L'AUTORITA' Visto l'art. 7, comma 1, lettera a), del decreto legislativo 12 febbraio 1993, n. 39, secondo il quale: "Spetta all'Autorita'.: a) dettare norme tecniche e criteri in tema di pianificazione, progettazione, realizzazione, gestione, mantenimento dei sistemi informativi automatizzati delle amministrazioni e delle loro interconnessioni, nonche' della loro qualita' e relativi aspetti organizzativi; dettare criteri tecnici riguardanti la sicurezza dei sistemi"; Visto l'art. 14, comma 4, del Decreto legislativo del marzo 1995, n. 157, secondo il quale: "Qualora le amministrazioni aggiudicatrici richiedano la presentazione di certificati rilasciati da organismi indipendenti, attestanti che il concorrente osserva determinate norme in materia di garanzia della qualita', esse fanno riferimento ai sistemi di garanzia della qualita' basati sulla pertinente. Serie di norme europee EN 29000, certificati da organismi conformi alla serie di norme europee EN 45000 Le amministrazioni aggiudicatrici riconoscono i certificati equivalenti rilasciati da organismi stabiliti in altri Stati membri; esse ammettono, parimenti, altre prove relative all'impiego di misure equivalenti di garanzia della qualita' qualora il concorrente non abbia accesso a tali certificati o non possa ottenerli nei termini richiesti"; Vista la circolare del 28 ottobre 1993, n. AIPA/CR/3, con la quale sono stati determinati i contratti di grande rilievo, previsti dagli artt. 9, comma 2, sub c), e 17, comma 2 del Decreto Legislativo n. 39/1993; Visto il punto 3 della circolare del 5 agosto 1994, n. AIPA/CR/5 - che definisce, ai sensi dell'art. 13, comma 2, del Decreto Legislativo n. 39/1993, i criteri e le modalita' di esecuzione del monitoraggio dei contratti di grande rilievo - secondo il quale: "A partire dalla data che sara' definita dall'Autorita', le societa' fornitrici dovranno disporre della certificazione EN ISO 9000"; Considerato che un'analisi delle modalita' di richiesta della certificazione EN ISO 9000 messe in atto dalle Amministrazioni, svolta sulla base degli atti di gara presentati dalle medesime amministrazioni per la richiesta di parere all'Autorita' nel periodo 1997-99, ha evidenziato l'esigenza di dettare criteri per il migliore utilizzo contrattuale della certificazione con l'obiettivo di migliorarne l'impiego da parte delle Amministrazioni sin dal momento della procedura di gara, ed in particolare: - di eliminare possibili confusioni tra certificazione di prodotto e certificazione di processo (o di sistema qualita'); - di evidenziare i requisiti contrattuali inerenti alla certificazione, non verificabili o difficilmente verificabili in sede di gara; - di evitare richieste di certificazione relative a norme non compatibili con i servizi contrattualmente richiesti; - di orientare l'uso della certificazione da criterio di misura della capacita' tecnica in standard minimale a presupposto del relativo possesso; - di evitare il generico riferimento alle norme EN ISO 9000 in sostituzione di precisi requisiti contrattuali relativi ai prodotti e servizi attesi, alle procedure da utilizzare, alle modalita' di verifica dei livelli di servizio. Considerato che l'utilizzo della certificazione EN ISO 9000 permette il raggiungimento dei seguenti obiettivi: - utilizzare la certificazione dei sistemi qualita', gia' attuata da un gran numero di societa' fornitrici di servizi rientranti nel campo delle tecnologie dell'informazione, per impostare una politica industriale basata sul miglioramento continuo dei sistemi qualita' e dei contratti e volta a garantire la qualita' dei servizi erogati dai fornitori alle Amministrazioni; - rendere le modalita' di partecipazione a gara il piu' possibile oggettive, trasparenti, e di piu' semplice attuazione sia per le imprese concorrenti, che per le Amministrazioni appaltanti; - fornire alle Amministrazioni e alle commissioni di gara parametri di riferimento nella identificazione degli ambiti piu' opportuni di applicazione dei principi della certificazione