Contract

DD N. 261 del 28/06/2023 ‌‌

SERVIZIO PROGRAMMAZIONE FINANZIARIA, CONTRATTI E ICT DECRETO DIRIGENZIALE

Oggetto: AFFIDAMENTO AD ARIA S.P.A. - AZIENDA REGIONALE PER L'INNOVAZIONE E GLI ACQUISTI DELL'INCARICO "INFRASTRUTTURA TECNOLOGICA CONSIGLIO REGIONALE (23C07)”, DAL 1 LUGLIO 2023 AL 30 GIUGNO 2025. APPROVAZIONE DELLO SCHEMA DI INCARICO E IMPEGNO DELLA SPESA

Rep. 2023/XII.6.5.2.4

IL DIRIGENTE

VISTA la legge regionale 7 luglio 2008, n. 20 “Testo unico in materia di organizzazione e personale”;

VISTO il regolamento contabile, approvato con deliberazione del Consiglio regionale 15 febbraio 2011, n. IX/143, e modificato con deliberazioni del Consiglio regionale 8 aprile 2014, n. X/356, e 28 luglio 2015, n. X/751;

RICHIAMATE

‒ la deliberazione dell'Ufficio di presidenza 2 novembre 2021, n. 286 “Determinazioni per l’organizzazione della struttura amministrativa del Consiglio regionale (II Provvedimento organizzativo anno 2021)” che ha conferito al sottoscritto l'incarico di dirigente del servizio programmazione finanziaria, contratti e ICT, con decorrenza dal 1 dicembre 2021;

‒ la deliberazione dell'Ufficio di presidenza 14 dicembre 2021, n. 318 “III provvedimento organizzativo anno 2021”, che ha conferito alla dottoressa Xxxx Xxxxxxxxxx l'incarico di dirigente dell'ufficio contratti e ICT e il ruolo di responsabile per la transizione digitale (di seguito anche denominato RTD) con decorrenza dal 1 gennaio 2022;

VISTO il decreto legislativo 23 giugno 2011, n. 118 “Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42”, così come modificato e integrato dal decreto legislativo 10 agosto 2014, n. 126;

VISTA la deliberazione dell'Ufficio di presidenza 28 luglio 2021, n. 184 recante “Aggiornamento 2021 dell'assetto organizzativo privacy - modifiche alla deliberazione

1 aprile 2019, n. 111 'Definizione dell'assetto organizzativo privacy - Articolazione delle competenze in materia di protezione dei dati personali (Regolamento UE 2016/679 e d.lgs. 196/2003)', come modificata dalla deliberazione 6 aprile 2020, n. 78”;

VISTA la deliberazione dell’Ufficio di presidenza 3 giugno 2019, n. 229, di attuazione della digitalizzazione dei decreti del segretario generale, dei decreti dirigenziali e dei decreti del datore di lavoro;

RICHIAMATA la deliberazione del Consiglio regionale 19 dicembre 2022, n. XI/2592, di approvazione del bilancio di previsione finanziario per gli anni 0000-0000-0000 per il funzionamento del Consiglio regionale;

RICHIAMATA la deliberazione dell'Ufficio di presidenza 19 dicembre 2022, n. 415, di approvazione del documento tecnico di accompagnamento e di assegnazione delle quote di bilancio al segretario generale e al datore di lavoro, per gli anni 2023-2024- 2025;

VISTO il decreto del segretario generale 23 dicembre 2022, n. 626, di approvazione del bilancio finanziario gestionale per gli anni 0000-0000-0000 per il funzionamento del Consiglio regionale e di assegnazione delle quote ai dirigenti, che per gli affidamenti in house ha individuato il responsabile unico del procedimento nel dirigente del servizio nell'ambito del quale è incardinato l'ufficio competente per materia;

VISTO il d.lgs. 18 aprile 2016, n. 50 (Codice dei contratti pubblici) e in particolare:

‒ gli articoli 5 e 192 che disciplinano il regime degli affidamenti in house;

‒ l’art. 37, comma 7, ai sensi del quale le centrali di committenza possono, tra l'altro “aggiudicare appalti, stipulare ed eseguire i contratti per conto delle amministrazioni aggiudicatrici e degli enti aggiudicatori”;

VISTO il d.lgs. 19 agosto 2016, n. 175 (Testo unico in materia di società a partecipazione pubblica) e in particolare:

‒ l'articolo 4, che definisce le finalità perseguibili mediante l'acquisizione e la gestione di partecipazioni pubbliche;

‒ l'articolo 16, comma 7, secondo il quale le società in house sono tenute all'acquisto di lavori, beni e servizi secondo la disciplina di cui al decreto legislativo 50/2016, fermo restando quanto previsto dagli articoli 5 e 192 del medesimo decreto legislativo;

VISTO l'articolo 1 della L. 27 dicembre 2006, n. 296, e in particolare il comma 455 secondo il quale, per la razionalizzazione della spesa, le regioni possono costituire centrali di acquisto, anche unitamente ad altre regioni, che operino quali centrali di committenza ai sensi del codice dei contratti pubblici, in favore, tra l'altro, delle amministrazioni ed enti regionali;

VISTO l'articolo 1, comma 512, della L. 208/2015, che dispone che le amministrazioni pubbliche e le società inserite nel conto economico consolidato della pubblica amministrazione, come individuate dall'Istituto nazionale di statistica (ISTAT), ai sensi dell'articolo 1 della L. 196/2009, provvedano ai propri approvvigionamenti di beni e servizi informatici e di connettività esclusivamente tramite gli strumenti di acquisto e di negoziazione di Consip S.p.A. o dei soggetti aggregatori, ivi comprese le centrali di committenza regionali, per i beni e i servizi disponibili presso gli stessi soggetti;

VISTI:

‒ il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (di seguito, RGPD);

‒ il d.lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTI altresì:

‒ il d.lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale);

‒ il d.lgs. 18 maggio 2018 n. 65, di attuazione della direttiva UE 2016/1148 (Direttiva “NIS” - Network and Information Security), intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi e che individua i soggetti competenti alla loro implementazione;

RICHIAMATI:

‒ il Piano Triennale per l’Informatica nella Pubblica Amministrazione - Aggiornamento 2022-2024, approvato con D.P.C.M. del 17 gennaio 2023;

‒ le Circolari dell'Agenzia per l'Italia digitale del 9 aprile 2018 n. 2 “Criteri per la qualificazione dei Cloud Service Provider per la PA” e n. 3 “Criteri per la qualificazione di servizi SaaS per il Cloud della PA”;

‒ la Determinazione dell'Agenzia per l'Italia digitale del 22 settembre 2020, n. 419 “Chiarimenti applicativi in merito alle Circolari AGID nn. 2 e 3 del 9 aprile 2018, recanti i criteri per la qualificazione dei Cloud Service Provider per la PA e dei servizi SaaS per il Cloud della PA”;

VISTA la l.r. 16 marzo 1981, n. 15, “Disciplina del sistema informativo regionale”, istitutiva di Lombardia Informatica S.p.A. (LIspa), e in particolare:

‒ l'articolo 2, comma 1, lettera a), secondo cui il sistema informativo regionale comprende “il sistema informativo inerente ai processi gestionali e operativi dei servizi e degli uffici dipendenti dal Consiglio e dalla Giunta regionali ed a quelli definiti dalle singole leggi”;

‒ l’articolo 11, comma 1, secondo cui “per la realizzazione e gestione del sistema informativo la regione assume una partecipazione nella società Lombardia Informatica S.p.A. avente per oggetto sociale la fornitura di servizi e prestazioni informatiche”;

DATO ATTO che, sulla base della l.r. 3 aprile 2019, n. 6, in data 1 luglio 2019, è divenuta efficace l'incorporazione di Arca S.p.A. in LIspa, contestualmente, LIspa ha assunto la denominazione di Azienda Regionale per l'Innovazione e gli Acquisti S.p.A. (d'ora innanzi anche Aria S.p.A.), e che, in data 1 luglio 2020, è divenuta efficace l'incorporazione di Infrastrutture Lombarde S.p.A. (ILspa) in Aria S.p.A. e pertanto, dalle suddette date, i riferimenti ad Arca, LIspa e ILspa contenuti in leggi, regolamenti o altri atti si intendono fatti ad Aria S.p.A.;

VISTA la l.r. 28 dicembre 2007, n. 33, che assegna a ARIA S.p.A., tra l’altro, le funzioni di centrale di committenza, anche in relazione all'acquisizione di forniture e servizi informatici e di connettività;

VISTA la legge regionale 27 dicembre 2006, n. 30, che:

‒ all’articolo 1, comma 1, stabilisce che il Sistema regionale (Si.Reg.) è costituito, in attuazione dell’articolo 48 dello Statuto di autonomia della Lombardia, dalla Regione e dagli enti di cui agli allegati A1 ed A2 della medesima legge;

‒ all’articolo 1, comma 1 quater, individua lo strumento della convenzione per declinare le modalità di raccordo tra la Regione e gli enti del sistema;

‒ all’articolo 1, comma 2, lettera a), stabilisce che “al fine di contribuire alla realizzazione degli obiettivi della programmazione regionale, al raggiungimento degli obiettivi di finanza pubblica, mediante il contenimento e la razionalizzazione della spesa, nonché al fine di garantire la valorizzazione degli investimenti: a) gli enti di cui all’allegato A1 svolgono tra loro e a favore della Giunta regionale e Consiglio regionale le prestazioni dirette alla produzione di beni e servizi strumentali alle rispettive attività”;

RICHIAMATO lo statuto di Aria S.p.A., che stabilisce, all’articolo 4, che la stessa operi secondo il modello dell’in house providing e svolga attività di centrale di committenza, potendo anche “aggiudicare e stipulare appalti di forniture, servizi e lavori destinati ad uno o più Enti”;

VISTO l'articolo 78 bis della l.r. 31 marzo 1978 n. 34, che stabilisce che “il programma delle attività è approvato dalla Giunta regionale unitamente al documento tecnico di accompagnamento al bilancio di previsione regionale. L’avvenuta approvazione da

parte della Giunta regionale dei programmi di attività e dei relativi prospetti di raccordo degli enti dipendenti e delle società in house costituisce autorizzazione all’avvio delle relative attività”;

VISTE le deliberazioni dell’Autorità nazionale Anticorruzione (ANAC):

‒ 27 maggio 2020, n. 468, che ha disposto l'iscrizione di Aria S.p.A. nell'elenco società in house ai sensi dell'articolo 192 del d.lgs. 50/2016 (numero iscrizione 0009693);

‒ 4 settembre 2019, n. 781, che ha dato atto delle funzioni di soggetto aggregatore, svolte da Aria S.p.A.;

VISTA la D.G.R. 28 dicembre 2022 n. XI/7748, con cui sono stati approvati il Piano Pluriennale delle attività di Aria S.p.A. per il triennio 2023-2025 e il prospetto di raccordo che individua i finanziamenti autorizzati a carico del bilancio regionale;

