DEL SERVIZIO SECURITY OPERATION CENTER (SOC)
AREA DELLE RISORSE
SETTORE DELLA INNOVAZIONE
CAPITOLATO DESCRITTIVO PRESTAZIONALE LICENZE ANTIVIRUS, ANTISPAM IN CLOUD E ATTIVAZIONE
DEL SERVIZIO SECURITY OPERATION CENTER (SOC)
Scadenza 31/12/2024 CIG A01C261AE8
CPV 72253200-5
Categoria merceologica MePA: “Sicurezza Informatica - MePA Servizi”
Sommario
Art. 1 CONFERIMENTO DEL SERVIZIO E SISTEMA DI GARA 3
Art. 2 OGGETTO E MODALITA’ DEL SERVIZIO/FORNITURA 4
DOCUMENTAZIONE AMMINISTRATIVA 5
Art. 3 RESPONSABILE UNICO DEL PROGETTO 6
Art. 4 DURATA E IMPORTO DEL CONTRATTO 6
Art. 5 SUBAPPALTO E CESSIONE DEL CONTRATTO 6
Art. 6 SERVICE LEVEL AGREEMENT 6
Art. 7 SICUREZZA E TUTELA DEI LAVORATORI 7
TRACCIABILITA’ DEI FLUSSI FINANZIARI 8
Art. 9 CERTIFICATO DI REGOLARE ESECUZIONE E PAGAMENTO A SALDO 9
Art. 10 INADEMPIENZE E PENALITA’ 10
Art. 11 RISOLUZIONE DEL CONTRATTO E CLAUSOLA RISOLUTIVA ESPRESSA 11
Art. 12 IPOTESI DI RECESSO DAL CONTRATTO 12
RECESSO AI SENSI DELL’ART. 1, COMMA 13, DEL D.L. 95/2012 12
Art. 13 TRATTAMENTO DATI PERSONALI 12
Art. 14 PATTO D’INTEGRITA’ E CODICE DI COMPORTAMENTO DEI DIPENDENTI DELLA
Art. 15 DEFINIZIONE DELLE CONTROVERSIE 13
Art. 16 DISPOSIZIONI FINALI 13
DEFINIZIONI E GENERALITÀ
Il presente capitolato descrittivo prestazionale viene redatto conformemente alle norme di cui al D.Lgs. 31 marzo 2023, n. 36.
Si rimanda alle seguenti definizioni per migliore comprensione del capitolato sottostante:
Per “o.e.” o “Appaltatore” si intende l’operatore economico partecipante alla procedura.
Per “Aggiudicatario” o “Affidatario” si intende l’operatore economico risultato aggiudicatario dell’appalto.
Per “Stazione appaltante” (SA) si intende la Provincia di Brescia, che affida all’operatore economico il servizio oggetto del presente appalto.
Per “RUP” si intende il Responsabile Unico del Progetto di cui all’art. 15, comma 1 del D.Lgs. 36/2023.
Per “Codice” si intende il D.Lgs. 31 marzo 2023, n. 36, recante “Codice dei contratti pubblici”.
Per “CRE” si intende il Certificato di Regolare Esecuzione di cui all’art. 50, comma 7 del D.Lgs. 36/2023.
Per “SLA” si intendono i Service Level Agreement per la definizione delle metriche di servizio, quali obblighi contrattuali in capo all’operatore economico.
Per “CIG” si intende il Codice Identificativo di Gara, adottato per identificare un contratto pubblico attraverso il Sistema Informativo di Monitoraggio delle Gare di ANAC.
Art. 1 CONFERIMENTO DEL SERVIZIO E SISTEMA DI GARA
La Provincia di Brescia nel rispetto dei princìpi di cui al Titolo 1 del D.Lgs. 31 marzo 2023, n. 36 (d’ora in avanti “Codice”), nonché nel rispetto del principio di trasparenza, intende affidare la fornitura delle licenze antivirus, antispam e il servizio SOC.
L’affidamento avverrà mediante affidamento diretto, ai sensi dell'articolo 50 comma 1, lettera b), del Codice. La procedura viene condotta mediante l’ausilio di sistemi informatici e l’utilizzo di modalità di comunicazione in forma elettronica, ai sensi dell’art. 25 del Codice. In particolare, si utilizza la procedura della richiesta di offerta aperta a tutti gli o.e. appartenenti ad una specifica Categoria Merceologica del Mercato elettronico della Pubblica Amministrazione (MePA di Consip S.p.A. - xxx.xxxxxxxxxxxxxxx.xx ) al fine di selezionare l’o.e. che presenterà il miglior preventivo (minor prezzo).
Non saranno accettati preventivi con importo superiore all’importo negoziabile previsto da Capitolato. L’importo deve intendersi comprensivo dello svolgimento completo del servizio secondo il presente Capitolato.
Nel caso di mutate esigenze di servizio la Provincia di Brescia si riserva la facoltà di non procedere in tutto o in parte all’aggiudicazione, sospendere o annullare la gara, nonché di prolungarne i termini di scadenza.
In ogni caso i concorrenti non hanno diritto a compensi, indennizzi, rimborsi spese o altro.
