Fotografia di cerchi nel grano
Pratiche operativeProtocollo informaticoTrasformazione digitaleVetrina - critico

Communication breakdown: il caso delle piattaforme di approvvigionamento digitale

Francesco Del Castillo 0 Commenti , , ,

Torno sul tema del rapporto fra la digitalizzazione del ciclo di vita dei contratti pubblici e la gestione documentale e, in particolare sugli aspetti di scambio di dati e documenti fra gli attori coinvolti, che, per forza di cose, deve avvenire su canali affidabili e sicuri, in grado di dare certezza alle comunicazioni stesse. Dopo un paio d’anni, l’esperienza diretta sul campo offre uno spunto per qualche considerazione ulteriore e qualche indicazione pratica per fare sintesi in un panorama di norme e regole che non sempre vanno perfettamente a braccetto.

Uno dei leit-motiv ricorrenti nei recenti interventi di digitalizzazione è il “superamento della PEC“, strumento di recapito elettronico talvolta vituperato senza eccessive colpe. L’intervento di digitalizzazione del ciclo di vita dei contratti pubblici (sulla Bussola i riferimenti) non fa eccezione e, in questo caso, stare lontani dalla posta certificata è d’obbligo poiché, almeno in certi passaggi, bisogna unire alla certezza di invio e consegna anche la temporanea segretezza di alcune comunicazioni che, fino a una certo momento, devono essere inaccessibili a chiunque.

L’inquadramento normativo in breve

L’ultima edizione del Codice dei contratti pubblici dedica gli articoli da 19 a 36 (tutta la Parte II) a principi e dichiarazioni d’intenti per rendere interamente digitale la gestione del ciclo di vita dei contratti. Le discendenti Regole tecniche forniscono ulteriori dettagli e dettano i requisiti per le PAD – Piattaforme di Approvvigionamento Digitale. Queste sono, per l’appunto, lo strumento telematico (digitale) con cui le stazioni appaltanti gestiscono il ciclo di vita dei contratti, nel quale una delle tappe più articolate, da sempre, è quella dell’individuazione del contraente (fase dell’affidamento) tramite procedure più o meno complicate a seconda dei casi e, soprattutto, della quantità di denaro che gira. Le stazioni appaltanti, che devono in qualche modo qualificarsi dimostrando di possedere alcuni requisiti di qualità, devono anche dotarsi di una PAD che, a sua volta, deve essere preventivamente certificata dall’Agenzia per l’Italia Digitale. I requisiti tecnici (funzionali e di interoperabilità) per certificare una piattaforma di approvvigionamento digitale sono specificati nelle già richiamate Regole tecniche, che dettagliano anche la procedura di certificazione (per la quale è utile fare riferimento all’allegato 2 che contiene una checklist dei requisiti).

La comunicazione fra stazione appaltante e operatori economici

Le regole tecniche dedicano il paragrafo 3.3.1.4 alle “Comunicazioni digitali“, che rientrano fra i requisiti generali di una piattaforma (requisiti di classe 2-a nella nomenclatura tecnica specifica).

La ratio delle regole tecniche, relativamente alle comunicazioni, è che queste avvengano tramite la piattaforma in “un’area specifica di comunicazione fra stazione appaltante e operatore economico[1]Requisiti di sicurezza e certificazione delle comunicazioni non sono trattati in questo passaggio con eccesso di dettaglio, si fa riferimento solo a “tracciare nel registro ogni evento di invio … Continue reading.

Nelle regole tecniche i termini “PEC“, “posta certificata”, “posta elettronica”, “posta elettronica certificata”, “mail” compaiono in tutto due volte, al requisito [3.3.1.4-2].

[3.3.1.4-2] La piattaforma deve consentire alle stazioni appaltanti di inserire nel fascicolo di gara eventuali comunicazioni tra OE e SA avvenute su canali di comunicazione diversi dalla piattaforma, tra cui la mail e la posta certificata, tracciando l’operazione nel Registro di sistema.

In estrema sintesi, quindi,  la piattaforma è il canale di comunicazione e, residualmente, “eventuali comunicazioni tra OE e SA avvenute su canali di comunicazione diversi dalla piattaforma, tra cui la mail e la posta certificata”, devono essere recuperate dalla piattaforma e acquisite nel “fascicolo di gara” (come pensato e definito dalle regole tecniche, residente nella piattaforma certificata stessa, slegato dal sistema di gestione informatica dei documenti). 

