Gazzetta n. 296 del 20 dicembre 2000 (vai al sommario) AUTORITA' PER L' INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE DELIBERAZIONE 9 novembre 2000 Regole tecniche e criteri operativi per l'utilizzo della certificazione EN ISO 9000 nell'appalto di contratti relativi a progettazione, realizzazione, manutenzione, gestione e conduzione operativa dei sistemi informativi automatizzati, ex art. 7, comma 1, lettera a), del decreto legislativo 12 febbraio 1993, n. 39. (Deliberazione n. 49/2000). L'AUTORITA' Visto l'art. 7, comma 1, lettera a), del decreto legislativo 12 febbraio 1993, n. 39, secondo il quale: "Spetta all'Autorita'.: a) dettare norme tecniche e criteri in tema di pianificazione, progettazione, realizzazione, gestione, mantenimento dei sistemi informativi automatizzati delle amministrazioni e delle loro interconnessioni, nonche' della loro qualita' e relativi aspetti organizzativi; dettare criteri tecnici riguardanti la sicurezza dei sistemi"; Visto l'art. 14, comma 4, del Decreto legislativo del marzo 1995, n. 157, secondo il quale: "Qualora le amministrazioni aggiudicatrici richiedano la presentazione di certificati rilasciati da organismi indipendenti, attestanti che il concorrente osserva determinate norme in materia di garanzia della qualita', esse fanno riferimento ai sistemi di garanzia della qualita' basati sulla pertinente. Serie di norme europee EN 29000, certificati da organismi conformi alla serie di norme europee EN 45000 Le amministrazioni aggiudicatrici riconoscono i certificati equivalenti rilasciati da organismi stabiliti in altri Stati membri; esse ammettono, parimenti, altre prove relative all'impiego di misure equivalenti di garanzia della qualita' qualora il concorrente non abbia accesso a tali certificati o non possa ottenerli nei termini richiesti"; Vista la circolare del 28 ottobre 1993, n. AIPA/CR/3, con la quale sono stati determinati i contratti di grande rilievo, previsti dagli artt. 9, comma 2, sub c), e 17, comma 2 del Decreto Legislativo n. 39/1993; Visto il punto 3 della circolare del 5 agosto 1994, n. AIPA/CR/5 - che definisce, ai sensi dell'art. 13, comma 2, del Decreto Legislativo n. 39/1993, i criteri e le modalita' di esecuzione del monitoraggio dei contratti di grande rilievo - secondo il quale: "A partire dalla data che sara' definita dall'Autorita', le societa' fornitrici dovranno disporre della certificazione EN ISO 9000"; Considerato che un'analisi delle modalita' di richiesta della certificazione EN ISO 9000 messe in atto dalle Amministrazioni, svolta sulla base degli atti di gara presentati dalle medesime amministrazioni per la richiesta di parere all'Autorita' nel periodo 1997-99, ha evidenziato l'esigenza di dettare criteri per il migliore utilizzo contrattuale della certificazione con l'obiettivo di migliorarne l'impiego da parte delle Amministrazioni sin dal momento della procedura di gara, ed in particolare: - di eliminare possibili confusioni tra certificazione di prodotto e certificazione di processo (o di sistema qualita'); - di evidenziare i requisiti contrattuali inerenti alla certificazione, non verificabili o difficilmente verificabili in sede di gara; - di evitare richieste di certificazione relative a norme non compatibili con i servizi contrattualmente richiesti; - di orientare l'uso della certificazione da criterio di misura della capacita' tecnica in standard minimale a presupposto del relativo possesso; - di evitare il generico riferimento alle norme EN ISO 9000 in sostituzione di precisi requisiti contrattuali relativi ai prodotti e servizi attesi, alle procedure da utilizzare, alle modalita' di verifica dei livelli di servizio. Considerato che l'utilizzo della certificazione EN ISO 9000 permette il raggiungimento dei seguenti obiettivi: - utilizzare la certificazione dei sistemi qualita', gia' attuata da un gran numero di societa' fornitrici di servizi rientranti nel campo delle tecnologie dell'informazione, per impostare una politica industriale basata sul miglioramento continuo dei sistemi qualita' e dei contratti e volta a garantire la qualita' dei servizi erogati dai fornitori alle Amministrazioni; - rendere le modalita' di partecipazione a gara il piu' possibile oggettive, trasparenti, e di piu' semplice attuazione sia per le imprese concorrenti, che per le Amministrazioni appaltanti; - fornire alle Amministrazioni e alle commissioni di gara parametri di riferimento nella identificazione degli ambiti piu' opportuni di applicazione dei principi della certificazione di qualita'; nella scelta delle norme contrattuali pertinenti; nella valutazione delle certificazioni prodotte dalle imprese o raggruppamenti temporanei di impresa concorrenti; nella preparazione degli atti di gara; - garantire un approccio progressivo e flessibile che eviti di penalizzare i fornitori attualmente privi di certificazione, consentendo alle societa' che ancora non fossero certificate di certificarsi; che tenga conto delle esigenze delle piccole e medie imprese e dei servizi cosiddetti "di nicchia", richiedendo obbligatoriamente la certificazione esclusivamente per i contratti di grande rilievo; che assicuri una adeguata partecipazione alle gare in ambito comunitario, informando preventivamente i partecipanti circa le verifiche a cui saranno sottoposti in fase di gara e gli adempimenti conseguenti alla firma dei contratti; - assicurare la necessaria trasparenza della relazione contrattuale cliente - fornitore e del processo produttivo utilizzato dal fornitore per l'erogazione dei servizi contrattualmente dovuti mediante utilizzo di sisterni qualita' certificati e per questo documentati ed accessibili; di registrazioni di qualita' intese come evidenze oggettive dovute al cliente ed assunzioni di responsabilita' del fornitore, attestanti le attivita' da questo messe in atto per la soddisfazione dei requisiti contrattuali; - rafforzare la capacita' di governo dei contratti di grande rilievo da parte delle Amministrazioni, assicurando un'attivita' efficace di monitoraggio dei contratti in relazione alla qualita' dei prodotti e dei servizi contrattualmente richiesti ed al processo messo in atto dal fornitore per la loro produzione, mediante utilizzo di piani della qualita', che definiscano attivita', responsabilita', procedure, livelli di servizio, nonche' di verifiche ispettive, per superare eventuali carenze informative, recuperare registrazioni di qualita' e monitorare il processo del fornitore; - lasciare l'onere della verifica della conformita' dei sistemi qualita' delle societa' fornitrici agli organismi di certificazione a questo scopo appositamente addestrati ed accreditati; Delibera: - di dettare le regole tecniche e i criteri operativi di seguito riportati per l'utilizzo della certificazione EN ISO 9000 nell'appalto di contratti relativi a progettazione, realizzazione, manutenzione, gestione e conduzione operativa dei sistemi informativi automatizzati, ai sensi dell'art. 7, comma 1, lett. a), del Decreto Legislativo 12 febbraio 1993, n. 39. PREMESSA Oggetto Le regole tecniche di seguito riportate, rese disponibili anche sul sito internet dell'Autorita' per l'informatica nella Pubblica Amministrazione (www.aipa.it), stabiliscono i criteri e le modalita' di utilizzo della certificazione EN ISO 9000; in particolare: - descrivono e disciplinano l'utilizzo della certificazione EN ISO 9000 da parte delle Amministrazioni destinatarie del Decreto Legislativo 12 febbraio 1993, n. 39, per la stipula dei contratti di grande rilievo, come determinati dall'Autorita' ai sensi degli artt. 9, comma 2, e 17, comma 2, del citato Decreto Legislativo, per la progettazione, realizzazione, manutenzione, gestione e conduzione operativa di sistemi informativi automatizzati; - ridefiniscono i "contratti di grande rilievo", identificano l'ambito di applicazione e la data relativamente ai quali le Amministrazioni devono richiedere alle societa' fornitrici di servizi rientranti nel campo delle tecnologie dell'informazione di comprovare il possesso di una certificazione EN ISO 9001, o EN ISO 9002, o EN ISO 9003, relativa al proprio sistema qualita', rilasciata da un organismo di certificazione accreditato in conformita' ai requisiti della norma europea EN 45012; - definiscono i criteri e le modalita' con cui le Amministrazioni: - richiedono la certificazione, all'interno delle procedure di concorso; - valutano l'ammissibilita' alle procedure di concorso delle societa' concorrenti in funzione delle certificazioni prodotte; - utilizzano le prescrizioni della norma di riferimento applicata ed, in particolare, gli strumenti dei piani della qualita', redatti conformemente alla norma EN ISO 10005, e delle verifiche ispettive, eseguite conformemente alla norma EN ISO 10011, nella conduzione delle attivita' contrattuali. Detti criteri e modalita' si basano su regole semplici, obiettive, immediatamente applicabili, tali da assicurare la massima trasparenza ed imparzialita' alle procedure concorsuali. Riferimenti Allo scopo di assicurate il conseguimento degli obiettivi dianzi delineati, vengono recepiti taluni principi contenuti: - nella legge 18 agosto 1990, n. 241, recante norme in materia di procedimento amministrativo; - nelle Direttive del Consiglio n. 92/50/CEE del 18 giugno 1992 e n. 93/36/CEE del 14 giugno 1993, relative rispettivamente alle procedure di aggiudicazione degli appalti pubblici di servizi e degli appalti pubblici di forniture, successivamente modificate dalla Direttiva del Parlamento Europeo e del Consiglio del 13 ottobre 1997, n. 97/52/CE e dei correlativi decreti legislativi di recepimento del 17 marzo 1995, n. 157, integrato con le modifiche di cui al Decreto Legislativo 25 febbraio 2000, n. 65, e del 24 luglio 1992, n. 358, integrato con le modifiche di cui al Decreto Legislativo del 20 ottobre 1998, n. 402; nonche' la terminologia, per la quale si rinvia alle definizioni relative alla qualita' di cui all'art. 1, lett. d), le indicazioni e i criteri, di cui alle seguenti norme europee recepite nel nostro ordinamento dall'ente normatore italiano (UNI), e per questo disponibili in lingua italiana, con i riferimenti indicati tra parentesi: - EN ISO 8402 (UNI EN ISO 8402), che definisce i termini specifici propri del vocabolario tipico della gestione per la qualita' ed assicurazione della qualita'; - EN ISO 9000-1 (UNI EN ISO 9000-1), che fornisce indicazioni per la scelta e l'utilizzazione delle norme contrattualmente utilizzabili della serie EN ISO 9000; - EN ISO 9001, 9002, 9003 (UNI EN ISO 9001, 9002, 9003), che esplicitano i criteri per l'assicurazione della qualita' nella progettazione, sviluppo, fabbricazione, installazione e assistenza; - EN ISO 9000-3 (UNI EN 29000-3, che riprende il testo, con modificazioni, della precedente UNI ISO 9000-3), che fornisce una guida per l'applicazione della EN ISO 9001 per la progettazione e lo sviluppo di software; - EN ISO 9004-2 (UNI EN 29004-2, che riprende il testo, con modificazioni, della precedente UNI ISO 9004-2), che fornisce una guida per i servizi in genere, non specificatamente per quelli informatici; - EN 45012 (UNI CEI EN 45012), che esprime i requisiti per l'accreditamento degli organismi di certificazione; - EN ISO 10005 (UNI ISO 10005), che fornisce una guida per la stesura dei piani della qualita'; - EN ISO 10011 (UNI EN 30011, che riprende il testo, con modificazioni, della precedente UNI ISO 10011), che regolamenta l'esecuzione delle verifiche ispettive. E' da precisare che la versione di tali norme, come di tutte le altre cui le presenti Regole tecniche fanno riferimento, e' quella in vigore al momento dell'applicazione delle medesime norme. La versione delle norme in corso di validita' potra' essere individuata dalle Amministrazioni, rivolgendosi all'Ente normatore italiano (UNI). REGOLE TECNICHE Art. 1 Definizioni a) Contratti di grande rilievo Ai sensi degli articoli 9, comma 2, lett, c), e 17, comma 2, del Decreto Legislativo 12 febbraio 1993, n. 39, l'Autorita' determina i "contratti di grande rilievo" per la progettazione, realizzazione, manutenzione, gestione e conduzione operativa di sistemi informativi automatizzati. Una prima definizione di "contratti di grande rilievo" e' stata data dall'Autorita' con circolare del 28 ottobre 1993, n. AIPA/CR/3. A modifica ed integrazione della citata circolare, l'Autorita' ritiene che, dalla data di entrata in vigore delle presenti Regole tecniche, di cui al successivo art. 14: - in relazione all'introduzione dell'Euro quale moneta unica, la definizione dei contratti di grande rilievo debba adeguarsi a nuove dimensioni economiche espresse in Euro. Conseguentemente per "contratti di grande rilievo" si intendono contratti il cui valore di stima risulti, al netto di IVA, superiore ai 25 (venticinque) milioni di Euro, ovvero, in caso di contratti con validita' pluriennale, superiore a 5 (cinque) milioni di Euro annui; - indipendentemente dalle dimensioni economiche sopra indicate, si possano determinare come "contratti di grande rilievo" quei contratti che abbiano un rilevante impatto sotto il profilo organizzativo, nonche' delle ricadute e dei benefici che si prefiggono di conseguire. A tal fine, l'Autorita' si riserva una valutazione di merito del progetto, in sede di richiesta di parere ex art. 8 del Decreto Legislativo 12 febbraio 1993, n. 39, sullo schema di contratto, con i conseguenti effetti in ordine all'esigenza di far precedere tali contratti da uno studio di fattibilita' e/o di sottoporre lo stesso a monitoraggio. b) Amministrazioni Ai fini dell'applicazione delle presenti Regole tecniche, sono definite "Amministrazioni" le Amministrazioni dello Stato, anche ad ordinamento autonomo, e gli enti pubblici non economici nazionali destinatari del Decreto Legislativo 12 febbraio 1993, n. 39, art. 1, comma 1. c) Servizi ICT Ai fini dell'applicazione delle presenti Regole tecniche, sono definiti "servizi ICT" per la progettazione, realizzazione, manutenzione, gestione e conduzione operativa di sistemi informativi automatizzati, i servizi ad alto contenuto tecnologico rientranti nel campo delle tecnologie dell'informazione, denominati "servizi informatici e affini", di cui all'allegato 1, categoria 7 (no di riferimento della classificazione ONU, Central Product Classification. CPC, 84) del Decreto Legislativo del 17 marzo 1995, no 157. Senza alcuna pretesa di esaustivita', all'unico scopo di facilitare l'applicazione delle prescrizioni di seguito riportate, detti servizi sono articolati nelle categorie riportate in tabella 1, riprese dalla classificazione CEE "Common Procurement Vocabulary", CPV, nella versione in lingua italiana del 1998, in vigore dal 1o gennaio 1999. ------------------------------------------------------------------- Tab. 1 Categorie di servizi ICT tratte dalla classificazione CPV/98, versione in lingua italiana ------------------------------------------------------------------- SERVIZI DI CONSULENZA SUI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di consulenza, CPV 7210-7211-7215-7222-7259 ------------------------------------------------------------------- Servizi di formazione, CPV 8042 ------------------------------------------------------------------- SERVIZI DI PROGETTAZIONE E SVILUPPO DI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di analisi e programmazione di sistemi, CPV 7224 ------------------------------------------------------------------- Servizi di sviluppo di prodotti software, CPV 7220-7221-7223 ------------------------------------------------------------------- SERVIZI DI CONDUZIONE FUNZIONALE DI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di manutenzione e assistenza sistemi, CPV 7225-7258 ------------------------------------------------------------------- Servizi connessi al software, CPV 7226 ------------------------------------------------------------------- Servizi di banche di dati, CPV 7232 ------------------------------------------------------------------- Servizi di consulenza e assistenza informatica, CPV 7252 ------------------------------------------------------------------- SERVIZI DI CONDUZIONE TECNICA DI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di elaborazione dati, CPV 7230 ------------------------------------------------------------------- Servizi di trattamento dati, CPV 7231 ------------------------------------------------------------------- Servizi informatici, CPV 7250-7257 ------------------------------------------------------------------- Servizi di gestione connessi all'informatica, CPV 7251 ------------------------------------------------------------------- Servizi per rete informatica, CPV 7253 ------------------------------------------------------------------- Servizi di riparazione, manutenzione, CPV 5030-5031-5032-5033- 5070-7212-7213-7254 ------------------------------------------------------------------- SERVIZI DI FORNITURA DI BENI HW E SW ------------------------------------------------------------------- Servizi di installazione CPV 5090-5096 ------------------------------------------------------------------- SERVIZI DI MONITORAGGIO E VERIFICA DI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di audit informatico, CPV 7255 ------------------------------------------------------------------- SERVIZI DI COLLAUDO DI SISTEMI INFORMATIVI ------------------------------------------------------------------- Servizi di collaudo informatico, CPV 7214-7256 ------------------------------------------------------------------- La descrizione dettagliata di queste categorie di servizio, come anche la chiarificazione tra la precedente tabella e la classificazione CPV sono fornite nell'Appendice I. d) Definizioni relative alla qualita' La norma UNI EN ISO 8402 definisce i termini fondamentali relativi ai concetti concernenti la qualita', da utilizzare in tutti i settori, per la preparazione e l'applicazione delle norme relative alla qualita' e per la reciproca comprensione a livello nazionale. Di seguito si riportano le definizioni tratte da questa norma relative ai termini relativi alla qualita' utilizzati nelle presenti Regole tecniche. d.1) Qualita': l'insieme delle caratteristiche di un'entita' (processo, prodotto, organizzazione), che ne determinano la capacita' di soddisfare esigenze espresse ed implicite. d.2) Sistema qualita': la struttura organizzativa, le procedure, i processi e le risorse necessari ad attuare la gestione per la qualita'. d.3) Gestione per la qualita' (o conduzione aziendale per la qualita'): l'insieme delle attivita' di gestione aziendale che determinano la politica per la qualita', gli obiettivi e le responsabilita' e li traducono in pratica, nell'ambito del sistema qualita', con mezzi quali la pianificazione della qualita', il controllo della qualita', l'assicurazione della qualita', e il miglioramento della qualita'. d.4) Assicurazione della qualita' (o garanzia della qualita'): tutte le attivita' pianificate e sistematiche, attuate nell'ambito del sistema qualita' e di cui, per quanto occorre, viene data dimostrazione, messe in alto per dare adeguata confidenza che un'entita' (processo, prodotto, organizzazione) soddisfera' i requisiti per la qualita'. d.5) Controllo della qualita': le tecniche e le attivita' a carattere operativo messe in atto per soddisfare i requisiti della qualita'. d.6) Manuale della qualita': documento che enuncia la politica per la qualita' e descrive il sistema qualita' di un organizzazione. d.7) Piano della qualita': documento che precisa le particolari modalita' operative, le risorse e le sequenze delle attivita' relative alla qualita' di un determinato prodotto, progetto, o contratto. d.8) Requisiti per la qualita': espressione delle esigenze, o loro traduzione in un insieme di requisiti espressi quantitativamente o qualitativamente, per le caratteristiche di un'entita' (processo, prodotto, organizzazione) al fine di consentirne la realizzazione e l'esame. d.9) Verifica ispettiva: esame sistematico ed indipendente mirato a stabilire se le attivita' svolte per la qualita' ed i risultati ottenuti sono in accordo con quanto stabilito, e se quanto stabilito viene attuato efficacemente e risulta idoneo al conseguimento degli obiettivi. d.10) Conformita': soddisfacimento di requisiti specificati. d.11) Non conformita': non soddisfacimento di requisiti specificati. d.12) Evidenza oggettiva: informazioni la cui veridicita' puo' essere dimostrata sulla base di fatti acquisiti a seguito di osservazioni, misurazioni, prove od altri mezzi. d.13) Specifica: documento che stabilisce dei requisiti. d.14) Registrazione: documento che fornisce evidenza oggettiva di attivita' eseguite o risultati ottenuti.   Art. 2 Ambito di applicazione Per rendere adeguatamente comparabili i livelli di capacita' tecnica, le Amministrazioni che intendano appaltare servizi di ICT prevedono, tra i requisiti idonei a dimostrare il possesso della capacita' tecnica, di cui all'art. 14 del Decreto Legislativo 17 marzo 1995, n. 157, la disponibilita', da parte delle imprese concorrenti, di una certificazione dei loro sistemi qualita', rilasciata, sulla base delle norme europee della serie EN ISO 9000, da organismi accreditati conformemente ai requisiti prescritti dalla norma europea EN 45012, e ad applicare le disposizioni delle presenti Regole tecniche, nei casi di: A. procedure concorsuali per l'aggiudicazione di appalti determinati come contratti di grande rilievo, ai sensi di quanto stabilito nell'art. 1, lettera a); B. procedure concorsuali per l'aggiudicazione di appalti che, pur non determinati come contratti di grande rilievo, si riferiscano a servizi che interessino la sicurezza dello Stato, la difesa nazionale, l'ordine e la sicurezza pubblica, lo svolgimento di consultazioni elettorali nazionali ed europee, ai sensi di quanto previsto dall'art.16, comma 1, del Decreto Legislativo del 12 febbraio 1993, n. 39. Le Amministrazioni che intendano appaltare servizi di ICT hanno facolta' di adottare il suddetto requisito di valutazione della capacita' tecnica anche nel caso di: C. procedure di concorso per l'aggiudicazione di appalti il cui valere di stima dell'importo complessivo risulti, al netto dell'IVA, superiore a 3.750.000 Euro, ed inferiore o uguale 25.000.000 di Euro, ovvero, in caso di contratti a validita' pluriennali, a 750.000 Euro annui, ed inferiore o uguale a 5 milioni di Euro annui. In tal caso, le amministrazioni stesse sono tenute ad applicare le disposizioni contenute nelle presenti "regole tecniche".   Art. 3 Certificazione per singola tipologia di servizio ICT Nell'ambito delle procedure di concorso per l'aggiudicazione di contratti di grande rilievo per l'appalto di servizi ICT, le Amministrazioni dovranno prevedere tra i criteri di selezione dei fornitori di servizi ICT, il possesso di una certificazione relativa al Sistema Qualita' del fornitore stesso. La scelta della certificazione e' da riferirsi alle norme che riguardano il rapporto contrattuale cliente-fornitore: EN ISO 9001, EN ISO 9002, EN ISO 9003, nelle versioni alla data disponibili. I criteri di scelta tra queste norme sono espressi in funzione del ciclo di vita relativo ai servizi ICT contrattualmente previsti, conformemente a quanto previsto dalla guida per la scelta e l'utilizzazione delle norme contrattualmente utilizzabili della serie EN ISO 9000, fornita dalla norma EN ISO 9000-1. Le Amministrazioni, in coerenza ed in applicazione delle norme sopra citate, devono applicare i seguenti criteri di scelta, e di equivalenza, della certificazione da richiedere ai fornitori: - nel caso in cui i servizi ICT richiesti al fornitore nell'ambito della procedura di concorso coprono l'intero ciclo di vita costituito dalle fasi di progettazione, realizzazione, installazione e assistenza dopo la consegna, e' necessario richiedere la certificazione rispetto alla norma EN ISO 9001; nessuna delle altre due norme puo' essere considerata utilizzabile; - nel caso in cui i servizi ICT richiesti al fornitore nell'ambito della procedura di concorso comprendono le fasi di realizzazione, installazione e assistenza dopo la consegna, senza includere la fase di progettazione, e' sufficiente richiedere la certificazione rispetto alla norma EN ISO 9002; se il fornitore, per detti servizi ICT, e' in possesso di certificazione rispetto alla norma EN ISO 9001 questa certificazione alternativa sara' considerata del tutto equivalente ed accettabile; - nel caso in cui i servizi ICT richiesti al fornitore nell'ambito della procedura di concorso includono soltanto controlli, collaudi e prove finali, senza comprendere le fasi di progettazione e realizzazione propedeutiche alla consegna, e' sufficiente richiedere la certificazione rispetto alla norma EN ISO 9003; se il fornitore, per detti servizi ICT, e' in possesso di certificazione rispetto alla norma EN ISO 9001 od alla norma EN ISO 9002, tale certificazione alternativa sara' considerata del tutto equivalente ed accettabile. Una sintesi dei precedenti criteri e' fornita dalla tabella 2 che rappresenta una indicazione delle norme e relative certificazioni da utilizzare per la selezione dei fornitori, in funzione delle fasi del ciclo di vita contrattualmente previste. =================================================================== Tab. 2 Relazione tra fasi Certificazione da richiedere del ciclo di vita e norma la selezione del Fornitore di riferimento per Attività svolte dal fornitore =================================================================== Progetta, Produce, Collauda, Installa, Consegna, Assiste EN ISO 9001 ------------------------------------------------------------------- Produce, Collauda, Installa, Consegna, Assiste EN ISO 9002 ------------------------------------------------------------------- Collauda, Installa, Consegna EN ISO 9003 ------------------------------------------------------------------- La successiva tabella 3 applica i criteri precedentemente esplicitati alle categorie di servizi ICT di cui alla tabella 1 dell'art. 1 lettera c), fornendo una indicazione di massima delle norme di riferimento per la certificazione da utilizzare per la selezione dei fornitori in funzione della tipologia di servizi ICT contrattualmente previsti. =================================================================== Tab. 3 Relazione tra categorie di Certificazione servizi ICT e norma di riferimento da richiedere Categorie di servizi ICT tratte dalla classificazione CPV/98, versione in lingua italiana =================================================================== SERVIZI DI CONSULENZA SUI SISTEMI INFORMATIVI EN ISO 9001 ------------------------------------------------------------------- Servizi di consulenza, CPV 7210-7211-7215-7222-7259 EN ISO 9001 ------------------------------------------------------------------- Servizi di formazione, CPV 8042 EN ISO 9901 ------------------------------------------------------------------- SERVIZI DI PROGETTAZIONE E SVILUPPO DI SISTEMI INFORMATIVI EN ISO 9001 ------------------------------------------------------------------- Servizi di analisi e programmazione di sistemi, CPV 7224 EN ISO 9001 ------------------------------------------------------------------- Servizi di sviluppo di prodotti software, CPV 7220-7221-7223 EN ISO 9001 ------------------------------------------------------------------- SERVIZI DI CONDUZIONE FUNZIONALE DI SISTEMI INFORMATIVI EN ISO 9001 ------------------------------------------------------------------- Servizi di manutenzione e assistenza sistemi, CPV 7225-7258 EN ISO 9001 ------------------------------------------------------------------- Servizi connessi al software, CPV 7226 EN ISO 9001 ------------------------------------------------------------------- Servizi di banche di dati, CPV 7232 EN ISO 9001 ------------------------------------------------------------------- Servizi di consuienza e assistenza informatica, CPV 7252 EN ISO 9002 ------------------------------------------------------------------- SERVIZI DI CONDUZIONE TECNICA DI SISTEMI INFORMATIVI EN ISO 9002 ------------------------------------------------------------------- Servizi di elaborazione dati, CPV 7230 EN ISO 9002 ------------------------------------------------------------------- Servizi di trattamento dati, CPV 7231 EN ISO 9002 ------------------------------------------------------------------- Servizi informatici, CPV 7250-7257 EN ISO 9002 ------------------------------------------------------------------- Servizi di gestione connessi all'informatica, CPY 7251 EN ISO 9002 ------------------------------------------------------------------- Servizi per rete informatica, CPV 7253 EN ISO 9002 ------------------------------------------------------------------- Servizi di riparazione, manutenzione, CPV 5030-5031-5032-5033-5070-7212-7213-7254 EN ISO 9002 ------------------------------------------------------------------- SERVIZI DI FORNITURA DI BENI Hw E Sw EN ISO 9003 ------------------------------------------------------------------- Servizi di installazione, CPV 5090-5096 EN ISO 9003 ------------------------------------------------------------------- SERVIZI DI MONITORAGGIO E VERIFICA DI SISTEMI INFORMATIVI EN ISO 9001 ------------------------------------------------------------------- Servizi di audit informatico, CPV 7255 EN ISO 9001 ------------------------------------------------------------------- SERVIZI DI COLLAUDO DI SISTEMI INFORMATIVI EN ISO 9003 ------------------------------------------------------------------- Servizi di collaudo informatico, CPV 7214-7256 EN ISO 9003 ------------------------------------------------------------------- A completamento delle sintetiche indicazioni riportate nella tabella 3, e, a maggior esplicitazione dei criteri di scelta della certificazione, valgono le successive considerazioni sulle norme da utilizzare come riferimento nelle procedure di concorso per la selezione dei fornitori. - Per i servizi di consulenza relativi alle tecnologie dell'informazione - tra cui: misura e confronto di sistemi informativi e di prodotti informatici; progettazione e/o riorganizzazione di processi, organizzazioni, sistemi qualita', sistemi di pianificazione e controllo di gestione, sistemi informativi; studi di finanziamento dei progetti; gestione e controllo di progetti; assicurazione e controllo di qualita', gestione di sistemi qualita'; definizione di livelli di servizio - la norma da utilizzare e' la EN ISO 9001, considerato che in tutti questi servizi e' presente una rilevante attivita' di progettazione. - Per i servizi di formazione ed addestramento su procedure, applicazioni e processi organizzativi, prodotti e tecnologie, metodologie, sistemi informativi la norma da utilizzare e' la EN IS0 9001, atteso che anche in questi servizi risulta presente una essenziale attivita' di progettazione. - Per i servizi inerenti alla progettazione, realizzazione e manutenzione di sistemi informativi automatizzati, al software applicativo, a servizi informatici, la norma da utilizzare e' la EN IS0 9001. - Per i servizi di esclusiva gestione operativa, quali potrebbero essere elaborazione e trattamento dati, l'assistenza ed il supporto tecnico agli utenti (help desk, call center, hot line, interventi in sito), i servizi di trasporto ed interoperabilita', la manutenzione delle infrastrutture informatiche, quando non sia richiesta alcuna attivita' di tipo progettuale, la norma da utilizzare e' la EN ISO 9002. - Per i servizi di fornitura di beni hardware e software, in cui la conformita' ai requisiti specificati deve essere assicurata dal fornitore soltanto mediante controlli, collaudi e prove finali, la norma da utilizzare e' la EN ISO 9003. In merito alle certificazioni applicabili, non puo' essere impartita una direttiva piu' precisa poiche' solo analizzando uno specifico contratto puo' chiaramente determinarsi la norma rispetto alla quale richiedere la certificazione sulla base delle considerazioni precedentemente esplicitate. A proposito della fornitura di beni hardware e software, considerato che la certificazione del servizio di fornitura dei beni non ha nulla a che vedere con le caratteristiche qualitative dei beni stessi, si evidenzia che le norme di cui le presenti Regole tecniche disciplinano l'applicazione, sono riferibili esclusivamente alla certificazione di sistemi qualita' inerenti ai processi produttivi messi in atto da organizzazioni per la produzione di servizi e prodotti. I requisiti del sistema qualita' sono complementari ai requisiti tecnici del prodotto e da questi del tutto indipendenti. Le specifiche tecniche di processo e di prodotto sono distinte e separate dalle prescrizioni EN ISO 9000. Conseguentemente, richiedere la certificazione EN ISO 9000 per un bene hardware o software e' improprio e va comunque evitato.   Art. 4 Manuale della Qualita' Alla richiesta di un certificato e' sempre necessario associare quella del corrispondente manuale della qualita'; infatti, le norme della serie EN ISO 9000 prescrivono che all'interno del manuale sia esplicitamente indicato l'ambito di applicazione del sistema qualita' descritto. Nei certificati di qualita' in possesso dei fornitori, non essendo predefiniti e codificati i possibili ambiti di applicazione cui detti certificati si riferiscono, non si ritroveranno le specifiche dizioni con le quali, in precedenza, sono state evidenziate le diverse categorie di servizi ICT. La lettura del manuale della qualita' e l'approfondimento dell'ambito di applicazione del relativo sistema qualita' consente di superare le difficolta' inevitabilmente derivanti dalle possibili discrepanze tra le denominazioni dei servizi riportate sui certificati di qualita' e quelle sopra presentate. In ogni caso, se si ritenesse utile ricondurre le diverse attivita' contrattuali allo schema classificatorio di cui sopra, l'Appendice I e' di ausilio per le interpretazioni delle denominazioni adottate.   