CAPITOLATO TECNICO

L’IVASS - Istituto per la Vigilanza sulle Assicurazioni ha indetto una gara a procedura aperta, ai sensi dell’art. 60 del D. Lgs. 50/2016, della fornitura di un applicativo per la gestione del personale dell’Istituto e per l’affidamento del servizio di payroll in outsourcing.

Il codice CIG attribuito alla procedura è il seguente: 9844046BBC.

1.1 Acronimi e definizioni

IVASS	Istituto per la Vigilanza sulle Assicurazioni
SaaS	Software as a Service
AgID	Agenzia per l'Italia Digitale
AdE	Agenzia delle entrate
CAD	Codice dell’ Amministrazione Digitale
GDPR	General Data Protection Regulation – Regolamento UE 2016/679
eIDAS	electronic IDentification, Authentication and trust Services
PDF	Portable Document Format
REST	Representational state transfer
SOAP	Simple Object Access Protocol
JSON	JavaScript Object Notation
MFT	Managed File Transfer
XML	eXtensible Markup Language
CSV	Comma-Separated Values
URL	Uniform Resource Locator
SFTP	SSH File Transfer Protocol
SOC	Security Operations Center
CERT	Computer Emergency Response Team
OWASP	Open Web Application Security Project
OTP	One-Time Password
SQL	Structured Query Language
HTTPS	HyperText Transfer Protocol Secure
TLS	Transport Layer Security
VPN	Virtual Private Network
VLAN	Virtual Local Area Network
CSRF	Cross-Site Request Forgery

RCE	Remote Code Execution
XSS	Cross-Site Scripting
IPS	Intrustion Prevention System
DDoS	Distributed Denial of Service

In particolare, per il presente documento valgono le seguenti definizioni:

• Istituto: Istituto per la Vigilanza sulle Assicurazioni.

• Fornitore: il futuro Aggiudicatario della presente gara.

• Regolamento: Regolamento per il trattamento giuridico ed economico del personale.

2. Contesto di riferimento

2.1 Presentazione dell’Istituto

L'IVASS – Istituto per la Vigilanza sulle Assicurazioni – è un ente di diritto pubblico, istituito con legge 7 agosto 2012, n. 135 (di conversione, con modifiche, del decreto legge 6 luglio 2012, n. 95), subentrato all’ISVAP in tutte le funzioni, le competenze e i poteri, che opera per garantire la stabilità del mercato assicurativo, la tutela degli assicurati e degli aventi diritto alle prestazioni assicurative e per realizzare la piena integrazione della vigilanza assicurativa con quella bancaria.

Al fine di assicurare l’esercizio imparziale delle proprie funzioni, l’Istituto gode di autonomia organizzativa, finanziaria e contabile e agisce in base ai principi di trasparenza ed economicità.

L’IVASS esercita le funzioni di vigilanza nei confronti delle imprese di assicurazione e riassicurazione, dei gruppi assicurativi, dei conglomerati finanziari nei quali sono incluse le imprese di assicurazione, dei soggetti che svolgono funzioni parzialmente comprese nel ciclo operativo delle imprese assicurative nonché degli intermediari assicurativi e riassicurativi.

Nell’esercizio delle sue funzioni, l’IVASS dispone di poteri autorizzativi, ispettivi, sanzionatori e normativi. Tratta i reclami dei consumatori. Stabilisce le regole di comportamento che le imprese e gli intermediari sono tenuti a osservare nell’offerta e nell’esecuzione dei contratti e ne verifica il puntuale adempimento. Cura le relazioni con le Associazioni dei consumatori.

Sviluppa la conoscenza del mercato assicurativo attraverso studi e indagini di natura statistica ed economica.

Le entrate dell'IVASS sono costituite dai contributi a carico dei soggetti vigilati, il cui ammontare è definito annualmente con decreto del Ministro dell’economia e delle finanze adottato su proposta dell'IVASS, in modo da assicurare la copertura finanziaria degli oneri di funzionamento dell’Istituto.

I bilanci dell’Istituto sono sottoposti al controllo della Corte dei Conti; la contabilità viene verificata anche da revisori esterni così come stabilito dall'art. 14 dello Statuto dell'IVASS.

2.2 Finalità e oggetto dell’appalto

L’appalto prevede l’espletamento delle attività di seguito descritte:

1. fornitura di un applicativo per la gestione del personale dotato delle seguenti funzionalità:

a) anagrafica del personale;

b) portale del dipendente;

c) sistema di rilevamento delle presenze;

d) sistema controllo accessi;

e) funzione di gestione delle missioni;

f) gestione processo di valutazione delle performance;

g) funzione di generazione dei questionari anonimi e reporting dei risultati;

h) supporto alla gestione della formazione;

i) supporto alle selezioni interne (avanzamenti di area/profilo, vacancy e job posting);

j) budget;

k) reportistica e analytics;

l) gestione delle paghe e dei contributi;

2. affidamento in outsourcing del complesso dei relativi servizi finalizzati all’elaborazione e gestione delle buste paga del personale dell’Istituto e di tutti i conseguenti adempimenti, da eseguirsi nel rispetto delle previsioni in materia di lavoro, contabile e contributiva, previdenziale ed assistenziale, fiscale ed assicurativa, nonché delle attività di consulenza e assistenza, compresa l’elaborazione della documentazione connessa. Il servizio di payroll dovrà avvalersi del modulo applicativo per la gestione delle paghe e dei contributi, nonché garantire il dialogo con il resto delle funzionalità per la gestione del personale ed in particolare con il sistema di rilevazione automatico delle presenze, con la funzione di gestione delle missioni e con l'applicativo di gestione della contabilità generale attualmente in dotazione all’Istituto;

3. affidamento dei servizi di manutenzione correttiva, evolutiva e normativa.

L’espletamento delle suddette attività dovrà avvenire mediante dei sistemi informatici (piattaforme, applicativi ed in generale ogni componente software connessa), in modalità SaaS, che garantiscano la conformità alla normativa vigente, incluse le previsioni di compliance privacy.

Si riporta una tabella riepilogativa dei servizi/forniture oggetto dell’appalto:

Rif. Capitolato Tecnico		Descrizione dei servizi/forniture	P/S1	Unità di misura	Quantità
	A	Avvio del servizio	P
par. 5.1		Setup e configurazione dell’infrastruttura base Cloud, affiancamento in uscita, migrazione e formazione		Una tantum a consumo (giornate)
	B	Fornitura moduli applicativi	P
par. 3.3, 4.1, 4.1.1, 4.2, 4.3.3 e da 4.4 a 4.11		Licenze d'uso e manutenzione annua o, in alternativa, licenze cloud		Una tantum per licenze d’uso e canone annuo per manutenzione o, in alternativa, canone annuo per licenze cloud con costo del canone di manutenzione incluso
	C	Hardware connessi al rilevamento delle presenze e accessi	P
par. 4.3.2		Badges		A consumo	1.000,00
par. 4.3.1		Terminali di rilevazione delle presenze e/o accessi		A consumo	15,00
par. 4.3.1		Terminali apriporta integrati con il controllo accessi		A consumo	4,00
par. 4.3.1		Installazione		Una tantum	1,00
par. 4.3.1		Manutenzione annua		Canone annuo	2 anni
	D	Servizio in outsourcing payroll	P
par. 4.11		Xxxxxxxx		A consumo	9.866,00
	E	Consulenza del lavoro	S
par. 4.11		Consulenza del lavoro svolto da un professionista iscritto all'Albo dei Consulenti del lavoro si cui alla L. n. 12/1979 (80 ore annue)		A consumo	160 ore
	F	Assistenza e affiancamento post Go-Live	P
par. 5.3		Attività di assistenza e affiancamento post Go- Live (60 ore annue)		A consumo	120 ore

2.3 Durata dell’appalto

Il contratto avrà la durata di 24 mesi, a partire dal 1 gennaio 2024, oltre alla fase di avvio che decorrerà dalla data di sottoscrizione del contratto e che, in relazione alle attività necessarie all’attivazione del servizio di payroll, dovrà concludersi entro il 31 dicembre 2023.

Il contratto potrà essere rinnovato, per una durata pari a 12 mesi, a discrezione dell’Istituto e alle stesse condizioni contrattuali, salvo l’applicazione della clausola di revisione prezzi da applicarsi su richiesta motivata del Fornitore allo scadere del contratto.

1 P/S sta per Prevalente o Secondario.

Ricorrendo i presupposti di cui all’art. 106, comma 1, lett. c), D. Lgs. n. 50/2016, l’IVASS si riserva la facoltà di richiedere una riduzione delle prestazioni contrattuali anche oltre il quinto del valore del contratto attraverso una rinegoziazione dello stesso.

Per le altre disposizioni in tema di durata del contratto si fa rinvio a quanto previsto nel disciplinare di gara e nello schema di contratto.

2.4 Modalità di erogazione secondo il modello SaaS

L’Aggiudicatario deve prevedere la fornitura della soluzione Software as a Service (SaaS), ospitata all'interno della propria infrastruttura, alla quale devono poter accedere tutte le categorie di utenti senza comportare ulteriori costi ed investimenti per l’IVASS, sia in termini di hardware che di licenze software.

La soluzione proposta dovrà garantire la fruizione dell’intero insieme delle funzionalità via web attraverso l’accesso ad Internet e l’uso dei più comuni browser, così come specificato nel paragrafo 3.1

Non sono ammesse soluzioni basate su tecnologie client/server o di tipo terminal server e

desktop remoto (es. Citrix), che richiedano tecnologie diverse dal browser web.

Il Fornitore sarà responsabile della piattaforma applicativa e di tutti i sistemi sottostanti e dovrà garantirne l’accessibilità, oltre che la continuità di erogazione del servizio in accordo agli standard e livelli di servizio indicati nelle sezioni 3.5 e 3.6.

2.5 Contesto applicativo

La disciplina del rapporto di impiego del personale dell’IVASS, non riconducibile ad altre categorie di contrattazione collettiva, è dettata dai Regolamenti interni e dalle relative circolari applicative.

La pianta organica del personale ha un limite di 400 unità a tempo indeterminato (attualmente sono in servizio n. 363 dipendenti). Il personale è distinto in 2 aree: una operativa e una professionale/manageriale. L’area operativa è costituita da un unico profilo, mentre l’area professionale/manageriale è costituita dai dipendenti inquadrati nei seguenti profili: esperto, specialista, direttore, avvocato e avvocato senior.

Oltre al personale dipendente a tempo indeterminato, l’Istituto può assumere fino a 20 dipendenti a tempo determinato (attualmente non è in servizio alcun dipendente con questa tipologia di contratto) e avvalersi della collaborazione di risorse in distacco dalla Banca d’Italia (attualmente sono distaccati circa 50 dipendenti della Banca d’Italia)2. L’orario di lavoro è pari a 37,30 ore settimanali ed è prevista la flessibilità sia in entrata che in uscita. Per particolari esigenze sono previsti permessi orari che richiedono l’autorizzazione dei Capi diretti. Per il personale appartenente all’area professionale/manageriale le ore eccedenti l’orario settimanale confluiscono esclusivamente all’interno della banca delle ore o del tempo nel rispetto dei limiti ad eccezione del lavoro eventualmente svolto nelle giornate di sabato, domenica, in giorni festivi ovvero in ore notturne. Per il personale appartenente all’area

2 Il personale distaccato della Banca d’Italia deve essere censito nell’archivio anagrafica e sarà gestito nei soli applicativi di gestione delle valutazioni e della formazione.

operativa, il numero di ore eccedenti l’orario settimanale può essere retribuito come lavoro straordinario o in alternativa, su richiesta del dipendente, confluire nella banca delle ore o del tempo nei limiti fissati dal Regolamento e dalla circolare presenze.

I dipendenti possono utilizzare il lavoro delocalizzato per un numero massimo di giorni mensili e annuali in funzione dei processi di lavoro cui sono addetti. È prevista una programmazione mensile del lavoro delocalizzato, da concordare con il Capo diretto.

I dipendenti, ove richiesto, debbono recarsi in missione, in Italia o all’estero, con oneri a carico dell’Istituto e pagamento di un’indennità di missione.

L’avanzamento nella pianta organica avviene tramite procedure comparative. Per il passaggio al profilo di Direttore, ai fini della valutazione, si tiene conto anche delle prove di assessment condotte da un esperto esterno.

Annualmente viene avviato il procedimento di valutazione per tutto il personale. Il processo prevede una interazione tra valutato e valutatore.

In particolare, per il personale non titolare di posizione manageriale, la valutazione si basa sull’osservazione delle capacità professionali agite nell’anno (per l’eventuale attribuzione del livello economico) e sul contributo reso nella realizzazione della produttività complessiva (per l’attribuzione e la misura della parte variabile della retribuzione). Il dipendente inserisce nell’applicativo le attività svolte, il Capo dà conto dei feedback intermedi effettuati ed esegue la valutazione compilando due schede che vengono consegnate e fatte firmare al dipendente nel corso del colloquio di valutazione.

Per il personale titolare di posizione manageriale, la valutazione si basa sul raggiungimento degli obiettivi individuali assegnati (per l’eventuale attribuzione della parte variabile della retribuzione) e sulla conduzione della struttura e sulle capacità manageriali agite per l’assegnazione dell’eventuale livello economico. Il processo prevede la preventiva attribuzione degli obiettivi individuali (con la consegna di una apposita scheda nel corso di un colloquio), cui segue, a chiusura dell’anno di valutazione, la relazione del manager sul raggiungimento degli obiettivi e l’attività svolta. Il superiore gerarchico preposto alla valutazione formula il suo giudizio. Concorre alla valutazione delle capacità manageriali esercitate, l’esito della valutazione effettuata “dal basso” mediante questionari compilati dai dipendenti, in forma rigorosamente anonima.

Con procedura comparativa vengono gestite anche le vacancy per l’attribuzione temporanea degli incarichi manageriali. Ai fini della valutazione si tiene conto anche delle prove di assessment condotte da un esperto esterno.

La rotazione del personale è assicurata, di norma, da procedure di job posting che prevedono l’acquisizione delle candidature e la valutazione comparativa dei profili dei candidati.

Attualmente l’Istituto per la gestione e amministrazione del personale è dotato di diverse modalità e applicativi, in alcuni casi non comunicanti tra loro.

L’applicativo principale di cui l’Istituto si avvale per la gestione delle Risorse Umane è un applicativo modulare denominato Civilia Open, realizzato dalla software house Dedagroup Spa e in uso dal 2002, che consente la gestione dell’anagrafica del dipendente, del sistema di

rilevamento delle presenze, del payroll, delle missioni e in parte della formazione. L’applicativo Civilia Open viene inoltre utilizzato per le attività relative alla gestione contabile dell’Istituto e a supporto della redazione dei bilanci. I dati sottostanti l’applicativo risiedono su tabelle di database Oracle. I server dedicati a questa soluzione risiedono presso il datacenter della Banca d’Italia. Per la gestione delle vacancy, degli avanzamenti e delle procedure di job rotation, le Commissioni si servono della documentazione contenuta nell’applicativo denominato “Fascicolo elettronico del personale”, che costituisce il fascicolo personale del dipendente in formato elettronico e che consiste, in un repository di documenti elettronici in formato PDF. Tali documenti, sono relativi alla vita lavorativa del dipendente (assegnazioni, valutazioni, titoli di studio e professionali, incarichi, ecc.) e sono stati sistematizzati ed ordinati con una attività che si è svolta nelle seguenti fasi:

1. tipizzazione delle descrizioni dei documenti presenti nei fascicoli personali, sulla base dell’oggetto del documento, al fine di ricondurli ad una classificazione univoca;

2. riordino, numerazione e riclassificazione dei documenti inseriti nei fascicoli personali in sezioni;

3. creazione per ogni dipendente di una scheda dati recante l’indice dei documenti contenuti in ciascuna sezione, con indicazione degli estremi e dell'oggetto di ciascun documento.

Tale soluzione consente esclusivamente di effettuare una mera visualizzazione/stampa del documento di interesse sul singolo dipendente, senza avere la possibilità di effettuare ricerche/analisi più specifiche e conseguenti export di dati nei formati Microsoft Office compatibili.

Relativamente al sistema di valutazione delle performance per il personale non titolare di posizione manageriale, la procedura prevista è gestita mediante un applicativo in cloud fornito da SAP e denominato SuccessFactors. Tale applicativo è dotato di una propria anagrafica, non comunicante con la base dati sottostante l’applicativo Civilia Open, che rende necessari ulteriori inserimenti manuali da parte degli addetti, al fine di garantire un allineamento delle informazioni tra i due applicativi.

Annualmente, il Servizio Gestione Risorse procede alla programmazione degli avanzamenti, delle assunzioni e alla conseguente stima delle spese del personale per la predisposizione del bilancio di previsione. La programmazione avviene attraverso fogli Excel essendo necessario disporre di dati presenti sia nell’applicativo Civilia Open (per quanto riguarda paghe e presenze) che nell’applicativo SuccessFactors (valutazioni e avanzamenti).

La gestione economica del personale è effettuata tramite i moduli paghe dell’applicativo Civilia Open. I moduli presenti nell’area servono a gestire gli aspetti legati alle presenze del personale, alla gestione delle competenze economiche e dei conseguenti adempimenti fiscali previdenziali e assistenziali, alla contribuzione alla previdenza complementare, e quelli relativi al TFR. Nell’ambito dell’area gestione economica è contenuta altresì una sezione “adempimenti” nella quale sono inserite una serie di applicazioni necessarie a generare moduli e file per adempiere ad obblighi previdenziali e fiscali di tipo mensile, annuale o infrannuale (CU, mod. 770, Uniemens, ecc.).

Il sistema dialoga con la busta elettronica delle missioni, applicativo sviluppato per consentire al personale incaricato di recarsi in missione, di inserire i dati relativi alla missione e i

giustificativi delle spese e, come detto, con il modulo della Contabilità, generando automaticamente le registrazioni in contabilità finanziaria e in contabilità economica e analitica delle informazioni relative al pagamento delle retribuzioni.

3. Requisiti generali

La soluzione software proposta dovrà consentire al Servizio Gestione risorse di poter svolgere tutte le procedure di competenza sopra descritte attraverso l’utilizzo di un unico applicativo, con le caratteristiche e le funzionalità riportate nei paragrafi seguenti.

3.1 Accessibilità ed usabilità

La soluzione software proposta dovrà tutelare e garantire il diritto di accesso a soggetti disabili e/o svantaggiati. Dovrà essere conforme ai requisiti di accessibilità stabiliti dalla normativa vigente (Legge 9 gennaio 2004, n. 4, art. 23 ter, comma 5-bis del CAD, Linee guida sull’accessibilità degli strumenti informatici dell’AgID) e soddisfare i seguenti requisiti:

• Esporre un’interfaccia web-based accessibile, raggiungibile tramite i più comuni browser (Microsoft Edge, Google Chrome, Mozilla Firefox, Safari) e progettata per essere facilmente usabile da qualsiasi categoria di utente, compresi coloro che utilizzano tecnologie assistive, come screen reader o lente di ingrandimento per desktop.

