PAD, come certificare le piattaforme di approvvigionamento digitali

Le piattaforme di approvvigionamento digitali (PAD) sono le infrastrutture utilizzate dagli enti appaltanti per la gestione telematica degli affidamenti secondo quanto previsto dal Codice degli Appalti (Decreto Legislativo 36/2023), necessarie per lo svolgimento digitale dell’intero ciclo di vita dei contratti pubblici e parte integrante dell’ecosistema nazionale di approvvigionamento digitale (e-procurement).

È noto che le PAD utilizzabili dalle amministrazioni italiane sono solamente quelle che hanno completato l’iter di certificazione e conformità davanti all’Autorità per l’Italia Digitale (AgID). Tale procedura, oggetto di approfondimento nei paragrafi che seguono, ha l’obiettivo di garantire l’operatività e la sicurezza di utilizzo delle PAD oltre che l’integrazione con i servizi della Banca Dati Nazionale dei Contratti Pubblici (BDNCP) gestita da ANAC.

Oltre ad AgID, i principali attori coinvolti nell’iter di certificazione sono i Titolari delle piattaforme, ovvero i soggetti pubblici o privati che vantano diritti, anche non esclusivi, su uno o più componenti della piattaforma (ad es., gli sviluppatori delle PAD) e i Gestori delle piattaforme, ovvero i soggetti pubblici (come le stazioni appaltanti) o privati (incaricati dalle stesse stazioni appaltanti) che sono responsabili della gestione dell’esercizio della piattaforma e ne garantiscono il funzionamento e la sicurezza. Nulla vieta che in taluni casi titolare e gestore possano coincidere.

Certificazione e regole tecniche

La certificazione di AgID garantisce che le PAD utilizzate da stazioni appaltanti ed enti concedenti rispettino i requisiti legali, di sicurezza, funzionali e tecnici stabiliti dal Codice Appalti^[1] e, più nel dettaglio, dalle Regole Tecniche di AgID adottate il 1° giugno 2023 con Determinazione dell’autorità n. 137/2023^[2].

Le Regole Tecniche di AgID indicano i requisiti tecnici delle PAD, suddivisi in tre diverse classi:

• Classe I: requisiti generali derivanti dalle disposizioni del Codice dell’Amministrazione Digitale (CAD) e da altre norme di carattere generale (articolo 19, co. 1, Codice Appalti)
• Classe II: requisiti funzionali specifici (articoli 21, co. 1, e 22, co.2, Codice Appalti)
• Classe III: requisiti di interoperabilità con altre piattaforme e con le infrastrutture abilitanti la gestione del ciclo di vita dei contratti pubblici

L’accertamento dei requisiti riguarda ciascuna componente delle PAD, ovvero ogni servizio o sistema informatico che svolge una delle attività di cui all’art. 22 del Codice Appalti (accesso elettronico alla documentazione di gara, presentazione delle offerte, gestione del fascicolo di gara, etc.). Conseguentemente, la stessa certificazione AgID è rilasciata per ciascuna componente della piattaforma.

Certificazione PAD, la procedura

Riguardo la procedura da seguire per la certificazione delle singole componenti, le Regole Tecniche rimandano a un ulteriore documento di AgID, lo Schema Operativo^[3].

• L’iter di certificazione e conformità
• Richiesta di Certificazione

La procedura inizia con la richiesta presentata dal Titolare della piattaforma ad AgID, per la certificazione di una nuova componente o di una nuova versione di una componente già certificata che ne estende le funzionalità. La richiesta è trasmessa in formato elettronico all’indirizzo PEC dell’autorità tramite un modulo disponibile sul sito istituzionale^[4].

In allegato alla richiesta il Titolare trasmette un documento di autovalutazione della conformità della piattaforma alle Regole Tecniche di AgID, c.d. “checklist”, utilizzato anche come base per definire i test che il Gestore dovrà in seguito condurre sulla piattaforma.

Una volta ricevuta l’istanza, AgID verifica la completezza della documentazione trasmessa: nel caso in cui l’autorità riscontri carenze nell’istanza, provvede a inviare al Titolare una richiesta di integrazione che indica, fra gli altri, i tempi entro cui deve venire fatta l’integrazione, pena il rigetto dell’istanza stessa.

Verifica dei requisiti

Accertata la completezza dell’istanza, AgID avvia l’istruttoria dandone comunicazione al Titolare e trasmettendo l’identificativo della pratica.

Il “primo passo” della valutazione ha l’obiettivo di verificare che la piattaforma possieda i requisiti di Classe 2 “requisiti funzionali specifici”. Se l’istruttoria dà esito negativo, il procedimento si conclude senza l’emissione del certificato richiesto. In caso di esito positivo, invece, AgID ne dà comunicazione al Titolare, e contestualmente trasmette ad ANAC la richiesta di abilitare il Gestore della piattaforma all’accesso all’applicativo informatico che consente la verifica dei requisiti di classe 3 (“ambiente di test”).

In seguito all’abilitazione del Gestore, il Titolare fornisce a quest’ultimo la checklist validata da AgID così che possa procedere ad effettuare i test per la verifica dei requisiti di Classe 3 (requisiti di interoperabilità); gli esiti dei test compiuti dal Gestore confluiscono in una checklist aggiornata che deve essere trasmessa dal Titolare ad AgID entro 60 giorni dalla comunicazione di AgID sul positivo completamento del primo passo, pena il rigetto dell’istanza.