Art. 5 Certificazione per piu' tipologie di servizio ICT Nel caso piu' generale e ricorrente di contratti inerenti all'affidamento di piu' tipologie di servizi ICT, e' conveniente che la certificazione sia richiesta esclusivamente per le categorie di servizi di maggiore rilevanza contrattuale. Cio', allo scopo di assicurare un'adeguata partecipazione alle procedure di concorso, evitando di penalizzare i fornitoti che non siano certificati, nell'ambito di tutte le tipologie di servizi contrattualmente richieste, per servizi accessori di limitata dimensione economica. Conseguentemente, nel caso di contratti relativi a piu' tipologie di servizi: - l'Amministrazione e' tenuta a richiedere al fornitore una certificazione pertinente a tutti i servizi ICT contrattualmente previsti, caratterizzati da una dimensione economica superiore ad un valore soglia pari a 3.750.000 (tremilionisettecentocinquantamila) EURO; - l'Amministrazione puo' regolarsi a sua discrezione, decidendo di richiedere o meno la certificazione in funzione della criticita' dei servizi ICT che, ancorche' di dimensione economica inferiore od uguale a 3.750.000 (tremilionisettecentocinquantamila) EURO, rivestano, per la loro natura, una rilevanza contrattuale giudicata elevata. Cio' premesso, relativamente alle tipologie di servizi per cui la certificazione e' richiesta (sopra soglia o di elevata rilevanza), la richiesta stessa puo' essere soddisfatta dal fornitore in due modi alternativi: - mediante differenti certificazioni. EN ISO 9001, EN ISO 9002, EN ISO 9003, una per ogni tipologia di servizio prevista, per cui la certificazione e' richiesta, secondo quanto espresso dalla tabella 2 dell'art. 3; - mediante un'unica certificazione onnicomprensiva, ovviamente la piu' estensiva rispetto al ciclo produttivo di quelle applicabili, in relazione alle tipologie di servizio previste per cui la certificazione e' richiesta; secondo quanto affermato nell'art. 3, la 9001 deve essere considerata inclusiva della 9002 e della 9003; la 9002 della 9003. In altre parole, la norma 9001 e' la norma piu' estensiva rispetto alle fasi del cielo produttivo di tutte le altre, cosi' come la 9002 e' piu' estensiva della 9003) Entrambi i modi di soddisfare la richiesta di certificazione sono da ritenersi legittimi e da considerarsi equivalenti ai fini dell'applicazione delle presenti Regole tecniche. ----> vedere tabella a pag. 16 della G.U. <---- A titolo di esempio, si consideri un'ipotetica procedura di concorso per l'aggiudicazione di un contratto che preveda sviluppo di prodotti software, conduzione funzionale e tecnica di sistemi informativi e fornitura di beni hardware e software, cosi' come sintetizzato nella tabella 4. Il contratto e' un contratto di grande rilievo, perche' di importo complessivo superiore ai 25.000.000 EURO; conseguentemente, rientra nell'ambito di applicabilita' delle presenti Regole tecniche. La certificazione che deve essere richiesta alla generica societa' X partecipante alla gara riguarda esclusivamente: - i servizi di conduzione funzionale e tecnica di sistemi informativi, in quanto di importo superiore al valore soglia predefinito indipendentemente dal fatto che l'Amministrazione li ritenga rilevanti o meno; - lo sviluppo di prodotti software, in quanto, ancorche' sotto soglia, sia ritenuto critico dall'Amministrazione e quindi rilevante nell'ambito contrattuale. Per quanto riguarda la fornitura di beni hardware e software, essendo questa tipologia di servizio sotto il valore soglia e non essendo ritenuta rilevante dall'Amministrazione, nessuna certificazione deve essere richiesta. Come evidenziato nell'art. 3, le certificazioni da richiedere relativamente alle tre tipologie di servizio sono EN ISO 9001 ed EN ISO 9002. Cio' puo' essere realizzato nei due modi, del tutto equivalenti, precedentemente discussi: - il fornitore possiede tre certificati: EN ISO 9001 per la conduzione funzionale di sistemi informativi, EN ISO 9002 per la conduzione tecnica di sistemi informativi, EN ISO 9001 per lo sviluppo di prodotti software; - il fornitore possiede un solo certificato EN ISO 9001, piu' estensivo di EN ISO 9002, per tutte e tre le tipologie di servizio, conduzione funzionale e tecnica e sviluppo di prodotti software.   Art. 6 Requisiti integrativi opzionali Ad integrazione della norma EN ISO 9001, esistono norme della stessa serie che costituiscono guide specificatamente dedicate: EN ISO 9000-3, allo sviluppo di prodotti software; la EN ISO 9004-2, ai servizi in genere, non specificatamente a quelli informatici. Dette guide non possono essere utilizzate come riferimento per la certificazione; non e' quindi possibile basarsi, per la dimostrazione del possesso della capacita' tecnica, necessarie per partecipare alla procedura di concorso delle imprese partecipanti, su certificazioni in conformita' a queste guide. Conseguentemente, l'applicazione, a discrezione dell'Amministrazione, delle citate guide deve essere fatta esclusivamente allo scopo di affinare ulteriormente la selezione delle imprese partecipanti sulla base delle caratteristiche del loro sistema qualita'. In questo caso, la verifica del recepimento delle prescrizioni contenute nelle norme precedentemente referenziate deve essere affidata alla Commissione di gara ed effettuata esclusivamente sulla base dell'esame del manuale della qualita' del fornitore e del piano della qualita', non essendo praticabile lo strumento delle verifiche di sistema o verifiche di terza parte in fase precontrattuale.   Art. 7 Piano della qualita' A maggior tutela dell'Amministrazione, per la salvaguardia delle specificita' che il contratto da stipulare, a seguito della procedura di concorso, puo' assumere relativamente al sistema qualita' dell'impresa aggiudicataria, ad esso ovviamente temporalmente preesistente e da esso totalmente indipendente, e' necessario richiedere al fornitore, come parte integrante dell'offerta, la predisposizione di un piano della qualita', che: - fornisca lo strumento per collegare i requisiti specifici dei servizi contrattualmente richiesti, con le procedure generali del sistema qualita' del fornitore gia' esistenti; - espliciti le disposizioni organizzative e metodologiche adottate dal fornitore, allo scopo di raggiungere gli obiettivi tecnici e di qualita' contrattualmente definiti; - dettagli i metodi di lavoro messi in atto dal fornitore, facendo riferimento o a procedure relative al proprio sistema, e per cio' descritte nel manuale qualita'; o a procedure sviluppate per lo specifico contrattuale, a supporto delle attivita' in esso descritte, in questo caso da allegare al piano; - garantisca il corretto e razionale evolversi delle attivita' contrattualmente previste, nonche' la trasparenza e la tracciabilita' di tutte le azioni messe in atto dalle parti in causa, il fornitore, il committente, l'eventuale organismo di ispezione accreditato dall'Amministrazione di cui all'art. 8. Conseguentemente, negli atti di gara l'Amministrazione dovra' inserire la richiesta che il fornitore produca, in aggiunta alla certificazione di qualita' ed a copia del manuale della qualita', un piano della qualita' i cui contenuti dovranno essere elaborati, secondo l'indice di seguito proposto, coerentemente a quanto richiesto dal paragrafo 5.1 della circolare 5 agosto 1994 n. AIPA/CR/5 e alla norma EN ISO 10005. Nel caso in cui, a discrezione dell'Amministrazione, sia stata richiesta l'applicazione dei requisiti integrativi di cui all'art. 6, il piano della qualita' dovra' fare esplicito riferimento alle linee guida EN ISO 9000-3, e ISO EN ISO 9004-2, per quanto attiene l'applicazione dei principi della EN ISO 9001 allo svolgimento degli specifici servizi contrattualmente richiesti. Poiche' il piano della qualita' e' predisposto in fase di offerta, si deve contrattualmente prevedere che il piano debba essere revisionato a valle dell'aggiudicazione e firma del contratto, per riflettere le eventuali variazioni intervenute durante il procedimento di gara, e successivamente approvato, in modo espresso, dall'Amministrazione prima dell'avvio delle attivita' in esso contemplate. Indice del Piano della qualita' 1. SCOPO DEL PIANO DELLA QUALITA' Deve essere definita l'organizzazione del documento, le notazioni adottate, la valenza contrattuale del documento. 2. DOCUMENTI APPLICABILI E DI RIFERIMENTO Debbono essere identificati, codificati, referenziati sia tutti i documenti contrattualmente vincolanti, che tutti i documenti che, pur non contrattualmente vincolanti, costituiscano un riferimento per quanto esposto nel sistema di qualita'. 3. GLOSSARIO E' utile riepilogare, codificare, descrivere tutte le abbreviazioni, gli acronimi, le definizioni, che saranno utilizzati all'interno del documento. 4. GESTIONE Devono essere fornite indicazioni riguardanti l'organizzazione del gruppo di lavoro impegnato sul contratto. Deve essere definito l'organigramma, a ciascun ruolo professionale indicato nell'organigramma; deve essere associata una precisa responsabilita', in modo che ciascun componente del gruppo di lavoro abbia ben chiari i ruoli, i compiti, le responsabilita' ed i poteri nell'ambito del contratto. Il ciclo di vita del progetto, le fasi in cui e' suddiviso, la struttura organizzativa, i compiti e le responsabilita', sono usualmente descritti nel documento Piano di Progetto; in questo caso, possono essere semplicemente referenziati nel Piano della Qualita'. 5. DOCUMENTAZIONE Deve essere definito l'insieme della documentazione da produrre nel corso dell'attuazione del contratto. Detta documentazione assume il ruolo di evidenza oggettiva dell'esecuzione delle attivita' da cui e' generata. 6. NORME E CONVENZIONI 6.1 Normativa per la documentazione dei servizi Deve essere definito lo standard per la realizzazione della documentazione di supporto alla realizzazione di tutte le attività contrattualmente previste. 6.2 Normativa per la progettazione del software applicativo Dove essere descritto il ciclo di vita e le metodologie da adottare per la progettazione, la realizzazione ed il test del software applicativo. 6.3 Normativa per la scrittura del software applicativo Devono essere riportate le linee guida da adottare per la stesura del codice sorgente. 6.4 Normativa per la documentazione del software applicativo Devono essere riportate le linee guida da adottare per la stesura dei commenti nel codice sorgente. 6.5 Normativa di progettazione ed esecuzione del test Devono essere riportate le linee guida ed i principi ispiratori per la progettazione ed esecuzione delle sessioni di test. 7. OBIETTIVI DI QUALITA' 7.1 Requisiti contrattuali di qualità Devono essere identificati in modo chiaro ed inequivocabile gli obiettivi di qualità del contratto. Per questo è necessario definire: - i prodotti intermedi che l'attuazione del contratto genera, i prodotti finali da passare in esercizio, i servizi erogati per il tramite dei prodotti realizzati; - gli attributi di qualita' (caratteristiche e sottocaratteristiche nella terminologia ISO 9126) relativi a ciascun prodotto e/o servizio; - le metriche con cui misurare gli attributi identificati; - valori limite ritenuti accettabili con cui confrontare le misure degli attributi di qualita' effettuate sulla base delle tecniche definite. 7.2 Procedura per la valutazione della qualita' di un prodotto/servizio Deve essere definita una procedura per la valutazione della qualita' dei prodotti e/o servizi che espliciti: modalita' di misura, modalita' di calcolo ed aggregazione di misure per il computo di indicatori derivati, frequenza delle misure, periodi temporali di riferimento. Devono essere esplicitate le regole con cui si perviene ai giudizi di Approvazione Incondizionata/Approvazione con Riserva/Non Approvazione, considerati i risultati relativi alle singole caratteristiche di qualita' associale al prodotto e/o servizio nei requisiti di qualita'. 7.3 Verifiche ispettive Devono essere definite le modalita' con cui effettuare le viste ispettive in conformita' alla norma ISO 10011, le motivazioni che possono richiederne l'uso estemporaneo, la quantita' e la pianificazione. 7.4 Informazioni di Qualita' ed Archiviazioni Devono essere identificate tutte le registrazioni di qualita', sia del sistema qualita' adottato, che specificatamente previste per l'attuazione del contratto, necessarie a supporto delle attivita' di gestione del contratto ed assicurazione della qualita'. 8. RIESAMI E REVISIONI Devono essere identificate le sessioni di riesame e di revisione in funzione del ciclo di produzione/erogazione del prodotto/servizio adottato e descritto nel piano di progetto. 9. PROVE E COLLAUDI Devono essere indicale tutte le attivita' di test e le relative modalita' di esecuzione. 10. SEGNALAZIONE DI PROBLEMI ED AZIONI CORRETTIVE Devono essere riportate o referenziate le specifiche procedure previste per la gestione di problemi quali malfunzionamenti e non conformita'. La descrizione deve comprendere la casistica, la modulistica di supporto prevista, i ruoli e le responsabilita' delle risorse coinvolte. 11. STRUMENTI, TECNICHE E METODI Devono essere indicate per le attivita' di erogazione dei servizi e produzione della documentazione, gli ambienti di sviluppo, le apparecchiature, le metodologie. 12. CONTROLLO DEL CODICE SOFTWARE Devono essere definiti e descritti i criteri, le procedure o gli strumenti adottati per il controllo (immissione, salvaguardia e catalogazione) delle versioni degli elementi software del progetto in sviluppo. 13. CONTROLLO DEI SUPPORTI DI REGISTRAZIONE Devono essere stabilite norme e procedure per il controllo dei supporti di registrazione, dal punto di vista della reperibilita', autorizzazione all'accesso, salvaguardia contro eventuali danneggiamenti accidentali. 14. CONTROLLO DEI SUB-FORNITORI Devono essere delineate le procedure e gli accorgimenti da adattare quando alla erogazione dei servizi partecipano sub-fornitori in termini sia di valutazione preventiva, che di controllo di quanto da questi fornito. 15. RACCOLTA E SALVAGUARDIA DEI DOCUMENTI Deve essere descritta la procedura per la gestione, conservazione e salvaguardia della documentazione di progetto, nonche' il periodo di mantenimento previsto della documentazione. 16. FORMAZIONE ED ADDESTRAMENTO Devono essere indicate e descritte le attivita' di formazione inerenti il contratto. Tali attivita' riguardano sia gli eventuali aggiornamenti tecnici di cui sottoporre le risorse del fornitore che lavorano per l'espletamento del contratto, sia l'addestramento degli utenti all'uso dei prodotti/servizi contrattualmente previsti.   Art. 8 Verifiche ispettive La norma EN ISO 9000-1, inerente la scelta e l'utilizzazione delle norme contrattualmente utilizzabili della serie EN ISO 9000, prevede esplicitamente (rif. paragrafi 8.3 e 8.4.5) la possibilita' da parte del cliente di una azienda certificata di poter eseguire, o fare eseguire, verifiche ispettive sul sistema qualita' del fornitore. L'oggetto delle verifiche ispettive e' la verifica dell'applicazione dei principi del sistema qualita' del fornitore certificato applicati allo specifico rapporto contrattuale in corso tra le parti secondo le modalita' descritte nel piano della qualita' realizzato conformemente alle prescrizioni della norma EN ISO 10005. L'utilizzo delle verifiche ispettive dove essere contrattualmente definito e regolamentato; per questo le Amministrazioni dovranno inserire nei relativi atti contrattuali un articolo in cui si espliciti che: - il fornitore puo' essere assoggettato a verifiche ispettive da parte dell'Amministrazione cliente per il tramite di un organismo di ispezione accreditato; - le modalita', con cui le verifiche ispettive dovranno essere eseguite, dovranno essere conformi a quanto previsto dalla norma EN ISO 10011; - il tipo e l'estensione delle verifiche ispettive (piano delle verifiche ispettive) dovranno essere definiti all'interno del piano della qualita' i cui contenuti dovranno essere elaborati dal fornitore, ed approvati dall'Amministrazione, sulla base della norma EN ISO 10005 e del suo sistema qualita'. L'organismo di ispezione accreditato dall'Amministrazione cliente per l'esecuzione delle verifiche ispettive puo' essere: - il gruppo di monitoraggio eventualmente costituito all'interno dell'Amministrazione cliente e qualificato ai sensi della circolare del 5 marzo 1998, n. AIPA/CR/17; - una delle societa' di monitoraggio, qualificata ai sensi della circolare del 16 febbraio 1998, n. AIPA/CR/16 ed iscritta nell'elenco di cui all'art. 13, comma. 