di qualita'; nella scelta delle norme contrattuali pertinenti; nella valutazione delle certificazioni prodotte dalle imprese o raggruppamenti temporanei di impresa concorrenti; nella preparazione degli atti di gara; - garantire un approccio progressivo e flessibile che eviti di penalizzare i fornitori attualmente privi di certificazione, consentendo alle societa' che ancora non fossero certificate di certificarsi; che tenga conto delle esigenze delle piccole e medie imprese e dei servizi cosiddetti "di nicchia", richiedendo obbligatoriamente la certificazione esclusivamente per i contratti di grande rilievo; che assicuri una adeguata partecipazione alle gare in ambito comunitario, informando preventivamente i partecipanti circa le verifiche a cui saranno sottoposti in fase di gara e gli adempimenti conseguenti alla firma dei contratti; - assicurare la necessaria trasparenza della relazione contrattuale cliente - fornitore e del processo produttivo utilizzato dal fornitore per l'erogazione dei servizi contrattualmente dovuti mediante utilizzo di sisterni qualita' certificati e per questo documentati ed accessibili; di registrazioni di qualita' intese come evidenze oggettive dovute al cliente ed assunzioni di responsabilita' del fornitore, attestanti le attivita' da questo messe in atto per la soddisfazione dei requisiti contrattuali; - rafforzare la capacita' di governo dei contratti di grande rilievo da parte delle Amministrazioni, assicurando un'attivita' efficace di monitoraggio dei contratti in relazione alla qualita' dei prodotti e dei servizi contrattualmente richiesti ed al processo messo in atto dal fornitore per la loro produzione, mediante utilizzo di piani della qualita', che definiscano attivita', responsabilita', procedure, livelli di servizio, nonche' di verifiche ispettive, per superare eventuali carenze informative, recuperare registrazioni di qualita' e monitorare il processo del fornitore; - lasciare l'onere della verifica della conformita' dei sistemi qualita' delle societa' fornitrici agli organismi di certificazione a questo scopo appositamente addestrati ed accreditati; Delibera: - di dettare le regole tecniche e i criteri operativi di seguito riportati per l'utilizzo della certificazione EN ISO 9000 nell'appalto di contratti relativi a progettazione, realizzazione, manutenzione, gestione e conduzione operativa dei sistemi informativi automatizzati, ai sensi dell'art. 7, comma 1, lett. a), del Decreto Legislativo 12 febbraio 1993, n. 39. PREMESSA Oggetto Le regole tecniche di seguito riportate, rese disponibili anche sul sito internet dell'Autorita' per l'informatica nella Pubblica Amministrazione (www.aipa.it), stabiliscono i criteri e le modalita' di utilizzo della certificazione EN ISO 9000; in particolare: - descrivono e disciplinano l'utilizzo della certificazione EN ISO 9000 da parte delle Amministrazioni destinatarie del Decreto Legislativo 12 febbraio 1993, n. 39, per la stipula dei contratti di grande rilievo, come determinati dall'Autorita' ai sensi degli artt. 9, comma 2, e 17, comma 2, del citato Decreto Legislativo, per la progettazione, realizzazione, manutenzione, gestione e conduzione operativa di sistemi informativi automatizzati; - ridefiniscono i "contratti di grande rilievo", identificano l'ambito di applicazione e la data relativamente ai quali le Amministrazioni devono richiedere alle societa' fornitrici di servizi rientranti nel campo delle tecnologie dell'informazione di comprovare il possesso di una certificazione EN ISO 9001, o EN ISO 9002, o EN ISO 9003, relativa al proprio sistema qualita', rilasciata da un organismo di certificazione accreditato in conformita' ai requisiti della norma europea EN 45012; - definiscono i criteri e le modalita' con cui le Amministrazioni: - richiedono la certificazione, all'interno delle procedure di concorso; - valutano l'ammissibilita' alle procedure di concorso delle societa' concorrenti in funzione delle certificazioni prodotte; - utilizzano le prescrizioni della norma di