• La navigazione all’interno della soluzione dovrà essere semplice e intuitiva, così come tutti i contenuti multimediali dovranno essere accessibili e disponibili a qualsiasi categoria d’utente.

• Tutte le etichette, relative a pulsanti, collegamenti, immagini o altri contenuti multimediali, dovranno essere chiare ed esplicative, al fine di evitare confusione o incertezza per quanto riguarda l’utilizzo delle funzionalità offerte.

• L’esecuzione delle varie attività dovrà avvenire con il minor numero possibile di passaggi e azioni richieste all’utente. Pertanto, la soluzione dovrà mettere a disposizione tutte le funzionalità necessarie per l’esecuzione facilitata di operazioni ripetitive o massive (es. firma elettronica massiva di documenti).

• Ad ogni azione effettuata dall’utente dovrà seguire un feedback immediato del risultato prodotto, per comprendere se la richiesta sia stata eseguita ed elaborata con successo o se vi siano errori da correggere e/o segnalare al Fornitore.

• La piattaforma applicativa dovrà essere accessibile da qualsiasi localizzazione geografica.

• La soluzione dovrà, inoltre, prevedere la memorizzazione delle informazioni in formati aperti e/o riconosciuti dai più comuni web browser e sistemi operativi, evitando quindi di utilizzare tipologie di file proprietari e/o chiusi che necessitano di ulteriore installazione di componenti software (es. plugin, estensioni o client).

• La piattaforma dovrà essere realizzata tenendo in considerazione il concetto di responsive web design, al fine di adattarsi in modo automatico al dispositivo che si sta utilizzando per la consultazione (computer, tablet o smartphone), senza quindi perdere alcuna funzionalità o caratteristica di accessibilità e usabilità.

• Dovranno essere presenti funzionalità di estrazione automatica dei dati e di creazione di reportistica in modalità autonoma da parte degli utenti. Tali funzionalità dovranno inoltre permettere la personalizzazione del contenuto dei dati e del formato prodotto

(PDF, PDF/A, JSON, XML, CSV, ecc.). Tutte le interrogazioni di estrazione dati e generazione reportistica dovranno essere salvate nel database dell’applicativo in modo da poter essere consultate e riutilizzate successivamente.

• La piattaforma dovrà includere una sezione di “Aiuto” e documentazione per supportare gli utenti a comprendere come utilizzare al meglio tutte le funzionalità offerte anche attraverso un manuale o una guida utente che dovrà essere aggiornato a seguito di ogni modifica funzionale della soluzione.

Il Committente si riserva di verificare l’effettiva accessibilità e usabilità dell’applicazione e richiedere durante tutta la durata del contratto le modifiche necessarie a garantire la migliore esperienza d’uso, senza alcun onere per il Committente. L’impresa aggiudicataria, durante tutta la durata del contratto, dovrà altresì aggiornare ed adeguare le funzioni di accessibilità, al fine di renderle pienamente compatibili con i nuovi strumenti dedicati all’accessibilità, che verranno rilasciati dai diversi sistemi operativi e dalle piattaforme software specializzate.

3.2 Interoperabilità ed integrazione applicativa

L’interoperabilità e l’integrazione applicativa costituiscono fattori chiave per la realizzazione di sistemi informativi aperti ed interconnessi, necessari per il raggiungimento degli obiettivi qualificanti previsti dalla normativa vigente (“Linee guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni” e “Linee guida Tecnologie e standard per la sicurezza dell’interoperabilità tramite API dei sistemi informatici”, ai sensi dell’art. 71 del CAD e della Direttiva (UE) 2015/1535).

a) Interoperabilità tra i sistemi on-premise IVASS e la soluzione SaaS

I flussi correnti con i quali la soluzione dovrà comunicare riguardano:

• Interazione con l’attuale sistema di contabilità.

Al fine di consentire l’importazione dei dati relativi agli ordinativi di pagamento e riscossione nel software attuale on-premise di contabilità, la piattaforma SaaS dovrà supportare la generazione di un file formato testo, con estensione .txt, il cui tracciato e specifiche tecniche vengono descritti nella tabella seguente, ed il suo successivo trasferimento verso i sistemi IVASS mediante l’utilizzo del protocollo MFT/SFTP.

Dato	O=obbligatorio/F=facoltativo	Valori previsti
Anno e mese	O
N° capitolo	O
Entrata/Spesa	O	E = Entrata S = Spesa
Articolo	F
Competenza/Residuo	O	C = Competenza R = Residuo
N. impegno	F

N. sottoimpegno	F
Codice master cliente/fornitore	O
Importo	O
Voce economica mandato	F (O se Spesa)
Voce economica reversale	F (O se Entrata)
Codice causale economica	F
Codice programma	F
Codice progetto	F
Codice centro di costo	F
Codice centro elementare di costo	F
Conto	F
Sottoconto	F
Codice SIOPE	O
Sottoconto	F
Codice SIOPE	O

Il delimitatore di campo deve essere una virgola, mentre i campi importo non dovranno mai contenerla. Le ultime due posizioni degli importi sono da considerare posizioni decimali (es. 550,30 verrà riportato come 55030). Il carattere invece di fine riga è il line feed (LF).

• Download di dati anagrafici da poter importare sui sistemi IVASS.

La soluzione SaaS dovrà prevedere, attraverso diversi profili autorizzativi, il download di specifici campi anagrafici al fine di generare dei file in diversi formati (es. Excel, CSV, PDF) e poterli successivamente importare sul sistema di gestione documentale IVASS (CAD) sul portale dedicato all’offerta formativa di IVASS e sul portale dedicato al welfare aziendale.

Ad esempio, i campi necessari all’offerta formativa sono i seguenti:

- Cognome

- Nome

- Codice identificativo del dipendente (CID)

- Codice fiscale

- Email

- Genere

- Ente

- Servizio/Ufficio

- Divisione/Settore

b) Protocolli applicativi di scambio flussi tra i sistemi IVASS e la piattaforma applicativa

Lo scambio dei flussi fra la piattaforma applicativa e l’Istituto, al fine di mettere in comunicazione la soluzione SaaS con presenti e futuri sistemi IVASS indipendentemente dal linguaggio di programmazione utilizzato o dal sistema operativo ospitante, dovrà essere implementato utilizzando i seguenti protocolli applicativi:

⮚ SOAP

Nei casi previsti, il servizio dovrà trasmettere dati tramite web service SOAP con le seguenti modalità.

✓ Trasmissione dalla piattaforma applicativa verso IVASS:

▪ l’IVASS pubblicherà il servizio SOAP sincrono su una URL raggiungibile dalla piattaforma applicativa tramite Internet;

▪ la piattaforma applicativa invocherà il servizio per il trasferimento dei dati.

✓ Trasmissione da IVASS verso la piattaforma applicativa:

▪ l’Aggiudicatario pubblicherà il servizio SOAP sincrono su una URL

raggiungibile dall’IVASS tramite Internet;

▪ l’IVASS invocherà il servizio per il trasferimento dei dati.

⮚ REST

Nei casi previsti, la piattaforma applicativa dovrà trasferire dati tramite web service

REST con le seguenti modalità.

✓ Trasmissione dalla piattaforma applicativa verso IVASS:

▪ l’IVASS pubblicherà il servizio REST su una URL raggiungibile dalla piattaforma applicativa tramite Internet;

▪ la piattaforma applicativa invocherà il servizio per il trasferimento dei dati.

✓ Trasmissione da IVASS verso la piattaforma applicativa:

▪ l’Aggiudicatario pubblicherà il servizio REST su una URL raggiungibile dall’IVASS tramite Internet;

▪ l’IVASS invocherà il servizio per il trasferimento dei dati.

⮚ MFT

Nei casi previsti di trasferimento file mediante i servizi di scambio dati con l’esterno mediante piattaforma di Managed File Transfer, la soluzione SaaS deve effettuare il trasferimento dei file con le seguenti modalità.

✓ Trasmissione dalla piattaforma applicativa verso IVASS:

▪ l’Aggiudicatario carica il file;

▪ l’Aggiudicatario carica ulteriori informazioni (c.d. metadati) necessarie per la corretta elaborazione del file (es. applicazione destinataria, identificativo del flusso).

✓ Trasmissione da IVASS verso la piattaforma applicativa:

▪ l’Aggiudicatario scarica il file laddove disponibile;

▪ l’Aggiudicatario richiede la cancellazione del file scaricato.

Si specifica che negli scenari che prevedono uno scambio flussi via MFT, è supportato esclusivamente il protocollo SFTP. Pertanto il Fornitore dovrà dotarsi di un server SFTP per ricevere i flussi in ingresso.

Dovrà essere resa disponibile una adeguata documentazione tecnica dei web service che ne chiarisca l’utilizzo e, in caso di aggiornamento del servizio offerto, dovrà essere garantita la tracciabilità delle diverse versioni disponibili (versioning), allo scopo di consentire evoluzioni non distruttive. Il Fornitore dovrà inoltre garantire la possibilità di tracciare le richieste ricevute dal servizio e il loro esito (logging e accounting), anche al fine della ricostruibilità e non ripudiabilità dell’interazione.

I web service dovranno essere opportunatamente protetti da meccanismi di autenticazione e autorizzazione tramite protocollo SAML 2.0 così da garantire la sicurezza e la privacy dei dati scambiati tra le applicazioni.

Le specifiche di dettaglio (es. protocollo da utilizzare, nomenclatura delle cartelle/aree dedicate in modo esclusivo alla memorizzazione dei file, parametri, codifica dei metadati) saranno identificate in sede di impianto e configurazione iniziale e ove necessario nelle sedi di manutenzione.

L’Istituto si riserva di verificare l’effettiva interoperabilità e integrazione dell’applicazione e di richiedere, durante tutta la durata del contratto, le modifiche necessarie a garantire la migliore esperienza d’uso, senza alcun onere per lo stesso.

3.3 Gestione documentale e firma elettronica

L’applicativo per la gestione del personale, dovrà essere dotato di una soluzione di firma elettronica conforme alla normativa nazionale ed internazionale vigente in materia di firme elettroniche e identità digitale (eIDAS). Con l’utilizzo di tale funzionalità, l’Istituto intende rendere più rapido, sicuro ed ecologico il processo di firma della documentazione gestita all’interno dell’applicativo, in ottica di semplificazione e digitalizzazione dei processi relativi alla gestione delle risorse umane. La firma dovrà essere unicamente connessa al firmatario, idonea a identificarlo e collegata ai dati sottoscritti. A tal fine, la piattaforma applicativa dovrà prevedere la possibilità di sottoscrizione dei documenti mediante meccanismi di firma elettronica avanzata (FEA) secondo quanto riportato al D. Lgs 07/03/2005, n.82. Inoltre, il sistema dovrà consentire l’inserimento della firma anche in modalità massiva e semplificare le necessarie attività di verifica da parte del personale addetto alla gestione della documentazione. I documenti potranno anche seguire processi di convalida attraverso l’utilizzo di workflow al fine di poter ricorrere ad iter predefiniti di firma/approvazione con inoltro automatico del documento alle diverse figure coinvolte. La conservazione dei documenti sottoscritti dovrà rispettare le ultime direttive in materia di conservazione digitale emanate dall’AgID.

Di seguito, si riportano a titolo esemplificativo e non esaustivo alcuni esempi di documentazione che si prevede di rendere disponibile all’interno del portale del dipendente ai fini di una loro sottoscrizione mediante una firma valida a tutti gli effetti:

• documentazione relativa alla valutazione delle performance e riconoscimento del merito;

• documentazione relativa alle retribuzioni (modalità di accredito stipendio, richiesta detrazioni fiscali ecc.);

• documentazione relativa alla prestazione lavorativa e alle assenze (richieste congedi, permessi, dichiarazioni ecc.);

• documentazione relativa alle missioni;

• documentazione relativa alle candidature a procedure di selezione interne.

3.4 Protezione dei dati personali e requisiti di sicurezza informatica

La fornitura oggetto della presente gara comporta un trattamento di dati personali di titolarità dell’IVASS. In virtù di quanto previsto dalla normativa in materia di protezione dei dati (Codice Privacy modificato dal D. Lgs. 101/2018 e GDPR – Regolamento (UE) n. 2016/679), con la stipula del contratto discendente dall’aggiudicazione della gara in oggetto, l’impresa aggiudicataria assumerà il ruolo di Responsabile del trattamento dei dati relativi ai servizi in oggetto.

Le modalità di svolgimento delle attività sui trattamenti dati dovranno essere effettuate nel rispetto dei vincoli contenuti nelle prescrizioni dell'art. 28 comma 3 del GDPR. In particolare, dovranno essere attuate le misure organizzative e tecniche per garantire la disponibilità, la riservatezza, l’integrità e la tutela dei dati degli interessati ai fini di mitigare i seguenti rischi:

• distruzione, xxxxxxx, modifica o divulgazione non autorizzata;

• accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati;

• trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento;

• interruzione della disponibilità dei dati involontaria o volontaria (dolosa).

Tali misure dovranno essere implementate tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche e dovranno essere rivalutate ogni qualvolta si ravveda una variazione dell’efficacia delle stesse o del livello di rischio iniziale.

Di seguito si espongono le misure organizzative che l’Aggiudicatario dovrà mettere in atto per garantire la miglior cura dei dati personali trattati nell’ambito della fornitura oggetto della presente gara.

a) Formazione e sensibilizzazione del personale. Tutto il personale del Fornitore addetto al servizio dovrà essere inserito in un piano di formazione in materia di sicurezza delle informazioni e protezione dei dati personali al fine di garantire il rispetto dei principi di tutela dei dati personali trattati.

b) Istruzioni per il trattamento. Dovranno essere definite e diffuse le istruzioni per l'esecuzione del trattamento che definiscano i principi e le regole da applicare al trattamento tramite procedure, linee guida, manuali di organizzazione del servizio ecc.

c) Procedura di gestione data breach. Dovrà essere definita e diffusa a livello aziendale una specifica procedura di gestione degli incidenti che possano comportare una

violazione dei dati personali. A tal fine, nel caso dovesse verificarsi una qualsiasi violazione di dati personali, il Fornitore dovrà essere in grado di informare l’Istituto secondo le tempistiche indicate al paragrafo 5.5.

d) Governance e definizione del modello organizzativo. Dovranno essere stabiliti in maniera chiara i ruoli e le responsabilità in materia di sicurezza delle informazioni e privacy, sia a livello aziendale, sia nello specifico caso dei servizi erogati nell’ambito del presente contratto (es. codice etico, profili professionali, regolamento privacy), al fine di assicurare una risposta rapida, efficace e ordinata agli incidenti relativi alla sicurezza delle informazioni.

⮚ Elemento migliorativo. L’Aggiudicatario è dotato di una dedicata struttura organizzativa rivolta alla funzione sicurezza informatica in grado sia di prevenire e gestire eventuali minacce informatiche (es. attività solitamente in capo ad un SOC), sia di attuare risposte agli incidenti informatici, così come mitigarne i loro effetti, (es. processi usualmente gestiti da un CERT). Il responsabile della struttura dovrà interfacciarsi con IVASS per discutere qualsiasi questione relativa alla sicurezza informatica.

⮚ Elemento migliorativo. L’Aggiudicatario potrà definire e attuare un piano di audit del sistema di gestione per la sicurezza delle informazioni, al fine di condurre revisioni con cadenza almeno annuale da auditor interni o da terze parti indipendenti, che valutino l’adeguatezza delle misure di sicurezza organizzative e tecniche messe in atto per la tutela dei dati personali trattati. I risultati di tali revisioni dovranno essere comunicati e trasmessi all’IVASS.

e) Regolamentazione delle misure applicate nei rapporti con i fornitori e nomina dei Responsabili del Trattamento. I contratti con eventuali sub-fornitori che effettuino trattamenti nell’ambito dei servizi in oggetto dovranno includere le clausole privacy definite per il rispetto di quanto disposto dal GDPR a livello aziendale ed eventuali clausole e condizioni di dettaglio specifiche per i trattamenti effettuati sui dati di cui IVASS è titolare. Tali sub-fornitori, saranno inoltre formalmente nominati dal Fornitore principale quali Responsabili di tali trattamenti (art. 28 del GDPR) previa autorizzazione da parte dell’Istituto.

f) Periodo di conservazione dei dati. Deve essere prevista la conservazione di tutti i dati personali generati dalle azioni svolte dagli utenti sulla piattaforma applicativa per un periodo rispondente alle istruzioni fornite dall’Istituto.

g) Diritti degli interessati. La piattaforma applicativa dovrà essere dotata delle necessarie funzionalità che consentano al personale addetto alla gestione delle risorse umane di poter adempiere ad eventuali richieste da parte dell’interessato, relative all’esercizio dei diritti previsti dal GDPR (Art. 15-22), anche nel periodo successivo al quale ha prestato il consenso.

h) Perimetro di sicurezza fisica. L’Aggiudicatario, per tutti i data center coinvolti nella fornitura, dovrà documentare le restrizioni e le procedure autorizzative per l'accesso fisico ai sistemi.

Di seguito si riportano inoltre tutti i presidi di sicurezza informatica (misure tecniche) che l’Aggiudicatario dovrà mettere in campo al fine di ridurre quanto più possibile il rischio di eventuali violazioni e compromissioni dei sistemi e dei dati di cui IVASS è titolare.

a) Monitoraggio e gestione degli incidenti. Il Fornitore dovrà monitorare qualsiasi evento di sicurezza, con particolare attenzione ad eventuali incidenti, anche di natura operativa, al fine di identificare proattivamente eventuali minacce (threat monitoring). Tutti gli eventi rilevanti dovranno essere comunicati ad IVASS al fine di valutarne l’impatto e per identificare le necessarie azioni per un eventuale ripristino dei servizi. Il Fornitore dovrà inoltre produrre su base periodica report riguardanti gli incidenti di sicurezza che hanno interessato la piattaforma applicativa.

⮚ Elemento migliorativo. L’Aggiudicatario potrà dotarsi di una soluzione di Security Orchestration, Automation and Response (SOAR) in modo da risultare reattivo a seguito della rilevazione dell’incidente e sulla sua conseguente risoluzione.

b) Autorizzazioni e controllo degli accessi. La piattaforma SaaS dovrà essere predisposta per supportare diversi profili autorizzativi ed il controllo degli accessi, in modo da stabilire delle limitazioni o autorizzazioni su chi può accedere alle varie funzionalità delle due macro-aree: gestione e fruizione. Il Fornitore si impegna inoltre a garantire che i diritti di accesso siano revocati in caso di cambiamenti di natura organica. Pertanto, l’utente non dovrà poter abilitare in autonomia moduli o funzionalità ulteriori non preventivamente autorizzato.

