Posso rovinarvi le vacanze ? Luglio, col bene che ti voglio vedrai non finirà aiaiaiai Luglio m’ha fatto una promessa la Corte dei Conti mi porterà . Di Vincenzo De Prisco e Riccardo Del Turco.

Come già anticipato nel post che ripropongo

abbiamo una nuova rilevazione che si chiude il 30 Settembre, giusto il tempo di rovinarci le vacanze estive.

In verità è esemplare l’arguzia nello scegliere il mittente della missiva, non l’AGID, la Corte dei CONTI.

Come già scritto nel post riportato l’accesso alla ricognizione avviene attraverso il link https://questionariotd.corteconti.it/

Le PA interessate al questionario sono :

  • Regioni
  • Province autonome
  • Città metropolitane
  • Comuni
  • Province

Ribadisco che la ricognizione è finalizzata a misurare lo stato di attuazione dell’agenda digitale per il PTIPA per il periodo 2017-2019, quindi ha anche la funzione di spingere alla chiusura degli impegni del PIANO.

Sempre per rompere le uova nel paniere faccio notare che l’articolo 12 c 1 – ter del CAD introduce la responsabilità del dirigente per i dettami del CAD, lo riporto

I dirigenti rispondono dell’osservanza ed attuazione delle disposizioni di cui al
presente Codice ai sensi e nei limiti degli articoli 21 e 55 del decreto legislativo 30
marzo 2001, n. 165, ferme restando le eventuali responsabilità penali, civili e
contabili previste dalle norme vigenti. L’attuazione delle disposizioni del presente
Codice e’ comunque rilevante ai fini della misurazione e valutazione della
performance organizzativa ed individuale dei dirigenti.

La compilazione può essere effettuata solo telematicamente ( e ci mancherebbe ) attraverso l’accesso con lo SPID, e può anche essere demandata ad un terzo esterno individuato con atto dirigenziale.

Inutile dirlo ma c’ê forte attenzione sulle spese di server , indi il monitoraggio del cloud , riporto un post.

Altro FOCUS importante riguarda ile infrastrutture immateriali e le piattaforme abilitanti, nello specifico :

  • adesione a SPID
  • emissione CIE
  • subentro in ANPR
  • implementazione di pagoPA per tutti i servizi
  • adesione a noiPA

La compilazione non è molto complessa e le FAQ crescono di giorno in giorno, riporto quelle alla data del 23 Luglio 2019 che ritengo più interessanti.

Cosa si intende per “spesa per IT”?

La spesa per IT comprende tutti i costi relativi a:

  • assistenza informatica ordinaria e straordinaria,
  • acquisto di infrastrutture informatiche (compresi scavi, cavi, etc.),
  • gestione degli applicativi (comprensivi di canoni),
  • gestione della connettività,
  • traffico telefonico, nel caso in cui il contratto copra sia traffico voce che dati (quindi NON se copre SOLO traffico voce).
Il mio Ente fa parte di un’Unione di Comuni. Come mi comporto?

È prevista la partecipazione al Questionario dei soli Comuni e non delle Unioni di Comuni. 
Il Questionario potrà essere compilato dal Responsabile per la Transizione al Digitale (RTD) dell’Unione o da un Referente per il Questionario (a livello di Unione o di singolo Comune).
Non sono necessarie procedure specifiche di nomina; la nomina è interna all’Ente.
Si dovrà compilare un Questionario per ogni singolo Comune facente parte dell’Unione, secondo le istruzioni appresso riportate.

  1. Per i quesiti del questionario per i quali il singolo Comune non è a conoscenza dell’importo da indicare, per quanto di propria competenza, la spesa potrà essere quantificata in proporzione alla contribuzione erogata dal Comune all’Unione.
    Spesa per il servizio del Comune considerato (X): Spesa totale sostenuta dall’Unione dei Comuni per il servizio (1.500) = Importo dei trasferimenti erogati dal Comune considerato (3.000): Importo totale dei trasferimenti erogati da tutti i Comuni (10.000)

    X=1.500*3.000/10.000=450

  2. Per i quesiti del questionario nei quali si chiede il numero dei dipendenti addetti si dovrà riportare il personale con riferimento all’ente locale di provenienza, indicando “0” (zero) per gli enti che nell’Unione non hanno personale assegnato a questi servizi.