VISTA la D.G.R. 30 novembre 2022, n. XI/7409, di approvazione della convenzione quadro tra la Giunta regionale ed Aria S.p.A. per il triennio 0000-0000-0000, e inserita nella raccolta di Regione Lombardia “Convenzioni e Contratti” RCC n. 13200 del 13 dicembre 2022 (d'ora innanzi, anche, “Convenzione quadro”), e in particolare l’articolo

13 che disciplina i rapporti anche con il Consiglio regionale, stabilendo al comma 4 che “gli Enti di cui all'allegato A1 della l.r. 30/2006 ed il Consiglio regionale che abbiano necessità di avvalersi della Società per lo svolgimento delle attività di cui al precedente articolo 3, sottoscrivono, anche ai sensi dell’art. 1 comma 3-bis della l.r.

n. 27/2003, incarichi coerenti con quanto previsto nella presente Convenzione Quadro”;

VISTO il decreto dirigenziale U.O. Sistemi Informativi e ICT della Giunta regionale 15 giugno 2017, n. 7130, richiamato dall'articolo 17 comma 2 della Convenzione quadro, con il quale sono stati approvati, tra gli altri, il tariffario LISpa su risorse professionali e infrastrutturali e successivi aggiornamenti;

RICHIAMATO il proprio decreto 20 gennaio 2021, n. 17, con il quale:

‒ è stato affidato ad Aria S.p.A., società in house di Regione Lombardia, il servizio di infrastruttura tecnologica comprensivo della fornitura, installazione e manutenzione delle infrastrutture hardware presso i data center di Aria S.p.A. utilizzate per l’erogazione dei servizi al Consiglio regionale, per il biennio 2021- 2022 di cui all'incarico 21C07, “Infrastruttura Tecnologica 2021-2022 – Consiglio Regionale”;

‒ è stato approvato per l'esecuzione dell'incarico il corrispettivo contrattuale di euro 186.306,84 (oltre IVA) ed è stata impegnata la spesa di euro 227.294,34 (IVA inclusa), imputandola sul bilancio finanziario gestionale per gli anni 2021- 2022-2023, al capitolo 8509 “Servizi informatici e di telecomunicazioni”, codifica di V livello del piano dei conti finanziario U.1.03.02.19.005 “Servizi per i sistemi e relativa manutenzione” sulle annualità 2021 e 2022;

RICHIAMATI altresì:

‒ il proprio decreto 16 aprile 2021, n. 142, “Individuazione dei trattamenti e definizione dei compiti assegnati dal Consiglio regionale della Lombardia all'Azienda regionale per l'Innovazione e gli acquisti S.p.A. (ARIA S.p.A.) come responsabile del trattamento dei dati personali ai sensi dell'art. 28, par. 3, del Regolamento UE 2016/679 del 27 aprile 2016, per i servizi affidati con decreto 20 gennaio 2021, n. 17, e con decreto 3 febbraio 2021, n. 36”;

‒ il proprio decreto 28 dicembre 2022, n. 639, e l'allegato schema di variazione n. 1 all'incarico 21C07, sottoscritto dal direttore generale di Aria S.p.A. in data 23 dicembre 2022, che ha, tra l'altro, differito il termine finale del contratto, di cui al citato decreto dirigenziale 17/2021, a parità di corrispettivo complessivo massimo, dal 31 dicembre 2022 al 30 giugno 2023, fermo l'avvio della FASE 1 (“Full managed”) dal 1 gennaio 2023, con livelli di servizio ridotti;

‒ il proprio decreto 23 febbraio 2023, n. 67, con cui sono stati approvati gli allegati “Aggiornamento Allegato A1 - Baseline di riferimento al 31/12/2022” e “Aggiornamento Allegato A3 - Cronoprogramma”, di modifica agli allegati A1 e A3 dell'incarico 21C07 di cui al proprio decreto 17/2021;

RICHIAMATA la deliberazione dell’Ufficio di presidenza del 30 gennaio 2023, n. 14, “Programma biennale per l’acquisizione di forniture e servizi necessari al funzionamento del Consiglio regionale per gli anni 2023 e 2024”, che:

‒ prevede che le procedure di acquisizione di beni e servizi siano svolte in forma aggregata, previo accordo con la Giunta regionale o con gli altri enti del sistema regionale di cui all’allegato A1 alla legge regionale n. 30 del 2006 o con altri enti o Amministrazioni, ogniqualvolta la natura dei beni e dei servizi da acquisire lo consenta, valorizzando il ruolo di Aria S.p.A. in qualità di soggetto aggregatore e di fornitore di servizi informatici specifici;

‒ autorizza il segretario generale, o i responsabili unici del procedimento dallo stesso individuati, a procedere all’acquisizione dei beni e dei servizi previsti negli Allegati 1) e 2), nei limiti degli stanziamenti di spesa assegnati con il documento tecnico di accompagnamento al bilancio;

‒ nell'allegato 1, scheda B, al numero S80053570158202200006, contempla il “Servizio Infrastruttura Tecnologica Data Center e gestione implementazione dei server” del Consiglio regionale per gli anni 0000-0000-0000, per una spesa complessiva di euro 290.000;

RICHIAMATI altresì:

‒ la deliberazione dell’Ufficio di presidenza 30 gennaio 2023, n. 13, recante “Approvazione del Piano integrato di attività e organizzazione (PIAO) del Consiglio regionale della Lombardia, triennio 2023 – 2025 (anno 2023)”, che stabilisce, tra l’altro, la strategia digitale dell’Amministrazione, in continuità con il piano di sviluppo dell’informatizzazione per la XI legislatura di cui all’allegato

3) della D.U.P. 239/2021, e in tale ambito il completamento della migrazione dell’infrastruttura server virtuale verso il data center di Aria S.p.A. (Polo Strategico Nazionale), il passaggio progressivo dei servizi in modalità full managed, la transizione al cloud, l’innalzamento del livello di sicurezza;

‒ il decreto del segretario generale ‒ 10 marzo 2023, n. 92 recante

“Approvazione dei progetti di attuazione della sottosezione performance del Piano integrato di attività e organizzazione 2023- 2025 (anno 2023). Individuazione delle strutture responsabili” e in particolare l’obiettivo 11 (Aumentare la sicurezza del patrimonio informativo e garantire l’erogazione dei servizi digitali) che tra i target 2023 prevede l’affidamento ad Aria S.p.A. di un nuovo incarico pluriennale per i servizi infrastrutturali che preveda un intervento di load balancing sulla intranet e il passaggio della gestione dei servizi alla classe di servizio full managed;

VISTO lo schema di incarico 23C07, con i relativi allegati, definito d’intesa con Aria S.p.A., di affidamento ad Aria S.p.A. stessa, in qualità di società in house e centrale di committenza, del servizio di infrastruttura tecnologica presso i propri data center Aria

S.p.A. utilizzati per l’erogazione dei servizi al Consiglio regionale, per il biennio decorrente dal 1 luglio 2023 al 30 giugno 2025;

CONSIDERATO che l’affidamento soddisfa i requisiti di legge, gli obiettivi di efficienza, di economicità e di qualità del servizio, nonché l’ottimale impiego delle risorse pubbliche, tenuto conto che:

‒ il servizio è coerente alla strategia digitale dell’Amministrazione e si pone in coerente continuità con il citato incarico 21C07;

‒ il servizio rappresenta un’attività strumentale al funzionamento del Consiglio regionale e la gestione da parte di Aria S.p.A. consente all'Amministrazione di liberare risorse da destinare alle principali attività di competenza;

‒ il servizio rientra appieno nelle finalità per le quali è stata stipulata la convenzione quadro con Aria S.p.A.;

‒ analoga tipologia di servizio è resa da Aria S.p.A. a favore della Regione e degli enti del Si.Reg. e si pone in continuità con il contratto in essere;

‒ la gestione centralizzata del servizio consente il conseguimento di economie di scala, maggiore sicurezza e uniformità dei sistemi utilizzati e dei livelli di servizio garantiti;

‒ i costi relativi alle attività svolte dal personale di Aria S.p.A. non sono poste a carico del Consiglio regionale;

‒ Aria S.p.A. per l’erogazione del servizio espone i soli costi delle prestazioni sostenuti in attuazione dei contratti stipulati a seguito dell’espletamento di procedure ad evidenza pubblica, conformi alle norme in materia, come descritto nello schema di incarico;

DATO ATTO altresì che l’incarico risulta conforme alle norme e i provvedimenti sopra citati e altresì:

‒ al Programma Triennale Integrato di Sicurezza e Privacy del Sistema Federato di Regione Lombardia, approvato con Deliberazione di Giunta Regionale (di seguito DGR) n. XI/2683 del 23 dicembre 2019;

‒ al Piano Triennale per la Trasformazione Digitale della Regione Lombardia 2021- 2023, approvato con DGR n. XI/3833 del 17 novembre 2020;

‒ all’attività PPA2023_35E “Infrastruttura Tecnologica 2023-2025” del Piano Pluriennale 2023-2025 di Aria S.p.A.;

RITENUTO dunque di affidare ad Aria S.p.A. il servizio in oggetto, per il biennio decorrente dal 1 luglio 2023 al 30 giugno 2025 al corrispettivo complessivo di euro 237.704,92 (IVA esclusa), in qualità di società in house e centrale di committenza regionale;

RITENUTO di impegnare a favore di Aria S.p.A. la spesa complessiva di euro 290.000,00 (IVA inclusa), imputandola sul bilancio finanziario gestionale per gli anni 0000-0000-0000, al capitolo 8509 “Servizi informatici e di telecomunicazioni”, codifica di V livello del piano dei conti finanziario U.1.03.02.19.005 “ Servizi per i sistemi e relativa manutenzione” come segue:

‒ annualità 2023: euro 67.000,00;

‒ annualità 2024: euro 145.000,00;

‒ annualità 2025: euro 78.000,00;

VISTA la nota elettronica del 16 maggio 2023 con cui il dirigente dell’ufficio Segreteria dell'Ufficio di Presidenza, Prevenzione della corruzione, Trasparenza e Privacy, sulla base delle informazioni fornite dalla struttura richiedente, ha confermato la necessità di designazione del Fornitore quale responsabile del trattamento ai sensi dell’art. 28

del Regolamento UE 2016/679 (GDPR) per il servizio in argomento, e ha trasmesso il relativo atto di designazione, che è attualmente oggetto di ulteriori approfondimenti in relazione in particolare alle questioni attinenti alla ricognizione delle misure di sicurezza applicate e alle prevista prossima migrazione al cloud;

RITENUTO quindi di designare Aria S.p.A. quale responsabile del trattamento dei dati personali, ai sensi dell’articolo 28 RGPD, secondo quanto stabilito nello schema di incarico in argomento, che rinvia per quanto compatibile all’atto di nomina approvato con il decreto dirigenziale 16 aprile 2021, n. 142, nelle more della stipulazione di un nuovo atto ai sensi dell’art. 28 RGPD;

