Per le Pubbliche Amministrazioni e per gli operatori Economici che hanno la PA come oggetto del proprio business, è arrivato un cambiamento importante: a partire dal 1 gennaio 2024 è diventato pienamente operativo il nuovo Codice dei Contratti Pubblici.

Un cambiamento importante che mostra i suoi effetti immediati più dirompenti nei piccoli e piccolissimi Enti, ovvero strutture che non sono dotate di un vero e proprio ufficio gare e che quindi assorbono con difficoltà i cambiamenti, specie quelli che non siano accompagnati da chiarezza operativa, da opportuni strumenti di formazione e un servizio assistenza.

Se è vero che questa norma è in vigore dal 1 aprile 2023, direi che fare una opportuna campagna informativa e di sensibilizzazione, creare occasioni per la formazione e riqualificazione del personale della PA, aggiornare le procedure informatiche delle Piattaforme, e organizzare un efficiente servizio di assistenza, erano sicuramente obbiettivi raggiungibili.

In realtà di tutto questo c’è ben poco e le micro PA, che fanno ricorso normalmente a semplici affidamenti diretti, si sono ritrovate a passare dalla veloce compilazione di una maschera per l’assegnazione del famoso codice CIG, alla necessità di dover gestire l’intero “ciclo del contratto” all’interno delle piattaforme di approvvigionamento digitali certificate, come ad esempio il MEPA.

Ma si tratta di un processo complesso che ha bisogno di mesi per poter entrare a regime e non si può certo improvvisare dall’oggi al domani.

La PA infatti deve:

• scegliere la piattaforma da utilizzare (es. MEPA)
• svolgere i necessari adempimenti per poter operare
• scegliere le persone che potranno operare e definire il ruolo di ogni uno (fondamentale il ruolo del RUP)
• imparare ad usare la piattaforma
• verificare che l’operatore economico da incaricare per la fornitura sia già registrato nella piattaforma; in caso contrario chiedere all’operatore economico di effettuare la registrazione.
• iniziare una nuova negoziazione, per esempio, con una procedura di RdO (richiesta di offerta) all’interno della quale si procede poi alla richiesta del CIG.
• ed in fine solo dopo tutte le fasi previste, procedere con l’assegnazione della fornitura.

E gli operatori economici? 

Specie quelli piccoli che normalmente sono utilizzati dalle piccole PA per le forniture che sono quasi esclusivamente sottosoglia?

Chi si è preoccupato di offrire strumenti di formazione in tempo utile ad arrivare alla scadenza preparati?

E se un operatore ha 100 PA come clienti e ogni una deciderà di utilizzare una diversa piattaforma, come potrà imparare ad utilizzarle tutte, adempiere a tutta la burocrazia connessa per poter operare, oltre che mantenere le registrazioni nel tempo?

Una situazione che sembra ripetersi spesso: un groviglio di norme, un arcipelago di piattaforme da usare poco funzionali e tutt’altro che intuitive e una completa inconsapevolezza del legislatore di quale sia la realtà negli uffici della PA.

Un aspetto quest’ultimo che nessuno ha il coraggio di affrontare: potremmo scoprire che stiamo costruendo una cattedrale su fondamenta di fango!

Whislteblower in inglese significa “soffiatore di fischietto”, colui che richiama o chiede attenzione su attività non consentite o illegali per poterle fermare. Quindi il segnalante è la persona che lavora in un’organizzazione (privata o pubblica) che durante la sua attività lavorativa ha rilevato e decide di segnalare un illecito, una frode o un pericolo. Di conseguenza il whislteblowing è la pratica per segnalare le violazioni di leggi o regolamenti, reati e casi di corruzione o frode, ma anche situazioni di pericolo per la salute e sicurezza pubblica.

Il 17 dicembre 2023 le organizzazioni con almeno 50 dipendenti, secondo il Dlgs 24/2023 in attuazione di alcuni principi comunitari nella direttiva Ue 2019/1937, impone l’adozione di sistemi di segnalazione aziendale degli illeciti. La normativa richiede l’adozione di piattaforme o altri sistemi definiti per la segnalazione sicura, garantendone la riservatezza dell’identità e dei dati personali del segnalante. Tramite una valutazione d’impatto sulla protezione dei dati e disciplinando il rapporto con eventuali fornitori esterni, le organizzazioni devono stabilire un proprio modello di ricevimento e gestione delle segnalazioni interne, dando evidenza delle misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato.

Le sanzioni (da € 10.000 a € 50.000) sia nel caso che Anac accerti la mancanza di istituzione dei canali di segnalazione e che le segnalazioni non sono state gestite o che accerti dei tentativi di ostacolare la segnalazione.

