L'AUTORITA'
Visto l'art. 7, comma 1, lettera a), del decreto legislativo 12
febbraio 1993, n. 39, secondo il quale: "Spetta all'Autorita'.: a)
dettare norme tecniche e criteri in tema di pianificazione,
progettazione, realizzazione, gestione, mantenimento dei sistemi
informativi automatizzati delle amministrazioni e delle loro
interconnessioni, nonche' della loro qualita' e relativi aspetti
organizzativi; dettare criteri tecnici riguardanti la sicurezza dei
sistemi";
Visto l'art. 14, comma 4, del Decreto legislativo del marzo 1995,
n. 157, secondo il quale: "Qualora le amministrazioni aggiudicatrici
richiedano la presentazione di certificati rilasciati da organismi
indipendenti, attestanti che il concorrente osserva determinate norme
in materia di garanzia della qualita', esse fanno riferimento ai
sistemi di garanzia della qualita' basati sulla pertinente. Serie di
norme europee EN 29000, certificati da organismi conformi alla serie
di norme europee EN 45000 Le amministrazioni aggiudicatrici
riconoscono i certificati equivalenti rilasciati da organismi
stabiliti in altri Stati membri; esse ammettono, parimenti, altre
prove relative all'impiego di misure equivalenti di garanzia della
qualita' qualora il concorrente non abbia accesso a tali certificati
o non possa ottenerli nei termini richiesti";
Vista la circolare del 28 ottobre 1993, n. AIPA/CR/3, con la quale
sono stati determinati i contratti di grande rilievo, previsti dagli
artt. 9, comma 2, sub c), e 17, comma 2 del Decreto Legislativo n.
39/1993;
Visto il punto 3 della circolare del 5 agosto 1994, n. AIPA/CR/5 -
che definisce, ai sensi dell'art. 13, comma 2, del Decreto
Legislativo n. 39/1993, i criteri e le modalita' di esecuzione del
monitoraggio dei contratti di grande rilievo - secondo il quale: "A
partire dalla data che sara' definita dall'Autorita', le societa'
fornitrici dovranno disporre della certificazione EN ISO 9000";
Considerato che un'analisi delle modalita' di richiesta della
certificazione EN ISO 9000 messe in atto dalle Amministrazioni,
svolta sulla base degli atti di gara presentati dalle medesime
amministrazioni per la richiesta di parere all'Autorita' nel periodo
1997-99, ha evidenziato l'esigenza di dettare criteri per il migliore
utilizzo contrattuale della certificazione con l'obiettivo di
migliorarne l'impiego da parte delle Amministrazioni sin dal momento
della procedura di gara, ed in particolare:
- di eliminare possibili confusioni tra certificazione di prodotto e
certificazione di processo (o di sistema qualita');
- di evidenziare i requisiti contrattuali inerenti alla
certificazione, non verificabili o difficilmente verificabili in
sede di gara;
- di evitare richieste di certificazione relative a norme non
compatibili con i servizi contrattualmente richiesti;
- di orientare l'uso della certificazione da criterio di misura della
capacita' tecnica in standard minimale a presupposto del relativo
possesso;
- di evitare il generico riferimento alle norme EN ISO 9000 in
sostituzione di precisi requisiti contrattuali relativi ai prodotti
e servizi attesi, alle procedure da utilizzare, alle modalita' di
verifica dei livelli di servizio.