VISTO il rapporto del 16 giugno 2023, con cui la u.o. Prevenzione, protezione e sicurezza sul luogo di lavoro e servizi ausiliari ha dichiarato che per il servizio in oggetto, sulla base delle informazioni trasmesse dalla struttura richiedente, non sussistono rischi di natura interferenziale, in quanto l’attività sarà interamente svolta al di fuori dei locali del Consiglio regionale della Lombardia, e che non vi è, pertanto, necessità di redigere il Documento Unico di Valutazione dei Rischi Interferenziali (DUVRI), come previsto dai commi 1 e 3 dell’art. 26 del D. Lgs. 81/2008 (Testo Unico in materia di salute e sicurezza sul lavoro);

DATO ATTO che sono state acquisite le dichiarazioni sull'insussistenza di situazioni, anche potenziali, di conflitto di interesse ai sensi dell'articolo 42 del d.lgs. 50/2016, dei soggetti interessati dalla procedura (prot CRL.2023.0009379 del 9 giugno 2023, CRL.2023.0009601 e CRL.2023.0009621 del 14 giugno 2023);

RITENUTO di individuare il referente dell'esecuzione del contratto per il Consiglio regionale, competente anche alla liquidazione della spesa e alla eventuale proposta di modifica dell'incarico e degli impegni di spesa, nel dirigente dell'ufficio contratti e ICT e di nominare come referenti operativi il responsabile dell’U.O. amministrazione digitale e il professional sistemi, rete e sicurezza ICT;

DATO ATTO che, ai sensi del decreto del segretario generale 415/2022, il sottoscritto, in qualità di dirigente del Servizio Programmazione finanziaria, contratti e ICT e di responsabile del contratto, procede alla sottoscrizione dello schema di incarico e del relativo allegato 1, per conto del Consiglio regionale;

ATTESTATA, da parte del dirigente proponente, la rispondenza del contenuto del presente atto al principio della competenza finanziaria potenziata di cui al d.lgs. 118/2011, stante l’imputazione della spesa nell'esercizio finanziario nel quale l’obbligazione giuridica venga a scadenza;

VERIFICATA la regolarità dell’istruttoria e della proposta di decreto, sia dal punto di vista tecnico sia sotto il profilo della legittimità;

VISTO il rapporto sulla disponibilità dei fondi e la prenotazione della spesa ai sensi dell’articolo 15 del regolamento contabile,

DECRETA

1. di approvare lo schema di incarico 230C7, con i relativi allegati, annesso al presente decreto quale parte integrante e sostanziale, relativo al servizio di infrastruttura tecnologica presso i data center di Aria S.p.A. utilizzati per l’erogazione dei servizi al Consiglio regionale per il biennio 1 luglio 2023 - 30 giugno 2025;

2. di affidare ad Aria S.p.A., Azienda Regionale per l’Innovazione e gli Acquisti, codice fiscale e partita IVA 05017630152, il servizio di cui al punto 1, conformemente a quanto previsto nell'articolo 13 della Convenzione quadro tra Giunta e Aria S.p.A., di cui alla DGR 30 novembre 2022, n. XI/7409, e ai sensi del decreto del segretario generale 23 dicembre 2022, n. 626, dal 1 luglio 2023 al 30 giugno 2025;

3. di approvare il corrispettivo contrattuale di euro 237.704,92 (XXX xxxxxxx) per l’esecuzione del servizio in argomento;

4. di impegnare a favore di Aria S.p.A. la spesa complessiva di euro 290.000,00 (IVA inclusa), imputandola sul bilancio finanziario gestionale per gli anni 2023- 2024-2025, al capitolo 8509 “Servizi informatici e di telecomunicazioni”, codifica di V livello del piano dei conti finanziario U.1.03.02.19.005 “Servizi per i sistemi e relativa manutenzione” come segue:

‒ annualità 2023: euro 67.000,00;

‒ annualità 2024: euro 145.000,00;

‒ annualità 2025: euro 78.000,00;

5. di nominare, per il Consiglio regionale, quale responsabile dell’esecuzione dell’incarico la dirigente dell’ufficio contratti e ICT e quali referenti operativi responsabile dell’U.O. amministrazione digitale e il professional sistemi, rete e sicurezza ICT;

6. di designare Aria S.p.A. quale responsabile del trattamento dei dati personali, ai sensi dell’articolo 28 RGPD secondo quanto stabilito nello schema di incarico 230C7, che rinvia, per quanto compatibile, all’atto di nomina di cui al decreto dirigenziale 16 aprile 2021, n. 142, nelle more della stipulazione di un nuovo atto;

7. di procedere alla sottoscrizione dell'incarico in qualità di referente responsabile del contratto per il Consiglio regionale;

8. di trasmettere il presente decreto, unitamente all’incarico 230C7, ad Aria S.p.A. per l’acquisizione della sottoscrizione dal legale rappresentante.

XXXXXXX XXXXXX

Documento sottoscritto digitalmente, ai sensi dell’articolo 24

del d.lgs. 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale)

Incarico – Infrastruttura Tecnologica Consiglio Regionale della Lombardia

TRA

Consiglio Regionale della Lombardia (di seguito, per brevità, “Ente” o “CRL” o “Consiglio regionale”) con sede in Xxxxxxx Xxxxxxx, Xxx X. Xxxxx 00 Xxxxxx, C.F. 80053570158 rappresentata dal xxxx. Xxxxxxx Xxxxxx, in qualità di Dirigente del Servizio Programmazione finanziaria, contratti e ICT

AZIENDA REGIONALE PER L'INNOVAZIONE E GLI ACQUISTI S.P.A. (di seguito, per brevità,

“ARIA” o “Società”) con sede in Xxxxxx, Xxx Xxxxxxxx Xxxxxxxxx 00, C.F. e P.IVA 05017630152, rappresentata dal xxxx. Xxxxxxx Xxxxxx, in qualità di Direttore Generale

individuate nel seguito anche come “Parti”.

Codice incarico:

23C07

Imposta di bollo assolta in modo virtuale ai sensi dell'articolo 15 del DPR 642/1972 - Autorizzazione n. 15275 del 17/01/2023

PREMESSA

Le prestazioni descritte nell’incarico rientrano nell’ambito delle attività di sviluppo e gestione del Sistema Informativo Regionale e sono in linea con quanto previsto da:

- Convenzione in essere tra Regione Lombardia e la Società Azienda regionale per l’innovazione e gli acquisti S.p.A. – ARIA S.p.A. approvata con DGR n. XI/7409 del 30 novembre 2022 (inserita nella raccolta di Regione Lombardia “Convenzioni e Contratti” RCC n. 13200 del 13 dicembre 2022) (di seguito Convenzione);

- Piano triennale della trasformazione digitale approvata con deliberazione della Giunta regionale n. 3833 del 17/11/2020;

- Programma biennale per l’acquisizione di forniture e servizi necessari al funzionamento del Consiglio regionale per gli anni 2023 e 2024, approvato con deliberazione dell’Ufficio di presidenza 30 gennaio 2023, n. 14;

- Piano integrato di attività e organizzazione (PIAO) del Consiglio regionale della Lombardia, triennio 2023 – 2025 (anno 2023), approvato con deliberazione dell’Ufficio di presidenza 30

gennaio 2023, n. 14.

La Convenzione, che si intende interamente richiamata nel presente incarico, prevede all’art. 13, comma 4 (Rapporti con la Giunta regionale, il Consiglio regionale e con gli Enti del SiReg) che “gli Enti di cui all'allegato A1 della l.r. 30/2006 ed il Consiglio regionale che abbiano necessità di avvalersi della Società per lo svolgimento delle attività di cui al precedente articolo 3, sottoscrivono, anche ai sensi dell’art. 1 comma 3-bis della l.r. n. 27/2003, incarichi coerenti con quanto previsto nella presente Convenzione Quadro”.

In ragione del fatto che:

− l’art. 1, comma 2 della Legge Regionale 27 dicembre 2006, n. 30, stabilisce che: “Al fine di contribuire alla realizzazione degli obiettivi della programmazione regionale, al raggiungimento degli obiettivi di finanza pubblica, mediante il contenimento e la razionalizzazione della spesa, nonché al fine di garantire la valorizzazione degli investimenti: a) gli enti di cui all’allegato A1 svolgono tra loro e a favore della Giunta regionale e Consiglio regionale le prestazioni dirette alla produzione di beni e servizi strumentali alle rispettive attività…”;

− ARIA S.p.A. svolge, tra l’altro, in base alla l.r. n. 33/2007, funzioni di Centrale di Committenza, anche in relazione all'acquisizione di forniture e servizi informatici e di connettività, e tali attività non sono soggette a valutazione di congruità in quanto non reperibili sul mercato in regime di concorrenza;

− ARIA S.p.A. svolge funzioni di Soggetto Aggregatore, come riconosciuto dalla delibera ANAC n.

781 del 4 settembre 2019;

− ARIA S.p.A. assicura lo sviluppo e la gestione del Sistema Informativo Regionale (SIR) e fornisce a Regione Lombardia il supporto strategico per l’analisi, l’elaborazione e l’utilizzo del patrimonio informativo regionale;

− l’art. 4 dello Statuto societario di ARIA S.p.A. prevede che la società operi secondo il modello dell’in house providing e con la deliberazione 27 maggio 2020, n. 468 ANAC ha disposto l'iscrizione di ARIA S.p.A., nell'elenco società in house ai sensi dell'articolo 192 del d.lgs. 50/2016 (numero iscrizione 0009693);

le attività di ARIA S.p.A. sono in larga parte inquadrabili in quelle tipiche di centrale di committenza/soggetto aggregatore, comprendenti le fasi di programmazione, progettazione, affidamento degli appalti e di stipulazione ed esecuzione dei relativi contratti, come previsto dall’articolo 37, comma 7 del d.lgs. n. 50/2016, comprese quelle relative al coordinamento e governo complessivo del Sistema Informativo Regionale (SIR), anche dal punto di vista della sicurezza informatica.

Per quanto riguarda le ulteriori, residuali attività, la società si avvale di fornitori di mercato, selezionati attraverso le procedure di legge o, se svolte in autoproduzione, fa riferimento alle tariffe relative alle

risorse professionali per i servizi informatici approvate con il decreto di Regione Lombardia n. 7130 del 15.06.2017, che, a seguito di benchmark, sono state considerate congrue rispetto al mercato (vedi art. 17 della Convenzione vigente).

I documenti di seguito elencati ed allegati costituiscono parte integrante e sostanziale dell’incarico.

• Allegato A1: Cronoprogramma;

• Allegato A2: Schede servizio di riferimento;

• Allegato A3: Baseline al 30 giugno 2023, che rappresenta l’elenco completo dei server che erogano i servizi del Consiglio Regionale suddiviso in base alla Service Offering associata;

• Allegato A4: Listino costi unitari.

Tutto ciò premesso e considerato le parti, come sopra rappresentate, convengono e stipulano quanto segue.

