Requisiti normativi su riuso App di Contact Tracing

Ciao a tutti,

nelle ultime settimane si fa un gran parlare di app di Contact Tracing, seguendo un percorso di valutazione di una Fast Call del Ministero Innovazione.

Con l’ordinanza 10/2020 Il Commissario Straordinario Arcuri, ha indicato di procedere con la Società Bending Spoons SpA a stipula del contratto di concessione gratuita:

1. della licenza d’uso sul software di contact tracing
2. di appalto di servizio gratuito

Operando per conto della Presidenza del Consiglio dei Ministri come Stazione Appaltante, questa è quindi una acquisizione di software e sottostà alle norme del Codice Dell’Amministrazione Digitale Art 69.

Numerosi attori del mondo della società civile ( qui e qui ) e dell’accademia si sono espressi in merito alla necessità e utilità di un rilascio opensource.

Ciò è già obbligo in Italia, è quindi certamente utile provare ad elaborare più nel dettaglio come dovrebbe avvenire la “messa in riuso” a “norma di legge”.

Innanzitutto, come ragionamento di sostanza, quali sono le componenti da porre in riuso?

Ciò è ben argomentato nella sezione “Individuazione dei materiali da rilasciare” dell’ Allegato A: Guida alla pubblicazione di software come open source e ad occhio e croce le componenti principali potrebbero essere:
a) Le applicazioni Mobili
b) Le applicazioni Server (backend)
c) Gli strumenti a supporto delle procedure di sviluppo (build system, quality assurance, automated testing, etc)
d) La documentazione e le specifiche di interfaccia

A questo punto, qualificato il cosa, dovremmo domandarci con quali diritti di sfruttamento, cioè entrare nel merito dei seguenti aspetti:

1. Di chi è il software (La “Titolarità”)
2. Su quale licenza software questo venga posto in riuso

In merito al punto “1” ci viene incontro la sezione 3.7. Sviluppo di software ex novo che indica in modo chiaro ed inequivocabile che la Titolarità debba essere della pubblica amministrazione.

Titolarità significa in altri termini “diritto di sfruttamento esclusivo ed illimitato” assegnato dalla ditta privata (in questo caso Bending Spoons SpA) alla stazione appaltante (in questo caso la Presidenza del Consiglio dei Ministri).

Così facendo l’unico soggetto che possa decidere e definire in quale modo e con quale licenza l’applicazione software oggetto di acquisizione sia posta in riuso, e possa vedere un eventuale modifica dalla medesima in futuro, è la Stazione Appaltante.

In altri termini, Titolarità significa che il soggetto appaltante si spossessa della possibilità di concedere in licenza a terzi l’applicazione, perché pur mantenendone l’authorship, ha attribuito tutti i diritti alla Stazione Appaltante che ne diventa “proprietaria” .

Da ciò deduciamo che l’ordinanza 10/2020 del Commissario Straordinario nel punto descritto come “stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing” stia indicando di acquisirne la Titolarità.

A questo punto, soddisfatto il requisito di acquisizione della Titolarità del software in oggetto, la Stazione Appaltante (e non la ditta fornitrice) dovrà provvedere alle messa in riuso del software e dovrà farlo attribuendo una licenza di software libero.

Come farlo?

Ci viene incontro l’ Allegato C: Guida alle licenze Open Source che ci fornisce una disamina delle varie soluzioni.

Qui la Presidenza del Consiglio dei Ministri, titolare del software, può fare delle scelte di tipo politico e di trasparenza nell’applicare una licenza software libera:

1. Obblighi chiunque riusi il software per fare altre app a rendere tutte le modifiche e le app stesse software libero (GPL, AGPL, etc)
2. Consenta a chiunque riusi il software per fare altre app di tenere le modifiche e il software risultante privati (es: MPL-2, BSD, Apache, etc)

Quindi qui la scelta della PDCM è se vuole che il criterio di trasparenza che essa stessa adotterà diventi “regola” per chiunque altro volesse adottare in riuso il software.

Come opinione professionale personale, trattandosi di una applicazione “Client-Server”, in cui un utente (tramite app mobile) interagisce con un server (backend), volendo mantenere l’intera catena di interazione tramite internet “libera e pubblica”, la licenza copy-left che meglio si adatta è la AGPL 3.0.
La AGPL 3.0 è l’unica fra le licenze OSI specificamente pensata per software che interagiscono con una comunicazione client-server, quindi quella che a mio avviso meglio si adatta a questo tipo di progetto.

L’ordinanza 10/2020 ordina di stipulare anche contratto per “appalto di servizi”, che molto probabilmente includerà la manutenzione evolutiva e correttiva del software oggetto di riuso, dovendosi quindi porre il tema di “come fare manutenzione” .

Anche qui, la normativa ci viene incontro con l’ Allegato B: Guida alla manutenzione di software open source, fornendoci tutti i requisiti comportamentali e operativi a cui la ditta appaltante dovrà attenersi.

Credo di avere riassunto tutti gli aspetti salienti relativi agli adempimenti normativi necessari a cui la Presidenza del Consiglio dei Ministri e l’aggiudicataria Bending Spoon SpA dovranno attenersi nell’esecuzione operativa dell’ordinanza 10/2020 per l’acquisizione della App di Contact Tracing.

Chiedo quindi a tecnologhi e giuristi se mi sono perso qualcosa o se mi sono sbagliato in qualche punto, con l’obiettivo di potere seguire tramite questo post sul forum il corretto adempimento normativo ma mano che ci saranno novità in merito.

Fabio Pietrosanti (naif)

Secondo me prima di pensare ad applicazioni delle regole sul riuso, occorrerebbe integrare quanto contenuto nell’ordinanza (piuttosto sbrigativa e corsiva) con le clausole del bando della call e col successivo contratto che regola i rapporti fra soggetto pubblico e operatore economico.