2, del Decreto Legislativo 12 febbraio 1993, n. 39; - altro organismo contrattualmente previsto; In ogni caso, le verifiche ispettive non possono essere condotte da personale e societa' che dalle conoscenze acquisite possano trarre indebiti vantaggi competitivi. Questa condizione e' automaticamente soddisfatta se l'organismo di ispezione accreditato e' un gruppo o societa' di monitoraggio, qualificati ai sensi delle circolari precedentemente richiamate. Nel caso di societa' di monitoraggio, nel contratto che la lega all'Amministrazione cliente deve essere inserita una specifica clausola di riservatezza a carico del personale incaricato delle verifiche ispettive. Le finalita' delle verifiche ispettive specifiche (verifiche mirate o verifiche di seconda parte) integrano quelle delle verifiche di carattere generale (verifiche di sistema o verifiche di terza parte) svolte dall'organismo certificatore, nel senso che: - le verifiche di sistema, o verifiche di terza parte, sono di tipo generale e attestano l'applicazione di un sistema qualita' conforme ai requisiti della normativa; anche se in queste verifiche vengono controllati processi o attivita' relativi ad un contratto con un cliente, cio' e' normalmente fatto nell'ottica di verificare l'applicazione in generale del sistema qualita' e la sua conformita' ai requisiti della norma di riferimento; - le verifiche mirate, o verifiche di seconda parte, sono indirizzate a controllare l'applicazione dei requisiti delle norme allo specifico contratto ed a verificare il rispetto di tutti i requisiti contrattuali, anche quelli che eventualmente possono non essere in relazione ad aspetti trattati nelle norme, nonche' l'effettiva applicazione ed utifizzo del sistema qualita' nell'attuazione del contratto.   Art. 9 Modalita' di valutazione della certificazione Il possesso della certificazione, nei termini precedentemente indicati, costituisce requisito imprescindibile per l'ammissione alla procedura di concorso per l'aggiudicazione di un contratto di grande rilievo per l'appalto di servizi ICT. Alla impresa concorrente, per l'ammissione alla gara, deve essere sempre necessariamente richiesta, oltre la copia del certificato di conformita', anche la documentazione del sistema qualita' sotto forma del previsto manuale della qualita', cosi' come definito dalla norma EN ISO 8402. Sara' compito dell'Amministrazione, ed in particolare della Commissione di gara, in sede di valutazione dell'ammissibilita' alla partecipazione: A. esaminare la dizione riportata sul certificato presentato che individua le attivita', i processi, i settori e i confini del sistema qualita' certificato, inclusa la sede o l'unita' operativa cui la certificazione si riferisce, ed accertarne la coerenza con le attivita' previste nel contratto e le dichiarazioni effettuate nell'offerta; tale verifica di coerenza dovra' essere effettuata: - riconducendo le attivita' contrattuali allo schema classificatorio dei servizi ICT di cui all'art. 1, lettera d), ed all'Appendice I; - verificando che la certificazione sia del tipo richiesto sulla base dei criteri di cui agli artt. 3 e 5; - verificando che il sistema qualita', documentato dal manuale della qualita' di cui all'art. 4, contempli le procedure utili all'erogazione dei servizi contrattualmente previsti; - verificando che le sedi e unita' operative certificate siano quelle, dichiarate in offerta come effettivamente impegnate nel futuro contratto da stipulare. B. verificare la validita' del certificato presentato e l'aderenza della norma su di esso riportata con la norma effettivamente richiesta, sulla base della versione della norma in corso di validita' alla data; C. accertare che il certificato presentato sia stato rilascialo da un organismo di certificazione, accreditato, per il settore EA 33 - "Tecnologia dell'Informazione", da parte di un ente di accreditamento aderente all'organizzazione europea per l'accreditamento dei laboratori degli organismi di certificazione EA (European co-operation for Accreditation), conformemente ai requisiti prescritti dalla norma europea EN 45012; D. riconoscere i certificati EN ISO 9000 equivalenti rilasciati da organismi stabiliti in altri Stati membri, ammettere attestazioni relative all'impegno di misure di qualita' equivalenti a quelle della serie EN ISO 9000, qualora l'impresa concorrente possa dimostrate di non avere accesso alle certificazioni basate su queste norme, ovvero non possa ottenerle nei termini prescritti. Infine, se e' stata richiesta, a discrezione dell'Amministrazione, l'applicazione dei requisiti integrativi della certificazione di cui all'art. 6, la valutazione di detti requisiti deve essere affidata alla Commissione di gara che dovra', in aggiunta a quanto gia' precedentemente richiesto: E. verificare che il sistema qualita', documentato dal manuale della qualita', recepisca, e sia conforme, alle prescrizioni integrative richieste dalla norma EN ISO 9000-3, per la progettazione e sviluppo di software, e dalla norma EN ISO 9004-2, per i servizi in genere. Non sara' compito della Commissione di gara, perche' gia' espletato a cura dell'organismo di certificazione: - valutare la coerenza del sistema qualita' della societa' concorrente alla norma di riferimento prescritta; - verificare, per il tramite di verifiche ispettive (di sistema o verifiche di terza parte), l'effettiva applicazione da parte della impresa concorrente del proprio sistema qualita' nell'esecuzione delle attivita' contrattuali svolte nei confronti dei propri clienti. Se l'Amministrazione evidenziera' delle discordanze tra quanto richiesto in termini di certificazione e documentato dalla societa' concorrente per il tramite del certificato ed il manuale della qualita', la societa' dovra' essere esclusa dalla procedura di concorso. Relativamente alle prescrizioni di cui al punto (A) e (E), la verifica e' totalmente a carico della Amministrazione. In merito alle prescrizioni di cui ai punti (B), (C), (D), l'Amministrazione potra' avvalersi della consulenza del SINCERT (Sistema Nazionale per l'Accreditamento degli Organismi di Certificazione, Via Ripamonti, 89, CAP 20139 - Milano). Al SINCERT dovranno essere richieste formalmente informazioni: - sulla versione della norma in corso di validita' alla data; - sulla presenza dell'organismo di certificazione che ha rilasciato il certificato all'interno del registro degli organismi accreditati; - sul settore di accreditamento EA 33 - "Tecnologia dell'Informazione" di detto organismo; - sulla validita' di un certificato rilasciato da un organismo di accreditamento estero relativamente agli accordi di mutuo riconoscimento; - sull'ammissibilita' di attestazioni alternative nel caso remoto in cui l'impresa concorrente possa dimostrare di non avere accesso alle certificazioni EN ISO 9000. IlSINCERT gestisce e rende disponibili, sia via Internet (www.sincert.it), che periodicamente su CD-ROM, oltre che in risposta a specifiche richieste, le seguenti informazioni: - versione della norma in corso di validita' alla data di espletamento della gara (data di scadenza per la presentazione delle domande di partecipazione); - registro degli organismi di certificazione accreditati, con indicazione dei relativi settori coperti da accreditamento (ai fini delle presenti Regole tecniche il settore di interesse e' quello classificato EA 33- "Tecnologia dell'Informazione"); - elenco delle aziende certificate relativamente ad EN ISO 9000, con indicazione del numero di certificato, settore di accreditamento, organismo di certificazione; - elenco dei membri effettivi ed associati dell'EA, European co-operation for Accreditation; - accordi di mutuo riconoscimento tra gli organismi di accreditamento di diversi stati, a livello europeo e mondiale, che permettono che le certificazioni emesse siano riconosciute all'interno degli stati firmatari.   Art. 10 Raggruppamenti temporanei di impresa L'art. 10 del Decreto Legislativo 24 luglio 1992, n. 358, relativo all'appalto pubblico di forniture, riprodotto dall'art. 11 del Decreto Legislativo 17 marzo 1995, n. 157, come sostituito dall'art. 9 del Decreto Legislativo 25 febbraio 2000, n. 65, relativo agli appalti pubblici di servizi, consente esplicitamente l'ammissione alle gare per l'appalto di forniture e di servizi di tutte quelle forme di raggruppamento temporaneo d'impresa (RTI) che vanno sotto il nome di consorzi, associazioni in partecipazione, consorzi stabili, gruppi europei di interesse economico (GEIE). Secondo la normativa richiamata, il raggruppamento temporaneo d'impresa puo' essere costituito previo conferimento di mandato irrevocabile, alla capogruppo o mandataria, anche dopo l'espletamento della procedura di concorso. In ogni caso, le imprese temporaneamente raggruppate devono presentare un'offerta congiunta, sottoscritta da tutti i prestatori di servizi, che deve specificare le parti del servizio che saranno eseguite dalle singole imprese. L'estensione pura e semplice delle disposizioni in materia di raggruppamenti temporanei di impresa degli appalti pubblici di forniture agli appalti pubblici di servizi, attuata dai dispositivi di legge richiamati all'inizio dell'articolo, e' una conferma dell'applicabilita' di quanto la giurisprudenza ha ritenuto, con riferimento alle opere pubbliche: - secondo la previsione dell'art. 23, comma 3, del Decreto Legislativo 19 dicembre 1991, n. 406, l'Amministrazione, qualora ritenga che una o piu' parti del servizio richiesto abbiano delle caratteristiche di autonomia e scorporabilila' pari a quelle delle categorie di lavori pubblici scorporabili, deve indicare nel bando di gara la categoria prevalente dei lavori e conseguentemente le opere scorporabili, precisando che saranno applicate le disposizioni relative ai raggruppamenti verticali vigenti in materia di opere pubbliche; - in assenza delle esplicite indicazioni, di cui al punto precedente, espresse nel bando di gara, i raggruppamenti temporanei d'impresa destinati a partecipare a procedimenti di concorso, devono intendersi in senso orizzontale, offrendo in tal modo maggiori garanzie all'Amministrazione. Da cio' consegue la definizione dei due tipi di raggruppamenti temporanei d'impresa: - raggruppamento orizzontale, che riunisce imprese che hanno la stessa specializzazione e capacita' tecniche omogenee, producono cioe' servizi di tipo diverso, che potrebbero comunque concorrere alla prestazione di un servizio complesso risultante da attivita' di tipo diverso. In questo tipo di raggruppamento e' stabilita la responsabilita' solidale di tutte le imprese verso l'Amministrazione aggiudicatrice; - raggruppamento verticale, che riunisce imprese nell'ambito delle quali una di esse, la mandataria, realizza i lavori della categoria (o categorie) prevalente, mentre le opere scorporabili, specificatamente identificate ed esplicitamente indicate nel bando dall'Amministrazione aggiudicatrice, sono assunte in proprio da imprese mandanti. Il tratto differenziale del raggruppamento verticale e' la responsabilita' limitala e non solidale delle imprese mandanti, che eseguono opere scorporabili. In merito ai requisiti di certificazione dei raggruppamenti temporanei di impresa, si pone il problema di accertare se ciascuna delle imprese raggruppate debba possedere la certificazione per tutte le tipologie di servizi richieste per l'esecuzione dell'intero appalto oppure se le imprese raggruppate debbano possedere i requisiti di qualita' per l'esecuzione solo di quelle tipologie di servizi che vengono specificate nell'offerta. La seconda soluzione e' quella che si ritiene opportuno di adottare, perche' piu' aderente alle finalita' del raggruppamento temporaneo di impresa costituito proprio al fine di mettere insieme la capacita' produttiva delle imprese aderenti. Tutto cio' premesso, valgono, per la richiesta di certificazione, le seguenti prescrizioni inerenti ai raggruppamenti temporanei d'impresa: A. nel caso di partecipazione a gare d'appalto di un raggruppamento temporaneo di impresa di tipo orizzontale, se tale entita' giuridica e' stata costituita da quattro (4) o piu' anni, deve ritenersi che i requisiti e le prescrizioni di cui ai precedenti paragrafi debbono essere riferiti all'entita' giuridica cosi' costituita, esclusivamente in relazione alle tipologie di servizi conferitigli, e non alle singole imprese costituenti; B. nel caso di partecipazione a gare d'appalto di un raggruppamento temporaneo di impresa di tipo orizzontale, se tale entita' giuridica non e' stata ancora costituita, o se la sua costituzione risale a meno di quattro (4) anni, deve ritenersi che i requisiti e le prescrizioni di cui ai precedenti paragrafi siano riferiti a tutte le singole imprese costituenti, mandataria e mandanti, esclusivamente in relazione alle tipologie di servizi a ciascuna di esse conferiti, come esplicitamente ed obbligatoriamente dichiarato in offerta, e non al raggruppamento temporaneo di impresa; C. nel caso di partecipazione a gare d'appalto di un raggruppamento temporaneo di impresa di tipo verticale, indipendentemente dal fatto se questa entita' giuridica sia stata o non sia stata ancora costituita, deve ritenersi che i requisiti e le prescrizioni, di cui ai precedenti paragrafi, debbono essere riferiti a tutte le singole imprese costituenti, mandataria e mandanti, esclusivamente in relazione alle tipologie di servizi, prevalenti e scorporabili, a ciascuna di esse conferiti, come esplicitamente ed obbligatoriamente dichiarato nel bando di gara, e non al raggruppamento temporaneo di impresa. Ovviamente, vale ancora la prescrizione per cui deve essere richiesta al raggruppamento temporaneo di impresa una certificazione pertinente a quei soli servizi ICT caratterizzati da una dimensione economica maggiore del valore soglia, definito nell'art. 5 o ritenuti particolarmente rilevanti dall'Amministrazione. Indipendentemente dalla casistica di cui sopra, si ribadisce che la certificazione della mandataria non puo' interpretarsi in senso estensivo a rappresentare la certificazione dell'entita' giuridica da essa costituita o la certificazione di altre societa' ad essa raggruppate o da essa subappaltate. Infatti, ai sensi degli articoli gia' citati, il rapporto di mandato non determina per se' organizzazione o associazione fra i prestatori di servizi raggruppati, ciascuno dei quali conserva la propria autonomia ai fini della gestione (quindi autonomia del proprio sistema qualita' e della sua eventuale certificazione), oltre che ai fini degli adempimenti fiscali e degli oneri sociali. A fronte di questa ribadita autonomia, se gia' nell'art. 7 e' stata evidenziata la necessita' di richiedere al fornitore, come parte integrante delle attivita' di offerta, la predisposizione di un piano della qualita', a maggior tutela dell'Amministrazione, per la salvaguardia delle specificita' che il contratto puo' assumere relativamente al sistema qualita' dell'impresa aggiudicataria, questa esigenza appare ancor piu' rilevante ed imprescindibile nel caso di raggruppamenti temporanei di impresa. Nel caso dei raggruppamenti temporanei di impresa, e maggiormente per quelli di tipo orizzontale, qualora il raggruppamento non possieda un suo proprio sistema qualita', certificato relativamente alla norma EN ISO 9000 ritenuta applicabile, il piano della qualita' rimane l'unica documentazione immediatamente esigibile atta a dimostrare all'Amministrazione come saranno soddisfatti i requisiti specifici per la qualita' di un determinato contratto. Del resto, il caso evidenziato, lungi dal costituire un'eccezione, rappresenta la situazione piu' diffusa. Se, infatti, l'esito di una procedura di concorso e' l'aggiudicazione ad un raggruppamento temporaneo di impresa, nella maggior parte dei casi costituitosi solo a seguito della comunicazione di aggiudicazione, ne consegue che l'entita' giuridica cosi' neocostituita non puo' possedere un sistema qualita' adottato, conosciuto, utilizzato, dalle imprese costituenti, ne' tantomeno certificato, anche se ciascuna delle imprese costituenti e' pure dotata di un proprio sistema qualita'. Peraltro, il piano della qualita' e', come parte integrante dell'offerta, il luogo deputato all'identificazione delle tipologie di servizio, attivita' e responsabilita' attribuite a ciascuna delle imprese costituenti. Questo, in osservanza a quanto previsto dall'art. 10, comma 2, del Decreto Legislativo 24 luglio 1992, n. 358, riprodotto dall'art. 11, comma 2, del Decreto Legislativo 17 marzo 1995, n. 157, modificato dall'art. 9 del Decreto legislativo 25 febbraio 2000, n. 65, che afferma come l'offerta congiunta debba essere sottoscritta da tutte le imprese raggruppate e debba specificare le parti della fornitura che saranno eseguite dalle singole imprese, oltre a contenere l'impegno che, in caso di aggiudicazione della gara, le stesse imprese si conformeranno alla disciplina del citato articolo. Si procede ora ad analizzare le implicazioni delle prescrizioni (A), (B), (C), relative ai raggruppamenti temporanei di impresa, attraverso esempi chiarificatori per i tre casi evidenziati. Nel caso (A) la certificazione e' richiesta unicamente al raggruppamento temporaneo d'impresa, relativamente alle