ACRONIMI E GLOSSARIO

XXXX X.x.X.	Xxxxxxx Regionale per l’Innovazione e gli Acquisti S.p.A.
OTE	Offerta Tecnico Economica
RL	Regione Lombardia
SIR CRL	Sistema Informativo Regionale Consiglio regionale della Lombardia
SISS	Sistema Informativo Socio-Sanitario

OGGETTO DELL’INCARICO

Nel periodo 2021 – 2023, in attuazione dell’incarico n. 21C07 (recante Servizio di infrastruttura tecnologica comprensivo della fornitura, installazione e manutenzione delle infrastrutture hardware presso i data center di Aria s.p.a. utilizzate per l’erogazione dei servizi al Consiglio regionale), di cui ai decreti dirigenziali CRL 17/2021, 639/2022 e 67/2023, in scadenza il 30 giugno 2023, Aria S.p.A. ha gestito la migrazione del data center consiliare presso il proprio data center e progressivamente assunto la gestione dei servizi infrastrutturali, dapprima in modalità IAAS e, dal 1 gennaio 2023, in modalità full managed.

In continuità con il suddetto incarico, a partire dal 1 luglio 2023, le attività di cui al presente incarico riguardano le seguenti aree tematiche:

1. Gestione e manutenzione dei servizi infrastrutturali, ad oggi resi in modalità Full Managed nelle classi di servizio di cui all’allegato A3 (lettera A); tali classi di servizio sono state concordate con ARIA sulla base delle esigenze di continuità operativa espresse dal Consiglio e dello stato di aggiornamento dei sistemi operativi installati sui i server;

2. Processi operativi a supporto (lettera B), comprensivi dell’analisi delle nuove esigenze;

3. Migrazione dei servizi dal datacenter onprem sito in via Taramelli a Milano a quello di AWS in oncloud (lettera C)

4. Trasformazione digitale dei servizi ad oggi erogati dal CRL (lettera D);

5. Connettività (lettera E).

A) SERVIZI INFRASTRUTTURALI

Nell’ambito della gestione e manutenzione dei servizi infrastrutturali, ARIA mette a disposizione due modalità di erogazione: IAAS o Full Managed.

Qui di seguito una rappresentazione sintetica di quelli che sono le aree tematiche incluse in ogni modalità di erogazione:

Servizio

Descrizione

Offerta IAAS

Offerta Full Managed

Connettività WAN

La componente di servizio include tutte le attività di networking finalizzate alla corretta erogazione dei servizi di Regione Lombardia e degli Enti che hanno aderito ad uno o più servizi infrastrutturali erogati da ARIA S.p.A.

Rientrano tra le attività incluse in tale ambito: attivazione, realizzazione, configurazione, gestione, monitoraggio e aggiornamento tecnologico degli apparati di rete, oltre alla

connettività inter e intra data center, se non fornita direttamente da Regione Lombardia.

Sicurezza perimetrale

Ogni Datacenter è dotato di un livello di sicurezza perimetrale strutturato e dimensionato per garantire l’individuazione e la

protezione da attacchi informatici.

La sicurezza perimetrale è garantita da sistemi di protezione perimetrale (Firewall) basati su tecnologia leader di mercato.

Questo servizio include la fornitura e la manutenzione delle infrastrutture e delle tecnologie che implementano i servizi di sicurezza infrastrutturale. Sono altresì incluse le attività di gestione legate alla configurazione, gestione e manutenzione

degli stessi.

Computing

Tale servizio include la fornitura, installazione e manutenzione delle infrastrutture HW presenti nei Data Center di ARIA.

Le principali attività incluse in tale servizio sono:

- la fornitura delle componenti hw, sia in modalità on premises sia in modalità on cloud, necessarie per l’erogazione dei servizi di business e relative evoluzioni;

- le installazioni dell’hardware e del software di base, la loro configurazione, personalizzazione ed eventuale distribuzione presso sistemi periferici in relazione ad aggiornamenti di configurazioni esistenti;

- la gestione dei contratti di manutenzione con i vendor delle

tecnologie hw acquisite o dei public cloud provider su cui sono ospitati i servizi di business.

Storage

Questo servizio include la fornitura e la manutenzione delle infrastrutture di archiviazione dei dati. Sono altresì incluse le attività di gestione legate alla memorizzazione, al salvataggio e all’archiviazione dei dati nelle infrastrutture storage.

Le principali attività incluse in tale servizio sono:

- gestione file e directory system;

- gestione Storage, Storage Array e componenti necessari alla realizzazione di SAN e NAS;

- effettuare l’assegnazione degli spazi, a prescindere dalla modalità di provisioning dello storage, che potrà essere “on premise”, ovvero “Cloud”;

- gestire le eventuali soluzioni di storage virtualization e storage tiering;

- disporre una copia di sicurezza dei dati e degli ambienti in DR.

Data Recovery

Il servizio rappresenta la modalità di salvataggio degli ambienti presenti sul Data Center.

Le principali attività incluse in tale servizio sono l’esecuzione di shapshot settimanali delle VM con retention di un mese.

BackUp & Recovery

Il servizio è rappresentato dalla predisposizione ed esecuzione dei salvataggi degli ambienti presenti sul Data Center ed alla definizione di tutte le modalità di salvataggio dei dati.

Le principali attività incluse in tale servizio sono:

- gestione Backup & Restore;

- esecuzione dei test del Restore;

- verificare la corretta cifratura dei Backup.

Licenze Sistemi Operativi

Il servizio rappresenta l’erogazione di tutte le licenze dei sistemi operativi utilizzati nelle VM presenti all’interno del Data Center comprensivo di tutti gli aggiornamenti.

Licenze DataBase

Il servizio rappresenta l’erogazione di tutte le licenze dei Data Base utilizzati nelle VM presenti all’interno del Data Center comprensivo di tutti gli aggiornamenti.

(Opzionale)

Antivirus

Il servizio è centralizzato e mediante un agente su ogni server permette di proteggere da virus ed altre minacce informatiche.

Il servizio garantisce l’aggiornamento costante dell’antivirus

sulla piattaforma centrale e il conseguente aggiornamento in tempo reale degli agent garantendo la protezione su ogni server.

Monitoraggio

Il servizio consiste nell’installazione e configurazione degli agenti di monitoraggio ed il monitoraggio dei sistemi per la rilevazione delle performance e la risoluzione di malfunzionamenti hardware e software.

Capacity

Il servizio consiste nel monitoraggio dell’utilizzo delle risorse dei servizi attuando delle politiche di adeguamento delle risorse in funzione a dei modelli previsionali di simulazione di crescita.

Supporto di I e II livello

Il servizio include il supporto all’erogazione del servizio. Le principali attività sono:

- Supporto da parte delle figure di IT Service Manager per ogni tipo di processo ITIL

- Supporto sistemistico legato alla connettività, sicurezza perimetrale o disponibilità delle VM che erogano il servizio.

Supporto di III livello

Il servizio include tutte le attività funzionali alla corretta erogazione dei servizi nonché la progettazione e realizzazione delle evoluzioni delle componenti infrastrutturali a garanzia della continuità operativa degli stessi.

Le principali attività incluse in tale servizio sono:

- la conduzione operativa dei sistemi;

- la definizione, la realizzazione, la schedulazione e l’esecuzione delle procedure di gestione dei sistemi e dei collegamenti;

- la configurazione e la definizione delle modalità di utilizzo dello storage in termini di regole di allocazione e movimentazione dei dati;

- la gestione dei backup/restore dei dati di sistema e l’effettuazione dei test del restore;

- l’esecuzione di test di alta affidabilità e di resilienza per le configurazioni “high availability” dei sistemi (non oggetto della fornitura);

- l’esecuzione di test di Disaster Recovery per i sistemi/servizi, se richiesto;

- la verifica del corretto funzionamento delle funzionalità di continuità operativa per i servizi che lo richiedono;

- il controllo e l’aggiornamento costante delle versioni software degli apparati, sistemi operativi, applicazioni middleware, versioni database sulla base della documentazione legata agli aggiornamenti software ed alle matrici di compatibilità/interoperabilità;

- gli interventi di porting o di migrazioni tra versioni software e piattaforme (hardware o Software) diverse;

- interventi di migrazione da piattaforma on-premises verso piattaforma Cloud e viceversa con la replica di tutte le componenti del servizio da piattaforma Cloud verso il DataCenter del Committente dipendentemente dalla classe assegnata al servizio;

- la realizzazione di funzioni aggiuntive, modificate o complementari al sistema esistente volte a recepire le evoluzioni normative (ad es. in materia di protocollo informatico e gestione documentale così come mirate al rispetto di quanto dettato dagli Enti competenti in materia di privacy, sicurezza informatica, conservazione e protezione dei dati);

- la dismissione sicura di servizi ed apparati hardware con evidenza di quanto erogato e certificazione di dismissione

in caso di apparati hardware.

Sono altresì incluse le attività di gestione operativa per garantire il funzionamento ottimale dei DB.

Le principali attività incluse in tale servizio sono:

• gestione, verifica, pianificazione e adeguamento delle allocazioni dello spazio, per rispondere alle necessità di crescita o storicizzazione dei dati;

• attività di riorganizzazione oggetti per garantire il massimo livello di performance;

• attività di performance e tuning e mantenimento dei piani ottimali di esecuzione delle query;

• gestione, configurazione, patching e maintenance, tramite le appropriate operazioni e tools a supporto di DB e Middleware.

B) PROCESSI OPERATIVI A SUPPORTO

I processi ITIL e l’Application Performance Management sono a supporto dei servizi infrastrutturali, a prescindere dalla classe di servizio, presidiando le interdipendenze che possono essere comuni a più aree di servizio e che necessitano pertanto di un coordinamento strutturato.

I servizi di gestione sono organizzati e strutturati secondo un approccio process-driven, in cui la complessa struttura organizzativa/operativa dei servizi è scomposta in una serie di processi integrati e correlati tra loro in accordo con le best practices ITIL.

Come da linee guida ITIL, i processi e la corretta gestione delle varie tipologie di attività sottese a change, incident, request, aggiornamento CMDB permettono l’efficiente erogazione dei servizi ed il raggiungimento dei livelli di servizio contrattualizzati.

Nei paragrafi che seguono vengono riportati i seguenti processi:

• Incident management;

• Problem management;

• Change management;

• Request fulfillment;

• Capacity management

Incident Management

L’Incident Management identifica le attività che, a seguito di riscontro o segnalazione di eventi anomali nell’uso di una soluzione ICT o nella gestione dei DC, coinvolgono ARIA nel ripristino dell’operatività originaria del servizio o degli impianti nel più breve tempo possibile, minimizzando gli impatti negativi sull’operatività di business, anche tramite soluzioni temporanee (workaround) e assicurando il mantenimento del miglior livello di qualità e disponibilità dei servizi a supporto delle attività del Committente.

Per “Incident” si intende ogni evento che non è parte della normale erogazione di un servizio o del regolare funzionamento di un impianto e che causa o può causare un’interruzione, o una riduzione, della qualità del servizio/impianto o dell’operatività degli utenti.

Il processo di incident management si attiva a seguito di un evento rilevato dal processo di monitoring o a seguito della segnalazione utente.

