SAAS e non più SAAS

https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/09/25/qualificazione-cloud-service-provider-csp-software-service-saas-il-cloud-pa

Il punto B mi fa sentire tanto triste …
Ma perchè serve un catalogo se poi una pa deve verificare, perchè?

Andrea

5 Mi Piace

A me fa triste anche il punto C… “il possesso della qualificazione può essere richiesto dalle pubbliche amministrazioni quale requisito per l’acquisizione di servizi Iaas, Paas e Saas unicamente in fase di aggiudicazione e non già in fase di partecipazione alla procedura di acquisizione”.
Perchè non posso escludere a priori chi non è certificato?

3 Mi Piace

Perché purtroppo il nostrano “alla fine una scappatoia si trova” è stato assunto a regola aurea e inizia a essere codificato nelle norme. E’ anche kafkiana la situazione: uno si aspetta che il catalogo serva per scegliere il prodotto…

Quanto al punto B, pensavo: in effetti le dichiarazioni per entrare nel cloud marketplace riguardano anche aspetti piuttosto intimi del software o comunque non verificabili, anche volendo, da parte di chiunque gestisca il catalogo a meno di non provare tutti i software uno a uno. Anche solo che un software sia installato su un cloud a sua volta qualificato è una dichiarazione che va presa cosi’, senza poterla verificare. Quindi probabilmente non c’e’ altra strada che ripetere le dichiarazioni nelle clausole contrattuali.

Andrea, ho aperto un Thread parallelo perché non avevo visto il tuo post.

Ripeto qui quello che ho scritto nel post.

Non ha davvero senso che AGID avvii un processo di certificazione che ha lo scopo di garantire sicurezza ed esercibilità dei servizi cloud, lo faccia solo sottoforma di autocertificazione e poi chieda a tutti gli Enti clienti di esercitare il controllo sulle dichiarazioni stesse.

Una simile azione è non solo errata nel merito ma anche antieconomica perché moltiplica gli stessi controlli su - potenzialmente - 11.000 enti (gli stessi ai quali è stato chiesto di chiudere i data center per razionalizzare i costi).

Non è più economico (e logico) che AGID accentri gli audit periodici da fare sui fornitori come aveva annunciato in passato?

Immagino poi come, a fronte di un mancata verifica dei requisiti, gli organismi di controllo potranno contestare qualsiasi scelta nella direzione tanto auspicata del cloud.

Io davvero sono allibito di una simile decisione, comunicata fra l’altro in questo modo così poco evidente.

Ma è possibile fare qualcosa al riguardo?

3 Mi Piace

Se capisco bene la qualificazione SaaS certifica che ho compilato correttamente il modulo online, ma non mi devo aspettare che la scheda di un servizio sia qualcosa di verificato.
Leggendo le schede ogni tanto mi era venuto il dubbio che fosse così, ma non avrei immaginato che lo scrivessero nero su bianco :slight_smile:

Faccio fatica anche a credere che si tratti di offrire una scappatoia alle aziende che non si sono ancora qualificate, avevo l’impressione che ormai gli attori principali lo fossero.

Mi pare piuttosto che lamentino un problema di “Mole di lavoro”:
CONSIDERATA l’ingente quantità di richieste di qualificazione che pervengono ad AGID;
Me lo conferma anche il fatto che la data di qualificazione è posta alla data dell’invio della documentazione, non all’esito della verifica formale.

La lettera c) pero’ in effetti mi sembra proprio un regalo a chi non ha fatto la qualificazione, @frantheman mi hai convinto :slight_smile:

3 Mi Piace

Anche io faccio fatica a capire a cosa serve il MarketPlace, a questo punto.

Spero che l’interpretazione corretta sia che il controllo da attuare è quello durante l’esecuzione del servizio / fornitura, e cioè verificare che il fornitore non eroghi il servizio in discordanza a contro quanto dichiarato ad AGID in sede di qualificazione.

Stiamo pensando di fare un apposito quesito ad AGID tramite il nostro RTD.

3 Mi Piace

Voglio immaginare che la dicitura di AGID sia da interpretare come da indicazioni di Brizio, ovvero verifica che il servizio che offrono sia quello certificato sia in fase di aggiudicazione che in fase di erogazione, in caso contrario fai la segnalazione ad AGID.

Condivido le preoccupazioni manifestate da @Andrea_Tironi1 e @zanellan.
Sappiamo che occorre urgentemente elevare qualità e sicurezza dei servizi e che i punti deboli sono due: la domanda (c’è bisogno di fornire supporto e garanzie a dirigenti e funzionari che decidono quali scelte intraprendere, all’interno della PA) e l’offerta (fornitori che continuano a proporre soluzioni del secolo scorso). Con l’introduzione del Marketplace, è stato fatto un coraggioso primo passo in avanti; si è anche capito pero’ che non è sufficiente e che vanno introdotti ulteriori requisiti di qualità (ad esempio, sull’interoperabilità o la conformità agli standard già previsti da art. 71 del CAD e dal Piano Triennale), nell’ottica di premiare competitività e qualità delle soluzioni e di sgravare gli enti dal dover svolgere autonomamente una serie di verifiche. Con questa ultima infelice nota di AgID, quale potrebbe essere la motivazione di un fornitore “resistente al cambiamento” ad investire su qualità, innovazione e sicurezza dei servizi? Qual è il riconoscimento verso i fornitori che invece investono in questa direzione?