Nello svolgimento di tutti i servizi previsti dal contratto l’Appaltatore si impegna a rispettare le norme europee e nazionali attinenti alle materie gestite dall’applicativo oggetto del presente servizio, oltre a quelle
indirizzate ai servizi di outsourcing, quelle previste nel Piano Triennale per l’Informatica nella PA, relative a privacy (D.Lgs. n. 196/03 e regolamento UE n. 2016/679), diritto d'autore, accessibilità e usabilità degli applicativi, al Codice di Amministrazione Digitale e rispettive linee guida per l'attuazione, norme ISO concernenti alla gestione della sicurezza dell'informazione e agli standard di qualità dei software.
Il servizio si dovrà svolgere inoltre nel rispetto dei regolamenti interni della Provincia di Brescia (anche ove non in allegato al contratto), delle prescrizioni impartite all'avvio del servizio, oltre che degli obblighi di cui al presente capitolato descrittivo prestazionale.
L'Appaltatore è tenuto a notificare alla Provincia di Brescia, in tutte le fasi di esecuzione del servizio, gli eventi, i fatti e gli accadimenti relativi a: incidenti, trasferimento di dati, violazione di dati personali (data breach) cambi di ruolo (in particolare dei soggetti sub-responsabili del trattamento ai sensi del GDPR) e accessi da parte delle forze dell’ordine. Nel caso di violazioni di dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679 l’operatore economico, in qualità di Responsabile “esterno” del trattamento (vedi art. 17 del presente capitolato), dovrà informarne tempestivamente il Titolare (Provincia di Brescia), affinché possa attivarsi per la notifica al Garante entro e non oltre le 72 ore dal momento in cui ne è venuto a conoscenza.
Il presente capitolato disciplina le modalità di erogazione del servizio e della fornitura di quanto richiesto.
Art. 2 OGGETTO E MODALITA’ DEL SERVIZIO/FORNITURA
La Provincia di Brescia utilizza come difesa degli endpoint e dei server le licenze d’uso del sistema antivirus (Sophos Central Intercept X Advanced). Tali licenze antivirus Sophos e relativo servizio antispam in cloud hanno scadenza al 16/05/2024. Sophos offre una evoluzione del prodotto come servizio denominata “MDR Manage Detection & Response complete” che risulta utile per la SA per aumentare il livello di sicurezza dei dati.
La SA ha pertanto deciso di procedere al rinnovo delle licenze antivirus e all’”upgrade” delle stesse tramite attivazione del sopracitato servizio SOC (Security Operation Center) per garantire la copertura costante e aggiornata su un elevato numero di possibili attacchi, anche durante gli orari non presidiati dai tecnici dell'Ente.
Considerato che gli attacchi ai sistemi informatici rappresentano oggi un elemento di grande criticità anche per le Pubbliche Amministrazioni, con continuo aumento dei casi di “data breach” e conseguente minaccia pubblica di estorsione, e che buona parte dei casi di attacco sfrutta la vulnerabilità dei sistemi di elaborazione e applicativi, tale servizio, svolto da un team di specialisti di sicurezza che opera 24hx7gg, darà la possibilità di avere un'analisi continua degli eventi rilevati sui client, sui server e la rete dati dell'Ente per identificare in tempo reale possibili minacce alla sicurezza.
Il suddetto servizio può, quindi, garantire una difesa contro attacchi in corso tramite intervento proattivo, prevedendo all'occorrenza degli interventi da remoto mirati a bloccare in tempo reale le minacce rilevate.
Di seguito l’elenco dei codici prodotto e relative quantità richiesti dalla SA con scadenza al 31/12/2024:
CODICE PRODOTTO | DESCRIZIONE | QUANTITA’ |
SVRMDR-COMPLETE | Central Managed Detection and Response Complete Server | 160 |
MDR-COMPLETE | Central Managed Detection and Response Complete | 1000 |
CEMA | Central Email Advanced | 000 |
XXX-XXX-XXXXX | Xxxxxxx Xxxxxxxx Integration Pack | 1160 |
In fase di configurazione del servizio SOC verranno definiti i contatti per eventuali interventi di primo, secondo e terzo livello. Il contatto di primo livello sarà la SA. È facoltà della SA indicare l’Appaltatore come contatto di secondo o terzo livello.
Con l’acquisizione del servizio “MDR Manage Detection & Response complete” saranno garantiti i seguenti servizi:
• SUPERFICIE DI ATTACCO: Web Security; Download Reputation; controllo web/ blocco degli URL in base alla categoria di appartenenza; controllo delle periferiche; controllo delle applicazioni;
• Prima dell’esecuzione nei dispositivi: rilevamento antimalware con deep learning; scansione antimalware dei file; Live Protection; analisi del comportamento in pre-esecuzione (HIPS); blocco delle applicazioni potenzialmente indesiderate (PUA); Intrusion Prevention System;
• Blocco delle minacce in esecuzione: Data Loss Prevention; analisi del comportamento in fase di esecuzione (HIPS); Antimalware Scan Interface; rilevamento del traffico malevolo (MTD); Exploit Prevention; protezione antiransomware per i file; protezione del disco e del record di avvio; protezione contro gli attacchi man-in-the-browser; ottimizzazione del lockdown delle applicazioni;
• Rilevamento: Live Discover; libreria di Query SQL; rilevamento e definizione di priorità per gli eventi sospetti; archiviazione del cloud con Sophos Data Lake per 30 gg; Query pianificate;
• Investigazione: Root Cause Analysis; analisi antimalware con Deep Learning; dati di intelligence avanzata sulle minacce disponibili su richiesta (forniti direttamente da Sophos X-Ops); esportazione dei dati attraverso analisi approfondite;
• Correzione: rimozione automatizzata del malware; Synchronized Security Heartbeat; Sophos Clean; Live Response; isolamento degli endpoint su richiesta; “clean and block”;
• Threat Hunting proattivo (risposta alle minacce con supervisione umana): indagine sulle minacce; controlli dello stato di integrità della sicurezza; conservazione dei dati; report sulle attività (settimanali e mensili); neutralizzazione delle minacce e azioni correttive; Incident Response a 360 gradi; Root Cause Analysis per prevenire incidenti simili in futuro; contatto dedicato per la risposta agli incidenti;
• Monitoraggio e risposta alle minacce 24/7: rilevazione e risposta alle minacce prima che possano violare i dati o causare l’interruzione delle attività tramite Security Operations Center (SOC);
• Garanzia in caso di mancato blocco di uno o più attacchi per tutta la durata contrattuale per coprire le spese correlate alla risposta agli incidenti.
