Art. 26 - REQUISITI TECNICI PIATTAFORME DIGITALI - eDGUE-IT
AGID DETERMINAZIONE N. 137/2023 DEL 01 GIUGNO 2023OGGETTO: Adozione del provvedimento “Requisiti tecnici e modalità di certificazione delle Piattaforme di approvvigionamento digitale”, ai sensi dell’art. 26 del decreto legislativo 31 marzo 2023, n. 36 recante Codice dei contratti pubblici.
ALTRI DOCUMENTI SULLE PIATTAFORME
- FAQ:
https://www.agid.gov.it/sites/default/files/repository_files/regole_tecniche_-_faq_v1.0_20230717.pdf
- Modello di interoperabilità per le Piattaforme di approvvigionamento digitale:
https://www.agid.gov.it/sites/default/files/repository_files/modello_interoperabilita_piattaforme_v1.0.pdf
ALTRI DOCUMENTI SUL eDGUE-IT
- Comunicato riguardante l’aggiornamento della “Tassonomia di riferimento dei criteri”, che correda le “Specifiche tecniche per la definizione del DGUE elettronico italiano “eDGUE-IT” del 31 luglio 2021:
https://trasparenza.agid.gov.it/moduli/downloadFile.php?file=oggetto_allegati/231911632240O__OComunicato+agid_dgue_def.pdf
- Specifiche tecniche per la definizione del DGUE elettronico italiano “eDGUE-IT”:
https://www.agid.gov.it/sites/default/files/repository_files/edgue-it_specifiche_tecniche_v1.0.0_0.pdf
- Tassonomia di riferimento dei criteri da utilizzare per la definizione del eDGUE-IT:
https://github.com/AgID/eDGUE-IT
- Facsimile DGUE del 26-7-2023
https://trasparenza.agid.gov.it/moduli/downloadFile.php?file=oggetto_allegati/232081246280O__OFacsimile+dgue20230726.pdf
IL DIRETTORE GENERALE
VISTI gli articoli 19 (Istituzione dell’Agenzia per l’Italia digitale), 21 (Organi e statuto), 22 (Soppressione di DigitPA e dell’Agenzia per la diffusione delle tecnologie per l’innovazione; successione dei rapporti e individuazione delle effettive risorse umane e strumentali) del decreto legge n. 83 del 22 giugno 2012, recante “Misure urgenti per la crescita del Paese”, convertito, con modificazioni, nella legge n. 134 del 7 agosto 2012 e s.m.i. e l’articolo 14-bis (Agenzia per l’Italia digitale) del decreto legislativo n.82 del 7 marzo 2005 (Codice dell’amministrazione digitale) e s.m.i.;
VISTO il decreto del Presidente del Consiglio dei Ministri dell’8 gennaio 2014 (pubblicato sulla GURI n. 37 del 14 febbraio 2014), che ha approvato lo Statuto dell’Agenzia per l’Italia digitale (nel seguito anche AgID);
VISTO il Decreto del Presidente del Consiglio dei Ministri del 23 marzo 2023, a firma del Sottosegretario per l’innovazione tecnologica e la digitalizzazione Sen. Alessio Butti, registrato dalla Corte dei conti in data 3 aprile 2023 al n. 945, con cui l’Ing. Mario Nobile è stato nominato, per la durata di un triennio, Direttore Generale dell’Agenzia per l’Italia Digitale;
VISTO il decreto del Presidente del Consiglio dei Ministri 9 gennaio 2015, pubblicato nella Gazzetta Ufficiale n. 82 del 9 aprile 2015, concernente la “Determinazione delle dotazioni delle risorse umane, finanziarie e strumentali dell’Agenzia per l’Italia digitale”, adottato ai sensi dell’articolo 22, comma 6, del decreto-legge n. 83 del 2012;
VISTO il decreto del Presidente del Consiglio dei Ministri del 27 marzo 2017, pubblicato nella Gazzetta Ufficiale n. 106 del 9 maggio 2017, recante l’approvazione del Regolamento di organizzazione dell’Agenzia per l’Italia digitale, nonché, da ultimo, le modifiche adottate con decreto del Ministro per l’innovazione tecnologica e la transizione digitale, delegato dal Presidente del Consiglio dei Ministri per le funzioni relative all’Agenzia per l’Italia digitale, adottato in data 22 aprile 2022, registrato dalla Corte dei Conti il 17 maggio 2022 al n. 1274 e pubblicato nella Gazzetta Ufficiale Serie Generale n. 176 del 29 luglio 2022, che approva ulteriori modifiche al citato Regolamento di organizzazione dell’Agenzia;
VISTA la Determinazione n. 206 del 12 luglio 2022, di aggiornamento della Determinazione n. 580/2021 del 27 ottobre 2021, di “Rimodulazione assetto organizzativo” dell’Agenzia, così come integrata dalla Determinazione n. 328 del 29 novembre 2022;
VISTO il Regolamento di contabilità, finanza e bilancio, adottato in via definitiva con determinazione n. 4/2016 e approvato con Decreto “Presidenza del Consiglio dei Ministri – Dipartimento della Funzione Pubblica” a firma del Ministro per la Semplificazione e la Pubblica Amministrazione e del Ministro dell’Economia e Finanze del 1° settembre 2016, registrato alla Corte dei conti in data 26 settembre 2016 al n. 2636 (pubblicato sulla GURI n. 241 del 14 ottobre 2016);
VISTI:
− il Decreto legislativo 7 marzo 2005, n. 82 e s.m.i. recante il “Codice dell’amministrazione Digitale”;
− il vigente Piano triennale per l'informatica nella pubblica amministrazione 2022-2024 (di cui al D.P.C.M a firma del Sottosegretario per l’innovazione tecnologica e la digitalizzazione del 22dicembre 2022, pubblicato sul sito AgID e al D.P.C.M. del 17 gennaio 2023, di cui al comunicato GURI del 27 febbraio 2022, registrato dalla Corte dei conti al n. 469/2023, di approvazione, ai sensi dell'art. 14-bis, c.2, lettera b), del D.lgs. 7 marzo 2005, n. 82);
− il Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e il D.lgs. 101/2018, recante modifiche e integrazioni al D.lgs. 196/2003;
VISTO l’articolo 14-bis del decreto legislativo 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale), che individua l’Agenzia per l’Italia digitale quale soggetto “preposto alla realizzazione degli obiettivi dell’Agenda digitale italiana, in coerenza con gli indirizzi dettati dal Presidente del Consiglio dei ministri o dal Ministro delegato, e con l'Agenda digitale europea” e ne individua le funzioni;
VISTO in particolare il comma 2, lettera a) del citato articolo 14-bis, che riguarda la “emanazione di Linee guida contenenti regole, standard e guide tecniche, nonché di indirizzo, vigilanza e controllo sull'attuazione e sul rispetto delle norme di cui al presente Codice, anche attraverso l'adozione di atti amministrativi generali, in materia di agenda digitale, digitalizzazione della pubblica amministrazione, sicurezza informatica, interoperabilità e cooperazione applicativa tra sistemi informatici pubblici e quelli dell'Unione europea”;
VISTA la Circolare n. 3 del 6 dicembre 2016 recante “Regole Tecniche aggiuntive per garantire il colloquio e la condivisione dei dati tra sistemi telematici di acquisto e di negoziazione”, adottata da AgID in attuazione dell’art. 58, comma 10 del decreto legislativo 18 aprile 2016, n. 50;
VISTE le Specifiche tecniche per la definizione del DGUE elettronico italiano “eDGUE-IT”, emesse da AgID il 30 luglio 2021, come allegato alla citata Circolare n. 3/2016;
VISTO il decreto legislativo 31 marzo 2023, n. 36 recante Codice dei contratti pubblici (nel seguito anche Codice), entrato in vigore il 1° aprile 2023, che acquista efficacia a decorrere dal 1° luglio 2023;
VISTO l’articolo 26, commi 1 e 2 del decreto legislativo 31 marzo 2023 n. 36, i quali prevedono l’adozione, da parte di AgID, di un provvedimento sui requisiti tecnici e sulle modalità di certificazione delle piattaforme di approvvigionamento digitale;
VISTO altresì l’articolo 106 del Codice il quale, al comma 3, stabilisce che la garanzia fideiussoria per la partecipazione alla procedura di gara deve essere emessa e firmata digitalmente, verificabile telematicamente presso l'emittente ovvero gestita mediante ricorso a piattaforme operanti con tecnologie basate su registri distribuiti, conformi alle caratteristiche stabilite da AgID con il provvedimento di cui all'articolo 26, comma 1 del medesimo Codice;
CONSIDERATO che l’articolo 26 del Codice prevede che AgID adotti il provvedimento in parola entro sessanta giorni dalla data di entrata in vigore del Codice e che lo stesso provvedimento sia sottoposto all’intesa dell’Autorità Nazionale Anticorruzione (nel seguito anche ANAC) e del Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio dei Ministri;
CONSIDERATO che il presente provvedimento entra in vigore il giorno della pubblicazione sul sito istituzionale di AgID, di cui viene data notizia nella Gazzetta Ufficiale della Repubblica Italiana ed acquista efficacia dal 1° gennaio 2024;
VISTA la legge 21 giugno 1986, n. 317 recante “Disposizioni di attuazione di disciplina europea in materia di normazione europea e procedura d'informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione”;
TENUTO CONTO che la legge n. 317/1986 dà attuazione, tra l’altro, alla direttiva (UE) 2015/1535 e che il provvedimento in oggetto è soggetto a notifica, ai sensi della direttiva citata;
TENUTO CONTO che il provvedimento sarà aggiornato al mutare del quadro normativo vigente nazionale ed europeo e/o a seguito di evoluzioni tecnologiche ed architetturali, con le medesime modalità con cui viene emesso;
CONSIDERATO che l’adozione del citato provvedimento è una delle misure propedeutiche alla piena attuazione delle misure previste dal nuovo Codice dei contratti pubblici in materia di digitalizzazione;
TENUTO CONTO della scadenza del 30 giugno 2023 relativa al traguardo PNRR M1C1-74 “Entrata in vigore di tutte le necessarie misure di esecuzione e delle norme di diritto derivato per la riforma/semplificazione del sistema degli appalti pubblici”, concernente l’attuazione del decreto legislativo 31 marzo 2023, n. 36;
TENUTO CONTO del percorso di condivisione avviato da AgID con le istituzioni competenti a vari livelli e con i portatori di interesse, con l’obiettivo di coinvolgere tutti i soggetti, pubblici e privati, a vario titolo interessati dal raggiungimento degli obiettivi di digitalizzazione dei procedimenti di approvvigionamento pubblico;
TENUTO CONTO dei contributi pervenuti, che hanno consentito di definire un provvedimento coerente con lo stato attuale di implementazione delle piattaforme di approvvigionamento digitale, abilitando altresì le evoluzioni strategiche necessarie per la digitalizzazione del ciclo di vita dei contratti pubblici;
TENUTO CONTO della collaborazione e condivisione con ANAC e con il Dipartimento per la Trasformazione Digitale attraverso lo scambio continuo, nel periodo antecedente e successivo all’entrata in vigore del Codice, e dei contribuiti dagli stessi pervenuti, utili al raggiungimento dell’obiettivo di definire il provvedimento in oggetto;
CONSIDERATO che lo schema di provvedimento in oggetto è stato condiviso per l’intesa con ANAC e Dipartimento per la Trasformazione Digitale in data 26 maggio 2023, con nota prot. 6646;
Tutto ciò premesso, considerato e ritenuto
DETERMINA
1. Di approvare, per i motivi sopra esposti che interamente si richiamano, il provvedimento “Requisiti tecnici e modalità di certificazione delle Piattaforme di approvvigionamento digitale”, ex art. 26 del Codice dei contratti pubblici, allegato alla presente;
2. Di dare mandato alla dott.ssa Emanuela Mariotti per le attività conseguenti;
3. Di dare mandato al competente Ufficio per la pubblicazione sul sito web istituzionale di AgID, nella sezione “Amministrazione Trasparente”, ai fini del rispetto degli obblighi di trasparenza previsti dalla normativa vigente in materia.