Problem Management

Il Problem Management consiste nelle attività che coinvolgono ARIA per l’analisi degli Incident occorsi, per la successiva risoluzione permanente e per l’individuazione dei percorsi di Problem Determination da descrivere per il successivo utilizzo da parte del supporto specialistico.

Obiettivo del Problem Management è la determinazione delle cause di fondo degli Incident e la loro risoluzione e prevenzione successive. Attraverso l’implementazione di un processo di analisi delle cause ricorrenti dei problemi (cosiddetta “Root Cause Analysis”), il fornitore eseguirà tutte le attività di analisi, diagnosi per prendere le corrette contro misure per prevenire il ricorrere dei problemi.

Altro obiettivo del Problem Management è la riduzione sia del numero sia della severità di eventi anomali sui sistemi che supportano i processi di business o sulle infrastrutture DC. Pertanto rientra tra le responsabilità del Problem Management l’accertarsi che le informazioni acquisite su un Incident siano documentate in modo tale che siano a disposizione dei supporti specialistici che devono effettuare la Problem Determination al verificarsi di nuovi Incident riconducibili ad eventi già occorsi, tracciati e analizzati e che devono risolvere, se del caso, definitivamente le cause delle anomalie.

È importante sottolineare che il processo di problem management si attiva anche a seguito di rilevazioni di degradi prestazionali intercettati dagli strumenti di application performance management pertanto può attivarsi anche in assenza di un incident bloccante.

Change Management

Le attività relativa al processo di change management devono garantire l’adeguamento infrastrutturale necessario all’evoluzione dei servizi ICT. Il processo di Change Management assicura l’uso di metodi e procedure standard per l’implementazione delle richieste di cambiamento (Change Request), la pianificazione ed esecuzione delle attività operative relative ai change della configurazione di tutte le componenti (hardware, software, impianti tecnologici).

Le Change Request possono configurarsi secondo le seguenti tipologie:

• le Major Change riguardano l’attivazione di nuovi servizi/infrastrutture o cambiamenti ai servizi/infrastrutture esistenti di elevata complessità. A fronte della loro complessità i “requisiti” del “cambiamento” devono essere formalizzati in modo strutturato mediante una RFC.

• le Minor Change sono esigenze di cambiamento di bassa complessità la cui esecuzione può seguire modelli standardizzati e/o è espletabile da gruppi specialistici in autonomia.

Ogni variazione di configurazione delle infrastrutture è rigidamente associata a singole RFC ed al contestuale aggiornamento della piattaforma CMDB.

Request Fulfillment

Il Request Fulfillment identifica le attività tramite cui sono gestite le Service Request, al fine di:

• fornire agli utenti un canale per richiedere e ricevere i servizi standard predefiniti e approvati;

• fornire agli utenti informazioni sui servizi disponibili e sulle procedure per ottenerli;

• fornire le componenti necessarie per il delivery dei servizi;

Per “Service Request” si intende una richiesta proveniente da un utente per un’informazione, una richiesta pre-approvata o per un accesso ad un servizio erogato che non implica impatti sulla funzionalità dei servizi.

Capacity e workload Management

Il Capacity e workload Management è un servizio che consente di regolamentare la fornitura di capacità elaborativa e di memorizzazione dati in modo coerente all’evoluzione delle esigenze dell’azienda.

Permette di analizzare e studiare le informazioni sull’uso delle risorse ICT dei datacenter, implementando strumenti che siano in grado di raccogliere, storicizzare ed elaborare tutte le informazioni necessarie al monitoraggio delle prestazioni e al carico di lavoro indotto sulle risorse infrastrutturali in funzione dei parametri di consumo.

Il servizio di Capacity permette di identificare i possibili trend dei fabbisogni futuri derivanti da nuove richieste del business o change nella modalità di erogazione dei servizi informatici a supporto delle attività del Committente, questo al fine di garantire le performance attese e il dimensionamento dell’infrastruttura IT.

Al fine di poter rispondere rapidamente ed efficacemente alle mutevoli esigenze del business e garantire l’adeguato dimensionamento delle componenti dedicate all’erogazione dei servizi, il Capacity Management fornisce le informazioni necessarie alla pianificazione delle risorse ICT (Capacity Planning), alle relative esigenze di approvvigionamento (provisioning) e alla gestione delle Performance attraverso le attività legate al tuning dei sistemi.

Il Capacity Management si scompone in:

• Business Capacity Management & Planning: relativo all’operatività dell’azienda, per individuare le future necessità di adeguamento delle componenti ICT;

• Service Capacity Management: relativo al monitoraggio e misura end-to-end delle performance e delle prestazioni dei servizi erogati e delle applicazioni, assicura che i dati collezionati siano registrati, analizzati e ne sia eseguito il reporting;

• Component Capacity Management: relativo alle singole risorse/componenti ICT, attraverso misurazioni, monitoraggi e allocazione delle risorse finalizzate ad assicurare l’operatività attesa dei servizi ICT.

Application Performance Management

L’Application Performance Management ha quali principali finalità il supporto ai seguenti processi/macroattività:

• Incident management.

• Problem management.

• Monitoraggio proattivo relativo a degradi prestazionali dei servizi.

• Supporto nei test di carico.

ARIA implementa, per alcuni servizi, il servizio APM per assicurare le seguenti funzionalità:

• raccolta di dati di performance infrastrutturali dei singoli nodi che concorrono alle transazioni;

• raccolta di metriche dei container web/application che concorrono alle transazioni;

• raccolta di metriche delle azioni lato client utente e georeferenziazione del client stesso;

• raccolta di metriche dei DB che concorrono alle transazioni;

• segnalazione proattiva di andamenti di performance anomali o fuori soglia, verificando con i referenti della control room eventuali impatti sui servizi e valutando il coinvolgimento dei team sistemistici, ovvero segnalando alle aree di sviluppo software degradi di tipo applicativo.

C) MIGRAZIONE DEI SERVIZI DAL DATACENTER ONPREM SITO IN VIA TARAMELLI A MILANO A QUELLO DI AWS IN ONCLOUD

L’attività di migrazione in cloud sarà effettuata, dopo l’assenso del CRL, seguendo le seguenti fasi:

• Analisi da parte del gruppo di progetto della strategia da utilizzare per lo spostamento dei server, le strategie sono due: spostamento senza disservizio o con possibile disservizio

• Condivisione del piano con il Consiglio Regionale e predisposizione del calendario delle attività

• Aggiornamento giornaliero dello stato avanzamento delle attività

• Attività conclusiva di cutover dei servizi da OnPrem ad AWS

Le attività saranno sempre presidiate da un team tecnico e da un referente di progetto che seguiranno le attività dall’inizio alla fine delle fasi indicate in precedenza.

D) TRASFORMAZIONE DIGITALE DEI SERVIZI EROGATI DAL CONSIGLIO REGIONALE

La trasformazione digitale rappresenta quel processo atto a rivedere gli attuali servizi presenti in Datacenter e rinnovarli utilizzando una delle seguenti strategie:

• Replatform: aggiornamento dei livelli di sistema operativo, middleware e soluzione software al fine di migliorare l’attuale servizio senza snaturare l’attuale architettura;

• Rearchitect: revisione dell’architettura attuale del servizio rendendola più attuale e più cloud oriented;

• Repurchase: acquisto di una nuova soluzione rispetto a quella utilizzata per il servizio.

Tali strategie possono essere attuate attraverso i seguenti passi:

1. Analisi degli attuali servizi presenti in Datacenter e predisposizione di un piano di trasformazione digitale.

Sono già state individuate le seguenti attività:

o Rearchitect del sistema di posta elettronica basato su Exchange;

o Progettazione, realizzazione e attivazione in produzione del servizio di load-balancing del portale intranet del Consiglio regionale come da studio di fattibilità del 9 settembre 2022.

2. Attuazione delle strategie di trasformazione digitale che emergeranno nel corso dell’analisi.

E) CONNETTIVITA’

La connettività utilizzata per il progetto è rappresentata da un collegamento in tecnologia MPLS che mette in comunicazione le reti Client del CRL ai servizi del Datacenter di ARIA.

Attualmente il collegamento è stato predisposto con due linee a 100 Mbit Active/Passive.

In caso di necessità è sempre possibile aumentare il dimensionamento delle linee in base ai tagli descritti nell’Allegato A1 e variandone contestualmente i costi.

***

In coerenza con quanto sopra indicato, il Consiglio regionale incarica ARIA S.p.A., società in-house e Centrale di Committenza a svolgere le attività oggetto del presente incarico attraverso proprio personale (vedi oltre a pag. 13 e 14) e attraverso l’attivazione di tutte le procedure di gara necessarie e relativi seguiti, comprese la stipulazione ed esecuzione dei relativi contratti.

Nell’ambito del presente incarico, ARIA S.p.A. ha pertanto la responsabilità:

• della corretta esecuzione delle attività di propria competenza;

• della continuità e della qualità dei servizi relativi all’infrastruttura del Datacenter (connettività, sicurezza, disponibilità, raggiungibilità, ecc) e relativi alle vm ospitate (disponibilità, performance, sicurezza, monitoraggio, ulteriori servizi previsti, ecc), in base alla specifica classe di servizio assegnata;

• della corretta esecuzione del contratto d’appalto: 2019330692 - Contratto 692/19 di Outsourcing Infrastrutturale, Lotto 1 della gara 4/2017/LI - RTI 692-19 - ALMAVIVA - GARA 4/2017, Gara 4/2017/LI – “Procedura ristretta ai sensi dell’art. 61 del D.Lgs. n. 50/2016 per l’outsourcing dei servizi strumentali alla gestione ed alla evoluzione delle infrastrutture tecnologiche di Lombardia Informatica S.p.a. funzionali all’erogazione dei servizi applicativi”;

• delle attività di gara – comprese le attività di analisi fabbisogni e programmazione – e conseguentemente dell’esecuzione, dei contratti conclusi in adesione all’Accordo Quadro Consip per l’affidamento di servizi di Digital Transformation per le Pubbliche Amministrazioni – Lotto 6;

• dell'esecuzione dei contratti discendenti dalle gare non ancora indette o concluse o dalle convenzioni/accordi quadro, a cui prevede di aderire per reperire risorse.

Le attività oggetto del presente incarico sono riferite alle seguenti schede servizio:

Codice scheda servizio	Titolo scheda servizio	Tipologia attività (sviluppo/gestione)
SCH-960_16	Gestore infrastruttura per Consiglio Regionale	Gestione

DESCRIZIONE DELLE ATTIVITÀ

Codice rilascio

Titolo rilascio

Tipologia di rilascio

23C07-01

Gestione - Servizi infrastrutturali 2023

consumo

Descrizione

È in capo ad ARIA la responsabilità:

• della corretta esecuzione delle attività di propria competenza;

• della corretta esecuzione del contratto d’appalto: 2019330692 -

Contratto 692/19 di Outsourcing Infrastrutturale, Lotto 1 della gara 4/2017/LI - RTI 692-19 - ALMAVIVA - GARA 4/2017, Gara

4/2017/LI – “Procedura ristretta ai sensi dell’art. 61 del D.Lgs. n. 50/2016 per l’outsourcing dei servizi strumentali alla gestione ed alla evoluzione delle infrastrutture tecnologiche di Lombardia Informatica S.p.a. funzionali all’erogazione dei servizi applicativi”;

• dell'esecuzione dei contratti discendenti dalle gare non ancora indette o concluse o dalle convenzioni/accordi quadro, a cui prevede di aderire per reperire risorse.

