Appalti, accoglimento: la conservazione dei documenti digitali in modalità cloud è requisito di partecipazione solo se è offerto in tale modalità (Tar Firenze, sent. 437/2023)

Il Tar Firenze, in accoglimento delle nostre difese a tutela del raggruppamento aggiudicatario in una gara di appalto centralizzata per la conservazione digitale della documentazione di tutte le asl Fiorentine ha così deciso: "Per quanto attiene alla prima censura del ricorso principale, va innanzi tutto delineato, in modo sintetico, il quadro normativo con cui sono disciplinati i servizi di conservazione dei documenti informatici da parte delle pubbliche amministrazioni. L’art. 34, comma 1 bis del d.lgs. n. 82/2005, Codice dell’Amministrazione Digitale (c.d. CAD), introdotto dal d.l. n. 76/2020, convertito con l. n. 120/2020, ha previsto che le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici all’interno della propria struttura organizzativa, oppure affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati che possiedono i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, in apposite Linee guida relative alla formazione, gestione e conservazione dei documenti informatici e in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da Agid. Le “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” sono state pubblicate da Agid nella Gazzetta Ufficiale n. 259 del 29 ottobre 2020. Il “Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici” e i relativi allegati sono stati approvati da Agid nel 2021 e dettano i requisiti generali, di qualità, di sicurezza e di organizzazione che devono possedere i soggetti, pubblici e privati, per poter svolgere il servizio a favore delle pubbliche amministrazioni. Segnatamente, l’art. 1, comma 1 di tale Regolamento prevede che la conservazione dei documenti informatici deve avvenire in modo che il sistema di conservazione ne assicuri autenticità, integrità, affidabilità, leggibilità e reperibilità. L’art. 2, a sua volta, stabilisce che i soggetti che intendono erogare il servizio di conservazione dei documenti informatici a favore delle pubbliche amministrazioni devono possedere i requisiti generali e i requisiti di qualità, di sicurezza e organizzazione specificati all’interno dell’Allegato A, che costituiscono condizione per l’iscrizione al registro denominato “marketplace dei servizi di conservazione” o “marketplace dei conservatori”, previsto dal successivo art. 3. L’art. 7, infine, dispone che “Le amministrazioni che affidano il servizio di conservazione dei documenti informatici a soggetti non iscritti al marketplace dei servizi di conservazione hanno l’obbligo di trasmettere ad AgID i relativi contratti entro trenta giorni dalla stipula affinché l’Agenzia possa svolgere le attività di verifica dei requisiti generali nonché dei requisiti di qualità, di sicurezza e organizzazione di cui all’allegato A al presente regolamento”. L’Allegato A del Regolamento elenca quindi i requisiti che devono essere posseduti dagli operatori e precisa che “chi intende fornire i servizi di

conservazione in modalità cloud per conto delle pubbliche amministrazioni deve possedere, oltre ai requisiti prescritti nel presente allegato, anche la qualificazione prevista dall’art. 4 della Circolare AgID n. 3 del 9 aprile 2018”. Secondo quanto precisato in questa ultima circolare, il cloud è da intendersi - in estrema sintesi - come un “insieme di infrastrutture tecnologiche remote utilizzate come risorsa virtuale per la memorizzazione e/o l’elaborazione nell’ambito di un servizio”; e i servizi di tipo “software as a Service” (c.d. Saas) costituiscono una classe di servizi in cui il gestore si occupa della predisposizione, configurazione, messa in esercizio e manutenzione degli stessi, grazie ad un’infrastruttura cloud propria o di terzi, lasciando al fruitore del servizio il solo ruolo di utilizzatore delle funzionalità offerte. La medesima circolare richiama poi le definizioni e i concetti definiti dal National Institute of Standards and Technologies - agenzia governativa statunitense - e indica le cinque caratteristiche essenziali del Cloud computing (on-demand selfservice, broad network access, resource pooling, rapid elasticity, measured service). 