Nuovo CAD, Ameq: “A rischio i controlli sui contratti informatici della PA”

La riforma del CAD sta prendendo forma e sembra arrivare al traguardo in tempi brevi. A guardare il testo nel suo complesso appare evidente lo sforzo di creare un nuovo scenario normativo della informatizzazione della PA che sia organico, ispirato ad obiettivi di semplificazione, di chiarezza delle competenze dei vari attori, di trasparenza procedurale, di contenimento della spesa pubblica e di efficacia degli interventi.

La prima difficoltà che gli esperti del Ministro Madia si sono trovati ad affrontare è stata sicuramente la massa di norme susseguitesi nel tempo tra le quali mettere ordine, la loro diversa gerarchia e i vincoli derivanti dalla delega legislativa. Inoltre non può non spaventare il legislatore l’insoddisfacente grado di osservanza della legislazione vigente nel settore ICT da parte delle amministrazioni e la storia non esemplare in termini di continuità, di risultati e di efficacia, della governance del settore, passata da una Autorità ad una Agenzia, dall’AIPA al CNIPA, a DigitPA, all’AgID di oggi e a quello che dovrà essere l’ AgID di domani.

E’ quindi forse comprensibile che nel rimettere in ordine questo gigante e traballante puzzle normativo e organizzativo possa non essere stata ben ricollocata o, peggio, essersi del tutto smarrita, qualche tessera importante.

Ed è ciò che è accaduto a proposito dell’art. 13 del Dlgs39/1993, la cui abrogazione è prevista all’art. 64 del nuovo CAD, il quale regola l’obbligo da parte delle Amministrazioni Pubbliche di effettuare il monitoraggio dei contratti informatici “di grande rilievo”.

In che consiste questo monitoraggio e chi lo può fare?

Nel secondo comma dell’art. 13 del Dlgs 39/93 si stabilisce l’obbligo per le amministrazioni di sottoporre a “ monitoraggio” tutti i contratti ICT di “grande rilievo”, ovvero quelli di valore superiore ai 25 milioni di Euro e/o di importanza strategica per il Paese. Le attività di monitoraggio sono regolate da specifiche circolari (che traggono la loro legittimità da quello stesso art.13) emanate da AgID che ne definiscono perimetro e contenuti prevedendo, in sostanza, il controllo in itinere dei contratti in merito alla efficacia delle prestazioni e al controllo dei costi, nonché il supporto alle amministrazioni per la governance ICT. Tra le attività di monitoraggio sono oggi comprese la realizzazione degli studi di fattibilità ex-ante (previsti nel primo comma del citato articolo 13) e la verifica ex-post del rispetto dell’analisi costi/benefici, compresa negli studi stessi.

In sostanza nell’articolo 13 si delineano le “buone pratiche” da seguire da parte delle amministrazioni per la gestione del ciclo di vita dei contratti ICT di grande rilievo,

introducendo concetti di verifica e controllo delle fasi di progettazione e realizzazione dei servizi ICT in linea con quelli già esistenti per i lavori pubblici, stabilendo l’incompatibilità tra chi progetta i servizi (mediante l’esecuzione degli studi di fattibilità) e chi poi li eroga (i fornitori dei servizi ICT).

Ma c’è di più: nell’articolo 13, ed in altra normativa di livello regolamentare, si prevede che il monitoraggio debba essere svolto dalle amministrazioni con proprio personale, oppure da società specializzate ed indipendenti da chi eroga i servizi ICT. A questo scopo AgID gestisce specifici elenchi di soggetti titolati ad effettuare le complesse attività di monitoraggio, suddividendoli in “ monitori interni” alle amministrazioni, cioè gruppi di personale delle amministrazioni stesse, e “ monitori esterni ”, ovvero società esterne la cui iscrizione nell’elenco avviene con procedure che vagliano sia le competenze tecniche, sia l’effettiva indipendenza dai fornitori di servizi ICT.

Nel corso del tempo AgID, riconoscendo (con le sue parole) che i risultati dei monitoraggi effettuati “ hanno messo in luce un generale sottodimensionamento delle strutture di governo delle Amministrazioni e la forte carenza di risorse umane con specifica competenza ”, ha ampliato il perimetro e gli obiettivi del monitoraggio, (inizialmente focalizzato su controlli molto tecnici di contratti già esistenti) introducendo la funzione di “ Direzione Lavori ” ed estendendo le attività all’intero ciclo di vita della fornitura ( dagli studi di fattibilità al supporto alla redazione per gli atti di gara).