Il servizio erogato include:

• Gestione di tutti i servizi attualmente presenti su Datacenter (lettere A e B del punto 1)

• Analisi degli attuali servizi presenti in Datacenter e predisposizione di un piano di trasformazione digitale (lettera D del punto 1)

• Rearchitect del sistema di posta elettronica basato su Exchange (lettera D del punto 1)

• Progettazione, realizzazione e attivazione in produzione del servizio di load-balancing del portale intranet del Consiglio regionale come da studio di fattibilità del 9 settembre 2022 (lettera D del punto 1)

• Connettività (lettera E del punto 1).

• Migrazione dei servizi dal datacenter onprem sito in via Taramelli a Milano a quello di AWS in oncloud (lettera C, punto 1)

Codice rilascio

Titolo rilascio

Tipologia di rilascio

23C07-02

Gestione - Servizi infrastrutturali 2024

consumo

Descrizione

È in capo ad ARIA la responsabilità:

• della corretta esecuzione delle attività di propria competenza;

• dell'esecuzione dei contratti discendenti dalle gare non ancora indette o concluse o dalle convenzioni/accordi quadro, a cui

Codice rilascio

Titolo rilascio

Tipologia di rilascio

23C07-03

Gestione - Servizi infrastrutturali 2025

consumo

Descrizione

È in capo ad ARIA la responsabilità:

• della corretta esecuzione delle attività di propria competenza;

• dell'esecuzione dei contratti discendenti dalle gare non ancora indette o concluse o dalle convenzioni/accordi quadro, a cui prevede di aderire per reperire risorse.

Il servizio erogato include:

• Gestione di tutti i servizi attualmente presenti su Datacenter (lettere A e B del punto 1)

• Realizzazione di eventuali nuovi servizi, secondo le esigenze dell’Ente (lettere B e D del punto 1)

• Connettività (lettera E del punto 1).

prevede di aderire per reperire risorse.

Il servizio erogato include:

• Gestione di tutti i servizi presenti su Datacenter (lettere A e B del punto 1)

• Aggiornamento dell’analisi dei servizi presenti in Datacenter e predisposizione di un piano di trasformazione digitale (lettera D del punto 1)

• Attuazione delle strategie di trasformazione digitale prevista nel 2023 e nel 2024 (lettera D del punto 1)

• Connettività (lettera E del punto 1).

Per il dettaglio relativo a tempi e costi di ogni rilascio si rimanda al cronoprogramma allegato all’incarico.

RIFERIMENTI

PIANO PLURIENNALE DELLE ATTIVITÀ

PPA2023_35E, Infrastruttura Tecnologica 2023-2025

NORME SULLA SICUREZZA

D. Lgs. 7 marzo 2005, n. 82 Codice dell’Amministrazione Digitale (CAD);

Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679, “GDPR”);

AGID - Piano Triennale per l’Informatica nella Pubblica amministrazione, aggiornamento anni 2022 – 2024, approvato con DPCM del 17 gennaio 2023;

Decreto legislativo 18 maggio 2018 n. 65, che attua la direttiva UE 2016/1148 (Direttiva “NIS” - Network and Information Security), intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi e individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS;

Piano Triennale per la Trasformazione Digitale della Regione Lombardia 2021-2023 del 17 novembre 2020;

Programma Triennale Integrato di Sicurezza e Privacy del Sistema Federato di Regione Lombardia, approvato con DGR n. XI / 2683 del 23 dicembre 2019;

Circolari dell'Agenzia per l'Italia digitale del 9 aprile 2018

-n. 2 “Criteri per la qualificazione dei Cloud Service Provider per la PA” e

-n. 3 “Criteri per la qualificazione di servizi SaaS per il Cloud della PA”;

Determinazione dell'Agenzia per l'Italia digitale del 22 settembre 2020,

n. 419 “Chiarimenti applicativi in merito alle Circolari AGID nn. 2 e 3 del 9 aprile 2018, recanti i criteri per la qualificazione dei Cloud Service Provider per la PA e dei servizi SaaS per il Cloud della PA”.

LINEA D’INTERVENTO STRATEGICO DEGLI “INDIRIZZI STRATEGICI PER LA TRASFORMAZIONE DIGITALE DI REGIONE LOMBARDIA”

L.12 Ammodernare processi e modalità di lavoro e di collaborazione digitale tra soggetti pubblici e privati, con l'obiettivo dell'efficientamento e del contenimento dei cost

COPERTURA FINANZIARIA PREVISTA

Il presente incarico prevede un costo totale di euro 290.000,00, iva inclusa, il cui dettaglio è indicato nel Cronoprogramma allegato all’incarico.

La ripartizione degli importi sulle diverse annualità riportata nel cronoprogramma potrà essere rimodulata, sulla base dell’intervenuto ammodernamento dei sistemi operativi, secondo tempistiche differenti rispetto a quelle previste, o sulla base di diverse necessità del CRL che dovessero insorgere nel corso della durata del contratto (ad esempio, aggiunta o dismissione di un server).

Non saranno posti a carico del CRL costi relativi a risorse professionali interne, posto che i relativi costi sono coperti dal contributo di funzionamento ovvero già sostenuti da Regione Lombardia nell’ambito delle

attività svolte da Aria S.p.A.

DURATA DELL’INCARICO

Il presente incarico ha decorrenza dal 1 luglio 2023 al 30 giugno 2025, fatte salve le attività per cui ARIA

S.p.A. deve garantire la continuità (vedi art. 12 della Convenzione vigente).

RENDICONTAZIONE E MODALITÀ DI LIQUIDAZIONE

In deroga all’art. 6, comma 6 della Convenzione indicata in Premessa, nelle more dell’attivazione del portale richiamato alla lettera g) di tale articolo, le parti concordano che la rendicontazione delle attività avverrà tramite la sottoscrizione congiunta dei relativi report di validazione e/o approvazione delle attestazioni a canone, inviati tramite PEC (posta elettronica certificata).

La fornitura dei servizi e delle attività avviene con modalità a “consumo”.

Trimestralmente ARIA predispone un report con la quantità di risorse/prodotti consumati (server, spazio disco ecc.); il CR verifica e approva i servizi.

Le attività saranno fatturate a seguito della validazione da parte del referente responsabile dell’esecuzione del contratto del CRL, che dovrà avvenire entro il termine di 20 giorni dalla presentazione del report.

Nel report ARIA darà altresì conto del contratto di riferimento e dei corrispettivi erogati ai relativi fornitori. La verifica e validazione si intende positivamente superata a seguito di sottoscrizione del relativo report dal quale risulti che la soluzione informatica sia conforme alle specifiche funzionali approvate nei relativi documenti.

MISURAZIONE DELLA QUALITÀ

I livelli di servizio di seguito presentati sono garantiti in base alla classe assegnata al servizio in fase di assessment e/o rivista e confermata in sede di completamento del moving.

XXXX gestisce l’erogazione dei molteplici servizi rispondenti alle esigenze del CRL. Ciascuno dei servizi applicativi rivolti all’Utente è stato classificato nell’ambito di una classe in funzione delle specifiche esigenze in termini di resilienza architetturale, di livelli di servizio e tempi di intervento.

Gli SLA, le classi di servizio e le relative specificità sono rappresentati nella figura che segue.

Ai fini della valutazione della qualità della prestazione che sarà svolta da ARIA S.p.A. per l’esecuzione dell’incarico in oggetto sono individuati i seguenti indicatori:

- rispetto del cronoprogramma per le fasi lavoro

- rispetto dei service level agreement per l’erogazione dei servizi, come di seguito elencati

- tabella relativa gestione dei servizi

Full Managed

IAAS

Mission Critical

Business Premium

Business Standard

Basic

Gestione Incident

Presidio Incident Manager

24X7

8-20X7

9-18X5

Gestione Operativa Incident

24X7

Disponibilità Incident Report

2 gg

3 gg

5 gg

7gg

Gestione Change

Major

Max 15 gg

Max 20 gg

Max 25 gg

Minor

4 h

6 h

8 h

Full Managed

IAAS

Mission Critical

Business Premium

Business Standard

Basic

Disponibilità Servizio

99,90%

99,80%

99,60%

99,40%

RTO

24h

Limite Indisponibilità

43min

86min

172min

344min

RPO

<1h

Snapshot settimanale della VM

- tabella relativa gestione della connettività

Connettività
Disponibilità annua del servizio di connettività	99,99%
Tempo massimo di ripristino per guasti bloccanti (l’utente non è in grado di usufruire del servizio per indisponibilità o perché le prestazioni risultano decisamente	4 ore nel 95% dei casi
	8 ore nel 100% dei casi
Tempo massimo di ripristino per guasti non bloccanti (l’utente è in grado di usufruire, ma con prestazioni degradate)	16 ore nel 95% dei casi
	32 ore nel 100% dei casi

Saranno applicate le penali previste dai contratti stipulati tra ARIA nelle ipotesi di mancato rispetto dei livelli di servizio sopra elencati. In particolare, su richiesta scritta del CRL diretta ad ARIA al seguente indirizzo pec xxxxxxxxxx@xxx.xxxxxxx.xx , ARIA comminerà le penali e il fornitore verserà ad ARIA il relativo importo; successivamente ARIA verserà il relativo importo al CRL.

REFERENTI PER L’INCARICO

Per il presente incarico, sono state designate le seguenti persone:

Nominativo	Ruolo	Ente
Xxxxxx Xxxxxxx	Referente Responsabile	ARIA S.p.A.
Xxxxxx Xxxxx	Referente Operativo	ARIA S.p.A.
Xxxxxxx Xxxxxx	Referente Responsabile	CRL
Xxxx Xxxxxxxxxx	Referente Responsabile dell’esecuzione	CRL
Xxxxxx Xxxxxxxxxxx	Referente Operativo	CRL


Xxxxxxxxxxxx Xxxxxxxx	Referente Operativo	CRL

RISCHI

N.A.

RIUSO

N.A.

ACCESSIBILITÀ E USABILITÀ

N.A.

DIVIETO DI “PANTOUFLAGE”

Ai sensi dell’art. 53, comma 16-ter, del d.lgs. 30 marzo 2001, n. 165, i dipendenti che, negli ultimi tre anni di servizio, hanno esercitato poteri autoritativi o negoziali per conto delle pubbliche amministrazioni di cui all'art. 1, comma 2, del medesimo decreto legislativo, non possono svolgere, nei tre anni successivi alla cessazione del rapporto di pubblico impiego, attività lavorativa o professionale presso i soggetti privati destinatari dell'attività della pubblica amministrazione svolta attraverso i medesimi poteri.