Il sistema di autenticazione dovrà altresì essere predisposto per la configurazione di un’autenticazione forte (a più fattori) usando codici OTP generati dalle più comuni app mobili (es. Google Authenticator o Microsoft Authenticator).

c) Password Policy. La piattaforma SaaS dovrà garantire la possibilità di attuare una precisa password policy, che preveda le seguenti regole:

- le password devono essere lunghe minimo 15 caratteri;

- devono essere utilizzate combinazioni di cifre e lettere, con caratteri minuscoli e maiuscoli;

- è possibile effettuare fino a 10 tentativi errati di digitazione delle password, superati i quali l’utenza viene bloccata;

- non possono essere riutilizzate le ultime 15 password;

- la password deve essere cambiata ogni 365 giorni; l’operazione verrà effettuata, a cura dell’utente, al primo accesso successivo alla data di scadenza;

- la password di prima assegnazione deve essere cambiata da parte dell’utente al primo accesso.

d) Utilizzo di tecniche e metodologie per la produzione di codice sicuro. Lo sviluppo della soluzione dovrà attenersi il più possibile alle best practice di sviluppo di codice

sicuro, così come anche delineato e descritto dalle Linee guida per lo sviluppo del software sicuro3, emanate da AgID, e dalle linee guida della OWASP Foundation.

e) Postazioni di lavoro. Dovranno essere adottate procedure e comportamenti volti a garantire il corretto uso delle postazioni di lavoro del personale e delle risorse correlate (sistemi operativi, applicazioni aziendali, software per ufficio, ecc.) al fine di tutelare tutte le informazioni di cui IVASS sarà titolare da eventuali violazioni e compromissioni. Le stesse dovranno essere costantemente aggiornate ed opportunamente protette da sistemi antivirus, antimalware o eXtended Detection and Response (XDR).

f) Aggiornamenti dei sistemi e Change Management. Tutti i sistemi, infrastrutturali ed applicativi, così come i servizi trasversali erogati dal Fornitore, dovranno essere periodicamente aggiornati al fine di ridurre quanto più possibile il rischio di exploitation su bug e vulnerabilità noti da tempo. Il Fornitore dovrà inoltre rendere disponibile una piattaforma di ticketing al fine di consentire ad IVASS la corretta gestione di change request, così come dettagliato nel paragrafo 5.4. Major changes o aggiornamenti critici, che potrebbero impattare sulle funzionalità applicative, devono essere comunicati in via preliminare ad IVASS in modo da concordare le azioni più idonee da attuare. Ad ogni modo, prima di apportare una qualsiasi modifica in ambiente di produzione, dovranno essere effettuati degli appositi test di accettazione negli ambienti di collaudo.

g) Gestione continua delle vulnerabilità. Il Fornitore deve monitorare e gestire in modo continuativo eventuali vulnerabilità che interesseranno la soluzione software proposta ed eventuali sistemi e/o librerie di terze parti utilizzati. Secondo le criticità che verranno riscontrate su ciascuna vulnerabilità, il Fornitore, in accordo con XXXXX, attuerà azioni di rimedio e/o mitigazione secondo i tempi stabiliti dal piano di gestione delle vulnerabilità. I risultati delle analisi periodiche sulle vulnerabilità dovranno essere forniti sotto forma di report tecnici ed executive ad IVASS. Inoltre, tutte le informazioni riguardanti la gestione delle vulnerabilità dovranno essere adeguatamente protette, in modo da garantirne la riservatezza e l’integrità (ad es. tramite meccanismi di controllo degli accessi) e disponibilità (ad es. tramite backup).

⮚ Elemento migliorativo. Il Fornitore potrà prevedere dei test di sicurezza periodici (ad es. penetration test) a garanzia del livello di patching e dell’assenza di vulnerabilità. I test di sicurezza devono essere svolti da terze parti ed i risultati prodotti dovranno poi essere riportati e comunicati, sia sotto forma di report tecnico sia di natura executive, ad IVASS al fine di informare l’Istituto su eventuali criticità riscontrate.

L’Aggiudicatario dovrà permettere ad IVASS, previo preavviso, di poter effettuare verifiche indipendenti sulla sicurezza dei servizi forniti, mediante vulnerability assessment, penetration testing ed analisi forensi.

h) Crittografia dei dati e dei database. I dati personali, incluse le credenziali, dovranno essere protetti mediante tecniche crittografiche moderne e robuste, così da garantire riservatezza e integrità del dato. Questo livello di crittografia garantirà l’anonimità e

3 xxxxx://xxx.xxxx.xxx.xx/xx/xxxxxxxxx/xxxx-xx/xxxxx-xxxxx-xxxxxxxx-xxx-xxxxxxxx-xxxxxx

l’integrità dei dati personali da eventuali violazioni applicative (es. a seguito di SQL Injection).

Un ulteriore strato di crittografia dovrà essere applicato all’intero contenitore dei dati (es. database) al fine di salvaguardare tutto il contenuto informativo. Questo secondo elemento garantirà l’anonimità e l’integrità del contenitore informativo da eventuali violazioni sistemistiche (es. a seguito di esfiltrazione da attacco ransomware).

i) Crittografia dei flussi di comunicazione. Tutti i flussi di comunicazione, sia interni ai vari servizi o funzionalità applicative, che esterni verso gli utenti e/o verso ulteriori sistemi con i quali la piattaforma dovrà essere interoperabile, così come previsto nel paragrafo 3.2, dovranno essere opportunamente autenticati e crittografati, al fine di garantire riservatezza e integrità delle informazioni scambiate tra due o più parti. In particolare, i flussi che la piattaforma erogherà ai dipendenti dell’IVASS dovranno transitare su canale cifrato HTTPS e crittografati tramite protocollo TLS v1.2 o superiori. L’IVASS si riserva inoltre di richiedere al Fornitore della soluzione SaaS l’utilizzo di versioni successive del protocollo TLS senza costi aggiuntivi. La piattaforma applicativa dovrà dunque implementare gli algoritmi allo stato dell’arte durante tutto il periodo di validità del contratto ed i certificati dovranno essere rilasciati da una CA certificata, in modo da consentirne la corretta gestione durante l’intero ciclo di vita.

j) Pseudonimizzazione e anonimizzazione dei dati. Impiego sia di meccanismi di pseudonimizzazione di dati personali tramite tecniche crittografiche (ad esempio funzioni hash) sia di processi di anonimizzazione per rendere il dato alterato in modo irreversibile al fine di consentire all’Istituto funzionalità di condivisione dati tra le varie unità interne, reportistica ed eventuale mantenimento del dato fuori dai tempi ordinari per fini statistici.

k) Gestione e conservazione delle chiavi. Le chiavi private e le chiavi condivise (c.d. pre-shared key) usate per autenticazione, firma e/o cifratura devono essere memorizzate in forma cifrata (es. in un vault) o, alternativamente, in un file accessibile solamente a utenze non interattive.

⮚ Elemento migliorativo. Il Fornitore dovrà garantire ai dipendenti IVASS, responsabili della gestione delle chiavi, un accesso autenticato e crittografato al sistema di memorizzazione delle chiavi, tramite interfaccia grafica e/o API.

l) Backup e procedure di restore. Il Fornitore dovrà prevedere un piano ed una soluzione di backup al fine di garantire sempre la disponibilità del dato, anche in caso di perdita, guasto o danneggiamento permanente del sistema informatico di produzione. L’Aggiudicatario, inoltre, dovrà effettuare periodicamente delle verifiche di ripristino dei backup per testarne efficacia, modalità e tempistiche.

⮚ Elemento migliorativo. Oltre al processo di backup online per sincronizzare costantemente i dati di produzione su un ulteriore server remoto, il Fornitore potrà attuare anche un processo di backup offline (es. nastro) al fine di garantire la protezione a lungo termine dei dati storici e da possibili attacchi ransomware sull’intero network.

m) Vincoli su replica dei dati di esercizio. I dati di esercizio non devono essere replicati su altri sistemi dell'Aggiudicatario, ad eccezione dei seguenti casi: 1. backup, 2. copia remota tra due siti (primario e secondario) per finalità di Disaster Recovery, 3. estrazione di copia dei dati, 4. verifica periodica di restore (per il tempo strettamente necessario alla verifica stessa). Le attività di test sugli ambienti non devono utilizzare, esporre o in qualsiasi modo divulgare dati che siano riferibili ad utenti reali della piattaforma. Fanno eccezione particolari esigenze connesse ad attività di collaudo, in cui è l’IVASS ad autorizzare esplicitamente l’uso di dati reali riferibili all’ambiente di esercizio per tutta la durata dei collaudi.

n) Logging delle attività sistemistiche/applicative e degli eventi relativi alla sicurezza delle informazioni. Tutti gli accessi (compresi i tentativi falliti), le attività e le azioni sistemistiche e applicative generate da utenti e amministratori, nonché gli eventi relativi alla sicurezza delle informazioni, dovranno essere tracciati e loggati al fine di effettuare analisi forensi su eventuali eventi malevoli o incidenti verificati. Il Fornitore deve garantire all’Istituto la possibilità di accedere ai log in modalità sicura, tramite autenticazione e cifratura, attraverso interfaccia grafica e/o API. L’IVASS potrà svolgere, a posteriori e in qualsiasi momento, attività di verifica della corretta funzionalità del sottosistema di audit; potrà altresì, mediante richiesta formale al Fornitore, richiedere copia dei predetti log anche dopo la fine del contratto in accordo con i tempi di garanzia e conservazione contrattualizzati. La registrazione dei log, la retention e l’eventuale anonimizzazione o pseudonimizzazione del dato, dovranno essere valutati e riportati secondo le istruzioni dell’Istituto in fase di stipula del contratto. L’Aggiudicatario dovrà comunque garantirne la loro protezione da accessi non autorizzati e da possibili alterazioni mediante opportune misure autorizzative e presidi crittografici. I log dovranno essere raccolti e conservati in modo da preservarne l’integrità e la consistenza. L’accesso e la loro consultazione da parte degli operatori deve avvenire in modalità di sola lettura, controllata e ristretta al solo personale autorizzato.

⮚ Elemento migliorativo. Il processo di raccolta e monitoraggio dei log potrà essere effettuato tramite un dedicato sistema centralizzato di Security Information Event Management (SIEM).

o) Segregazione del network di gestione. Tutti i sistemi e le console di gestione dovranno essere segregati e separati dai sistemi di produzione ed erogazione. Pertanto, le console ed i pannelli di amministrazione, sia sistemistici che applicativi, non dovranno essere in alcun modo raggiungibili attraverso un collegamento diretto da Internet, ma dovranno risiedere su una network segregata di gestione, raggiungibile soltanto attraverso connessioni sicure VPN o tramite l’approccio Zero Trust con l’impiego di tecnologie quali i reverse proxy.

p) Separazione della piattaforma applicativa. L’Aggiudicatario dovrà documentare le modalità utilizzate per separare, almeno logicamente, gli ambienti di esercizio utilizzati per l'erogazione del servizio all’IVASS da quelli utilizzati per altri clienti, al fine di prevenire accessi non autorizzati.

q) Separazione dei diversi ambienti applicativi. L’infrastruttura del Fornitore dovrà essere predisposta per accogliere i diversi ambienti di sviluppo, test e produzione della soluzione proposta, opportunamente separati tra loro. L’Aggiudicatario dovrà descrivere le modalità di separazione dei vari ambienti, al fine di prevenire accessi non autorizzati o cambiamenti impropri agli asset informatici che supportano la soluzione SaaS. La separazione dovrà essere estesa per detti ambienti anche alle reti, per cui vale lo stesso vincolo di separazione almeno logica (es. VLAN).

r) Processo di hardening. Il Fornitore deve prevedere una attività esplicita e documentabile di hardening delle componenti della piattaforma necessaria all’erogazione del servizio, in accordo alle linee guida e alle best practice comuni.

s) Sistemi firewall e di prevenzione delle intrusioni (IPS). L’infrastruttura dell’Aggiudicatario dovrà disporre di sistemi di protezione perimetrale come firewall e sonde IPS al fine di proteggere la piattaforma applicativa da traffico indesiderato e attacchi informatici già noti.

t) Sistemi di web application firewall (WAF) e anti-DDoS. Oltre ai sistemi firewall e IPS già descritti nel precedente punto, la piattaforma applicativa dovrà essere protetta anche tramite sistemi di web application firewall, in grado di respingere, sia attacchi di natura web (es. SQL Injection, CSRF, RCE, XSS), sia attacchi volumetrici e/o di saturazione delle sessioni, meglio conosciuti come DDoS, al fine di evitare l’indisponibilità del servizio.

u) Restrizioni per l’installazione del software. I software installati sui sistemi operativi devono essere reperiti da repository ufficiali (es. community riconosciute o provider/vendor di mercato), verificati per la loro integrità e conformi agli accordi di licenza. Il Fornitore esibirà, a richiesta dell’Istituto, l’elenco completo e aggiornato dei software di terze parti installati in ambiente di esercizio (limitatamente alle componenti che contribuiscono al servizio fornito all’Istituto).

v) Audit. Il Fornitore dovrà fornire funzionalità di verifica e reportistica dei ruoli, attuali e storici, assegnati agli utenti della piattaforma, sia a livello aggregato sia a livello di dettaglio sul singolo utente.

w) Sincronizzazione oraria. La soluzione SaaS dovrà essere sincronizzata ad un’unica sorgente temporale di riferimento, utilizzando il formato UTC ed il protocollo NTP, basato sullo standard orario dell’Osservatorio navale degli Stati Uniti.

x) Policy di sicurezza informatica. Il Fornitore deve avere una policy di sicurezza informatica periodicamente aggiornata e conforme agli standard ISO 27001. In caso di aggiornamento, la nuova versione deve essere fornita all’Istituto entro due settimane dall’entrata in vigore (fatta salva la comunicazione con cadenza annuale).

I presidi qui sopra riportati dovranno essere descritti e costantemente aggiornati in appositi documenti di Piano, al fine di consentire ad IVASS di rimanere sempre aggiornato sulle misure di sicurezza informatiche adottate.

Nel caso in cui il Fornitore dovesse avvalersi di servizi da terze parti, tutti i requisiti di sicurezza dovranno essere rispettati sull’intera catena di fornitura ICT.

Il Fornitore dovrà inoltre garantire che tutti i dati di cui XXXXX sarà titolare dovranno risiedere all’interno della Comunità Europea e, nel rispetto del GDPR, non potranno essere trasferiti verso uno Stato extraeuropeo, in quanto l’ordinamento del Paese di destinazione o di transito dei dati potrebbe non assicurare un adeguato livello di tutela. Il servizio offerto dovrà altresì essere conforme alle vigenti discipline e regolamentazioni nazionali, europee ed internazionali dell’Istituto.

3.5 Affidabilità, robustezza e disponibilità

La soluzione proposta dovrà essere progettata e realizzata utilizzando tecnologie avanzate, infrastrutture hardware e software robuste e sistemi di monitoraggio e manutenzione del sistema al fine di soddisfare i requisiti di affidabilità, robustezza e disponibilità.

In particolare, la piattaforma applicativa dovrà essere in grado di gestire in maniera affidabile un sostanziale volume di dati, centinaia di utenti e connessioni concorrenti così come delineato nel Service Level Agreement (paragrafo 5.5). L’infrastruttura ospitante dovrà essere dotata di meccanismi di ripristino automatici in caso di malfunzionamento del sistema, al fine di evitare il fermo prolungato del servizio. Qualora si verifichi in esercizio un qualunque guasto o malfunzionamento (bloccante o non bloccante), esso dovrà essere risolto secondo i tempi previsti nel Service Level Agreement (paragrafo 5.5) e notificato ad IVASS così da valutarne l’impatto sul servizio generale.

Il Fornitore dovrà inoltre garantire una adeguata disponibilità del servizio applicativo e tempi di risposta via web ragionevoli, così come indicato nel Service Level Agreement (paragrafo 5.5). Eventuali fermi per aggiornamenti applicativi o sistemistici andranno concordati preventivamente con IVASS.

La disponibilità del servizio deve essere garantita tramite la ridondanza su più siti elaborativi. In caso di eventi disastrosi che comportino una prolungata indisponibilità del servizio sul sito primario, deve essere garantito un servizio di disaster recovery realizzato mediante sito secondario dislocato in una differente località geografica rispetto al sito primario. L’Aggiudicatario dovrà inoltre definire e realizzare:

• policy, processi e procedure per la business continuity e per il disaster recovery su un data center diverso da quello primario di erogazione, al fine di minimizzare l'impatto di un evento disastroso e garantire il rispetto dei livelli di servizio;

• una Business Impact Analysis (BIA) aggiornata o analoga documentazione;

• piani di test periodici di business continuity e disaster recovery.

3.6 Modularità, scalabilità e standardizzazione

La piattaforma applicativa dovrà rispettare i requisiti di modularità, scalabilità e standardizzazione al fine di soddisfare le esigenze attuali e future di IVASS. In particolare, la soluzione dovrà essere suddivisa in moduli funzionali così da poterli utilizzare indipendentemente l’uno dall’altro. Ciascun modulo dovrà inoltre comunicare e scambiare informazioni con tutti gli altri in modo efficiente e senza alcun impedimento, nonché essere facilmente sostituibile in caso di necessità o aggiornabile, senza interrompere l’operatività dell’intero servizio.

La soluzione dovrà garantire prestazioni elevate indipendentemente dal numero di operatori contemporanei che utilizzano la piattaforma, dal tipo di elaborazione in corso e dal volume dei dati occupati, così come indicato nel Service Level Agreement (paragrafo 5.5).

Infine, la soluzione dovrà seguire standard e protocolli aperti, in modo da garantire l'interoperabilità con altre applicazioni o sistemi informativi esistenti e futuri (paragrafo 3.2), nonché offrire piena compatibilità con gli standard di sicurezza informatica, usabilità e accessibilità al fine di garantire protezione dei dati ed una buona esperienza utente.

3.7 Gestione delle utenze e futura integrazione con il sistema centralizzato di autenticazione

La soluzione proposta dovrà garantire la visibilità di tutte e sole le informazioni necessarie allo svolgimento delle attività previste da ciascun utente in accordo ai ruoli assegnati (secondo i principi “need to know”, “least privilege” e “whitelisting”).

Gli addetti del Fornitore (con il ruolo di Database Administrator e di amministratore di sistema) non devono avere accesso ai dati applicativi del servizio; l’assegnazione dei diritti di accesso ai sistemi ed alle applicazioni deve seguire un formale processo autorizzativo documentabile sia in termini di processo che in termini di output.

L’accesso alla piattaforma da parte degli utenti deve avvenire tramite procedure di logon che prevedano almeno i seguenti presidi:

• protezione contro attacchi brute force;

• non visualizzazione della password immessa;

• non trasmissione in chiaro della password;

• terminazione delle sessioni inattive dopo intervallo di tempo la cui durata è prevista e definita nelle policy di sicurezza interne dell’Aggiudicatario.

In particolare, si deve prevedere il cambio di tutte le password di default e di tutte quelle utilizzate in fase progettuale.

⮚ Elemento migliorativo. La soluzione SaaS potrà garantire, per una successiva fase di integrazione, la possibilità di autenticare gli utenti dell’IVASS in scenari User to Application utilizzando l’autenticazione federata. In questo scenario l’Istituto giocherà il ruolo di gestore dell’identità (Identity Provider), mentre la soluzione SaaS rivestirà il ruolo di Service Provider. Il protocollo utilizzato per l’integrazione dovrà essere SAML 2.0.