L’applicazione del monitoraggio dal 1993 ad oggi ha consentito alle amministrazioni che se ne sono avvalse il conseguimento di numerosi benefici in termini di miglioramento della qualità dei servizi erogati e risparmi (a volte ingenti) sui costi dei contratti informatici, mettendo a disposizione le necessarie competenze per le complesse attività di controllo e razionalizzazione ( oggi sono presenti solamente otto gruppi interni di monitoraggio delle amministrazioni, alcuni dei quali coadiuvati anche da monitori esterni ). Da ultimo, ma non meno importante, il supporto del monitoraggio ha consentito la semplificazione del dialogo e continuo tra committente e fornitori con relativa riduzione del contenzioso, riportando le “ leve della governance ” nelle mani delle amministrazioni e garantendo anche maggiore trasparenza sugli appalti pubblici del settore.

Anche AgID ha beneficiato dei risultati del monitoraggio potendo disporre di dati “ dettagliati e certificati” sull’andamento dei contratti ICT, importantissimi per avere il quadro complessivo dell’informatica nella PA e sintetizzare le necessarie azioni di pianificazione e controllo.

La presenza di monitori esterni, tuttavia, a qualche amministratore è apparsa talvolta invadente ed ingombrante, preferendo non disporre di alcun “mediatore” nel rapporto con i fornitori, indipendentemente dalle proprie capacità di governance.

Peccato che del monitoraggio obbligatorio dei contratti di grande rilievo, e di tutto ciò che esso comprende, nel nuovo CAD non se ne parli più.

Tutti gli obiettivi, le funzioni e le attività sopra descritte, che erano alla base dell’abrogando art. 13, non cessano ad oggi di essere valide, attuali e fortemente necessarie, ma non trovano nel nuovo testo del CAD il necessario ancoraggio normativo. La relazione illustrativa dell’art. 64 del nuovo CAD nell’abrogare, insieme ad altre norme, l’articolo 13, spiega che questo avviene per scelta di semplificazione o perché le norme sono “superate”, si suppone, dalle nuove. Poiché il contenuto e gli obiettivi del vigente art.13 non sono “superati”, è giusto ritenere che sia caduto sotto la scure benefica della semplificazione. Salvo che, nella devoluzione delle norme di legge a regole di grado inferiore, il quadro in cui potrà continuare ad esercitarsi il monitoraggio dei contratti di grande rilievo si è del tutto perduto. O almeno non si distingue nel nuovo CAD.

AMEQ ritiene che la cancellazione del monitoraggio riporti indietro la governance dell’informatica nelle Pubbliche Amministrazioni di oltre due decadi, togliendo alle amministrazioni stesse e ad AgID i necessari strumenti di capacità, competenza ed indipendenza, assolutamente necessari per conseguire gli obiettivi generali, molto sfidanti in termini di pianificazione e controllo di costi e benefici, delineati dal combinato disposto della nuova legge di stabilità e dal nuovo CAD.

Come rimediare?

Non vale, secondo AMEQ, intervenire con un mero mantenimento in vita della vecchia norma, sia perché essendo nata nel 1993 richiede parecchia manutenzione ed aggiornamenti, sia perché andrebbe oggi ad operare in un contesto normativo del tutto nuovo, tale da renderla di difficile applicazione e comunque disarmonica.

La strada che sembra più coerente e “moderna” è quella di innestare tra i nuovi poteri devoluti all’AgID per la gestione e il monitoraggio del Piano Triennale per l’Informatica una serie coordinata di funzioni, tratte da quelle ora presenti nell’articolo 13, che consentano di attuare un processo efficace ed efficiente articolato in tre livelli attuativi, aggiungendo a quello complessivo, già previsto, il monitoraggio al livello dei progetti/iniziative ed il monitoraggio a livello dei singoli contratti che le attuano. In molte amministrazioni, infatti, l’informatica viene gestita mediante una miriade di contratti di servizi ICT, ben oltre la loro capacità di governo, ed è necessaria una governance complessiva ed efficace per conseguire gli obiettivi di razionalizzazione dei costi senza andare a scapito dell’efficacia dei servizi resi ai cittadini.

Ci si chiede come senza le “sonde” del monitoraggio competente ed indipendente presso le amministrazioni, il controllo in itinere degli stessi e la conseguente disponibilità di dati dettagliati e, specialmente, certificati, AgID possa effettuare un monitoraggio sostanziale e non meramente formale del Piano Triennale sulla base dei dati forniti dalle amministrazioni stesse.

Per questo fine si ritiene, inoltre, che non debba essere disperso il patrimonio di competenza ed indipendenza rappresentato dall’elenco dei monitori gestito da AgID, ad oggi l’unico riferimento certo per le amministrazioni che vogliano avvalersi di un supporto competente ed indipendente per la governance IT: il possesso dei requisiti di indipendenza e di competenza tecnica per svolgere attività così strategiche deve essere necessariamente valutato e certificato da un soggetto autorevole e, a sua volta competente, proprio come AgID.

Sarebbe anche interessante sapere cosa pensano l’Anac e il Commissario alla spending review del venir meno dell’obbligo di questi controlli sul campo. Prima che sia troppo tardi AMEQ richiederà anche di essere ascoltata in audizione dalle Commissioni affari costituzionali delle Camere per esporre preoccupazioni e proposte.