Sono state approvate, e a breve verranno pubblicate in Gazzetta Ufficiale, due circolari AGID (numeri 2 e 3 del 9 aprile 2018) contenenti i requisiti per ottenere la qualificazione di fornitori di servizi Cloud alle pubbliche amministrazioni.

Nello specifico dette circolari contengono i requisiti organizzativi, di sicurezza e conformità legislativa che deve dimostrare di possedere chi sia interessato a qualificarsi come fornitore di servizi cloud per la pubblica amministrazione, e sono altresì definite le procedure da seguire per ottenere la qualificazione.

Le circolari realizzano gli obiettivi della strategia “Cloud” del Piano Triennale per l’informatica nella Pubblica amministrazione 2017-2019 e prevedono due tipologie di qualificazione:

  1. qualificazione per fornire i servizi Cloud Service Provider (CSP) per la PA e
  2. qualificazione per fornire i servizi Software as a Service (SaaS) per il Cloud della PA.

Nelle circolari sono indicate le modalità attraverso cui i Cloud e i software provider possono fare richiesta di qualificazione e, in caso di accoglimento, registrarsi nel Marketplace Cloud dei servizi IaaS e PaaS, inserendo i propri servizi Software all’interno del Marketplace Cloud come fornitori qualificati.

Con il termine “servizi IaaS” si fa riferimento a servizi Cloud in cui vengono fornite funzionalità Cloud di tipo infrastrutturale, mentre la categoria di “servizi PaaS” fa riferimento a servizi Cloud in cui vengono fornite funzionalità di tipo programmatico.

I servizi SaaS sono servizi completi in cui il gestore del servizio si occupa della predisposizione, configurazione, messa in esercizio e manutenzione dello stesso (utilizzando un’infrastruttura Cloud propria o di terzi), lasciando al fruitore del servizio esclusivamente il ruolo di utilizzatore delle funzionalità offerte.

La richiesta di qualificazione per erogare i suddetti servizi per le P.A., può essere effettuata da soggetti privati o da fornitori CSP qualificati. Una volta ottenuta la qualificazione si può richiedere l’inserimento nel Marketplace Cloud dei servizi Cloud per la pubblica amministrazione.

Il processo di qualificazione è articolato in tre fasi:

  1. Richiesta di qualificazione
  2. Conseguimento della qualificazione
  3. Mantenimento della qualificazione (Monitoraggio)

I requisiti per la qualificazione, definiti negli allegati alle circolari, si suddividono in:

  1. Requisiti organizzativi
  2. Requisiti specifici

I requisiti specifici sono ulteriormente raggruppati in requisiti di sicurezza, privacy e protezione dei dati, performance e scalabilità, interoperabilità e portabilità e conformità legislativa.

A supporto del processo di qualificazione è prevista l’attivazione di una piattaforma AGID dedicata ed integrata con il Marketplace Cloud. Tale piattaforma è abilitata ad accedere tramite SPID e trasmettere telematicamente i documenti.

La richiesta per la qualificazione deve essere trasmessa ad AGID tramite l’anzidetta piattaforma dedicata, fornendo tutte le informazioni richieste e dimostrando il possesso dei requisiti precisati negli allegati alle circolari.

AGID ovviamente si riserva il diritto di verifica del possesso e del mantenimento dei requisiti in qualsiasi momento, anche mediante l’ausilio di soggetti terzi.

Al fine del mantenimento della qualifica, il soggetto richiedente dovrà impegnarsi a comunicare tempestivamente all’Agenzia ogni evento che modifichi il rispetto dei requisiti dichiarati. La perdita del possesso dei criteri di ammissibilità e/o di almeno uno dei requisiti, comporterà la revoca della qualificazione.

Prima di procedere alla revoca, AGID comunicherà al fornitore la decisione con congruo preavviso, in modo da consentirgli di presentare eventuali controdeduzioni. Qualora il fornitore non fornisca nei termini controdeduzioni o nel caso di mancato accoglimento delle stesse da parte di AGID, si procederà alla revoca effettiva della qualificazione con contestuale cancellazione del service provider dal Marketplace Cloud. In tal caso, il fornitore non potrà presentare una nuova richiesta di qualificazione se non saranno venute meno le cause che hanno determinato la revoca.

 

Avv. Federica Spuri Nisi