Il rebus del Cloud per la PA: competizione, procedure, cordate. Serve più trasparenza

Il Cloud per la PA prende prepotentemente la scena. Come previsto, il ministero guidato da Vittorio Colao ha ricevuto la proposta progettuale avanzata dalla cordata TIM, Leonardo, Cassa Depositi e Prestiti (CDP, attraverso la sua controllata CDP Equity) e Sogei. A depositare la propria proposta progettuale anche il tandem nazionale composto da Almaviva e Aruba.

La posta in gioco messa a disposizione dal PNRR non è di poco conto: 1,9 miliardi di euro per infrastruttura Cloud e migrazione dei dati, cui si aggiungono altri miliardi per il settore del digitale nel suo complesso, a cui si aggiungono ancora altre ingenti risorse provenienti da misure esterne al PNRR.

Una torta che fa a gola a tanti.

Si tratta di soldi pubblici che andrebbero spesi tutti e spesi nel migliore dei modi, salvaguardando alcune prerogative che qualificano le decisioni. Ma vediamo, per questo, quali sono i punti di criticità.

Cloud per la PA: le date ballerine

Il calendario ha espresso vistosi punti di debolezza. La data ultima del 30 settembre 2021 per la presentazione delle proposte progettuali, indicata dal ministro Vittorio Colao nella conferenza stampa di presentazione del Piano ministeriale, avvenuta il 7 settembre scorso, non si ritrova da nessuna parte, se la cerchiamo in atti formali, così come non vi è alcun riferimento certo sulla apertura di termini di presentazione. È quindi una data informale, ma pesante. E si, perché l’Italia, per decisioni assunte dal precedente governo Conte con l’Europa, dovrà decidere tutto ed assegnare la commessa entro il 31 dicembre 2021, data oltre la quale, se le cose si impantanassero, l’Italia sarebbe costretta a restituire i soldi. Ma di questo non si parla, tranne che per la fretta del governo: ad aprile si parlò di un bando a fine maggio, a maggio entro giugno, a giugno entro fine luglio, a fine luglio si parlò di autunno…Sembrava la scena di Alice nel Paese delle Meraviglie, dove il Bianconiglio correva sempre da una parte all’altra ripetendo compostamente: “Non c’è tempo, non c’è tempo”.

Bene ora ci siamo. Ma rimane l’enigma delle date, che nessuno ha ancora spiegato.

La procedura concorsuale incerta

Bando o non bando? Eh si perché sulla stampa si è più volte parlato, nei mesi passati, di assegnazione diretta, ma si trattava di indicazioni audaci, peraltro mai smentite dal governo.

Il punto è che per fare un bando occorre un capitolato d’appalto. Il ministero di Vittorio Colao è troppo piccolo e non ha personale adeguato a predisporre un capitolato di tale complessità e a qualcuno è venuto in mente di sollecitare delle “proposte progettuali”, per scegliere la migliore e su quella predisporre il bando di gara a cui potranno partecipare anche altre aziende.

Ma qui sorge un problema.

Come scrivere una proposta progettuale senza alcuna indicazione di linee tecniche, a parte le scarne paginette corredate di disegni che il ministero ha presentato nella conferenza stampa del 7 settembre scorso?

E chi deve, o avrebbe dovuto, emanarle?

Ad occuparsi di linee tecniche di Cloud è sempre stata AGID (dai tempi del Decreto Legge 18 ottobre 2012), ma con il DL (Art. 7, lettera m) dello scorso agosto che ha istituito l’Agenzia per la Cybersicurezza Nazionale (ACN), tutte le competenze principali sul Cloud sono state tolte ad AGID e passate alla nuova Agenzia, che però al momento non ha struttura e non è in condizione di emanare alcunché, almeno per qualche mese.

E allora come si possono stilare delle proposte progettuali, senza linee tecniche dichiarate dall’ente che deve riceverle o meglio dall’ACN? Un vero mistero della fede che si è al momento disciolto, come il sangue di San Gennaro, a fronte della presentazione di proposte che è stata registrata.

Ma il problema rimane e al momento non sappiamo se comporterà o meno delle ulteriori conseguenze in seguito.

La PPP (Partenariato Pubblico Privato)

È la formula prescelta per l’assegnazione di queste ingenti risorse del PNRR destinate al Cloud della PA. Ma come si fa una PPP?

Forse qui la partita ha avuto degli svolgimenti critici e, francamente, non del tutto regolari.

Una PPP vede assieme una o più aziende private e una o più aziende pubbliche che si muovono assieme sulla stessa linea di finanziamento e con la condivisione dello stesso progetto, dei suoi tempi e delle sue esecuzioni.

Ma chi decide come e quando configurare una PPP?

Le aziende private possono liberamente cercarsi il partner pubblico?

E qualunque partner pubblico (al 100% dello Stato o controllato da questo) può liberamente cercarsi un partner privato, senza dover chiedere nulla all’apparato statale da cui dipende o da cui è controllato (usualmente il Ministero dell’Economia e delle Finanze, MEF)?

E il MEF deve o non deve indicare a monte i soggetti pubblici disponibili per quel progetto destinato ad essere realizzato in regime di PPP, in questo caso il Cloud della PA?

Per uscire fuori di metafora, CDP era libera di scegliersi il proprio partner privato (TIM) o era libera di accettare inviti ad aderire ad una aggregazione di impresa? CDP, assieme a Sogei e Leonardo, ha avviato (o ha accettato) l’interlocuzione con TIM.

Ma, ripeto, siamo sicuri che si proceda cosi?