I contratti conclusi e gli incarichi conferiti in violazione di tale divieto sono nulli ed è fatto divieto ai soggetti privati che li hanno conclusi o conferiti di contrattare con le pubbliche amministrazioni per i successivi tre anni, con obbligo di restituzione dei compensi eventualmente percepiti e accertati ad essi riferiti.

Il divieto e le sanzioni non si applicano ai contratti stipulati prima del 28/11/2012.

RISPETTO CODICE DI CONDOTTA DEI DIPENDENTI DEL CONSIGLIO REGIONALE

XXXX S.p.A., con la sottoscrizione del presente atto, si impegna a osservare e a far osservare ai propri dipendenti e collaboratori a qualsiasi titolo gli obblighi di condotta previsti dal d.p.r. 16 aprile 2013, n. 62, pubblicato nella Gazzetta Ufficiale n. 129 del 4 giugno 2013 e dal Codice di comportamento dei dipendenti del 24 ottobre 2022, n. 356.

Salvo quanto previsto con riguardo al Codice di comportamento, è facoltà del Consiglio regionale chiedere, dandone motivazione, in qualsiasi momento, l’allontanamento dei soggetti incaricati dal Fornitore in caso di inadeguatezza professionale o in caso di comportamenti e atteggiamenti non conformi e consoni al servizio affidato.

DICHIARAZIONE TRATTAMENTO DATI PERSONALI

Le attività oggetto del presente incarico comportano il trattamento di dati personali.

Il Consiglio regionale della Lombardia, in qualità di Titolare del trattamento, individua, ai sensi dell’art. 28 Reg. UE 2016/679, ARIA S.p.A. come Responsabile del trattamento.

L’esecuzione delle attività di cui al presente incarico da parte di ARIA S.p.A. avviene prestando garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate nel rispetto delle istruzioni impartite dal Titolare del trattamento.

ARIA S.p.A. è certificata in ambito sicurezza secondo: ISO 27001, ISO 27017 e ISO27018 e garantisce la compliance con le normative emanate dal GDPR, NIS e AGID/ACN.

Stante quanto premesso, ARIA S.p.A., nella sua qualità di Responsabile del trattamento, si impegna a rispettare le disposizioni della normativa attualmente vigente in materia di protezione dei dati personali (Reg. UE 2016/679, D.lgs.196/2003 come novellato dal D.lgs.101/2018) nonché i provvedimenti emanati dall’Autorità Garante per la Protezione dei Dati Personali.

I dati personali vengono trattati, nel rispetto del principio di minimizzazione e proporzionalità, esclusivamente per le finalità relative all’esecuzione delle attività di cui al presente incarico nel rispetto

delle istruzioni impartite dal Titolare.

ARIA, in qualità di Responsabile del Trattamento, ha la facoltà di ricorrere alla nomina di ulteriori Responsabili del trattamento di dati personali ad essa subordinati (cd. “Sub-Responsabili del Trattamento”) nell’ambito delle attività di trattamento di dati personali per conto del Titolare previo esperimento delle necessarie procedure di selezione dei fornitori applicabili di volta in volta.

Nello svolgimento delle attività di cui al presente incarico i dati personali dovranno essere trattati secondo le istruzioni previste dal contratto di nomina a Responsabile del Trattamento e dalle indicazioni documentate fornite dal Titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo, nel rispetto dei principi previsti dal Capo V del Reg. UE 2016/679 “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”.

Il Responsabile adotta tutte le misure richieste ai sensi dell’articolo 32 del Reg. UE 2016/679 garantendo che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.

Il Responsabile si impegna a non divulgare né utilizzare per fini diversi da quelli inerenti al presente incarico, anche successivamente alla cessazione della stessa, i dati personali e le altre notizie riservate di cui sia venuta a conoscenza, in ragione del presente incarico, e come tali definite dal CRL.

Il Responsabile si impegna a vincolare ai medesimi obblighi di riservatezza i propri dipendenti o collaboratori o altre persone fisiche impegnati, su suo incarico, nell’esecuzione delle prestazioni contrattuali.

Il Responsabile mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dall’art. 28 del Reg. UE 2016/679, collaborando nei casi di Data Breach e di richieste di esercizio dei diritti degli interessati, consentendo e contribuendo, altresì, alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato.

Le Parti si impegnano a sottoscrivere con separato atto il contratto di nomina a responsabile del trattamento. Nelle more si applica, in quanto compatibile, quanto previsto nell’atto di nomina approvato con decreto dirigenziale 16 aprile 2021, n. 142.

AMMINISTRATORI DI SISTEMA

Per quanto riguarda le attività degli amministratori di sistema svolti su infrastrutture e reti proprie, ai sensi del Decreto del Segretario generale 135/2016, il Responsabile del trattamento deve redigere e mantenere aggiornato un elenco con gli estremi identificativi delle persone fisiche, appositamente designate, dalla società stessa o da fornitori, che espleteranno nell’ambito delle attività previste dal contratto, funzioni di Amministratori di Sistema (ADS), con la definizione delle funzioni e dell’ambito operativo a ciascuno assegnato, a relazionare annualmente sulla loro attività a richiesta del Titolare, nonché garantire ogni altra misura per l’assolvimento delle prescrizioni e degli obblighi di cui al provvedimento del Garante per la protezione dei dati personali del 27.11.2008 sugli amministratori di sistema e successive modifiche e integrazioni.

Il Consiglio regionale comunica ad ARIA gli estremi dei dipendenti o dei collaboratori dei fornitori autorizzati ad intervenire sui sistemi ospitati nell’infrastruttura di ARIA in qualità di ADS, specificando per ognuno di essi le funzioni, l’ambito operativo ed il termine di validità dell’autorizzazione. In seguito a tale comunicazione, ARIA garantisce l’accesso al proprio sistema informatico, limitatamente all’ambito operativo segnalato, agli ADS autorizzati dal Consiglio regionale.

Qualora fosse necessario ampliare o ridurre le funzioni di un ADS già abilitato, il Consiglio regionale invia ad ARIA una comunicazione di integrazione con evidenza delle variazioni relative alle funzioni, all’ambito operativo ed al termine di validità dell’autorizzazione.

Le comunicazioni di cui al punto precedente sono trasmesse ad ARIA al seguente indirizzo: xxxxxxxx_xxxx@xxxxxxx.xx.

XXXX svolge il monitoraggio sulle attività degli ADS secondo il seguente sistema.

Per ogni Ente esiste un server su cui vengono registrati i log degli accessi ai server gestiti in modalità FullManaged. I log vengono mantenuti per 6 mesi come richiesto dalla normativa e poi vengono sovrascritti. I server che registrano i log sono oggetto di backup. È predisposta una dashboard monitorata da un gruppo interno all’outsourcer di ARIA che intercetta possibili eventi malevoli legati agli accessi. Il software utilizzato in questo ambito è GrayLog. È in fase di implementazione anche la registrazione degli accessi alle istanze DataBase.

CLAUSOLE INTEGRATIVE O DEROGATORIE ALLA CONVENZIONE

N.A.

DEFINIZIONE DELLE CONTROVERSIE

Ogni eventuale contestazione e/o controversia che dovesse insorgere tra le parti in relazione all'interpretazione e/o all'esecuzione del presente incarico, che non venisse risolta bonariamente tra le parti, sarà definita in via esclusiva dinanzi al Foro competente di Milano.

CONSIGLIO REGIONALE

ARIA SPA

Servizio Programmazione finanziaria, contratti e ICT

Dipartimento Infrastrutture Tecnologiche

Allegato A1

Cronoprogramma

Incarico 23C07

Attività a Consumo

Codice rilascio	Titolo rilascio	Data inizio	Data fine	Importo (€)

23C07-01	Gestione Servizi infrastrutturali 2023	01/07/2023	31/12/2023	67.000,00 €
23C07-02	Gestione Servizi infrastrutturali 2024	01/01/2024	31/12/2024	145.000,00 €
23C07-03	Gestione Servizi infrastrutturali 2025	01/01/2025	30/06/2025	78.000,00 €

I costi previsti per l’incarico comprendono:

 costo della connettività con Banda a 100 Mb

 costo gestione infrastruttura secondo la misurazione della baseline (a consumo con misurazione trimestrale)

 costo dell’ITSM (IT Service Manager)

Qui di seguito una tabella che riassume i costi per la soluzione relativamente alla:

Rilascio	Descrizione rilascio	Descrizione Progetto	Tipo rilascio	Data Inizio	Data termine	Importo (IVA inclusa)
23C07-01	Gestione - Servizi infrastrutturali 2023	CONNETTIVITA'	CONSUMO	01/07/2023	31/12/2023	16.000,00 €
23C07-01	Gestione - Servizi infrastrutturali 2023	INFRASTRUTTURA	CONSUMO	01/07/2023	31/12/2023	46.000,00 €
23C07-01	Gestione - Servizi infrastrutturali 2023	ITSM	CONSUMO	01/07/2023	31/12/2023	5.000,00 €
23C07-02	Gestione - Servizi infrastrutturali 2024	CONNETTIVITA'	CONSUMO	01/01/2024	31/12/2024	32.000,00 €
23C07-02	Gestione - Servizi infrastrutturali 2024	INFRASTRUTTURA	CONSUMO	01/01/2024	31/12/2024	103.000,00 €
23C07-02	Gestione - Servizi infrastrutturali 2024	ITSM	CONSUMO	01/01/2024	31/12/2024	10.000,00 €
23C07-03	Gestione - Servizi infrastrutturali 2025	CONNETTIVITA'	CONSUMO	01/01/2025	30/06/2025	16.000,00 €
23C07-03	Gestione - Servizi infrastrutturali 2025	INFRASTRUTTURA	CONSUMO	01/01/2025	30/06/2025	57.000,00 €
23C07-03	Gestione - Servizi infrastrutturali 2025	ITSM	CONSUMO	01/01/2025	30/06/2025	5.000,00 €
						290.000,00 €

attivabili progressivamente in base alla necessità del traffico necessario al Consiglio Regionale:

Banda	Importo (IVA inclusa)
Banda a 100 Mb	31.946,82 €
Banda a 200 Mb	47.580,00 €
Banda a 300 Mb	61.000,00 €
Banda a 600 Mb	71.980,00 €
Banda a 1 Gb	74.420,00 €

CONSIGLIO REGIONALE

Servizio Programmazione finanziaria, contratti e ICT

ARIA SPA

Dipartimento Infrastrutture Tecnologiche

Allegato A2

Schede servizio di riferimento

Scheda Calipso	IT Service	Service Offering	Classe di Servizio
SCH-960_16	CORL_01 Servizi Infrastrutturali	CORL_01 Active Directory DC-DNS_Prod	1 - MCRT
SCH-960_16	CORL_01 Servizi Infrastrutturali	CORL_01 File Server_Prod	2 - BPRM
SCH-960_16	CORL_02 Moving	CORL_02 Moving_Prod	4 - BBSC
SCH-960_16	CORL_03 Posta Exchange	CORL_03 SERVIZI EXCHANGE_Prod	2 - BPRM
SCH-960_16	CORL_04 Sistemi Direzionali	CORL_04 SD Gestione NAS_Prod	4 - BBSC
SCH-960_16	CORL_04 Sistemi Direzionali	CORL_04 SD IPSOA_Prod	4 - BBSC

Qui di seguito andiamo a spiegare le varie colonne:

 Scheda Calipso – rappresenta il codice interno con cui è registrato il servizio di gestione infrastrutturale dell’Ente

 IT Service – rappresenta il contenitore logico che raccoglie tutte le Service Offering di una precisa categoria

 Service Offering – rappresenta il contenitore dei server che erogano il servizio

 Classe di Servizio – rappresenta la classe di servizio identificata per la Service Offering.