3 Mi Piace

Fateci sapere se avrete risposte, grazie!

La possibilità di scegliere da un marketplace di soluzioni qualificate da AGID permette(va) alla PA di accelerare i tempi di selezione/adozione delle soluzioni, partendo da una pre-selezione che perlomeno forza i fornitori a documentare in modo piu omogeneo e comparabile le cose (cosa difficile, ma che va fatta comunque). Se è un problema di tempi/risorse di AGID… perchè non cercare le risorse necessarie per portarlo avanti invece di renderlo particamente inutile?

1 Mi Piace

Provo a riassumere:

  1. il marketplace è un ottimo tentativo di generare un catalogo di fornitori e soluzioni certificate per la pa
  2. la procedura di certificazione è fatta con “autocertificazione”, quindi poco efficace. Ad oggi, a causa del numero elevato di richieste, si va in marketplace come fornitore quando si invia la richiesta non dopo accettazione formale. Questo indebolisce il marketplace e il punto 1.
  3. se le PA devono poi verificare che quanto dichiarato nel marketplace sia corretto, il marketplace di riduce solo ad un elenco di “aspetti da controllare” e niente altro.

Mi sembra quindi evidente che da una buona idea (1) si sia passati ad un’esecuzione che sicuramente per vincoli non dipendenti solo da Agid è inefficace e inefficiente.

Preso atto di questo che è semplicemente la realtà, direi che si può passare a capire come risolvere e migliorare la cosa.

Andrea

1 Mi Piace

Io mi terrei questo risultato del marketplace di AgID, sul resto mi dispererei poco.

Restando sui software, ripeto, mi sembra oggettivamente improponibile che AgID verifichi davvero la veridicità di quanto dichiarato. Servirebbe utilizzare il software e probabilmente fare audit molto approfonditi sul posto (sede della software house? sede del data center dove e’ installato il SaaS?).

Ricordiamo poi che i requisiti marketplace sono per lo piu’ “sistemistici” e organizzativi si concentrano ben poco sia sui requisiti funzionali minimi (certamente variabili in base al settore in sui si usa il software) sia sulla conformità legislativa (c’e’ solo un richiamo a rispettare gli “adempimenti” GDPR…), aspetit che, per assurdo, sarebbero gia’ meglio certificabili rispetto a localizzazioni in eterei datacenter o tempi di reazione dei servizi di assistenza.
Sull’interoperablità si dice che i software devono interoperare con SPID e PAGOPA e devono permettere di esportare e importare tramite formati pubblici e aperti (quali non si sa, non che pubblico e aperto sia di per se’ un antidoto al lock-in…).

Insomma, sul marketplace puo’ andare di fatto anche un protocollo informatico che registra su un foglio ods modificabile…

EDIT: a leggere anche l’interoperabilità con SPID e PAGOPA, gia’ concetto vago, non è un requisito perentoriamente obbligatorio, si tratta solo di dichiarare “se il servizio SaaS è interoperabile con i servizi pubblici SPID e PagoPA”. Quindi anche un “no, non sono interoperabile” va bene. Oppure un “si’, sono interoperabile ma se vuoi il login spid ti serve la versione platinum del servizio”. Quanto poi all’interoperabilità con il servizio pubblico PagoPA… l’unica interoperabilità dichiarabile e’ quella col nodo (perche’ fra gli altri soggetti di PagoPA si comunica un po’ come si vuole) che e’ prerogativa solo di PSP e Partner/intermediari tecnologici (o comunque di chi ti tiene ed espone la banca dati degli IUV).

Quindi, in definitiva, il marketplace SaaS teniamolo buono come volano di un cambiamento culturale, di un evidenziare ed esporre in modo chiaro alcuni requisiti ma non diamogli troppo valore per togliere le castagne dal fuoco all’amminsitrazione che deve dotarsi di strumenti…

1 Mi Piace

Suggerisco di considerare due elementi di valutazione che probabilmente hanno portato AgID ai chiarimenti pubblicati.

  1. il processo di qualificazione si conclude in una data evidentemente precedente dall’utilizzo dei servizi da parte delle PA, va quindi tenuto conto che il rispetto dei requisiti possa nel tempo variare (scadenza certificazioni, dichiarazioni su eventi occorsi nel tempo…)
  2. una cosa è qualificare un servizio sulla base di dichiarazioni, documenti o controlli necessariamente limitati all’accesso ai servizi, altra cosa è l’effettivo utilizzo dei servizi

Sul punto 1, la strada seguita dal legislatore per la qualificazione delle imprese mi pare valida: creare soggetti (le SOA) aventi precisi requisiti di professionalità, a cui chi vuole avere incarichi di diverse soglie deve rivolgersi per ottenere la qualificazione. Qualificazione che è a tempo. E un soggetto vigilante (AVCP poi ANAC) che controlla che le SOA non facciano porcherie.
Non era difficile attribuire alle SOA esistenti anche il controllo dei requisiti dei CSP sotto la vigilanza AGID… AGID dava le linee guida (puntuali), le SOA controllavano che effettivamente ci fossero in concreto le cose previste.
Se poi una PA riscontrava che un servizio non manteneva quanto promesso, via dal marketplace il provider, via la SOA dalle SOA. Altro che autocertificazione…

2 Mi Piace