2.2. Ebbene, svolte le suddette precisazioni, va evidenziato che la ricorrente principale ha impostato la sua prima doglianza su un presupposto fondamentale errato, ossia che la legge di gara avesse ad oggetto una specifica tipologia di servizio di conservazione dei documenti informatici prodotti da Estar e dalle Aziende sanitarie da espletare necessariamente in modalità cloud, ossia avvalendosi di un’infrastruttura tecnologica remota e virtuale, comune a più utenti. In realtà, la legge di gara non prevedeva che i servizi oggetto di appalto dovessero essere svolti in questa unica modalità, ma si limitava ad imporne la piena conformità alla normativa vigente e a descriverne le caratteristiche essenziali, ammettendo quindi il ricorso a server dedicati in modo esclusivo ad Estar e alle Aziende sanitarie toscane o, in alternativa, a server remoti e virtuali condivisi con altri utenti. In particolare, l’art. 3 del disciplinare contiene l’elenco dettagliato delle prestazioni richieste, senza tuttavia fare alcun riferimento esplicito alla modalità cloud (cfr. doc. 4 della ricorrente principale); altrettanto può dirsi per l’art. 17, che indica il contenuto dell’offerta tecnica, e per il successivo art. 19, nel quale sono indicati i criteri di valutazione. A sua volta, l’art. 3 del capitolato speciale d’appalto descrive in modo puntuale l’oggetto della gara, senza imporre in modo tassativo ed univoco l’utilizzo della modalità cloud (cfr. doc. 7 della ricorrente principale). Nemmeno l’art. 4 del capitolato, nel quale sono indicati i requisiti funzionali del servizio, rende di per sé obbligatorio il ricorso al cloud, posto che anche questa disposizione contiene una descrizione del servizio molto ampia, che ammette modalità differenti di erogazione rimesse alle scelte tecniche e imprenditoriali dei singoli operatori economici, senza indicare il tipo di infrastruttura tecnologica di cui i concorrenti devono avvalersi; e dunque, a prescindere dal valore probatorio che può essere attribuito alla relazione tecnica depositata da Ti Trust, non vi è prova di quanto in essa affermato, ossia che le funzionalità richieste da Estar descriverebbero di fatto un servizio di tipo “software as a service”, erogabile soltanto tramite un’infrastruttura virtuale e remota comune a più utenti (cfr. doc. 21 della ricorrente principale). Pertanto, del tutto coerentemente, l’art. 2 del capitolato precisa che “I soggetti che intendono erogare il servizio di conservazione dei documenti informatici per conto delle pubbliche amministrazioni devono possedere i requisiti generali nonché i requisiti di qualità, di sicurezza e organizzazione specificati all’interno dell’allegato A denominato “Requisiti per l’erogazione del servizio di conservazione per conto delle pubbliche amministrazioni” del Regolamento, che qui si richiamano integralmente in quanto necessari per l’iscrizione al marketplace istituito per i servizi di conservazione. Qualora, al momento dell’aggiudicazione, il fornitore non risultasse iscritto nella sezione “servizi di conservazione” del Cloud Marketplace, l’amministrazione prima di procedere alla stipula, trametterà gli atti ad AgID affinché siano svolte da parte dell’Agenzia le attività di verifica del possesso dei requisiti di cui all’allegato A del Regolamento”. Così come, in modo altrettanto coerente, l’art. 5 afferma che “Qualora i servizi di conservazione siano erogati in modalità cloud, il servizio deve essere qualificato come previsto dalla Circolare Agid n. 3 del 9 aprile 2018 e, conseguentemente, essere presente nel “Catalogo dei servizi Cloud per la PA qualificati” pubblicato sul sito di Agid”. In sintesi, mentre l’iscrizione al registro generale denominato “marketplace dei conservatori”, previsto dal Regolamento Agid del 2021 costituisce requisito di idoneità professionale ineludibile, l’iscrizione allo specifico registro denominato “cloud marketplace” è requisito eventuale, che si rende necessario solo se l’operatore economico intende offrire un servizio di conservazione in modalità cloud, dotato di tutte le caratteristiche descritte nella circolare Agid n. 3/2018 cit.. Quanto appena evidenziato esclude l’illegittimità degli atti di gara nei termini dedotti dalla ricorrente principale. 