Decisione sull’istanza e certificazione dei componenti

La decisione sull’istanza di certificazione viene comunicata da AgID al Titolare. Se positiva, AgID trasmette al Titolare il certificato per il singolo componente della piattaforma, e provvede ad effettuare le relative comunicazioni ad ANAC così che quest’ultima possa aggiornare il Registro delle Piattaforme Certificate.

Comunicazione dei gestori autorizzati

A seguito dell’ottenimento del certificato per un componente di piattaforma, il Titolare comunica ad AgID i riferimenti dei Gestori della piattaforma ai quali intende concedere l’uso dei componenti autorizzati (se il Titolare ha anche ruolo di gestore è tenuto a comunicare tale circostanza con le stesse modalità). L’autorità verifica l’avvenuta certificazione dei componenti e invia ad ANAC le informazioni necessarie per l’aggiornamento della sezione del Registro delle piattaforme dedicata ai Gestori autorizzati. Il Titolare deve comunicare ad AgID qualsiasi variazione dei Gestori autorizzati, pena il possibile “ritiro” della certificazione.

Dichiarazione di conformità PAD: come funziona

Una volta completato l’iter di certificazione, i Gestori autorizzati che integrano uno o più componenti certificati su di una piattaforma e la mettono in funzione^[5], procedono al rilascio di una Dichiarazione di conformità, dopo avere effettuato i dovuti test di integrazione nell’ambiente di test messo a disposizione da ANAC.

La Dichiarazione di conformità è un documento in cui il Gestore attesta il rispetto dei requisiti generali di Classe 1 e garantisce:

• il rispetto dei requisiti ai fini dell’interoperabilità della piattaforma;
• la corretta abilitazione degli utenti in conformità alle Regole Tecniche;
• che la gestione e il monitoraggio della piattaforma avviene in conformità delle Regole Tecniche;
• che le attività svolte nella piattaforma assicurino il rispetto della protezione dei dati personali ai sensi della normativa nazionale ed europea sulla privacy;
• la conformità alle indicazioni delle Regole tecniche in tema di protezione dei dati personali, l’adempimento dell’informativa in relazione ai trattamenti e l’adozione di misure organizzative adeguate a garantire l’esercizio dei diritti degli interessati;
• in caso di ricorso a soggetti terzi, che sia stata effettuata la nomina del responsabile del trattamento, in conformità delle Regole Tecniche.

La Dichiarazione di conformità della piattaforma è poi trasmessa dal Gestore autorizzato ad AgID, che la comunica a sua volta ad ANAC al fine di aggiornare il Registro delle piattaforme certificate, nella sezione Piattaforme di approvvigionamento digitale che hanno ottenuto la “Dichiarazione di conformità di piattaforma”.

Il mantenimento della certificazione e i controlli post-certificazione:

Il certificato rilasciato al Titolare da AgID per un nuovo componente di piattaforma ha durata massina di un anno. Al fine del mantenimento della certificazione, il Titolare deve chiederne il rinnovo ad un organismo di valutazione terzo accreditato ai sensi dello standard ISO/IEC 17065, secondo la procedura individuata dallo Schema Operativo.

In particolare, è previsto che gli organismi di valutazione eseguano audit (a spese del Titolare) per verificare che i componenti delle piattaforme siano ancora conformi alle Regole Tecniche e allo Schema operativo dell’AgID. Nel caso in cui durante l’audit emergessero criticità, il Titolare deve fornire all’organismo di valutazione l’analisi delle cause e del rischio di estensione della non conformità ad altri elementi della piattaforma entro 30 giorni; inoltre, entro 90 giorni deve dare prova delle azioni correttive intraprese per risolvere tali criticità (in caso di particolare gravità le tempistiche potrebbero essere più brevi).

Se l’audit si conclude positivamente, l’organismo emette un certificato attestante la conformità dei componenti della piattaforma, che il Titolare provvede a comunicare ad AgID entro cinque giorni lavorativi

Il procedimento di ricertificazione deve essere effettuato ogni due anni.

Misure transitorie

Si segnala da ultimo che in forza dell’articolo 12, co. 16-quater, del decreto legge 2 marzo 2024 n. 19^[6], sino al 31 dicembre 2025 i titolari di piattaforme possono rinnovare i certificati già rilasciati da AgID e in scadenza sulla sola base di autodichiarazioni e all’esito dei relativi testi di interoperabilità, senza il coinvolgimento di un organismo notificato terzo.

[1] In particolare, dagli articoli 21,22,25 e 26 del D.lgs. 36/2023.

[2] “Requisiti tecnici e modalità di certificazione delle Piattaforme di approvvigionamento digitale” https://trasparenza.agid.gov.it/page/9/details/2894/adozione-del-provvedimento-requisiti-tecnici-e-modalita-di-certificazione-delle-piattaforme-di-approvvigionamento-digitale-ai-sensi-dellart-26-del-decreto-legislativo-31-marzo-2023-n-36-recante-codice-dei-contratti-pubblici-1372023.html.

[3] approvato con Determinazione Direttoriale dell’AgID del 25 settembre 2023 (https://www.agid.gov.it/it/piattaforme/procurement/regole-tecniche-procurement), integrato dalle indicazioni fornite sul sito di AgID nella sezione dedicata all’e-procurement.

[4] Sono definiti Gestori autorizzati i soggetti autorizzati dal Titolare ad utilizzare i componenti di piattaforma certificati, una volta che AGID ha rilasciato la certificazione per la singola componente.

[5] c.d. “istanza di piattaforma”.

[6] Convertito da Legge 29 aprile 2024, n. 56.