REQUISITI DI PARTECIPAZIONE
Possono partecipare alla procedura gli operatori economici indicati, che possiedono i seguenti requisiti:
• Iscrizione al Mercato elettronico della Pubblica Amministrazione (MePA);
• Requisiti di ordine generale - di non trovarsi nelle condizioni previste dall’articolo 94 del Codice e dell’articolo 53, comma 16 ter, del Decreto Legislativo n. 165/01;
• Requisiti di idoneità professionale - di essere iscritto nel registro tenuto dalla Camera di Commercio Industria, Artigianato e Agricoltura, ai sensi dell’art. 100 comma 3 del Codice, per attività corrispondenti con quelle oggetto della presente procedura;
• Possesso di certificazione Sophos di livello Platinum.
DOCUMENTAZIONE AMMINISTRATIVA
All’o.e. che presenterà il miglior preventivo, sarà richiesto di presentare la documentazione amministrativa di seguito riportata per procedere alle verifiche di cui agli artt. 94 e 95 del Codice ed il possesso dei requisiti, di cui all’art. 100 del Codice:
• Documento di Gara unico Europeo (DGUE);
• Modello Domanda di Partecipazione;
• Dichiarazione sostitutiva “Tracciabilità dei flussi finanziari” (Legge n. 136/2010);
• Controfirma sul Patto di Integrità;
• Controfirma sul Codice di Comportamento;
• Documento indicante i Costi della Manodopera;
• Dichiarazione Responsabile esterno per il trattamento dati;
• PassOE da richiedere in ANAC, sezione “Fascicolo virtuale dell’operatore economico FVOE”;
• Eventuali certificazioni richieste nei “Requisiti di partecipazione”.
Tutte le spese inerenti e conseguenti al presente atto sono a carico del contraente incaricato.
In considerazione della natura della fornitura in oggetto e delle modalità di svolgimento del contratto, non sussistono rischi da interferenze ulteriori rispetto a quelli specifici dell'attività propria dell’Ente, pertanto non si rende necessaria l'elaborazione del “Documento unico di valutazione dei rischi da interferenze (DUVRI)”.
Art. 3 RESPONSABILE UNICO DEL PROGETTO
Il Responsabile Unico del Progetto (RUP), ai sensi dell'art. 15, comma 1 del Codice, sarà la dott.ssa Xxxxx Xxxxxxxxx in qualità di Funzionario Informatico del Settore della Innovazione della Provincia di Brescia.
Art. 4 DURATA E IMPORTO DEL CONTRATTO
La durata del contratto sarà con decorrenza dalla stipula e scadenza al 31/12/2024.
L’attivazione del servizio SOC dovrà avvenire entro 10 giorni lavorativi dall’ordine effettuato.
L'importo negoziabile della fornitura e del servizio richiesto fino a Dicembre 2024 ammontano a € 139.000,00 (al netto dell'IVA di Legge).
L’importo dell’onere della sicurezza è pari a zero (€ 0,00) in quanto non sono previsti rischi da interferenze (con richiamo all’art. 26, comma 5 del D.Lgs. 81/2008 e alla Determinazione dell’Autorità per la vigilanza sui contratti pubblici di lavori, servizi e forniture n. 3 del 5 marzo 2008).
La stima dei costi della manodopera in applicazione dei rispettivi contratti collettivi nazionali di lavoro (CCNL) e calcolata sulla base dei prezzari aggiornati, ai sensi dell’art. 41, commi 13 e 14 del Codice, è pari a € 100.000,00.
Pertanto, ai sensi dell’art. 14 comma 4 del Codice il valore complessivo della procedura ammonta ad €
139.000,00 (al netto dell’IVA di Legge).
Art. 5 SUBAPPALTO E CESSIONE DEL CONTRATTO
Il subappalto è ammesso e disciplinato ai sensi dall’art. 119 del D.Lgs. 36/2023 a condizione che l’o.e., come segnalato al comma 4, lett. c), l’Appaltatore indichi all’atto dell’offerta i servizi o parti di servizi che intende subappaltare. L'affidatario dovrà trasmette il contratto di subappalto alla Stazione appaltante almeno venti giorni prima della data di effettivo inizio dell'esecuzione delle relative prestazioni, come indicato al comma 5).
Permane invece per tutta la durata del contratto l’impossibilità a cedere il contratto e l’inattuabilità dell’affidamento a terzi dell’integrale esecuzione delle prestazioni di servizio, salvo preventiva ed espressa autorizzazione della Stazione appaltante.