2.3. In secondo luogo, dagli atti emerge che il servizio offerto dal R.T.I. aggiudicatario si avvale di una struttura interna riservata ad Estar e alle Aziende sanitarie toscane e utilizza un hardware dedicato (cfr. in particolare il par. 5.1.1 dell’Offerta Tecnica ..., doc. 12 di Estar). Non si tratta quindi di un servizio svolto in modalità cloud, per mezzo di infrastrutture remote e virtuali, utilizzabili da una molteplicità di utenti; bensì di un servizio offerto grazie ad un’infrastruttura tecnologica fisicamente individuata, con caratteristiche specifiche puntualmente descritte nell’offerta tecnica del R.T.I. aggiudicatario e utilizzata solo per Estar e le Aziende sanitarie toscane. Pertanto, anche sotto questo profilo, la censura della ricorrente principale appare priva di pregio, posto che il possesso della sola iscrizione al “marketplace dei conservatori” da parte di Medas e Aruba Pec costituisce requisito di partecipazione conforme a quanto prescritto dalla legge di gara e dalla normativa di settore per lo svolgimento del servizio oggetto di affidamento.

2.4. In ultimo, occorre evidenziare che l’iscrizione al “Cloud marketplace”, in base alla normativa di settore vigente, non può essere considerata un requisito di partecipazione alle gare indette dalle pubbliche amministrazioni per l’erogazione dei servizi di conservazione dei documenti informatici, ma costituisce piuttosto un requisito di esecuzione. Infatti, l’art. 7 del Regolamento cit., secondo il quale il servizio di conservazione può essere affidato anche a soggetti non iscritti al marketplace dei servizi di conservazione, fermo l’obbligo di trasmettere ad Agid i relativi contratti entro trenta giorni dalla stipula affinché l’Agenzia possa svolgere le attività di verifica dei requisiti previsti dalla normativa di settore, non può non trovare applicazione anche in riferimento all’iscrizione nel più specifico registro denominato “cloud marketplace”, citato nell’Allegato A del Regolamento stesso. Lo stesso invero, alla pari del “marketplace dei conservatori”, è destinato ad attestare il possesso di determinati requisiti organizzativi, tecnici e infrastrutturali da parte degli operatori economici che intendano fornire servizi di conservazione dei documenti informatici a favore della pubblica amministrazione; sarebbe dunque illogico e contraddittorio ammettere l’iscrizione postuma al “marketplace dei conservatori” ed escludere quella al “cloud marketplace”. Inoltre, la circolare n. 3 del 9 aprile 2018, che stabilisce i requisiti e i criteri per l’iscrizione al “cloud marketplace”, non prevede che la qualificazione in parola debba essere posseduta già in fase di gara. Entrambi i registri, pertanto, soggiacciono alla disciplina generale dettata dal Regolamento del 2021 che, come detto, consente agli operatori economici di partecipare a questa tipologia di gara anche se privi dell’iscrizione e di acquisirla a seguito dell’aggiudicazione. A ciò si aggiunga che, nel caso in esame, la legge di gara, all’art. 7.1. del disciplinare, conteneva un espresso rinvio all’art. 7 del Regolamento, confermando perciò in modo espresso la natura di requisito di esecuzione ascrivibile all’iscrizione al “cloud marketplace”.

In conclusione, la mancanza di tale iscrizione, anche se necessaria per il tipo di servizio offerto, non avrebbe potuto comunque costituire motivo di esclusione del R.T.I. aggiudicatario, sia per il tenore della normativa generale citata, sia per le specifiche previsioni della legge di gara, ben potendo il R.T.I. aggiudicatario integrare tale requisito in vista della stipula del contratto.