveri: “In generale il sistema Consip/Anac si presta a molte critiche. Alcune delle osservazioni dell’accusa paiono forti e fondate, del resto si tratta di un bando molto travagliato, non a caso. Eppure, almeno in prospettiva, l’esperienza appare estremamente interessante. Pur con i difetti evidenziati, l’idea del “configuratore” appare nella giusta direzione, almeno per servizi, come quello di un cloud, per la PA, che non può non basarsi su standard progettuali condivisi, in modo da evitare la frammentazione dei dati, della loro conservazione del loro interscambio, che da sempre caratterizza il nostro Paese. Tanto che un’unificazione forzata dell’accesso a questi servizi in astratto appare addirittura auspicabile, se non riduce la concorrenza. A questo proposito, il passo in avanti decisivo potrebbe e dovrebbe consistere nel migliorare decisamente la qualità dei progetti. Se la PA fosse in grado di realizzare progetti dettagliati, con kpi precisissimi, standard di servizio credibili, si potrebbe giungere al beneficio della sostanziale “indifferenza” dell’operatore economico. Basterebbe infatti l’operazione delicata dell’accreditamento (come avviene nei servizi per il lavoro e della formazione), con la quale si pre-selezionano tutti gli OE capaci di realizzare con stessa efficacia i progetti nel rispetto degli standard. A quel punto, il configuratore che sottrae discrezionalità alla scelta andrebbe più che bene, come andrebbe bene addirittura il sorteggio. L’alternativa è, semmai, abbandonare gli equivoci e le zone grigie ed assegnare alla PA la totale discrezionalità, anzi arbitrarietà, della scelta del Vendor: cosa che sarebbe possibile se davvero si fosse in grado di valutare l’operato pubblico in base ai risultati. Ma, occorre applicare e rispettare le norme. Nelle sue molte imperfezioni, dunque, il sistema immaginato dalla Consip si auspica apra una strada nuova”.  

Nazzareno Prinzivalli: “Indipendentemente dal “fabbisogno” si assegna “a forza” la soluzione tecnicamente più “avanzata”. Se tra i fornitori ci sta la Ferrari, e la Ferrari ha la macchina più veloce, e tra i criteri di scelta ci sta la velocità della macchina, la Ferrari prende il punteggio più alto. Quando tu richiedi semplicemente un mezzo di locomozione, il configuratore ti assegna sempre la macchina migliore cioè la Ferrari. Quindi ti becchi la Ferrari, indipendentemente dal fatto che hai bisogno solo di andare a far le spesa e non correre in Formula 1. Fuor di metafora, tutta l’impalcatura tecnica è tarata su esigenze di enti di medio-grandi dimensioni e con applicazioni già cloud native. Ci sono parecchie domande da farsi del perchè di questi criteri e soprattutto a chi servono?.
In base a quali dati sulla PA italiana decidono che serve avere più di 3 availability zones in ogni regione? E perchè ci interessa delle regioni estere? Perchè regioni in Europa e non in Italia? Che differenza fa realmente una SLA tra 99.995 e 99.99 visto che le applicazioni che vengono messe non hanno SLA e cadono allegramente? Quante volte avete sentito “problemi al computer”? La PA italiana ha una SLA? Non mi pare. Rotte statiche sulle VPN suvvia… abbiamo le intraneet peered che hai bisogno di sta roba? Granularità snapshot PITR? Ma e già tanto se fanno un backup ogni sei mesi…Partnership con 2 exchange a livello europeo? Tutta la PA italiana sempre connessa con le applicazioni estere? Suvvia…Poi questa: Supporto Serverless e Supporto Container… ma non era un bando IaaSe a PaaS, che c’éntra il FaaS (Function…)? A nostro avviso, si dovrebbe pensare ad un sistema cloud, inteso come PaaS e IaaS, solo per il minimo comune multiplo, ovvero VM accessibili in maniera standardizzata. La PA non dovrebbe deployare nulla in un cloud che non si possa portare su un’altro. Tecnicamente è fattibilissimo ma i vendor mettono lacci e lacciuoli a tutti i livelli ovviamente”.

Francesca Ricciulli: “Ritengo che per svolgere un’analisi approfondita della gara in oggetto vada considerata la strategia sul cloud della PA nel suo complesso rispetto alla cui evoluzione la governance del digitale deve essere chiara con amministrazioni e operatori economici.

Stando al Piano triennale per l’informatica nella pa attualmentevigente, però, la gara oggetto della simulazione rientra pienamentenella strategia sulle infrastrutture delineata nel documento che riguarda, oltre al cloud, anche data center e connettività.

La gara ha una portata nazionale, è volta a supportare le singole amministrazioni – pur essendo diretta soprattutto ad alcune – cherichiedono standardizzazione e la sua struttura (lotti, requisiti richiesti, rapporto tra componente tecnica ed economica) risente inevitabilmente della particolarità del prodotto oggetto di acquisto. Non si tratta di un appalto informatico qualsiasi. Il cloud, infatti, è una tecnologia molto particolare che pone diverse criticità. Ciò non deve comportare ovviamente la violazione dei principi nazionali ed eurounitari in materia di contratti pubblici. 

Ritengo, in generale e con riferimento al rischio paventato della possibile formazione di un monopolio, che si debba lavorare anche sugli altri strumenti messi a disposizione da Consip per l’approvvigionamento del cloud da parte delle pa. La piattaforma Cloud Marketplace dell’AgID consente alle amministrazioni di consultare e confrontare le infrastrutture e i servizi cloudqualificati per la PA sulla base di parametri tecnici e funzionali, rimandando la fase di acquisizione agli strumenti previsti dalla normativa vigente, tra i quali rientrano anche le gare strategiche.

Come dimostra l’esperienza internazionale, sarebbe opportuno far evolvere il catalogo in un vero e proprio marketplace dei servizi qualificati. Attualmente, infatti, il catalogo consente alle amministrazioni di verificare unicamente quali siano i soggetti e i servizi tra cui scegliere: si tratta, in poche parole, di un elenco da consultare parallelamente alla procedura di acquisizione a norma del D.lgs. n. 50/2016. L’evoluzione del catalogo in un vero e proprio marketplace potrebbe consentire alle amministrazioni di scegliere e acquistare direttamente in piattaforma; in questo modo, quindi, si agevolerebbe l’acquisto di cloud, rendendolo più veloce e – al tempo stesso – più semplice”.

Il “semplice” processo simulato ha, però, avuto delle conseguenze

La gara bandita dalla CONSIP il 18/12/2019 la cui scadenza, dall’originaria data del 2 marzo 2020 era stata rinviata il 14 luglio, ha subìto, per “mera coincidenza”, dopo il webinar ( tenutosi il 13 luglio), un ulteriore ennesimo rinvio al 6 agosto. Ma la novità non è solo la proroga, ma anche la modifica del capitolato d’oneri. 

Chissà se per la gara Consip, queste saranno le ultime modifiche? O ci sarà ancora spazio per ulteriori variazioni? 

Al di là delle diverse opinioni, dell’illegittimità del bando e dell’esito di un processo, che nella realtà in tanti vorrebbero ma non c’è, poniamo al lettore una banale riflessione: Le tre leggi della robotica e soprattutto la legge “zero” di Osimov nel futuro del mondo digitale sono ancora valide?  Tenendo sempre ben a mente che “Un robot non può recare danno all’umanità, né può permettere che, a causa del proprio mancato intervento, l’umanità riceva danno” .