  3. Laddove non sia possibile ricorrere al criterio sub 2), si dovrà applicare il criterio sotto indicato.
    Numero di persone/giorni da attribuire al Comune considerato (X): Numero di persone componenti la struttura per il servizio considerato dell’Unione dei comuni (15) = Importo dei trasferimenti erogati dal Comune considerato (3.000): Importo totale dei trasferimenti erogati da tutti i Comuni (10.000)

    X=15*3.000/10.000=4,5

  4. In linea generale nelle risposte alle domande del questionario che richiedono l’inserimento di numero di dipendenti, ore di formazione o altri dati, che sono gestiti a livello di Unione, si deve applicare la regola della ripartizione sulla base del Comune di provenienza.
    Ad esempio: assegnare gli informatici al Comune di provenienza, successivamente ripartire tra questi le ore di formazione e indicare zero per gli altri Comuni.
    Per quanto riguarda i costi, ove richiesti, si deve applicare la regola della ripartizione sulla base della quota di partecipazione del Comune.

Tutti i valori decimali dovranno essere arrotondati all’unità (per eccesso o per difetto, è ammesso lo “0”) facendo attenzione che la somma dei singoli valori indicati per ciascun Comune non superi il valore complessivo dell’Unione dei Comuni.

Cosa si intende per “stanziamenti definitivi” e “impegni”?

Stanziamenti definitivi: la cifra a bilancio preventivo all’ultimo assestamento. Possono prevedere spese che potrebbero non essere effettivamente sostenute.
Impegni: spesa effettiva dal punto di vista giuridico, cioè associata ad un contratto esistente e sottoscritto. La spesa potrebbe anche non essere stata ancora in toto o in parte pagata. Ai fini del Questionario, devono essere comprese tra gli impegni anche le somme prenotate sul fondo pluriennale vincolato.

Vi allego lo schema del questionario in excel.

resto ovviamente a disposizione per la compilazione del questionario.

C@ronte Vincenzo De Prisco

Sei solo chiacchiere e distintivo. La prima procedura ufficiale per il GDPR da attuare con DPO e RTD.

Questo articolo è dedicato a Daniela Salzano.
Sei andata via troppo presto. Resti un esempio.

Iniziano ad uscire le LLGG sulla sicurezza, seguiamole e non facciamo spese inutili, investiamo in modelli di gestione e non in hardware inadeguato (solitamente sovradimensionato e non presidiato)

Preferisco non ripetermi, ribadendo che in Europa non si soggiace ad una legge sulla PRIVACY, ma ad una norma che spinge a dotarsi di un modello organizzativo, il GDPR, e che tuttavia utilizzare, o meglio provare a dotarsi di un modello conforme al GDPR senza essersi conformati al regolamento 2014/910 ( eidas ) è del tutto inutile

IIl 13 Giugno 2019 è stato l’ultimo giorno di consultazione delle LLGG sulle sicurezza nel procurement ICT, nell’attesa della definitiva pubblicazione possiamo iniziare a commentare velocemente i contenuti per quanto attiene al documento “strategico” per gli acquisti ICT .

Chiariamo subito una cosa, destinatari delle LLGG sono TUTTE le PPAA, i soggetti coinvolti sono :

RUP

DPO

Amministratori

RTD.

Il capitolo 2 rappresenta il caposaldo dell’enunciato provvedimento, esso si divide in tre fasi procedimentali

  1. azioni da svolgere prima dell’acquisto
  2. azioni da svolgere durante le procedure d’acquisto
  3. azioni da svolgere dopo la stipula

Le azioni da svolgere prima dell’acquisto sono definite AZIONI GENERALI e sono numerate da 1 a 7:

AG1-PROMOZIONE DI COMPETENZA E CONSAPEVOLEZZA
AG2-RACCOGLIERE BUONE PRASSI ED ESPERIENZA
AG3-STABILIRE RUOLI E RESPONSABILITA’
AG4-EFFETTUARE UNA RICOGNIZIONE DI BENI INFORMATICI E SERVIZI
AG5-CLASSIFICAZIONE DI BENI E SERVIZI SOTTO IL PROFILO DELLA SICUREZZA
AG6-DEFINIRE AUDIT E VALUTAZIONE DEL FORNITORE IN MATERIA DI SICUREZZA
AG7-DEFINIRE METODOLOGIA DI AUDIT INTERNO IN MATERIA DI SICUREZZA

Vediamole velocemente.

AG1-PROMOZIONE DI COMPETENZA E CONSAPEVOLEZZA

Ogni pubblica amministrazione deve essere orientata alla gestione del rischio e dotata di persone capaci al gestione del processo di acquisizione dei beni e servizi .