riferimento applicata ed, in particolare, gli strumenti dei piani della qualita', redatti conformemente alla norma EN ISO 10005, e delle verifiche ispettive, eseguite conformemente alla norma EN ISO 10011, nella conduzione delle attivita' contrattuali. Detti criteri e modalita' si basano su regole semplici, obiettive, immediatamente applicabili, tali da assicurare la massima trasparenza ed imparzialita' alle procedure concorsuali. Riferimenti Allo scopo di assicurate il conseguimento degli obiettivi dianzi delineati, vengono recepiti taluni principi contenuti: - nella legge 18 agosto 1990, n. 241, recante norme in materia di procedimento amministrativo; - nelle Direttive del Consiglio n. 92/50/CEE del 18 giugno 1992 e n. 93/36/CEE del 14 giugno 1993, relative rispettivamente alle procedure di aggiudicazione degli appalti pubblici di servizi e degli appalti pubblici di forniture, successivamente modificate dalla Direttiva del Parlamento Europeo e del Consiglio del 13 ottobre 1997, n. 97/52/CE e dei correlativi decreti legislativi di recepimento del 17 marzo 1995, n. 157, integrato con le modifiche di cui al Decreto Legislativo 25 febbraio 2000, n. 65, e del 24 luglio 1992, n. 358, integrato con le modifiche di cui al Decreto Legislativo del 20 ottobre 1998, n. 402; nonche' la terminologia, per la quale si rinvia alle definizioni relative alla qualita' di cui all'art. 1, lett. d), le indicazioni e i criteri, di cui alle seguenti norme europee recepite nel nostro ordinamento dall'ente normatore italiano (UNI), e per questo disponibili in lingua italiana, con i riferimenti indicati tra parentesi: - EN ISO 8402 (UNI EN ISO 8402), che definisce i termini specifici propri del vocabolario tipico della gestione per la qualita' ed assicurazione della qualita'; - EN ISO 9000-1 (UNI EN ISO 9000-1), che fornisce indicazioni per la scelta e l'utilizzazione delle norme contrattualmente utilizzabili della serie EN ISO 9000; - EN ISO 9001, 9002, 9003 (UNI EN ISO 9001, 9002, 9003), che esplicitano i criteri per l'assicurazione della qualita' nella progettazione, sviluppo, fabbricazione, installazione e assistenza; - EN ISO 9000-3 (UNI EN 29000-3, che riprende il testo, con modificazioni, della precedente UNI ISO 9000-3), che fornisce una guida per l'applicazione della EN ISO 9001 per la progettazione e lo sviluppo di software; - EN ISO 9004-2 (UNI EN 29004-2, che riprende il testo, con modificazioni, della precedente UNI ISO 9004-2), che fornisce una guida per i servizi in genere, non specificatamente per quelli informatici; - EN 45012 (UNI CEI EN 45012), che esprime i requisiti per l'accreditamento degli organismi di certificazione; - EN ISO 10005 (UNI ISO 10005), che fornisce una guida per la stesura dei piani della qualita'; - EN ISO 10011 (UNI EN 30011, che riprende il testo, con modificazioni, della precedente UNI ISO 10011), che regolamenta l'esecuzione delle verifiche ispettive. E' da precisare che la versione di tali norme, come di tutte le altre cui le presenti Regole tecniche fanno riferimento, e' quella in vigore al momento dell'applicazione delle medesime norme. La versione delle norme in corso di validita' potra' essere individuata dalle Amministrazioni, rivolgendosi all'Ente normatore italiano (UNI). REGOLE TECNICHE Art. 1 Definizioni a) Contratti di grande rilievo Ai sensi degli articoli 9, comma 2, lett, c), e 17, comma 2, del Decreto Legislativo 12 febbraio 1993, n. 39, l'Autorita' determina i "contratti di grande rilievo" per la progettazione, realizzazione, manutenzione, gestione e conduzione operativa di sistemi informativi automatizzati. Una prima definizione di "contratti di grande rilievo" e' stata data dall'Autorita' con circolare del 28 ottobre 1993, n. AIPA/CR/3. A modifica ed integrazione della citata circolare, l'Autorita' ritiene che, dalla data di entrata in vigore delle presenti Regole tecniche, di cui al successivo art. 14: - in relazione all'introduzione dell'Euro quale moneta unica, la definizione dei contratti di grande rilievo debba