Non sono considerate cessioni le modifiche di sola denominazione sociale o di ragione sociale o i cambiamenti di sede, purché il nuovo soggetto espressamente venga indicato subentrante nel contratto attuativo in essere.
In caso di inadempienza si procederà all’immediata risoluzione del contratto e alla perdita del deposito cauzionale, salvo ulteriore risarcimento dei maggiori danni accertati.
Art. 6 SERVICE LEVEL AGREEMENT
In caso di richiesta di assistenza, l’appaltatore è tenuto a prendere in carico la chiamata secondo i “Service level targets” previsti da Sophos.
Se la problematica non è risolvibile nell’immediato (tramite interazione telefonica o via mail) e sono necessarie attività di analisi, troubleshooting e/o sviluppi, viene assegnato un livello di gravità alla segnalazione.
In particolar modo, sulla base della gravità delle segnalazioni, le tempistiche di risposta alle problematiche devono rispettare i seguenti termini:
• problemi categorizzati come “Critical”: entro 4 ore (con aggiornamento sullo stato di avanzamento della risoluzione giornaliero);
• problemi categorizzati come “High”: entro 8 ore (con aggiornamento sullo stato di avanzamento della risoluzione giornaliero);
• problemi categorizzati come “Medium” o “Low”: entro 24 ore.
Una problematica si può ritenere risolta nei seguenti casi:
- si è ricevuta risposta alla domanda iniziale;
- è stata data una soluzione al problema inizialmente segnalato;
- è stato fornito un workaraound per risolvere il problema segnalato e la soluzione effettiva verrà data in un secondo momento (definito e comunicato alla SA);
- la SA è d’accordo ad aspettare la soluzione effettiva senza applicare workaround momentanei.
Per il servizio “MDR Manage Detection & Response complete” dovranno essere condivisi con la SA i report settimanali delle attività svolte.
Art. 7 SICUREZZA E TUTELA DEI LAVORATORI
Nell’esecuzione del servizio, l’Appaltatore:
• si obbliga a rispettare puntualmente tutte le norme in materia di prevenzione infortuni e di igiene sul lavoro, con particolare riguardo al D.Lgs. n. 81/2008;
• si obbliga, inoltre, ad applicare, nei confronti dei lavoratori dipendenti, condizioni non inferiori a quelle risultanti dal contratto collettivo della categoria e della zona;
• è tenuto ad osservare tutte le disposizioni in materia di assicurazione e assistenza dei lavoratori.
Art. 8 PAGAMENTI
MODALITA’ DI PAGAMENTO
Il compenso all’Appaltatore verrà corrisposto, dietro emissioni di regolari fatture, nelle seguenti modalità:
• 20% ad attivazione del servizio SOC
• La rimanente parte in 5 rate posticipate da pagare alle seguenti date:
o Dicembre 2023
o Marzo 2024
o Giugno 2024
o Settembre 2024
o Al termine del servizio (Dicembre 2024)
La fatturazione dovrà decorrere dall’effettivo avvio a regime del servizio.
Ai sensi del Decreto Ministero dell’Economia e delle Finanze 2.4.2013 n. 55 e dell’art. 25 del D.L. n. 66/2014, convertito con modificazioni dalla legge 23 giugno 2014 n. 89, dal 31 marzo 2015 la Provincia di
Xxxxxxx accetta solo fatture trasmesse in forma elettronica secondo le specifiche tecniche di cui all’allegato A recante “Formato della fattura elettronica” del citato D.M. n. 55/2013 e reperibili sul sito xxx.xxxxxxxxx.xxx.xx dell’Agenzia delle Entrate.
La SA effettuerà i pagamenti, anche parziali, solo dopo aver ricevuto la fattura in formato elettronico, secondo i requisiti tecnici stabiliti dal DM n. 55/2013. Il Codice Univoco Ufficio, da inserire
obbligatoriamente nell'elemento “Codice Destinatario” del tracciato della fattura elettronica, per quanto riguarda la Provincia di Brescia, è il seguente:
CODICE UNIVOCO UFFICIO UF95O3
Si ricorda che con il citato D.L. n. 66/2014 è stato inoltre disposto che, al fine di assicurare l'effettiva tracciabilità dei pagamenti da parte delle pubbliche amministrazioni, le fatture elettroniche emesse verso le stesse pubbliche amministrazioni riportano il Codice identificativo di gara (CIG), tranne i casi di esclusione dell'indicazione dello stesso nelle transazioni finanziarie così come previsto dalla determinazione dell'Autorità di vigilanza sui contratti pubblici di lavori, servizi e forniture 7 luglio 2011, n. 4, e i casi di esclusione dall'obbligo di tracciabilità di cui alla legge 13 agosto 2010, n. 136, previsti dalla tabella 1 allegata al decreto; detta tabella è aggiornata con decreto del Ministro dell'economia e delle finanze, sentita l'Autorità di vigilanza sui contratti pubblici di lavori, servizi e forniture.