Si riporta l’elenco delle classi di servizio completo e le relative sigle: 1- MCRT: Mission Critical

2- BPRM: Business Premium 3- BSTD: Business Standard 4- BBSC: Business Basic

5- IAAS: Infrastructure as a Service.

significato di ogni classe:

Mission Critical	Business Premium	Business Standard	Basic	IAAS
Ambienti per le	Ambienti che	Ambienti che supportano	Ambienti che	Ambienti la cui
applicazioni definite	supportano le	sistemi di produzione a	supportano i sistemi che	gestione è totalmente
dall’Ente come	applicazioni	basso rischio consentendo	vengono utilizzati per lo	demandata ad un
essenziali e su cui	fondamentali su cui	un'ottimizzazione	sviluppo, test,	fornitore terzo
ARIASPA deve	ARIASPA realizza	infrastrutturale con un	formazione,
garantire il ripristino dei	soluzioni in alta	adeguato livello di	preproduzione o
servizi con un intervallo	affidabilità con il	supporto	produzione con livelli
minimo di disservizio	massimo livello di		minimi di supporto
	supporto operativo

e nella tabella seguente i servizi supportati da ogni classe:

		Mission Critical	Business Premium	Business Standard	Basic	IAAS
Disaster Recovery		✓	✓
Servizi	APM con agent	✓
	APM Agentless	✓	✓
	Capacity	✓	✓
	Monitoraggio con agente	✓
	Monitoraggio senza agente	✓	✓	✓	✓

CONSIGLIO REGIONALE	Servizio Programmazione finanziaria, contratti e ICT
ARIA SPA	Dipartimento Infrastrutture Tecnologiche

Allegato A3

Baseline al 30 giugno 2023

Service Offering	Classe di Servizio	Server	SO	Core	RAM
CORL_01 Active Directory DC-DNS_Prod	1 - MCRT	wpcorldgcmtp01	Windows Server	4	16.384
CORL_01 Active Directory DC-DNS_Prod	1 - MCRT	wpcorldgcmtp02	Windows Server	4	16.384
CORL_01 Active Directory DC-DNS_Prod	1 - MCRT	wpcorldgcmtp03	Windows Server	2	4.096
CORL_01 File Server_Prod	2 - BPRM	wpcorlfsaso01	Windows Server	4	16.384
CORL_02 Moving_Prod	4 - BBSC	archiflow01	Windows Server	2	2.048
CORL_02 Moving_Prod	4 - BBSC	ARCHIFLOW85	Windows Server	10	8.192
CORL_02 Moving_Prod	4 - BBSC	Atti_IndTest	Windows Server	3	6.144
CORL_02 Moving_Prod	4 - BBSC	attiind	Windows Server	4	16.388
CORL_02 Moving_Prod	4 - BBSC	Attiind-Extra	Windows Server	2	7.904
CORL_02 Moving_Prod	4 - BBSC	CAROOTCRL	Windows Server	1	2.048
CORL_02 Moving_Prod	4 - BBSC	cartellini	Windows Server	1	2.048
CORL_02 Moving_Prod	4 - BBSC	CASUBCRL	Windows Server	1	2.048
CORL_02 Moving_Prod	4 - BBSC	CEDONLINEIDPC	Virtual Server	2	3.808
CORL_02 Moving_Prod	4 - BBSC	DCR001	Windows Server	4	8.192
CORL_02 Moving_Prod	4 - BBSC	GEA	Virtual Server	2	23.968
CORL_02 Moving_Prod	4 - BBSC	gea_test	Virtual Server	1	7.840
CORL_02 Moving_Prod	4 - BBSC	gea_test_restore_11_02_202 3	Virtual Server	1	7.840
CORL_02 Moving_Prod	4 - BBSC	gea2	Virtual Server	2	23.968
CORL_02 Moving_Prod	4 - BBSC	IIS02	Windows Server	4	16.384
CORL_02 Moving_Prod	4 - BBSC	IIS02_CLONE	Windows Server	3	4.096
CORL_02 Moving_Prod	4 - BBSC	IIS02_TEST	Windows Server	4	8.192
CORL_02 Moving_Prod	4 - BBSC	iis04	Windows Server	1	4.096
CORL_02 Moving_Prod	4 - BBSC	IIS05	Windows Server	6	8.192
CORL_02 Moving_Prod	4 - BBSC	IIS06	Windows Server	4	8.192
CORL_02 Moving_Prod	4 - BBSC	issuing01	Windows Server	8	4.088
CORL_02 Moving_Prod	4 - BBSC	issuing02	Windows Server	8	4.088
CORL_02 Moving_Prod	4 - BBSC	lpcorlesprpa03	Linux Server	4	8.192
CORL_02 Moving_Prod	4 - BBSC	lpcorlesprpa04	Linux Server	4	8.192
CORL_02 Moving_Prod	4 - BBSC	oraclevm	Windows Server	4	12.288
CORL_02 Moving_Prod	4 - BBSC	PEM01	Windows Server	4	16.384
CORL_02 Moving_Prod	4 - BBSC	PEM02	Windows Server	4	16.384
CORL_02 Moving_Prod	4 - BBSC	PRISMA	Windows Server	2	8.192
CORL_02 Moving_Prod	4 - BBSC	server-ragio	Windows Server	1	2.048
CORL_02 Moving_Prod	4 - BBSC	SQL01	Windows Server	2	4.096
CORL_02 Moving_Prod	4 - BBSC	SQL03	Windows Server	4	16.384
CORL_02 Moving_Prod	4 - BBSC	SQL04	Windows Server	4	8.192
CORL_02 Moving_Prod	4 - BBSC	Verba-Server	Windows Server	1	2.048
CORL_02 Moving_Prod	4 - BBSC	Wintime1	Windows Server	1	3.968

CORL_02 Moving_Prod	4 - BBSC	XNORME1	Windows Server	2	3.072
CORL_02 Moving_Prod	4 - BBSC	XNORME2	Windows Server	1	3.072
CORL_02 Moving_Prod	4 - BBSC	XNORME3	Windows Server	1	3.072
CORL_02 Moving_Prod	4 - BBSC	XP-RETRIB	Windows Server	1	3.968
CORL_02 Moving_Prod	4 - BBSC	IISWEB01		8	32.768
CORL_03 SERVIZI EXCHANGE_Prod	2 - BPRM	ACCRL01	Windows Server	4	8.192
CORL_03 SERVIZI EXCHANGE_Prod	2 - BPRM	CAS1	Windows Server	4	16.384
CORL_03 SERVIZI EXCHANGE_Prod	2 - BPRM	CAS2	Windows Server	4	16.384
CORL_03 SERVIZI EXCHANGE_Prod	2 - BPRM	DAG1	Windows Server	6	32.768
CORL_03 SERVIZI EXCHANGE_Prod	2 - BPRM	DAG2	Windows Server	6	32.576
CORL_04 SD Gestione NAS_Prod	4 - BBSC	wpcorlipsoaso01_clone	Windows Server	1	2.048
CORL_04 SD IPSOA_Prod	4 - BBSC	wpcorlipsoaso01	Windows Server	1	2.048

CONSIGLIO REGIONALE

ARIA SPA

Servizio Programmazione finanziaria, contratti e ICT

Dipartimento Infrastrutture Tecnologiche

Allegato A4

Listino costi unitari

Datacenter OnPrem

Datacenter XxXxxxx

Xxxxxxx

Tipo

CODICE

1 aprile

2023 - 31

marzo 2024

1 aprile

2024 - 31

marzo 2025

1 aprile

2023 - 31

marzo 2024

1 aprile

2024 - 31

marzo 2025

CORE

WINTEL

CORE-

WINTEL-2

216,54 €

191,11 €

147,51 €

142,06 €

SISTEMA OPERATIVO

WINTEL

SO-WINTEL- BC

4.864,25 €

4.743,55 €

4.803,90 €

4.683,20 €

SO-WINTEL- MCRT

2.814,93 €

2.484,30 €

1.917,51 €

1.846,66 €

SO-WINTEL- BPRM

2.189,39 €

1.932,24 €

1.491,40 €

1.436,30 €

SO-WINTEL-

BSTD

1.563,85 €

1.380,17 €

1.065,28 €

1.025,92 €

SO-WINTEL- BASIC

417,18 €

368,18 €

284,18 €

273,68 €

SO-WINTEL-

IAAS

208,59 €

184,09 €

142,09 €

136,84 €

DATABASE

COMMERCIALI

DB-COMM-BC

4.410,75 €

4.357,99 €

4.410,75 €

4.357,99 €

DB-COMM- MCRT

2.516,38 €

2.275,18 €

2.074,18 €

1.535,51 €

DB-COMM- BPRM

2.044,56 €

1.848,58 €

1.685,27 €

1.247,60 €

DB-COMM-

BSTD

1.572,74 €

1.421,99 €

1.296,37 €

959,70 €

DB-COMM- BASIC

943,64 €

853,19 €

777,82 €

575,82 €

DB-COMM- IAAS

660,55 €

597,23 €

544,47 €

403,07 €

ALTRO

DB-ALTRO-BC

441,08 €

435,80 €

441,08 €

435,80 €

DB-ALTRO- MCRT

319,98 €

311,94 €

315,96 €

307,92 €

DB-ALTRO-

BPRM

259,98 €

253,45 €

256,71 €

250,18 €

DB-ALTRO- BSTD

199,98 €

194,96 €

197,47 €

192,44 €

DB-ALTRO- BASIC

119,99 €

116,97 €

118,48 €

115,46 €

DB-ALTRO- IAAS

60,00 €

58,49 €

59,24 €

57,73 €

STORAGE

STO-T0

4.423,14 €

4.370,23 €

4.423,14 €

4.370,23 €

STO-T1

2.434,83 €

2.389,82 €

2.299,80 €

2.254,79 €

STO-T2

1.219,36 €

1.196,82 €

1.151,74 €

1.129,20 €

STO-T3

381,39 €

374,34 €

360,24 €

353,19 €

STO-AB

146,77 €

144,06 €

138,63 €

135,92 €

Document Metadata

Table of Contents

Contract

Document Metadata