adeguarsi a nuove dimensioni economiche espresse in Euro. Conseguentemente per "contratti di grande rilievo" si intendono contratti il cui valore di stima risulti, al netto di IVA, superiore ai 25 (venticinque) milioni di Euro, ovvero, in caso di contratti con validita' pluriennale, superiore a 5 (cinque) milioni di Euro annui; - indipendentemente dalle dimensioni economiche sopra indicate, si possano determinare come "contratti di grande rilievo" quei contratti che abbiano un rilevante impatto sotto il profilo organizzativo, nonche' delle ricadute e dei benefici che si prefiggono di conseguire. A tal fine, l'Autorita' si riserva una valutazione di merito del progetto, in sede di richiesta di parere ex art. 8 del Decreto Legislativo 12 febbraio 1993, n. 39, sullo schema di contratto, con i conseguenti effetti in ordine all'esigenza di far precedere tali contratti da uno studio di fattibilita' e/o di sottoporre lo stesso a monitoraggio. b) Amministrazioni Ai fini dell'applicazione delle presenti Regole tecniche, sono definite "Amministrazioni" le Amministrazioni dello Stato, anche ad ordinamento autonomo, e gli enti pubblici non economici nazionali destinatari del Decreto Legislativo 12 febbraio 1993, n. 39, art. 1, comma 1. c) Servizi ICT Ai fini dell'applicazione delle presenti Regole tecniche, sono definiti "servizi ICT" per la progettazione, realizzazione, manutenzione, gestione e conduzione operativa di sistemi informativi automatizzati, i servizi ad alto contenuto tecnologico rientranti nel campo delle tecnologie dell'informazione, denominati "servizi informatici e affini", di cui all'allegato 1, categoria 7 (no di riferimento della classificazione ONU, Central Product Classification. CPC, 84) del Decreto Legislativo del 17 marzo 1995, no 157. Senza alcuna pretesa di esaustivita', all'unico scopo di facilitare l'applicazione delle prescrizioni di seguito riportate, detti servizi sono articolati nelle categorie riportate in tabella 1, riprese dalla classificazione CEE "Common Procurement Vocabulary", CPV, nella versione in lingua italiana del 1998, in vigore dal 1o gennaio 1999. ------------------------------------------------------------------- Tab. 1 Categorie di servizi ICT tratte dalla classificazione CPV/98, versione in lingua italiana ------------------------------------------------------------------- SERVIZI DI CONSULENZA SUI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di consulenza, CPV 7210-7211-7215-7222-7259 ------------------------------------------------------------------- Servizi di formazione, CPV 8042 ------------------------------------------------------------------- SERVIZI DI PROGETTAZIONE E SVILUPPO DI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di analisi e programmazione di sistemi, CPV 7224 ------------------------------------------------------------------- Servizi di sviluppo di prodotti software, CPV 7220-7221-7223 ------------------------------------------------------------------- SERVIZI DI CONDUZIONE FUNZIONALE DI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di manutenzione e assistenza sistemi, CPV 7225-7258 ------------------------------------------------------------------- Servizi connessi al software, CPV 7226 ------------------------------------------------------------------- Servizi di banche di dati, CPV 7232 ------------------------------------------------------------------- Servizi di consulenza e assistenza informatica, CPV 7252 ------------------------------------------------------------------- SERVIZI DI CONDUZIONE TECNICA DI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di elaborazione dati, CPV 7230 ------------------------------------------------------------------- Servizi di trattamento dati, CPV 7231 ------------------------------------------------------------------- Servizi informatici, CPV 7250-7257 ------------------------------------------------------------------- Servizi di gestione connessi all'informatica, CPV 7251 ------------------------------------------------------------------- Servizi