Qualora fosse conclamata, nei fatti, questa carenza, come spesso accaduto in precedenza bisogna prenderne atto ( e non mentire come fatto per le LLGG Agid 2/2017), quindi delegare a figure esterne questi aspetti; una delle figure potrebbe essere il DPO, il supporto RTD o consulenti selezionati proprio per questo scopo.
Nel piano di formazione del GDPR deve essere inserito un percorso di sensibilizzazione alla gestione del rischio.

AG2-RACCOGLIERE BUONE PRASSI ED ESPERIENZA

Semplicemente occorre creare una o più procedure finalizzate alla raccolta di esperienze interne ed esterne da condividere, la c.d. raccolta delle buone prassi.

Riporto un articolo per qualche spunto ed anche l’URL del CERT-PA

IL PTIPA ha spostato la pubblicazione delle LLGG MMS a Dicembre 2019.

https://www.cert-pa.it/

AG3-STABILIRE RUOLI E RESPONSABILITA’

Praticamente l’essenza della compliance e dell’accountability .

Lo strumento di lavoro sarà la matrice RACI-VS, la matrice prende il nome dalle iniziali dei RUOLI che appaiono, nel dettaglio
Responsabile-colui che produce l’effetto
Accontable-colui che approva
Consult-colui che viene consultato per generare il risultato voluto
Inform-colui che viene informato sul risultato

Verifier-colui che verifica tutto quanto sopra
Signatory-Funzione di approvazione del Verifier

AG4-EFFETTUARE UNA RICOGNIZIONE DI BENI INFORMATICI E SERVIZI

Semplicemente si tratta di inventariare gli asset, anche già presenti perchè come più volte detto la prima cosa da fare per proteggere è avere cognizione di cosa PROTEGGERE. Sembra banale? controllate i lavori in giro in ambito GDPR e poi ci confrontiamo.
Inoltre, il principio di CONOSCENZA di cosa possediamo (anche quindi non in proprietà) è un presidio fondamentali delle LLGG sulla sicurezza informatica che attendiamo per Dicembre 2019 e delle LLGG MMS AGID 2/2017 con la nomenclatura ABSC ID 1 e ABSC ID 2.

AG5-CLASSIFICAZIONE DI BENI E SERVIZI SOTTO IL PROFILO DELLA SICUREZZA

Occorre RI-CLASSIFICARE gli asset in funzione della criticità

AG6-DEFINIRE AUDIT E VALUTAZIOEN DEL FORNITORE IN MATERIA DI SICUREZZA

Occorre in funzione della criticità del procurement valutare il fornitore, le procedure le vedremo in un altro post

AG7-DEFINIRE METODOLOGIA DI AUDIT INTERNO IN MATERIA DI SICUREZZA

Certamente dopo aver AUDITATO (EHEHEH) il fornitore esterno occorre anche ascoltare le componenti interne dell’organizzazione e creare correttivi che naturalmente e fisiologicamente deriveranno dal nuovo asset acquistato.

In sintesi per la prima fase, quella prodromica all’attività di procurement, occorrerà stilare una chek list, che riporto

DENOMINAZIONE PA
AZIONEDOMANDEPUNTI
AG1ESISTE UN PIANO AGGIORNATO DI FORMAZIONE SUI TEMI DELLA SICUREZZA ?
ESISTE UN CALENDARIO DI EVENTI PER SENSIBILIZZARE IL PERSONALE SUI RISCHI?
AG2ESISTE UN ARCHIVIO DI BUONE PRASSI ED ESPERIENZE ?
AG3SONO FORMALIZZATI INCARICHI E RESPONSABILITÀ SULLA SICUREZZA DEGLIA ACQUISTI?
SONO DEFINITE LE MATRICI RACI-VS PER LA GESTIONE DEGLI ACQUISTI ?
AG4ESISTE UN INVENTARIO AGGIORNATO DEI BENI INFORMATICI DELL’AMMINISTRAZIONE?
AG5GLI INVENTARI DI CUI AG4 SONO STATI RICLASSIFICATI  IN FUNZIONE DELLA CRITICITÀ?
AG6È DEFINITA UNA METODOLOGIA DI AUDIT  DEI FORNITORI SULLA SICUREZZA ?
AG7È DEFINITA UNA METODOLOGIA DI AUDIT INTERNO SULLA SICUREZZA ?
SOMMATORIA DEI PUNTI ( SI=1, NO=0,IN PARTE = 0.5)
  • Azioni da svolgere durante le procedure d’acquisto

In questa fase la focalizzazione riguarda la criticità dell’asset ( materiale od immateriale) da acquisire.

La criticità può essere valutata sia in termine di costi che di impatto BIA.