La strategia della crescita digitale del nostro paese ed in particolare della Pubblica Amministrazione (PA), ma anche l’evoluzione del lavoro in smart working, prevede in modo deciso l’adozione di sistemi in CLOUD. Agid, sia in vari decreti che nei vari Piani Triennali per l’informatica evidenzia come il cloud sia la scelta prioritaria in ogni circostanza nella quale si contratta o si pianifica una nuova fornitura. Il cloud, o la nuvola come a volte viene chiamata, non è nulla di astratto, ma potremmo definirlo come il server o i sistemi che qualcun’altro vi mette a disposizione tramite internet. Esistono principalmente 3 tipologie di servizi basati sul cloud computing e servono ad offrire prodotti e servizi direttamente in cloud, senza dover scaricare nulla sul proprio PC.

Ogni amministrazione deve procedere in modo graduale e coerente con le proprie caratteristiche e possibilità di spesa, definendo quali servizi utilizzare.

Proviamo a elencare le prime scelte possibili per le organizzazioni:

1. APPLICATIVI IN CLOUD (SaaS)

Il SaaS è un modello di distribuzione del software (gestione degli Uffici, degli Albi, della contabilità, videoconferenze, backup, ecc.) in cui un produttore sviluppa, opera e gestisce un’applicazione web, mettendola a disposizione dei propri clienti via Internet. In questo modo un’organizzazione può accedere alle varie applicazioni che ha comprato tramite un’interfaccia Web. 
Si tratta della soluzione più semplice ed auspicabile per ogni amministrazione, che evolve i vecchi applicativi, installati localmente, che vengono riscritti in modalità cloud dalla stessa organizzazione o da un fornitore terzo e utilizzati attraverso internet. 
Nel caso il software sia realizzato da un fornitore terzo, come potrebbe essere TECSIS, tutto l’onere della gestione, dell’amministrazione e della sicurezza, sono a carico del fornitore e l’organizzazione si limiterà esclusivamente a pagare un canone per l’uso del servizio.

2. SOLO FILE IN CLOUD 
   Oltre ai software l’organizzazione possiede un archivio documentale da dover gestire e sempre più condividere con gli altri. La scelta di spostare in cloud tutti i file, o almeno inizialmente una parte, potrebbe essere la cosa più semplice da cui iniziare.

A volte l’organizzazione possiede già lo strumento, ma non ha ancora iniziato ad utilizzarlo.

3. SERVER IN CLOUD (IaaS) 
   IaaS è un outosurcing evoluto di tutte le risorse ICT. Il principio, infatti, è che grazie a una programmazione software di nuova generazione le risorse fisiche (qualsiasi risorsa fisica) si trasforma in una risorsa logica. Così si possono softwarizzare i server, gli storage, le appliance, gli switch, gli apparati di sicurezza, i firewall, i router e via dicendo. Oggi i provider sono arrivati a poter offrire in cloud gran parte della rete. In pratica, sul cloud può risiedere un intero data center virtuale.

L’organizzazione con il pagamento di un canone può definire cosa affitta, dal server all’intera infrastruttura ed è qui che è importante effettuare delle valutazioni sui costi per capire fino a dove ha un senso virtualizzare tenendo presente che la gestione di tutta la sicurezza rimane in carico all’organizzazione stessa.

Il cloud è sicuramente un’opportunità da sfruttare al meglio, ma è necessario analizzare e adattare alle proprie caratteristiche, contemperando esigenze prestazionali e disponibilità di spesa.

TECSIS è specialista nella gestione di infrastrutture e servizi qualificati in cloud e nella realizzazione di prodotti SaaS per gli Ordini Professionali offrendo tutta la competenza ed il supporto necessario per operare la ormai nota “svolta verso il cloud”.

Riferimenti:

https://www.agid.gov.it/sites/default/files/repository_files/piano_triennale_per_linformatica_nella_pa_2022-2024.pdf

https://it.wikipedia.org/wiki/Software_as_a_service

Sicuramente si sa, il mondo della tecnologia è un mondo sempre più frenetico dove stare al passo può risultare spesso difficile. Gli strumenti di sviluppo software evolvono a velocità esponenziale anno dopo anno e la scelta corretta di quest’ultime per un progetto è fondamentale.

Lo abbiamo visto con i nostri applicativi Iride, Conto ed IrideDoc che nonostante ad oggi sentano il peso del 20ennio alle spalle possiamo dire che sono invecchiati piuttosto bene.

Ora con i nostri nuovi progetti di applicativi in cloud, dopo un’attenta analisi, abbiamo scelto quelle che sono le tecnologie ed i framework di riferimento negli ultimi anni, per realizzare software sicuri, performanti e che (come i loro predecessori) con l’opportuna manutenzione possano dare soddisfazioni ai nostri clienti per diversi anni.