per rete informatica, CPV 7253 ------------------------------------------------------------------- Servizi di riparazione, manutenzione, CPV 5030-5031-5032-5033- 5070-7212-7213-7254 ------------------------------------------------------------------- SERVIZI DI FORNITURA DI BENI HW E SW ------------------------------------------------------------------- Servizi di installazione CPV 5090-5096 ------------------------------------------------------------------- SERVIZI DI MONITORAGGIO E VERIFICA DI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di audit informatico, CPV 7255 ------------------------------------------------------------------- SERVIZI DI COLLAUDO DI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di collaudo informatico, CPV 7214-7256 ------------------------------------------------------------------- La descrizione dettagliata di queste categorie di servizio, come anche la chiarificazione tra la precedente tabella e la classificazione CPV sono fornite nell'Appendice I. d) Definizioni relative alla qualita' La norma UNI EN ISO 8402 definisce i termini fondamentali relativi ai concetti concernenti la qualita', da utilizzare in tutti i settori, per la preparazione e l'applicazione delle norme relative alla qualita' e per la reciproca comprensione a livello nazionale. Di seguito si riportano le definizioni tratte da questa norma relative ai termini relativi alla qualita' utilizzati nelle presenti Regole tecniche. d.1) Qualita': l'insieme delle caratteristiche di un'entita' (processo, prodotto, organizzazione), che ne determinano la capacita' di soddisfare esigenze espresse ed implicite. d.2) Sistema qualita': la struttura organizzativa, le procedure, i processi e le risorse necessari ad attuare la gestione per la qualita'. d.3) Gestione per la qualita' (o conduzione aziendale per la qualita'): l'insieme delle attivita' di gestione aziendale che determinano la politica per la qualita', gli obiettivi e le responsabilita' e li traducono in pratica, nell'ambito del sistema qualita', con mezzi quali la pianificazione della qualita', il controllo della qualita', l'assicurazione della qualita', e il miglioramento della qualita'. d.4) Assicurazione della qualita' (o garanzia della qualita'): tutte le attivita' pianificate e sistematiche, attuate nell'ambito del sistema qualita' e di cui, per quanto occorre, viene data dimostrazione, messe in alto per dare adeguata confidenza che un'entita' (processo, prodotto, organizzazione) soddisfera' i requisiti per la qualita'. d.5) Controllo della qualita': le tecniche e le attivita' a carattere operativo messe in atto per soddisfare i requisiti della qualita'. d.6) Manuale della qualita': documento che enuncia la politica per la qualita' e descrive il sistema qualita' di un organizzazione. d.7) Piano della qualita': documento che precisa le particolari modalita' operative, le risorse e le sequenze delle attivita' relative alla qualita' di un determinato prodotto, progetto, o contratto. d.8) Requisiti per la qualita': espressione delle esigenze, o loro traduzione in un insieme di requisiti espressi quantitativamente o qualitativamente, per le caratteristiche di un'entita' (processo, prodotto, organizzazione) al fine di consentirne la realizzazione e l'esame. d.9) Verifica ispettiva: esame sistematico ed indipendente mirato a stabilire se le attivita' svolte per la qualita' ed i risultati ottenuti sono in accordo con quanto stabilito, e se quanto stabilito viene attuato efficacemente e risulta idoneo al conseguimento degli obiettivi. d.10) Conformita': soddisfacimento di requisiti specificati. d.11) Non conformita': non soddisfacimento di requisiti specificati. d.12) Evidenza oggettiva: informazioni la cui veridicita' puo' essere dimostrata sulla base di fatti acquisiti a seguito di osservazioni, misurazioni, prove od altri mezzi. d.13) Specifica: documento che stabilisce dei requisiti. d.14) Registrazione: documento che fornisce evidenza oggettiva di attivita' eseguite o risultati ottenuti.