Le azioni sono 4 e saranno siglate come AP ( AZIONI PROCUREMENT)

  • AP1 Analisi e classificazione in base ai criteri di sicurezza
  • AP2 Scelta dello strumento d’acquisto più adeguato
  • AP3 Scelta dei requisiti di sicurezza da inserire nel capitolato
  • AP4 Garantire competenze di sicurezza nella commissione di valutazione

AP1 Analisi e classificazione in base ai criteri di sicurezza

In questa fase, collegata intimamente all’AG 5 bisogna vedere e classificare come l’acquisizione IMPATTA sulla struttura organizzativa, in funzione del servizio reso, ma anche in termini finanziari, infatti la classificazione potrebbe anche essere fatta in funzione degli impegni di spesaRilascio di certificati per invalidi con istanza.

Lo strumento operativo può essere rappresentato da una tabella del genere:

QUESITIPESO DA ATTRIBUIRE (da 1 a 5)Risposte SI=1,NO=0,IN
PARTE 0.5
PONDERAZIONE
L’acquisto impatta su servizi critici ?
L’importo rientra nella programmazione ex articolo 21 c.6 del D.lgs 50/16 ?
La durata del contratto da stipulare supera la soglia minima di criticità?
La sede ove verranno erogate le prestazioni da acquisire è critica ?
Complessivamente quanto si ritiene critico l’investimento?

Facendo le ponderazioni per un migliore impatto visivo conviene attribuire i classici tre colori del semaforo per TRI-RIPARTIRE la magnitudo .

AP2 Scelta dello strumento d’acquisto più adeguato

L’Azione Procurement 2 é legata a filo doppio con la 1, in funzione della classificazione di AP1 infatti potrebbe essere conveniente utilizzare il MEPA ( con bassa criticità quindi ) oppure convenzioni od accordi quadro Consip nel caso di criticità maggiore.

Accordi quadro e convenzioni sono maggiormente curati sull’aspetto della sicurezza, qualora non fossero adatti si prosegue con l’Azione Procurement 3.

AP3 Scelta dei requisiti di sicurezza da inserire nel capitolato

Quando l’amministrazione non è soddisfatta da Mepa e Consip, ovviamente spingerà verso livelli di sicurezza superiori , quindi nel rispetto del D.lgs 50/16, della L.55/19, della circ 2/2017 Agid ( ad oggi) e del GDPR inserirà specifiche tecniche ed amministrative per qualificare il servizio e l’offerente, a tal punto è consigliabile prendere spunto dall’allegato A delle LLgSPICT, a titolo di esempio le riporto appresso :

Queste sono le prime sei, in realtà sono 45 . SIGH!!!!

Ma una volta fatto il bando con tanto di lex specialis non possiamo esimerci dall’avere una commissione ex art 77 validissima, infatti la prescrizione dell’Azione Procurement 4 è

AP4 Garantire competenze di sicurezza nella commissione di valutazione

Nelle more e nell’attesa dell’Albo Nazionale dei commissari ( spostato al 31/12/2020) sarà necessario per non inficiare tutte le AG e le AP scegliere un commissario (anche esterno) adatto all’acquisizione.

La tabella riepilogativa delle PA sarà

AZIONEQUESITIRISPOSTE
AP1COME È STATA CLASSIFICATA L’ACQUISIZIONE IN FUNZIONE DELLA CRITICITÀ ( ALTA, BASSA..)
AP2QUALE STRUMENTO DI ACQUISIZIONE È STATO SCELTO ? ( MEPA, AQ, GARA DA ZERO)
AP3 NEL CAPITOLATO SONO STATI INSERITI TUTTI GLI ELEMENTI DI SICUREZZA ANCHE DELL’ALLEGATO A DELLE LLgSPICT?
AP4LA COMMISSIONE GIUDICATRICE HA COMPETENZE IN AMBITO DELLA SICUREZZA?
I REQUISITI DI SICUREZZA SONO CHIARI ED UNIVOCI ?

AZIONI DA SVOLGERE DOPO LA STIPULA DEL CONTRATTO .

O per meglio dire azioni che vanno svolte dal momento della stipula in poi. Sono 13 Azioni e sono collegate alle AG ed alle AP.