La PEC, nelle procedure di aggiudicazione di contratti pubblici è, quindi un’eccezione, che vive tutta esterna alla piattaforma e non è a questa funzionale o strumentale.

In realtà, poi, le regole aprono anche a “ulteriori meccanismi di notifica”, che, a mio avviso, sono da intendere nel senso degli avvisi di cortesia.

[3.3.1.4-3] La piattaforma deve dichiarare esplicitamente a tutti gli utenti coinvolti dove avvengono le comunicazioni che hanno rilevanza in relazione alla procedura e richiedere i consensi necessari.

[3.3.1.4-4] La piattaforma può prevedere ulteriori meccanismi di notifica indicando in modo chiaro quale sia il canale che produce gli effetti di comunicazione.

Le piattaforme che ho avuto modo di frequentare prevedono tutte dei meccanismi che avvisano, tramite e-mail o PEC, della presenza di comunicazioni: sembra il minimo sindacale per un’esperienza d’uso accettabile tanto per gli operatori economici quanto per le stazioni appaltanti, che non possono certo passare la giornata a entrare nelle piattaforme in cui operano[2]La stazione appaltante può avvalersi di più di una piattaforma ma, ragionevolmente, non ne avrà più di quante se ne possano contare sulle dita di una mano; l’operatore economico, invece, … Continue reading per vedere se c’è nuova posta.

PEC e pubblica amministrazione nel Codice dell’amministrazione digitale e dintorni

L’uso della Posta elettronica certificata da parte della pubblica amministrazione è regolato da normativa e giurisprudenza piuttosto rigide:

  1. vige l’obbligo di registrare la casella PEC come domicilio digitale nell’Indice della pubblica amministrazione (IndicePA);
  2. le comunicazioni inviate dall’amministrazione a partire da un indirizzo PEC non registrato rischiano di essere nulle. Infatti, anche se la giurisprudenza si riferisce a notifiche di vario ambito, il concetto è quello: in una comunicazione digitale che voglia avere valore legale il mittente (la provenienza) deve essere riconoscibile con certezza prima ancora di “aprire” il messaggio;
  3. la casella PEC dell’amministrazione si controlla tramite protocollo informatico e le ricevute di accettazione e consegna dei messaggi in partenza vanno acquisite e associate in forma stabile alla registrazione di protocollo.

In questo scenario, se una PAD invia avvisi di cortesia (notifiche nel senso “smartphone” del termine) tramite PEC, per il punto 3 questa non può essere la PEC registrata in IndicePA come domicilio digitale dell’ente. Infatti, se così fosse, l’avviso di cortesia dovrebbe partire come comunicazione protocollata dal domicilio digitale dell’Ente e avrebbe tutti i crismi della comunicazione ufficiale con piena rilevanza anche per la procedura di affidamento. In più l’operatore economico avrebbe più di una tentazione di usare quell’indirizzo per rispondere all’amministrazione, uscendo definitivamente dal canale di comunicazione ufficiale indicato dalle Regole tecniche.

Gli indirizzi e-mail e PEC della piattaforma

Ragionevolmente quindi una piattaforma si appoggia, per gli avvisi di cortesia, su un indirizzo PEC dedicato (non riferibile tramite IndicePA alla stazione appaltante che usa la piattaforma). Questo va anche bene: l’operatore economico si è registrato sulla piattaforma e in quel momento (come da Regole tecniche) prende atto dell’esistenza di tale PEC dedicata e accetta di riconoscerla come attendibile ai fini dell’interazione con la piattaforma.

La PAD, del resto, potrebbe anche utilizzare una casella e-mail non certificata per gli avvisi di cortesia. L’unica accortezza è di inviarli a un indirizzo non certificato del destinatario, perché molte caselle PEC rifiutano messaggi non certificati e questo renderebbe del tutto inefficaci e inutili gli avvisi di cortesia. Anche qui poco male, quando l’operatore si registra lascia anche un indirizzo e-mail non certificato. Potrebbe anche lasciare un numero di cellulare per gli sms, se si vuole.