categorie di servizi di dimensione economica maggiore od uguale al valore soglia o comunque ritenute rilevanti come specificato nell'art. 5. ----> vedere tabella a pag. 26 della G.U. <---- Come esempio la tabella 5 riprende in considerazione l'ipotetica procedura di concorso, gia' ipotizzata nell'articolo appena richiamato, inerente l'aggiudicazione di un contratto di grande rilievo relativo a servizi di sviluppo di prodotti software, conduzione funzionale e tecnica di sistemi informativi e fornitura di beni hardware e software, Si ipotizzi che il bando di gara non espliciti servizi scorporabili. Alla gara partecipa un consorzio, che gia' opera sul mercato da piu' di 4 anni, formato da tre societa' X, Y, Z. Il consorzio deve essere assimilato ad un raggruppamento temporaneo di impresa orizzontale non essendo identificali nel bando di gara servizi scorporabili. Poiche' il consorzio e' costituito da piu' di 4 anni la certificazione non deve essere richiesta alle societa' costituenti ma direttamente all'entita' giuridica consorzio; i servizi per cui la certificazione deve essere richiesta sono quelli inerenti la conduzione funzionale (norma EN ISO 9001) e tecnica (norma EN ISO 9002) e lo sviluppo di prodotti software (norma EN ISO 9001). Il consorzio, dovra' soddisfare questa richiesta o con un unico certificato EN ISO 9001, il piu' estensivo, o con tre specifici certificati relativi alle due norme precedentemente identificate. In particolare, si noti che se le societa' costituenti sono a loro volta cerfificate o meno e' del tutto ininfluente. Nel caso (B) la certificazione e' richiesta a tutte le imprese costituenti il raggruppamento temporaneo d'impresa, relativamente alle tipologie di servizi contrattualmente previste di dimensione economica maggiore od uguale al valore soglia. ----> vedere tabella a pag. 27 della G.U. <---- Si ipotizzi che il bando di gara sia del tutto analogo al caso precedente come mostrato dalla tabella 6. Questa volta alla gara partecipano tre societa' X, Y, Z, che in offerta (nel piano della qualita') dichiarano che, in caso di aggiudicazione, costituiranno un raggruppamento temporaneo di impresa con capogruppo la societa' X, che si occupera' della conduzione funzionale e tecnica di sistemi informativi e del management del progetto, mentre alla societa' Y sara' affidato lo sviluppo di prodotti software e la societa' Z fornira' esclusivamente i beni hardware e software. Il raggruppamento temporaneo di impresa deve essere inteso come orizzontale non essendo identificati nel bando di gara servizi scorporabili. Poiche' il raggruppamento non e' ancora costituito, si deve richiedere la certificazione direttamente alle societa' costituenti. La certificazione deve essere richiesta per gli unici servizi di dimensione economica sopra soglia o dichiarati rilevanti, conduzione funzionale (norma EN ISO 9001) e tecnica (norma EN ISO 9002) e sviluppo di prodotti software (norma EN ISO 9001). Ognuna delle tre societa' X, Y, Z, dovra' soddisfare questa richiesta relativamente agli specifici servizi su cui si e' impegnata, in particolare: - la societa' mandataria X, poiche' e' impegnata sia sulla conduzione funzionale (norma EN ISO 9001) che su quella tecnica (norma EN ISO 9002), dovra' produrre o un unico certificato EN ISO 9001, il piu' estensivo, per entrambi i tipi di conduzione, o due certificati distinti EN ISO 9001 per la conduzione funzionale e EN ISO 9002 per la conduzione tecnica; - la societa' Y, che si limitera' allo sviluppo di prodotti, dovra' produrre la certificazione EN ISO 9001 per lo sviluppo software; - la societa' Z, che si occupera' solo di una componente della fornitura di dimensione economica inferiore al valore soglia non ritenuta rilevante, la fornitura di beni hardware e software (norma EN ISO 9003), non dovra' produrre nessuna certificazione. Nel caso (C) diverse cerfificazioni sono richieste ad ognuna delle imprese costituenti il raggruppamento temporanco d'impresa, relativamente all'esplicita assegnazione a ciascuna impresa di specifici servizi scorporabili di dimensione economica maggiore od uguale al valore soglia. ----> vedere tabella a pag. 28 della G.U. <---- In questo caso, l'ipotetica procedura di concorso differisce da quella dei casi precedenti, come mostrato dalla tabella 7. Relativamente agli stessi servizi il bando indica, come categoria prevalente dei lavori, la conduzione funzionale e tecnica, e, come servizi scorporabili, lo sviluppo di prodotti software e la fornitura di beni hardware e software. Alla gara partecipano tre societa' X, Y, Z, gia' costituite in consorzio da piu' di 4 anni. La societa' X si occupera' delle opere prevalenti, conduzione funzionale e tecnica di sistemi informativi, mentre alla societa' Y sara' affidato lo sviluppo di prodotti software e la societa' Z fornira' esclusivamente i beni hardware e software. Il consorzio deve essere assimilato ad un raggruppamento temporaneo di impresa verticale essendo identificati nel bando di gara servizi scorporabili. Poiche' il consorzio e' verticale, la certificazione deve essere richiesta direttamente alle societa' costituenti, indipendentemente dalla sua avvenuta costituzione; ovviamente per gli unici servizi di dimensione economica sopra soglia o dichiarati rilevanti. La certificazione deve essere richiesta per gli unici servizi di dimensione economica sopra soglia o dichiarati rilevanti, conduzione funzionale (norma EN ISO 9001) e tecnica (norma EN ISO 9002) e sviluppo di prodotti software (norma EN ISO 9001). Ognuna delle tre societa' X, Y, Z, dovra' soddisfare questa richiesta relativamente agli specifici servizi per cui si e' impegnata esattamente nello stesso modo gia' esaminato per il caso (B) precedente.   Art. 11 Subappalto L'art. 18 del Decreto legislativo 17 marzo 1995, n. 157, relativo all'appalto pubblico di forniture, che richiama l'art. 18 della Legge 19 marzo 1990, n. 55, e successive modifiche, concernente la disciplina del subappalto nel settore dei lavori pubblici, prescrive che l'Amministrazione, all'interno del bando o della lettera di invito, debba richiedere all'impresa concorrente di indicare nell'offerta la parte dell'appalto che intenda eventualmente subappaltare a terzi, precisando che e' lasciata impregiudicata la responsabilita' dell'appaltatore aggiudicatario. In particolare l'Amministrazione, fissando negli atti di gara gli importi delle categorie prevalenti e delle altre prestazioni richieste, porra' i limiti interni al contratto riguardanti le modalita' generali per l'individuazione delle parti subappaltabili, all'interno del limite legale del 30% previsto dalla norma, riferibile all'importo netto di aggiudicazione dell'appatto relativo alla categoria prevalente indicata nel bando. Cio' premesso, il subappalto, ai fini dell'applicazione delle presenti Regole tecniche, e' assimilato al trattamento del raggruppamento temporaneo di impresa di tipo verticale, di cui all'art. 10, e quindi trattato secondo la precedente prescrizione (C), Ovvero: C. nel caso di subappalto da parte di entita' giuridiche, imprese o raggruppamenti temporanei di impresa, concorrenti ad una gara d'appalto, deve ritenersi che i requisiti e le prescrizioni di cui ai precedenti paragrafi debbono essere riferiti, oltre che all'entita' giuridica subappaltante, anche a tutte le singole imprese subappaltatrici, esclusivamente in relazione alle tipologie di servizi subappaltabili, esplicitamente ed obbligatoriamente dichiarati nel bando di gara, a ciascuna di esse conferiti, come esplicitamente ed obbligatoriamente dichiarato in offerta dall'entita' giuridica subappaltante. Rimane ferma la prescrizione per cui deve essere richiesta all'impresa subappaltante una certificazione pertinente a quei soli servizi ICT di cui e' contrattualmente previsto il subappalto, esplicitamente affidatigli da altra impresa concorrente, caratterizzati da una dimensione economica maggiore del valore soglia definito nell'art. 5 o ritenuti particolarmente rilevanti dall'Amministrazione.   Art. 12 Penali Relativamente alla certificazione di qualita', gli organismi di certificazione hanno la facolta' di sospendere temporaneamente il certificato di conformita' quando l'organizzazione: - non applica azioni correttive individuate per eventuali non conformita' contestategli dall'organismo di certificazione; - non e' in grado di assicurare le attivita' di verifica ispettiva sui processi produttivi messi in atto; - fa un uso improprio del certificato di conformita', ad esempio, dichiarandosi conforme per attivita' o sedi, che non fanno parte del sistema qualita' certificato; - non gestisce correttamente i reclami del cliente; - non informa l'organismo di certificazione di fatti sostanziali intervenuti a modifica del sistema qualita'; - non e' in regola con i pagamenti verso l'organismo di certificazione. Successivamente alla sospensione temporanea, l'organismo di certificazione provvede al ritiro/annullamento del certificato se le condizioni che hanno portato alla sospensione non vengono corrette entro il termine indicato nella notifica di sospensione o se l'organizzazione non intende continuare a mantenere la certificazione. Tutto cio' premesso e' necessario che il contratto: - preveda adeguate penali da applicare nel caso che la certificazione, del fornitore, o di una delle societa' costituenti nel caso di raggruppamento temporaneo di impresa, o di una delle societa' subappaltatrici nel caso di subappalto, venga sospesa o ritirata dall'organismo di certificazione nel periodo di validita' del contratto; - contempli la possibilita' di risoluzione nel caso che la certificazione, del fornitore, o di una delle societa' costituenti nel caso di raggruppamento temporaneo di impresa, o di una delle societa' subappaltatrici nel caso di subappalto, venga ritirata dall'organismo di certificazione nel periodo di validita' del contratto. Nel caso dei raggruppamenti temporanei di impresa o del subappalto le penali dovranno essere applicate all'entita' giuridica che ha firmato il contratto e commisurate al valore complessivo delle tipologie di servizi pertinenti alla certificazione venuta meno, indipendentemente dalla specifica societa' a cui detti servizi sono affidati. Riprendendo l'esempio di raggruppamento gia' precedentemente analizzato, riepilogato in tabella 8, ipotizziamo che la societa' X abbia un certificato EN ISO 9001 unico per la conduzione funzionale e tecnica. ----> vedere tabella a pag. 30 della G.U. <---- In questo caso, se questo certificato viene sospeso, la penale da applicare al RTI sara' proporzionale alla dimensione economica dei servizi di conduzione funzionale e tecnica pari a 27.000.000 di EURO. Se invece la societa' X e' in possesso di due certificati distinti, uno per ognuno dei due tipi di conduzione, e quello che viene sospeso e' il certificato EN ISO 9002, relativo alla conduzione tecnica, la penale sara' proporzionale a 10.000.000 EURO. Nel caso infine in cui venga sospeso il certificato EN ISO 9001 della societa' Y, inerente lo sviluppo di prodotti software, la penale da applicare al RTI sara' proporzionale a 1.000.000 di EURO.   Art. 13 Modalita' di definizione degli atti di gara L'aggiudicazione di un contratto per l'appalto di servizi ad alto contenuto tecnologico, di regola, avviene in base ad una procedura di concorso - salvo i casi in cui e' ammesso il ricorso alla trattativa privata - da svolgersi ai sensi della vigente normativa in materia di appalti di servizi. Gli atti di gara (bando di gara, lettera di invito nel caso di procedure ristrette, schema di contratto e capitolato tecnico), relativi all'appalto dei servizi ICT, devono conformarsi integralmente, dalla data di applicazione delle presenti Regole tecniche, alle prescrizioni di seguito fornite. A tale proposito, in ogni procedura di concorso per l'affidamento di servizi ICT nell'ambito di applicazione delle presenti Regole tecniche, dovranno osservarsi - con salvezza dei procedimenti in corso alla data di applicazione delle presenti Regole tecniche - le istruzioni di seguito esposte. Bando di gara e lettera di invito Le Amministrazioni nel bando di gara e lettera di invito (nel caso di procedure ristrette) dovranno: A. identificare le norme richieste in funzione delle attivita' contrattualmente previste, riconducendole alla classificazione di servizi ad alto contenuto tecnologico di cui all'art. 1, lettera d), ed applicando i criteri di scelta della normativa di cui agli artt. 3 e 5 ed alla norma EN ISO 9000-1; B. richiedere che l'impresa od il raggruppamento temporaneo di imprese concorrente, espliciti e dichiari quali sue specifiche sedi o unita' operative saranno impegnate nell'erogazione dei servizi ICT e nell'adempimento degli obblighi contrattualmente previsti; C. richiedere il certificato (o i certificati nel caso di piu' tipologie di servizi ICT necessari in applicazione delle prescrizioni per i raggruppamenti temporanei e per il subappalto), in corso di validita' al momento di partecipazione alla procedura di concorso (data di scadenza di presentazione dell'offerta indicata nel bando di gara), attestante che il sistema qualita' dell'entita' giuridica concorrente, ed in particolare delle stesse sedi o unita' operative che si e' dichiarato saranno impegnate nel contratto, e' conforme alla norma EN ISO 9000 identificata, e relativo alle attivita' contrattualmente previste; D. stabilire l'esclusione dalla procedura di concorso per le entita' giuridiche concorrenti prive della certificazione di cui al punto precedente o provviste di una certificazione non pertinente all'oggetto contrattuale in termini di attivita' e tipologie di servizi effettuate, sedi ed unita' operative coinvolte (nel caso di raggruppamenti temporanei di impresa o di subappalto l'esclusione deve essere prevista anche nel caso che solo una delle imprese costituenti sia priva della certificazione ritenuta idonea); E. prevedere che gli organismi di certificazione emettitori dei certificati richiesti siano accreditati, ai sensi della norma europea EN 45012, da parte di enti di accreditamento aderenti all'organizzazione europea per l'accreditamento degli organismi di certificazione EA (European co-operation for Accreditation) per operare nel settore EA 33 - "Tecnologia dell'Informazione"; F. prevedere che l'entita' giuridica concorrente, ed in particolare le sue specifiche sedi o unita' operative impegnate nel contratto coerentemente a quanto dichiarato in offerta, risultino incluse nelle liste ufficiali delle societa' certificate per il settore EA 33 - "Tecnologia dell'Informazione" pubblicate dagli enti di accreditamento; G. riconoscere, in ottemperanza a quanto previsto dall'art. 14, comma 4, del Decreto Legislativo 17 marzo 1995, n. 157, i certificati EN ISO 9000 equivalenti rilasciati da organismi stabiliti in altri stati membri; H. ammettere, in ottemperanza a quanto previsto dall'art. 14, comma 4, del Decreto Legislativo 17 marzo 1995, n. 157, attestazioni relative all'impiego di misure di qualita' equivalenti a quelle della serie EN ISO 9000, qualora il concorrente possa dimostrare di non avere accesso alle certificazioni basate su queste norme, ovvero non possa ottenerle nei termini prescritti; I. richiedere, nei casi di certificati rilasciati da organismi stabiliti in altri Stati membri, o di attestazioni rilasciate in altri Stati, che, oltre alla versione in lingua originale venga richiesta la traduzione giurata del certificato o attestazione prodotto; J. richiedere copia del manuale della qualita' (o dei manuali della qualita' nel caso di imprese raggruppate o di subappalto) descrittivo del sistema qualita' applicato di cui si e' attestata la certificazione; nel caso di manuali della qualita' scritti in una lingua diversa dall'italiano e' necessario che, oltre alla versione in lingua originale, venga richiesta la traduzione giurata; K. richiedere un piano della qualita', unico anche nel caso di raggruppamenti temporanei di impresa, predisposto conformemente alla norma EN ISO 10005, che fornisca lo strumento per collegare i requisiti specifici dei servizi contrattualmente richiesti con le procedure generali del sistema qualita' del fornitore gia' esistenti; che identifichi responsabilita' ed attivita', l'eventuale ripartizione delle attivita' nel caso di raggruppamenti temporanei di impresa o subappalto; che dettagli i metodi di lavoro messi in atto facendo riferimento, o a procedure relative al sistema qualita' e per questo descritte nel manuale qualita'; o a procedure sviluppate per lo specifico contrattuale, a supporto delle attivita' in esso descritte, in questo caso da allegare al piano; L. esplicitare le modalita' di verifica dei requisiti integrativi della certificazione di cui all'art. 6, nel caso in cui, a discrezione dell'Amministrazione, detti requisiti siano stati richiesti. Schema di contratto e capitolato tecnico Le Amministrazioni nello schema di