Vediamole :

A1 :UTENZE FORNITORI
A2: GESTIONE DISPOSITIVI FORNITORI
A3: GESTIONE ACCESSO RETE
A4: GESTIONE ACCESSO DB/SERVER
A5: STIPULA ACCORDI DI AUTORIZZAZIONE-RISERVATEZZA-CONFIDENZIALITÀ
A6: VERIFICA RISPETTO PRESCRIZIONI DI SICUREZZA NELLO SVILUPPO DELL’APPLICATIVO
A7: MONITORAGGIO UTENZE ED ACCESSI DEL FORNITORE
A8: VERIFICARE LA DOCUMENTAZIONE FINALE DEL PROGETTO
A9: EFFETTUARE IL DEPROVISIONING
A10: AGGIORNARE L’INVENTARIO DEI BENI
A11: EFFETTURAE IL WIPING
A12: MANUTENZIONE DEI BENI
A13: VULNERABILITY ASSESSMENT

A1 UTENZE FORNITORI

L’amministrazione deve inserire nella propria scheda di account management le credenziali di accesso ai dipendenti del fornitore. Anche loro saranno sottoposti alle ricognizione di log


A2 GESTIONE DISPOSITIVI FORNITORI

I requisiti di sicurezza del parco hardware che i fornitori utilizzeranno nell’espletamento dell’appalto devono essere indicati nell’appalto, ad esempio crittografia e policy della password. Quando il fornitore tratta i dati in nome e per conto dell’amministrazione (configurando nei fatti un addendum contrattuale ex articolo 28 DGPR) le cose si semplificano un bel po’. Potrebbe anche essere che per forniture e servizi altamente critici ci sia il divieto assoluto di utilizzazione di hardware del fornitore, in questo caso A2 si attua con il controllo del divieto imposto già dal capitolato.

A3 GESTIONE ACCESSO RETE

L’accesso alla rete deve essere abilitato e configurato per quanto strettamente necessario. Può avvenire con VPN dedicate e gli accessi dovranno essere tracciati anche ai fini dell’audit AG6.


A4 GESTIONE ACCESSO DB/SERVER

Deve essere consentito solo l’accesso ai DB ed ai server dove insiste l’applicazione da fornire o manutenere . Qualora occorresse accedere ad altri DB/SERVER bisogna gestire le eccezioni .

A5 STIPULA ACCORDI DI AUTORIZZAZIONE-RISERVATEZZA-CONFIDENZIALITÀ

E’ strettamente legata alle buone prassi dell’AG 2. Ogni fornitore dovrà consegnare all’amministrazione l’elenco del personale dipendente impegnato sul progetto che sottoscrive la confidenzialità del rapporto. Anche in questo caso conviene fare riferimento all’articolo 28 del GDPR ed anche al 32.

A6 VERIFICA RISPETTO PRESCRIZIONI DI SICUREZZA NELLO SVILUPPO DELL’APPLICATIVO

I requisiti di questa azione possono essere :

  • generici, in questo caso si lascia al fornitore la massima libertà di scelta di tecnologia e modalità operativa, queste caratteristiche vanno valutate dalla commissione giudicatrice ex articolo 77 del D.lgs 50/16
  • specifiche , in questo secondo caso è l’amministrazione a dare dei paletti ( anche in funzione dell’ambiente già in essere nella PA) .


A7 MONITORAGGIO UTENZE ED ACCESSI DEL FORNITORE

Nel caso (non raro) di susseguirsi di diversi dipendenti e collaboratori dei fornitori occorre avere una doppia matrice di riferimento, PROGETTO-FORNITORi e RUOLI-UTENZE. Queste matrici sono prodromiche all’azione 9.


A8 VERIFICARE LA DOCUMENTAZIONE FINALE DEL PROGETTO

Al termine del progetto il fornitore deve rilasciare :

  • documentazione finale del progetto
  • manuale installazione e di configurazione
  • report assessment di sicurezza con le azioni di mitigazione riportate
  • libretto di manutenzione con indicazioni per mantenere adeguatamente sicuro il progetto acquisito , nel dettaglio

+ produttore e versione del software utilizzato ( librerie, CMS, DBMS, firmware etc etc)
+ indicazioni per reperire i bollettini di sicurezza
+ indicazioni ed istruzioni per installare gli aggiornamenti di sicurezza
+ documento EoL

A9 EFFETTUARE IL DEPROVISIONING

L’amministrazione al termine di ogni progetto deve chiedere il deprovisioning delle utenze, nello specifico :

  • deprovisioning delle utenze fisiche del fornitore
  • deprovisioning delle utenze logiche del fornitore
  • deprovisioning delle utenze VPN
  • deprovisioning delle regole Firewall
  • richiedere dichiarazione di cancellazione dei dati dai dispositivi del fornitore

E’ evidente che avendo effettuato l’A7 diviene tutto più semplice.


A10 AGGIORNARE L’INVENTARIO DEI BENI

Nulla di più semplice per chi è ben adoperato all’utilizzo delle procedure AGID, si tratta di utilizzare gli strumenti del DPCM 10.08.15 e LL.GG Agid 2/2017.