Il communication breakdown: l’operatore non registrato alla piattaforma

I problemi iniziano a sorgere quando la stazione appaltante ha bisogno di comunicare con un operatore economico che non è registrato sulla sua piattaforma. Può capitare? Domanda lecita e ragionevole. Pare di sì:

  • quando si vuole fare un affidamento diretto e si è individuato un fornitore che non si è registrato[3]Può avvenire eccome, perché le PAD dedicate a una stazione appaltante arrivano vuote. Se ho bisogno di comprare delle scarpe antinfortunistiche ma nessun rivenditore specializzato si è … Continue reading;
  • quando si deve invitare a una procedura negoziata (a inviti) un certo numero di operatori ma non ce ne sono abbastanza in piattaforma. Come sopra, si individuano con altri mezzi operatori di quel settore[4]Anche in questo caso non è che si può dire “Vostro Onore, sulla piattaforma avevo solo mio cugino registrato e per forza di cose alla gara per l’appalto della mensa ho invitato solo … Continue reading.

In questi e, forse, altri casi l’operatore economico va raggiunto su canali diversi, esterni alla piattaforma (che per lui non esiste) e in grado di certificare l’avvenuta trasmissione (invio e consegna). Come (non) si può fare? Ricordando che gli indirizzi PEC (domicili digitali) degli operatori economici si recuperano dai vari registri pubblici (INI-PEC su tutti), analizziamo qualche opzione:

  • la PAD usa una PEC dedicata per gli avvisi di cortesia: usiamo quella! Attenzione, per il destinatario quella PEC non è riferibile all’amministrazione. Potrebbe, e la giurisprudenza lo assiste, non fidarsi della comunicazione perché quello non è l’indirizzo PEC dell’amministrazione presente nel registro pubblico IndicePA. Potremmo registrare quella PEC in IndicePA? Sì, ma poi dovremmo controllarla solo dal protocollo e ci infiliamo un un circolo vizioso senza via d’uscita;
  • la PAD usa una e-mail dedicata per gli avvisi di cortesia: valgono le stesse considerazioni di sopra con in più il fatto che buona parte delle caselle PEC degli operatori economici rifiutano comunicazioni non certificate e, se anche uno si facesse andare bene tutto il resto, non c’è certificazione di consegna[5]Nota per nerd col pallino dell’e-mail. Da un certo punto di vista l’e-mail non certificata dedicata, appartenente al dominio della stazione appaltante, potrebbe essere più facilmente … Continue reading;
  • la stazione appaltante scrive una lettera esternamente alla piattaforma, la protocolla e la fa partire dalla PEC istituzionale. Nella lettera, dopo aver comunicato quanto necessario, invita il destinatario a registrarsi alla piattaforma e a proseguire le comunicazioni sulla piattaforma. Questo potrebbe funzionare, ma è disfunzionale: il vantaggio della piattaforma di e-procurement è che, se fatta bene, aiuta l’operatore a fare i lavori manuali e ripetitivi[6]Sì, digitalizzare i processi serve anche, anzi, soprattutto a questo. Da sempre, anche da prima della salvifica moda tecnologica del momento.: si imposta la procedura, si inseriscono i dati che la descrivono, qualche requisito o altra informazione e, per esempio, la piattaforma produce un serie una certa quantità di lettere d’invito. Se si tratta di fare un invio singolo, anche con qualche allegato, ok, accettiamo anche la “fatica” di trasferire a mano il risultato dell’elaborazione in una procedura esterna (o fare direttamente tutto esternamente). Ma se le lettere da inviare sono dieci, venti?

Nell’ultimo caso, ricordo, si applica poi il requisito [3.3.1.4-2] e quanto elaborato e comunicato fuori dalla piattaforma avrà comunque una sua replica anche sulla piattaforma, così che l’operatore della stazione appaltante ha sempre tutto a portata di mano sulla piattaforma.

Con probabile semplicismo, chi ha redatto le regole tecniche ha pensato a una piattaforma come a un ambiente chiuso e completo, nel quale sono presenti tutti i potenziali attori. Cosa che evidentemente non è.