Mario Nobile
AGID Regole tecniche
Requisiti tecnici e modalità di certificazione delle Piattaforme di approvvigionamento digitale
[Versione 1.0 del 1 giugno 2023 – efficaci dal 1-1-2024]
Sommario
AGID DETERMINAZIONE N. 137/2023 DEL 01 GIUGNO 2023 1
IL DIRETTORE GENERALE 1
VISTI: 1
INTRODUZIONE 3
1. AMBITO DI APPLICAZIONE 4
1.1 AMBITO SOGGETTIVO 4
1.2 AMBITO OGGETTIVO 4
2. RIFERIMENTI E SIGLE 4
2.1 NOTE DI LETTURA DEL DOCUMENTO 4
2.2 RIFERIMENTI NORMATIVI 4
2.3 LINEE GUIDA E REGOLE TECNICHE DI RIFERIMENTO 5
2.4 TERMINI E DEFINIZIONI 6
2.5 STANDARD DI RIFERIMENTO 7
3. REQUISITI DELLE PIATTAFORME 7
3.1 PRINCIPI GENERALI E SUDDIVISIONE IN CLASSI DI REQUISITI 7
3.2 REQUISITI DERIVANTI DALLE DISPOSIZIONI DEL CAD E DA NORME DI CARATTERE GENERALE (CLASSE 1) 8
3.3 REQUISITI FUNZIONALI DEL CICLO DI VITA DIGITALE DEI CONTRATTI (CLASSE 2) 9
Requisiti funzionali generali (Classe 2-a) 9
Requisiti funzionali specifici (Classe 2-b) 10
3.4 REQUISITI DI INTEROPERABILITÀ (CLASSE 3) 12
4. LA CERTIFICAZIONE 12
4.1 CERTIFICAZIONE AGID 12
4. REQUISITI DEL GESTORE E DICHIARAZIONE DI CONFORMITÀ 13
5.1 REQUISITI DEL GESTORE 13
5.2 DICHIARAZIONE DI CONFORMITÀ DI PIATTAFORMA 14
6. PIATTAFORME DI GESTIONE DELLE GARANZIE FIDEIUSSORIE 15
6.1 AMBITO DI APPLICAZIONE E DEFINIZIONI 15
6.2 REQUISITI DEI REGISTRI DISTRIBUITI 15
7. ENTRATA IN VIGORE E NORME TRANSITORIE 16
Introduzione
Il decreto legislativo 31 marzo 2023, n. 36, pubblicato nella Gazzetta ufficiale n. 77 del 31 marzo 2023, (di seguito Codice) prevede, ai sensi dell’ articolo 26, comma 1, che spetta all’Agenzia per l’Italia Digitale (di seguito AGID), di intesa con l’ANAC e la Presidenza del Consiglio dei Ministri, Dipartimento per la trasformazione digitale, stabilire attraverso un proprio provvedimento, i requisiti tecnici delle piattaforme di approvvigionamento digitale di cui all’articolo 25 del Codice, nonché la conformità di dette piattaforme a quanto disposto dall’articolo 22, comma 2.
Nell’ambito dello stesso provvedimento, ai sensi dell’articolo 26, comma 2 del Codice, AGID è tenuta altresì a stabilire le modalità per la certificazione delle piattaforme di approvvigionamento digitale.
Ai sensi dell’articolo 106, comma 3 del Codice e con riferimento alle tecnologie basate su registri distribuiti di cui all’articolo 8-ter, comma 1, del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, le presenti Regole tecniche stabiliscono le caratteristiche delle piattaforme per la gestione delle garanzie fideiussorie operanti con tecnologie basate su registri distribuiti.
Le presenti Regole tecniche sono adottate in attuazione della Parte II del Libro I del Codice relativa alla digitalizzazione del ciclo di vita dei contratti pubblici, le cui disposizioni si pongono l’obiettivo di ridurre i tempi di gara, semplificare le procedure e ridurre i contenziosi, contribuendo a migliorare l’efficienza amministrativa complessiva e gli oneri amministrativi a carico delle imprese favorendo una più ampia partecipazione delle stesse e superano le previsioni di cui al decreto ministeriale 12 agosto 2021, n. 148.
La digitalizzazione del ciclo di vita dei contratti di acquisto pubblico si fonda sul rispetto dei principi e delle disposizioni del Codice dell’amministrazione digitale (CAD) di cui al d.lgs. 7 marzo 2005, n. 82, e sulla formazione, acquisizione e gestione di documenti nativi digitali mediante le piattaforme e i servizi digitali infrastrutturali abilitanti la gestione del ciclo di vita dei
contratti pubblici e le piattaforme di approvvigionamento digitale, che compongono l’ecosistema nazionale di approvvigionamento digitale di cui all’articolo 22 del Codice.
Le presenti Regole tecniche possono essere oggetto di aggiornamenti sia per tener conto dell’evoluzione del quadro normativo italiano ed europeo sia per l’evoluzione degli standard tecnologici di riferimento.
1. Ambito di applicazione
1.1 Ambito soggettivo
Le presenti Regole tecniche sono emesse ai sensi dell’articolo 26 comma 1 del Codice, nel rispetto di quanto previsto dal Codice dell’amministrazione digitale (CAD) di cui al d.lgs. 7 marzo 2005, n. 82 e dal Piano triennale per l'informatica nella pubblica amministrazione, elaborato dall'AGID ed adottato con decreto del Presidente del Consiglio dei Ministri ai sensi dell'articolo 14-bis, comma 2, lettera b) del CAD.
I soggetti destinatari delle presenti Regole tecniche sono:
• i Titolari delle piattaforme di approvvigionamento digitale, di cui all’articolo 25 del Codice;
• i Gestori di tali piattaforme di approvvigionamento digitale;
• i Gestori di piattaforme, per la gestione delle garanzie fideiussorie, operanti con tecnologie basate su registri distribuiti di cui all’articolo 106, comma 3 del Codice.
1.2 Ambito oggettivo
Il presente documento stabilisce:
• I requisiti tecnici delle piattaforme di approvvigionamento digitale, suddivisi in tre classi:
• requisiti generali derivanti dalle disposizioni del CAD e da norme di carattere generale come stabilito dall’articolo 19, comma 1 del Codice;
• requisiti funzionali specifici esplicitamente indicati nel Codice, con particolare riferimento all’articolo 22, comma 2, nelle attività di cui all’articolo 21. Comma 1;
• requisiti di interoperabilità con le piattaforme e i servizi digitali infrastrutturali abilitanti la gestione del ciclo di vita dei contratti pubblici, i cui all’articolo 23 e in particolare con la Banca dati nazionale dei contratti pubblici (BDNCP), di cui all’articolo 62-bis del CAD e di cui è titolare l’ANAC.
• Le modalità per la certificazione delle piattaforme di approvvigionamento digitale.
• Le caratteristiche dei registri distribuiti utilizzati nell’ambito delle piattaforme di gestione delle garanzie fideiussorie.