  • ABSC 1.1.1 (M) o ABSC 1.1.2 (S)
  • ABSC 2.1.1 (M) o ABSC 2.2.1 (S)
  • ABSC 10.1.1 (M) o ABSC 10.1.2 (A) e ABSC 10.3.1 (M)

A11 EFFETTUARE IL WIPING

Al termine di ogni progetto di sostituzione di hardware devono essere cancellati i dati contenuti sui supporti.

E’ il caso di farsi rilasciare una relazione di distruzione e fare una verifica ispettiva documentata.

A12 MANUTENZIONE DEI BENI

Si tratta di coordinare quanto detto in A8 ( libretto di manutenzione) con gli aggiornamenti CERT-PA

A13 VULNERABILITY ASSESSMENT

Un assessment sulla vulnerabilità va eseguito almeno con cadenza annuale per gli strumenti collegati al web.
Ovviamente la frequenza deve aumentare in funzione della criticità dell’asset.

Le azioni, sinteticamente sono legate con rapporto 1 a molto alle i requisiti di sicurezza dell’appendice D




Ora riporto, come da LLGG AGID una matrice ancora più semplice che mette in relazione l’Azione con il tipo di fornitura

Ancora meglio vedere in funzione dell’impatto le diverse AZIONI ( Generali, Procurement, ed Azioni tout court)

Ora veniamo alla parte più semplice, o forse la più complessa: i requisiti da inserire nei capitolati dietro consiglio dell’Agid, parliamo del già citato allegato D.

Requisiti generali . Tab 5.1

Requisiti specifici ( forniture di servizi di sviluppo) Tab 5.2

Requisiti specifici ( forniture di oggetti connessi in rete ) Tab 5.3

Requisiti specifici ( forniture di servizi di gestione remota ) Tab 5.4

Pubblicità delle gare ex articolo 29. LA PROCEDURA – SI PUO’ FARE, omaggio a Mel Brooks

Dall’inizio è stato chiaro che il combinato art. 29 D.lgs 50/16 ed art. 37 D.lgs 33/13 avrebbe creato non poca confusione.
Riporto solo il 29

(Principi in materia di trasparenza) 1. Tutti gli atti delle amministrazioni aggiudicatrici e degli enti aggiudicatori relativi alla programmazione di lavori, opere, servizi e forniture, nonche’ alle procedure per l’affidamento di appalti pubblici di servizi, forniture, lavori e opere, di concorsi pubblici di progettazione, di concorsi di idee e di concessioni, compresi quelli tra enti nell’ambito del settore pubblico di cui all’articolo 5, alla composizione della commissione giudicatrice e ai curricula dei suoi componenti ove non considerati riservati ai sensi dell’articolo 53 ovvero secretati ai sensi dell’articolo 162, devono essere pubblicati e aggiornati sul profilo del committente, nella sezione “Amministrazione trasparente”, con l’applicazione delle disposizioni di cui al decreto legislativo 14 marzo 2013, n. 33. ((PERIODO SOPPRESSO DAL D.L. 18 APRILE 2019, N. 32, CONVERTITO CON MODIFICAZIONI DALLA L. 14 GIUGNO 2019, N. 55)). ((PERIODO SOPPRESSO DAL D.L. 18 APRILE 2019, N. 32, CONVERTITO CON MODIFICAZIONI DALLA L. 14 GIUGNO 2019, N. 55)). ((PERIODO SOPPRESSO DAL D.L. 18 APRILE 2019, N. 32, CONVERTITO CON MODIFICAZIONI DALLA L. 14 GIUGNO 2019, N. 55)). PERIODO SOPPRESSO DAL D.LGS. 19 APRILE 2017, N. 56. Nella stessa sezione sono pubblicati anche i resoconti della gestione finanziaria dei contratti al termine della loro esecuzione con le modalita’ previste dal decreto legislativo 14 marzo 2013, n. 33. Gli atti di cui al presente comma recano, prima dell’intestazione o in calce, la data di pubblicazione sul profilo del committente. Fatti salvi gli atti a cui si applica l’articolo 73, comma 5, i termini cui sono collegati gli effetti giuridici della pubblicazione decorrono dalla data di pubblicazione sul profilo del committente.((12)) 2. Gli atti di cui al comma 1, nel rispetto di quanto previsto dall’articolo 53, sono, altresi’, pubblicati sul sito del Ministero delle infrastrutture e dei trasporti e sulla piattaforma digitale istituita presso l’ANAC, anche tramite i sistemi informatizzati regionali, di cui al comma 4, e le piattaforme regionali di e-procurement interconnesse tramite cooperazione applicativa. 3. Le regioni e le province autonome di Trento e di Bolzano collaborano con gli organi dello Stato alla tutela della trasparenza e della legalita’ nel settore dei contratti pubblici. In particolare, operano in ambito territoriale a supporto delle stazioni appaltanti nell’attuazione del presente codice ed nel monitoraggio delle fasi di programmazione, affidamento ed esecuzione dei contratti. 4. Per i contratti e gli investimenti pubblici di competenza regionale o di enti territoriali, le stazioni appaltanti provvedono all’assolvimento degli obblighi informativi e di pubblicita’ disposti dal presente codice, tramite i sistemi informatizzati regionali e le piattaforme telematiche di e-procurement ad essi interconnesse, garantendo l’interscambio delle informazioni e l’interoperabilita’, con le banche dati dell’ANAC, del Ministero dell’economia e delle finanze e del Ministero delle infrastrutture e dei trasporti. 4-bis. Il Ministero dell’economia e delle finanze, il Ministero delle infrastrutture e dei trasporti, l’ANAC e la Conferenza delle Regioni e delle Province autonome per i sistemi di cui ai commi 2 e 4 condividono un protocollo generale per definire le regole di interoperabilita’ e le modalita’ di interscambio dei dati e degli atti tra le rispettive banche dati, nel rispetto del principio di unicita’ del luogo di pubblicazione e di unicita’ dell’invio delle informazioni. Per le opere pubbliche il protocollo si basa su quanto previsto dal decreto legislativo 29 dicembre 2011, n. 229. L’insieme dei dati e degli atti condivisi nell’ambito del protocollo costituiscono fonte informativa prioritaria in materia di pianificazione e monitoraggio di contratti e investimenti pubblici.

