INFRASTRUTTURE DIGITALI

SEZIONE CENTRALE DI CONTROLLO

SULLA GESTIONE DELLE AMMINISTRAZIONI DELLO STATO

INFRASTRUTTURE DIGITALI

Deliberazione 07 febbraio 2024, n. 30.2024.G

SEZIONE CENTRALE DI CONTROLLO

SULLA GESTIONE DELLE AMMINISTRAZIONI DELLO STATO

INFRASTRUTTURE DIGITALI

Relatore

Cons. Xxxxxxxx Xxxxxxxxxx

Hanno collaborato per l’istruttoria e l’elaborazione dei dati: xxxx. Xxxxxx Xxxxxxxxxx, xxxx. Xxxx Xxxxxxxx, xxxx. Xxxxxxx Xxxxxxxxx

SOMMARIO

Pag.

Deliberazione 7

Rapporto 11

1. Premessa 13

2. Xxxxxxxx e target… 15

3. Attuazione dell’investimento nel 2023 18

4. Contenzioso pendente 23

5. Tutela e sicurezza dei dati personali migrati nell’Infrastruttura PSN 26

6. Conclusioni 28

Tabella n. 1 - Cronoprogramma di Spesa presente in ReGIS 22

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

DELIBERAZIONE

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

Deliberazione n. 30/2024/G

SEZIONE CENTRALE DI CONTROLLO

SULLA GESTIONE DELLE AMMINISTRAZIONI DELLO STATO

II Collegio

Camera di consiglio del 31 gennaio 2024 Presieduta dal Presidente Xxxxx Xxxxxxx

Composta dai magistrati:

Presidente della Sezione: Xxxxx XXXXXXX

Presidente aggiunto della Sezione: Xxxxx Xxxxx XXXXXXXX

Consiglieri: Xxxxxxxx XXXXXXXXXX, Xxxxxxx XXXXXXXXX, Xxxxx XXXX, Xxxxx XXXXXX, Xxxxxx Xxxxx Xxxxxxx X’XXXXX, Xxxxxxx xx XXXXX, Xxxxx XXXXXX, Xxxxx X’XXXXXX, Xxxxxxxxx XXXXXXXXX, Xxxxxxx XXXXXXXXXX, Xxxxxxxx XXXXXXXX

Primi Referendari: Paola LO GIUDICE, Xxxxxxxxx XXXXXX, Xxxxxxxxx XXXXXXXX

Referendari: Xxxxxx XXXXXXXX

* * *

Visto l’art. 100, comma 2, Cost.;

vista la legge 14 gennaio 1994, n. 20 e, in particolare, l’art. 3, comma 4, ai sensi del quale la Corte dei conti svolge il controllo sulla gestione delle amministrazioni pubbliche verificando la corrispondenza dei risultati dell’attività amministrativa agli obiettivi stabiliti dalla legge e valutando comparativamente costi, modi e tempi dello svolgimento dell’azione amministrativa;

visto l’art. 7, c. 7, d.l. 31 maggio 2021, n. 77, convertito dalla l. 29 luglio 2021, n. 108, in base al quale “la Corte dei conti esercita il controllo sulla gestione di cui all’art. 3, c. 4, l. 14 gennaio 1994, n. 20, svolgendo in particolare valutazioni di economicità, efficienza ed efficacia circa l’acquisizione e l’impiego delle risorse finanziarie provenienti dai fondi di cui al PNRR”;

vista la deliberazione della Sezione 1° marzo 2022, n. 3/2022/G, con la quale è stato approvato il documento concernente il “Quadro programmatico dei controlli sulla gestione delle Amministrazioni dello Stato per l’anno 2022 e nel contesto triennale 2022-2024”;

visto il rapporto, presentato dal Cons. Xxxxxxxx Xxxxxxxxxx, che illustra gli esiti dell’intervento

PNRR al 31 dicembre 2023 avente a oggetto “Infrastrutture digitali”;

visto il decreto n. 2/2020 e successive integrazioni e modificazioni del Presidente della Sezione con cui i Magistrati assegnati alla Sezione medesima sono stati ripartiti tra i diversi collegi;

visto il decreto n. 1/2024 con cui i Magistrati sono assegnati a tutti i collegi;

vista l’ordinanza n. 3/2024 prot. n. 375 del 24 gennaio 2024, con la quale il Presidente della Sezione ha convocato il II Collegio per la camera di consiglio del 31 gennaio 2024, al fine della pronuncia sulla gestione in argomento;

udito il relatore, Consigliere Xxxxxxxx Xxxxxxxxxx;

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

DELIBERA

di approvare, con le indicazioni formulate in sede di camera di consiglio, il rapporto avente a oggetto

“Infrastrutture digitali ”.

La presente deliberazione e l’unito rapporto saranno inviati, a cura della Segreteria della Sezione, alla Presidenza del Senato della Repubblica e alla Presidenza della Camera dei deputati, alla Presidenza del Consiglio dei ministri, alla Presidenza della Commissione Bilancio del Senato della Repubblica, alla Presidenza della Commissione Bilancio della Camera dei deputati, al Ministro dell’economia e delle finanze, nonché alle seguenti amministrazioni:

- Presidenza del Consiglio dei ministri: Segretariato Generale;

Segreteria tecnica del PNRR;

Dipartimento per la trasformazione digitale;

- AGID;

Direzione Generale;

- Ministero dell’economia e delle finanze

Ufficio di Gabinetto del Ministro; Servizio centrale per il PNRR;

Dipartimento della Ragioneria Generale dello Stato.

Le amministrazioni interessate comunicheranno alla Corte e al Parlamento, entro quattro mesi dalla data di ricevimento del presente rapporto, le misure consequenziali adottate ai sensi dell’art. 3, c. 6, l. 14 gennaio 1994, n. 20, come modificato dall’art. 1, c. 172, l. 23 dicembre 2005, n. 266 (legge

finanziaria 2006).

Le medesime, ove ritengano di non ottemperare ai rilievi formulati, adotteranno, entro trenta giorni dalla ricezione del presente rapporto, l’eventuale provvedimento motivato previsto dall’art. 3, c. 64, l. 24 dicembre 2007, n. 244.