2. Riferimenti e sigle
2.1 Note di lettura del documento
In linea con le direttive ISO/IEC, Parte 2, e con le prassi seguite dagli enti di standardizzazione europei nella stesura dei documenti di normazione tecnica, il presente documento utilizza le forme verbali «deve», «devono», «non deve», «non devono», «dovrebbe»,
«non dovrebbe», «può», «possono» e l’aggettivo «opzionale», secondo l’interpretazione descritta di seguito:
• deve, devono, non deve o non devono indicano un obbligo;
• dovrebbe, dovrebbero, non dovrebbe o non dovrebbero, indicano una raccomandazione, per la quale si richiede di comprendere e valutare le implicazioni in caso di scelta di approcci alternativi;
• può, possono o l'aggettivo opzionale, indicano una possibilità di scelta.
2.2 Riferimenti Normativi
Sono riportati di seguito gli atti che compongono il quadro giuridico, di principale riferimento in ambito nazionale ed europeo, del presente documento.
[CAD] Decreto legislativo 7 marzo 2005, n. 82 recante “Codice dell’amministrazione digitale”; NOTA – Il D.Lgs. 82/2010 è noto anche con l’abbreviazione “CAD”.
[Direttive UE] Direttive europee sui contratti pubblici:
1. 2014/23/UE sull’aggiudicazione dei contratti di concessione,
2. 2014/24/UE sugli appalti pubblici,
3. 2014/25/UE sulle procedure d’appalto degli enti erogatori nei settori dell’acqua, dell’energia, dei trasporti e dei servizi postali.
[Codice] Decreto legislativo 31 marzo 2023, n. 36 “Codice dei contratti pubblici in attuazione dell'articolo 1 della legge 21 giugno 2022, n. 78, recante delega al Governo in materia di contratti pubblici”, che recepisce le direttive europee del 2014.
[eIDAS] electronic IDentification Authentication and Signature - Regolamento (UE) n° 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE - ha l’obiettivo di fornire una base normativa a livello europeo per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri dell’UE.
[GDPR] REGOLAMENTO (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
2.3 Linee guida e regole tecniche di riferimento
Di seguito sono elencate le Linee guida emesse da AGID ai sensi dell’art. 71 del CAD e altra documentazione regolamentare, che sono richiamate, anche indirettamente, nel presente documento. Le Linee guida AGID sono disponibili tramite il sito istituzionale al seguente indirizzo: https://www.agid.gov.it/it/linee-guida, dove sono pubblicati anche i relativi aggiornamenti in conseguenza dell’evoluzione tecnologica o della necessità di adeguamento alla normativa di riferimento.
[LG_DOC_INF] Linee Guida sulla formazione, gestione e conservazione dei documenti informatici e relativi allegati.
[LG_PDND_INTER] Linee guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi delle basi dati
[LG_SIC_INTER] Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici
[LG_INTER_TEC] Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni
[ST_eDGUE] Specifiche tecniche per la definizione del DGUE elettronico italiano “eDGUE-IT”
[RT_SPID] REGOLAMENTO recante Regole Tecniche di SPID
[AVVISI_SPID] DETERMINAZIONE N. 16/2016 recante Pubblicazione di “Avvisi” sulle procedure tecniche inerenti il Sistema Pubblico per la gestione dell’Identità digitale (SPID)
[LG_OPENID] Linee Guida OpenID Connect in SPID
[FICEP] Progetto FICEP -nodo eIDAS italiano – Avviso n. 1-2018 – Note per il dispiegamento del LOGIN eIDAS presso le Pubbliche Amministrazioni
[LOA] SPID – Sistema Pubblico per l’Identità Digitale – Avviso n. 04-2018 –
Livelli di servizio minimo per funzionalità omogenee
[DET_CLOUD] Decreto direttoriale ACN Prot. N. 5489 del 08/02/2023 per la transizione di infrastrutture e servizi digitali https://www.acn.gov.it/documents/DeterminazioneCloud20230208_d ef_signed.pdf
[QUAL_CLOUD] Decreto direttoriale prot. N. 29 del 02/01/2023
https://www.acn.gov.it/DecretodirettorialeQualificazioneServiziCloud2ge nn23DEFsigned.pdf
[REG_CLOUD] REGOLAMENTO recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione
[LG_DATI] LINEE GUIDA Nazionali per la valorizzazione del patrimonio informativo pubblico https://www.dati.gov.it/linee-guida-valorizzazione- patrimonio-informativo-pubblico
[RACC_TLS] Determinazione n. 471 del 5 novembre 2020 - Adozione delle Raccomandazioni AgID in merito allo standard Transport Layer Security (TLS)
[LG_OPENDATA] Linee Guida Open Data | Linee Guida recanti regole tecniche per l’attuazione del decreto legislativo 24 gennaio 2006, n. 36 e s.m.i. relativo all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico (italia.it) Disponibile nella versione della consultazione pubblica su Docs Italia
[LG_ACCESS] Linee Guida sull’accessibilità degli strumenti informatici
[LG_SITI] Linee guida di design per i siti internet e i servizi digitali della PA https://docs.italia.it/italia/design/lg-design-servizi-web/it/versione- corrente/index.html
2.4 Termini e definizioni
Di seguito si riportano gli ACRONIMI che verranno utilizzati nelle presenti Regole tecniche:
[PA] Pubblica amministrazione.
[SA] Stazione appaltante e, ove applicabile in base al Codice, l’ente concedente.
[CdC] Centrale di committenza.
[OE] Operatore economico.
[CEN] Comitato europeo di normazione (uno degli enti di standardizzazione riconosciuti in Europa, v. Allegato I del Regolamento (UE) N. 1025/2012).
[BDNCP] Banca dati nazionale dei contratti pubblici, di cui all’articolo 62-bis del CAD.
[PDND] Piattaforma digitale nazionale dei dati, di cui all’articolo 50-ter del CAD.
Ai fini delle presenti Regole tecniche, si intende per:
[Piattaforma di approvvigionamento digitale] o [Piattaforma], ai sensi dell'art. 25 del Codice, insieme dei servizi e dei sistemi informatici, interconnessi e interoperanti, utilizzati dalle stazioni appaltanti e dagli enti concedenti per svolgere una o più attività del ciclo di vita dei contratti pubblici (di norma programmazione, progettazione, pubblicazione, affidamento ed esecuzione), e per l’interazione con la BDNCP.
[Componente della Piattaforma di approvvigionamento digitale] Servizio o sistema informatico software componente di una Piattaforma di approvvigionamento digitale e tale che soddisfi entrambe le seguenti condizioni:
a) il componente è utilizzato da almeno una stazione appaltante e da un ente concedente;
b) il componente realizza una delle attività previste all’art. 22 comma 2 del Codice o interagisce con la BDNCP.
[Titolare della piattaforma] o [Produttore] Soggetto giuridico, pubblico o privato, proprietario dei diritti, anche non esclusivi, di almeno un componente essenziale della Piattaforma e che mette a disposizione, anche mediante contratti, convenzioni/accordi, sviluppa e mantiene il software della Piattaforma conforme ai requisiti del Codice e delle presenti Regole tecniche e lo sottopone a certificazione AGID ai sensi dell’art. 26, c. 2 del Codice, con le modalità specificate nelle presenti Regole tecniche.
[Gestore della piattaforma] o [Gestore] Soggetto giuridico, pubblico o privato, responsabile della gestione dell’esercizio di un’istanza della Piattaforma in conformità alle presenti Regole tecniche, coincidente con una SA o dalla stessa incaricato, che ne garantisce il funzionamento, la sicurezza e la protezione dei dati personali.
[Amministratore di Sistema] o [ADS] Persona fisica cui è conferito dal Gestore il compito di sovraintendere alla gestione e alla manutenzione della Piattaforma ed al suo utilizzo nel rispetto dei requisiti di protezione dei dati e sicurezza.
[Utente] Persona fisica autorizzata all'utilizzo della piattaforma secondo uno specifico profilo applicativo.
[Profilo applicativo] l’insieme di informazioni relative ai privilegi applicativi di un utente della piattaforma che consente di definire, in base al ruolo dichiarato che ricopre all’interno della propria organizzazione, l’insieme delle attività di competenza per ogni attività del ciclo di vita del contratto.
[Gestori delle piattaforme di gestione delle garanzie fideiussorie] Soggetto giuridico, pubblico o privato, responsabile della gestione delle piattaforme basate su registri distribuiti, previste dall’articolo 106, comma 3 del Codice per consentire la gestione della garanzia fideiussoria.
[PDND interoperabilità] Infrastruttura tecnologica d’interoperabilità di cui al comma 3 dell’articolo 50-ter del CAD.
[Registro delle piattaforme certificate] Il Registro previsto dall’art. 26 comma 3 del Codice.
Il presente Regolamento individua le seguenti tre sezioni costituenti il Registro delle Piattaforme certificate:
• La sezione dei componenti di Piattaforma di approvvigionamento digitale che hanno ottenuto la certificazione nelle modalità previste dalle presenti Regole tecniche, detta anche, per brevità, Sezione dei prodotti certificati;
• La sezione dei Gestori autorizzati: soggetti giuridici, pubblici o privati, autorizzati alla gestione delle istanze di Piattaforma di approvvigionamento digitale;
• La sezione delle Piattaforme conformi: Piattaforme di approvvigionamento digitale che hanno ottenuto la “Dichiarazione di conformità di piattaforma”.
[Dichiarazione di conformità di Piattaforma]: documento attestante che una data Piattaforma di approvvigionamento digitale:
• è realizzata con componenti (prodotti) certificati ai sensi delle presenti Regole tecniche;
• che tali componenti sono installati in conformità alle istruzioni del Produttore;
• che la Piattaforma è stata sottoposta con successo ai test di funzionalità del comportamento di “client fruitore” della PDND.