Considerato che l'utilizzo della certificazione EN ISO 9000 permette
il raggiungimento dei seguenti obiettivi:
- utilizzare la certificazione dei sistemi qualita', gia' attuata da
un gran numero di societa' fornitrici di servizi rientranti nel
campo delle tecnologie dell'informazione, per impostare una
politica industriale basata sul miglioramento continuo dei sistemi
qualita' e dei contratti e volta a garantire la qualita' dei
servizi erogati dai fornitori alle Amministrazioni;
- rendere le modalita' di partecipazione a gara il piu' possibile
oggettive, trasparenti, e di piu' semplice attuazione sia per le
imprese concorrenti, che per le Amministrazioni appaltanti;
- fornire alle Amministrazioni e alle commissioni di gara parametri
di riferimento nella identificazione degli ambiti piu' opportuni di
applicazione dei principi della certificazione di qualita'; nella
scelta delle norme contrattuali pertinenti; nella valutazione delle
certificazioni prodotte dalle imprese o raggruppamenti temporanei
di impresa concorrenti; nella preparazione degli atti di gara;
- garantire un approccio progressivo e flessibile che eviti di
penalizzare i fornitori attualmente privi di certificazione,
consentendo alle societa' che ancora non fossero certificate di
certificarsi; che tenga conto delle esigenze delle piccole e medie
imprese e dei servizi cosiddetti "di nicchia", richiedendo
obbligatoriamente la certificazione esclusivamente per i contratti
di grande rilievo; che assicuri una adeguata partecipazione alle
gare in ambito comunitario, informando preventivamente i
partecipanti circa le verifiche a cui saranno sottoposti in fase di
gara e gli adempimenti conseguenti alla firma dei contratti;
- assicurare la necessaria trasparenza della relazione contrattuale
cliente - fornitore e del processo produttivo utilizzato dal
fornitore per l'erogazione dei servizi contrattualmente dovuti
mediante utilizzo di sisterni qualita' certificati e per questo
documentati ed accessibili; di registrazioni di qualita' intese
come evidenze oggettive dovute al cliente ed assunzioni di
responsabilita' del fornitore, attestanti le attivita' da questo
messe in atto per la soddisfazione dei requisiti contrattuali;
- rafforzare la capacita' di governo dei contratti di grande rilievo
da parte delle Amministrazioni, assicurando un'attivita' efficace
di monitoraggio dei contratti in relazione alla qualita' dei
prodotti e dei servizi contrattualmente richiesti ed al processo
messo in atto dal fornitore per la loro produzione, mediante
utilizzo di piani della qualita', che definiscano attivita',
responsabilita', procedure, livelli di servizio, nonche' di
verifiche ispettive, per superare eventuali carenze informative,
recuperare registrazioni di qualita' e monitorare il processo del
fornitore;
- lasciare l'onere della verifica della conformita' dei sistemi
qualita' delle societa' fornitrici agli organismi di certificazione
a questo scopo appositamente addestrati ed accreditati;
Delibera:
- di dettare le regole tecniche e i criteri operativi di seguito
riportati per l'utilizzo della certificazione EN ISO 9000
nell'appalto di contratti relativi a progettazione, realizzazione,
manutenzione, gestione e conduzione operativa dei sistemi
informativi automatizzati, ai sensi dell'art. 7, comma 1, lett. a),
del Decreto Legislativo 12 febbraio 1993, n. 39.
PREMESSA
Oggetto
Le regole tecniche di seguito riportate, rese disponibili anche sul
sito internet dell'Autorita' per l'informatica nella Pubblica
Amministrazione (www.aipa.it), stabiliscono i criteri e le modalita'
di utilizzo della certificazione EN ISO 9000; in particolare:
- descrivono e disciplinano l'utilizzo della certificazione EN ISO
9000 da parte delle Amministrazioni destinatarie del Decreto
Legislativo 12 febbraio 1993, n. 39, per la stipula dei contratti
di grande rilievo, come determinati dall'Autorita' ai sensi degli
artt. 9, comma 2, e 17, comma 2, del citato Decreto Legislativo,
per la progettazione, realizzazione, manutenzione, gestione e
conduzione operativa di sistemi informativi automatizzati;
- ridefiniscono i "contratti di grande rilievo", identificano
l'ambito di applicazione e la data relativamente ai quali le
Amministrazioni devono richiedere alle societa' fornitrici di
servizi rientranti nel campo delle tecnologie dell'informazione di
comprovare il possesso di una certificazione EN ISO 9001, o EN ISO
9002, o EN ISO 9003, relativa al proprio sistema qualita',
rilasciata da un organismo di certificazione accreditato in
conformita' ai requisiti della norma europea EN 45012;
- definiscono i criteri e le modalita' con cui le Amministrazioni:
- richiedono la certificazione, all'interno delle procedure di
concorso;
- valutano l'ammissibilita' alle procedure di concorso delle societa'
concorrenti in funzione delle certificazioni prodotte;
- utilizzano le prescrizioni della norma di riferimento applicata ed,
in particolare, gli strumenti dei piani della qualita', redatti
conformemente alla norma EN ISO 10005, e delle verifiche ispettive,
eseguite conformemente alla norma EN ISO 10011, nella conduzione
delle attivita' contrattuali.