Una soluzione

Ora, non so se l’AgID abbia pensato a questo (particolare? raro?) caso nella sua analisi e se, magari, abbia anche una soluzione su come gestirlo. Le regole tecniche, per come le ho lette, non arrivano a questo livello di didascalicità. Quindi, propongo io una possibile soluzione. Ce ne possono essere altre.

Se poi l’Agenzia per l’Italia Digitale o qualche gestore di piattaforma PAD volesse proporre LA soluzione funzionale e facilmente applicabile in tutti i contesti per comunicare con operatori non registrati sulla piattaforma PAD di un ente, saremmo ben felici di contribuire a diffonderla.

Anche se le regole tecniche non lo dicono espressamente, la PAD deve per forza di cose essere collegata al protocollo informatico e al sistema di gestione informatica dei documenti della stazione appaltante, perché la documentazione che invia e riceve e che produce in genere (vedi verbali di commissione ecc.) deve entrare nell’archivio della stazione appaltante e, a normativa vigente (per non parlare dell’archivistica), il sistema di e-procurement non è l’archivio.

In effetti, molte PAD disponibili sul mercato, hanno sviluppato connettori verso i sistemi di protocollo informatico degli enti (punto di accesso privilegiato del sistema di gestione informatica dei documenti): vi registrano e replicano le comunicazioni in uscita prima di depositarle nell’area di comunicazione e far partire l’avviso di cortesia, vi replicano quelle che ricevono e anche i documenti interni tipo verbali, relazioni ecc. Se sono giudiziose aiutano anche a fascicolare la documentazione di gara nel fascicolo formato nel sistema di gestione documentale. Anche questo, a mio avviso, è il minimo sindacale: i documenti di rilevanza amministrativa (in partenza, interni o in arrivo che siano) devono essere protocollati!

In questo scenario di PAD già integrata con il protocollo informatico, la soluzione dovrebbe essere a un passo. La comunicazione destinata al fornitore non presente sulla PAD è trasferita, come le altre, al protocollo. La piattaforma la deposita comunque, a futura memoria, nell’area di comunicazione per quando il destinatario si registrerà. Intanto, però, la piattaforma “chiede” al protocollo informatico di inviare la comunicazione via PEC. I protocolli informatici degli enti, infatti, devono[7]Il “devono” non è a caso. Il regolamento sui servizi cloud prevede espressamente che un software SaaS qualificato – come dovrebbero essere i protocolli informatici degli enti … Continue reading consentire a un software esterno di avviare la spedizione via PEC di un documento protocollato.

A questo punto il gioco è quasi fatto. La PAD deve solo recuperare dal protocollo informatico informazioni sullo stato di consegna della PEC, come da requisito [3.3.1.4-1.1]. 

[3.3.1.4-1.1] la piattaforma deve tracciare nel Registro di sistema ogni evento di invio e ricezione;

Alla fine, poi, il risultato finale non è che quello che ci si attende quando si comunica con qualcuno seguendo le regole generali, perché, a ben vedere, per quanto stabilite da norme con valore di legge o quasi (Codice dei contratti + Regole tecniche), il valore delle comunicazioni (e dei documenti) prodotti all’interno di una PAD si fondano sull’accettazione di quelle regole da parte deli utenti, esplicitata con la registrazione alla piattaforma stessa. Prima che tali regole siano accettate non c’è che affidarsi alla procedura tradizionale, rodata e certificata.

Breve conclusione

Quanto fin qui, per qualcuno, potrebbe apparire questione di pura lana caprina. Potrebbe anche esserlo. Tuttavia è l’ordinamento nel quale ci muoviamo che tende a regolamentare ogni aspetto dell’azione amministrativa pubblica. In più, questa sorta di “acccanimento normativo” non si limita alle situazioni generali (quelle previste del CAD o di eIDAS), ma si sostanzia anche in produzioni normative di settore che, invece che rifarsi direttamente alle regole generali, dettagliano ex novo la materia specifica, talvolta creando dei cortocircuiti.