Le tecnologie e gli strumenti che utilizziamo possono essere divise in tre macroaree:

• Backend
• Frontend
• Cloud infrastructure

1. Backend 

La parte del backend è tutto quello che sta “dietro le quinte”. Si occupa della gestione delle informazioni e di tutte quelle che sono le logiche applicative legate ai processi dell’applicazione. In particolare, di persistenza e disponibilità delle informazioni, validazione e coerenza dei dati, elaborazioni, importazioni ed esportazioni.

Per tutto questo utilizziamo il framework .NET (ex .NET Core) che è una piattaforma per sviluppatori open source multipiattaforma creata da Microsoft ed utilizzata per lo sviluppo di applicazioni ad alte prestazioni e su larga scala.

Riguardo alla persistenza dei dati continuiamo ad affidarci, come già facciamo da molto tempo, al database Microsoft SQL Server che, anche grazie alla sua lunga storia, rimane tutt’oggi uno dei punti di riferimento per la gestione di database relazionali anche di grandi dimensioni.

2. Frontend 

Il frontend invece è l’interfaccia utente, banalmente “quello che si vede”. Qui è importante l’aspetto grafico ma ancora di più tutti gli spetti di accessibilità e user-experience, che curiamo attentamente rispettando le linee guida AGID sull’accessibilità.

Per realizzare questo utilizziamo React. Una libreria open source per la realizzazione di interfacce utente realizzata da Meta (ex Facebook)

3. Cloud infrastructure 

Un applicazione cloud necessita di un’infrastruttura in cui essere eseguita. Noi da sempre per i nostri servizi di cloud computing utilizziamo Microsoft Azure. Piattaforma cloud appunto di Microsoft certificata anche presso il cloud marketplace ACN (Agenzia per la cybersicurezza nazionale).

Sincronizzazioni con i nostri prodotti 

Il valore aggiunto dei nostri applicativi è l’ecosistema che si crea con essi. Tutti i nostri applicativi sono interconnessi per scambiarsi le informazioni di cui hanno bisogno per velocizzare le operazioni amministrative. Un esempio degno di nota è l’integrazione tra IrideOnline ed IrideDoc. Grazie alla quale IrideDoc può vedere in IrideOnline le istanze da protocollare o i documenti relativi a delibere pronti per essere protocollati con un solo click. Oppure Conto che può vedere su IrideOnline i pagamenti per poter fare la riconciliazione finanziaria e la contabilizzazione dei PagoPa.

La migrazione al cloud porta appunto come valore aggiunto anche maggiori interconnessioni tra applicativi. Quindi sincronizzazioni di questo tipo aumenteranno sempre di più man mano che la migrazione di tutti gli applicativi TECSIS al cloud procederà.

Fonti:

https://learn.microsoft.com/it-it/dotnet/core/introduction

https://react.dev/

https://it.wikipedia.org/wiki/Microsoft_Azure_(piattaforma)

https://catalogocloud.acn.gov.it/service/1019 (e altri, certificano ogni singolo servizio, non tutta la piattaforma)

La protezione delle informazioni, e dunque la sicurezza dei dati è un aspetto importante e fondamentale per salvaguardare il benessere dell’organizzazione e la sua durata nel tempo. I dati sono diventati nel tempo un bene da proteggere perché hanno acquistato sempre più valore ed è il motivo per il quale TECSIS ha sempre cercato soluzioni e sistemi innovativi per poterli gestire in sicurezza.

Come proteggere i dati da quando il GDPR ha definito che ogni organizzazione debba trovare misure tecniche e organizzative adeguate?

Questo cambiamento obbliga le organizzazioni a valutare il rischio e a definire in autonomia quali sono le misure da adottare o i processi da modificare per migliorare la propria sicurezza interna. Agid già nel 2017 ha emanato le Misure minime di sicurezza ICT per le PA dove definisce un elenco di misure da adottare a 3 livelli di adeguamento: minimo, standard e avanzato. Ogni PA è obbligata a rispettare almeno il livello minimo, poi in base a dimensione ed esposizione al rischio si scala allo standard e all’avanzato, questo ha portato ad un miglioramento delle sicurezza.

TECSIS ricopre per diversi clienti la figura dell’Amministratore di Sistema che ha anche il compito di predisporre periodicamente, relazioni sulla singola infrastruttura evidenziando eventuali situazioni da correggere e propone dei possibili miglioramenti. Prestiamo particolare attenzione nella gestione dell’autenticazione e delle autorizzazioni per far accedere ai dati solamente chi realmente ne ha i permessi e veniamo costantemente aggiornati dai sistemi in caso di problematiche, per essere così proattivi nella risoluzione di quest’ultimi. Inoltre, grazie alle segnalazioni del cert-agid siamo a conoscenza di quali vulnerabilità vengono scovate nel sistema in modo da poter operare le azioni necessarie a mitigare la vulnerabilità.