contratto e nel capitolato tecnico dovranno: M. prevedere adeguale penali, da applicare secondo quanto prescritto nell'art. 12, nel caso che la certificazione del fornitore venisse sospesa o ritirata dall'organismo di certificazione nel periodo di validita' del contratto; N. contemplare la possibilita' di risolvere il contratto, secondo quanto prescritto nell'art. 12, nel caso che la certificazione del fornitore venisse ritirata dall'organismo di certificazione nel periodo di validita' del contratto; O. richiedere che il fornitore, nello svolgimento delle attivita' contrattualmente previste, faccia esplicito riferimento alla norma rispetto alla quale gli e' stata richiesta la certificazione per quanto riguarda i principi di assicurazione e gestione della qualita'; P. richiedere che il fornitore, nello svolgimento delle attivita' contrattualmente previste, si attenga e sia conforme a quanto previsto dal piano della qualita' approvato dall'Amministrazione e dal proprio sistema qualita', cosi' come documentato dal piano stesso e dal manuale della qualita' messi a disposizione dell'Amministrazione e dell'organismo di ispezione da questa designato; Q. richiedere che il fornitore, nello svolgimento delle attivita' contrattualmente previste, assicuri la qualita' di quanto fornito, dando evidenza all'Amministrazione e all'organismo di ispezione da questa designato, delle proprie specifiche responsabilita' di verifica, validazione, riesame, assicurazione della qualita' sui prodotti e sui processi, conformemente ai principi prescritti dalle norme applicate; R. impegnare il fornitore a produrre, aggiornare in corso d'opera, gestire, rendere immediatamente disponibile, all'Amministrazione e all'organismo di ispezione da questa designato, la documentazione di riscontro delle attivita' svolte contrattualmente prevista, registrazioni di qualita' secondo la norma EN ISO 8402, atta a fornire evidenza oggettiva di attivita' eseguite o di risultati ottenuti secondo quanto previsto nello stesso schema contrattuale, in accordo con le norme citate, e con quanto altro richiesto dalla circolare del 5 agosto 1994, no AIPA/CR/5 sul monitoraggio dei contratti di grande rilievo; S. impegnare il fornitore a permettere l'accesso all'amministrazione e all'organismo di ispezione da questa designato, al sistema di documentazione e gestione del proprio sistema qualita', al sistema di gestione della configurazione e della documentazione, fatta salva la messa in atto di tutte le forme di garanzia circa la integrita' e la riservatezza dei dati ivi contenuti e comunque correlati al contratto in essere; T. impegnare il fornitore ad accettare le verifiche ispettive (verifiche mirate o verifiche di seconda parte), effettuate dall'organismo di ispezione designato dall'Amministrazione, come definito nell'art. 8, svolte nel rispetto di quanto prescritto dalla serie di norme EN ISO 10011 , secondo le modalita' definite all'interno del piano della qualita' i cui contenuti dovranno essere elaborati dal fornitore, ed approvati dall'Amministrazione, sulla base della norma EN ISO 10005 e del suo sistema qualita'; U. impegnare il fornitore, a predisporre un sistema di gestione dei problemi, ad attivarlo fin dall'inizio del contratto, esplicitando chiaramente le specifiche responsabilita' di entrambe le parti; registrando e mettendo a disposizione dell'Amministrazione e all'organismo di ispezione da questa designato, per ogni richiesta di intervento effettuata dall'Amministrazione le seguenti informazioni: il motivo per cui l'intervento e' richiesto; il richiedente; la data di apertura e chiusura dell'intervento stesso e la durata dell'intervento; il responsabile dell'intervento; i risultati da raggiungere (diagnosi del problema) ed i risultati raggiunti (azioni correttive, adeguative, migliorative, realizzate); il livello di soddisfazione da parte del richiedente; le specifiche di intervento; le risorse umane, tecnologiche, logistiche, impiegate in termini di quantita', tipologia, impegno; V. impegnare il fornitore a revisionare il piano della qualita' gia' predisposto, in conformita' alla norma EN ISO 10005, come parte delle attivita' di offerta, a valle dell'aggiudicazione e firma del contratto e prima dell'inizio delle relative attivita', per riflettere le eventuali variazioni intervenute durante il procedimento di gara; impegnare il forniture ad aggiornare in corso d'opera, gestire, rendere disponibile il piano della qualita', per tutto il periodo di validita' del contratto, prevedendo che detto piano venga sottoposto, successivamente ad ogni variazione, all'esplicita approvazione dell'Amministrazione prima della sua effettiva applicazione; W. esigere che, nel caso in cui, a discrezione dell'Amministrazione, e' stata richiesta l'applicazione dei requisiti integrativi della certificazione di cui all'art. 6, il fornitore nel piano della qualita', in conformita' alla norma EN ISO 10005, faccia esplicito riferimento alle linee guida EN ISO 9000-3, che regolano l'applicazione della EN ISO 9001 alla progettazione e sviluppo di software, ed alle linee guida ISO EN ISO 9004-2, per quanto attiene l'applicazione dei principi della EN ISO 9001 allo svolgimento dei servizi.   Art. 14 Data di applicazione Al fine di non ostacolare i processi di automazione in atto e non penalizzare le societa' fornitrici di servizi rientranti nel campo delle tecnologie dell'informazione attualmente prive di certificazioni di qualita' EN ISO 9000, l'attuazione delle presenti Regole tecniche entra in vigore dopo 18 (diciotto) mesi dalla data di pubblicazione sulla Gazzetta Ufficiale delle Regole tecniche stesse.   Art. 15 Premessa ed appendici La premessa e le appendici sono parte integrante della presente delibera che detta norme tecniche. Roma, 9 novembre 2000 Il presidente: REY   Appendice I Questa appendice dettaglia i "servizi ICT" (i servizi denominati "servizi informatici e affini" di cui all'allegato 1, categoria 7, no di riferimento della CPC 84, del Decreto Legislativo del 17 marzo 1995, no 157) per la progettazione, realizzazione, manutenzione, gestione e conduzione operativa di sistemi informativi automatizzati, cosi' come definiti nell'art. 1, lettera d), offrendone una classificazione per tipologia di servizio ed una breve descrizione. Cio' e' fatto unicamente allo scopo di indirizzare ed agevolare l'identificazione, da parte delle Amministrazioni, della specifica norma da richiedere alla societa' fornitrice in funzione del tipo, o dei tipi, di servizi appaltati, secondo quante precedentemente indicato negli artt. 3 e 5. Per questo la classificazione adottata, nonostante recepisca completamente le raccomandazioni comunitarie in merito alla classificazione di servizi e prodotti per gli appalti pubblici, non ha alcuna pretesa di esaustivita'; anche le descrizioni di alcune tipologie di servizi potrebbero, nella loro sinteticita', non essere complete ed escludere attivita' a tutto diritto appartenenti ai "servizi ICT". Per tutti i casi relativi a specifici contratti, nell'ipotesi in cui sia difficile o impossibile riportare i servizi richiesti all'interno della classificazione adottata nelle presenti Regole tecniche, l'unica direttiva alla quale e' consentito riferirsi e' quella fornita dalla gia' citata guida per la scelta e l'utilizzazione delle norme contrattualmente utilizzabili della serie EN ISO 9000, fornita dalla norma EN ISO 9000-1. Punto di partenza per una classificazione dei servizi ICT, nel contesto trattato dalle presenti Regole tecniche, e' la raccomandazione CEE del 30 luglio 1996, che invita le Amministrazioni della Comunita' a utilizzare la classificazione per gli appalti pubblici denominata "Common Procurement Vocabulary" CPV, per descrivere le voci dei beni e servizi oggetto di contratti. Si veda anche la circolare del 22 maggio 1997, n. AIPA/CR/15, che recependo la raccomandazione CEE sopra citata, invita le Amministrazioni ad utilizzarla per la richiesta di parere all'Autorita'; in allegato e' riportata la classificazione "Common Procurement Vocabulary", CPV, versione 1996, limitatamente ai beni e servizi informatici. Il sito della Comunita' Europea (europa.eu.int), ed in particolare le pagine della DG XV "Mercato interno e servizi finanziari", offrono diverse informazioni relativamente ad argomenti relativi agli appalti pubblici, "Public Procurement", e tra questi il "Common Procurement Vocabulary", CPV. Dalle pagine della DG XV e' possibile collegarsi al sito internet del progetto comunitario SIMAP (simap.eu.int); detto progetto si propone come obiettivo di realizzare un effettivo Mercato Unico incoraggiando fornitori e stazioni appaltanti ad adottare le migliori tecniche e ad utilizzare il commercio elettronico e le tecnologie dell'informazione per fornire tutte le informazioni necessarie per ottenere un migliore impiego delle risorse pubbliche negli appalti pubblici. Il sito SIMAP, dedicato a chi opera nel settore degli appalti pubblici, presenta diverse informazioni relative alle regole ed alle procedure per gli appalti pubblici, tra queste in particolare: - la classificazione CEE "Common Procurement Vocabulary", CPV, anche lingua italiana, aggiornata all'ultima versione; - la tavola di corrispondenza, solo in lingua inglese, tra la versione attuale della classificazione CEE "Common Procurement Vocabulary", CPV e la precedente; - la tavola di corrispondenza, solo in lingua inglese, tra la classificazione adottata dall'ONU "Central Product Classification", CPC, richiamata nel Decreto Legislativo del 17 marzo 1995, n. 157, e quella successivamente, il 30 luglio 1996, raccomandata dalla CEE "Common Procurement Vocabulary" CPV. Nelle presenti Regole tecniche, per i servizi ICT, e' utilizzata la classificazione CEE "Common Procurement Vocabulary" CPV, nella attuale versione in lingua italiana del 1998, in vigore dal 1o gennaio 1999. Un estratto di questa classificazione e' riportato nella tabella 9, in cui si sono evidenziati i primi 2 livelli di scomposizione dei 4 complessivamente utilizzati nella classificazione CPV. ------------------------------------------------------------------- Tab. 9 Relazione tra categorie di servizi ICT e norma EN ISO di riferimento Codici CPV Categorie di serviti ICT tratte Certificazione dalla classificazione CPV/98, da richiedere versione in lingua italiana ---------------------------------------------------------------- 72000000-5 SERVIZI INFORMATICI ED AFFINI. ---------------------------------------------------------------- 72100000-6 Servizi di consulenza per attrezzature informatiche. EN ISO 9001 ---------------------------------------------------------------- 72110000-9 Servizi di consulenza per la scelta di attrezzature informatiche. EN ISO 9001 ---------------------------------------------------------------- 72120000-2 Servizi di consulenza per il ripristino di attrezzature informatiche. EN ISO 9002 ---------------------------------------------------------------- 72133900-5 Servizi di consulenza per configurazione di stazioni informatiche. EN ISO 9002 ---------------------------------------------------------------- 72140000-8 Servizi di consulenza per prove di accettazione di attrezzature informatiche. EN ISO 9003 ---------------------------------------------------------------- 72150000-1 Servizi di consulenza per verifiche di sistemi informatici e servizi di consulenza per attrezzature informatiche. EN ISO 9001 ---------------------------------------------------------------- 72200000-7 Programmazione di software e servizi di consulenza. EN ISO 9001 ---------------------------------------------------------------- 72210000-0 Servizi di programmazione di prodotti software in pacchetti. EN ISO 9001 ---------------------------------------------------------------- 72220000-3 Servizi di consulenza in sistemi informatici e assistenza tecnica. EN ISO 9001 ---------------------------------------------------------------- 72230000-6 Servizi di sviluppo di software personalizzati. EN ISO 9001 ---------------------------------------------------------------- 72240000-9 Servizi di analisi e programmazione di sistemi. EN ISO 9001 ---------------------------------------------------------------- 72250000-2 Servizi di manutenzione e assistenza sistemi. EN ISO 9002 ---------------------------------------------------------------- 72260000-5 Servizi connessi al software. EN ISO 9001 ---------------------------------------------------------------- 72300000-8 Servizi di elaborazione dati. EN ISO 9002 ---------------------------------------------------------------- 72310000-1 Servizi di trattamento dati. EN ISO 9002 ---------------------------------------------------------------- 72320000-4 Servizi di banche di dati. EN ISO 9002 ---------------------------------------------------------------- 72500000-0 Servizi informatici. EN ISO 9002 ---------------------------------------------------------------- 72510000-3 Servizi di gestione connessi all'informatica. EN ISO 9002 ---------------------------------------------------------------- 72520000-6 Servizi di consulenza e assistenza informatica. EN ISO 9002 ---------------------------------------------------------------- 72530000-9 Servizi per rete informatica. EN ISO 9002 ---------------------------------------------------------------- 72540000-2 Servizi di upgrade di computer. EN ISO 9002 ---------------------------------------------------------------- 72550000-5 Servizi di audit informatico. EN ISO 9001 ---------------------------------------------------------------- 72560000-8 Servizi di collaudo informatico. EN ISO 9003 ---------------------------------------------------------------- 72570000-1 Servizi di back-up informatico. EN ISO 9001 ---------------------------------------------------------------- 72580000-4 Servizi di conversione di catalogo informatico. EN ISO 9002 ---------------------------------------------------------------- 72590000-7 Servizi professionali connessi al computer. EN ISO 9001 ---------------------------------------------------------------- 80000000-4 SERVIZI DI ISTRUZIONE. ---------------------------------------------------------------- 80420000-4 Servizi di formazione. EN ISO 9002 ---------------------------------------------------------------- 50000000-5 SERVIZI DI RIPARAZIONE, MANUTENZIONE E INSTALLAZIONE. ---------------------------------------------------------------- 50300000-8 Riparazione, manutenzione e servizi affini connessi a personal computer, attrezzature d'ufficio, apparecchiature per telecomunicazioni e impianti audiovideo. EN ISO 9002 ---------------------------------------------------------------- 50310000-1 Manutenzione e riparazione di macchinari per ufficio. EN ISO 9002 ---------------------------------------------------------------- 50320000-4 Servizi di riparazione e manutenzione di personal computer. EN ISO 9002 ---------------------------------------------------------------- 50330000-7 Servizi di manutenzione di attrezzature per telecomunicazioni. EN ISO 9002 ---------------------------------------------------------------- 50700000-2 Servizi di riparazione e di manutenzione connessi agli edifici. EN ISO 9002 ---------------------------------------------------------------- 50900000-4 Servizi di installazione. EN ISO 9003 ---------------------------------------------------------------- 5096 1000-9 Servizi di installazione di computer e di apparecchiature per il trattamento delle informazioni. EN ISO 9003 ---------------------------------------------------------------- A commento della tabella prodotta, per agevolare l'identificazione dei servizi in essa contemplati, si fornisce una sintetica descrizione che integra quanto previsto dagli ulteriori livelli di scomposizione della classificazione CPV non esplicitati, con terminologie usuali in letteratura ed all'interno di contratti di servizi ICT. Poiche' nella classificazione CPV esistono delle similitudini e sovrapposizioni tra servizi pure codificati diversamente (in alcuni casi si puo' parlare di ridondanza), si sono elencati i servizi accorpando quelli piu' simili; in questo caso, ad una denominazione della categoria di servizio, sempre appartenente alla classificazione CPV, vengono a corrispondere piu' codici. Servizi di consulenza, CPV 7210-7211-7215-7222-7259, certificazione EN ISO 9001 I servizi di consulenza sono estremamente variegati estendendosi a tutte le attivita' afferenti a: information technology, benchmarking dei sistemi informativi e dei prodotti informatici, progettazione dei sistemi informativi, project financing, project management & control, quality management, service level agreement: - consulenza sul mercato dell'ICT, trend, costi, standard, prodotti, tecnologie, metodologie; comparazione e scelta di prodotti software ed attrezzature informatiche (information technology); - verifica delle funzionalita' e prestazioni dei sistemi informativi; misura di caratteristiche