E perché non si è neanche presa in considerazione la possibilità che altri soggetti pubblici potessero partecipare alla competizione per l’assegnazione con altre aggregazioni? Ci riferiamo espressamente a soggetti pubblici rilevanti come INPS ed INAIL, che hanno propri apparati di Cloud e che assieme custodiscono e trattano almeno un quarto dei dati della pubblica amministrazione italiana.

Perché INPS ed INAIL non sono state interpellate? O sono state dissuase?

Decine di articoli sulle testate mainstream di rilievo nazionale hanno anche riportato nelle scorse settimane gli annunci ufficiali di soggetti rilevanti a partecipazione pubblica o controllati pienamente dallo Stato, come Fincantieri (annuncio di accordo con Amazon AWS) o il Poligrafico della Zecca dello Stato (in cordata con Fastweb).

Gli stessi giornali autorevoli hanno poi riferito di ordini tassativi da parte del MEF a questi soggetti pubblici, perché si ritirassero e non disturbassero le operazioni costruite intorno all’aggregazione che si stava costruendo intorno a CDP.

Se fosse vero sarebbe grave. Ma dal MEF nessuno ha smentito queste circostanze, che pure hanno colpito l’attenzione di osservatori e opinione pubblica.

Ancora una volta silenzio assoluto di altri settori del governo e uguale atteggiamento delle forze politiche in Parlamento.

L’aggregazione TIM-Leonardo-CDP-Sogei

Tutto questo lascerebbe pensare ad un’operazione statale forte, da pugno di ferro. E invece no.

Il comunicato a quattro firme diffuso due giorni dai 4 soggetti in questione, fotografa risibili percentuali di partecipazione pubblica (e quindi il peso decisionale) all’aggregazione che darà luogo ad una società ad hoc: CDP, attraverso CDP Equity avrà appena il 20%, la Sogei (100%MEF) appena un 10%, mentre Leonardo si posiziona al 25%, con TIM che fa l’asso pigliatutto con il 45%, una percentuale così elevata da non trovare giustificazione alcuna.

Eppure TIM è una società con non poche criticità operative. Dal punto di vista dello Stato, questa operazione di mercato avrebbe potuto avere altri partner privati industriali con caratteristiche più invitanti (per competenze di merito, per quantità di debito, per ridotta numerosità di personale ecc.).

E allora perché una PPP con TIM ad ogni costo?

E perché impedire ad altri soggetti pubblici di partecipare a cordate con aziende private anche meno problematiche di TIM, per debito o numerosità di personale?  

E perché ridurre la partecipazione pubblica piena ad un risicato 30% tra CDP Equity e Sogei, perché Leonardo con il suo 25% è una società di mercato quotata in Borsa, riconoscendo a TIM uno strabordante ed ingiustificato 45%. Il che quantifica la presenza pubblica ad un irrilevante 30%.

Perché CDP Equity ha chiuso le porte a qualunque altro soggetto?

Ha influito il possesso di una quota azionaria di CDP Equity di circa il 10% nella proprietà di TIM?

Le società informatiche pubbliche in-house delle Regioni

Sono tante, anche se non tutte fanno Cloud. Ma il Cloud è settore core per molte di esse. Hanno un ruolo importante, perché custodiscono e trattano sul Cloud i dati della sanità nelle Regioni italiane. Eppure delle in-house regionale non si parla, né tantomeno dei dati che gestiscono. Eppure sono dati di valore immenso che fanno gola a multinazionali, a Big-Pharma, addirittura a nazioni estere. Perché nessuno ne parla?

Saranno considerate un patrimonio da utilizzare o una cassaforte da valorizzare? E se i dati sanitari verranno tolti dalle loro mani, in quali mani finiranno? E con quali software saranno trattati? E avranno controlli operati da cruscotti esteri posti fuori controllo dalle strutture che sovraintenderanno al Cloud italiano. E se il Cloud versa tolto dalle in-house, non vi sarà il rischio di crisi occupazionale di migliaia di persone?

Vedremo che succederà

E allora?

Insomma, affiora forse una certa mancanza di trasparenza. Quando ciò accade e nessuno delle parti in commedia (tra governo, ministeri, partiti, Confindustria ecc.) si sente in dovere di obiettare alcunché. Quando ciò avviene vuol dire che si è stretto un accordo tra molte parti, sia pubbliche che private. Verrebbe da aggiungere anche nazionale ed estere.

Il rischio è che affiori un uso strumentale della componente pubblica, che si ritrova a svolgere un ruolo di “foglia di fico” (con una presenza percentuale che fa sorridere se consideriamo la natura totalmente pubblica dell’investimento).

E allora, è un vero e proprio bando competitivo o è una assegnazione d’ufficio mascherata da bando pubblico?

Tutte domande che troveranno forse risposte nelle prossime settimane. Naturalmente l’idea che una cosa si faccia, senza tenere conto del modo in cui si fa, solo perché c’è un accordo (o perché “tutti” sono d’accordo) non regge. Anche perché quasi mai “tutti” sono d’accordo. E saranno costoro ad avere il pallino in mano.

Poi ci sarà il problema grande come una casa del Cloud Act, di cui nessuno parla. Un problema che qualcuno sbriga con affermazioni di rito, dicendo di avere in mano la soluzione. Non è così. Il problema c’è e non è affrontabile con i giochini di corridoio. Ma di questo parleremo in una apposita uscita nei prossimi giorni.

https://www.key4biz.it/il-rebus-del-cloud-per-la-pa-competizione-procedure-cordate-serve-piu-trasparenza/375851/