La dichiarazione di conformità di Piattaforma è rilasciata da un Gestore di Piattaforma autorizzato.
2.5 Standard di riferimento
Gli standard e gli schemi dei dati a cui le presenti Regole tecniche fanno riferimento, derivano dalla diretta applicazione della normativa europea. L’attività di standardizzazione in materia di eProcurement è svolta a livello europeo nell’ambito del Comitato di standardizzazione Europeo (CEN) per garantire la coerenza e la stretta aderenza alle direttive europee, introducendo o mantenendo livelli di regolazione corrispondenti a quelli minimi richiesti dalle direttive.
In particolare, si fa riferimento agli standard sviluppati, o in fase di sviluppo, da parte dei seguenti comitati tecnici del CEN:
• CEN/TC 440 “Electronic Public Procurement”;
• CEN/TC 434 “Electronic Invoicing”.
Le Piattaforme dovrebbero rispettare tali standard quale strumento a supporto della conformità ai requisiti della normativa europea, anche in considerazione della sua prevista evoluzione.
3. Requisiti delle piattaforme
3.1 Principi generali e suddivisione in classi di requisiti
L’AGID programma e coordina le attività delle amministrazioni per l'uso delle tecnologie dell'informazione e della comunicazione, mediante la redazione e il monitoraggio del Piano triennale per l’informatica nella Pubblica Amministrazione, che fissa gli obiettivi e individua i principali interventi di sviluppo e gestione dei sistemi informativi di tutte le amministrazioni pubbliche comprese le stazioni appaltanti e gli enti concedenti (SA).
Le Linee guida AGID di cui art. 71 del CAD disciplinano in modo dettagliato alcune componenti del sistema informativo della PA (ad esempio lo sviluppo e l’accessibilità ai servizi digitali, la sicurezza, la gestione documentale, le piattaforme, le banche dati, l’interoperabilità interna e l’interoperabilità transfrontaliera) cui sono soggette anche le Piattaforme di approvvigionamento digitale.
Il Codice disciplina i contratti pubblici di appalto e delle concessioni. Secondo quanto stabilito dall’art. 19, comma 1 le SA assicurano la digitalizzazione del ciclo di vita dei contratti nel rispetto dei principi e delle disposizioni del CAD, garantiscono l’esercizio dei diritti di cittadinanza digitale e operano secondo i principi di neutralità tecnologica, di trasparenza, nonché di protezione dei dati personali e di sicurezza informatica.
Le SA utilizzano le Piattaforme di approvvigionamento digitale per svolgere le procedure di affidamento ed esecuzione dei contratti pubblici (articolo 25, comma 2 del Codice) secondo le presenti Regole tecniche.
Nel caso in cui le SA non fossero dotate di una propria piattaforma di approvvigionamento digitale “… si avvalgono delle piattaforme messe a disposizione da altre stazioni appaltanti o enti concedenti, da centrali di committenza o da soggetti aggregatori, da regioni o province autonome che a loro volta possono ricorrere a un gestore del sistema che garantisce il funzionamento e la sicurezza della piattaforma.” (art. 25 comma, 3 del Codice).
I requisiti tecnici delle piattaforme di approvvigionamento digitale devono essere soddisfatti, in relazione ai rispettivi ruoli, sia dai Titolari che dai Gestori delle Piattaforme e sono suddivisi in tre classi:
1. requisiti generali (Classe 1) derivanti dal rispetto dei principi e delle disposizioni del CAD o altra normativa di applicabilità generale, specificati nel paragrafo 3.2;
2. requisiti funzionali del ciclo di vita dei contratti secondo quanto stabilito dal Codice (Classe 2) e suddivisi in due sottoclassi:
a. requisiti funzionali generali (Classe 2-a), specificati nel paragrafo 3.3.1;
b. requisiti funzionali specifici (Classe 2-b) specificati nel paragrafo 3.3.2;
3. requisiti per l’interoperabilità (Classe 3) specificati nel paragrafo 3.4.
I requisiti di Classe 2 e 3 sono oggetto di certificazione ai sensi dell’articolo 26 del Codice.
In Figura 1 vengono illustrate le azioni svolte in ciascuna delle attività del ciclo di vita digitale dei contratti di cui all’articolo 21.
Figura 1 Le attività del ciclo di vita dei contratti pubblici
In Figura 2 si presenta un sinottico dei requisiti funzionali specifici (Classe 2-b) e di interoperabilità (Classe 3).
Attività del ciclo di vita dei contratti pubblici (articolo 21,
comma 1 del Codice) Requisiti di piattaforme e servizi digitali (articolo 22, comma 2 del Codice)
a) Redazione o acquisizione degli atti in formato nativo digitale b) pubblicazione e trasmissione dei dati e documenti alla BDNCP c) accesso elettronico alla documentazione di gara d) presentazione del DGUE in formato digitale e interoperabilità con il FVOE e) presentazione delle offerte f) apertura e conservazione del fascicolo di gara in modalità digitale g) controllo tecnico, contabile e amministrativo dei contratti in fase di esecuzione e gestione delle garanzie
Programmazione Classe 2-b Classe 3 Classe 2-b NO NO NO NO
Progettazione Classe 2-b NO Classe 2-b NO NO NO NO
Pubblicazione Classe 2-b Classe 3 Classe 2-b Classe 2-b (DGUE) Classe 2-b Classe 2-b Classe 3
Affidamento Classe 2-b Classe 3 Classe 2-b Classe 3 (FVOE) NO Classe 2-b Classe 3
Esecuzione Classe 2-b Classe 3 Classe -2b Classe 3 (FVOE) NO Classe 2-b Classe 3
Figura 2 sinottico dei requisiti funzionali specifici (Classe 2-b) e di interoperabilità (Classe 3)
In particolare:
• L'attività di programmazione prevede l’invio alla BDNCP delle informazioni necessarie in relazione alla pianificazione triennale;
• L’attività di progettazione prevede la predisposizione della documentazione per ciascuna delle gare programmate;
• L'attività di pubblicazione prevede tra l’altro la creazione del fascicolo di gara e la messa a disposizione agli OE e agli altri soggetti interessati della documentazione pubblica di gara;
• L'attività di affidamento comprende l’esecuzione della procedura di selezione degli operatori economici. In questa fase avvengono le comunicazioni formali tra SA e OE, la presentazione dell’offerta, la valutazione e l’aggiudicazione, con tutte le conseguenti comunicazioni tra la Piattaforma e la infrastruttura centrale della BDNCP;
• L'attività di esecuzione prevede l’invio alla BDNCP dei dati e delle informazioni raccolte dalle piattaforme durante l’attività di esecuzione contrattuale (es. SAL, modifiche contrattuali, collaudo, ecc.).
3.2 Requisiti derivanti dalle disposizioni del CAD e da norme di carattere generale (Classe 1)
I requisiti di Classe 1 derivano dal rispetto, in via primaria, dei principi e delle disposizioni del CAD e delle altre norme applicabili di carattere generale.
[3.2-1] I Titolari e i Gestori delle piattaforme devono rispettare i seguenti requisiti normativi:
• [3.2-1.1] le disposizioni in materia di sicurezza informatica, in particolare quelle che stabiliscono i requisiti minimi di cui all’Allegato B del Regolamento di cui all’articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 emesso dall’AGID e successive modificazioni ed integrazioni e le ulteriori disposizioni dell’Agenzia per la Cybersicurezza Nazionale emesse con riferimento al predetto Regolamento;
• [3.2-1.2] il d.lgs. 24 gennaio 2006, n. 36, in relazione ai dati e alle informazioni da gestire e rendere fruibili in formato aperto;
• [3.2-1.3] la legge 9 gennaio 2004, n. 4 in relazione alla semplificazione dell'accesso degli utenti e, in particolare, delle persone con disabilità agli strumenti informatici.
[3.2-2] I Titolari e i Gestori delle piattaforme devono altresì rispettare almeno le seguenti Linee Guida AGID:
• [3.2-2.1] Linee Guida sulla formazione, gestione e conservazione dei documenti informatici, emesse dall’AGID ai sensi del CAD;
• [3.2-2.2] Linee Guida sull’accessibilità degli strumenti informatici, emesse dall’AGID ai sensi della legge 9 gennaio 2004, n. 4.
[3.2-3] I Titolari e i Gestori delle piattaforme devono:
• [3.2-3.1] monitorare costantemente la pubblicazione di norme, linee guida e regole tecniche al fine di garantire la conformità alle norme applicabili delle piattaforme e dei servizi da esse prestati;
• [3.2-3.2] operare in linea con quanto previsto da standard e best practice come ISO/IEC 20000-1, ISO 9001:2015 e ISO/IEC 27001; eventuali certificazioni, il cui ambito sia coerente, possono essere uno strumento a supporto della prova del rispetto di quanto qui previsto.
[3.2-4] I Gestori delle piattaforme devono:
• [3.2-4.1] utilizzare esclusivamente Piattaforme cui sia stato rilasciato il Certificato AGID secondo quanto stabilito dall’articolo 26, comma 2 del Codice e presenti nell’apposito registro tenuto dall’ANAC, secondo quanto previsto al comma 3 del medesimo articolo;
• [3.2-4.2] Configurare e gestire le piattaforme in conformità a quanto previsto nel Capitolo 5 delle presenti Regole tecniche ed alle istruzioni fornite dal Titolare.