Detti criteri e modalita' si basano su regole semplici, obiettive,
immediatamente applicabili, tali da assicurare la massima trasparenza
ed imparzialita' alle procedure concorsuali.
Riferimenti
Allo scopo di assicurate il conseguimento degli obiettivi dianzi
delineati, vengono recepiti taluni principi contenuti:
- nella legge 18 agosto 1990, n. 241, recante norme in materia di
procedimento amministrativo;
- nelle Direttive del Consiglio n. 92/50/CEE del 18 giugno 1992 e n.
93/36/CEE del 14 giugno 1993, relative rispettivamente alle
procedure di aggiudicazione degli appalti pubblici di servizi e
degli appalti pubblici di forniture, successivamente modificate
dalla Direttiva del Parlamento Europeo e del Consiglio del 13
ottobre 1997, n. 97/52/CE e dei correlativi decreti legislativi di
recepimento del 17 marzo 1995, n. 157, integrato con le modifiche
di cui al Decreto Legislativo 25 febbraio 2000, n. 65, e del 24
luglio 1992, n. 358, integrato con le modifiche di cui al Decreto
Legislativo del 20 ottobre 1998, n. 402;
nonche' la terminologia, per la quale si rinvia alle definizioni
relative alla qualita' di cui all'art. 1, lett. d), le indicazioni e
i criteri, di cui alle seguenti norme europee recepite nel nostro
ordinamento dall'ente normatore italiano (UNI), e per questo
disponibili in lingua italiana, con i riferimenti indicati tra
parentesi:
- EN ISO 8402 (UNI EN ISO 8402), che definisce i termini specifici
propri del vocabolario tipico della gestione per la qualita' ed
assicurazione della qualita';
- EN ISO 9000-1 (UNI EN ISO 9000-1), che fornisce indicazioni per la
scelta e l'utilizzazione delle norme contrattualmente utilizzabili
della serie EN ISO 9000;
- EN ISO 9001, 9002, 9003 (UNI EN ISO 9001, 9002, 9003), che
esplicitano i criteri per l'assicurazione della qualita' nella
progettazione, sviluppo, fabbricazione, installazione e assistenza;
- EN ISO 9000-3 (UNI EN 29000-3, che riprende il testo, con
modificazioni, della precedente UNI ISO 9000-3), che fornisce una
guida per l'applicazione della EN ISO 9001 per la progettazione e
lo sviluppo di software;
- EN ISO 9004-2 (UNI EN 29004-2, che riprende il testo, con
modificazioni, della precedente UNI ISO 9004-2), che fornisce una
guida per i servizi in genere, non specificatamente per quelli
informatici;
- EN 45012 (UNI CEI EN 45012), che esprime i requisiti per
l'accreditamento degli organismi di certificazione;
- EN ISO 10005 (UNI ISO 10005), che fornisce una guida per la stesura
dei piani della qualita';
- EN ISO 10011 (UNI EN 30011, che riprende il testo, con
modificazioni, della precedente UNI ISO 10011), che regolamenta
l'esecuzione delle verifiche ispettive.
E' da precisare che la versione di tali norme, come di tutte le altre
cui le presenti Regole tecniche fanno riferimento, e' quella in
vigore al momento dell'applicazione delle medesime norme.
La versione delle norme in corso di validita' potra' essere
individuata dalle Amministrazioni, rivolgendosi all'Ente normatore
italiano (UNI).
REGOLE TECNICHE
Art. 1
Definizioni
a) Contratti di grande rilievo
Ai sensi degli articoli 9, comma 2, lett, c), e 17, comma 2, del
Decreto Legislativo 12 febbraio 1993, n. 39, l'Autorita' determina i
"contratti di grande rilievo" per la progettazione, realizzazione,
manutenzione, gestione e conduzione operativa di sistemi informativi
automatizzati.
Una prima definizione di "contratti di grande rilievo" e' stata data
dall'Autorita' con circolare del 28 ottobre 1993, n. AIPA/CR/3.