Tuttavia, per le linee guida sul riuso, §1.5, condizione per la titolarità in capo all’amministrazione è che il "contratto preveda l’acquisizione in capo ad essa di tutti i diritti di proprietà intellettuale e industriale ", mentre l’ordinanza ha “RILEVATO che la stessa società ha dichiarato di essere l’esclusiva titolare del diritto d’autore e di ogni altro diritto di proprietà intellettuale sul codice sorgente e sulle altre componenti applicative facenti parte del sistema di contact tracing”.
L’ordinanza dispone poi di stipulare un “contratto di concessione gratuita di licenza d’uso”.

Verrebbe da dire: no titolarità no riuso…

Francesco, potremmo quindi interpretare che l’ordinanza non rispetta la normativa corrente sulla acquisizione del software, e volendo ci può anche stare che il commissario straordinario impieghi terminologie non appropriate e in linea con la normativa nel suo atto.

Possiamo essere ottimisticamente confidenti che chi scriverà il contratto, e dovrà quindi entrare nel merito degli aspetti legali di public procurement, saprà interpretare le parole e i concetti in modo appropriato.

Non credo che chi firmerà quel contratto voglia rischiare una denuncia per danno erariale, considerando che la complessità di tali applicazioni è medio-bassa, e sarà possibile ex-post stimare peritalmente:

• il “costo di produzione”
• il “controvalore economico della fornitura”
• il “controvalore di ritorno economico indiretto della fornitura”

A quel punto se produrre l’app costa 100, il valore economico della fornitura è 150, ma il controvalore di ritorno economico indiretto della fornitura fosse 100000, vi sarebbero evidenti distorsioni economiche e il dirigente responsabile ne risponderebbe su intervento della corte dei conti.

Invece, laddove fossero rispettati tutti i criteri di riuso, inclusa la titolarità, sarebbe dimostrata e dimostrabile la buona fede degli stakeholder coinvolti, senza rischi né per la stazione appaltante né per la ditta fornitrice.

A mio avviso conviene a tutti, e molto, che la fornitura avvenga nel rispetto delle linee guida riuso.

Fabio

Non essendoci scambio di denaro non credo possa esserci danno erariale diretto e non mi pare che la normativa sull’acquisizione di software conduca sempre a un obbligo di porre in riuso il software. Tanto piu’ che questo e’ un software in parte gia’ esistente.

In questa operazione piu’ che i fatti amministrativo-contabili mi sembrano piu’ urgenti quelli che attengono la tutela dei diritti dei singoli (controllo, dati personali, dati sanitari ecc.). La stessa apertura e pubblicazione del codice sorgente potrebbe, in linea teorica, sia favorire il controllo diffuso su cio’ che la app raccoglie e tratta sia favorire eventuali abusi.

E poi: quale altra amministrazione sarebbe interessata al riuso di un software di contact tracing? La ratio del riuso fondamentalmente è quella…

Francesco, capisco il tuo punto, ma non è che non essendoci scambio di denaro, ciò comporta che non ci sia un ritorno economico (stimabile in anticipo e peritalmente verificabile ex-post) per la ditta aggiudicatrice, come non significa che non ci siano stati e ci saranno costi diretti e indiretti sostenuti dalla stazione appaltante.

Inoltre, per quanto ho inteso, il software aldilà del prototipo iniziale (di cui oramai c’è un fiorire di prototipi su github di questo tipo di app), è frutto di uno sviluppo realizzato sostanzialmente su commissione e cioè seguendo uno scambio continuo ed iterativo con gli stakeholder coinvolti nel processo. Ovvero il software, prima delle iterazioni (sia preliminari alla ordinanza che successive), è solo un prototipo e prende sostanza nell’esecuzione di implementazioni software fatte su indirizzo degli stakeholder pubblici. Da cui sarebbe possibile, ex-post, verificare quanto del valore di specificazione funzionale e di implementazione sia frutto della inventiva dell’aggiudicatario rispetto che della specificazione iterativa (pre-ordinanza e post-ordinanza) della stazione appaltante.

In fine, per quanto riguarda il riuso, ci sono già diverse aziende sul mercato che stanno vendendo soluzioni di Contact Tracing commerciali, rivolte alla minimizzazione del rischio di continuità aziendale (vedi esempio Ferrari e molte altre in arrivo), in cui l’azienda, in accordo con le parti sindacali, introduce l’obbligatorietà d’uso della App a tutela dei lavoratori e della continuità aziendale. Ciò nulla ha a che vedere con l’app “nazionale” . Lo stesso potrà vedersi all’interno di altre strutture organizzative anche a controllo pubblico. Non a caso il CAD dice che il riuso è rivolto a tutte le “persone giuridiche” (perché va ad annoverare anche i soggetti privati, che siano a zero, parziale o totale controllo pubblico).

Quindi anche in questo caso il riuso è molto importante, proprio perché gli ambiti d’uso di questo tipo di applicazione, vanno ben oltre la singola app nazionale italiana covid.

Fabio

Segnalo questo aggiornamento:

Aggiungo un passaggio dall’articolo:

Il sistema di contact tracing dovrà essere finalizzato tenendo in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (PEPP-PT, DP-3T, ROBERT), e in particolare l’evoluzione del modello annunciato da Apple e Google. Il codice sorgente del sistema di contact tracing sarà rilasciato con licenza Open Source MPL 2.0 e quindi come software libero e aperto.

Immuni, da quanto si legge nel sistema di ticketing su Github, sarà con licenza opensource AGPLv3 e non MPL2 come inizialmente annunciato:

“then switched to AGPLv3 in response to advice coming from the open-source community”

Fabio