La sicurezza delle informazioni non si basa esclusivamente sulla sicurezza applicata grazie a sistemi con l’uso di hardware o software, ma in questo momento di transazione al digitale, anche gli ordinari processi devono essere rivisti. È per questo che grazie ad un gruppo di clienti valutiamo il singolo processo ed ognuno contribuisce con le proprie competenze in modo da avere un risultato che rispecchi le necessità normative e di sicurezza.

Ultimo, ma non per questo meno importante è il fattore umano che, se vogliamo è il più fragile e più a rischio perché a volte la sicurezza delle informazioni garantisce che i dati siano trattati in modo sicuro, ma non si preoccupa di aver reso più complesso l’intero processo di lavoro. Diviene così di fondamentale importanza equilibrare la sicurezza e la complessità delle procedure, formando e informando il personale delle variazioni sui processi e sugli aspetti di sicurezza.

Concorderemo tutti nel dichiarare che la sicurezza delle informazioni è un percorso che necessita di investimenti continui nel tempo anche solo per aggiornamenti formativi. TECSIS si mette a disposizione per ricercare migliori e più sicure soluzioni e grazie alla formazione potrete raggiungere la giusta consapevolezza ed operare in sicurezza.

TECSIS è da sempre attenta agli aspetti della sicurezza e da tempo aspirava a certificare le sue prassi di lavoro secondo gli standard ISO. Proposito che si è poi rafforzato nel momento in cui AGID ha introdotto il concetto di qualificazione dei servizi in CLOUD. La certificazione di qualità era infatti un passaggio propedeutico al fine di essere inseriti nell’apposito marketplace dei prodotti e servizi destinati alle Pubbliche Amministrazioni.

Il processo di certificazione, in base a specifici criteri di qualità è cominciato tra la fine del 2018 e inizio del 2019. Una sfida non indifferente per le nostre dimensioni e l’obbiettivo era di arrivare a certificare l’Azienda e i suoi prodotti secondo le norme ISO 9001:2015, ISO 27001:2013, ISO 27017 e ISO 27018. Il periodo pandemico ci ha poi costretti a sospendere il percorso. La priorità era infatti diventata quella di seguire e affiancare gli Ordini dei Medici nei difficili mesi dell’emergenza. In questo periodo di sostanziale chiusura di tutti gli uffici pubblici, ci siamo concentrati nella digitalizzazione dei procedimenti amministrativi, procedure in cloud che hanno potuto sbloccare l’iscrizione di nuovi Medici e permettere di avere sanitari nelle corsie degli Ospedali. Un caso di successo che è stato possibile anche grazie alla corsia Preferenziale che AGID ci ha riservato per attivare la convenzione che ci ha visti diventare primi “Soggetti Privati Aggregatori di Servizi pubblici”. Uno status che risultava essenziale per l’attivazione del sistema di autenticazione SPID, necessario a dare i necessari presupposti di legalità alle interazioni tra Medici e Ordine.

Il processo di certificazione ha ripreso vigore a marzo del 2022. Per nostra fortuna, TECSIS si era già dotata di un sistema organizzativo e della sicurezza, ben strutturati. Da qui, il lavoro si è basato essenzialmente nel descrivere il nostro reale metodo di lavoro e per gli ispettori della certificazione è stato piuttosto semplice effettuare le verifiche che ci hanno portati ad acquisire tutte le certificazioni.

A questo punto, per raggiungere i traguardi prefissati, mancava solo lo scoglio della qualificazione AGID, che però nel frattempo si era vista sfilare la competenza a favore dell’ACN (Agenzia Cybersicurezza Nazionale); altro cambiamento che ci ha un pochino rallentati ma, con tenacia, anche su questo fronte siamo giunti alla meta. Ad Aprile 2023 i principali software di TECSIS hanno ottenuto anche la qualificazione ACN! Essere virtuosi e trasparenti, riteniamo che sia la via più concreta per aspirare ad “essere un punto di riferimento per gli Ordini Professionali”.

Impariamo dai nostri errori provando a prevenirli attuando le strategie per il continuo miglioramento. 

Visita le nostre qualificazioni nel Cloud Marketplace ACN:

👉 https://catalogocloud.acn.gov.it/service/3065

👉 https://catalogocloud.acn.gov.it/service/3066

 👉https://catalogocloud.acn.gov.it/service/3067

 👉https://catalogocloud.acn.gov.it/service/3068