I dati da inserire in fattura tramite i campi previsti sono:
• nella sezione "dati del contratto" riportare il numero e data della determinazione dirigenziale di affidamento e il riferimento al Settore della Innovazione;
• nel campo CIG si chiede l’inserimento del codice univoco CIG relativo al contratto;
• nella sezione “dati relativi alle linee di dettaglio della fornitura” indicare: l'oggetto esatto dell'ap- palto (si veda oggetto del contratto);
• nella sezione "Dati di riepilogo per aliquota IVA e natura": deve essere selezionata la lettera “S” in quanto si applica l'istituto dello split payment o scissione dei pagamenti;
• nella sezione "Dati relativi al pagamento": la modalità di pagamento da indicare è il bonifico ban- cario o postale e il codice IBAN del C/C che deve corrispondere alla dichiarazione di tracciabilità dei flussi finanziari rilasciata in fase di stipula del contratto;
• nel campo “altre informazioni” riportare il numero della determinazione dirigenziale con la quale è stato commissionato il servizio/fornitura.
Si precisa, che questa Amministrazione non potrà procedere al pagamento della fattura elettronica qualora non venga in essa riportato il suddetto codice CIG. La Provincia di Brescia non risponde per eventuali ritardi o sospensioni nei pagamenti imputabili al mancato rispetto da parte dell’Appaltatore della procedura sopra indicata.
A completamento del quadro regolamentare, si segnala che l'allegato B “Regole Tecniche” al citato D.M. 55/2013, contiene le modalità di emissione e trasmissione della fattura elettronica alla Pubblica Amministrazione per mezzo dello SDI, mentre l'allegato C “Linee Guida”, del medesimo decreto, riguarda le operazioni per la gestione dell'intero processo di fatturazione.
Si informa inoltre che le informazioni relative al pagamento delle fatture saranno reperibili attraverso la piattaforma per la Certificazione dei Crediti messa a disposizione dal Ministero dell'Economia e Finanze (MEF) Ragioneria Generale dello Stato.
TRACCIABILITA’ DEI FLUSSI FINANZIARI
L’o.e. si assume tutti gli obblighi di tracciabilità dei flussi finanziari previsti dall’art. 3 della L. 13 agosto 2010, n. 136, e smi, fra cui quello di utilizzare per tutti i movimenti finanziari relativi al servizio in oggetto uno o più conti correnti bancari o postali accesi presso banche o presso la società Poste Italiane, dedicati anche in via non esclusiva, e quello di utilizzare quale strumento di pagamento il bonifico bancario o postale o altro mezzo di pagamento idoneo a consentire la piena tracciabilità delle operazioni.
L’Aggiudicatario riconosce all’Aderente la facoltà di risolvere in ogni momento il contratto qualora venisse
accertato il mancato rispetto dell’obbligo di effettuare tutte le transazioni relative all’esecuzione del servizio attraverso l’utilizzo dei conti correnti dedicati accesi presso le banche o la società Poste Italiane, così come previsto dalla legge n. 136 del 13 agosto 2010.
CESSIONE DEL CREDITO
Le cessioni di crediti possono essere effettuate a banche o intermediari finanziari disciplinati dalle leggi in materia bancaria e creditizia, il cui oggetto sociale preveda l’esercizio dell’attività di acquisto di crediti di impresa. Ai sensi del comma 2 del medesimo articolo le suddette cessioni devono essere stipulate mediante atto pubblico o scrittura privata autenticata e devono essere notificate alla Provincia di Brescia.
GARANZIE
Ai fini della partecipazione non è prevista alcuna forma di garanzia provvisoria.
Prima della sottoscrizione del contratto, viene richiesta all’Appaltatore la “garanzia definitiva” pari al 10 per cento dell’importo contrattuale, ai sensi dell’art. 117 del Codice, sotto forma di cauzione o fideiussione a scelta dell’Aggiudicatario, secondo le modalità e le eventuali riduzioni previste dall’articolo 106 del Codice.
Detta garanzia dovrà prevedere espressamente la rinuncia del beneficio della preventiva escussione del debitore principale, la rinuncia all’eccezione di cui all’art.1957, c.2 del Codice Civile e la sua operatività entro 15 giorni a semplice richiesta scritta della SA.
Qualora l’Appaltatore non versi la cauzione definitiva nel termine stabilito, la SA, senza bisogno di messa in mora, può dichiarare l’aggiudicazione decaduta e rivalersi sull’Appaltatore per le spese e per i maggiori danni sostenuti dall’Ente.
La garanzia ha validità temporale pari alla durata del contratto e dovrà, comunque, avere efficacia fino ad apposita comunicazione liberatoria (costituita anche dalla semplice restituzione del documento di garanzia) da parte della SA, con la quale verrà attestata l’assenza oppure la definizione di ogni eventuale eccezione e controversia, sorte in dipendenza dell’esecuzione del contratto.
In caso di decadenza dell’appaltatore, o di inadempienza, o di grave negligenza dello stesso, anche nel corso dell’esecuzione del contratto, la SA ha diritto di incamerare tutto o parte della cauzione prestata, salva l’azione di risarcimento danni.
L’Appaltatore è obbligato al pronto reintegro della cauzione di cui la SA avesse dovuto valersene, in tutto o in parte, durante l’esecuzione del contratto. Resta salvo per la SA l’esperimento di ogni altra azione nel caso in cui la cauzione dovesse risultare insufficiente.
È stabilito l’obbligo del reintegro della cauzione in caso di aumento del corrispettivo a seguito di revisione dei prezzi. La cauzione resterà vincolata fino al completo soddisfacimento degli obblighi contrattuali anche dopo la scadenza del contratto. Sarà svincolata alla scadenza del contratto, previa acquisizione del modello DURC da parte degli enti assicurativi, dal quale risulti che sono stati regolarmente assolti dall’appaltatore gli obblighi assistenziali e previdenziali nei confronti dei propri dipendenti.