A modifica ed integrazione della citata circolare, l'Autorita'
ritiene che, dalla data di entrata in vigore delle presenti Regole
tecniche, di cui al successivo art. 14:
- in relazione all'introduzione dell'Euro quale moneta unica, la
definizione dei contratti di grande rilievo debba adeguarsi a nuove
dimensioni economiche espresse in Euro. Conseguentemente per
"contratti di grande rilievo" si intendono contratti il cui valore
di stima risulti, al netto di IVA, superiore ai 25 (venticinque)
milioni di Euro, ovvero, in caso di contratti con validita'
pluriennale, superiore a 5 (cinque) milioni di Euro annui;
- indipendentemente dalle dimensioni economiche sopra indicate, si
possano determinare come "contratti di grande rilievo" quei
contratti che abbiano un rilevante impatto sotto il profilo
organizzativo, nonche' delle ricadute e dei benefici che si
prefiggono di conseguire. A tal fine, l'Autorita' si riserva una
valutazione di merito del progetto, in sede di richiesta di parere
ex art. 8 del Decreto Legislativo 12 febbraio 1993, n. 39, sullo
schema di contratto, con i conseguenti effetti in ordine
all'esigenza di far precedere tali contratti da uno studio di
fattibilita' e/o di sottoporre lo stesso a monitoraggio.
b) Amministrazioni
Ai fini dell'applicazione delle presenti Regole tecniche, sono
definite "Amministrazioni" le Amministrazioni dello Stato, anche ad
ordinamento autonomo, e gli enti pubblici non economici nazionali
destinatari del Decreto Legislativo 12 febbraio 1993, n. 39, art. 1,
comma 1.
c) Servizi ICT
Ai fini dell'applicazione delle presenti Regole tecniche, sono
definiti "servizi ICT" per la progettazione, realizzazione,
manutenzione, gestione e conduzione operativa di sistemi informativi
automatizzati, i servizi ad alto contenuto tecnologico rientranti nel
campo delle tecnologie dell'informazione, denominati "servizi
informatici e affini", di cui all'allegato 1, categoria 7 (no di
riferimento della classificazione ONU, Central Product
Classification. CPC, 84) del Decreto Legislativo del 17 marzo 1995,
no 157.
Senza alcuna pretesa di esaustivita', all'unico scopo di facilitare
l'applicazione delle prescrizioni di seguito riportate, detti servizi
sono articolati nelle categorie riportate in tabella 1, riprese dalla
classificazione CEE "Common Procurement Vocabulary", CPV, nella
versione in lingua italiana del 1998, in vigore dal 1o gennaio 1999.
-------------------------------------------------------------------
Tab. 1 Categorie di servizi ICT tratte dalla classificazione
CPV/98, versione in lingua italiana
-------------------------------------------------------------------
SERVIZI DI CONSULENZA SUI SISTEMI INFORMATIVI
-------------------------------------------------------------------
Servizi di consulenza, CPV 7210-7211-7215-7222-7259
-------------------------------------------------------------------
Servizi di formazione, CPV 8042
-------------------------------------------------------------------
SERVIZI DI PROGETTAZIONE E SVILUPPO DI SISTEMI INFORMATIVI
-------------------------------------------------------------------
Servizi di analisi e programmazione di sistemi, CPV 7224
-------------------------------------------------------------------
Servizi di sviluppo di prodotti software, CPV 7220-7221-7223
-------------------------------------------------------------------
SERVIZI DI CONDUZIONE FUNZIONALE DI SISTEMI INFORMATIVI
-------------------------------------------------------------------
Servizi di manutenzione e assistenza sistemi, CPV 7225-7258
-------------------------------------------------------------------
Servizi connessi al software, CPV 7226
-------------------------------------------------------------------
Servizi di banche di dati, CPV 7232
-------------------------------------------------------------------
Servizi di consulenza e assistenza informatica, CPV 7252
-------------------------------------------------------------------
SERVIZI DI CONDUZIONE TECNICA DI SISTEMI INFORMATIVI
-------------------------------------------------------------------
Servizi di elaborazione dati, CPV 7230
-------------------------------------------------------------------
Servizi di trattamento dati, CPV 7231
-------------------------------------------------------------------
Servizi informatici, CPV 7250-7257
-------------------------------------------------------------------
Servizi di gestione connessi all'informatica, CPV 7251
-------------------------------------------------------------------
Servizi per rete informatica, CPV 7253
-------------------------------------------------------------------
Servizi di riparazione, manutenzione, CPV 5030-5031-5032-5033-
5070-7212-7213-7254
-------------------------------------------------------------------
SERVIZI DI FORNITURA DI BENI HW E SW
-------------------------------------------------------------------
Servizi di installazione CPV 5090-5096
-------------------------------------------------------------------
SERVIZI DI MONITORAGGIO E VERIFICA DI SISTEMI INFORMATIVI
-------------------------------------------------------------------
Servizi di audit informatico, CPV 7255
-------------------------------------------------------------------
SERVIZI DI COLLAUDO DI SISTEMI INFORMATIVI
-------------------------------------------------------------------
Servizi di collaudo informatico, CPV 7214-7256
-------------------------------------------------------------------
La descrizione dettagliata di queste categorie di servizio, come
anche la chiarificazione tra la precedente tabella e la
classificazione CPV sono fornite nell'Appendice I.