L’unico modo, come sempre raccomando, per eliminare la confusione sarebbe stato quello di scrivere procedure condivise con il gestore del portale web, ma a questo punto grazie al MIT riusciamo ad adempiere meglio alla norma anche se inizialmente sarà seccante. .

La registrazione sul portale SCP serviziocontrattipubblici.it è già stata affrontata per attuare l’articolo 21 del codice dei contratti, riporto il post per semplicità di ricerca

https://www.rtd.cloud/%e2%80%8bla-programmazione-biennale-degli-acquisti-di-beni-e-servizi-l-art-21-d-lgs-50-16-e-decreto-mit-14-2018-e/

Ora vediamo come gestire le GARE del D.lgs 50/16 sul portale.

Per iniziare occorre ricordare che l’applicativo possiamo gestire gli AVVISI, Le PROCEDURE DI AFFIDAMENTO e gli ESITI.

Per prima cosa ci autentifichiamo utilizzando questo percorso .

www.servizicontrattipubblici.it

Si sceglie la regione e poi si procede

Ovviamente a questo punto ci autentifichiamo e procediamo



 

e po clicchiamo su Avvisi, Procedure di affidamento, Esiti

Ora iniziamo con la gestione degli AVVISI.

La prima raccomandazione che appare, e che vale per ogni pubblicazione è la seguente :

Mi raccomando RISPETTIAMOLA altrimenti sprechiamo solo tempo.

Da questo punto in poi la procedura è piuttosto semplice basta seguire le indicazioni e poi procedere alla pubblicazione , inoltre la tendina delle opzioni è molto esaustiva.

 

Ora viene il bello , tralasciamo gli avvisi ed andiamo alla gestione della pubblicazione delle gare.

E’ chiaro che qualora la gara fosse stata gestita in SIMOG l’avrei potuta importare, ma facciamo le cose complicate e clicchiamo su Compilazione di una nuova procedura di affidamento.

Compiliamo tutto quanto è obbligatorio, ovviamente valgono le regole generali del D.lgs 50/16, e quindi anche gli importi devono essere stimati in funzione dell’articolo 35. Solo dopo la compilazione e la conferma con salva si abilitano le altre due alette della procedura.

Ora proseguiamo con l’indicazione dei lotti.

Una volta salvato occorre utilizzare il tasto “indietro” dell’applicazione

A questo punto si entra nel vivo dell’applicativo potendo solo ora vedere la ” to do list”, basta cliccare su Lista atti.

lo scenario che si presenta è questo

Non tutti i provvedimenti elencati sono ricorrenti, ma meglio un’elencazione esaustiva che monca, in ogni caso esiste la categoria residuale “Altro documento”

Per semplicità inserirò solo la determina a contrarre, le voci compilative dei diversi documenti sono identiche, è inutile dilungarci.