Art. 9 CERTIFICATO DI REGOLARE ESECUZIONE E PAGAMENTO A SALDO
I contratti pubblici di servizi/forniture sono soggetti a verifica di conformità per certificare che l'oggetto del contratto in termini di prestazioni, obiettivi e caratteristiche tecniche, economiche e qualitative sia stato realizzato ed eseguito nel rispetto delle previsioni e delle pattuizioni contrattuali.
Per servizi/forniture di importo inferiore alla soglia di cui all'art. 14 del Codice, è sempre facoltà dell’Ente sostituire il certificato di verifica di conformità con il Certificato di Regolare Esecuzione (art. 50, comma 7 del D.Lgs. 36/2023) rilasciato dal Responsabile Unico del Progetto cedimento del contratto. La regolare esecuzione deve essere verificata per qualsiasi tipologia di contratto, indipendentemente dagli importi e il CRE deve essere emesso non oltre tre mesi dalla data di ultimazione delle prestazioni oggetto del contratto.
Il pagamento del saldo è subordinato alle verifiche del RUP del contratto medesimo – che si occupa, inoltre, di verificare la corretta emissione delle fatture.
Art. 10 INADEMPIENZE E PENALITA’
Tenuto conto delle specifiche modalità di erogazione dei servizi oggetto del presente Capitolato, la SA si riserva la facoltà, ove si verifichino inadempienze da parte dell’appaltatore nell’esecuzione degli obblighi previsti, formalmente contestate dal RUP dell’appalto e riguardanti la qualità dei servizi forniti oppure i tempi o le modalità di esecuzione – fatti salvi i casi di forza maggiore e quelli non addebitabili all’Appaltatore riconosciuti come tali dal RUP dell’appalto – di applicare a suo insindacabile giudizio una penale pecuniaria.
Ai sensi dell’art. 126 comma 1 del Codice le penali dovute per il ritardato adempimento ed il mancato rispetto degli “S.L.A.” di cui al precedente Art. 6 sono calcolate sull'ammontare netto contrattuale annuo da determinare in relazione all'entità delle conseguenze legate al ritardo secondo quanto di seguito specificato:
• La presa in carico di tutte le richieste (100%) deve avvenire secondo quanto indicato all’Art.6 del presente Capitolato e, nell’arco del trimestre, potrà essere applicata una penale pari al 1‰ (uno per mille) per ogni richiesta non evasa nei tempi;
• Nell’arco del trimestre potrà essere applicata una penale pari al 0,5‰ (zerovirgolacinque per mille) per ogni mancato invio della reportistica settimanale prevista con il servizio MDR Manage Detection & Response complete.
Le penalità applicate non possono comunque superare, complessivamente, il 10 per cento di detto ammontare netto contrattuale.
Gli eventuali inadempimenti contrattuali che daranno luogo all’applicazione delle penali saranno contestati all’appaltatore, dalla SA, per iscritto tramite posta elettronica certificata. L’appaltatore potrà comunicare per iscritto le proprie deduzioni alla Provincia di Brescia nel termine massimo di 5 (cinque) giorni solari dalla stessa contestazione. Qualora dette deduzioni non siano accoglibili a giudizio della Provincia di Brescia, ovvero non vi sia stata risposta o la stessa non sia giunta nel termine indicato potranno essere applicate all’appaltatore le penali come sopra indicate a decorrere dall’inizio dell’inadempimento, fatto salvo il risarcimento dell’eventuale maggior danno.
Nei casi di servizi forniti con modalità diverse da quelle concordate e/o aventi contenuti non corretti e con riflessi pregiudizievoli per la SA, questa potrà avvalersi della facoltà di risolvere il contratto fermo restando il diritto di risarcimento dell'eventuale maggior danno.
Nell’ipotesi in cui l’importo delle penali applicabili superi l’ammontare del 10% dell’importo contrattuale complessivo, la SA potrà risolvere il contratto in danno dell’Appaltatore, fatto salvo il diritto al risarcimento dell’eventuale maggiore danno.
Tutte le penalità e le spese a carico dell’Appaltatore saranno trattenute dai corrispettivi dovuti. In ogni caso, l’applicazione delle penali non sarà condizionata all’emissione di nota di debito o di altro documento.
L’Appaltatore non potrà chiedere la non applicazione delle penali, né evitare le altre conseguenze previste dal presente Capitolato per le inadempienze contrattuali, adducendo che le stesse siano dovute a forza maggiore o ad altra causa indipendente dalla propria volontà ove lo stesso Xxxxxxxxxxx non abbia provveduto a denunciare dette circostanze al Settore committente entro 5 (cinque) giorni lavorativi da quello in cui ne ha avuta conoscenza. Oltre a ciò, l’Appaltatore non potrà invocare la non applicazione delle predette penali adducendo l’indisponibilità di personale, di mezzi, di attrezzature od altro, anche se dovuta a forza maggiore o ad altra causa indipendente dalla sua volontà, ove non dimostri di non aver potuto evitare l’inadempimento.
L’applicazione delle penali non limita l’obbligo, da parte dell’Appaltatore, di provvedere all’integrale
risarcimento del danno indipendentemente dal suo ammontare ed anche in misura superiore rispetto all’importo delle penali stesse. Resta inteso, inoltre, che la richiesta e/o il pagamento della penale non esonera, in alcun caso, l’Appaltatore dall’adempimento dell’obbligazione per cui questi si è reso inadempiente e che ha fatto sorgere l’obbligo di pagamento della medesima penale.