d) Definizioni relative alla qualita'
La norma UNI EN ISO 8402 definisce i termini fondamentali relativi ai
concetti concernenti la qualita', da utilizzare in tutti i settori,
per la preparazione e l'applicazione delle norme relative alla
qualita' e per la reciproca comprensione a livello nazionale. Di
seguito si riportano le definizioni tratte da questa norma relative
ai termini relativi alla qualita' utilizzati nelle presenti Regole
tecniche.
d.1) Qualita': l'insieme delle caratteristiche di un'entita'
(processo, prodotto, organizzazione), che ne determinano la
capacita' di soddisfare esigenze espresse ed implicite.
d.2) Sistema qualita': la struttura organizzativa, le procedure, i
processi e le risorse necessari ad attuare la gestione per la
qualita'.
d.3) Gestione per la qualita' (o conduzione aziendale per la
qualita'): l'insieme delle attivita' di gestione aziendale che
determinano la politica per la qualita', gli obiettivi e le
responsabilita' e li traducono in pratica, nell'ambito del
sistema qualita', con mezzi quali la pianificazione della
qualita', il controllo della qualita', l'assicurazione della
qualita', e il miglioramento della qualita'.
d.4) Assicurazione della qualita' (o garanzia della qualita'): tutte
le attivita' pianificate e sistematiche, attuate nell'ambito del
sistema qualita' e di cui, per quanto occorre, viene data
dimostrazione, messe in alto per dare adeguata confidenza che
un'entita' (processo, prodotto, organizzazione) soddisfera' i
requisiti per la qualita'.
d.5) Controllo della qualita': le tecniche e le attivita' a carattere
operativo messe in atto per soddisfare i requisiti della
qualita'.
d.6) Manuale della qualita': documento che enuncia la politica per la
qualita' e descrive il sistema qualita' di un organizzazione.
d.7) Piano della qualita': documento che precisa le particolari
modalita' operative, le risorse e le sequenze delle attivita'
relative alla qualita' di un determinato prodotto, progetto, o
contratto.
d.8) Requisiti per la qualita': espressione delle esigenze, o loro
traduzione in un insieme di requisiti espressi quantitativamente
o qualitativamente, per le caratteristiche di un'entita'
(processo, prodotto, organizzazione) al fine di consentirne la
realizzazione e l'esame.
d.9) Verifica ispettiva: esame sistematico ed indipendente mirato a
stabilire se le attivita' svolte per la qualita' ed i risultati
ottenuti sono in accordo con quanto stabilito, e se quanto
stabilito viene attuato efficacemente e risulta idoneo al
conseguimento degli obiettivi.
d.10) Conformita': soddisfacimento di requisiti specificati.
d.11) Non conformita': non soddisfacimento di requisiti specificati.
d.12) Evidenza oggettiva: informazioni la cui veridicita' puo' essere
dimostrata sulla base di fatti acquisiti a seguito di
osservazioni, misurazioni, prove od altri mezzi.
d.13) Specifica: documento che stabilisce dei requisiti.
d.14) Registrazione: documento che fornisce evidenza oggettiva di
attivita' eseguite o risultati ottenuti.