[3.2-5] Nel caso in cui il Titolare ed il Gestore della piattaforma siano il medesimo soggetto, deve essere garantita una separazione organizzativa interna che consenta di attribuire le responsabilità individuate delle Regole tecniche ai ruoli di Gestore e Titolare.
3.3 Requisiti funzionali del ciclo di vita digitale dei contratti (Classe 2)
I requisiti di Classe 2 sono requisiti funzionali che, in relazione alle Piattaforme, stabiliscono la conformità a quanto richiesto dal Codice e, comunque, nel rispetto dei principi e delle disposizioni in materia di digitalizzazione dei contratti pubblici.
Requisiti funzionali generali (Classe 2-a)
3.3.1.1 Accesso digitale alla piattaforma
[3.3.1.1-1] La piattaforma deve consentire l’identificazione degli utenti tramite i meccanismi di identificazione elettronica SPID e CIE.
[3.3.1.1-2] La piattaforma deve consentire l’identificazione elettronica degli utenti anche tramite altri meccanismi, in conformità alla normativa vigente. In particolare, per gli utenti europei, la piattaforma dovrebbe utilizzare le funzionalità del nodo eIDAS italiano [FICEP].
[3.3.1.1-3] I meccanismi di autenticazione ulteriori di cui al [3.3.1.1-2] resi disponibili dalla piattaforma devono essere classificati dal Titolare secondo una propria valutazione, rispetto alle definizioni di livello di garanzia dello standard ISO/IEC 29115 (LoA2, LoA3 o LoA4).
[3.3.1.1-4] La piattaforma deve garantire l’univocità del soggetto identificato indipendentemente dal meccanismo di identificazione elettronica utilizzato.
[3.3.1.1-5] L’identificazione elettronica dell'utente deve essere garantita al momento dell'accesso e rimane valida fino al termine della sessione di lavoro (es. eventuale integrazione con il sistema di single sign on dell’ente) fermo restando il rispetto dei requisiti di sicurezza.
3.3.1.2 Registrazione, profilazione e delega
[3.3.1.2-1] La piattaforma deve prevedere un sistema di profilazione che consenta di associare un profilo applicativo alle singole utenze delle rispettive organizzazioni: Stazione Appaltante, Operatore Economico, Gestore della piattaforma.
[3.3.1.2-2] La piattaforma deve consentire di associare il livello di garanzia minimo richiesto alle singole funzioni applicative o a loro aggregazioni logiche.
[3.3.1.2-3] La piattaforma deve prevedere in relazione alla Stazione appaltante un profilo applicativo per il ruolo RUP, di cui all’articolo 15 del Codice, e dovrebbe rendere disponibili funzioni di creazione e revoca di ulteriori profili con specifiche deleghe in relazione alla gestione del ciclo di vita dei contratti e, in particolare, all’accesso del FVOE per la verifica dei requisiti dell’OE.
[3.3.1.2-4] La piattaforma deve prevedere, ove applicabili, profili applicativi per i ruoli di Direttore dell'esecuzione o Direttore dei Lavori, Punto ordinante, Punto istruttore, Presidente di Commissione, deve consentire di associare allo stesso utente ruoli diversi e può rendere disponibili funzioni di creazione e revoca di ulteriori profili applicativi.
[3.3.1.2-5] La piattaforma deve consentire al Gestore, e può consentire al RUP o al suo delegato, di conoscere il dettaglio di ogni profilo applicativo attribuito a ciascun utente in funzione del suo ruolo, in particolare i privilegi associati ad ogni ruolo applicativo per ogni attività del ciclo di vita del contratto, e tutte le associazioni utente-profilo.
[3.3.1.2-6] La piattaforma deve prevedere in relazione all’Operatore Economico un profilo applicativo per il ruolo di legale rappresentante o suo delegato e può rendere disponibili funzioni di creazione e revoca di ulteriori profili applicativi.
[3.3.1.2-7] La piattaforma deve prevedere in relazione al Gestore il profilo applicativo di amministratore di sistema (ADS) della piattaforma e può rendere disponibili funzioni di creazione e revoca di ulteriori profili applicativi con specifiche funzioni amministrative individuate dal Gestore.
3.3.1.3 Tracciabilità
[3.3.1.3-1] La piattaforma deve gestire un Registro di sistema, costituito da uno o più log, che garantisce la registrazione di ogni accesso (utente e profilo applicativo) degli eventi significativi in relazione al ciclo di vita del contratto.
[3.3.1.3-2] Per ogni evento registrato nel Registro di sistema la piattaforma deve riportare data e ora e, ove applicabili nel contesto dell’evento, i dati identificativi del soggetto fisico o giuridico o del dispositivo che ha determinato l’evento, la singola operazione effettuata con le informazioni necessarie alla sua contestualizzazione, l’indirizzo IP di provenienza e altre informazioni ritenute utili.
[3.3.1.3-3] La piattaforma deve garantire l’inalterabilità del Registro di sistema e la possibilità di verifica della sua integrità.
[3.3.1.3-4 La piattaforma deve produrre estratti del Registro di sistema con le informazioni raccolte per ogni singola procedura ed allegare tale estratto al relativo fascicolo di gara. La Piattaforma deve realizzare estratti del Registro relativi ad un periodo temporale determinabile dal Gestore del Sistema, ed eventualmente disciplinato nell’accordo contrattuale di cui al paragrafo 5.1.
[3.3.1.3-5 Le piattaforme devono avere la capacità di mantenere per due anni le informazioni presenti nel Registro di sistema, salvo differenti accordi con la SA presenti nell’accordo contrattuale di cui al paragrafo 5.1.
3.3.1.4 Comunicazioni digitali
[3.3.1.4-1] La piattaforma deve gestire le comunicazioni e gli scambi di informazioni di cui al Codice, implementando un’area specifica di comunicazione tra SA e OE in relazione alla procedura. Con riferimento a tale area:
• [3.3.1.4-1.1] la piattaforma deve tracciare nel Registro di sistema ogni evento di invio e ricezione;
• [3.3.1.4-1.2] la piattaforma deve conservare nel fascicolo di gara ogni comunicazione.
[3.3.1.4-2] La piattaforma deve consentire alle stazioni appaltanti di inserire nel fascicolo di gara eventuali comunicazioni tra OE e SA avvenute su canali di comunicazione diversi dalla piattaforma, tra cui la mail e la posta certificata, tracciando l’operazione nel Registro di sistema.
[3.3.1.4-3] La piattaforma deve dichiarare esplicitamente a tutti gli utenti coinvolti dove avvengono le comunicazioni che hanno rilevanza in relazione alla procedura e richiedere i consensi necessari.
[3.3.1.4-4] La piattaforma può prevedere ulteriori meccanismi di notifica indicando in modo chiaro quale sia il canale che produce gli effetti di comunicazione.
Requisiti funzionali specifici (Classe 2-b)
3.3.2.1 a) Redazione o acquisizione degli atti in formato nativo digitale [3.3.2.1-1] La piattaforma deve garantire la redazione o acquisizione degli atti in formato nativo digitale in tutte le attività del ciclo di vita del contratto previste nel Quadro sinottico, nel rispetto del paragrafo 2.1.1 (formazione del documento informatico) delle
Linee Guida sulla formazione, gestione e conservazione dei documenti informatici [LG_DOC_INF], dell’allegato 2 di tali linee guida in relazione ai formati e dell’allegato 5 relativamente ai metadati.
[3.3.2.1-2] La piattaforma deve dichiarare all’utente le dimensioni massime e i formati acquisibili dei file.
[3.3.2.1-3] La piattaforma può indicare limitazioni di formato per ragioni di sicurezza, ad esempio in relazione ai codici eseguibili.
[3.3.2.1-4] La piattaforma deve consentire l’acquisizione di documenti con firma o sigillo elettronico. Il mancato riconoscimento di una specifica forma di firma o sigillo non deve impedire l’acquisizione del documento.
[3.3.2.1-5] La piattaforma deve specificare per quali formati, nell’ambito del rispetto del requisito [3.3.2.1-4], effettua la validazione di firme e sigilli elettronici.
[3.3.2.1-6] La piattaforma deve fornire indicazioni chiare sul motivo in caso di mancata accettazione dell’acquisizione di un documento (es. superamento limite dimensionale, errore di validazione della firma, ecc.).
[3.3.2.1-7] La piattaforma può rendere disponibili interfacce API con cui scambiare i dati, al fine dell’acquisizione dei documenti fermo restando il rispetto dei requisiti di accesso (par 3.3.1.1) e profilazione (par. 3.3.1.2).
3.3.2.2 c) Accesso elettronico alla documentazione di gara
[3.3.2.2-1] La piattaforma deve rendere disponibili dati e informazioni che raccoglie o genera nelle varie attività del ciclo di vita della gara nel rispetto dei vincoli prestabiliti dal Codice.
[3.3.2.2-2] La piattaforma, prima di autorizzare l’accesso a dati ed informazioni relativamente alla documentazione di gara, deve effettuare i seguenti controlli:
• [3.3.2.2-1.1] identificare il soggetto che richiede l’accesso, nel rispetto dei requisiti di cui al paragrafo 3.3.1.1. Accesso digitale alla piattaforma;
• [3.3.2.2-1.2] associare eventuali profili applicativi e deleghe validi per tale soggetto al momento dell’accesso, nel rispetto dei requisiti di cui al paragrafo 3.3.1.2. di Registrazione, profilazione e delega;
• [3.3.2.2-1.3] verificare i diritti di accesso in relazione ai profili/deleghe validi e alla attività che il soggetto può svolgere nel rispetto delle limitazioni previste dal Codice;
• [3.3.2.2-1.4] tracciare tutti gli accessi, nel rispetto dei requisiti del paragrafo 3.3.1.3 Tracciabilità.
[3.3.2.2-3] Nel caso di oscuramento di parti dell’offerta ai sensi dell’articolo 36 del Codice, la piattaforma deve gestire il collegamento coi documenti non oscurati ed i diritti di accesso corrispondenti.
Nota: i requisiti di questo paragrafo devono essere applicati in congiunzione a quelli del paragrafo 3.3.2.5 “f) Apertura e conservazione del fascicolo di gara in modalità digitale”.
3.3.2.3 d) Presentazione del DGUE in formato digitale
[3.3.2.3-1] La piattaforma deve garantire la redazione o acquisizione del DGUE di cui al Regolamento di esecuzione (UE) 2016/7 della Commissione del 5 gennaio 2016 nell’attività di pubblicazione della procedura di gara nel formato definito dalle linee guida AGID basato sul formato strutturato XML conforme al modello dati ESPD-EDM ver
2.1.1 definito dalla Commissione europea.
3.3.2.4 e) Presentazione delle offerte
[3.3.2.4-1] La piattaforma deve fornire all’OE schemi e moduli per la formazione dell’offerta o funzioni di acquisizione dei documenti dell’offerta.
[3.3.2.4-2] La piattaforma può rendere disponibili interfacce API per l’acquisizione della documentazione dell’offerta in aggiunta a quanto previsto al punto [3.3.2.4-1] fermo restando il rispetto dei requisiti di accesso (par 3.3.1.1) e profilazione (par. 3.3.1.2).
[3.3.2.4-3] La piattaforma deve fornire funzioni di tracciatura relativamente all’istante di acquisizione.
[3.3.2.4-4] La piattaforma deve rendere riservato (non leggibile) il contenuto dei documenti che compongono l’offerta impedendo la leggibilità del contenuto a chiunque, fino al giorno fissato per l’apertura delle offerte.
[3.3.2.4-5] La piattaforma deve consentire l’acquisizione di integrazioni o rettifiche dell’offerta, nei casi previsti dal Codice.
[3.3.2.4-6] La piattaforma deve consentire di raggruppare la documentazione che compone l’offerta in insiemi logici, denominati Buste, e deve gestire almeno Buste con i documenti che costituiscono l’offerta tecnica, l’offerta economica e la documentazione amministrativa.
[3.3.2.4-7] La piattaforma deve consentire di procedere separatamente all’apertura delle Buste della documentazione amministrativa, dell’offerta tecnica e dell’offerta economica.
[3.3.2.4-8] La piattaforma deve consentire di associare al soggetto formalmente autorizzato all’apertura delle Buste il profilo applicativo che abilita tale funzione.
[3.3.2.4-9] Dopo l’apertura di ciascuna Busta, la piattaforma deve consentire l’accesso al contenuto della Busta stessa solo ai soggetti formalmente autorizzati.
[3.3.2.4-10] La piattaforma deve tracciare nel Registro di sistema:
• [3.3.2.4-10.1] l’assegnazione e la revoca dei profili applicativi che consentono l’apertura delle Buste;
• [3.3.2.4-10.2] l’assegnazione e la revoca dei profili applicativi che consentono la possibilità di accedere al contenuto di ogni Busta dopo la sua apertura con l’indicazione del soggetto cui il profilo si riferisce;
• [3.3.2.4-10.3] l’evento di apertura di ogni Busta ed ogni evento di accesso al relativo contenuto con l’indicazione del soggetto cui tali eventi si riferiscono.
[3.3.2.4-11] La piattaforma deve consentire di rendere distinguibili tra loro i soggetti che hanno rispettivamente il diritto di apertura delle «Buste» ed accesso al relativo contenuto e il diritto di gestione/trattamento del Registro di sistema, fermo restando il requisito di immodificabilità del Registro di sistema.
3.3.2.5 f) Apertura e conservazione del fascicolo di gara in modalità digitale
[3.3.2.5-1] La piattaforma deve predisporre le informazioni necessarie per la conservazione a norma del fascicolo di gara secondo le Linee Guida sulla formazione, gestione e conservazione dei documenti informatici e i relativi allegati.
[3.3.2.5-2] La piattaforma deve predisporre i metadati obbligatori per la documentazione di gara in conformità con l’allegato 5 «Metadati» delle citate Linee Guida, con l’esclusione dei metadati che dipendono dal piano di classificazione e relativo piano di organizzazione delle aggregazioni documentali adottato dalla Stazione Appaltante ai sensi dell’articolo 64 del D.P.R. 28 dicembre 2000, n. 445 Testo Unico sulla documentazione amministrativa.
[3.3.2.5-3] Per consentire alla Stazione Appaltante di identificare correttamente i documenti e le aggregazioni coerentemente col proprio piano di organizzazione delle aggregazioni documentali, la piattaforma deve acquisire i codici univoci d’identificazione relativi al fascicolo di gara, ottenuti tramite l’interazione coi servizi infrastrutturali di cui al requisito [3.4-5], in particolare [3.4-5.1], che costituiscono identificatori persistenti ai sensi delle Linee Guida di cui al requisito [3.2-2.1]:
• [3.3.2.5-3.1] idAppalto;
• [3.3.2.5-3.2] CIG.
[3.3.2.5-4] La piattaforma deve consentire la generazione, la visualizzazione e l’esportazione del Fascicolo in qualunque momento del ciclo di vita del contratto, con le limitazioni indicate in riferimento al paragrafo 3.3.2.2 “c) Accesso elettronico alla documentazione di gara”.
[3.3.2.5-5] La piattaforma deve consentire l’inserimento e l’estrazione nel fascicolo di documenti o insiemi di documenti che sono stati formati esternamente alla piattaforma.
[3.3.2.5-6] La piattaforma può rendere disponibili interfacce API per le funzioni previste ai requisiti [3.3.2.5-4], ferme restando le limitazioni ivi indicate e il rispetto dei requisiti di accesso (par 3.3.1.1) e profilazione (par. 3.3.1.2).
[3.3.2.5-7] La piattaforma deve consentire la cancellazione del fascicolo di gara a seguito di richiesta del RUP. Tale funzione deve prevedere un meccanismo di controllo forte. Esempio: la conferma sia da parte del RUP che dell’ADS o ruolo del Gestore espressamente delegato per questa funzione.
[3.3.2.5-8] Gli eventi di cui ai punti [3.3.2.5-4], [3.3.2.5-5], [3.3.2.5-6] e [3.3.2.5-7] devono essere tracciati nel Registro di sistema.
3.4 Requisiti di interoperabilità (Classe 3)
I requisiti di Classe 3 riguardano gli aspetti di interoperabilità tramite la PDND interoperabilità, di cui al comma 2 dell’articolo 50-ter del CAD, comprensive delle attività propedeutiche alla registrazione dei sistemi informatici coinvolti, dell’autenticazione e autorizzazione tra di essi realizzati per il tramite della PDND interoperabilità, e l’integrazione con i servizi infrastrutturali abilitanti di ANAC, di cui al provvedimento emesso da tale Autorità ai sensi dell’articolo 23 comma 5 del Codice (di seguito “e-service ANAC”) e oggetto dell’articolo 22, comma 2 del Codice, lettere b), d) e g).
[3.4-1] La piattaforma deve essere conforme al modello di interoperabilità delle pubbliche amministrazioni (MoDI) definito dalle “Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni” [LG_INTER_TEC] e “Linee Guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici” [LG_SIC_INTER] e fondato sull’Infrastruttura tecnologica d’interoperabilità (PDND interoperabilità) di cui al comma 2 dell’articolo 50-ter del CAD rispettando quanto previsto dalle “Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati” [LG_PDND_INTER].
[3.4-2] La piattaforma deve identificare la persona fisica che effettua operazioni sulla piattaforma che comportano l’utilizzo di e-service ANAC. L’identificazione deve avvenire tramite SPID o CIE, o altro mezzo di identificazione elettronica rilasciato nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione a norma dell’articolo 9 del Regolamento [eIDAS].
[3.4-3] La piattaforma deve effettuare le richieste agli e-service ANAC applicando i pattern previsti nelle "Linee guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni" [LG_INTER_TEC], al fine di indicare almeno l'utente che sta eseguendo operazioni sulla piattaforma e il livello di garanzia associato all’identità digitale dello stesso utente.
[3.4-4] Se l’e-service ANAC richiamato restituisce, per una specifica operazione, l’evidenza dell'esigenza di un livello di garanzia più elevato di quello dichiarato dalla piattaforma in relazione all’utente che sta operando, la piattaforma deve provvedere alla ri-identificazione dell’utente assicurando per la nuova identificazione un livello di garanzia almeno equivalente a quello previsto per autorizzare l’operazione.
[3.4-5] La piattaforma, mediante l’interazione con gli e-service ANAC richiamati tramite la PDND interoperabilità deve:
• [3.4-5.1] nelle attività di programmazione e pubblicazione creare l’appalto ed acquisire i relativi codici identificativi ad esso associati;
• [3.4-5.2] garantire la trasmissione dei dati e documenti necessari per l’aggiornamento della BDNCP (articolo 22, comma 2, lettera b) del Codice);
• [3.4-5.3] garantire l’interoperabilità con il FVOE (articolo 22, comma 2, lettera d) del Codice) gestendo la richiesta ed il recupero dei documenti necessari per le verifiche da parte della SA;
• [3.4-5.4] nelle attività di pubblicazione, affidamento ed esecuzione, gestire l’invio delle informazioni e della relativa documentazione a supporto del Controllo tecnico, contabile e amministrativo dei contratti in fase di esecuzione e gestione delle garanzie (articolo 22, comma 2, lettera g) del Codice).
4. La Certificazione
4.1 Certificazione AGID
Il processo di certificazione delle piattaforme di approvvigionamento digitale si pone l’obiettivo di definire una linea di base chiara e precisa dei requisiti legali, di sicurezza, funzionali e tecnici che le piattaforme devono rispettare al fine di garantire affidabilità, sicurezza, uniformità di funzionamento ed aumentare la qualità dei sevizi forniti.
I requisiti legali di base sono stabiliti nelle leggi nazionali e nelle direttive UE sugli appalti pubblici (cfr. in particolare gli articoli 22, 53 e allegato IV della direttiva 2014/24/UE).
La certificazione delle piattaforme riguarda i requisiti funzionali del ciclo di vita digitale dei contratti (requisiti di Classe 2 di cui al paragrafo 3.3) e i requisiti di interoperabilità (requisiti di Classe 3 di cui al paragrafo 3.4) ed è uno strumento che consente alla SA di adottare esclusivamente piattaforme di approvvigionamento digitale conformi. La certificazione di piattaforma è uno strumento a supporto della conformità alle prescrizioni nazionali, alle disposizioni delle direttive dell’UE e all’attuazione delle migliori prassi.
Il modello di governance del processo di certificazione tiene conto della legislazione nazionale e dell'UE in materia di appalti pubblici, delle attuali pratiche di appalto e dei mercati esistenti e consente di effettuare il monitoraggio della conformità delle piattaforme rispetto ai requisiti definiti nel capitolo 3 delle presenti Regole tecniche.
Il processo di certificazione definito nelle presenti Regole tecniche riguarda i requisiti di cui ai paragrafi 3.3 (Classe 2) e 3.4 (Classe 3) e prevede:
- la definizione e pubblicazione da parte dell’AGID di uno schema operativo a supporto della certificazione, costituito da una lista di controllo dei requisiti da soddisfare (checklist) e riportante la descrizione delle modalità procedurali ed operative;
- l’utilizzo di organismi di valutazione della conformità di cui al Regolamento (CE) n. 765/2008 accreditati come laboratori di prova o organismi di certificazione, che opereranno sul campo;
- l’emissione del certificato in base ai rapporti di conformità ricevuti e la vigilanza sulla corretta applicazione dello schema operativo da parte dell’AGID.
La checklist dello schema operativo è modulare, per consentire la certificazione di Piattaforme che implementano solo alcune delle attività del ciclo di vita digitale dei contratti pubblici, ed è comprensiva di tutti i requisiti tecnici oggetto di certificazione AGID (Classe 2 e 3) individuando per ciascun requisito i criteri che devono essere soddisfatti.
Lo schema operativo è pubblicato dall’AGID con proprio provvedimento, d’intesa con l’ANAC e la Presidenza del Consiglio dei Ministri - Dipartimento per la Trasformazione Digitale, successivamente alle presenti Regole tecniche e prevede in relazione ai requisiti di interoperabilità (Classe 3) l’esecuzione dei test di funzionalità definiti nella checklist in un ambiente diverso da quello di esercizio (sandbox) fuori dall’autenticazione PDND, con l’ambiente di qualificazione messo a disposizione dall’ANAC.
Lo schema operativo e, in particolare, la checklist in esso contenuta, è utilizzato dai Titolari delle Piattaforme a supporto di un processo di autovalutazione della conformità del prodotto alle presenti regole tecniche. La richiesta di certificazione, nella forma di un’istanza da presentare all’AGID secondo modalità definite nello schema operativo, si basa sulla autovalutazione ed è valutata dall’AGID ai fini della certificazione della piattaforma o dei suoi componenti.
Lo schema operativo prevede altresì le modalità con cui il Titolare deve presentare l’istanza di certificazione.
Lo schema operativo definisce inoltre la modalità di transizione dalla prima applicazione, basata su autovalutazione, verso l’impiego di organismi di valutazione della conformità accreditati secondo quanto previsto dal Regolamento (CE) 765/2008. Gli scenari possibili sono:
- utilizzo di Laboratori di prova (accreditamento secondo ISO/IEC 17025);
- utilizzo di Organismi di Certificazione (accreditamento secondo ISO/IEC 17065).
L’AGID effettua comunicazione all’ANAC ad ogni rilascio, aggiornamento o revoca di certificazione con i dati necessari ad identificare il Titolare, la Piattaforma e la relativa versione
per consentire all’ANAC di gestire il Registro delle piattaforme certificate di cui all’articolo 26, comma 3 del Codice, nella sezione dei Prodotti certificati.
L’AGID, inoltre, effettua comunicazione all’ANAC delle informazioni in relazione ai Gestori della piattaforma, al fine di consentire all’ANAC di aggiornare il Registro nella sezione dei Gestori autorizzati.
4. Requisiti del Gestore e dichiarazione di conformità
5.1 Requisiti del Gestore
Il Gestore della Piattaforma deve operare in conformità con le disposizioni delle presenti Regole tecniche.
La figura del Gestore può coincidere con la Stazione Appaltante (SA). In caso contrario il rapporto tra Gestore e SA deve essere regolato da un accordo contrattuale tra le Parti, che regola l’assunzione formale di responsabilità da parte del Gestore per le attività svolte e connesse al ciclo di vita dei contratti pubblici.
L’accordo contrattuale tra le Parti regola anche i livelli di qualità al fine di stabilire i servizi offerti agli utenti della Piattaforma e quelli di supporto.
Nel caso in cui la Piattaforma preveda l’accesso con credenziali rilasciate dalla SA attraverso un processo dalla stessa definito (v. requisito [3.3.1.1-2]) e diverse, ad esempio, da SPID e CIE, l’accordo contrattuale deve prevedere la presa di responsabilità da parte della SA ad effettuare correttamente il riconoscimento degli utenti cui sono associate tali credenziali.
Qualora la Piattaforma si integri col sistema di gestione delle identificazioni e degli accessi (IAM, Identity and Access Management) della SA, l’accordo contrattuale deve prevedere la presa di responsabilità da parte della SA ad operare correttamente il proprio sistema IAM.
Il Gestore deve svolgere le seguenti attività:
• abilitazione degli utenti e/o delegati mediante le funzioni di cui ai paragrafi 3.3.1.1 e 3.3.1.2;
• gestione della Piattaforma in relazione alle attività connesse con la messa a disposizione di servizi e comunicazioni verso gli utenti;
• gestione delle attività di tracciamento mediante le funzioni di cui al paragrafo 3.3.1.3;
• attività di anonimizzazione e/o aggregazione sulla totalità dei dati acquisiti e gestiti, nonché la messa a disposizione degli stessi in formato aperto secondo le previsioni del CAD;
• monitoraggio del funzionamento della piattaforma a supporto del miglioramento ed evoluzione della stessa (analisi, ricerca e sviluppo).
In ognuna di tali attività, il Gestore deve assicurare la protezione dei dati personali trattati, nel rispetto della normativa nazionale e unionale. Il Gestore deve ridurre il trattamento ai soli dati personali strettamente necessari per il perseguimento delle finalità poste alla base delle singole attività di trattamento e, conseguentemente, essere in grado di comprovare, nel rispetto del principio di responsabilizzazione, che i dati personali siano pertinenti, necessari e non eccessivi rispetto alla finalità perseguita.
Il Gestore deve predisporre una valutazione di impatto sulla protezione dei dati personali e consultare se necessario il Garante per la protezione dei dati personali ai sensi degli articoli 35 e 36 del GDPR.
Per quanto concerne i trattamenti la cui titolarità è individuata in capo al Gestore, questi deve rendere, mediante la Piattaforma, un’apposita informativa ai sensi degli articoli 12, 13 e 14 del GDPR.
Il Gestore deve adottare misure organizzative adeguate a garantire l’esercizio dei diritti degli interessati.
Nell’erogazione dei servizi e delle funzionalità previste dalla piattaforma, il Gestore può fare ricorso a soggetti terzi, opportunamente nominati responsabili del trattamento secondo le modalità stabilite all’articolo 28 del GDPR.
In tal caso, il Gestore deve privilegiare fornitori situati sul territorio nazionale e dell’Unione Europea. Laddove non sia possibile, il Gestore può ricorrere a responsabili situati in Paesi terzi, che offrano garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate alla sicurezza dei trattamenti e alla tutela dell’interessato, nel rispetto della normativa.
Il Gestore deve istruire i responsabili del trattamento sulla necessità di conservare i dati personali all’interno dell’Unione Europea laddove i fornitori non siano in grado di offrire garanzie sufficienti ad assicurare l’effettivo rispetto del Capo V del GDPR relativamente alle misure tecniche e organizzative adeguate alla sicurezza dei trattamenti e alla tutela dell’interessato.
Ai sensi del Considerando 83 e dell’articolo 32 del GDPR e nel rispetto del principio di responsabilizzazione, il Gestore deve implementare ogni misura tecnica e organizzativa adeguata a garantire un livello di sicurezza adeguato al rischio.