Art. 11 RISOLUZIONE DEL CONTRATTO E CLAUSOLA RISOLUTIVA ESPRESSA
La risoluzione del contratto è disciplinata dall'art. 122 del Codice. Ai sensi dell’articolo 3, comma 9-bis, della legge n. 136/2010, il mancato utilizzo da parte dell’Appaltatore per i movimenti finanziari relativi al servizio oggetto del presente Capitolato del bonifico bancario o postale, ovvero di altri strumenti idonei a consentire la piena tracciabilità delle operazioni, costituisce causa di risoluzione del contratto.
La dichiarazione di risoluzione del contratto è adottata dal RUP del contratto. Resta ferma l'applicabilità delle disposizioni del Codice civile, ove compatibili, in materia di risoluzione per inadempimento, per impossibilità sopravvenuta o per eccessiva onerosità sopravvenuta del contratto.
In applicazione dell’art. 1456 del Codice civile il contratto è risolto in caso di grave inadempimento alle obbligazioni contrattuali al verificarsi anche di uno solo dei seguenti casi:
• ritardo nell’avvio del servizio superiore a 5 (cinque) giorni consecutivi, secondo indicazioni del Respon- sabile Unico del Progetto dell’appalto;
• sospensione del servizio per più di un giorno consecutivo per cause che non siano determinate da eventi di "forza maggiore" – quali, a titolo esemplificativo, interruzioni di corrente elettrica, di linee telefoniche o gravi eventi naturali o causati da terzi;
• non intenda sottostare alle penalità previste nell'art. Art. 10 del presente Capitolato;
• grave dispersione dei dati di titolarità della Provincia di Brescia a cui l’Appaltatore ha accesso per lo svolgimento del servizio;
• gravi violazioni degli obblighi contrattuali, non eliminate in seguito a diffida formale da parte della SA(tre volte);
• mancato reintegro della garanzia nei casi di incameramento della stessa nei tempi indicati del presente capitolato;
• violazione degli obblighi di cui al Patto d’Integrità e del codice di comportamento dei dipendenti della Provincia di Brescia.
Accertata almeno una delle condizioni soprammenzionate viene formulata e inviata tramite PEC la contestazione all’appaltatore, assegnando un termine, non inferiore a 15 gg dalla ricezione, per presentare le proprie controdeduzioni tramite una relazione particolareggiata, corredata dei documenti necessari, indicando anche la stima delle prestazioni eseguite regolarmente, il cui importo può essergli riconosciuto.
Acquisite e valutate negativamente le predette controdeduzioni, ovvero scaduto il termine senza che sia pervenuta risposta, il RUP può chiedere la risoluzione del contratto con preavviso di almeno 20 giorni.
In caso di risoluzione del contratto, l'Aggiudicatario dovrà garantire la portabilità dei dati per tutte le caratteristiche tecnologiche dei servizi. Deve inoltre mettere a disposizione dell’Ente, senza oneri aggiuntivi ed entro quindici (15) giorni lavorativi dalla data di scadenza, tutti i dati e documenti presenti nei database, in formato tale da consentirne la libera fruizione.
La risoluzione del singolo contratto attuativo non comporta il recesso contestuale dall’Accordo quadro, fatto salvo caso di valutazione analoga da parte del RUP dell’Accordo quadro.
In seguito alla risoluzione del contratto, la Stazione Appaltante potrà procedere all’affidamento delle prestazioni all’o.e. risultato secondo classificato nella graduatoria della procedura di gara e, in caso di rifiuto di quest’ultimo, ai successivi, seguendo l’ordine della graduatoria.
Art. 12 IPOTESI DI RECESSO DAL CONTRATTO
RECESSO AI SENSI DELL’ART. 1, COMMA 13, DEL D.L. 95/2012
Qualora in vigenza di contratto intervenga una convenzione stipulata da Consip SpA, ai sensi dell’art. 26, comma 1, della Legge 23 dicembre 1999, n. 488, con parametri migliorativi – tenendo conto nella valutazione del decimo delle prestazioni ancora da eseguire - e l’Appaltatore non aderisca alla proposta di modifica delle condizioni economiche previste dal presente contratto per ricondurlo nel limite di cui all’art.26, comma 3, della Legge 23 dicembre 1999, n. 488, la Provincia di Brescia recederà dal contratto previa comunicazione formale, con preavviso non inferiore a quindici giorni e pagamento delle prestazioni già eseguite, oltre al decimo delle prestazioni non ancora eseguite, ai sensi e per gli effetti dell’art. 1, comma 13, del D.L. 6 luglio 2012, n. 95, convertito in legge 7 agosto 2012, n. 135.
RECESSO UNILATERALE
L’Amministrazione ha il diritto di recedere in qualunque momento dal contratto, previo il pagamento all’esecutore del contratto delle prestazioni relative ai servizi eseguiti, oltre al decimo dell’importo dei ser- vizi non eseguiti (art 123, comma 1, del Codice). Il decimo dell’importo delle prestazioni non eseguite è calcolato sulla differenza tra l’importo dei quattro quinti del prezzo posto a base di gara, depurato del ri- basso d’asta, e l’ammontare netto dei servizi e forniture eseguite (art. 11, comma 1, Allegato II 14 del Codice).
L’esercizio del diritto di recesso è preceduto da formale comunicazione (tramite posta elettronica certificata) all’Appaltatore da parte del Responsabile Unico del Progetto, con un preavviso non inferiore a venti (20) giorni, decorsi i quali la Stazione appaltante prende in consegna le forniture e ne verifica la regolarità. Il preavviso di recesso indica le sopravvenute ragioni di pubblico interesse poste alla base del medesimo e prevede facoltà, da parte dell’Appaltatore, di far pervenire memorie e documenti entro e non oltre i cinque
(5) giorni dalla data di ricezione della comunicazione. Il recesso è assunto con atto motivato dal dirigente del Settore della Innovazione della Provincia di Brescia.
Art. 13 TRATTAMENTO DATI PERSONALI
I dati raccolti saranno trattati, ai sensi del GDPR n. 679/2016 (Codice in materia di protezione dei dati personali), esclusivamente nell’ambito della procedura cui si riferisce il presente atto. I dati raccolti sono destinati alla scelta del contraente ed il loro conferimento ha natura facoltativa, fermo restando che l’operatore economico che intende aggiudicarsi l’appalto deve fornire alla Provincia di Brescia la documentazione richiesta dalla vigente normativa e dal presente atto. La mancata produzione dei precitati documenti comporta l’esclusione dalla procedura o la decadenza dall’aggiudicazione.
I dati forniti verranno trattati esclusivamente da parte della Provincia di Brescia ai fini dell’espletamento della presente procedura di gara e conservati sino al termine del periodo di affidamento del servizio. I soggetti o le categorie di soggetti che possono trattare i dati sono: il personale della Provincia di Brescia coinvolto nel procedimento di gara; le Amministrazioni pubbliche presso le quali devono essere effettuati i necessari controlli; i concorrenti che partecipano alla gara; ogni altro soggetto che abbia interesse ai sensi della legge 241/90 e del d.lgs. n. 33/2013. In qualsiasi momento potranno essere esercitati nei confronti del titolare del trattamento i diritti di cui agli artt. 15 e ss. del Reg. UE n. 679/2016.
Per quanto riguarda la documentazione gestita tramite piattaforma di e-procurement “MePA” di Consip S.p.A., il responsabile del trattamento dei dati è il gestore della stessa piattaforma stessa che cura gli adempimenti in ordine alla operatività dei processi di accesso e utilizzo dei sistemi informatici.
Ai fini della regolare esecuzione del contratto, l’Appaltatore dovrà necessariamente trattare dati personali per conto della Provincia di Brescia. Per tale motivo, in osservanza di quanto stabilito dalla normativa vigente e, in particolare, dall’articolo 28 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, l’Aggiudicatario, all’atto della sottoscrizione del contratto, verrà designato quale Responsabile “esterno” del Trattamento, assumendo gli obblighi e le responsabilità connesse a tale ruolo.
Relativamente a detto trattamento, si precisa che il Titolare è la Provincia di Brescia e che i Responsabili “interni” del Trattamento sono i Dirigenti dei Settori per quanto di competenza.
A seguito della designazione, l’Appaltatore dovrà impegnarsi all’osservanza della normativa in materia di protezione dei dati personali, Regolamento Europeo 2016/679 con particolare attenzione agli artt. 32 – Sicurezza del trattamento – e 33 – Notifica di una violazione dei dati personali all'autorità di controllo nonché alle istruzioni impartite dal Titolare del Trattamento – adottando le opportune misure atte a garantire la sicurezza dei dati personali che dovranno essere correttamente trattati.
A tal fine il contraente, prima dell’avvio delle attività, dovrà provvedere alla designazione degli “Incaricati del Trattamento” che saranno coinvolti nella realizzazione delle attività oggetto dell’appalto e comportanti il trattamento di dati personali, comunicando i relativi nominativi al settore committente, nella persona del Responsabile interno. Inoltre dovrà fornire idonee garanzie del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza dei dati così come previsti dalla normativa vigente, con particolare riferimento alle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, adottate per minimizzare i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Art. 14 PATTO D’INTEGRITA’ E CODICE DI COMPORTAMENTO DEI DIPENDENTI DELLA PROVINCIA DI BRESCIA
L’affidatario dovrà accettare ed osservare senza riserve il contenuto del “Patto di integrità” e del “Codice di Comportamento dei dipendenti della Provincia di Brescia” mediante sottoscrizione digitale.
Art. 15 DEFINIZIONE DELLE CONTROVERSIE
Per qualsiasi eventuale controversia tra le parti in vigenza di contratto sarà competente il Foro di Brescia.
Art. 16 DISPOSIZIONI FINALI
Per quanto non previsto nel presente Capitolato descrittivo e prestazione, si intendono richiamate e applicabili tutte le disposizioni di legge vigenti che ne regolano la materia.
Qualora entrassero in vigore nuove norme, in aperto contrasto con quanto stabilito dal presente Capitolato, gli articoli viziati da incompatibilità saranno da considerarsi automaticamente decaduti, resterà in carico all’ amministrazione aggiudicatrice la notifica per tutte le deliberazioni, determinazioni ed altri provvedimenti che comportino variazione alla situazione iniziale.
Brescia, 16/10/2023
IL RESPONSABILE UNICO DEL PROGETTO
Dott.ssa Xxxxx Xxxxxxxxx