specifiche dei sistemi informativi e comparazione con sistemi informativi confrontabili in termini di utilizzo, dimensione, tecnologie (benchmarking); - revisione strategica dei sistemi informativi e/o dell'utilizzo delle tecnologie dell'informazione, revisione dei requisiti delle tecnologie dell'informazione; realizzazione di studi di fattibilita' (progettazione); - supporto alla preparazione di bandi di gara, contratti e capitolati tecnici, piani di progetto, piani di qualita', partecipazione a commissioni di gara (aggiudicazione); - realizzazione di analisi economiche ed analisi costi/benefici, business plan; identificazione di fonti di finanziamento o cofinanziamento, accesso a programmi e fondi nazionali e comunitari (project financing); - programmazione per l'implementazione di sistemi; gestione di progetti, organizzazione, tecnologie, gruppi di lavoro, interfacce; avvio, chiusura od estensione di attivita'; pianificazione e controllo, budgeting e stato avanzamento lavori, valutazioni ed analisi dei rischi (project management & control); - programmazione per l'assicurazione di qualita' dei sistemi, valutazione e revisione per l'assicurazione di qualita' dei sistemi (quality management); - elaborazione di protocolli di intesa, accordi, piani della qualita', inerenti i livelli di servizio e di assistenza (service level agreement). Servizi di analisi e programmazione di sistemi, CPV 7224, certificazione EN ISO 9001 Questi servizi contemplano tutte le attivita' di programmazione, progettazione, prototipazione dei sistemi informativi, integrazione di sistemi, riorganizzazione dei servizi che detti sistemi supportano: - specificazione di obiettivi per progetti critici, pianificazione dell'evoluzione del sistema informativo nelle sue componenti centrali e periferiche, programmazione di sistemi informativi (programmazione); - progettazione di sistemi informativi, reverse engineering di sistemi esistenti e riorganizzazione dei servizi (engineering); - modellizzazione di progetti, prototipazione di funzionalita' del sistema informativo (prototyping); - integrazione di infrastrutture informatiche e di comunicazione, componenti software e/o hardware, servizi, per la costruzione di servizi a valore aggiunto (system integration); - supporto tecnico alla definizione dei rapporti e dei protocolli di intesa con soggetti esterni aventi relazioni con il sistema informativo, progettazione dei flussi informativi automatizzati per lo scambio di dati di reciproco interesse (supply chain). Servizi di sviluppo di prodotti software, CPV 7220-7221-7223, certificazione EN ISO 9001 Rientrano in questo servizio tutte le attivita' previste nel ciclo di vita del software, un riferimento e' costituito dalla norma ISO/IEC 12207 Information technology - software life cycle processes: - analisi dei requisiti del prodotto, disegno dell'architettura del prodotto, stesura del modello concettuale e logico; analisi dei requisiti dei moduli software, disegno dell'architettura dei moduli software, stesura del modello funzionale e tecnico (progettazione); - realizzazione del prodotto, programmazione, codifica, stesura manuali utente e documentazione d'uso (realizzazione); - progettazione ed esecuzione dei test unitari delle caratteristiche intrinseche dei singoli moduli software, integrazione dei singoli moduli software nel prodotto, progettazione ed esecuzione dei test di integrazione; integrazione del prodotto nella configurazione di esercizio, progettazione ed esecuzione dei test di sistema, qualificazione del prodotto integrato o rilascio al collaudo (test). Servizi di manutenzione e assistenza sistemi, CPV 7225-7258, certificazione EN ISO 9001 Supporto tecnico all'emanazione di disposizioni operative inerenti l'utilizzo dei sistemi informativi, sia sotto il profilo funzionale che temporale, ed alla gestione dei sistemi informativi: - gestione dell'evoluzione del sistema informativo nelle sue componenti centrali e periferiche (change management); - assistenza informatica e di supporto (sistemistica) agli utenti gestori del sistema informativo per la conduzione del sistema informativo; - ripristino di programmi, archiviazione dati, conversioni di dati tra diversi formati di memorizzazione e/o gestione, estrazione di dati da banche dati, migrazioni di software su differenti piattaforme hardware; test di prodotti hardware e software. Servizi connessi al software, CPV 7226, certificazione EN ISO 9001 In questa categoria di servizi, la classificazione CPV colloca tipologie di servizi differenziate, peraltro relative a differenti certificazioni ISO 9000, alcune delle quali gia' referenziate in altre categorie. Per questo si e' scelto descrivere in questa categoria unicamente i servizi di manutenzione e configurazione del software che non trovano collocazione in altre categorie e che richiedono la stessa certificazione; - manutenzione delle componenti di software di base e di ambiente (i prodotti di cui alla classificazione CPV codici 30 24 "Software" e 30 25 "Sistemi informatici"); - manutenzione correttiva del software applicativo, necessaria la rimozione di cause ed effetti di malfunzionamenti; manutenzione adeguativa del software applicativo, per l'aggiornamento del software informativo alle tecnologie utilizzate (hardware e software di base), finalizzata ad evitare lo scadimento delle prestazioni del sistema informativo (MAC); - manutenzione evolutiva del software applicativo, legata alle variazioni di disposizioni normative e/o regolamenti oggetto di automazione, all'esigenza del corretto scambio di flussi informativi con altri sistemi informativi esterni, delle mutate esigenze degli utenti, all'attivazione di ulteriori posti di lavoro o di uffici periferici automatizzati (MEV); - fornitura degli aggiornamenti necessari di software di base e di ambiente; configurazione del software di base, di ambiente ed applicativo; gestione della configurazione del software; - riproduzione e distribuzione degli aggiornamenti del software conseguenti agli interventi di manutenzione. Servizi di banche dati, CPV 7232, certificazione EN ISO 9001 Gestione delle banche di dati ed amministrazione del patrimonio informativo contenuto nel sistema informativo (data administration). Servizi di consulenza e assistenza informatica, CPV 7252, certificazione EN ISO 9002 Consulenza ed assistenza agli utenti finali sul sistema informativo, sulle funzionalita', sulle procedure: - gestione dei rapporti con l'utenza finale, analisi delle esigenze dell'utente per la definizione degli obiettivi da conseguire con nuovi sviluppi o nell'ambito della manutenzione evolutiva; - assistenza nell'uso appropriato delle funzioni messe a disposizione dal sistema informativo per la risoluzione di eventuali problemi amministrativi; - gestione delle infrastrutture di assistenza, call center e funzioni di help desk telefonico a livello centrale, interventi diretti (in situ) presso gli utenti a livello periferico; - controllo della tempestivita' ed efficacia degli interventi di manutenzione correttiva; realizzazione dei manuali e delle guide operative per l'utilizzo del sistema. Servizi di elaborazione dati, CPV 7230, certificazione EN ISO 9002 Messa a disposizione degli utenti finali dei prodotti di elaborazioni in differita (batch) del sistema informativo: - pianificazione funzionale del servizio, con riferimento elaborazioni batch per l'elaborazione dati, stampa di tabulati e prestampati, statistiche; - esecuzione delle elaborazioni batch; br; - validazione tecnica dell'esito delle elaborazioni, al fine di garantire la costante integrita' e correttezza delle informazioni gestite dal sistema informativo, del contenuto dei flussi informativi, dei dati esposti negli stampati prodotti. Servizi di trattamento dati, CPV 7231, certificazione EN ISO 9002 Gestione della documentazione cartacea eventualmente a supporto delle informazioni gestite dal sistema informativo, caricamento di informazioni, dai supporti cartacei, all'interno delle banche dati del sistema informativo: - stampa, distribuzione, spedizione, di modulistica per la raccolta dati; ricezione, smistamento, identificazione, etichettatura, confezionamento, archiviazione, di modulistica e/o documenti; ricerca e consultazione di modulistica e/o documenti in archivio; estrazione e dismissione di documenti cartacei dall'archivio (trattamento documentale); - alimentazione, conversione, preparazione dati per l'acquisizione; cattura o acquisizione, raccolta, collazione, di dati mediante tabulazione di caratteri o riconoscimento ottico dei caratteri (OCR), per i dati alfanumerici rilevati da documenti cartacei; acquisizione vettoriale o raster per i dati rilevati da planimetrie, mappe catastali, fotografie aeree o satellitari analisi e verifica dei dati acquisiti; registrazione, fornitura, di dati su supporti magnetici, ottici, cartografici o via rete; gestione, supporto, assistenza, alla acquisizione, memorizzazione e trasmissione di dati (acquisizione dati). Servizi informatici, CPV 7250-7257, certificazione EN ISO 9002 Messa a disposizione degli utenti finali delle procedure, funzionalita', servizi in tempo reale (on-line) del sistema informativo: - pianificazione funzionale del servizio, con riferimento al collegamento in tempo reale con gli utenti finali; - conduzione operativa, esercizio, del sistema informativo, gestione dei centri di elaborazione dati, dei sistemi dipartimentali, del personal computer; delle procedure batch e on-line; - gestione della sicurezza; predisposizione, manutenzione, test dei piani di emergenza e continuita'; predisposizione ed attuazione dei piani di back-up (disaster recovery). Servizi di gestione connessi all'informatica, CPV 7251, certificazione EN ISO 9002 Supporto all'erogazione di servizi informatici, elaborazione dati, trattamento dati, riparazione, manutenzione: - coordinamento della pluralita' dei soggetti che contribuiscono all'erogazione dei servizi, gestione delle forniture di beni hardware e software, gestione delle lavorazioni in subappalto, gestione della realizzazione di opere scorporabili; garanzia del corretto funzionamento delle procedure dei sistemi elaborativi collegati in rete geografica al sistema di elaborazione centrale (management); - determinazione ed assegnazione delle risorse informatiche necessarie per l'esecuzione di specifici compiti produttivi (capacity planning); - controllo e rilevazione delle prestazioni dei servizi offerti, controllo dei livelli di servizio, rendicontazione periodica inerente l'esercizio del sistema informativo (monitoring & control); - gestione della configurazione di tutte le componenti hardware e software costituenti il sistema informativo (configuration management); - ottimizzazione delle prestazioni di attrezzature informatiche, applicativi software, banche dati, sistemi informativi (tuning); - certificazione delle firme digitali utilizzate per l'accesso al sistema informativo e/o a funzioni privilegiate, per la crittografia e/o validazione di documenti. Servizi per rete informatica, CPV 7253, certificazione EN ISO 9002 Gestione dei servizi di rete, trasporto ed interoperabilita' a supporto ed integrazione di servizi informatici, di elaborazione dati, di trattamento dati: - gestione del sistema di trasporto dei dati, controllo ed analisi delle prestazioni, del traffico, dei malfunzionamenti, dello stato di reti geografiche e locali (trasporto); - gestione della posta elettronica, trasferimento di file, emulazione terminale virtuale, accesso a world wide web, accesso a news, collegamento a Internet, hosting e mirroring del server Web, collegamento a Banche Dati esterne; distribuzione del software applicativo e di produttivita' individuale sui posti di lavoro connessi in rete; erogazione dei servizi di indirizzamento, domain name service, directory service; gestione del tempo ufficiale della rete: gestione della sicurezza, crittografia, firma digitale; controllo ed analisi dei livelli di servizio (interoperabilita'). Servizi di riparazione, manutenzione, CPV 5030-5031-5032-5033-5070-7212-7213-7254, certificazione EN ISO 9002 Diagnosi di malfunzionamenti ed identificazione delle riparazioni e manutenzioni necessarie per il ripristino di attrezzature informatiche e sistemi informativi: - interventi di allestimento, ripristino, riparazione e manutenzione di infrastrutture informatiche, hardware ed apparati di rete e di comunicazione (i prodotti di cui alla classificazione CPV codice 30 "Macchine per ufficio ed elaboratori elettronici, attrezzature e forniture"), cablaggi, linee di trasmissione; - sostituzione di componenti hardware e software, interventi di aggiornamento di componenti (upgrade). Servizi di installazione, CPV 5090-5096, certificazione EN ISO 9003 Fornitura di beni hardware e software, consegna, installazione, configurazione, di infrastrutture informatiche, hardware ed apparati di rete (i prodotti di cui alla classificazione CPV codice 30 "Macchine per ufficio ed elaboratori elettronici, attrezzature e forniture"). Servizi di collaudo informatico, CPV 7214-7256, certificazione EN ISO 9003 Prove di accettazione e controllo della qualita' di prodotti informatici, attrezzature informatiche; collaudo di sistemi informativi. Servizi di audit informatico, CPV 7255, certificazione EN ISO 9001 Rientra in questa categoria il servizio di monitoraggio previsto dal Decreto Legislativo del 12 febbraio 1993, no 39, come descritto dalla circolare del 5 agosto 1994, no AIPA/CR/5: analisi dei documenti di riscontro; interviste al fornitore ed agli utenti finali; misura delle attivita' progettuali (obiettivi, tempi, costi), misura delle performance di sistemi informativi e della qualita' dei prodotti/servizi, verifica del processo produttivo messo in atto dal fornitore, analisi della bonta' dell'investimento; emissione di rilievi od osservazioni, proposta di azioni correttive, analisi delle azioni correttive messe in atto; periodica emissione di rapporti (monitoraggio). Servizi di formazione, CPV 8042, certificazione EN ISO 9001 Predisposizione di programmi di formazione e percorsi formativi, progettazione di seminari, corsi di formazione o addestramento; allestimento e gestione delle aule e delle attrezzature per la formazione; erogazione di formazione informatica, tecnica, gestionale, professionale, specialistica; avviamento all'esercizio ed addestramento, per utenti di sistemi informativi. La tabella 3 dei servizi ICT, gia' presentata nell'art. 3, si costruisce facilmente a partire dalla classificazione CPV di cui alla tabella 9, riorganizzando i servizi gia' descritti in gruppi, denominati secondo una terminologia ampiamente diffusa nei contratti di servizi ICT, e riportandoli secondo un nuovo ordine: consulenza > progettazione > conduzione > fornitura > monitoraggio > collaudo. Nella tabella 3, queste dizioni di uso frequente sono evidenziate in grassetto per indicare o delle semplici sinonimie come per i servizi di "fornitura di beni hw e sw" e monitoraggio e verifica dei sistemi informativi"; o la fornitura integrata di piu' servizi tra quelli precedentemente descritti, come nel caso della "conduzione di sistemi informativi" a sua volta scomponibile in: - conduzione funzionale di un sistema informativo intesa come complesso dei servizi finalizzate ad assicurare la corretta funzionalita' della componente applicativa di un sistema informativo, anche a seguito delle modifiche ed ampliamenti necessari in relazione alle mutate esigenze dell'utenza, all'evoluzione tecnologica ed ai cambiamenti introdotti con la variazione dei requisiti di base dell'amministrazione (es. evoluzione della normativa); - conduzione tecnica di un sistema informativo intesa come complesso dei servizi finalizzati ad assicurare la corretta funzionalita' delle componenti infrastrutturali, informatiche e non, del sistema informativo (hardware, software, reti, ced, info center, call center, ambienti e logistica, personale tecnico) atte ad assicurare il livello di servizio richiesto. Sono, in ogni caso, evidenziati i codici CPV relativi ad ognuna delle dizioni presentate. Per quanto concerne la certificazione da richiedere, e' ovvio che, nel momento in cui piu' servizi sono accorpati tra loro contrattualmente, la certificazione da richiedere e' quella piu' estensiva, anche questa in grassetto nella tabella, tra quelle riferibili a ciascun servizio elementare componente.   