Chiosa finale (scherzosa)

Communication breakdown è una canzone dei Led Zeppelin, presente anche come traccia di apertura nella compilation Remasters, che propone i greatest hits della band in versione rimasterizzata. In copertina campeggia una fotografia di cerchi nel grano, che in molti ritengono tracce incontestabili dell’atterraggio di astronavi aliene sulla Terra. Forse, allora, il cerchio si chiude: non è che certe regole che guidano la trasformazione digitale della pubblica amministrazione, davvero, le abbiamo ricevute da qualche extra-terrestre che, magari, non ha il quadro completo della situazione e dei processi che si trovano nella pubblica amministrazione, specie in quella di periferia?

Ora, seriamente e in tutta onestà, le Regole tecniche sull’e-procurement – a parte questo impiccio di come contattare operatori economici alieni (alla piattaforma) che comunque si risolve (spero di averlo chiarito) e la dimenticanza che la documentazione si registra e fascicola ne sistema di gestione documentale (= l’archivio) e non altrove -, tutto sommato, fanno il loro lavoro e sono centrate[8]Il passaggio obbligato alle PAD di inizio 2024 non è stato affatto indolore, tanto che anche l’ironia web e social si è sbizzarrita con meme e post al vetriolo. Penso però che il problema … Continue reading. Su altre misure, forse forse, il sospetto dello zampino di E.T. potrebbe essere fondato…

Foto di Suzy Hazelwood: https://www.pexels.com/it-it/foto/persone-vintage-misterioso-rurale-8703568/

Post Views: 321

Note

Note
1 Requisiti di sicurezza e certificazione delle comunicazioni non sono trattati in questo passaggio con eccesso di dettaglio, si fa riferimento solo a “tracciare nel registro ogni evento di invio e ricezione”. Probabilmente, un cenno, almeno come modello a cui ispirarsi, ai servizi di recapito elettronico certificato come definiti, a livello di principio tecnologicamente neutro, dal regolamento eIDAS, poteva essere utile.
2 La stazione appaltante può avvalersi di più di una piattaforma ma, ragionevolmente, non ne avrà più di quante se ne possano contare sulle dita di una mano; l’operatore economico, invece, rischia di essere iscritto a molte ma molte piattaforme, dal momento che, in linea teorica, ogni amministrazione con cui vorrebbe concludere affari può averne una diversa.
3 Può avvenire eccome, perché le PAD dedicate a una stazione appaltante arrivano vuote. Se ho bisogno di comprare delle scarpe antinfortunistiche ma nessun rivenditore specializzato si è spontaneamente iscritto alla mia piattaforma? Non posso certo soprassedere e privare i collaboratori dell’amministrazione dei dispositivi di protezione individuale di base. Povero l’archivista, se poi gli cade il faldone del progetto del Tecnopolo di “Smetto quando voglio” sul piede ;).
4 Anche in questo caso non è che si può dire “Vostro Onore, sulla piattaforma avevo solo mio cugino registrato e per forza di cose alla gara per l’appalto della mensa ho invitato solo lui”.
5 Nota per nerd col pallino dell’e-mail. Da un certo punto di vista l’e-mail non certificata dedicata, appartenente al dominio della stazione appaltante, potrebbe essere più facilmente riferibile all’amministrazione. Infatti, i meccanismi di sicurezza ormai consolidati nelle comunicazioni mail, come SPF, DKIM e DMARC, rendono difficile mandare messaggi facendo comparire un mittente in un dato dominio di posta elettronica senza esservi autorizzati. In teoria, almeno.
6 Sì, digitalizzare i processi serve anche, anzi, soprattutto a questo. Da sempre, anche da prima della salvifica moda tecnologica del momento.
7 Il “devono” non è a caso. Il regolamento sui servizi cloud prevede espressamente che un software SaaS qualificato – come dovrebbero essere i protocolli informatici degli enti – espongano interfacce API per accedere ai dati e alle funzioni applicative. Se posso inviare via PEC un documento registrato a protocollo da interfaccia utente, devo poterlo fare anche a partire da un sistema remoto. Se le regole hanno un valore.
8 Il passaggio obbligato alle PAD di inizio 2024 non è stato affatto indolore, tanto che anche l’ironia web e social si è sbizzarrita con meme e post al vetriolo. Penso però che il problema principale non siano state le regole tecniche in sé, ma il poco tempo a disposizione per studiarle, metabolizzarle, integrarle con quanto non espressamente previsto e implementarle in soluzioni funzionanti e funzionali.
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *