Spero di aver capito male leggendo ma, se così non fosse, trovo scandaloso che la determinazione 410/2020 di AGID affermi:
> è compito delle singole pubbliche amministrazioni verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dal fornitore, che ne risponde penalmente. In caso di servizi non conformi a quanto autodichiarato dal fornitore, la pubblica amministrazione è tenuta a segnalare la circostanza ad AGID che, in caso di esito confermativo dell’apposita verifica, procederà alla revoca della qualificazione;
Non ha davvero senso che AGID avvii un processo di certificazione che ha lo scopo di garantire sicurezza ed esercibilità dei servizi cloud, lo faccia solo sottoforma di autocertificazione e poi chieda a tutti gli Enti clienti di esercitare il controllo sulle dichiarazioni stesse.
Una simile azione è non solo errata nel merito ma anche antieconomica perché moltiplica gli stessi controlli su - potenzialmente - 11.000 enti (gli stessi ai quali è stato chiesto di chiudere i data center per razionalizzare i costi).
Non è più economico (e logico) che AGID accentri gli audit periodici da fare sui fornitori come aveva annunciato in passato?
Immagino poi come, a fronte di un mancata verifica dei requisiti, gli organismi di controllo potranno contestare qualsiasi scelta nella direzione tanto auspicata del cloud.
Io davvero sono allibito di una simile decisione, comunicata fra l’altro in questo modo così poco evidente.
tempi per adeguarsi. Ho capito bene?