Appendice II Questa appendice, allo scopo di favorire la comprensione della portata delle presenti Regole tecniche e offrire una contestualizzazione, sintetizza il quadro comunitario del sistema di normazione e certificazione; riassume il quadro normativo per la certificazione dei sistemi qualita': espone la struttura del "Sistema Qualita' Italia" e del sistema di accreditamento. Normazione e certificazione L'applicazione delle norme ISO 9000 sui sistemi qualita', recepite come norme europee EN ISO 9000, conseguentemente come norme nazionali UNI EN ISO 9000, rispetto alle quali viene attuata la certificazione trova riscontro in molteplici direttive della Comunita' Europea. A Copenhaghen nel 1982, a Fointainbleau e a Dublino nel 1984, il Consiglio Europeo si era gia' espresso in favore di un rafforzamento del mercato interno. In particolare a Bruxelles, nel marzo del 1985, si era proposto di compiere "azioni volte a realizzare entro il 1992 un grande mercato unico, creando cosi' un ambiente piu' propizio all'incentivazione dell'iniziativa imprenditoriale, della concorrenza e degli scambi"; in quell'occasione, il Consiglio invitava la Commissione ad elaborare un programma dettagliato. In questo quadro, veniva istituita, con la direttiva 831/89 (modificata con la direttiva 88/122 e con la direttiva 94/10), la "procedura di informazione", per mezzo della quale la Comunita', gli Stati membri, gli organismi di normazione europei e nazionali, si devono tenere mutuamente informati delle iniziative assunte in campo normativo. In linea con questo spirito, e' la regola che si sono dati gli enti normatori europei (CEN e CENELEC) in base alla quale quando una norma tecnica e' allo studio a livello europeo devono essere sospesi eventuali lavori in sede nazionale aventi per oggetto la stessa materia. Nel Consiglio del 16 luglio 1984 veniva sancito che: Il Consiglio ritiene che la normazione costituisca un importante contributo per la libera circolazione dei prodotti industriali e, a maggior ragione, per la creazione di un contesto unico comune a tutte le imprese; essa contribuisce alla competitivita' industriale tanto sul mercato comunitario quanto sui mercati esterni, in particolare nelle nuove tecnologie". Nella risoluzione del 7 maggio 1985 (GU N.C. 136/14 giugno 1985), il Consiglio definiva una nuova strategia in materia di armonizzazione, tecnica e normazione. Obiettivo principale di questa strategia e' l'abbattimento delle barriere tecniche. In sostanza l'approccio comunitario si basa sui seguenti punti: - armonizzazione legislativa mediante approvazione, tramite direttive, dei requisiti essenziali di sicurezza (o di altre esigenze di carattere collettivo) relative ai prodotti; - armonizzazione normativa, cioe' elaborazione delle norme armonizzate, che e' di competenza degli organismi europei di normazione (CEN; CENELEC; ETSI); - emissione di regole tecniche che gli Stati membri possono emanate sempre nell'ambito del rispetto delle regole comunitarie; - emissione di norme tecniche da parte degli enti competenti. L'applicazione delle norme di questo tipo e' a carattere volontario; - valutazione di conformita' del prodotto alle norme armonizzate. Gli Stati membri devono promuovere l'applicazione generalizzata delle norme europee di garanzia della qualita' (EN ISO 9000), l'applicazione dei requisiti richiesti dalle norme EN 45000 per gli organismi di certificazione, la creazione di sistemi di accreditamento degli organismi interessati. ----> vedere schema a pag. 44 della G.U. <---- Per quanto riguarda la certificazione, il sistema promosso dalla Comunita' Europea promuove sostanzialmente due tipi di certificazione: - certificazione del prodotto, che attesta la conformita' del progetto e/o di un campione rappresentativo di prodotto ad una specifica norma tecnica; - certificazione del sistema qualita', che attesta la conformita' (alle norme ISO 9000) della struttura organizzativa, delle responsabilita', delle procedure, del procedimenti e delle risorse messe in atto per la conduzione aziendale per la qualita'. Certificazione dei sistemi qualita' Le norme internazionali ISO costituiscono un quadro di riferimento per tutto le parti interessate allo sviluppo ed alla conduzione di progetti informatici (committente, produttore, e monitore, ai sensi del Decreto legislativo 12 febbraio 1993, no 39). Le norme sono dei documenti prodotti con la cooperazione e il consenso di tutte le parti interessate e vengono approvati da un organismo riconosciuto. Per organismi riconosciuti si intendono gli Enti normatori che sono elencati nell'allegato alla Direttiva EEC 85/189, recentemente sostituita dalla Difettiva EEC 98/34. Le norme costituiscono lo stato dell'arte, in quanto forniscono, al fine di ottenere il migliore ordine in un determinato contesto, specifiche tecniche, procedure di valutazione, linee guida, caratteristiche o soluzioni ottimali a problemi che si ripetono. Gli obiettivi che si vogliono raggiungere tramite le norme e l'attivita' di normazione sono: - salvaguardare gli interessi dei consumatori e della collettivita' (Qualita' e Sicurezza prodotti e servizi); - migliorare il sistema produttivo attraverso l'unificazione dei processi e dei prodotti; - migliorare le comunicazioni attraverso l'applicazione di standard per codici, simboli, interfacce, ecc.; - promuovere la sicurezza dell'uomo e dell'ambiente attraverso la definizione dei requisiti dei prodotti, processi e comportamenti. Lenorme relative ai sistemi qualita' possono essere divise in gruppi strutturati. - Norme per i "modelli per l'assicurazione della qualita'", EN ISO 9001, 9002, 9003, sono le norme utilizzate come riferimento per verificare l'esistenza di un sistema qualita' in sede di certificazione o di rapporto contrattuale tra il cliente ed il fornitore: EN ISO 9001: da utilizzate quando la conformita' ai requisiti specificati deve essere assicurata dal fornitore nel corso di diverse fasi che comprendono progettazione/sviluppo, produzione, installazione ed assistenza dopo vendita; EN ISO 9002: da utilizzare quando la conformita' ai requisiti specificati deve essere assicurata dal fornitore nel Corso delle fasi di fabbricazione, di installazione, di assistenza dopo la vendita; EN ISO 9003: da utilizzare quando la conformita' ai requisiti specificati deve essere assicurata dal fornitore soltanto mediante controlli, collaudi e prove finali. - Guide di "gestione per la qualita' ed assicurazione qualita'", EN ISO 9000-1, 9000-2, 9000-3, 90004, questo gruppo di guide deve essere utilizzato sia da parte del fornitore, sia da parte del committente, come strumento per applicare e capire meglio le norme di tipo "contrattuale": EN ISO 9000-1: norme di gestione per la qualita' e di assicurazione della qualita' - Guida per la scelta e l'utilizzazione. Questa guida e' utile sia per comprendere i criteri per la scelta e l'utilizzazione delle norme della famiglia 9000, sia per capire i "principi" di base dei sistemi qualita'. Particolarmente significativi sono: il concetto di miglioramento continuo espresso in questa norma; la definizione degli obiettivi e delle responsabilita' fondamentali per la qualita' su cui dovrebbe basarsi ogni organizzazione che voglia operare nell'ambito di un valido sistema qualita'; EN ISO 9000-2: norme di gestione per la qualita' e di assicurazione della qualita' - Guida per l'applicazione delle ISO 9001, ISO 9002 e ISO 9003; EN ISO 9000-3: norme per la qualita' e di assicurazione della qualita' - Guida per l'applicazione della ISO 9001 allo sviluppo, alla fornitura ed alla manutenzione del software. Guida importante in merito ad attivita' di sviluppo e manutenzione di prodotti software, e' utile per l'applicazione delle regole generali della norma EN ISO 9001 in quanto fornisce un'interpretazione delle stesse specificatamente per chi produce software; EN ISO 9000-4: norme di gestione per la qualita' e di assicurazione della qualita' - Guida per la gestione del programma di fidatezza. - Guide di "gestione per la qualita' ed elementi del sistema qualita', EN ISO 9004-1, 9004-2, 9004-3, 9004-4, sono le guide per realizzare e applicare un proprio sistema qualita'; queste guide, pur essendo principalmente di interesse per il fornitore, sono fondamentali per capire il modello su cui si deve basare il sistema di qualita': EN ISO 9004-1: gestione per la qualita' ed elementi del sistema qualita' - Guida generale; e' rivolta a chi deve realizzare e gestire il proprio sistema qualita' nella propria azienda e fornisce un quadro completo della struttura e dei componenti di un sistema qualita' aziendale; EN ISO 9004-2: gestione per la qualita' ed elementi del sistema qualita' - Guida per i servizi; fornisce un modello completo del sistema qualita' per i servizi. Molti contratti riguardano non solo la fornitura di prodotti, ma, soprattutto, di servizi. Questa norma costituisce percio' un importante riferimento; EN ISO 9004-3: gestione per la qualita' ed elementi del sistema qualita' - Guida per i materiali da processo continuo; EN ISO 9004-4: gestione per la qualita' ed elementi del sistema qualita' - Guida per il miglioramento della qualita'. - Norme per la definizione di un glossario della qualita'": EN ISO 8402: e' la norma che presenta i termini e le definizioni utilizzate nell'ambito dei sistemi qualita'; risulta utile per comprendere i termini utilizzati nelle norme per i sistemi qualita'. Essa e' articolata in quattro sezioni: termini generali, termini relativi alla Qualita', termini relativi al Sistema Qualita', termini relativi agli strumenti ed alle tecniche. ----> vedere schema a pag. 47 della G.U. <---- certificazione, accreditamento, ispezione), Tali enti e laboratori ricevono, a loro volta, un accreditamento che li autorizza ad operare garantendo il rispetto delle norme. La certificazione dei prodotti avviene attraverso: - un organismo di certificazione che controlla la permanenza della conformita' in produzione e sul mercato, applicando lo schema di certificazione adatto al prodotto considerato; - un laboratorio che effettua le prove di conformita'; - un ente (rappresentativo di tutte le categorie interessate) che gestisce e garantisce il sistema attraverso l'accreditamento degli organismi di certificazione; - un ente (rappresentativo di tutte le categorie interessate) che garantisce le prestazioni dei laboratori di prova attraverso l'accreditamento. La certificazione dei sistemi qualita' avviene attraverso: - un organismo di certificazione che controlla la permanenza delle caratteristiche del sistema qualita' dell'azienda applicando lo schema di certificazione adatto al settore produttivo considerato; - un ente (rappresentativo di tutte le categorie interessate) che gestisce e garantisce il sistema attraverso l'accreditamento degli organismi di certificazione. Per organismo di certificazione, si intende un organismo che attua un sistema di certificazione di conformita' (Norma EN ISO 45020). Tali organismi possono operare per la certificazione di sistemi qualita', di prodotti, di personale. Gli organismi di certificazione operanti in Italia sono fortemente diversificati come forma societaria, organizzazione e settori di intervento. Alcuni sono espressione piu' o meno diretta dei settori industriali, altri sono l'emanazione italiana di gruppi internazionali operanti nel settore della qualita'. Alcuni hanno una veste di associazione non a scopo di lucro, altri sono societa' di capitali. Alcuni dispongono di una base consistente di personale proprio, altri utilizzano personale esterno. Vi sono infine organismi che operano per macrosettori, mentre altri sono focalizzati su specifici segmenti. Nel 1988, UNI (Ente Nazionale Italiano di Unificazione) e CEI (Comitato Elettrotecnico Italiano) hanno sottoscritto, sotto l'egida del Ministero dell'Industria, una convenzione per la creazione di un sistema di accreditamento degli organismi di certificazione. Nel novembre 1991, per iniziativa di UNI e CEI, e' stato costituito il SINCERT (Sistema Nazionale di Accreditamento degli Organismi di Certificazione) che ha rilevato le attivita' della convenzione di cui sopra. Il SINCERT ha la forma di una Associazione senza fini di lucro, posta sotto il patrocinio del Ministero dell'Industria, del Commercio e dell'Artigianato, del CNR (Consiglio Nazionale delle Ricerche), dell'ENEA (Ente per le Nuove Tecnologie, l'Energia e l'Ambiente) e delle Camere di Commercio, Industria, Artigianato e Agricoltura. Un organismo di certificazione, per ottenere l'accreditamento SINCERT, deve possedere i requisiti stabiliti nelle Norme EN ISO 45000. All'accreditamento dei laboratori di prova provvede il SINAL (Sistema di Accreditamento dei Laboratori, creato nel 1988 da UNI e CEI, con il patrocinio del Ministero dell'Industria). A difesa, del sistema qualita' Italia, e' importante rendere nota un'iniziativa del SINCERT: sul proprio sito internet (www,sincert.it) e' pubblicizzato un "Numero Verde Qualita'" che serve unicamente ad inoltrare reclami, via Fax, da parte di clienti, nei confronti dei propri fornitori certificati che non rispettano gli standard di Qualita'. A livello europeo, nel novembre 1997 e' nato ufficialmente l'EA (European co-operation for Accreditation), a seguito della decisione di unificare le preesistenti attivita' di EAC (European Accreditation of Certification) ed EAL (European Accreditation of Laboratories). Per l'Italia, dell'EA, fanno parte il SINCERT ed il SINAL ed il SIT. Il compito principali dell'EA e' quello di sviluppare, valutare ed assicurare in tutta Europa il mantenimento di un "livello equo" di competenza. Cio' e' fatto mediante accordi multilaterali di mutuo riconoscimento tra i diversi paesi europei, con la volonta' di estendere questo riconoscimento a livello mondiale, allo scopo di tradurre in pratica il "testato e certificato qui, ora: accettato sempre ed ovunque". Queste iniziative sono state prese per favorire il mutuo riconoscimento delle certificazioni effettuate dagli organismi dei vari paesi e sono in linea con gli indirizzi della Comunita' Europea relativo alla libera circolazione delle merci e all'abbattimento delle barriere tecniche. Per quanto riguarda l'EA, ne fanno parte gli organismi di accreditamento dell'Unione Europea e dell'EFTA. L'EA classifica e raggruppa in un elenco di 39 settori le varie tipologie di aziende. Tutte le aziende di informatica (qualunque sia la loro attivita' in tale campo) sono raggruppate nel settore EA 33 - Tecnologia dell'informazione. Questo elenco ha un duplice scopo: - in fase di accreditamento di un ente di certificazione, per stabilire per quali settori industriali l'ente stesso e' stato accreditato a svolgere l'attivita' di certificazione dei sistemi qualita' aziendali; - in fase di svolgimento dell'attivita' di certificazione dei sistemi qualita' aziendali da parte dell'ente accreditato, per definire il settore di appartenenza dell'azienda sottoposta alla verifica per la certificazione. L'EA ha indirizzato i suoi sforzi principalmente per definire un accordo di mutuo riconoscimento degli accreditamenti (chiamato MLA, Multilateral Agreement) con il quale si riconosce l'equivalenza dei sistemi di accreditamento attuati in campo nazionale e conseguentemente dei certificati rilasciati dagli Organismi di Certificazione accreditati secondo tali sistemi. Questo accordo fa si che le certificazioni emesse siano riconosciute anche negli altri stati firmatari, con grande vantaggio per le aziende certificate che non devono ripetere gli iter procedurali o rifare la richiesta di certificazione. Nel 1995, e' stato siglato un primo Multilateral Agreement per il mutuo riconoscimento delle certificazioni emesse da Organismi di certificazione accreditati dall'Ente di accreditamento riconosciuto rispettivamente in Italia, Germania, Gran Bretagna, Norvegia, Svizzera, Svezia, Finlandia. Nel corso del 1996 si sono aggiunte anche Francia e Danimarca; nel 1997, e' stata la volta della Spagna; nel 1998, si sono aggiunte Austria e Irlanda. Nel 1998, e' stato anche siglato un Multilateral Recognition Agreement in sede IAF (International Accreditation Forum) tra 17 Stati (Australia, Gran Bretagna, Canada, Cina, Danimarca, Finlandia, Francia, Germania, Italia, Giappone, Nervegia, Nuova Zelanda, Olanda, Svezia, Svizzera, Stati Uniti e Spagna) che garantisce il mutuo riconoscimento delle certificazioni - fra questi Stati- a livello mondiale. Sulla base della dimostrata equivalenza operativa degli Enti nazionali di Accreditamento degli Organismi di Certificazione, ogni firmatario dell'accordo si impegna a: - riconoscere che i sistemi di accreditamento gestiti dagli Organismi firmatari dell'accordo sono equivalenti al proprio sistema; - riconoscere che i certificati emessi in accordo con gli schema/sistemi di accreditamento degli altri Organismi firmatari dell'accordo sono equivalenti al proprio schema/sistema; - raccomandare e promuovere l'accettazione (da parte di tutti gli utenti del proprio paese) dei certificati emessi dagli Organismi di Certificazione accreditati dagli Enti firmatari; - accertare la fondatezza dei reclami provenienti da uno dei firmatari dell'accordo e risultanti dai certificali emessi dagli Organismi di Certificazione da lui accreditati; - notificare con tempestivita' a tutti gli altri firmatari ogni cambiamento significativo occorso o previsto nelle proprie pratiche operative e nella propria organizzazione.