⮚ Elemento migliorativo. La soluzione SaaS potrà prevedere un workflow di comunicazione relativo alle attività di creazione, modifica ed eliminazione delle utenze presenti sul sistema di autenticazione centralizzato al fine di allineare costantemente l’anagrafica della piattaforma applicativa con quella on-premise di IVASS.

4. Requisiti funzionali

4.1 Anagrafica del personale

La funzionalità dovrà consentire la gestione dell’anagrafica univoca del personale dell’Istituto permettendo l’inserimento, la modifica e la consultazione centralizzata delle informazioni

afferenti alla persona e allo specifico rapporto di lavoro. Le informazioni dovranno essere accessibili da tutti i restanti moduli che comporranno l’applicativo per la gestione del personale, al fine di farvi riferimento per l’acquisizione, gestione ed elaborazione dei dati necessari ai servizi per la gestione delle risorse umane. L’accesso all’anagrafica dovrà avvenire in base alle autorizzazioni configurate per ciascun addetto, consentendo quindi l’abilitazione alle sole funzionalità consentite. Inoltre dovrà essere possibile la corretta gestione delle omonimie.

L’anagrafica dovrà conservare i dati nella loro evoluzione storica, dall’assunzione fino alla chiusura del rapporto di lavoro e contenere, a titolo esemplificativo e non esaustivo, le seguenti informazioni:

• dati anagrafici di base: matricola (codice master dipendente), codice badge, cognome, nome, data e luogo di nascita, genere, residenza e domicilio, codice fiscale, stato civile, recapiti telefonici, indirizzo email, foto;

• dati familiari: cognome, nome, data e luogo di nascita, genere, codice fiscale, relazione di parentela;

• dati organizzativi: Servizio/Ufficio e relativa data di assegnazione, Divisione/Settore e relativa data di assegnazione, sede dell’Istituto, centro di costo di appartenenza, personale in staff e relativa data di assegnazione, distacco/aspettativa con indicazione dell’Ente/Amministrazione presso il quale viene prestato il servizio e relativa data inizio e fine del distacco/aspettativa;

• dati giuridico amministrativi: data assunzione, data cessazione e relativa causale, tipologia di contratto (full time, part- time con relativa percentuale, tempo indeterminato, tempo determinato, distaccato da Banca d’Italia ecc.), qualifica (area, profilo e livello retributivo), data inquadramento nell’area/profilo/livello retributivo, anni di permanenza nel livello retributivo (cluster),categorie protette e ogni altra informazione caratteristica e distintiva ai fini gestionali e amministrativi per l’adempimento degli obblighi di legge;

• dati previdenziali: iscrizione ente previdenziale (INPS e INPS ex INPDAP), iscrizione a forme pensionistiche dopo l’1.1.1996, altri elementi di natura previdenziale, iscrizione all’INAIL e relativa posizione, dati relativi alla previdenza complementare e all’assistenza sanitaria integrativa;

• dati sindacali e associativi: data iscrizioni e revoche a associazioni sindacali, al CRAL dell’Istituto ecc.;

• dati fiscali: familiari a carico

• dati bancari: codice IBAN;

• dati relativi alla carta di credito aziendale;

• dati relativi alle cessioni del quinto della retribuzione, alle delegazioni di pagamento, ai pignoramenti, ai prestiti INPDAP: capitale da rimborsare, n. rate, importo rata, data inizio e data fine dell’ammortamento;

• formazione: titoli di studio, corsi frequentati, date di riferimento, titoli acquisiti e competenze certificate, indicazione Ente formatore, sede, corsi obbligatori, nr. protocollo lettera incarico;

• dati professionali: valutazioni annuali del personale, titolarità di posizione manageriale e relativa data di conferimento, e di scadenza della posizione ed eventuale proroga, incarichi ad interim e relativa data di conferimento e scadenza, gruppi di lavoro con indicazione della data di avvio e di conclusione, tipologia ruolo all’interno del gruppo di

lavoro ovvero componente o coordinatore, altri incarichi attribuiti (addetto antincendio, primo soccorso, incarichi nell’ambito di Commissioni o Comitati, ecc.).

La funzionalità anagrafica dovrà consentire la costituzione di un fascicolo individuale contenente la ricostruzione delle informazioni relative alla carriera del dipendente (anche mediante associazione di documenti preventivamente caricati), sia giuridica che economica (a tal fine dovrà essere garantita anche la possibilità di collegamento con i dati retributivi attraverso la comunicazione con il servizio di payroll). In merito, l’applicativo dovrà permettere di visualizzare le informazioni mediante maschere personalizzabili in base a specifiche esigenze (selezione dati da visualizzare) e consentire la customizzazione e generazione di report con possibilità di esportazione delle informazioni in formato elaborabile (es. CSV, Excel).

4.1.1 Organigramma

Il modulo dovrà permettere la gestione dell’organigramma dell’Istituto fornendo le funzionalità per la rappresentazione anche grafica della struttura organizzativa, variabile nel tempo in base alle modifiche inserite mediante la gestione anagrafica. Anche la funzionalità per la gestione dell’organigramma dovrà conservare la storicità delle informazioni, al fine di consentire di poter disporre non solo dell’ultima versione dell’organigramma, ma anche della ricostruzione dello stesso riferito ad una data specifica.

4.2 Portale del dipendente

L’applicativo fornito dovrà consentire a tutto il personale amministrato di accedere nella propria area privata all’interno di un Portale (Portale del dipendente) e di interagire direttamente con il sistema stesso, in piena autonomia e secondo livelli diversi di accesso e visualizzazione - in base agli utenti coinvolti nei processi di comunicazione e autorizzazione, quali: dipendenti, responsabili, amministratori del servizio - rispetto alle seguenti funzioni online fruibili in modalità self-service:

a. visualizzazione del cedolino mensile e della certificazione unica (CU), comprensiva della consultazione dello storico e della possibilità di export (salvataggio) e stampa; (la consultazione di entrambi i documenti dovrà essere possibile per almeno gli ultimi 5 anni);

b. possibilità di consultazione per il solo personale autorizzato, di tutta la documentazione predisposta dal servizio di payroll;

c. consultazione e possibilità di intervento sul cartellino presenze singoli giorni del mese in corso con le seguenti funzionalità, esemplificative e non esaustive, di seguito descritte: timbratura da remoto, inserimento delle diverse causali di assenza giornaliere o orarie (lavoro delocalizzato, permessi, congedi ordinari e straordinari, permessi 104, missioni, ispezioni, corsi di formazione, ecc.). Si precisa che, in fase di inserimento di una qualsiasi causale, il sistema deve prevedere un controllo automatico con eventuali budget/limiti/contatori previsti a livello di singolo dipendente;

d. prevedere la gestione di istanze relative a specifici istituti e variazioni anagrafiche mediante workflow con possibilità di compilazione di form dedicati e caricamento di eventuale documentazione a supporto (upload);

e. gestione delle missioni con inserimento della causale e della destinazione per il calcolo del rimborso delle spese sostenute e dell’indennità prevista e la possibilità di caricare giustificativi e documenti a supporto;

f. consultazione dell’organigramma relativamente al posizionamento dello specifico dipendente rispetto alla Struttura di appartenenza;

g. consultazione dell’elenco dei corsi di formazione effettuati;

h. gestione della valutazione annuale delle performance: workflow gerarchico con inserimento delle informazioni richieste per la compilazione della scheda di valutazione;

i. somministrazione/compilazione di questionari (esempio questionario di valutazione delle capacità manageriali, stress da lavoro correlato, gradimento corsi di formazione ecc.) da poter redigere in forma anonima;

j. possibilità di candidarsi a procedure di selezioni interne (vacancy, job posting, passaggi area/profilo). Relativamente a questa funzione deve essere garantita la possibilità, a livello centrale, di effettuare degli export in modalità aggregata delle domande ricevute per tipologia di procedura di selezione, in formati compatibili con gli strumenti di Microsoft Office in uso e deve essere garantita la possibilità di effettuare upload di documenti da parte dei candidati;

k. possibilità di attivare la visualizzazione del proprio profilo/curriculum;

l. export di tutte le informazioni relative a ciascun dipendente nei formati Microsoft Office e PDF;

m. sistema di ticketing assistenza da parte degli addetti alla gestione delle risorse umane, già suddiviso per argomenti;

n. analytics: raccolta, analisi e organizzazione di tutte le informazioni presenti all’interno dell’applicativo gestionale del personale con l’obiettivo di analizzarle/interpretarle al fine di realizzare una più efficiente gestione delle risorse umane a supporto, in via esemplificativa, delle decisioni relative alle assunzioni (con riferimento anche ai pensionamenti futuri), alla mobilità interna, alla programmazione degli avanzamenti e delle vacancy;

o. gestione scadenziario: impostare dei promemoria/alert che ricordino al personale di svolgere determinate attività.

Si precisa inoltre che il portale del dipendente dovrà garantire l’interfacciamento per lo scambio dati con tutti i moduli che compongono l’applicativo per la gestione del personale e con il servizio di payroll.

4.3 Sistema di rilevamento delle presenze

4.3.1 Terminali per la rilevazione della presenza

L’applicativo fornito dovrà essere dotato di uno specifico modulo comprensivo delle necessarie funzionalità a supporto dell’esecuzione delle attività relative alla gestione delle presenze.

La soluzione dovrà comprendere la fornitura di:

• n. 15 terminali con funzionalità monodirezionale e bidirezionale di rilevazione delle presenze ai fini payroll e con funzionalità quali apertura porta ed integrazione con il sistema per la gestione degli accessi (cfr. paragrafo 4.4);

• n. 4 terminali con funzionalità di apertura porta ed integrazione con il sistema per la gestione degli accessi (cfr. paragrafo 4.4).

I terminali installati agli ingressi delle sedi utilizzate dall’Istituto (5 edifici) dovranno essere realizzati in conformità alle normative vigenti e dotati di tecnologia di identificazione a

radiofrequenza RFID/NFC in grado di garantire, tra gli altri, gli standard di comunicazione a 125 KHz e 13.56 MHz MIFARE. Inoltre, tali terminali dovranno includere un display e le funzionalità di gestione codici causali personalizzabili di presenza/assenza associati alla timbratura. I lettori dovranno essere in grado di inviare autonomamente ed in tempo reale le timbrature verso la piattaforma SaaS su canale cifrato HTTPS, di lavorare in caso di assenza di collegamento di rete o di tensione (modalità offline) e dovranno essere dotati di memoria sufficiente per il salvataggio delle configurazioni e registrazioni delle timbrature con trasmissione dei dati non appena nuovamente in modalità online. Il modulo di rilevamento delle presenze dovrà integrare una funzionalità di timbratura da remoto con possibilità di inserimento delle specifiche causali. Dovrà inoltre essere garantita la possibilità di gestione e monitoraggio centralizzato del sistema dei terminali, nonché una futura possibilità di interfacciamento ed integrazione con un software di gestione terminali di terze parti.

La soluzione SaaS dovrà altresì supportare l’interfacciamento con una futura possibile adozione di lettori badge di terze parti tramite l’impiego di protocolli di interoperabilità riportati nel paragrafo 3.2(b). A tal proposito, dovrà essere garantita anche la possibilità di utilizzo da parte dell’Istituto di badge di terze parti, compatibili con la tecnologia richiesta per i terminali offerti, in caso di un’eventuale e futura sostituzione dei badge oggetto della presente fornitura (par. 4.3.2).

4.3.2 Fornitura badge

Il Fornitore dovrà provvedere alla fornitura di badge di identificazione per tutto il personale dipendente dell’Istituto, distaccato dalla Banca d’Italia e per il personale esterno (fornitori e visitatori occasionali), al fine di rilevare sia la presenza che gli accessi, e compatibili con le tecnologie adottate dai terminali offerti con possibilità di personalizzazioni quali l’inserimento del logo dell’Istituto, la foto del dipendente, il nome, il cognome, la matricola del dipendente e le indicazioni da seguire in caso di smarrimento.

4.3.3 Funzionalità del sistema di rilevamento presenze

Le funzionalità dovranno garantire il supporto nella gestione delle presenze in conformità a quanto disposto dal Regolamento relativamente: all’orario settimanale di lavoro e al calcolo della prestazione giornaliera/eccedentaria/deficitaria, alla giustificazione delle assenze, alle tipologie di regimi orari disponibili, ai congedi ordinari e straordinari, alle aspettative e ai distacchi di personale, alla programmazione del lavoro da remoto e delle ferie.

Di seguito si riporta per maggior dettaglio, a titolo esemplificativo e non esaustivo, l’elenco delle funzionalità richieste al sistema offerto:

• personalizzazione impostazione orari di lavoro e giustificativi e limiti mensili/annuali del lavoro delocalizzato in relazione alla disciplina interna;

• acquisizione dei dati delle timbrature tramite integrazione con il sistema di gestione centralizzato dei terminali di rilevazione presenze;

• esecuzione di attività relative alla configurazione dei badge per il personale;

• collegamento tra badge, matricola e anagrafica del dipendente;

• interfaccia dei dati con il servizio di payroll;

• possibilità di verifica della segnalazione della presenza in servizio e della prestazione resa;

• visualizzazione cartellino orario del dipendente con contabilizzazione mensile dei diversi monte ore espressi anche a giornate intere per specifici giustificativi;

• segnalazione giornaliera delle anomalie rilevate;

• gestione prestazioni eccedentarie: autorizzazione, verifica dei limiti mensili/annuali, calcolo delle 48 ore semestrali;

• gestione tetto massimali con segnalazione alert in caso di inserimento del giustificativo oltre soglia e inibizione nell’utilizzo;

• alert relativo all’utilizzo del congedo ordinario secondo le tempistiche previste dall’Istituto;

• gestione dei diversi modelli di orari, ovvero acquisizione della variazione all’interno dell’anagrafica del dipendente dell'avvenuta modifica;

• gestione del congedo di malattia e dell’aspettativa per motivi di salute secondo quanto stabilito dal Regolamento;

• acquisizione automatica certificati da portale Inps attraverso casella PEC;

• estrazione trimestrale tasso di assenze;

• estrazioni di riepilogo personalizzate per dipendente e/o per Struttura/unità organizzativa, con possibilità di selezionare le diverse causali (ferie, assenze, permessi, giornate lavoro da remoto, eccedenze/deficienze di orario, ecc.) nel periodo di interesse;

• visualizzazione di assenze orarie/giornaliere per le quali non è presente una preventiva richiesta e possibilità di invio automatico di mail di alert ai fini della segnalazione agli interessati per il caricamento del giustificativo a copertura;

• possibilità di delega autorizzativa da parte del responsabile, con possibilità di intervento anche a livello amministrativo;

• gestione area di comunicazione all’interno del portale del dipendente (di cui al paragrafo 4.2);

• utilizzo modulistica per richieste di specifici istituti, fruibili attraverso il portale del dipendente con possibilità di allegare eventuale documentazione in relazione a quanto richiesto per i singoli istituti;

• reportistica con la fruizione nei diversi formati Microsoft Office compatibili e PDF, personalizzabile sulla base delle varie esigenze e adempimenti normativi (ad esempio tassi di presenza/assenza, dati richiesti per inserimento nel conto annuale, estrazione dati 104 annuali per invio alla funzione pubblica ecc.);

• estrazione log relativi agli accessi alle informazioni e alle modifiche apportate con evidenza del personale che le ha eseguite.

Relativamente al personale titolare di posizione manageriale o loro delegati dovranno essere disponibili all’interno del portale del dipendente (di cui al paragrafo 4.2) limitatamente alla Struttura/unità organizzativa di loro competenza le seguenti funzionalità con visualizzazione dei dati in tempo reale:

• visualizzazione aggregata su base giornaliera delle richieste inserite dagli addetti per possibilità di approvazione/rifiuto motivato e personalizzazione del relativo flusso autorizzativo;

• visualizzazione pianificazione mensile delle giornate di lavoro da remoto indicate dagli addetti con contabilizzazione dei giorni utilizzati/residui. Deve essere prevista la possibilità di richiedere modifiche relative alla pianificazione di singoli addetti in ragione di esigenze organizzative/gestionali;

• visualizzazione del cartellino orario degli addetti;

• report storico presenze/assenze, eccedenze/deficienze orarie, selezione delle causali di interesse per gli addetti alla struttura con possibilità di visualizzazione sia a livello aggregato che singolo;

• timbrature giornaliere rilevate e contabilizzazione delle ore lavorate;

• pianificazione settimanale/mensile delle giornate di lavoro da remoto;

• visualizzazione dei contatori degli istituti dei permessi orari o dei congedi disponibili con evidenza del goduto/residuo;

• utilizzo area di comunicazione per segnalazioni agli addetti con possibilità di selezione per specifiche aree tematiche;

• possibilità di prenotazione delle postazioni di lavoro disponibili nelle stanze all’interno delle sedi dell’Istituto, al fine di efficientare la gestione degli spazi.

4.4 Sistema controllo accessi

Il sistema dovrà gestire in modo sicuro gli accessi dei dipendenti, del personale distaccato dalla Banca d’Italia, di tirocinanti/praticanti, del personale di ditte esterne e dei visitatori monitorando e rilevando in tempo reale gli ingressi e le uscite all’interno del perimetro aziendale. In particolare, sono richieste al sistema le seguenti funzionalità:

• Interfacciamento, integrazione e comunicazione in tempo reale con i terminali descritti al paragrafo 4.3.1 al fine di istruire istantaneamente ogni apparato sulle autorizzazioni concesse o rimosse;

• differenziazione dei flussi di accesso rispetto al rilevamento delle presenze al fine di distinguere e separare le relative informazioni (ad esempio il flusso relativo all’accesso di un visitatore non deve confluire nelle informazioni relative al rilevamento delle presenze);

• possibilità di differenziare gli accessi ricorrenti del personale di ditte esterne rispetto a quelli occasionali dei visitatori;

• possibilità di associare differenti autorizzazioni su ciascun terminale al fine di consentire l’accesso a determinati locali per un gruppo specifico di dipendenti;

• gestione ingresso e uscita visitatori con registrazione delle informazioni anagrafiche compresi gli estremi del documento d’identità;

• associazione di badge dedicati agli accessi dei visitatori e gestione della relativa abilitazione e disabilitazione manuale o allo scadere del termine impostato da parte del personale di vigilanza presente agli ingressi delle sedi dell’Istituto;

• possibilità di personalizzare i campi da censire in fase di ingresso e registrazione dei visitatori, quali ad esempio l’indicazione della sede dell’Istituto;

• possibilità di fornire l’elenco del personale presente all’interno delle varie sedi dell’Istituto in caso, ad esempio, di emergenze o evacuazione;

• possibilità di connessioni multiple e contemporanee (al momento pari a 3) al sistema di controllo accessi;

• possibilità di nominare specificatamente ogni lettore badge di cui al paragrafo 4.3.1;

• generazione report relativi agli accessi e le visite con possibilità di filtrare i risultati in base al nome del lettore badge.

4.5 Gestione delle missioni

Il sistema dovrà consentire la gestione delle missioni dei dipendenti in Italia e all’estero, permettendo: i) di inserire gli estremi della missione; ii) di verificare la nota spese compilata dal soggetto incaricato; iii) di liquidare i rimborsi spettanti e le indennità di missione. La Piattaforma dovrà consentire, a titolo esemplificativo e non esaustivo:

1. di inserire da parte del personale dell’amministrazione i dati della missione (con possibilità di “repeat” dei dati inseriti) relativi a:

▪ lettera d’incarico (con data e numero di protocollo), recante il “codice missione” che permette di identificare il Servizio dell’Istituto che autorizza la missione, la tipologia e il numero progressivo della missione, l’anno in cui è disposta la missione;

▪ nominativo del dipendente, numero di matricola e disponibilità o meno della carta di credito aziendale;

▪ luogo e durata della missione, date di partenza e di rientro;

▪ tipologia della missione (ispezione, gruppi di lavoro, patrocinio legale, convegni, ecc.);

▪ eventuali anticipi erogati dall’Istituto (per soggetti sprovvisti di carta di credito aziendale);

▪ eventuali deroghe alle disposizioni della vigente Travel Policy (ad es.: autorizzazione al noleggio dell’auto o all’uso di auto propria);

2. di inserire, ad opera del dipendente, giorno per giorno, la nota spese con gli importi e i giustificativi (upload) delle spese sostenute (con carta di credito aziendale o in contanti) nel corso della missione per:

▪ viaggi (noleggio auto, pedaggi autostradali, autorimesse, ecc.);

▪ hotel (spese di pernottamento e tasse di soggiorno);

▪ pasti (con separata evidenza di colazione, pranzo e cena con controllo dei relativi limiti di spesa);

▪ trasporto urbano (taxi, mezzi pubblici, ecc.);

3. di verificare da parte dell’Amministrazione la nota spese inserita dal dipendente:

▪ controllando la rispondenza degli importi inseriti e delle relative ricevute fiscali e apportando eventuali correzioni;

▪ accertando il rispetto dei limiti di spesa previsti da policy aziendali (con segnali di

alert laddove superati) e addebitando eventuali eccedenze;

▪ verificando le spese della missione in contanti e con carta di credito aziendale;

▪ restituendo la nota spese al dipendente in assenza dei giustificativi di spesa;

▪ gestendo le spese sostenute con valute diverse dall’euro e i rimborsi chilometrici per l’uso di auto propria;

▪ rimborsando le spese sostenute in contanti al netto degli eventuali anticipi erogati al dipendente sprovvisto di carta di credito aziendale;

▪ liquidando le indennità giornaliere di missione, differenziate per giornate di svolgimento incarico o di solo viaggio, missioni in Italia o all’Estero.

Il sistema dovrà inoltre:

• dialogare con gli altri moduli disponibili all’interno dell’applicativo, in particolare con l’anagrafica del personale al fine di disporre delle necessarie informazioni (nome, cognome, numero di matricola, disponibilità di carta di credito aziendale);

• accedere alle tabelle recanti gli importi delle indennità giornaliere di missione e i limiti di spesa previsti per i pasti, relative alla tipologia della missione, ai Servizi dell’Istituto responsabili della trasferta e alle sedi di lavoro;

• garantire la possibilità di annullare le missioni non effettuate;

• permettere di compilare la nota spese, oltreché ad opera del Dipendente, anche da parte dell’Ufficio competente alla gestione delle missioni e di apportare modifiche fino al momento della liquidazione finale;

• consentire la generazione di prospetti gestionali (xx.xx, anticipi erogati, dispositivi di liquidazione) e riepilogativi recanti, ad esempio, gli estremi delle missioni caricate e liquidate, le date di partenza e rientro, il Servizio, la sede di lavoro, gli importi delle diverse voci di spese, i rimborsi e le indennità per dipendente.

4.6 Gestione processo di valutazione delle performance

Il modulo dovrà rispondere all’esigenza di predisporre le schede di valutazione annuali individuali sia per il personale titolare di posizione manageriale che per il personale senza incarico manageriale (incluso quello distaccato dalla Banca d’Italia).

I risultati derivanti dalle sessioni di valutazione annuali dovranno essere recepiti e storicizzati all’interno dell’applicativo per la gestione del personale. La soluzione dovrà consentire la gestione del sistema di valutazione delle prestazioni attraverso:

• la definizione del processo di valutazione mediante l’utilizzo di workflow attraverso i quali definire gli step che devono essere eseguiti, il loro ordine, gli attori da coinvolgere e le attività richieste;

• Il monitoraggio sullo stato di avanzamento della sessione di valutazione in corso (compilazione dei campi richiesti, step del processo in corso, attori coinvolti ecc.);

• la generazione del rapporto valutativo individuale (per il personale titolare di posizione manageriale). Il rapporto valutativo individuale dovrà prevedere 3 distinte fasi, anche gestibili in un unico processo mediante workflow riguardanti la definizione e gestione degli obiettivi individuali, la relazione da parte del dipendente sui risultati conseguiti, il rapporto di valutazione e il punteggio secondo quanto previsto dalla disciplina interna.

• la generazione delle schede di valutazione (per il personale non titolare di posizione manageriale) mediante l’utilizzo di format personalizzabili in termini di campi disponibili (con possibilità di limitare il numero dei caratteri utilizzabili), relativa descrizione e scale di valutazione (punteggi);

• la possibilità, per il valutatore e per il valutato, di firmare (anche massivamente) la scheda di valutazione all’interno del modulo stesso. La tipologia di firma applicata dovrà essere conforme ai requisiti previsti all’interno del paragrafo 3.3 del presente capitolato.

• personalizzazione e generazione di report con possibilità di esportazione delle informazioni in formato Microsoft Office compatibili e PDF.

All’interno del processo di valutazione, dovrà essere prevista la possibilità per i Capi delle strutture di gestire le attività riferite all’assegnazione della parte variabile dell’indennità di funzione (per il personale appartenente all’area professionale/manageriale) e quelle relative all’assegnazione del premio per il riconoscimento del merito (persale appartenente all’area operativa), secondo le modalità indicate dagli artt. 86 e 87 del Regolamento.

Dovrà essere garantita l’integrazione con il sistema di rilevamento delle presenze per la verifica delle assenze effettuate – a vario titolo - da ciascun dipendente nel corso dell’anno di valutazione.

Il sistema dovrà inoltre comprendere le funzionalità necessarie per la gestione del modello di competenze che verrà definito dopo la conclusione della gara e della relativa gap analysis.

4.7 Generazione dei questionari anonimi e reporting dei risultati

Il modulo dovrà essere di supporto alla gestione delle procedure interne di valutazione e risponderà all’esigenza di predisporre questionari di valutazione periodica a carattere individuale, da redigere in modalità anonima, recependone i risultati e salvandoli all’interno dell’applicativo HR.

Dovranno essere previste differenti tipologie di questionario in forma anonima, da valutare in base a specifiche esigenze strategiche (es. indagine sulla soddisfazione dei dipendenti; equilibrio vita privata-lavoro; spostamento casa-lavoro; ecc.), tra le quali andrà predisposto quello sulla valutazione delle capacità manageriali, come strumento di integrazione alle valutazioni di performance del personale interessato, da sottoporre a tutti i dipendenti, incluso il personale distaccato, aventi i requisiti necessari alla compilazione del questionario.

Dovrà essere garantita assoluta riservatezza4 nella compilazione dei questionari, nonché un’adeguata flessibilità di personalizzazione delle domande oggetto dell’indagine.

Il Sistema dovrà garantire la gestione dei risultati derivanti dall’esito dei questionari, anche mediante la storicizzazione degli esiti relativi a quelli risultanti da anni precedenti. Tutte le procedure dovranno essere gestite tramite workflow, garantendo l’estrazione dei risultati aggregati nei formati Microsoft Office compatibili e PDF.

4.8 Supporto ai processi di gestione della Formazione

Il modulo dovrà garantire la gestione della formazione di cui si avvarranno i dipendenti dell’Istituto, direttamente nell’area dedicata, con accesso riservato agli utenti individuati, a seconda della relativa profilazione, mantenendo lo storico di tutte le relative informazioni.

Dovranno essere presenti almeno le seguenti funzionalità:

• gestione delle singole attività formative (titolo del corso, data, ore, docente, ente formatore, area tematica, sede, partecipanti, costo, competenza acquisita);

• gestione dei costi;

• integrazione con il modulo di gestione dei questionari anonimi e reporting dei risultati descritto al paragrafo 4.7 del presente capitolato per la somministrazione di questionari utili a misurare efficacia e il livello di gradimento con successiva possibilità di elaborazione dei risultati;

• gestione delle attività formative per singoli dipendenti con generazione del curriculum formativo e competenze acquisite;

• gestione e pianificazione della formazione obbligatoria in relazione alle posizioni organizzative e mutamenti di ruolo (salute e sicurezza sul lavoro/privacy/anticorruzione) con xxxxxxx report scadenziari e relativi avvisi degli obblighi formativi per il personale addetto;

• funzionalità di caricamento di documentazione anche da parte del dipendente,

4 Intesa come impossibilità per la funzione HR di risalire al nominativo o matricola del dipendente che ha compilato il questionario

• reporting a vari livelli (per risorsa, Servizio/Ufficio, Divisione/Settore, area e profilo, area tematica, costi per struttura, ore di formazione erogate, formazione specialistica, obbligatoria ecc.) con funzionalità di estrazione nei formati Microsoft Office compatibili;

• funzionalità di caricamento massivo delle informazioni inerenti le sessioni di formazione (ad esempio inglese o corsi obbligatori che coinvolgono un numero elevato di dipendenti) mediante import di file Microsoft Office compatibili.

4.9 Supporto alle selezioni interne (avanzamenti di area/profilo, vacancy e job posting)

Il modulo dovrà essere di supporto alla gestione delle procedure interne di selezione - quali avanzamenti di area/profilo, vacancy e job posting - mediante candidatura telematica da effettuarsi direttamente dal Portale del dipendente.

Più nel dettaglio dovrà a titolo esemplificativo e non esaustivo:

• provvedere alla creazione e all'amministrazione delle procedure di selezione interna dei candidati;

• prevedere la possibilità di estrarre dal database, per ogni tipologia di selezione interna, i candidati potenzialmente idonei in base ai criteri previsti/stabiliti;

• gestire le iscrizioni ad ogni selezione tramite il portale del dipendente prevedendo anche l’upload di documenti da parte dei candidati;

• consentire modifica e annullamento della candidatura in ogni momento, entro i termini previsti;

• consentire un export dei dati aggregati dei candidati delle singole procedure in essere nei formati Microsoft Office compatibili;

• permettere l'analisi e la reportistica delle informazioni inserite e registrate a sistema per ogni selezione, inclusa la storicizzazione dei dati;

• gestire le comunicazioni dell'esito ai candidati;

• mantenere in archivio tutte le informazioni relative ai candidati (procedura di selezione per cui si è presentata apposita candidatura; valutazioni conseguite relativamente ai titoli e alle prove (es. assessment e lingua straniera); esito procedura; eventuale modifica area/profilo e relativa decorrenza; Servizio/Ufficio di appartenenza e di destinazione, con annessa data di decorrenza).

Si precisa, inoltre, che tutte le informazioni gestite dal presente modulo, a conclusione di ogni specifica procedura, dovranno garantire un allineamento dei dati attraverso il collegamento con l’anagrafica del personale, anche in relazione al costante aggiornamento del fascicolo individuale, di cui al paragrafo 4.1 del presente capitolato.

4.10 Budget

La fornitura dovrà prevedere uno specifico modulo per la predisposizione dei report necessari alle previsioni di bilancio e ai fini del controllo della spesa del personale, sulla base dello schema che potrà essere richiesto da IVASS. Dovranno essere forniti i consuntivi della spesa del personale e, su base trimestrale, un controllo della stessa, utilizzando i dati provenienti dalla procedura degli stipendi. Più precisamente, dovrà anche essere possibile, a partire da qualsiasi momento dell’anno, effettuare delle simulazioni del risultato riferito al calcolo degli

stipendi ad anno concluso. Tale simulazione dovrà essere suddivisa per capitoli di bilancio, al fine di verificarne la capienza, ed effettuare il conseguente assestamento degli stanziamenti dei capitoli.

4.11 Reportistica e analytics

Il modulo dovrà consentire la produzione di reportistica standardizzata e dinamica, anche in formato grafico, direttamente nell’area dedicata, con accesso riservato agli utenti individuati con viste e dettagli specifici a seconda della relativa profilazione.

In particolare le Analytics per la gestione del personale dovranno consentire di:

• creare report che raccolgano dati provenienti dai diversi moduli dell’applicativo e dal servizio di payroll, così da fornire una visione completa e integrata di tutte le informazioni disponibili e utili alla gestione del personale;

• visualizzare/creare un set di report con focus analitico su KPI di interesse per l’Istituto, già disponibili all’interno del modulo, con possibilità da parte degli utenti addetti di personalizzare l’estrazione dei dati e di impostare estrazioni ricorrenti;

• effettuare analisi sulla situazione storica, attuale e prospettica con garanzia di aggiornamento dei dati in tempo reale;

• ottenere maggiori dettagli con semplici operazioni di drill down, a partire da informazioni aggregate;

• effettuare export dei dati nei formati Microsoft Office compatibili e PDF.

4.12 Gestione paghe e contributi e servizio in outsourcing payroll

La soluzione SaaS dovrà essere dotata di uno specifico modulo comprensivo della gestione delle paghe e dei contributi. Il servizio di outsourcing del payroll deve essere svolto in osservanza degli adempimenti previdenziali ed assistenziali, fiscali e contabili, diretti ed indiretti, riguardanti la gestione delle retribuzioni per il personale dipendente a tempo indeterminato, determinato, per i collaboratori e consulenti, per i tirocinanti e per i praticanti.

Al fine di stimare il numero dei cedolini complessivo da gestire mensilmente si ritiene di aggiungere al personale dell’Istituto, come indicato nel paragrafo 2.5, n. 10 collaboratori, nonché il numero di tirocinanti e praticanti legali, per il periodo in cui espleteranno i loro eventuali incarichi. In particolare, per i tirocinanti l’incarico ha una durata semestrale, mentre per i praticanti legali la durata è semestrale, con possibilità di proroga di altri sei mesi. Il numero dei cedolini e quello delle certificazioni potranno inoltre subire variazioni, in aumento o in diminuzione, in dipendenza di mutamenti dell’organico dell’Istituto. Il verificarsi di tali variazioni non comporterà effetti sul corrispettivo unitario di aggiudicazione.

Al fine di permettere al Fornitore di preventivare i relativi costi del servizio, si stimano i volumi annui massimi previsti in n. 4.923 buste paga a cui si aggiungono circa n. 10 CU per i lavoratori autonomi.

Calcolo numero cedolini
N. cedolini		N. mensilità	Totale
	mese
Personale	363	13	4.719
Collaboratori	10	12	120
Tirocinanti	10	6	60
Praticanti	2	12	24
Totale			4.923

La durata della fornitura è stabilita in n. 24 mesi a decorrere dalla data di attivazione del servizio con possibilità di rinnovo, per una durata pari a 12 mesi, a discrezione dell’Istituto e alle stesse condizioni contrattuali, salva l’applicazione della clausola di revisione prezzi da applicarsi su richiesta motivata del Fornitore allo scadere del contratto.

Nello svolgimento dell’intera durata della fornitura deve essere prevista e garantita una pronta consulenza di natura previdenziale assistenziale e fiscale. A tal fine si stimano in n. 10 giornate per ogni annualità a consumo. Il servizio dovrà essere svolto da un professionista iscritto all’Albo dei Consulenti del Lavoro di cui alla legge n. 12/1979.

Le prestazioni a carattere generale richieste sono:

a. produzione dei cedolini mensili per i dipendenti, in applicazione del Regolamento del personale, per i collaboratori e consulenti e per eventuali tirocinanti o praticanti;

b. gestione, supporto e consulenza in materia di normativa fiscale e previdenziale con relativo aggiornamento tempestivo della procedura di elaborazione delle paghe in base ai cambiamenti normativi;

c. predisposizione degli elaborati e della modulistica relativa agli adempimenti mensili ed annuali, fiscali e previdenziali;

d. gestione delle posizioni previdenziali INPS (FPLD) ed INPS ex Inpdap (casse CPDEL e CTPS) con eventuali rettifiche dei flussi previdenziali;

e. gestione dei dati relativi a pagamenti da effettuare in favore di terzi (finanziarie, sindacati, Cral dipendenti, fondi pensione ecc.);

f. collegamento con il portale del dipendente (di cui al paragrafo 4.2) al fine della consultazione delle buste paga e delle C.U., nonché per l’acquisizione delle variazioni dei componenti del nucleo familiare (coniuge e figli a carico), della residenza/domicilio, dell’IBAN, delle iscrizioni al sindacato, al Cral, alla Cassa di assistenza sanitaria, ecc.;

g. funzionalità di consultazione e accesso a tutta la documentazione prodotta dal sistema per il personale addetto dell’Istituto.

Gestione retribuzioni e adempimenti fiscali e previdenziali

Nell’ambito della gestione delle retribuzioni di cui ai punti a., b., c., d. ed e. sono richiesti i seguenti servizi mensili e annuali, a titolo esemplificativo e non esaustivo.

1. Retribuzioni mensili

- Acquisizione dal modulo presenze delle informazioni relative alle ore di straordinario feriale, festivo e notturno, delle penalità di assenze, delle riduzioni per congedi parentali, delle giornate utili ai fini del calcolo delle indennità mensili da erogare riferite

al mese precedente, dei buoni pasto spettanti (buoni pasto teorici del mese di attribuzione al netto delle assenze riferite al secondo mese precedente);

- acquisizione variazioni anagrafiche e personali (es. stato civile e nucleo familiare, residenza e/o domicilio, coordinate bancarie IBAN, iscrizioni alle sigle sindacali, ecc.). Tali variazioni andranno gestite tramite il portale del dipendente (di cui al paragrafo 4.2) e, ove richiesto, con l’ausilio della funzionalità di firma elettronica (di cui al paragrafo 3.3);

- calcolo della retribuzione come da Regolamento;

- aggiornamento, attuazione e controllo dei trattamenti derivanti da rinnovi contrattuali;

- gestione degli eventuali arretrati e conguagli a seguito di rinnovo contrattuale, passaggi di area/profilo/livello;

- determinazione e calcolo delle competenze mensili (fisse e ricorrenti);

- determinazione e calcolo delle spettanze variabili (compensi per lavoro straordinario feriale, festivo e notturno, indennità di missione, penalità di assenza, congedi parentali ecc.) e gestione delle indennità mensili;

- gestione dell’indennità di posizione e funzione parte variabile; premio una tantum e premi di anzianità; gestione del premio per il riconoscimento del merito, relativamente al solo personale appartenente all’area operativa;

- gestione del premio di efficienza aziendale corrisposto indicativamente nel mese di febbraio/marzo;

- trattamento fiscale e previdenziale sugli emolumenti corrisposti;

- trattamento fiscale e previdenziale dei premi pagati per la copertura infortuni extra professionale, dei contributi alla previdenza complementare e alla cassa di assistenza sanitaria;

- trattamento retributivo legato ai rapporti sospesi, aspettative, congedi parentali, congedi straordinari ai sensi dell’art. 42 comma 5 del D. Lgs. 151/2001, ecc.;

- gestione delle assunzioni e delle cessazioni del rapporto di lavoro;

- gestione di: cessioni del quinto, delegazioni di pagamento, prestiti ex-Inpdap, pignoramenti, trattenute per la previdenza complementare, quote degli iscritti al sindacato e al Cral, rate mensili di riscatti e ricongiunzioni, altri recuperi; ecc.;

- gestione dei rimborsi derivanti dal welfare aziendale. Gli importi da rimborsare vengono trasmessi dal provider che gestisce il piano tramite un file con tracciato predefinito;

- produzione di n. 2 file da inviare alla Banca tesoriera nel formato previsto (TXT) e tracciato secondo lo standard Corporate Banking Interbancario (C.B.I.) (il primo con riferimento ai conti correnti aperti presso la stessa Banca tesoriera, l’altro per le rimanenti Banche, con data di esecuzione bonifico diversa);

- interazione con la soluzione di contabilità in uso presso l’Istituto secondo le modalità di cui alla lettera a del paragrafo 3.2.

2. Adempimenti previdenziali mensili

- Calcolo dei contributi previdenziali, compresi il Fondo Previdenza Credito e l’Enpdep, a carico del dipendente, se previsto, e dell’Istituto; gestione dell’aliquota aggiuntiva dell’1% e predisposizione dei versamenti mensili;

- gestione del massimale annuo della base contributiva e pensionabile (ex art. 2, comma 18, secondo periodo, della L. n. 335/1995);

- gestione contributi relativi ai compensi erogati ai collaboratori e lavoratori autonomi occasionali iscritti alla Gestione Separata;

- gestione e calcolo del contributo di solidarietà del 10% (ex art. 16 D. Lgs. n. 252/2005) dovuto sui contributi a carico del datore di lavoro versati per finalità di previdenza complementare, assistenza sanitaria e Long Term Care;

- predisposizione e generazione del flusso telematico relativo al modello di pagamento F24EP da inviare all’AdE; l’invio è a carico del Committente; Gestione e creazione del flusso telematico UNIEMENS/DMA (INPS ed ex INPDAP casse CPDEL e CTPS) da inviare all’INPS; gestione delle eventuali correzioni e rettifiche UNIEMENS/DMA derivanti anche da sistemazioni della posizione assicurativa tramite “passweb”; l’invio è a carico del Committente.

3. Adempimenti fiscali mensili

- Gestione delle detrazioni d’imposta e degli eventuali oneri deducibili con acquisizione delle richieste tramite il portale del dipendente (di cui al paragrafo 4.2);

- calcolo e rateizzazione automatica delle addizionali regionali e comunali dell’anno precedente, nonché dell’acconto dell’anno in corso dell’addizionale comunale;

- calcolo delle ritenute di legge e relativo conguaglio di fine anno o fine rapporto;

- calcolo dell’IRAP mensile;

- predisposizione del modello di pagamento F24EP e del relativo flusso telematico da trasmettere all’AdE; l’invio è a carico del Committente.

4. Ulteriori adempimenti mensili

- Calcolo delle quote mensili di TFR da destinare ai Fondi pensione (intero / quota), predisposizione e trasmissione del relativo prospetto agli stessi Fondi;

- gestione delle trattenute mensili quale contributo del dipendente ai Fondi pensione e relativo versamento: predisposizione e trasmissione del relativo prospetto al Fondo pensione;

- gestione dei contributi mensili dovuti al Fondo pensione cui sono iscritti i Direttori e relativo versamento (sia a carico dei Direttori stessi che dell’Istituto); predisposizione e trasmissione del relativo prospetto al Fondo pensione;

- predisposizione di un prospetto da inviare alle sigle sindacali delle quote trattenute per singolo dipendente;

- predisposizione di un prospetto da inviare al CRAL della quota trattenuta per singolo dipendente;

- gestione dei prestiti ex-Inpdap attraverso la piattaforma “Passweb” dell’INPS;

- gestione e calcolo dei buoni pasto spettanti a ciascun dipendente e predisposizione del file su formato Microsoft Excel secondo il tracciato reso disponibile dall’impresa appaltatrice della fornitura.

5. Ulteriori adempimenti trimestrali

a) Premio Long Term Care

Il Fornitore dovrà determinare il contributo trimestrale dovuto dall’Istituto al Fondo, per ciascun dipendente, ed il relativo contributo di solidarietà del 10%, da versare agli Enti previdenziali. Inoltre dovranno essere caricati, trimestralmente, sul portale del Fondo i

dati contabili relativi al versamento (imponibile complessivo e relativi contributi), le cessazioni, le assunzioni e le variazioni di residenza.

6. Adempimenti previdenziali ed assicurativi annuali

- Calcolo del premio INAIL (anticipo/saldo) – autoliquidazione annuale;

- Predisposizione del modello F24EP per il pagamento del premio;

- Emissione ed invio telematico della denuncia delle retribuzioni (l’invio è a carico del Committente).

7. Adempimenti fiscali annuali

- Predisposizione e compilazione della Certificazione Unica C.U., comprensiva dei dati riferiti alle anticipazioni e alle liquidazioni del TFR, dei dati previdenziali ed assistenziali, nonché della sezione certificazione lavoro autonomo; produzione del flusso telematico da inviare all’AdE (l’invio è a carico del Committente); modello in formato PDF da rendere disponibile nel portale del dipendente (di cui al paragrafo 4.2);

- Modello CU: predisposizione della documentazione di verifica e quadratura;

- Eventuale rilascio della C.U. su richiesta del dipendente cessato, entro i termini di legge;

- Predisposizione dei dati per l’elaborazione dei quadri del modello 770 (dipendenti/autonomi), ovvero quadri ST, SV, SX ed eventualmente SY;

- Riconciliazione delle ritenute certificate nella C.U. con i modelli F24EP per codice di tributo;

- Fornitura del file PDF del modello 770 e predisposizione del file telematico da inviare all’AdE (invio a carico del Committente);

- Predisposizione della dichiarazione IRAP “Enti pubblici”, compilazione dei quadri di riferimento e predisposizione del file telematico da inviare all’AdE (invio a carico del Committente);

- Riconciliazione dei versamenti IRAP effettuati nell’anno con i modelli F24EP.

8. Statistiche annue e multiperiodali

- Elaborazione della dichiarazione “Conto Annuale” su modello predisposto da MEF- RGS e invio dei dati al sistema SICO tramite il Kit di tabelle Excel (l’invio è a carico del Committente);

- Nel caso di ricevimento di Questionari ISTAT e/o di obbligo di fornitura dati statistici ad altri Enti preposti, il Fornitore provvederà a fornire al Committente i dati in formato PDF e nel formato richiesto per la trasmissione.

9. Ulteriori adempimenti annuali

a) Trattamento di fine rapporto

- Calcolo dell’accantonamento annuale, della rivalutazione e dell’acconto e del saldo dell’imposta sostitutiva; predisposizione del modello F24EP per il relativo versamento;

- Gestione delle anticipazioni e delle liquidazioni;

- Gestione delle quote da destinare ai Fondi di Previdenza Complementare;

- Elaborazione di un prospetto analitico riepilogativo del TFR accantonato al 31 dicembre, partendo da quello dell’anno precedente;

b) Fondi di Previdenza Complementare (dipendenti non Direttori)

- Gestione e calcolo dei contributi sia a carico dei dipendenti non Direttori che dell’Istituto;

- Gestione dei lavoratori di prima occupazione successiva al 1° gennaio 2007 e loro rappresentazione nella C.U.

c) Modello 730/4

- Premesso che l’IVASS non presta assistenza diretta, relativamente all’assistenza fiscale del personale si dovrà garantire l’acquisizione dei relativi file dal sito dell’AdE. La successiva lavorazione con la produzione di flussi riepilogativi dovrà prevedere i seguenti adempimenti:

- verifica qualitativa dell’export dei dati;

- produzione di file in formato Microsoft Excel/CSV riepilogativo di dettaglio per dipendente contenente le informazioni del modello 730/4 (codice dipendente, cognome/nome, codice CAF, IRPEF dichiarante saldo trattenuta/rimborsata, IRPEF coniuge saldo trattenuta/rimborsata, ecc.);

- gestione delle rettifiche, delle rate e delle incapienze;

- alimentazione del cedolino paga.

d) Premio polizza infortuni professionale ed extraprofessionale

Il Fornitore dovrà associare ad ogni dipendente la quota del premio versato dall’Istituto per la copertura infortuni professionali ed extra-professionali e gestire, per quest’ultima, il trattamento previdenziale e fiscale con la relativa detrazione.

e) Gestione dei rimborsi e benefit del Welfare Aziendale

L’Istituto ha previsto un piano di Flexible Benefit a favore del personale, reso disponibile tramite un portale gestito da un Provider esterno. Il contributo figurativo annuo a disposizione di ciascun dipendente dall’Istituto si compone di due quote: la “quota dipendente”, il cui importo è in funzione del profilo di appartenenza e la “quota figli”, il cui importo è funzione del numero di figli del dipendente che rispettano i requisiti previsti dal Regolamento del piano di Flexible Benefit.

Gli importi, “quota dipendente” e “quota figli”, determinati come previsto dal relativo Regolamento, dovranno essere trasmessi al provider nel corso del mese di gennaio con riferimento alla posizione del dipendente al 31 dicembre dell’anno precedente, mediante file Microsoft Excel il cui tracciato è stabilito dal provider stesso.

A tal fine dovrà essere acquisita tramite il portale del dipendente (di cui al paragrafo 4.2) una dichiarazione in cui verranno rappresentati i dati anagrafici dei figli per i quali si ritiene di aver diritto al contributo indicando, se richiesto, se è dedito agli studi con indicazione del corso di studio frequentato.

Nel caso di assunzione di nuovo personale deve essere trasmesso tempestivamente al Provider il solo file relativo alla “quota dipendente”, proporzionato ai mesi interi di effettivo servizio.

In caso di cessazione, occorrerà trasmettere un file di chiusura posizione, secondo il formato Excel indicato dal provider.

Il sistema dovrà garantire mensilmente il caricamento del file trasmesso dal provider contenente i rimborsi con le relative descrizioni, al fine di riconoscerli ai singoli dipendenti nei cedolini, nonché le quote destinate ai Fondi pensione e/o all’assistenza sanitaria. Inoltre dovrà essere garantito il caricamento dallo stesso file degli importi destinati dal dipendente all’acquisto di fringe-benefit, al fine di verificare il rispetto dei limiti di esenzione dal reddito previsti dalla normativa vigente.

f) PID

Determinazione delle informazioni necessarie a livello occupazionale in IVASS in relazione agli obblighi di riserva previsti dalla legge 68/99 e delle categorie protette presenti alla data di riferimento in IVASS. L’invio agli uffici competenti del prospetto informativo è a carico del Committente.

Cedolino

Il cedolino dovrà essere personalizzabile per specifiche richieste dell’IVASS e dovrà riportare le seguenti informazioni a titolo esemplificativo e non esaustivo:

1. Testata

- Dati anagrafici essenziali dell’IVASS e il logo;

- Matricola – Codice master – Nominativo – Data nascita – Data assunzione – Data cessazione

- Codice fiscale – Posizione INAIL – Servizio/Ufficio/Divisione di appartenenza – Tipo rapporto

2. Corpo

- Tutte le voci riguardanti le competenze fisse e le trattenute del mese (voci variabili) con l’indicazione del trattamento contributivo e fiscale delle voci di paga;

- I contributi previdenziali del mese;

- L’imponibile fiscale e l’imposta del mese;

- I progressivi fiscali e previdenziali dell’anno;

- Il dettaglio della tassazione degli emolumenti a tassazione separata;

- Il risultato contabile trasmesso dal CAF;

- Il conguaglio previdenziale e fiscale di fine anno o fine rapporto;

- Le trattenute o rimborsi al netto, comprese le rate delle addizionali riferite all’anno precedente;

- Il periodo di retribuzione (mese/anno);

- La valuta di accredito;

- Il codice IBAN;

- Dati relativi all’accantonamento del TFR.

Si precisa che, per tutte le categorie di percettori, la valuta di accredito delle competenze mensili è il giorno 27 di ciascun mese. Qualora il giorno 27 ricada in un giorno festivo, di sabato o di domenica, la valuta sarà anticipata al primo giorno lavorativo antecedente.

La valuta di accredito della mensilità aggiuntiva di dicembre (13° mensilità) è il giorno 15 del mese di dicembre, anticipata all’ultimo giorno lavorativo precedente nel caso in cui ricada in un giorno festivo, di sabato o di domenica.

Sarà cura del Fornitore mettere a disposizione dei dipendenti i cedolini tramite il portale del dipendente (di cui al paragrafo 4.2), con possibilità di consultazione/export in formato PDF a partire dalla giornata precedente al pagamento.

Reportistica

La società aggiudicataria provvederà a fornire mensilmente all’IVASS tutta la reportistica necessaria per il pagamento degli emolumenti. Per quanto concerne le modalità di fornitura della reportistica, sarà necessario prevedere la possibilità di visualizzare online i risultati dei calcoli degli stipendi. In particolare, dovrà essere prevista la possibilità di esaminare preventivamente, nel rispetto dei tempi indicati nel paragrafo requisiti di qualità della fornitura, i cedolini degli stipendi, al fine di richiedere eventuali correttivi che si rendessero necessari prima dell’elaborazione definitiva.

La società aggiudicataria dovrà mettere a disposizione una procedura informatica che consenta, mediante opportuni criteri di ricerca, l’estrazione di elenchi e riepiloghi, relativamente a competenze fisse, continuative e accessorie o a più voci retributive sommate fra loro, rispettando l’articolazione del bilancio IVASS.

La società aggiudicataria, inoltre, dovrà archiviare i cedolini emessi in formato elettronico garantendone la consultazione, nel rispetto delle ultime direttive in materia di conservazione digitale emanate dall’AgID.

Dovrà essere garantita l’interazione con il modulo di anagrafica del personale (di cui al paragrafo 4.1), per quanto concerne la mobilità interna del dipendente, in modo da poter effettuare verifiche ed estrazioni di dati economici con riferimento alle diverse Strutture cui è stato assegnato il dipendente nel corso della sua storia lavorativa.

Dovrà inoltre essere previsto un report riepilogativo annuo per ogni dipendente, contenente:

- le competenze retributive corrisposte;

- le ritenute;

- gli imponibili fiscali e previdenziali;

- i contributi a carico dell’IVASS riferiti al dipendente stesso.

È fondamentale che, dopo la necessaria formazione, il personale IVASS sia posto nelle condizioni di provvedere in maniera autonoma all’estrazione dei dati secondo proprie necessità attraverso il modulo dedicato Reportistica e Analytics (di cui al paragrafo 4.11).

Il Fornitore dovrà predisporre mensilmente dei report che consentano di evidenziare, dopo la fase di inserimento dati e calcolo del cedolino, eventuali anomalie ed in particolare le variazioni rispetto ai dati del mese precedente con riferimento, a titolo esemplificativo e non esaustivo, a quanto elencato di seguito:

X. Xxxx anagrafici

1. assunzioni e cessazioni: dipendente con decorrenza, profilo, livello;

2. codice IBAN del conto corrente di accredito delle retribuzioni: dipendente, IBAN precedente e nuovo IBAN;

3. indirizzo di residenza ai fini fiscali: dipendente, indirizzo precedente e nuovo;

4. domicilio: dipendente, indirizzo precedente e nuovo.

B. Trattenute

1. per adesione alle sigle sindacali: dipendente, sigla, importo del mese precedente e di quello corrente;

2. per adesione al Cral: dipendente, importo del mese precedente e di quello corrente;

3. per contributi destinati al Fondo Pensione: dipendente, importo del mese precedente e di quello corrente;

4. per cessioni del V, delegazione di pagamento, pignoramenti, sovvenzione e piccolo prestito ex INPDAP: dipendente, importo, numero di rata attuale e delle rate residue;

5. per riscatto e ricongiunzione ai fini pensionistici: dipendente, importo, numero di rata attuale e delle rate residue;

6. per recuperi vari: dipendente, importo del mese precedente e di quello corrente;

7. per addizionali regionali e comunali: dipendente, importo del mese precedente e di quello corrente.

C. Dati economici

1. Variazioni di profilo: dipendente, profilo di provenienza e del nuovo;

2. Variazioni di livello: dipendente, profilo, livello di provenienza e nuovo;

3. Variazione posizione manageriale: dipendente, posizione;

4. Variazione del tipo di rapporto (part-time – tempo pieno e viceversa): dipendente, tipo di rapporto di lavoro (precedente e nuovo), ore settimanali ed eventuale percentuale di riduzione;

5. Variazioni sulle voci fisse della retribuzione: dipendente, voce variata, importo del mese precedente e del nuovo;

6. Variazioni sulle indennità mensili: dipendente, tipo di indennità, importo del mese precedente e del nuovo;

7. Assegno per il nucleo familiare: dipendente, importo del mese precedente e del nuovo.

D. Dati fiscali

1. Detrazioni per coniuge, figli e altri familiari a carico: dipendente, tipo di detrazione, importo del mese precedente e corrente;

2. Altre detrazioni: dipendente, tipo di detrazione, importo del mese precedente e corrente;

3. Deduzioni: dipendente, tipo di deduzione, importo del mese precedente e corrente;

Inoltre dovranno essere disponibili ed esportabili - in formato Excel e PDF - dei report di riepilogo riferiti al mese di pagamento, contenenti, a titolo esemplificativo e non esaustivo, le informazioni di seguito elencate:

a) compensi per lavoro straordinario feriale: totale ore, compenso totale, n. dipendenti;

b) compensi per lavoro straordinario festivo: totale ore, compenso totale, n. dipendenti;

c) compensi per lavoro straordinario notturno: totale ore, compenso totale, n. dipendenti;

d) missioni in Italia: totale indennità erogate, totale n. giornate, totale rimborsi spese, n. dipendenti;

e) missioni all’Estero: totale indennità erogate, totale n. giornate, totale rimborsi spese.

n. dipendenti;

f) penalità di assenza distinta per tipologia: totale giorni e importo trattenuto, n. dipendenti;

g) congedi parentali: dipendente, tipo congedo, giorni/ore, importo decurtazione;

h) premio una tantum: dipendente e importo;

i) premio di anzianità: dipendente, tipologia, importo, data di assunzione;

j) importo netto minore o uguale a zero: dipendente;

k) conguaglio fiscale: dipendente;

l) assenza trattenute fiscali: dipendente;

m) conguagli a seguito dell’assistenza fiscale: dipendente;

n) conguaglio previdenziale: dipendente;

o) assenza trattenute previdenziali: dipendente;

p) verifica superamento massimale contributivo nel mese (solo per i dipendenti privi di anzianità contributiva al 1° gennaio 1996): dipendente.

Adempimenti contabili

La fornitura deve garantire lo scambio flussi con l’attuale sistema di contabilità in uso dall’IVASS secondo dei tracciati codificati, così come dettagliato nel paragrafo 3.2 “Interoperabilità ed integrazione applicativa”. Il flusso informativo dal sistema delle paghe verso il sistema contabile prevede un flusso nel quale è riportata l'aggregazione delle voci stipendiali sviluppata secondo la prospettiva della contabilità finanziaria (capitoli di bilancio/impegni di spesa).

Le modalità attraverso le quali i flussi stipendiali sono riclassificati in termini di voci di bilancio, impegni, devono essere determinate da tabelle che il sistema delle paghe dovrà permettere di configurare e parametrizzare in base alle esigenze dell'IVASS.

Inoltre dovrà essere prevista la gestione del dialogo tra le due anagrafiche distinte: quella del sistema payroll e quella della contabilità attualmente in uso in modo che sia garantita la corrispondenza tra i due codici identificativi riferiti allo stesso dipendente.

Il sistema dovrà inoltre fornire una aggregazione progressiva dei dati relativi al costo del personale, per il monitoraggio dell’andamento delle spese nell’ambito dei vari capitoli di bilancio. Il Fornitore, in sede di contabilizzazione delle retribuzioni pagate, dovrà produrre tutta la reportistica necessaria per il controllo dei mandati e delle reversali da emettere.

Requisiti di qualità della fornitura

L’esecuzione delle attività oggetto dell’intera fornitura dovrà essere effettuata da parte del Fornitore nel rispetto del progetto di servizio e della puntualità della consegna degli output prodotti. Si precisa che i flussi definitivi relativi agli accrediti (dipendenti e conto terzi) nonché tutte le denunce da trasmettere agli enti esterni devono essere disponibili, secondo le modalità e le tempistiche indicate nel presente paragrafo, provvisti di firma elettronica del responsabile individuato dal Fornitore. I file di elaborazione definitiva dovranno essere trasmessi muniti di firma elettronica dello stesso responsabile individuato dal Fornitore. I documenti e i file di cui sopra saranno considerati immodificabili. Di seguito sono elencati i livelli di servizio richiesti per le attività ordinarie a cadenza mensile previste dalla fornitura.

Attività ordinarie mensili

Soggetto

Attività ordinarie mensili

Modalità

Tempi

IVASS

Consegna al Fornitore delle variazioni dati anagrafici e retributivi: assunzioni, cessazioni, IBAN, residenze, detrazioni, adesioni sigle sindacali, cral, fondi pensione, ANF, variazioni rapporto di lavoro (part- time, tempo pieno e viceversa), attribuzione profilo, livello, posizione manageriale, passaggio di area, dati welfare aziendale, prestiti, premi, trasferimento dati dal modulo rilevazione presenze e relativi alle missioni

Dati relativi ai collaboratori,

tirocinanti, praticanti.

Supporto elettronico e/o cartaceo. Da portale del dipendente.

Per inserimento dati da parte del Fornitore e successiva elaborazione.

Entro il giorno 10 del mese corrente e comunque entro il primo giorno lavorativo antecedente tale giorno.

Fornitore

Inserimento dati, calcolo e prima elaborazione dei cedolini e dei riepiloghi per i vari controlli.

Supporto elettronico. Possibilità di

consultazione da parte del personale autorizzato alla estrazione dati.

Entro il giorno 14 del mese corrente e comunque entro il primo giorno lavorativo antecedente tale

giorno.

Calcolo definitivo cedolini, trasmissione dei riepiloghi, del file dei netti per la banca.

Supporto elettronico. Flusso CBI dei netti. Possibilità di

consultazione da parte del personale autorizzato

alla estrazione dati.

Entro il giorno 20 del mese corrente e comunque entro il primo giorno lavorativo antecedente tale

giorno.

Trasferimento dati in contabilità e delle informazioni per i pagamenti in favore di terzi (sindacati, cral, finanziarie

ecc.)

Supporto elettronico. Possibilità di

consultazione da parte del personale autorizzato alla estrazione dati.

Entro il giorno 20 del mese corrente e comunque entro il primo giorno lavorativo antecedente tale

giorno.

Trasmissione in contabilità delle informazioni relative ai pagamenti dei contributi e delle imposte. Predisposizione dei modelli fiscali/previdenziali da trasmettere all’AdE

(F24EP).

Supporto elettronico e/o cartaceo.

Possibilità di

consultazione da parte del personale autorizzato alla estrazione dati.

Entro il giorno 3 del mese successivo e comunque entro il primo giorno lavorativo antecedente tale giorno (trasmissione a carico del Committente)

Predisposizione dei flussi contributivi da trasmettere agli Enti preposti (UNIEMENS)

Supporto elettronico. Possibilità di

consultazione da parte del personale autorizzato

alla estrazione dati.

Entro 15 giorni

antecedenti la

scadenza prevista. L’invio è a carico del Committente.

Pubblicazione sul Portale del dipendente dei cedolini.

Supporto elettronico consultabile dal Portale del dipendente.

Entro il giorno lavorativo antecedente la valuta della

retribuzione

Attività ordinarie trimestrali

Soggetto

Attività ordinaria trimestrale

Modalità

Tempi

Fornitore

Calcolo del contributo trimestrale al Fondo LTC e il relativo 10% da versare agli Enti previdenziali.

Supporto elettronico. Possibilità di consultazione da parte del personale autorizzato ed eventuale estrazione dati.

Entro il giorno 27 del mese di marzo, giugno, settembre e dicembre; e comunque entro il primo giorno lavorativo antecedente tali giorni. (Trasmissione a carico del

committente).

Attività ordinarie annuali

Soggetto

Attività ordinarie annuali

Modalità

Tempi

Fornitore

Calcolo accantonamento annuale TFR , rivalutazione, saldo imposta sostitutiva.

Supporto elettronico. Possibilità di

consultazione da parte del personale autorizzato ed eventuale estrazione

dati.

Entro il giorno 31 del mese di gennaio.

Autoliquidazione INAIL – mod. F24EP per il versamento e trasmissione della denuncia delle retribuzioni.

Supporto elettronico e prospetto di verifica imponibili. Possibilità di consultazione ed estrazione dati da parte del personale autorizzato.

Per l’autoliquidazione INAIL entro 15 giorni antecedenti la scadenza prevista per il pagamento al fine di effettuare controlli e verifiche. (Trasmissione dei dati a carico del Committente).

Per il mod. F24EP entro

10 giorni antecedenti la

scadenza del pagamento.

(Trasmissione dei dati a

carico del Committente)

CU annuali e cessati in corso d’anno e flusso telematico da inviare all’AdE.

File PDF consultabile nel Portale del dipendente. Modello cartaceo per il personale cessato e per autonomi. Possibilità di consultazione ed estrazione dati da parte del personale autorizzato per verifiche.

Entro 15 giorni antecedente la scadenza previste per controlli e verifiche.

Successivamente il Fornitore provvederà al caricamento sul Portale e trasmissione della CU al personale non dipendente o cessato entro il termine previsto dalle disposizioni di legge per la consegna. Per i dipendenti cessati in corso d’anno entro 5 giorni dalla richiesta dell’interessato per controlli e per il rispetto dei termini di legge. (Trasmissione flusso all’AdE a carico del Committente)

Modello 770 e flusso telematico da inviare all’AdE.

Fornitura copia della dichiarazione in formato PDF.

Entro 15 giorni antecedenti alla data di scadenza della trasmissione telematica del flusso all’AdE per controlli (trasmissione all’AdE a carico del

Committente)

Conto Annuale e predisposizione invio dei dati al sistema SICO.

Possibilità di

consultazione ed estrazione dati da parte del personale autorizzato.

Entro 15 giorni antecedenti la scadenza prevista per controlli e verifiche. (trasmissione a carico del

Committente)

Dichiarazione IRAP e file da trasmette all’AdE.

Fornitura copia della dichiarazione in formato PDF.

Entro 15 giorni antecedenti la scadenza prevista per la trasmissione del flusso all’AdE (trasmissione a

carico del Committente.

In caso di particolari esigenze, potranno essere concordate con il Fornitore tempistiche differenti. A tal riguardo saranno stabiliti con il Fornitore piani di lavoro ad hoc formalizzati tra le parti anche via mail che saranno considerati di riferimento per la definizione dei livelli di servizio richiesti.

Tutto ciò che riguarda la gestione di fattispecie particolari che non hanno frequenza mensile saranno concordati e formalizzati anche via mail di volta in volta (es: riepiloghi annui in concomitanza dei conguagli previdenziali e fiscali, riepilogo contabile ai fini del bilancio consuntivo, ecc.)

Il Fornitore provvederà al calcolo delle retribuzioni e dei compensi sulla base dei dati di base e di variazione periodica forniti mensilmente dall’IVASS. Il Fornitore è responsabile della correttezza del risultato del calcolo di ogni elaborazione delle retribuzioni e dell’aggiornamento di tutti i dati necessari all’elaborazione medesima.

Il Fornitore dovrà predisporre i cedolini retributivi, conformi alla normativa contrattuale vigente, renderli disponibili tramite le specifiche funzionalità disponibili nel portale del dipendente agli addetti IVASS, nei termini dalla tabella precedente. Il rispetto dei tempi e l’effettiva trasmissione dei cedolini a IVASS sono di completa responsabilità del Fornitore. Il Fornitore dovrà fornire mensilmente all’Istituto tutti i dati che hanno costituito la base dei calcoli, e i relativi risultati elaborati in base alle indicazioni evidenziate nel presente Capitolato.

Tutti i dati forniti, che saranno di proprietà di XXXXX, dovranno essere corredati da apposita documentazione per la loro interpretazione.

5. Avvio del servizio e collaudo

5.1 Set-up, configurazione dell’infrastruttura base, migrazione e formazione L’Aggiudicatario dovrà fornire all’Istituto l’organigramma di progetto con indicazione delle diverse figure coinvolte ed evidenza dei differenti ruoli e responsabilità per lo svolgimento delle attività relative ai servizi richiesti. Dovranno inoltre essere fornite tutte le informazioni necessarie alla valutazione della qualificazione professionale dei componenti del team, con particolare riguardo alla formazione, alle certificazioni possedute e all'esperienza acquisita. In caso di eventuali sostituzioni dei componenti del team indicati nell’organigramma di progetto, il Fornitore dovrà garantire il necessario periodo di affiancamento di personale al fine di non avere impatti sul regolare svolgimento dei lavori.

La messa in esercizio dovrà avvenire in fasi successive programmate lungo un arco temporale stabilito all’interno di uno specifico piano di lavoro (Gantt) sviluppato dal Fornitore e approvato da IVASS nel rispetto di quanto indicato al paragrafo 2.3. All’interno del piano di lavoro dovrà essere data priorità allo svolgimento delle attività necessarie a consentire l’avvio del servizio di payroll in outsourcing e l’interazione con il sistema di contabilità a partire dal 01 gennaio 2024 e conseguente emissione del primo cedolino 2024 attraverso la nuova soluzione fornita nel rispetto dei requisiti indicati al paragrafo 4.12. A riguardo, si specifica che dovrà inoltre essere espressamente previsto, un periodo di parallelo con la precedente soluzione applicativa adottata dall’Istituto, di almeno due mesi antecedenti la data del 01 gennaio 2024, al fine di poter effettuare i necessari test applicativi, le verifiche relative alla elaborazione dei cedolini, e gli ulteriori controlli necessari con possibilità di richiedere eventuali interventi di messa a punto. Si dovrà poi provvedere, nelle fasi seguenti indicate all’interno del piano di lavoro, all’implementazione dei restanti moduli applicativi previsti e delle relative funzionalità, con priorità per il modulo relativo al sistema di rilevamento presenze e per il modulo missioni. La messa in esercizio dell’intera soluzione applicativa nel rispetto dei requisiti descritti nel presente capitolato dovrà avvenire entro il termine ultimo indicato da IVASS al paragrafo 2.3.

ll Fornitore si obbliga al rispetto delle tempistiche stabilite secondo le modalità indicate in tale piano, presentato in sede di offerta, e all’esecuzione delle attività previste con garanzia di continuità di tutti i servizi erogati al personale.

A partire dalla data di esecuzione delle attività, il Fornitore dovrà predisporre con cadenza settimanale, il documento di “Stato Avanzamento Lavori (SAL)” e gli ulteriori documenti utili a consentire le attività di monitoraggio da parte dell’Istituto, riportando in particolare indicazioni sulle attività concluse ed in corso, su eventuali criticità/ritardi, sulle relative azioni di recupero e ragioni dell’eventuale scostamento. L’IVASS si riserva di applicare le penali contrattuali previste nel caso di mancato rispetto dei criteri e dei risultati concordati.

Relativamente alle attività di migrazione, al fine di curare l’implementazione delle nuove basi di dati, l’Aggiudicatario sarà supportato dai fornitori uscenti per quanto riguarda l’individuazione dei necessari tracciati record e per il popolamento dei relativi campi al fine del caricamento all’interno della nuova soluzione fornita dei necessari dati pregressi relativi al personale in servizio. Tali attività, potranno anche inizialmente essere riferite ai dati strettamente necessari a supportare l’avvio dei nuovi moduli applicativi secondo le tempistiche concordate all’interno del piano di lavoro. Qualsiasi strumento e/o soluzione informatica si riveli necessaria per l’attività di migrazione dei dati all’interno della nuova soluzione sarà a carico del nuovo Fornitore.

Il Fornitore dovrà inoltre garantire la formazione tecnica e applicativa degli utenti individuati dall’Istituto all’interno del Servizio Gestione Risorse che utilizzeranno l’applicativo. La formazione tecnica, programmata all’interno del piano di lavoro, sarà rivolta agli utenti amministratori della piattaforma applicativa, al fine di fornire tutti gli elementi di carattere tecnico ed organizzativo necessari a partecipare fattivamente, fin dall’inizio e a seguire per tutto il periodo di contratto, la gestione e personalizzazione del nuovo sistema. La formazione applicativa dovrà essere rivolta al restante personale del Servizio Gestione risorse e avrà lo scopo di fornire le adeguate nozioni necessarie per lo svolgimento dei propri compiti; questa attività formativa potrà, ovviamente, essere programmata in sincronia con l’installazione ed il rilascio dei nuovi moduli e relative funzionalità via via messi in esercizio, nel rispetto della inderogabile esigenza di IVASS di garantire comunque una continuità di tutti i servizi erogati al personale.

Il Fornitore dovrà infine prevedere l’erogazione di sessioni di formazione per il restante personale dell’Istituto con riferimento al portale del dipendente al fine di illustrare le funzionalità del sistema fornito e le modalità di corretto utilizzo delle stesse.

5.2 Collaudo di inizio attività e SAL

L’applicativo per la gestione del personale e il servizio di payroll previsti nell’ambito del presente Capitolato sono sottoposti a collaudo secondo le seguenti modalità:

a) entro il 31 dicembre tutti i moduli necessari per poter avviare il servizio di payroll a decorrere dal 1° gennaio 2024;

b) le ulteriori operazioni di collaudo verranno eseguite secondo le date concordate all’interno del piano di lavoro relativamente al rilascio in produzione degli ulteriori moduli forniti nel rispetto dei termini previsti al paragrafo 2.3.

Il collaudo può richiedere la presenza di incaricati del Fornitore, che devono controfirmare il relativo verbale. Qualora i test e le verifiche non fossero superate, anche parzialmente, le operazioni di collaudo sono ripetute entro cinque giorni nelle stesse condizioni e modalità, con eventuali oneri a carico del Fornitore.

5.3 Assistenza e affiancamento post Go-Live

Il Fornitore, a partire dal Go-Live, dovrà continuare a garantire il supporto da parte del personale specialistico addetto alle attività di implementazione, in affiancamento al personale addetto dell’Istituto, nonché la disponibilità del servizio di Help Desk così come previsto dal paragrafo 5.4. In questa fase, il supporto specialistico, dovrà in caso di necessità consentire di intraprendere nel più breve tempo possibile le azioni correttive necessarie a fronte di malfunzionamenti del sistema nel rispetto dei livelli di servizio previsti al paragrafo 5.5.

5.4 Servizio di Help Desk

Per tutta la durata del contratto, sarà cura del Fornitore mettere a disposizione un servizio di assistenza da remoto che includa un canale telefonico (numero verde), un indirizzo e-mail dedicato ed un sistema di ticket management che assicuri al minimo le seguenti funzioni, dal lunedì al venerdì e dalle ore 8.00 alle ore 18.00:

1) Registrazione della richiesta di intervento (Call Request);

2) Qualificazione e categorizzazione della chiamata5;

3) Notifica all’utente di “presa in carico” della chiamata;

4) Troubleshooting, insieme all’utente, della problematica (1° Livello);

5) Escalation ai servizi tecnici di 2° livello, nel caso in cui la richiesta non possa essere chiusa al 1° livello, o necessiti competenze specialistiche peculiari;

6) Verifica dei tempi di intervento ed eventuale sollecito agli eventuali gruppi di competenza;

7) Servizio di reportistica analitica su chiamate ricevute ed interventi effettuati, basato sulle funzionalità offerte dal sistema di ticketing.

La possibilità di soddisfare la richiesta, ma a condizioni diverse da quelle standard, che dovranno essere concordate con IVASS, devono essere immediatamente comunicate al referente contrattuale, per concordarne le modalità di erogazione. In particolare:

• Richieste di erogazione di attività specialistiche, come ad esempio la formazione, devono essere concordate con il referente del contratto di IVASS, nei tempi e nelle modalità;

• Richieste di erogazione di attività sul servizio di Manutenzione Evolutiva. Queste possono essere innescate, ad esempio, da una change request, le cui modalità di erogazione sono descritte nel paragrafo 5.6.2.

Il Fornitore si impegna, quindi, a garantire la disponibilità di una funzione di supporto e assistenza al personale dell’Istituto che faciliti il corretto utilizzo della piattaforma applicativa e la migliore fruizione dei servizi erogati, assumendo l’obbligo di eliminare le anomalie e/o i

5 Per “qualificazione e categorizzazione della chiamata” si intende la possibilità di soddisfare la richiesta in base a categorie da concordare. In caso di impossibilità (chiamata rifiutata), andranno indicati i motivi che ne impediscono l’erogazione.

malfunzionamenti, anche se derivanti da nuove o variate normative, senza alcun addebito per l’Istituto e con i tempi previsti nell’ambito del presente Capitolato.

5.5 Service Level Agreement

La rilevazione dei livelli di servizio dovrà essere avviata contestualmente all’inizio delle attività oggetto del Contratto. Nel caso in cui l’Aggiudicatario dovesse avvalersi di servizi da terze parti, ciascun livello di servizio dovrà essere rispettato in tutta la catena di fornitura ICT.

Il referente indicato dal Fornitore dovrà rendicontare sullo stato di erogazione del servizio, eseguendo tutte le attività richieste nel rispetto di quanto previsto dal presente capitolato e dalla documentazione di gara.

Per ciascuna tipologia di servizio richiesta è riportato, di seguito, un indicatore di qualità che illustra la descrizione, le modalità di esecuzione e le relative tempistiche.

Nell’Appendice n.1, con riferimento ai livelli di servizio, sono riportate le date previste di scadenza, la frequenza di rilevazioni e le corrispondenti penali.

IQ01. Disponibilità Calendario

• Il calendario per la rilevazione dei livelli di servizio (CRLS) comprenderà le giornate lavorative del calendario nazionale. Eventuali giornate ulteriori di servizio garantito saranno richieste dall’IVASS con un preavviso di 2 giorni lavorativi e riconosciute nel canone in proporzione temporale rispetto all’anno solare.

• L’orario per la rilevazione dei livelli di servizio (ORLS) è dalle 7:00 alle 19:00 delle giornate in calendario.

Modalità di calcolo dell’indicatore

La disponibilità del servizio (percentuale di disponibilità) viene misurata sull’arco temporale definito ORLS utilizzando la seguente formula:

𝑃𝑒𝑟𝑐𝑒𝑛𝑡𝑢𝑎𝑙𝑒 𝑑𝑖 𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑖𝑡à = 𝑡𝑒𝑚𝑝𝑜 𝑑𝑖 𝑒𝑠𝑒𝑟𝑐𝑖𝑧𝑖𝑜−𝑖𝑛𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑖𝑡à 𝑑𝑒𝑙 𝑠𝑒𝑟𝑣𝑖𝑧𝑖𝑜 𝑥 100

𝑡𝑒𝑚𝑝𝑜 𝑑𝑖 𝑒𝑠𝑒𝑟𝑐𝑖𝑧𝑖𝑜

Dove:

• il tempo di esercizio rappresenta il tempo (espresso in minuti) in cui è previsto che la disponibilità della piattaforma applicativa sia garantita;

• l’indisponibilità del servizio rappresenta il numero dei minuti di mancanza di effettiva funzionalità nel suddetto periodo di esercizio (presenza di guasti bloccanti).

Metrica e soglia

Le funzionalità della piattaforma applicativa dovranno essere disponibili per almeno il 99,5% del tempo all’interno dell’ORLS.

IQ02. Affidabilità del servizio e gestione degli incidenti

Qualora si verifichi in esercizio una qualunque anomalia, incidente, guasto o malfunzionamento (bloccante o non bloccante), per il quale si rende necessaria un’attività di supporto da parte del Fornitore, una manutenzione correttiva o un’azione di ripristino del servizio, esso deve essere risolto secondo i tempi indicati nella tabella seguente:

Priorità	Tempo massimo di presa in carico	Tempo massimo di risoluzione
Critica	Immediato	4 ore
Alta	2 ore	12 ore
Media	1 giorno	3 giorni
Bassa	3 giorni	10 giorni

Nel caso in cui si verifichi un malfunzionamento bloccante di priorità critica, il Fornitore notifica entro 2 ore l’indisponibilità del servizio all’IVASS. In caso di incidenti maggiori (priorità critica e alta), l’Aggiudicatario comunicherà ad IVASS un sintetico resoconto di quanto avvenuto nei giorni successivi all’incidente.

Il numero massimo di guasti o malfunzionamenti ammessi, su base semestrale, è fissato a 3 bloccanti e 6 non bloccanti.

La finestra di manutenzione ordinaria, salvo casi relativi ad errori o guasti sui quali è necessario intervenire tempestivamente così come indicato in precedenza, è fissata tra le ore 19:00 e le ore 7:00 o durante le giornate di sabato, domenica o festivi.

IQ03. Manutenzione normativa del servizio

Per quanto concerne la manutenzione normativa, al fine di adeguare la piattaforma applicativa alle ultime variazioni legislative e/o regolamentari, è richiesta una soluzione entro e non oltre i tempi definiti dalla normativa stessa.

IQ04. Adempimenti normativi in materia di protezione dei dati personali (GDPR)

L’Aggiudicatario dovrà informare, senza ingiustificato ritardo e non oltre le 48 ore, l’Istituto di una violazione (data breach), o sospetta violazione, della protezione dei dati, fornendo una dettagliata descrizione della violazione e ogni altra informazione che il titolare possa richiedere in relazione all’accaduto.

IQ05. Scalabilità e prestazioni

Il sistema deve poter essere scalabile per consentire un numero di connessioni contemporanee adeguato alla domanda (tenuto conto della platea dei potenziali dichiaranti). Il livello minimo di connessioni concorrenti attese è 300.

Il tempo di risposta via web deve essere inferiore a 3 secondi nel 97% dei casi su base semestrale.

IQ06. Business Continuity e Disaster Recovery

• RTO (Recovery Time Objective) = 24 ore

• RPO (Recovery Point Objective) = 3 ore

Nel periodo di erogazione del servizio dal sito secondario, sarà accettabile un livello di servizio pari al 70% di quello previsto, per i paragrafi “Disponibilità” e “Scalabilità e prestazioni” per un periodo massimo di una settimana solare (tempo massimo di ripristino dei livelli di servizio).

IQ07. Backup e Restore

La conservazione e frequenza dei backup dell’intera soluzione SaaS, così come i dati memorizzati nei relativi database, dovranno rispettare i valori presenti nella tabella seguente:

Conservazione		Frequenza
Backup increm	Backup totali	Backup increm	Backup totali
30 giorni	30 giorni	24 ore	7 giorni

IQ08. Reportistica

L’Aggiudicatario dovrà fornire semestralmente ad IVASS una reportistica sull’andamento dei livelli di servizio degli ultimi 6 mesi evidenziando eventuali criticità e misure messe in atto per la risoluzione e prevenzione di malfunzionamenti o eventi analoghi.

5.6 Servizi di manutenzione

Per tutta la durata del Contratto, il Fornitore è tenuto a garantire la disponibilità di una funzione di manutenzione della soluzione gestionale realizzata, con l’obiettivo di migliorare il software nel complesso, correggere problemi o bug e incrementare le prestazioni. Dovranno essere garantiti la manutenzione e l’aggiornamento degli algoritmi di gestione, degli algoritmi di calcolo e della documentazione funzionale e tecnica per rispettare le disposizioni contrattuali e la normativa vigente, nonché le loro future evoluzioni. A seconda delle tipologie di intervento necessarie si distingueranno quindi tre differenti tipologie di manutenzione: correttiva, evolutiva e normativa.

5.6.1 Manutenzione correttiva

Per manutenzione correttiva si intendono tutte quelle attività, da svolgere sui sistemi informatici, di competenza del Fornitore, che consentono all’Istituto di usufruire del servizio coerentemente con gli SLA contrattualizzati.

Gli interventi di manutenzione correttiva, qualora sia IVASS ad accorgersi di un malfunzionamento, sono richiesti mediante l’utilizzo del Servizio di Help Desk – si veda paragrafo 5.4.

A seguito della richiesta di intervento di manutenzione correttiva e della immediata presa in carico, il Fornitore è responsabile della gestione (analisi tecnica e analisi dei dati, interazione con l’utente, proposta di soluzione, pianificazione delle attività, documentazione dell’intervento, etc.) e risoluzione dell’intervento sino alla accettazione esplicita di chiusura dell’intervento da parte dell’utente di riferimento e del Referente IVASS.

A tale scopo il Fornitore dovrà garantire il risultato atteso in termini di qualità e la durata massima per il raggiungimento del risultato, di cui è direttamente responsabile, mediante l’impiego di risorse idonee e di comprovata qualificazione tecnica e professionale.

5.6.2 Manutenzione evolutiva

Il Servizio di manutenzione evolutiva consiste nella realizzazione di funzionalità aggiuntive per i Sistemi messi a disposizione dell’Istituto. La richiesta di sviluppo di una nuova funzionalità, avverrà tramite richiesta formale inviata per mezzo PEC da parte del Referente IVASS.

In generale il servizio si compone delle seguenti principali attività:

- analisi funzionale di dettaglio della nuova funzionalità, documentata per quanto necessario;

- sviluppo della nuova funzionalità;

- test della nuova funzionalità effettuato in un “Ambiente di test” diverso da quello di esercizio/produzione, così da garantire la continuità dell’esercizio dell’applicazione;

- validazione da parte del Referente IVASS;

- collaudo finale della nuova funzionalità;

- messa in esercizio della nuova funzionalità;

- consegna della documentazione (tecnica ed utente) della nuova funzionalità.

5.6.3 Manutenzione normativa

Per manutenzione normativa si intendono tutti gli interventi di adeguamento, ovvero correttivi, del sistema volti ad assicurare la costante aderenza delle procedure e dei programmi alla evoluzione della normativa vigente e della regolamentazione interna del personale effettuati in automatico e/o su richiesta dell’Istituto.

Tali interventi dovranno essere presentati al referente IVASS e dovranno essere concordate le modalità ed i tempi di intervento sul sistema.

La manutenzione normativa dovrà essere inoltre soggetta a specifico collaudo.

6. Condizioni di fine servizio

Negli ultimi 90 giorni di validità del contratto il Fornitore dovrà fornire l’affiancamento al personale dell’Istituto e al Fornitore entrante per il trasferimento del necessario know-how sulle attività condotte, al fine di rendere l’eventuale prosecuzione delle attività quanto più efficace e completa possibile. Inoltre, per assicurare il buon esito del processo di migrazione, il Fornitore si rende disponibile a prestare il supporto necessario per il porting verso i sistemi messi a disposizione da parte dell’eventuale nuovo Fornitore subentrante, concordando con l’Istituto un piano di lavoro.

Resta inteso che tutti i dati memorizzati presso i server del Fornitore si intendono di proprietà esclusiva dell’Istituto ed al medesimo dovranno essere consegnati al termine della vigenza contrattuale, senza alcun onere aggiuntivo secondo i formati e le modalità che saranno comunicate nell’ultimo trimestre della fornitura, accompagnati dalla documentazione di pertinenza e dalla descrizione delle semantiche e delle regole di integrità dei dati. Tali dati dovranno rimanere costantemente nella disponibilità dell’IVASS, anche al termine del periodo contrattuale.

Completata la riconsegna, il Fornitore si obbliga a procedere, entro un mese solare dal ricevimento della comunicazione di autorizzazione dall’Istituto, alla cancellazione dei dati e di tutte le copie. A tal proposito, si specifica che il processo di cancellazione dei dati trattati dal Fornitore in nome e per conto dell’Istituto deve essere definito, documentabile ed effettuato attraverso tecniche di cancellazione sicura conformi alle best practices e agli standard internazionali. In nessun modo i dati cancellati dovranno poter essere ripristinati o recuperati attraverso l’uso di strumenti software. Il citato processo di cancellazione sicura deve essere applicato anche nel caso di dismissione di apparati hardware di memorizzazione dei dati.

A fronte del mancato rispetto delle condizioni di fine servizio e delle relative tempistiche l’IVASS applicherà le penali di cui all’Appendice n. 1.

Questo documento contiene informazioni di proprietà di IVASS. Nessuna parte di questo documento può essere riprodotta o divulgata senza il preventivo consenso dell’autore del documento.

Nessuna informazione può essere utilizzata per scopi diversi da quello per cui il documento è stato redatto.

Appendice n. 1 – Penali

Consegna dei servizi e condizioni di fine contratto

Attività

Frequenza rilevazione

Penali

Consegna del servizio di payroll

N/A

• Per ogni giorno di ritardo rispetto alla data prevista e concordata all’interno del piano di progetto, l’IVASS applicherà la penale

pari allo 0,2% dell’importo complessivo della fornitura esclusa IVA.

Consegna del servizio applicativo

Per ogni milestone

• Per ogni giorno di ritardo rispetto alla data prevista e concordata all’interno del piano di progetto, l’IVASS applicherà la penale

pari allo 0,1% dell’importo complessivo della fornitura esclusa IVA.

Ritardo nelle attività da svolgere negli ultimi 90 giorni di validità del contratto

N/A

• In caso di inadempimenti imputabili al Fornitore, in fase di affiancamento in uscita con riferimento al piano di lavoro concordato, l’IVASS applicherà la penale pari allo 1% dell’importo complessivo della fornitura esclusa IVA oltre a richiedere il pagamento di eventuali

sanzioni derivanti da previsione normativa.

Applicativo per la gestione del personale

Attività

Frequenza rilevazione

Penali

IQ01. Disponibilità

Semestrale

• L’indisponibilità del servizio per un tempo complessivo superiore o uguale al valore soglia di disponibilità richiesto costituisce disservizio e comporta l’emissione di una penale pari allo 0,1% dell’importo complessivo della fornitura esclusa IVA

per ogni 0,01% in diminuzione rispetto al valore soglia.

IQ02. Affidabilità del servizio e gestione degli incidenti

Semestrale

• Per ogni ora solare eccedente le soglie di presa in carico e/o risoluzione, l’IVASS applicherà la penale pari allo 0,1% dell’importo complessivo della fornitura esclusa IVA.

• Per ogni guasto o malfunzionamento eccedente il numero dei valori soglia, l’IVASS applicherà la penale pari allo 0,3% per i bloccanti e allo 0,1% per i non bloccanti dell’importo complessivo della fornitura esclusa IVA.

• Nel caso in cui si verifichi un malfunzionamento bloccante di priorità critica ed il Fornitore non provveda a

notificare l’indisponibilità del servizio all’Istituto entro il valore soglia, l’IVASS applicherà la penale pari allo 0,2% dell’importo complessivo della fornitura

esclusa IVA.

IQ03. Manutenzione normativa del servizio

Al verificarsi dell’evento

• Per ogni giorno di ritardo rispetto al tempo definito dalla normativa stessa, l’IVASS applicherà la penale pari allo 0,2% dell’importo complessivo della fornitura esclusa IVA.

IQ04. Adempimenti normativi in materia di protezione dei dati personali (GDPR)

Al verificarsi dell’evento

• Per ogni ora solare eccedente la soglia, l’IVASS applicherà la penale pari allo 0,5% dell’importo complessivo della fornitura esclusa IVA.

IQ05. Scalabilità e prestazioni

Semestrale

• Qualora il servizio non risponda entro il tempo indicato dal valore soglia, l’IVASS applicherà la penale pari allo 0,1% dell’importo complessivo della fornitura esclusa IVA per ogni 0,5% dei casi in diminuzione rispetto al valore soglia.

IQ06. Business Continuity e Disaster Recovery

Al verificarsi dell’evento

• Per ogni ora solare eccedente i valori soglia, l’IVASS applicherà la penale pari allo 0,1% dell’importo complessivo della fornitura esclusa IVA.

IQ07. Backup e Restore

Mensile

• Per ogni giorno di mancata conservazione, l’IVASS applicherà la penale pari allo 0,2% dell’importo complessivo della fornitura esclusa IVA.

IQ08. Reportistica

Semestrale

• Qualora la reportistica dovesse essere presentata 15 giorni oltre il termine del semestre di riferimento, l’IVASS applicherà la penale pari allo 0,3%

dell’importo complessivo della fornitura esclusa IVA.

Servizio di payroll

Attività

Data prevista scadenza

Frequenza rilevazione

Penali

A1 - Inserimento dati, calcolo e prima elaborazione dei cedolini e dei riepiloghi per i vari controlli.

Entro il giorno 14 del mese corrente e comunque entro il primo giorno lavorativo antecedente tale giorno.

Mensile

0,1% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A2 - Calcolo definitivo cedolini, trasmissione dei riepiloghi, del file dei netti per la banca.

Entro il giorno 20 del mese corrente e comunque entro il primo giorno lavorativo antecedente tale giorno.

Mensile

0,2% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A3 - Trasferimento dei dati in contabilità e delle informazioni per i pagamenti in favore di terzi (sindacati, cral, finanziarie ecc.)

Entro il giorno 20 del mese corrente e comunque entro il primo giorno lavorativo antecedente tale giorno.

Mensile

0,2% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A4 - Trasmissione in contabilità delle informazioni relative ai pagamenti dei contributi e delle imposte.

Predisposizione dei modelli fiscali/previdenziali da trasmettere all’AdE (F24EP).

Entro il giorno 3 del mese successivo e comunque entro il primo giorno lavorativo antecedente tale giorno (trasmissione a carico del Committente)

Mensile

0,1% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A5 - Predisposizione dei flussi contributivi da trasmettere agli Enti preposti (UNIEMENS)

Entro 15 giorni antecedenti la scadenza prevista. L’invio è a carico del Committente.

Mensile

0,1% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A6 - Pubblicazione sul Portale del dipendente dei cedolini.

Entro il giorno lavorativo antecedente la valuta della retribuzione

Mensile

1,0% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A7 - Calcolo del contributo trimestrale al Fondo LTC e il relativo contributo di solidarietà da versare agli Enti previdenziali.

Entro il giorno 27 del mese di marzo, giugno, settembre e dicembre e comunque entro il primo giorno lavorativo antecedente tali giorni. (Trasmissione a carico del Committente).

Trimestrale

0,1% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A8 - Calcolo accantonamento annuale TFR , rivalutazione, saldo imposta sostitutiva.

Entro il giorno 31 del mese di gennaio.

Annuale

0,1% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A9 - Autoliquidazione INAIL e trasmissione della denuncia delle retribuzioni.

Entro 15 giorni antecedenti la scadenza prevista per il pagamento al fine di effettuare controlli e verifiche.

(Trasmissione dei dati a carico del Committente).

Annuale

0,2% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A10 - Mod. F24EP per il versamento del premio INAIL

Entro 10 giorni antecedenti la scadenza del pagamento. (Trasmissione dei dati a carico del Committente)

Annuale

0,2% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A11 - CU annuali e flusso telematico da inviare all’AdE.

Entro 15 giorni antecedente la scadenza previste per controlli e verifiche.

(Trasmissione flusso all’AdE a carico del Committente)

Annuale

0,2% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A12 - Pubblicazione CU sul portale del dipendente e trasmissione al personale non dipendente

Entro il termine previsto dalle disposizioni di legge per la consegna.

Annuale

1,0% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A13 - CU cessati in corso d’anno

Entro 5 giorni dalla richiesta dell’interessato per controlli e per il rispetto dei termini di legge.

Annuale

0,1% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A14 - Modello 770 e flusso telematico da inviare all’AdE.

Entro 15 giorni antecedenti alla data di scadenza della trasmissione telematica del flusso all’AdE per controlli (trasmissione all’AdE a carico del Committente)

Annuale

0,2% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A15 - Conto Annuale e predisposizione invio dei dati al sistema SICO.

Entro 15 giorni antecedenti la scadenza prevista per controlli e verifiche. (trasmissione a carico del Committente)

Annuale

0,1% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A16 - Dichiarazione IRAP e file da trasmette all’AdE.

Entro 15 giorni antecedenti la scadenza prevista per la trasmissione del flusso all’AdE (trasmissione a carico del Committente.

Annuale

0,2% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

A17 - Invio tabulato annuale utile ai fini della compilazione del prospetto informativo L.68/99

Entro 15 giorni antecedenti la scadenza prevista per la trasmissione del prospetto informativo agli uffici competenti (trasmissione a carico del Committente.

Annuale

0,2% dell’importo

massimo contrattuale esclusa IVA relativo ai servizi di payroll per ogni giorno di ritardo

Document Metadata

Table of Contents

CAPITOLATO TECNICO

Document Metadata