Dopo averlo salvato sarà possibile pubblicarlo sul sito SCP

e da qui riconfermare con il tasto Pubblica

Ultimo passaggio e…..

….le jeux sont fait.

Come detto per tutti i tipi di atto da pubblicare la procedura è identica.

Ora andiamo a pubblicizzare gli esiti

Basta inserire il CIG ed il sistema recupera il RECORD, nel nostro caso di esempio il CIG come ricorderete è 1234565434, infatti inserendolo appare

Clicchiamo su avanti e procediamo

Ora che è abilitata la sezione Imprese aggiudicatarie/affidatarie clicchiamo sull’aletta ed….

… l’impresa

Ovviamente a titolo di esempio ( e spero non solo di esempio ) sarò io l’aggiudicatario della selezione ( in questo dell’affidamento ex articolo 36 comma 2 lett a )

L’impresa si inserisce in un archivio ( che ovviamente resta sempre disponibile) cliccando sul tasto segnalato

Dopo aver cliccato si aprirà la pagina dell’anagrafica

salviamo , poi selezioniamo l’impresa dall’elenco e proseguiamo come come per la pubblicazione degli atti di gara.

Pubblicità è fatta.

Per qualsiasi cosa sapete che potete chiamarmi, magari però controllate di avermi pagato e rinnovato il contratto.

Ciao ragazzi.

 

INVIO SCHEDA entro il 30/09/2019 .Al via la ricognizione sullo stato di attuazione del CAD e del PTICTPA.

Dal 1 luglio è presente sul sito della MAGISTRATURA CONTABILE il questionario per valutare l’attuazione dell’agenda digitale nella PA, in particolare sono circa 8000 gli enti interessati.

L’applicazione è raggiungibile da questo link.

https://questionariotd.corteconti.it/

Il processo da seguire è piuttosto semplice, un poco meno semplice è invece la compilazione del questionario.

Ecco i passi per l’abilitazione :

  1. L’Amministrazione identifica un Referente del Questionario, il quale potrà accedere ai servizi di Helpdesk ed essere eventualmente contattato direttamente dalla Corte dei conti per necessità inerenti alla compilazione del Questionario;
  2. L’Amministrazione, tramite la persona che ha identificato come Referente, accede con autenticazione SPID alla prima parte del Questionario (Scheda Anagrafica), tramite il pulsante in alto a destra “Entra con SPID”. Tutti i campi di questa parte sono obbligatori.
  3. A cura del Referente viene inviato il blocco informativo dell’Anagrafica.
  4. All’indirizzo PEC, inserito a cura dell’Amministrazione nella Scheda Anagrafica, viene inviato il link contenente il token.
  5. L’Amministrazione accede tramite SPID al link e compila il Questionario. Durante la compilazione è possibile entrare/uscire dal Questionario, sempre tramite il link contenente il token.
  6. Quando la compilazione è terminata, l’Amministrazione può stampare e inviare i dati inseriti. Il Questionario verrà chiuso e non sarà più possibile rientrarvi.

Vi allego il file excel della struttura del questionario a pie’ di pagina.

Confrontatevi con il vostro RTD per la compilazione che deve terminare entro il 30 settembre.

Ovviamente resto a vostra disposizione…. sempre. IL VOSTRO C@RONTE.

Non dite che è una novità….

Comunicazione ed invio del PTPC

Dal 1 Luglio 2019 le PA devono comunicare all’ANAC il proprio PTPC.

Purtroppo la procedura non può essere effettuata automaticamente ma ha bisogno di creare un nuovo PROFILO, il RPCT od in alternativa l’AS-RPTC.

Vediamo come creare questi nuovi profili.

Come sempre si parte dal portale dei servizi ANAC da questo link : https://servizi.anticorruzione.it

Si accede con le credenziali già in nostro possesso

e si crea un nuovo profilo selezionando amministrazione o soggetto aggiudicatore

e subito dopo RPCT.

A questo punto è stata definita la persona, ora occorre collegarlo alla struttura tramite le solite chiavi di ricerca, Denominazione, AUSA o CF.

Fatta la ricerca, col codice fiscale dell’amministrazione andiamo a colpo sicuro, si procede

bisogna inserire il link della nomina e la data.

Si ricorda che queste informazioni sono le stesse delle relazioni annuali e che dovrebbero già essere in AT.

In Particolare la nomina dovrebbe anche essere inserita in PERLAPA quindi recuperabile ai sensi del combinato art 9 bis ,comma 2 ed articolo 18 del 33/13 nella sezione del personale dipendente