La presente deliberazione è soggetta a obbligo di pubblicazione, ai sensi dell’art. 31 d.lgs. 14 marzo 2013, n. 33 (concernente il “Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”).

Il presente rapporto è inviato, altresì, alle Sezioni Riunite in sede di controllo.

Il Relatore Il Presidente

Xxxxxxxx Xxxxxxxxxx Xxxxx Xxxxxxx

x.xx digitalmente x.xx digitalmente

Depositata in segreteria il 07 febbraio 2024

Il Dirigente Dott.ssa Xxxx Xxxxx Xxxxx

x.xx digitalmente

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

RAPPORTO

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

1. Premessa

Con deliberazioni n. 33/2022/G e n. 21/2023/G, trasmesse al Parlamento, questa Sezione ha già esaminato la gestione attuativa dell’Investimento 1.1 “Infrastrutture digitali” (M1 - X0 - 0.0) xxx Xxxxx Xxxxxxxxx xx Xxxxxxx x Xxxxxxxxxx (XXXX) nel corso del 2022.

Il presente Report riferisce sulla gestione dell’investimento avvenuta nell’anno 2023. L’investimento ha l’obiettivo di garantire che i sistemi, i dataset e le applicazioni della

PA siano ospitati in data center altamente affidabili, con elevati standard di qualità per quanto riguarda la sicurezza, la capacità elaborativa, la scalabilità, l’interoperabilità europea e l'efficienza energetica. Dispone di risorse pari a 900 mln di euro.

L'investimento ha previsto la creazione dell’infrastruttura c.d. “Polo strategico nazionale” (PSN), la certificazione di alternative di cloud1 pubblico, sicure e scalabili, e la migrazione dei dati e degli applicativi informatici delle singole amministrazioni verso un ambiente cloud.

La Presidenza del Consiglio dei ministri, secondo le disposizioni previste nell’articolo 35 del decreto-legge n. 76/20202, attraverso il Dipartimento per la trasformazione digitale3, promuove lo sviluppo di una infrastruttura ad alta affidabilità, localizzata sul territorio nazionale, per la razionalizzazione e il consolidamento dei Centri di elaborazione Dati (CED) e relativi sistemi informatici. L’infrastruttura ad alta affidabilità PSN è uno dei tre pilastri su cui si poggia la Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale DTD e dall'Agenzia per la cybersicurezza nazionale (ACN), che

1 Il termine "cloud" si riferisce a server a cui si accede tramite Internet e i software e i database che si eseguono su quei server. I server cloud si trovano in datacenter sparsi per tutto il mondo. Il cloud consente agli utenti di accedere agli stessi file e alle stesse applicazioni da ogni dispositivo poiché l’accesso ad applicazioni e dati avviene su un hardware remoto anziché sulla workstation locale; ciò implica un evidente abbattimento dei costi poiché non sono più necessari hardware potenti, costosi e soggetti a frequenti manutenzioni.

2 Decreto-legge 16 luglio 2020, n. 76, Misure urgenti per la semplificazione e l'innovazione digitale.

3 Originariamente, la titolarità degli interventi previsti dalla M1C1.1 era affidata al Ministro per l’innovazione tecnologica e la trasformazione digitale (MITD). Il MITD si avvaleva della sua struttura di supporto, ovvero il Dipartimento per la trasformazione digitale (DTD) della Presidenza del Consiglio dei ministri. Con la formazione del nuovo Governo (settembre 2022), il Ministro all’innovazione viene sostituito da un Sottosegretario di Stato alla Presidenza del Consiglio. La titolarità delle misure del PNRR sulla digitalizzazione permane in capo al DTD.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

prevede la realizzazione del sistema operativo del Paese grazie all’adozione e alla diffusione

del cloud computing 4nel settore pubblico.

La struttura Polo Strategico Nazionale (PSN) è rivolta a tutte le pubbliche amministrazioni ed è distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati.

Obiettivo del PSN è ospitare i dati ed i servizi critici e strategici di tutte le amministrazioni centrali (circa 200), delle Aziende Sanitarie Locali (ASL) e delle principali amministrazioni locali (Regioni, Città metropolitane, Comuni con più di 250 mila abitanti), secondo quanto previsto dall’art. 33-septies del d.l. n. 179/20125, come modificato dall’articolo 35 del d.l. n. 76/2020.

L’infrastruttura dovrà, inoltre:

- effettuare la migrazione dei dati e servizi delle amministrazioni senza alterazioni (garantendo almeno la modalità lift and shift6) e abilitando servizi di cloud privato (private cloud), cloud ibrido (hybrid cloud) in modalità Infrastructure as a service (IaaS) e Platform as a Service (PaaS), anche sfruttando tecnologie scalabili (hyperscaler);

- essere conforme alle disposizioni europee in materia di localizzazione e trattamento dei dati.

Il PSN ospiterà i dati strategici e critici in base alla classificazione prevista dalla Strategia Cloud Italia e successivamente dettagliata dai documenti attuativi della strategia (Regolamento AgID 15 dicembre 2021 e Determina n. 306/2022 dell’Agenzia per la Cybersicurezza nazionale7). La classificazione consente di determinare il livello di criticità dei dati e dei servizi pubblici scegliendo tra strategico, critico e ordinario8, in relazione ai

4 Il cloud computing consiste nella fornitura di servizi di computing, quali software, database, server e reti, tramite connessione Internet. Ciò significa che gli utenti finali sono in grado di accedere a software e applicazioni ovunque si trovino.

5 Decreto-legge 18 ottobre 2012, n. 179, Ulteriori misure urgenti per la crescita del Paese.

6 Il "Lift and shift", anche noto come "rehosting", è il processo di migrazione di una copia esatta di un'applicazione o di un carico di lavoro (insieme al relativo data store e sistema operativo) da un ambiente IT a un altro, di solito da on-premise a cloud pubblico o privato.

7 Dal 19 gennaio 2023 la qualificazione dei fornitori cloud per le Pubbliche amministrazioni è passato da AgID

all’Agenzia per la Cybersicurezza Nazionale (ACN).

8 La classificazione consente di raggruppare dati e servizi pubblici in tre livelli:

1. strategico: servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;

2. critico: servizi la cui compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;

3. ordinario: servizi la cui compromissione non provochi un pregiudizio per il benessere economico e sociale del Paese.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

possibili impatti sul benessere del Paese derivanti da una loro eventuale compromissione. Il processo di migrazione al cloud definito nella Strategia Cloud Italia e nel Regolamento Cloud di AgID prevede che le amministrazioni adempiano alle seguenti due scadenze:

1. classificazione di dati e servizi entro il 18 luglio 2022;

2. definizione dei piani di migrazione entro il 28 febbraio 2023 in coerenza con l’esito

della classificazione di dati e servizi.

La creazione del PSN è affidata al DTD che si avvale del supporto dell’ACN per la validazione e la conferma della classificazione di dati e servizi da parte delle amministrazioni. La realizzazione del PSN è avvenuta attraverso l’avvio di un partenariato pubblico-privato (PPP) per l’individuazione di un operatore economico a cui affidare la gestione dell’infrastruttura. Difesa Servizi Spa, società in house del Ministero della difesa, è stata individuata come centrale di committenza per l’espletamento delle procedure di gara per il PSN.

2. Mileston e target

Come più adeguatamente illustrato nei precedenti Report, le tappe di attuazione

dell’investimento sono state le seguenti:

− a partire da ottobre 2021, il Dipartimento per la Transizione Digitale (DTD) ha iniziato a ricevere le prime proposte di PPP da parte di operatori del mercato interessate alla realizzazione del PSN;

− il 27 dicembre 2021, il DTD ha selezionato la proposta avanzata dal Raggruppamento

temporaneo d’impresa (RTI) costituito da Xxxxx, Leonardo, C.D.P Equity e Tim

(mandataria) che ha assunto il ruolo di “promotore”;

− il 28 gennaio 2022, è stato pubblicato il bando di gara europea per la realizzazione del PSN, gara basata sulla proposta avanzata dal soggetto promotore. La proposta messa a gara ha previsto un investimento di 723 milioni di euro da parte del soggetto aggiudicatario. Il 21 marzo 2022 è scaduto il termine ultimo per la presentazione delle offerte;

La classificazione è stata definita all’interno della Strategia Cloud Italia a settembre 2021 dall’Agenzia per la Cybersicurezza Nazionale e il Dipartimento per la trasformazione digitale ed è indispensabile per realizzare il necessario salto di qualità in materia di cybersicurezza della PA. La Strategia, la cui attuazione è affidata al quadro normativo del Regolamento per il Cloud della PA e dei suoi atti successivi, è volta a rafforzare la sicurezza dei dati e dei servizi della Pubblica Amministrazione.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

− il 22 giugno 2022 la gara è stata aggiudicata al RTI costituito da Aruba e Fastweb (mandataria);

− il 7 luglio 2022, il RTI promotore ha esercitato il diritto di prelazione previsto dalla procedura di gara. Pertanto, la realizzazione e la gestione del PSN sono state affidate all’operatore economico costituito dal raggruppamento Sogei, Leonardo, C.D.P

Equity e Tim;

− il Concessionario ha costituito, come previsto dal disciplinare, la società di progetto Polo Strategico Nazionale S.p.A. il 4 agosto 2022;

− il 26 agosto 2022 è stato firmato il contratto per l’avvio dei lavori di realizzazione e gestione del PSN;

− il 21 dicembre 2022, a seguito delle operazioni di collaudo, il PSN è diventato attivo, il completamento dell‘infrastruttura Polo strategico nazionale (PSN) è stato conseguito con l’attestazione della conclusione delle verifiche di quattro data center effettuata a metà dicembre (M1C1-3). I 4 Data Center, in doppia region, si trovano nel Lazio (a Pomezia e Acilia) e in Lombardia (Rozzano e Santo Stefano Ticino).

Il Dipartimento per la Trasformazione digitale ha siglato con la società Polo strategico nazionale s.p.a. una Convenzione, della durata di tredici anni, che obbliga il Concessionario a prestare, alle singole Amministrazioni utenti che aderiranno alla migrazione stipulando un apposito contratto, i servizi definiti nel capitolato servizi, nel catalogo dei servizi e nell’offerta tecnica.

La timeline di realizzazione del progetto prevede scadenze europee ed italiane.

Le milestone e i target europei sono i seguenti:

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

1. milestone M1C1-3, conseguito a dicembre 2022: completamento del Polo Strategico Nazionale (PSN);

2. target M1C1-17, da conseguirsi entro settembre 2024: migrazione di 100 PAC/ASL al PSN;

3. target M1C1-26, da conseguirsi entro giugno 2026: migrazione di 280 PAC/ASL al PSN.

Mentre milestone e target italiani sono i seguenti:

1. milestone M1C1-00-ITA-2, conseguita a dicembre 2021: pubblicazione di un bando pubblico a livello UE per un contratto di PPP;

2. target M1C1-00-ITA-3, settembre 2023: migrazione di almeno 30 amministrazioni pubbliche centrali e Aziende Sanitarie Locali verso il Polo Strategico Nazionale.

3. target M1C1-00-ITA-4, da conseguirsi entro settembre 2025: migrazione di almeno 240 amministrazioni pubbliche centrali e Aziende Sanitarie Locali verso il Polo Strategico Nazionale.

L’investimento rientra tra quelli oggetto di proposte di modifica delle Riforme e degli Investimenti del PNRR. Con la riprogrammazione del PNRR, ai sensi dell’art. 21 del Reg. (UE)2021/241, è stato modificato il target M1C1-17 europeo intermedio di settembre 2024, Migrazione di 100 PA verso il PSN. Viene specificato che nel 2024 deve essere assicurata per almeno 100 PA centrali e ASL la migrazione completa di almeno un servizio (inclusi i relativi sistemi, dataset e applicativi). Tale modifica introduce una modularità del progetto di migrazione verso il PSN, tale principio di modularità nel tempo è stato riconosciuto dalla Commissione Europea in luogo di una migrazione complessiva dell’intero Ente, come precedentemente indicato dal target intermedio. Questa prima migrazione è funzionale a favorire la successiva migrazione dei restanti servizi senza pregiudicare nel frattempo, dati gli elevati livelli di personalizzazione e le elevate necessità di interconnessione delle infrastrutture ICT delle aziende sanitarie e della Pubbliche Amministrazioni Centrali, la corretta fruibilità di servizi vitali per la salute e la cittadinanza. Gli obiettivi finali e l’architettura dell’Investimento rimangono invariati.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

In seguito all’approvazione della modifica del target europeo intermedio, essendo il target nazionale M1C1-00-ITA-3 definito secondo il precedente principio di migrazione complessiva dell’intero Ente, non risulta più attuale.

3. Attuazione dell’investimento nel 2023

Dal 2023 per le Amministrazioni è possibile richiedere i fondi per migrare dati e servizi e iniziare il processo che dovrà portare al raggiungimento dell’obiettivo fissato dalla Strategia Cloud Italia cioè, entro il 2026, il 75% dei servizi pubblici digitali erogati su infrastrutture cloud. Alla stessa data, il 100% dei servizi e dati strategici della PA dovranno essere ospitati su infrastrutture più sicure, che consentano l’autonomia strategica e decisionale per il controllo dei dati e la sovranità digitale.

La Convenzione, sottoscritta tra il Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio dei ministri (DTD) e la società Polo Strategico Nazionale S.p.A. (PSN) disciplina l’iter e le modalità di stipula ed esecuzione dei contratti relativi ai servizi forniti dal PSN. Il quadro normativo stabilisce per le Amministrazioni l’obbligo o la facoltà,

in base alla classificazione dei dati, di aderire alla convenzione. Il processo di stipula del Contratto prevede sostanzialmente tre fasi:

1. l’Amministrazione predispone il Piano dei Fabbisogni e i servizi necessari, che

viene inviato al PSN dove vengono indicati il perimetro IT e le tipologie di servizi da migrare;

2. il PSN predispone il progetto con la proposta tecnico-economica sulla base delle modalità e dei listini previsti dalla convenzione e lo invia all’Amministrazione entro 60 giorni;

3. stipula del contratto con la società PSN. La PAC verifica il progetto del piano dei fabbisogni e, se approvato, le parti procedono con la stipula del contratto, l’amministrazione può richiedere modifiche entro dieci giorni.

Le Pubbliche Amministrazioni hanno potuto richiedere la migrazione dei propri dati e servizi verso il Polo Strategico Nazionale (PSN), aderendo agli Avvisi della Misura 1.1 “Infrastrutture digitali”, pubblicati dal Dipartimento per la trasformazione digitale:

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

• il 10 febbraio 2023, viene pubblicato il primo Avviso rivolto a un nucleo di PA centrali “pilota”9. La dotazione finanziaria complessiva dell’Avviso è pari a 373.800.000,00 euro, a valere sulle risorse di cui all’Investimento 1.1 “Infrastrutture Digitali” della Missione 1 - Componente 1 del PNRR – finanziato dall’Unione europea nel contesto dell’iniziativa Next Generation EU. Rientrano nel quadro delle PA destinatarie dell’Avviso le amministrazioni, tra cui i Ministeri, i Dipartimenti della Presidenza del Consiglio e le Agenzie fiscali. Con tale Avviso sono state finanziate n.37 domande per un importo complessivo di € 149.052.105,45. Le risorse sono poste a carico della contabilità speciale denominata PNRR-DIP- TRANSIZIONE-DIGITALE-CS 6288 intestata alla Presidenza del Consiglio dei ministri - Dipartimento per la trasformazione digitale, in cui il Ministero dell’economia e delle finanze trasferisce le risorse del PNRR per la realizzazione dell’Investimento 1.1 “Infrastrutture digitali”.

Tutte le 37 domande di partecipazione presentate da parte degli enti indicati nell’Avviso, sono state ammesse al finanziamento con il Decreto di finanziamento n. 129/2023 – PNRR del 14 agosto 2023, per un importo totale pari ad € 149.052.105,45, a fronte della dotazione finanziaria dell’Avviso pari ad € 373.800.000,00.

Il presente Avviso finanzia il perfezionamento della migrazione dei servizi del Soggetto Attuatore al PSN e il canone per la gestione e l’erogazione di ciascun servizio per i dodici mesi successivi all’attivazione di ciascun servizio “core” necessario alla migrazione, tra quelli previsti dalla Convenzione sottoscritta tra il Soggetto attuatore e la società Polo Strategico Nazionale S.p.A. Il Dipartimento per la trasformazione digitale resta estraneo al rapporto tra Amministrazione Centrale e il Concessionario del PSN.

9 1.Ministero dell’Interno, 2. Ministero della Difesa, 3. Ministero dell’Economia e delle Finanze, 4. Ministero della Giustizia, 5. Agenzia delle Entrate, 6. Presidenza del Consiglio dei ministri, 7. Ministero delle infrastrutture e dei trasporti (ex Ministero delle Infrastrutture e mobilità sostenibili), 8. Ministero dell’Università e della Ricerca, 9. Ministero dell'istruzione e del merito (ex Ministero dell’Istruzione), 10. Ministero degli Affari Esteri e della Cooperazione Internazionale, 11. Ministero del Lavoro e delle Politiche Sociali, 12. Ministero della Salute, 13. Agenzia delle Dogane e dei Monopoli, 14. Agenzia delle Entrate – Riscossione, 15. Ministero della Cultura, 16. Ministero del Turismo, 17. Ministero delle imprese e del made in Italy (ex Ministero dello Sviluppo Economico), 18. Ministero dell'ambiente e della sicurezza energetica (ex Ministero della Transizione Ecologica), 19. Ministero dell'agricoltura, della sovranità alimentare e delle foreste (ex Ministero delle Politiche Agricole Alimentari e Forestali), 20. Agenzia del Demanio

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

In considerazione della necessità di raggiungere i target dell’Investimento riportati all’art.1 comma 2, tutte le attività relative alla migrazione sul PSN dovranno essere portate a termine:

- per progetti di importo fino a 2.500.000,00 euro entro e non oltre il 31.07.2024;

- per progetti di importo da 2.500.000,01 euro a 10.000.000,00 entro e non oltre il 31.01.2025;

- per progetti di importo da 10.000.000,01 euro entro e non oltre il 30.06.2025.

Il finanziamento concesso con l’Avviso non è cumulabile con altri finanziamenti pubblici, nazionali o europei, per le stesse spese ammissibili, nel rispetto del divieto del doppio finanziamento;

• il 15 marzo 2023, viene pubblicato l’Avviso rivolto ad ASL e AO, del valore di 200 milioni di euro, poi incrementato a 300 milioni di euro (di cui 150 milioni a valere sull’Investimento 1.1 e 150 milioni sull’Investimento 1.2) conclusosi il 30 giugno 2023. L’Avviso ha natura esplicitamente multi-misura, a valere sia sulla misura 1.1 per la migrazione di dati e servizi critici sul PSN (100 mln di euro), sia sulla misura 1.2 per la migrazione di dati ordinari in altri ambienti cloud qualificati in quanto entrambi gli Investimenti sono collegati all’obbligo per la PA di migrare i propri CED verso ambienti cloud10. La scadenza per la presentazione delle richieste era fissata al 19 maggio 2023. Trattasi di un avviso a Lump Sum11 (importi forfettari) volto a finanziare l’implementazione di un Piano di migrazione dei sistemi, applicativi e dati relativi ai servizi dell’amministrazione verso il PSN e/o infrastruttura della PA adeguata e/o cloud qualificato (comprensivo, per ciascun servizio, di tutte le attività necessarie ad eseguire e completare la migrazione assesment, pianificazione della migrazione, esecuzione e completamento della migrazione, formazione, attivazione canoni cloud).

10 Introdotto dall’ex art. 35 del d.l. n. 76/2020 di modifica dell'articolo 33-septies (Consolidamento e razionalizzazione dei siti e delle infrastrutture digitali del Paese) del d.l. n.179/2012, convertito con modificazioni dalla L. 17 dicembre 2012, n. 221.

11 Il lump sum o somma forfettaria rappresenta un’opzione di semplificazione dei costi ai sensi dell’art. 53 comma 1 (c) del Regolamento (UE) 2021/1060. In base a questo meccanismo l’Ente deve dimostrare il raggiungimento del risultato per ricevere il contributo e pertanto si realizza una significativa riduzione degli oneri amministrativi.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

Sono stati pubblicati quattro decreti di finanziamento corrispondenti a ciascuna delle quattro finestre temporali in cui gli enti ammissibili hanno avuto la possibilità di candidarsi:

1. Decreto di finanziamento n. 48 - 1/2023 – PNRR del 10/5/2023 con cui sono state ammesse al finanziamento n. 12 domande di partecipazione per un importo totale pari ad € 8.699.263,00;

2. Decreto di finanziamento n. 48 - 2/2023 – PNRR del 12.06.2023 con cui sono state ammesse al finanziamento n. 19 domande di partecipazione per un importo totale pari ad € 8.319.856,00;

3. Decreto di finanziamento n. 48 - 3/2023 – PNRR del 17.07.2023 con cui sono state ammesse al finanziamento n. 59 domande di partecipazione per un importo totale pari ad € 63.599.555,00;

4. Decreto di finanziamento n. 48 - 4/2023 – PNRR del 4.08.2023 con cui sono state ammesse al finanziamento n. 48 domande di partecipazione per un importo totale pari ad € 42.763.381,00.

Pertanto, al netto delle rinunce pervenute, è stato ammesso al finanziamento un importo totale di € 119.187.107,00 a fronte della dotazione finanziaria dell’Avviso pari ad € 150.000.000,00. A seconda dei posti letto a disposizione nella struttura sanitaria ammessa al finanziamento.

. il 3 luglio 2023, è stato pubblicato il secondo Avviso rivolto a tutte le altre PA centrali, per un valore di 280 milioni di euro. Rientrano nel perimetro di questo Avviso organi costituzionali o di rilevanza costituzionale; enti di regolazione economica o produttori di servizi economici; autorità amministrative indipendenti; enti a struttura associativa; enti produttori di servizi assistenziali, ricreativi e culturali; enti e istituzioni di ricerca; enti di previdenza sociale; altre realtà come provveditorati, prefetture e soprintendenze.

Allo stato attuale, sono stati pubblicati tre decreti di finanziamento corrispondenti a ciascuna delle tre finestre temporali in cui gli enti ammissibili hanno avuto la possibilità di candidarsi (la quarta finestra è scaduta lo scorso 30 novembre):

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

I Decreto di finanziamento n. 104 - 1/2023 – PNRR del 4.08.2023 con cui sono state ammesse al finanziamento n. 5 domande di partecipazione per un importo totale pari ad € 7.530.311,00;

II Decreto di finanziamento n. 104 - 2/2023 – PNRR del 28/9/2023 con cui sono state ammesse al finanziamento n. 17 domande di partecipazione per un importo totale pari ad € 10.407.486,00;

III Decreto di finanziamento n. 104 - 3/2023 – PNRR del 2/11/2023 con cui sono state ammesse al finanziamento n. 14 domande di partecipazione per un importo totale pari ad € 13.407.854,00.

Ad esclusione della quarta finestra, è stato ammesso al finanziamento un importo totale di € 31.345.651,00 a fronte della dotazione finanziaria dell’Avviso pari ad € 280.000.000,00.

Nel corso del 2023 sono stati definiti gli Avvisi sopra descritti di cui uno prevede contributi a costi reali, mentre gli altri sono stati stabiliti a Lump sum (con il fine di ridurre gli oneri amministrativi dei Soggetti attuatori). Nel primo caso, i 37 progetti sono attualmente nella fase di contrattualizzazione e 8 successivamente inizieranno a produrre spese, sulla base di stati di avanzamento, mentre gli avvisi a Lump sum prevedono l'erogazione del contributo al completamento del progetto. Pertanto, in relazione al profilo di spesa presente in ReGIS, ad oggi non si registrano pagamenti. Attualmente nessuna PA ha ancora migrato alcun asset, dato e/o servizio, al PSN, essendo ancora in via di ultimazione la maggior parte dei piani di migrazione di dettaglio che ogni PA deve approvare prima di poter avviare le operazioni di migrazione al PSN.

La dotazione finanziaria di € 900.000.000,00 è attualmente ripartita per annualità come

segue:

Tabella n. 1 - Cronoprogramma di Spesa presente in ReGIS

Pianificazione

Fin. 2020

Pianificazione

Fin. 2021

Pianificazio

ne Fin. 2022

Pianificazione

Fin. 2023

Pianificazione

Fin. 2024

Pianificazione

Fin. 2025

Pianificazione

Fin. 2026

300

343,2

146,6

110,2

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

4.Contenzioso pendente

A seguito dell’aggiudicazione al RTI TIM, Fastweb e Xxxxx hanno proposto ricorso con richiesta di misure cautelari. A sua volta il RTI Tim S.p.A., contestando l’ammissibilità dell’offerta presentata in gara dal RTI Fastweb in quanto non compatibile con alcune specifiche tecniche e regole stabilite dalla lex specialis di gara, ha proposto ricorso incidentale. Il TAR Lazio - con ordinanza n. 4993 pubblicata il 3 agosto 2022 – ha respinto l’istanza cautelare e il Consiglio di Stato - con ordinanza n. 4039 pubblicata il 26 agosto 2022- ha rigettato l’appello proposto.

Il TAR Lazio - all’esito dell’udienza del 05.10.2022 e limitatamente all’istanza di accesso agli atti presentata il 3 settembre 2022, in corso di causa, da Fastweb – ha emesso la sentenza n. 12751 pubblicata il 7 ottobre 2022, accogliendo l’istanza de qua.

La prima udienza innanzi al TAR Lazio per la discussione del merito dell’impugnazione avversaria è stata fissata per il 16 dicembre 2022 ed in tale sede rinviata al 25 gennaio 2023. Tre i gruppi di censure proposti da Fastweb-Aruba, riferiti alla costruzione della gara, all’ammissibilità delle offerte presentate nella seconda fase della gara, a vizi attinenti all’esercizio della prelazione.

Il TAR, dopo una serie di dichiarazioni d’inammissibilità, ma anche d’infondatezza, di alcuni dei motivi di ricorso proposti, si è poi concentrato sulle contestazioni sul rispetto delle prescrizioni della procedura per ciò che attiene alla distanza tra le due coppie di data center previsti dalla commessa.

Nella sentenza non definitiva n.4338 del 22 febbraio, il Tar del Lazio ha stabilito, che due elementi del progetto non sono rispondenti ai requisiti fissati e determinano l’inammissibilità dell'offerta.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

Il primo riguarda la distanza tra i data center. Il bando di gara prescrive che i quattro centri di elaborazione dati del PSN devono stare a coppie in due diverse aree (region) del paese, a una distanza minima di 500 chilometri. La distanza serve a soddisfare scopi di “disaster recovery” - si legge nella sentenza - ossia ad assicurare che, nel caso in cui si verifichi un evento avverso tale da determinare un guasto in una region, l'altra rimanga indenne e operativa”. Fastweb e Xxxxx hanno denunciato al Tar che la prescrizione è rispettata nel caso della direttrice Pomezia-Santo Stefano Ticino (513 chilometri), viene meno in tutti gli altri casi. La seconda obiezione di Fastweb e Xxxxx accolta dal TAR riguarda gli indici sismici. Considerato che il PSN è un'infrastruttura critica, la gara richiede di installarlo in aree a basso rischio sismico, non inferiore a 3 (su una scala di 4). Pomezia, tuttavia, è appena passata da 3 in zona 2B. L’accoglimento di queste due censure è stato ritenuto “sufficiente a far emergere l’inammissibilità dell’offerta presentata dal RTI Tim nella seconda fase della procedura”. Tuttavia, trattandosi di gara del PNRR, non è possibile ammettere il subentro

– indipendentemente dalla relativa fattibilità tecnica, controversa tra le parti - e la RTI TIM- Cdp Equity-Leonardo e Sogei continua a gestire l’infrastruttura del Polo Strategico Nazionale stante l’applicazione dell’articolo 125 cod. proc. amm., in forza del rinvio a tale disposizione contenuta nell’articolo 48, comma 4, del decreto-legge n. 77 del 2021. La norma, in sostanza, non ammette ritardi nel percorso di realizzazione-accelerazione delle opere previste dal PNRR, per scongiurare la perdita dei relativi finanziamenti.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

Pertanto, è stata presa in esame unicamente la domanda di risarcimento dei danni subiti che le ricorrenti hanno quantificato complessivamente in euro 551.938.000,00 per la mandataria Fastweb e in euro 27.126.000,00 per la mandante Aruba. Il Tar ha rinviato all’udienza del 19 luglio per esprimersi sulla richiesta di risarcimento. Contro tale sentenza la Presidenza del Consiglio dei ministri, il Ministero della difesa, il Ministero dell'economia e delle finanze, Difesa Servizi S.p.A., hanno proposto appello al Consiglio di Stato.

Il Consiglio di Stato con sentenza, Sez. V, 24.10.2023, n. 9210 ha, nella sostanza, confermato, sebbene con diversa motivazione, la sentenza del T.A.R. Lazio, Roma, Sez. I- bis, 13.10.2023, n. 4338. Segnatamente, il C.d.S. ha accolto in parte (con riferimento alle censure volte a dedurre l’illegittimo esercizio della prelazione da parte di RTI TIM) ed ha respinto nel resto l’appello incidentale proposto dalle società Fastweb S.p.A. e Xxxxx S.p.A., e per l’effetto, assorbiti i motivi del ricorso proposto innanzi al T.A.R. non espressamente esaminati, ha annullato il capo di sentenza di primo grado, relativo a censure impugnatorie, capo da intendersi sostituito dalla decisione di appello nella parte in cui ha accolto il ricorso introduttivo di Fastweb S.p.A. e Aruba S.p.A.

Il Consiglio di Stato ha in parte respinto e in parte dichiarato improcedibile l’appello incidentale, a valere quale appello autonomo, proposto da Polo Strategico Nazionale S.p.A., Telecom Italia S.p.A., CDP Equity S.p.A., Xxxxxxxx S.p.A. e Sogei S.p.A. ed ha dichiarato l’appello principale - proposto da Presidenza del Consiglio dei Ministri, Ministero della Difesa, Ministero dell'Economia e delle Finanze e Difesa Servizi S.p.A. - parzialmente improcedibile per sopravvenuto difetto di interesse, e nel resto lo ha respinto.

Va considerato che, quasi contestualmente alla pubblicazione della sentenza di appello (24.10.2023), si è tenuta innanzi al Tar Lazio l’udienza pubblica (25.10.2023) per la discussione nel merito relativa al giudizio pendente in primo grado, in esito alla quale la controversia è stata trattenuta in decisione.

Infine, sarebbe intendimento dell’Amministrazione impugnare la sentenza del Consiglio di Stato nella parte di interesse e, in particolare, in ordine all’accertamento dell’illegittimo esercizio del diritto di prelazione da parte del promotore ai sensi dell’art. 183, comma 15 del d.lgs. n. 50 del 2016 e all’accertamento della asserita sussistenza, nella motivazione della sentenza, addirittura di un “affidamento diretto” della concessione avvenuto in violazione della disciplina di riferimento.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

5. Tutela e sicurezza dei dati personali migrati nell’Infrastruttura PSN

Relativamente alla tutela della privacy, per entrambi i dati classificati come critici o strategici, il DTD, rispondendo a specifiche richieste del Garante per la Protezione dei Dati Personali (GPDP), ha precisato che nel progetto del PSN la localizzazione dei dati è prevista in Italia e non è previsto il trasferimento verso paesi terzi se non nei limiti prescritti dalla normativa vigente, richiamando l’Allegato E della Convenzione nel quale si specifica che il PSN si impegna a rispettare tutta la normativa vigente in materia di trattamento dei dati personali, ivi compresi gli artt. 44 e ss.12 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio13. Per quanto riguarda i servizi resi dal PSN, è stato precisato che le misure di sicurezza sono in linea al considerando 101 del richiamato Regolamento, pertanto, anche “quando i dati personali sono trasferiti dall'Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell'Unione dal presente regolamento non sia compromesso”. Di modo che per il servizio previsto dal PSN denominato “Public Cloud PSN Managed” viene imposta la creazione della Region chiamata PSN Managed e il cliente non ha visibilità, né possibilità di spostare o vedere altri punti di deployment (Region non italiane); per il servizio del PSN “Hybrid Cloud On PSN Site” i dati

12 L’art.45 dispone che “È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri sia basato sul diritto dell'Unione o di uno Stato membro. ……. Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire la finalità del trattamento. Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del presente regolamento che presiedono alla liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali, le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e corretto. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire se il titolare del trattamento che esegue un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri debba essere una pubblica autorità o altra persona fisica o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per finalità inerenti alla salute, quali la sanità pubblica e la protezione sociale e la gestione dei servizi di assistenza sanitaria, di diritto privato, quale un'associazione professionale”.

13 Relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

risiedono nell’HW14 presso i datacenter del PSN S.p.A. e non sono previsti spostamenti presso altri siti e, infine, per i dati diagnostici/telemetrici, il cliente ha sempre la possibilità di verificare dove i dati sono trasferiti, il loro trasferimento è previsto solo verso centri di controllo dello spazio SEE15 al fine di garantire l’assistenza di terzo livello in h24 7x7.

Per il servizio previsto dal PSN denominato “Secure Public Cloud” viene imposta la creazione dell’infrastruttura (IaaS e PaaS) nella Region italiana. Inoltre, vengono aggiunti meccanismi di protezione e cifratura del dato cliente tramite chiavi in possesso del PSN

S.p.A. e non del CSP16.

Per di più, il PSN ha il ruolo di responsabile del trattamento di tali dati personali, così come previsto e secondo gli obblighi di cui all’Allegato E del contratto di concessione, il quale, in conformità a quanto previsto dall’art. 28 del regolamento GDPR, può trattare i dati personali del Titolare tramite istruzioni specificate in un contratto o altro atto giuridico tra le due parti e il Responsabile del Trattamento può ricorrere a un altro Responsabile sottoponendogli un adeguato DPA17 (atto nomina ex art. 28 GDPR) che riporta le medesime istruzioni previste nell’atto di nomina PSN Responsabile.

Il PSN, al fine di garantire una corretta e adeguata supply chain18 in ordine alla data protection e cybersecurity per i trattamenti di dati personali affidati dalle Amministrazioni Utenti e da altri clienti, ha elaborato il Documento Programmatico di Sicurezza (DPS) che presenta, per ogni servizio commercializzato in ottemperanza al GDPR, l’elenco dei trattamenti previsti sui servizi in commercializzazione; la responsabilità nella gestione dei trattamenti: PSN, Soci gestori, CSP, eventuali Sub/Responsabili (permettendo l’accesso alla lista con l’elenco di tutti gli eventuali Sub-Responsabili); l’elenco delle misure tecniche e organizzative previste in funzione della criticità del dato secondo la classificazione ACN (Determinazione 306 e 307 del 2022).

14 L'hardware (abbreviato HW, dall'inglese hard «duro, pesante», e ware «merci, prodotti», su imitazione del termine software) è l'insieme di tutte le parti tangibili elettroniche, elettriche, meccaniche, magnetiche, ottiche che consentono il funzionamento di un computer.

15 Spazio economico europeo o Area economica europea, conosciuto con le sigle SEE, AEE o EEA.

16 Communications Service Provider, CSP, un fornitore di servizi di comunicazione.

17 DPA “Data Processing Agreement”, in italiano viene reso come “Contratto di nomina a responsabile del trattamento”. Si tratta di un contratto con cui il titolare del trattamento nomina un responsabile del trattamento per gestire le attività di raccolta e trattamento dei dati personali.

18 Con il termine Supply Chain – in italiano comunemente nota come “catena di approvvigionamento” o di “distribuzione” – si intende quel complesso processo che permette di portare sul mercato un prodotto o un servizio, organizzandone il trasferimento da un fornitore a un cliente.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

Riguardo alla richiesta del GPDP di cui sopra, il Dipartimento ha chiarito che il PSN dovrà prevedere, nella negoziazione con i CSP, l’inserimento nei loro contratti di adeguate clausole di protezione dei dati che coprano anche i dati di telemetria/diagnostica (i cosiddetti trattamenti secondari), volte ad impedire la visibilità dei dati personali e consentire ai titolari di conoscere tutti i sub-responsabili coinvolti (anche al fine di identificare potenziali trasferimenti di dati verso Paesi terzi) e, se del caso, di opporsi al coinvolgimento di nuovi sub-responsabili.

In base alle informazioni tecniche fornite da PSN S.p.a., la soluzione di crittografia con le chiavi gestite dal Polo Strategico Nazionale riduce significativamente il rischio che una terza parte possa vedere i dati in chiaro. Infine, il Dipartimento ha chiarito che il progetto PSN è stato costruito in aderenza ai criteri delle Determinazioni ACN (306 e 307)19 specifiche per servizi Cloud e che contengono al loro interno misure adeguate anche alla protezione dati personali (es: crypting, tracciamento attività, conservazione log, gestione/assegnazione delle utenze agli AdS etc..).

6. Conclusioni

Il presente Report riferisce sulla gestione dell’investimento avvenuta nell’anno 2023. L’investimento ha l’obiettivo di garantire che i sistemi, i dataset e le applicazioni della

L'investimento ha previsto la creazione dell’infrastruttura c.d. “Polo strategico nazionale” (PSN), la certificazione di alternative di cloud20 pubblico, sicure e scalabili, e la migrazione dei dati e degli applicativi informatici delle singole amministrazioni verso un ambiente cloud.

19 Atti dell'Agenzia per la cybersicurezza nazionale: determina n. 306 (PDF) sul modello per la predisposizione dell'elenco e della classificazione di dati e di servizi; determina n. 307 su le ulteriori caratteristiche dei servizi cloud e requisiti per la qualificazione.‌

20 Il termine "cloud" si riferisce a server a cui si accede tramite Internet e i software e i database che si eseguono su quei server. I server cloud si trovano in datacenter sparsi per tutto il mondo. Il cloud consente agli utenti di accedere agli stessi file e alle stesse applicazioni da ogni dispositivo poiché l’accesso ad applicazioni e dati avviene su un hardware remoto anziché sulla workstation locale; ciò implica un evidente abbattimento dei costi poiché non sono più necessari hardware potenti, costosi e soggetti a frequenti manutenzioni.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

Con riferimento alla ricezione dei piani di migrazione delle PA, alla data del 2 novembre 2022, risultavano pervenuti circa 7.000 piani di amministrazioni comunali e 5.000 piani di istituti scolastici.

Nel presente anno le pubbliche amministrazioni dovranno avviare il processo di migrazione dei dati e dei servizi, secondo la roadmap stabilita sulla base della ricognizione effettuata, così come validata, fra gli altri, dall’Agenzia per la Cybersicurezza nazionale.

Le risorse complessive dell’investimento ammontano a 900 milioni di euro e saranno in

buona parte destinate alle attività di migrazione delle PAC e di ASL/AO.

Alla data del 31 dicembre 2023 non sussistono target europei, mentre il target italiano (M1C1-00-ITA-3) posto alla data del 30 settembre 2023, ossia la migrazione di almeno 30 amministrazioni pubbliche centrali e Aziende Sanitarie Locali verso il Polo Strategico Nazionale risulta non più attuale poiché l’investimento rientra tra quelli oggetto di proposte di modifica delle Riforme e degli Investimenti del PNRR recentemente approvate in ambito UE.

Con la riprogrammazione del PNRR (art. 21 del Reg. (UE)2021/241) è stato modificato il target M1C1-17 europeo intermedio di settembre 2024 (migrazione di 100 PA verso il PSN). Viene, infatti, specificato che nel 2024 deve essere assicurata, per almeno 100 PA centrali e ASL, la migrazione completa di almeno un servizio (inclusi i relativi sistemi, dataset e applicativi). Tale modifica introduce una modularità del progetto di migrazione verso il PSN, tale principio di modularità è stato riconosciuto valido ed approvato dalla Commissione in luogo di una migrazione complessiva dell’intero Ente, come precedentemente indicato dal target intermedio.

Va altresì segnalato il fatto che a seguito dell’aggiudicazione al RTI TIM, Fastweb e Xxxxx hanno proposto ricorso con richiesta di misure cautelari. A sua volta il RTI Tim S.p.A., contestando l’ammissibilità dell’offerta presentata in gara dal RTI Fastweb in quanto asseritamente non compatibile con alcune specifiche tecniche e regole stabilite dalla lex specialis di gara, ha proposto ricorso incidentale.

Il TAR Lazio - con ordinanza n. 4993 pubblicata il 3 agosto 2022 – ha respinto l’istanza cautelare e il Consiglio di Stato - con ordinanza n. 4039 pubblicata il 26 agosto 2022- ha rigettato l’appello proposto.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

Tuttavia, trattandosi di gara del PNRR, giova ricordare che non appare comunque possibile ammettere il subentro del ricorrente – indipendentemente dalla relativa fattibilità tecnica, controversa tra le parti - e la RTI TIM-Cdp Equity-Leonardo e Sogei continua a gestire l’infrastruttura del Polo Strategico Nazionale stante l’applicazione dell’articolo 125 cod. proc. amm., in forza del rinvio a tale disposizione contenuta nell’articolo 48, comma 4, del decreto-legge n. 77 del 2021. La norma, in sostanza, non ammette ritardi nel percorso di realizzazione-accelerazione delle opere previste dal PNRR al fine di scongiurare la perdita dei relativi finanziamenti.

Può, quindi, concludersi che la misura de qua appare ancora in linea con la road- map, così come di recente riprogettata in ambito UE.

L’attività di migrazione delle PAC prevede, di conseguenza, una concentrazione della spesa nelle annualità 2024 e 2025.

Corte dei conti | Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato | Delib. n. 30/2024/G

CORTE DEI CONTI - CENTRO UNICO PER LA FOTORIPRODUZIONE E LA STAMPA - ROMA

Document Metadata

Table of Contents

INFRASTRUTTURE DIGITALI

Document Metadata