GARA EUROPEA A PROCEDURA APERTA PER L’AFFIDAMENTO, TRAMITE ACCORDO QUADRO EX ART. 54, COMMA 3 DEL D.LGS. 50/2016, DEL SERVIZIO DI CYBER THREAT INTELLIGENCE

Capitolato Tecnico

ID: 11_23

1 di 19

1. DEFINIZIONI E ACRONIMI 3

2. PREMESSA 3

2.1 Normativa di riferimento 4

3. OGGETTO DELLA FORNITURA 5

3.1. Oggetto del Contratto 5

3.2. Piattaforma principale 6

3.3. Componenti complementari 8

3.3.1 Monitoraggio fonti OSINT, CLOSINT e dark web 9

3.3.2 Supporto al personale della Committente 9

3.3.3 Servizio di investigazione 9

3.3.4 Monitoraggio della minacce originate nella Supply Chain 10

3.3.5 Reportistica per Executive 10

3.3.6 Monitoraggio dei canali social per info sul sentiment 10

3.3.7 Modalitm di erogazione delle componenti complementari 10

4. DISPOSIZIONI IN ORDINE ALLA ESECUZIONE DEL CONTRATTO 11

4.1 Modalitm e obblighi di esecuzione 11

4.2 Obblighi del Fornitore in materia di retribuzione, assistenza, previdenza e salute dei propri lavoratori 11

4.3 Tutela della riservatezza e dei dati personali di terzi e nomina a responsabile del trattamento dei dati 12

5. REQUISITI ORGANIZZATIVI 12

5.1. Requisiti di Qualitm 12

5.2. Responsabile del Contratto per l'Appaltatore 13

6. ESECUZIONE DELLA FORNITURA 14

6.1 Attivitm propedeutiche all’erogazione dei servizi 14

6.2. Modalitm di erogazione continuativa 14

APPENDICE n.1. INDICATORI DI QUALITÀ E PENALI 15

2 di 19

1. DEFINIZIONI E ACRONIMI

Nel presente Capitolato Tecnico, i termini di seguito deﬁniti hanno il seguente signiﬁcato:

Società o Committente: la Societm PagoPA S.p.A. istituita ai sensi del decreto legge 14 dicembre 2018, n. 135, coordinato con la legge di conversione 11 febbraio 2019, n.12 recante: «Disposizioni urgenti in materia di sostegno e sempliﬁcazione per le imprese e per la pubblica amministrazione», e che svolge la funzione di stazione appaltante per la presente procedura.

Fornitore, Aggiudicatario o Appaltatore: l’operatore economico risultante come aggiudicatario della procedura, cui la Committente afﬁda il presente appalto. Capitolato tecnico: il presente documento.

Responsabile del Contratto per l’appaltatore: la persona individuata dal Fornitore come interlocutore della Committente e responsabile di tutte le attivitm contrattuali. Contratto o Accordo Quadro: l’atto, conforme allo schema di accordo quadro, che verrm stipulato tra la Committente e l'Aggiudicatario per l’esecuzione del servizio; Contratto attuativo: contratto di appalto discendente da Accordo Quadro dal quale ne derivano tutte le condizioni contrattuali e che, ai sensi dell’art. 54, comma 3, del Codice, non può comportare, in nessun caso, modiﬁche sostanziali alle condizioni ﬁssate nello stesso Accordo Quadro.

RUP e DEC: rispettivamente il Responsabile Unico del Procedimento e il Direttore dell’Esecuzione del Contratto.

Se non diversamente speciﬁcato i termini temporali espressi nel presente documento sono tutti da intendersi come solari.

2. PREMESSA

PagoPA S.p.A è una societm pubblica, vigilata dalla Presidenza del Consiglio dei Ministri o dal Ministro delegato, che ha come obiettivo la diffusione di servizi pubblici digitali presso i cittadini. La sua missione è sviluppare, migliorare ed evolvere velocemente i servizi digitali, per permettere ai cittadini di accedere e utilizzare in modo semplice i servizi pubblici, a partire dai pagamenti digitali in favore delle Pubbliche Amministrazioni.

3 di 19

Con il presente Appalto la Committente ha l’esigenza di acquisire servizi di cyber threat intelligence al ﬁne di innalzare il proprio livello di protezione informatica nei confronti di minacce cibernetiche mediante un'attivitm di analisi e vigilanza costante degli attori malevoli all’interno della rete informatica e delle armi digitali da essi utilizzate.

L’Impresa afﬁdataria dovrm fornire i servizi richiesti, secondo le modalitm ed alle condizioni espresse nel presente Capitolato Tecnico che descrive il contesto organizzativo e applicativo oggetto dell’appalto, nonché le attivitm che devono essere svolte in fase di esecuzione.

Le prestazioni oggetto dell'appalto dovranno essere eseguite secondo le modalitm e alle condizioni espresse nel presente Capitolato Tecnico, che descrive il contesto organizzativo e applicativo oggetto dell’appalto, nonché i livelli di servizio che devono essere rispettati in fase di esecuzione.

2.1 Normativa di riferimento

Il presente appalto è disciplinato da:

● Normativa Privacy:

○ Regolamento (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone ﬁsiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (anche “Regolamento UE”)

○ Decreto Legislativo 30 giugno 2003, n. 196 recante il Codice in materia di protezione dei dati personali;

● D.Lgs 81/2008;

● L. 136/2010;

● D.Lgs. 159/2011 – Codice delle leggi antimaﬁa e delle misure di prevenzione, nonché nuove disposizioni in materia di documentazione antimaﬁa, a norma degli articoli 1 e 2 della legge 136/2010;

● D.Lgs 50/2016 - Codice degli appalti;

● D.L. 16 luglio 2020 n. 76 - Misure urgenti per la sempliﬁcazione e l’innovazione digitale, convertito dalla Legge n. 120/2020;

● D.L. 31 maggio 2021, n. 77 - Governance del Piano nazionale di ripresa e resilienza e prime misure di rafforzamento delle strutture amministrative e di

4 di 19

accelerazione e snellimento delle procedure, convertito dalla Legge n. 108/2021;

● disposizioni stabilite dal Codice Civile;

● Linee guida emanate dall'Anac in ottemperanza a quanto previsto dal D.Lgs. 50/2016;

● Condizioni dettate dal Capitolato tecnico e da altri documenti comunque denominati;

● Circolari AgID n. 2 e n. 3 del 9 aprile 2018;

● Quanto non espressamente previsto dal presente paragrafo, è integrato de iure dalla normativa nazionale e europea di riferimento.

3. OGGETTO DELLA FORNITURA

3.1. Oggetto del Contratto

Nell’ambito delle iniziative per il rafforzamento della postura di sicurezza dell’intera Organizzazione, la Committente intende acquisire il “servizio di Cyber Threat Intelligence” con le caratteristiche tecniche di seguito speciﬁcate.

Il servizio dovrm essere articolato in componenti autonome e fruibili in maniera indipendente, al ﬁne di consentire alla Committente di fruire liberamente di tutti i servizi di Cyber Threat Intelligence di cui necessita in base alle proprie esigenze. I servizi pertanto saranno remunerati solo ed esclusivamente in base all’effettivo consumo degli stessi da parte della Committente.

Di seguito si descrivono le caratteristiche tecniche minime della piattaforma principale e delle componenti complementari, che dovranno essere messe a disposizione dall’Appaltatore.

5 di 19

Tutti i requisiti elencati nel presente capitolato vanno intesi come minimi e devono essere soddisfatti per l’ammissibilitm dell’offerta, a pena di esclusione dalla procedura.

L’Appaltatore, entro 5 giorni naturali e consecutivi dalla data di sottoscrizione del Verbale di avvio delle attivitm, dovrm garantire l’attivazione dei servizi di Cyber Threat Intelligence al ﬁne di garantire la fruizione degli stessi. A tal ﬁne entro tale tempistica (5 giorni naturali e consecutivi) dovranno essere ultimate le seguenti attivitm propedeutiche all’erogazione dei servizi:

● acquisizione delle info per il monitoraggio

● utenze PagoPA per la dashboard

● integrazione IoC con il SIEM (la cui esecuzione è in carico alla Committente)

3.2. Piattaforma principale

La piattaforma principale dovrm consentire alla Committente di adottare un approccio alla Cyber Threat Intelligence avanzato ed efﬁcace verso minacce di tipo APT e structured crime.

Essa dovrm prevedere la fornitura continuativa di report e indicatori di compromissione (IoC) con un contenuto informativo tale da consentirne la diretta ed efﬁcace utilizzazione nella piattaforma SIEM impiegata dalla scrivente organizzazione, ovvero Microsoft Sentinel. Tale materiale dovrm essere raccolto aggregando i ﬂussi informativi provenienti da molteplici fonti e arricchito mediante veriﬁche e approfondimenti volti ad ampliarne le capacitm difensive, la comprensione e l’utilizzo immediati; inoltre, dovranno essere ad esso aggiunte informazioni di contestualizzazione delle minacce cibernetiche potenziali verso l’organizzazione scrivente.

A titolo esempliﬁcativo, ma non esaustivo, si indica un elenco tipico delle fonti consultabili per la ricerca di informazioni pertinenti:

● siti web

● forum

6 di 19

● social network

● canali Signal, Telegram, ecc.

● bollettini di sicurezza delle organizzazioni indipendenti

● bollettini di sicurezza dei vendor

● CERT nazionali e internazionali

Le fonti in questione dovranno essere scelte in modo da garantire il reperimento di informazioni inerenti lo spazio cyber nazionale e i settori di esercizio della societm PagoPA, nonché le tecnologie da essa impiegate. Si richiede di spiegare in proposta le modalitm di raccolta, veriﬁca ed arricchimento delle informazioni acquisite dalle fonti che sono peculiari dell’offerente; in fase di valutazione delle proposte sarm positivamente valutato il valore aggiunto introdotto rispetto alle fonti generiche e liberamente consultabili.

Inoltre, si elencano alcuni esempi di elementi di interesse per le segnalazioni (anche in questo caso, la lista non è da intendersi esaustiva):

● Email, sms e pagine web di phishing (o comunque malevoli) riconducibili alla societm PagoPA o ai suoi prodotti.

● Domini di nuova creazione con nomi sospetti similari a quelli di XxxxXX.

● Applicazioni per dispositivi mobili che negli store online siano diffuse ingannevolmente facendo uso di graﬁca, loghi e brand riconducibili a PagoPA.

● Minacce cyber di tipologia diversa individuabili sul web emerso, deep, dark riconducibili a PagoPA e alla sua struttura tecnologica (domini, indirizzi email, ecc.).

● Coinvolgimento del personale PagoPA o dei suoi fornitori (la lista sarm consegnata all’aggiudicatario) in data leak/breach di siti web di qualsiasi tipologia condivisi negli ambiti underground.

● Coinvolgimento dei fornitori suddetti in incidenti informatici quali data breach, attacchi ransomware, violazioni e compromissioni di tipologia diversa.

7 di 19

Dal punto di vista tecnico/operativo, gli elementi essenziali che la piattaforma principale dovrm fornire sono i seguenti:

● Dashboard informativa, report e IOC (l’accesso dovrm essere consentito a tutto il personale della societm PagoPA che questa riterrm opportuno coinvolgere)

● Proffili dettagliati degli avversari: descrizione, settori target, tools utilizzati, exploits, eventi ioc, regole per detection, ecc.

● Report quotidiani in lingua italiana sulle minacce emergenti

● Informazioni strategiche sul panorama di rischio, tattiche (metodologie, strumenti e modus operandi utilizzati), operative (dettagli di speciﬁci attacchi o minacce in arrivo) e tecniche (indicatori di minacce speciﬁche).

Il tutto deve essere classiﬁcato tramite Trafﬁc Light Protocol (TLP), al ﬁne di gestire al meglio le informazioni raccolte. Inoltre, oltre che restare disponibile nella dashboard, ogni report dovrm essere scaricabile in formato PDF.

Il Fornitore dovrm inoltre prevedere delle sessioni di training, da erogarsi in modalitm remota, per i dipendenti della Committente che utilizzeranno la piattaforma al ﬁne di garantirne un rapido e corretto utilizzo.

3.3. Componenti complementari

Nel presente paragrafo sono elencate e descritte tutte le componenti complementari alla piattaforma principale, che il Fornitore dovrm garantire ed erogare su richiesta della Committente. Si precisa infatti che l’attivazione delle singole componenti complementari di seguito descritte, potrm essere richiesta dalla Committente al Fornitore durante tutta la durata contrattuale, tramite mail dovranno essere attivate dal fornitore entro 2 giorni lavorativi dalla richiesta.

8 di 19

3.3.1 Monitoraggio fonti OSINT, CLOSINT e dark web

Sulla base delle informazioni relative al perimetro IT dell’organizzazione (descritto per mezzo di indirizzi IP, domini, domini email), dovranno essere selezionate e analizzate le informazioni critiche per inviare alert in modo speciﬁco e verticale reportistica di alert. Preferibilmente, gli alert dovranno essere inviati nella forma di report e, comunque, essi dovranno essere generati solo dopo la validazione eseguita da personale umano delle informazioni rilevate. La tipologia dovrm avere l’obiettivo di monitorare le informazioni inerenti PagoPA S.p.A. circolanti all’esterno dell’organizzazione su canali sia di tipo OSINT che CLOSINT e riguardare solo ed esclusivamente eventuali minacce cibernetiche.

La durata della componente complementare sopra descritta sarm di 12 mesi a partire dall’attivazione della stessa e remunerata tramite la rispettiva tariffa annuale offerta dal Fornitore in fase di gara, ferma restando la durata complessiva del contratto. Nel caso in cui al momento dell’attivazione della componente complementare, la scadenza del Contratto fosse prevista entro 12 mesi, la tariffa della componente complementare sarm riproporzionata sulla base delle effettive mensilitm in cui è stata attivata.

3.3.2 Supporto al personale della Committente

Il personale della societm offerente dovrm essere disponibile per essere contattato dai tecnici della Committente in caso questi necessitino di un confronto dedicato per validare, arricchire ed approfondire temi tecnici. Dovrm essere erogato mediante sistema di instant messaging (preferibilmente Slack) e garantito business day, con tempo di risposta di 2h dalla ricezione del messaggio della Committente (in questo intervallo non è dovuta la risoluzione della richiesta stessa).

9 di 19

caso in cui al momento dell’attivazione della componente complementare, la scadenza del Contratto fosse prevista entro 12 mesi, la tariffa della componente complementare sarm riproporzionata sulla base delle effettive mensilitm in cui è stata attivata.

3.3.3 Servizio di investigazione

La Committente dovrm poter disporre dei servizi di personale con competenze speciﬁche nel campo investigativo, tecnico e di contesto per analisi su dati tecnologici all’interno del perimetro dell’organizzazione, ad esempio nel caso di ricezione di email di spear phishing o rilevazione di attivitm da parte di IP sospetti. Le attivitm investigative, che dovranno avviarsi entro 5 giorni solari dalla richiesta, dovranno essere altamente personalizzate sulle esigenze espresse in modo da mirare fenomeni speciﬁci e originati dall’ambiente interno. Al termine delle attivitm, dovrm essere consegnato un un report formale e completo, mentre Informazioni parziali e situational report dovranno essere comunicate come aggiornamento periodico durante lo svolgimento delle indagini.

La componente complementare sopra descritta sarm remunerata tramite la rispettiva tariffa unitaria (tariffa per singolo ticket), offerta dal Fornitore in fase di gara.

3.3.4 Monitoraggio della minacce originate nella Supply Chain

Durante il periodo di erogazione, il fornitore dovrm ricercare ed identiﬁcare domini sospetti ed esposizioni a data leak inerenti i fornitori della Committente in modo completamente passivo e dall’esterno. Questo monitoraggio dovrm essere volto a individuare le minacce che potrebbero avere impatto su PagoPA S.p.A. stessa.

La durata della componente complementare sopra descritta sarm di 12 mesi a partire dall’attivazione della stessa, ferma restando la durata complessiva del contratto, e remunerata tramite la rispettiva tariffa annuale offerta dal Fornitore in fase di gara e valida ﬁno a un massimo di 5 fornitori. Nel caso in cui al momento dell’attivazione

10 di 19

della componente complementare, la scadenza del Contratto fosse prevista entro 12 mesi, la tariffa della componente complementare sarm riproporzionata sulla base delle effettive mensilitm in cui è stata attivata.

3.3.5 Reportistica per Executive

Durante il periodo di erogazione, con cadenza bimestrale, il fornitore dovrm consegnare un report dedicato agli executive (CEO/CSO/CISO) della Committente. Esso dovrm riassumere le principali minacce cibernetiche osservate, fornire una overview generale delle minacce ed essere focalizzato in modo speciﬁco al settore della Pubblica Amministrazione e ai servizi di pubblica utilitm.

3.3.6 Monitoraggio dei canali social per info sul sentiment

Durante il periodo di erogazione, il fornitore dovrm fornire dei report periodici con i risultati delle analisi dei canali social, al ﬁne di ottenere informazioni circa il sentiment verso la committente delle più importanti community e che riesca con i dati raccolti a svolgere analisi semantiche.

11 di 19

3.3.7 Modalità di erogazione delle componenti complementari

Componente complementare	livello di servizio
Monitoraggio fonti OSINT, CLOSINT e dark web	Monitoraggio h24/365
Supporto al personale della Committente	Business day
Servizio di investigazione	1 ticket
Monitoraggio della minacce originate nella Supply Chain	Monitoraggio h24/365
Monitoraggio dei canali social per info sul sentiment	Monitoraggio h24/365
Reportistica per Executive	Reportistica h24/365

4. DISPOSIZIONI IN ORDINE ALLA ESECUZIONE DEL CONTRATTO

4.1 Modalità e obblighi di esecuzione

Per l’espletamento del servizio e delle attivitm oggetto della presente procedura, il Fornitore dovrm rispettare tutti gli obblighi previsti negli atti della procedura medesima ed attenersi, altresì, alle indicazioni fornite dalla Stazione Appaltante per il tramite del RUP e/o del Direttore dell’esecuzione del Contratto individuato dalla Stazione appaltante.

12 di 19

4.2 Obblighi del Fornitore in materia di retribuzione, assistenza, previdenza e salute dei propri lavoratori

Il Fornitore, nell’esecuzione delle attivitm contrattuali, è tenuto ad adottare tutti i comportamenti e le cautele necessarie a garantire la vita e l’incolumitm dei lavoratori e del personale addetto, nonché ad evitare danni a terze persone e/o a beni pubblici e privati.

In caso di mancata adozione dei comportamenti e delle cautele sopra riportate, il Fornitore sarm ritenuto unico responsabile dei danni e degli inconvenienti eventualmente derivati.

Il Fornitore rimane, inoltre, obbligato ad osservare e fare osservare tutte le vigenti norme di carattere generale e le prescrizioni dettate in materia di sicurezza ed infortuni sul lavoro.

Di qualsiasi infortunio veriﬁcatosi nell’espletamento dei servizi dovrm essere data immediata comunicazione formale alla Stazione Appaltante.

Il Fornitore è tenuto ad osservare integralmente quanto è stabilito per il trattamento economico e giuridico dai contratti collettivi nazionali, territoriali ed individuali, in vigore e deve farsi carico di applicare in favore del personale adibito le cogenti disposizioni in materia retributiva, contributiva, assicurativa, previdenziale ed assistenziale.

In ogni momento, la Stazione Appaltante si riserva la facoltm di veriﬁcare, presso gli istituti assicurativi, assistenziali e previdenziali, la regolaritm di iscrizione dei versamenti periodici effettuati dalla Societm a carico del personale impiegato nell’esecuzione del contratto.

Qualora la Stazione Appaltante riscontrasse violazioni alle disposizioni sopra elencate, si riserva il diritto insindacabile di sospendere l’emissione dei mandati di pagamento sino ad avvenuta regolarizzazione.

4.3 Tutela della riservatezza e dei dati personali di terzi e nomina a responsabile del trattamento dei dati

L’Appaltatore si impegna a non divulgare notizie e fatti relativi alla Stazione appaltante dei quali sia venuta a conoscenza nell’esecuzione delle prestazioni oggetto dell’appalto.

L’Appaltatore si impegna afﬁnché tutte le informazioni, concetti, idee, procedimenti, metodi e/o dati tecnici di cui il personale utilizzato verrm a conoscenza nello svolgimento del servizio siano mantenuti riservati. In tal senso l’Appaltatore si obbliga ad adottare con i propri dipendenti e consulenti tutte le cautele necessarie a

13 di 19

tutelare la riservatezza di tali informazioni e/o documentazione.

Nell’ipotesi in cui l’Appaltatore fosse tenuto a svolgere attivitm che comportano un trattamento di dati personali in nome e per conto della Stazione Appaltante sarm da quest’ultima nominato per iscritto responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento UE. L’Appaltatore pertanto dovrm stipulare con la Stazione Appaltante uno speciﬁco accordo sul trattamento dei dati personali che regoli le misure di sicurezza e le garanzie che lo stesso adotta, in qualitm di responsabile del trattamento, rispetto ai servizi forniti alla Stazione Appaltante. In assenza di un accordo ai sensi dell’art. 28 del GDPR stipulato tra la Stazione Appaltante e l’Appaltatore, quest'ultimo non è autorizzato a trattare dati personali per conto della Stazione Appaltante, in qualitm di responsabile del trattamento per l’esecuzione del presente Contratto.

5. REQUISITI ORGANIZZATIVI

5.1. Requisiti di Qualità

Il Fornitore deve assicurare la qualitm dei servizi erogati, attraverso la presenza al suo interno di speciﬁche funzioni di veriﬁca, validazione, riesame, assicurazione qualitm sui prodotti e sui processi.

Su richiesta della Committente, il Fornitore dovrm predisporre delle rappresentazioni dell’andamento della fornitura basandosi sui dati riportati nei rapporti sugli indicatori di qualitm della fornitura, anche al ﬁne di effettuare analisi a vari livelli di dettaglio delle informazioni.

Nell’esecuzione delle attivitm contrattualmente previste il Fornitore deve:

● rispettare i principi di assicurazione e di gestione della qualitm della norma UNI EN ISO 9001-2015 rispetto alla quale viene richiesta la relativa certiﬁcazione;

● rispettare i livelli di servizio e gli indicatori di qualitm (IQ).

5.2. Responsabile del Contratto per l'Appaltatore

L'Appaltatore dovrm comunicare entro 5 (cinque) giorni lavorativi dalla sottoscrizione del Verbale di inizio attivitm, il nominativo del proprio rappresentante designato quale responsabile del rispetto di tutti gli adempimenti contrattuali, nonché quale

14 di 19

interlocutore della Committente per gli aspetti amministrativi, per l’organizzazione ed il coordinamento delle attivitm contrattuali.

Sarm cura del Responsabile curare la gestione amministrativa del contratto e delle connesse attivitm legate alla fatturazione e veriﬁcare il rispetto di tutti gli adempimenti contrattuali.

Il Responsabile del Contratto dovrm essere reperibile telefonicamente negli orari di esecuzione dei servizi, e partecipare alle riunioni di avanzamento contratto ed ogni altra riunione su richiesta della Committente.

Pertanto in caso di assenza per più di 2 giorni dovrm nominare un sostituto temporaneo che conosca nel dettaglio gli adempimenti e le attivitm del Contratto, dandone previa comunicazione scritta alla Committente.

Il Responsabile del Contratto dovrm inderogabilmente:

- assicurare il pieno rispetto di tutti gli adempimenti contrattuali;

- presentare bimestralmente il report sull’andamento delle attivitm;

- garantire e monitorare la correttezza e la tempestivitm dell’utilizzo degli strumenti e degli standard/linee guida della Committente;

- monitorare i livelli di servizio sulle attivitm ed intraprendere eventuali azioni correttive a fronte del mancato rispetto delle soglie previste e/o a fronte di rilievi.

- misurare i risultati sugli indicatori di qualitm;

- mantenere un costante colloquio con i diversi responsabili dell’esecuzione del Contratto per la Committente.

6. ESECUZIONE DELLA FORNITURA

6.1 Attività propedeutiche all’erogazione dei servizi

L'Aggiudicatario dovrm garantire, senza oneri aggiuntivi per la Committente:

- la predisposizione degli strumenti necessari per porre in essere il collegamento telematico con la Committente;

- le necessarie dotazioni individuali di attrezzature informatiche per il proprio personale, gli ambienti tecnologici conformi per l’esecuzione delle prestazioni oggetto dell'appalto.

In considerazione dell’articolazione, della complessitm e delle esigenze di qualitm, l'Aggiudicatario, nel periodo di subentro, dovrm acquisire il know-how sul contesto tecnologico ed applicativo nonché di processo ed organizzativo del servizio, predisporre gli ambienti tecnologici e/o strumenti operativi e di supporto.

15 di 19

Tutte le spese e gli oneri dell’Aggiudicatario, relativi alle attivitm propedeutiche all’erogazione dei servizi oggetto del presente documento, sono da intendersi ricomprese e compensate nel corrispettivo complessivo delle attivitm.

6.2. Modalità di erogazione continuativa

Il servizio oggetto del presente appalto deve essere erogato in modalitm continuativa a decorrere dalla data di attivazione dei servizi.

L’erogazione è senza soluzione di continuitm ﬁno alla data di ﬁne delle attivitm, salva ed impregiudicata la facoltm della Committente di sospendere, ridurre e/o interrompere i servizi.

Dal momento in cui una richiesta per malfunzionamento è registrata nel sistema della Committente, o nel sistema del Fornitore in assenza dello stesso, decorrono i tempi relativi ai livelli di servizio deﬁniti nel presente capitolato tecnico.

Il Fornitore ha la responsabilitm della esecuzione dell’attivitm di risoluzione del malfunzionamento ed è tenuto ad aggiornare le informazioni di propria competenza sul sistema ﬁno alla soluzione del malfunzionamento stesso motivato con la opportuna e dettagliata diagnosi.

16 di 19

APPENDICE n.1. INDICATORI DI QUALITÀ E PENALI

Durante l’intera durata contrattuale il Fornitore dovrm, inoltre, effettuare la rendicontazione dei risultati della misurazione di tutti gli indicatori di qualitm attraverso un documento “Rapporto indicatori di qualità” che dovrm essere redatto bimestralmente.

Il Rapporto indicatori di qualità costituirm complessivamente il riferimento per la valutazione del rispetto dei requisiti di qualitm, al ﬁne dell’applicazione delle penali di seguito indicate. Durante l’intero periodo contrattuale ciascun indicatore di qualitm potrm essere riesaminato dall’Aggiudicatario su richiesta della Committente, motivandolo con la presenza di nuovi strumenti di misurazione non disponibili alla data di stipula del Contratto e/o con la necessitm di adeguare le metodiche di rilevazione dei singoli indicatori di qualitm che non sono risultate efﬁcaci. Si riporta di seguito l’insieme degli indicatori di qualitm con i relativi valori soglia e il periodo di riferimento.

Nella tabella che segue sono indicati i livelli di servizio, la soglia prevista e le modalitm di misurazione.

Indicatore di Qualitm

Modalitm di misurazione

Soglia

Frequenza di rilevazione

Penali

IQ01 - Rilievi sulla fornitura

Numero rilievi emessi nel periodo di riferimento (bimestre)

3 rilievi

Bimestrale

0,5% dell’importo massimo contrattuale per ogni rilievo eccedente il valore soglia

IQ02 -

Attivazione Servizi - piattaforma principale

Tempo calcolato dalla data di sottoscrizione del Verbale di avvio delle attivitm

0 giorni di ritardo

Bimestrale

0,5% dell’importo massimo contrattuale per ogni giorno, o frazione di giorno, di ritardo.

IQ03 –

Disponibilità della piattaforma principale

Percentuale di garanzia di operativitm della piattaforma principale

availability 99,99%

Bimestrale

0,1% dell’importo massimo contrattuale per ogni punto percentuale (arrotondato per eccesso) al di sotto del limite previsto

IQ4 –

Attivazione Componenti complementari

Ritardo del Fornitore, espresso in giorni lavorativi, relativo all’attivazione della

0 giorni di ritardo

Mensile

0,2% dell’importo massimale contrattuale, per ogni giorno di ritardo

17 di 19

	componente complementare richiesta dalla Committente, rispetto le tempistiche indicate nel par. 3.3. o migliorative se offerte in fase di gara
IQ5 – Componenti complementari - Ritardo nel Supporto al personale della Committente	Ritardo del Fornitore, espresso in ore lavorative, relativo al supporto al personale della Committente, rispetto le tempistiche indicate nel par. 3.3.2. o migliorative se offerte in fase di gara	0 ore di ritardo	Mensile	0,05% dell’importo massimale contrattuale, per ogni ora di ritardo
IQ06 – Componenti complementari - Ritardo erogazione del Servizio di investigazione	Ritardo del Fornitore, espresso in giorni solari, relativo all’avvio del servizio di investigazione, rispetto le tempistiche indicate nel par. 3.3.3. o migliorative se offerte in fase di gara	0 giorni di ritardo	Mensile	0,05 % dell’importo Massimale contrattuale, per ogni giorno di ritardo
IQ07 – Impegni assunti in offerta tecnica	Rilievi nei confronti del Fornitore, non imputabile alla Committente ovvero a forza maggiore o caso fortuito, nella messa a disposizione alla Committente delle risorse/ soluzioni / migliorie / strumenti indicati nell’Offerta tecnica, nei tempi indicati nel capitolato ed eventualmente migliorati nell’Offerta tecnica	0 rilievi	Mensile	0,3% dell’importo massimale contrattuale, per ogni giorno di ritardo

18 di 19

Per quanto riguarda l’IQ01-Rilievi sulla fornitura si evidenzia che per Xxxxxxx si intendono le inadempienze di carattere generale sulla fornitura, non riconducibili agli altri indicatori di qualitm indicati nella presente Appendice. L’indicatore conteggia il numero di rilievi notiﬁcati al Fornitore tramite lettera di rilievo. Una singola comunicazione potrm contenere più rilievi. Ai ﬁni della rilevazione del presente indicatore sono conteggiati i rilievi afferenti i servizi oggetto della fornitura nonché eventuali rilievi per inadempimenti generici o afferenti obblighi contrattuali non adempiuti nei tempi e nei modi stabiliti dal Capitolato tecnico e dal Contratto. Si citano, a titolo meramente esempliﬁcativo e non esaustivo, eventuali cause di rilievo:

● Mancato rispetto delle scadenze di adempimenti contrattualmente previsti.

19 di 19

XXXXXXXXXX XXXXXXXX 28.02.2023

17:09:11

GMT+01:00

Document Metadata

Table of Contents

GARA EUROPEA A PROCEDURA APERTA PER L’AFFIDAMENTO, TRAMITE ACCORDO QUADRO EX ART. 54, COMMA 3 DEL D.LGS. 50/2016, DEL SERVIZIO DI CYBER THREAT INTELLIGENCE

Document Metadata