Tali misure di sicurezza comprendono almeno:
• la cifratura “in transit” e “data at rest” e laddove possibile l’anonimizzazione dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
5.2 Dichiarazione di conformità di Piattaforma
La presente sezione disciplina il processo che porta ad attestare la conformità di una Piattaforma di approvvigionamento digitale ai requisiti individuati nel presente Regolamento. I passi fondamentali del processo sono i seguenti:
- Riconoscimento del Gestore autorizzato a rilasciare le dichiarazioni di conformità di piattaforma;
- Adesione del Gestore autorizzato alla piattaforma PDND;
- Predisposizione di una Piattaforma di approvvigionamento da parte di un Gestore autorizzato;
- Configurazione e test della Piattaforma nel ruolo di “Client Fruitore PDND” degli e-service ANAC;
- Effettuazione del test di interoperabilità;
- Emissione della “Dichiarazione di conformità di Piattaforma” da parte del Gestore autorizzato.
[5.2-1] Ai fini della individuazione dei Gestori autorizzati, il Titolare di componenti di piattaforma certificati deve comunicare all’AGID le seguenti informazioni e gli aggiornamenti delle medesime relative ad ogni Gestore che utilizza la propria piattaforma:
• [5.2-1.1] dati identificativi del Gestore;
• [5.2-1.2] versione della piattaforma utilizzata e dei componenti essenziali certificati;
• [5.2-1.3] il domicilio digitale del Gestore.
L’AGID comunica all’ANAC le informazioni relative ai Gestori autorizzati di cui al requisito [5.2-1], al fine di consentire all’ANAC di aggiornare il Registro delle piattaforme certificate, nella sezione dei Gestori autorizzati.
[5.2-2] Il Gestore di piattaforma, all’atto della prima configurazione della piattaforma,
deve:
• [5.2-2.1] richiedere l’attivazione della procedura di adesione su PDND (come definito al capitolo 5 delle [LG_PDND_INTER]) come Fruitore degli e-service ANAC;
• [5.2-2.2] effettuare la richiesta di fruizione degli e-service ANAC in ambiente di collaudo PDND, nel ruolo di Fruitore (come definito al capitolo 8 delle [LG_PDND_ITER]) a tutti gli e-service ANAC;
• [5.2-2.3] a valle dell'accettazione della richiesta di cui al punto [5.2-2.2] da parte di ANAC, provvedere all' "analisi del rischio sulla protezione dei dati personali" in ambiente di collaudo PDND (come definito al capitolo 9 delle [LG_PDND_ITER]) relativamente alla finalità di cui al comma 3 dell'articolo 23 del Codice;
• [5.2-2.4] effettuare la registrazione del “Client Fruitore PDND” in ambiente di
collaudo PDND;
• [5.2-2.5] effettuare un test di conformità ai requisiti di interoperabilità con la BDNCP;
• [5.2-2.6] ad esito positivo dei test di cui al [5.2-2.5] emettere una “Dichiarazione di conformità di Piattaforma”, ove si attesta di aver usato prodotti certificati, di averli installati correttamente e di aver testato le funzionalità di “client fruitore” PDND;
• [5.2-2.7] effettuare la richiesta di fruizione degli e-service ANAC in ambiente di esercizio PDND, nel ruolo di Fruitore (come definito al capitolo 8 delle [LG_PDND_ITER]) a tutti gli e-service ANAC;
• [5.2-2.8] a valle dell'accettazione della richiesta di cui al punto [5.2-2.7] da parte di ANAC, provvedere all' "analisi del rischio sulla protezione dei dati personali" in ambiente di esercizio PDND (come definito al capitolo 9 delle [LG_PDND_ITER]) relativamente alla finalità di cui al comma 3 dell'articolo 23 del Codice;
• [5.2-2.9] effettuare la registrazione del “Client Fruitore PDND” in ambiente di
esercizio PDND.
Nel caso in cui il Gestore risulti già aderente della PDND il requisito [5.2-2.1] si considera già assolto.
L’AGID comunica all’ANAC le dichiarazioni di conformità di Piattaforma ricevute dai Gestori autorizzati, al fine di consentire all’ANAC di aggiornare il Registro delle piattaforme certificate, nella sezione delle Piattaforme che hanno ottenuto la dichiarazione di conformità.
6. Piattaforme di gestione delle garanzie fideiussorie
6.1 Ambito di applicazione e definizioni
Il presente capitolo stabilisce le caratteristiche cui devono essere conformi i registri distribuiti utilizzati nell’ambito delle piattaforme di gestione delle garanzie fideiussorie di cui all’articolo 106, comma 3 del Codice (qui di seguito indicate più brevemente come “piattaforme di fideiussione”) e fa riferimento:
• alla definizione di «tecnologie basate su registri distribuiti» di cui all’articolo 8-ter, comma 1, del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12;
• alle definizioni di cui alla norma tecnica EN ISO 22739.
Le SA utilizzano le piattaforme di fideiussione mediante i portali di tali piattaforme oppure tramite API conformi a MoDI, ove applicabile.
6.2 Requisiti dei registri distribuiti
[6.2-1] Le piattaforme di fideiussione devono assicurare la protezione dei dati personali trattati, nel rispetto della normativa nazionale e unionale e, più specificamente:
• [6.2-1.1] le piattaforme di fideiussione non devono memorizzare dati personali sui registri distribuiti, fatto salvo quanto indicato al punto [6.2-1.2];
• [6.2-1.2] è consentito memorizzare dati personali sui registri distribuiti su cui si basano le piattaforme di fideiussione alle seguenti condizioni che devono essere tutte soddisfatte:
o i registri distribuiti su cui si basano sono di tipo permissioned;
o è possibile garantire agli interessati tutti i diritti ai sensi della normativa vigente;
o in conformità con la normativa vigente tutti i gestori delle piattaforme di fideiussione che trattano dati personali sono nominati responsabili del trattamento e gli interessati sono informati di tale trattamento.
[6.2-2] Le piattaforme di fideiussione devono memorizzare sui registri distribuiti l’impronta (hash value) delle garanzie fideiussorie, sia in versione finale che in eventuali versioni intermedie, e devono utilizzare funzioni di hash che in base alla specifica tecnica ETSI TS 119 312 sono considerate utilizzabili per un periodo pari ad almeno 6 anni. Per versione finale della garanzia fideiussoria si intende la garanzia emessa e firmata digitalmente come previsto dall’articolo 106, comma 3 del Codice.
[6.2-3] Le piattaforme di fideiussione devono consentire agli interessati la verifica telematica di validità della garanzia fideiussoria a chiunque sia in possesso di un duplicato informatico di garanzia fideiussoria o della sua impronta. Nota: con validità telematica si intende la validazione tecnica del certificato di garanzia fideiussoria in quanto non compete alle piattaforme di fideiussione la verifica della validità civilistica di tale garanzia.
[6.2-4] Le piattaforme di fideiussione devono soddisfare i requisiti generali di Classe 1 in quanto applicabili.
[6.2-5] Le piattaforme di fideiussione devono soddisfare una delle seguenti condizioni:
• [6.2-5.1] i registri distribuiti su cui si basano devono implementare un sistema di tipo «permissioned» o «permissioned distributed ledger technology system» e devono garantire che la scrittura della garanzia fideiussoria emessa nei registri distribuiti è sotto il controllo di uno dei soggetti cui è consentito rilasciare garanzie fideiussorie ai sensi dell’articolo 106, comma 3 del Codice. L’identificazione elettronica di tali soggetti deve avere un livello di garanzia significativo o elevato con riferimento al Regolamento eIDAS; oppure
• [6.2-5.2] la scrittura della garanzia fideiussoria emessa nei registri distribuiti è effettuata per mezzo di uno smart contract che deve garantire che tale operazione sia possibile solo ad opera di un soggetto cui è consentito rilasciare garanzie fideiussorie ai sensi dell’articolo 106, comma 3 del Codice è autorizzato a scrivere nel registro distribuito, previa identificazione elettronica con un livello di garanzia significativo o elevato con riferimento al Regolamento eIDAS.
[6.2-6] In coerenza col principio DNSH le piattaforme di fideiussione dovrebbero valutare l’utilizzo di meccanismi di consenso efficienti in termini energetici.
Ai soggetti che gestiscono le piattaforme di fideiussione si applicano, in tema di trattamento dei dati personali, le disposizioni previste al paragrafo 5.1.
7. Entrata in vigore e norme transitorie
1. In coerenza con quanto previsto all’art. 225, comma 2 del Codice, le disposizioni delle presenti Regole tecniche acquistano efficacia dal 1° gennaio 2024.
2. A far data dal 1° gennaio 2024, la Circolare n. 3 del 6 dicembre 2016 recante “Regole Tecniche aggiuntive per garantire il colloquio e la condivisione dei dati tra sistemi telematici di acquisto e di negoziazione”, adottata dall’AGID in attuazione dell’art. 58, comma 10 del decreto legislativo 18 aprile 2016, n. 50, è abrogata ad esclusione di quanto previsto al Capitolo 5 “Interconnessione dei sistemi coinvolti”.
3. Le specifiche tecniche per la definizione del DGUE elettronico italiano “eDGUE-IT”, emesse da AGID il 30 luglio 2021 come allegato alla citata Circolare n. 3/2016, rimangono in vigore, salvo eventuali modificazioni e integrazioni, fino all’adozione da parte dell’AGID di linee guida di recepimento del nuovo modello dati dell’ESPD-EDM pubblicato da parte dell’Ufficio delle Pubblicazioni europeo.
4. Le presenti Regole tecniche sono aggiornate al mutare del quadro normativo vigente nazionale ed europeo e/o a seguito di evoluzioni tecnologiche o architetturali, con le medesime modalità con cui sono emesse.
Commento
E-procurement: pubblicate le Regole tecniche per le piattaforme di approvvigionamento digitale
Il provvedimento definisce i requisiti tecnici delle piattaforme, la loro conformità a quanto disposto d...
Condividi questo contenuto:
