Tutti gli articoli
ACDat: conformità normativa nella Pubblica Amministrazione
Il Blog di Archicad Italia | 6 MINUTI DI LETTURA

ACDat: conformità normativa nella Pubblica Amministrazione

Quando si parla di ACDat, ovvero Ambiente di Condivisione Dati, nel contesto degli appalti pubblici italiani, il dibattito si concentra spesso sulle funzionalità tecniche della piattaforma: quali formati supporta, come gestisce le revisioni o se si integra con i principali software di authoring BIM. Eppure c'è una dimensione nella scelta dell’ACDat che viene sistematicamente sottovalutata, soprattutto dalle stazioni appaltanti che affrontano per la prima volta l'obbligo digitale: la conformità normativa.

In Italia, l'ACDat non è solo uno strumento di collaborazione progettuale, ma un vero e proprio oggetto giuridico regolato da più livelli normativi che si sovrappongono e si integrano. La UNI 11337-5 ne definisce la struttura funzionale e i requisiti operativi; il D.Lgs. 36/2023, con il suo Allegato I.9, ne rende obbligatoria l'adozione da parte della stazione appaltante per gli appalti sopra soglia; infine, il quadro regolatorio dell'Agenzia per la Cybersicurezza Nazionale (ACN) impone, dal 1° agosto 2024, requisiti vincolanti per qualsiasi servizio cloud utilizzato dalla Pubblica Amministrazione, compreso l'ACDat.

Ignorare anche uno solo di questi livelli significa esporsi a rischi concreti, dalla revoca del servizio alla responsabilità diretta dei funzionari. Vale la pena, quindi, ricostruire il quadro con precisione.

 

La UNI 11337-5 e la struttura dell’ACDat

La UNI 11337-5 è la parte della norma italiana sulla gestione digitale dei processi informativi delle costruzioni che si occupa specificamente dei flussi informativi e, in particolare, dell’Ambiente di Condivisione Dati. Non si tratta di una norma che descrive un'architettura software, ma di uno standard che definisce i requisiti funzionali e procedurali che un ambiente di condivisione dati deve soddisfare per supportare correttamente i processi BIM.

Il contributo fondamentale della UNI 11337-5 è la definizione degli stati informativi attraverso cui deve transitare ogni contenitore di informazioni: lo stato di Work in Progress, accessibile al solo produttore del modello informativo, allo stato Shared con il team di progetto per verifica e coordinamento, fino allo stato Published per l'uso da parte degli attori designati e, quando necessario, Archived per tener traccia di tutto lo storico di commessa. Questi stati non sono categorie descrittive, ma definiscono chi può accedere alle informazioni, chi può modificarle e chi è responsabile della loro validazione.

La norma chiarisce inoltre che l’ACDat non è necessariamente un'unica piattaforma software. Può essere un insieme economico e coordinato di strumenti, purché garantisca la gestione controllata dei flussi informativi secondo gli stati previsti, la tracciabilità completa delle revisioni e la segregazione delle responsabilità tra i diversi attori del processo.

Questo punto ha una rilevanza pratica notevole: molte stazioni appaltanti, specialmente nei primi anni di applicazione dell'obbligo, si sono domandate se un sistema di archiviazione documentale già in uso potesse essere considerato un ACDat. La risposta dipende esattamente da questo: non è la tecnologia, ma la capacità di gestire stati informativi e tracciabilità a qualificare uno strumento come ACDat.

Figura 1 - Processi informativi nei vari stati dell'ACDat secondo la ISO 19650

 

I requisiti minimi per gli appalti pubblici

Il nuovo Codice dei Contratti Pubblici (D.Lgs. 36/2023) (D.Lgs. 36/2023) ha reso obbligatoria l'adozione di metodi e strumenti digitali di modellazione per le opere pubbliche che superano determinate soglie di valore, introducendo un quadro normativo più strutturato rispetto al precedente DM 560/2017. L'Allegato I.9 del Codice definisce i requisiti minimi che un ACDat deve possedere per essere utilizzato in contesto di appalto pubblico.

Questi requisiti, che ampliano e formalizzano quanto già delineato dalla UNI 11337-5, includono:

  • Accessibilità multiruolo con credenziali individuali per tutti gli attori del processo (progettisti, esperti BIM, imprese, direzione lavori e, in modo esplicito, la stazione appaltante);

  • Tracciabilità e successione storica completa delle revisioni;

  • Supporto a una vasta gamma di tipologie e formati documentali;

  • Disponibilità di Application Programming Interface (API) aperte per l'integrazione con altri sistemi;

  • Garanzie di conservazione a lungo termine dei dati e di riservatezza nel trattamento delle informazioni.

Un aspetto spesso trascurato è la questione della proprietà dei dati; l'Allegato I.9 chiarisce che la stazione appaltante deve definire, già nel Capitolato Informativo, le condizioni di proprietà, accesso e portabilità dei dati gestiti nell'ACDat, garantendo che il committente pubblico non perda il controllo sulle informazioni in caso di cambio di fornitore o di estinzione del rapporto contrattuale. Si tratta di un punto che le PA devono affrontare in fase di selezione della piattaforma, non a contratto firmato.

 

L’ACDat come servizio cloud regolato

A partire dal 1° agosto 2024 è in vigore il Regolamento per le Infrastrutture Digitali e per i Servizi Cloud per le Pubbliche Amministrazioni dell'Agenzia per la Cybersicurezza Nazionale (ACN). Questo regolamento sostituisce le precedenti normative AgID e introduce un sistema di classificazione e qualificazione che si applica a tutte le piattaforme cloud utilizzate dalla PA, compreso l'ACDat.

Il punto di partenza è la classificazione dell'ACDat come servizio cloud per le pubbliche amministrazioni. Il regolamento ACN, all'articolo 1, definisce questa categoria come "i servizi cloud tramite i quali sono erogati servizi digitali delle amministrazioni". Poiché l'ACDat è tipicamente erogato in modalità SaaS (Software as a Service) su architettura cloud, rientra pienamente in questa definizione, con tutte le conseguenze che ne derivano in termini di obblighi di qualificazione.

Il cuore del sistema regolatorio ACN è la classificazione dei dati in tre categorie distinte:

  • Dati ordinari: la cui compromissione non pregiudica funzioni societarie critiche o la sicurezza nazionale;
  • Dati critici: la cui compromissione potrebbe pregiudicare funzioni rilevanti per la società, la salute pubblica o il benessere economico;
  • Dati strategici: la cui compromissione potrebbe pregiudicare la sicurezza nazionale.

A ciascuna categoria corrispondono livelli minimi di qualificazione o adeguamento della piattaforma cloud.

Figura 2 - Classificazione dei dati secondo il sito web di ACN

 

Qualificazione e adeguamento

Il sistema ACN prevede due percorsi distinti a seconda della natura del soggetto che gestisce l'ACDat. Se la piattaforma è fornita da un soggetto privato, il fornitore deve ottenere la qualificazione secondo i livelli QC1-QC4, presentando una domanda all'ACN corredata da prove di conformità ai requisiti del livello richiesto. Se l'ACDat è gestito direttamente dalla Pubblica Amministrazione, è necessario invece il percorso di adeguamento secondo le matrici AC1-AC4.

Il livello di qualificazione o adeguamento richiesto dipende dalla classificazione dei dati che l'ACDat andrà a gestire:

  • Per i dati ordinari è sufficiente il livello QC1/AC1;

  • Per i dati critici è richiesto almeno il livello QC2/AC2;

  • Per i dati strategici si sale a QC3/AC3 o, per requisiti ancora più stringenti, a QC4/AC4.

Le PA devono quindi effettuare una classificazione accurata dei propri dati prima di selezionare la piattaforma, e non viceversa.

Le piattaforme private qualificate sono elencate nel Catalogo delle Infrastrutture e dei Servizi Cloud per le Pubbliche Amministrazioni dell'ACN. Per le stazioni appaltanti, consultare questo catalogo in fase di selezione dell'ACDat non è una scelta opzionale: è la procedura corretta per garantire la conformità. La qualificazione ACN sottende anche il possesso di certificazioni in materia di cybersecurity, tra cui la ISO 27001 con estensioni ISO 27017 e ISO 27018.

Figura 3 - Regolamento Cloud per la PA secondo il sito web ACN

 

Le conseguenze della non conformità

L'aspect forse più rilevante del quadro normativo ACN, e quello più spesso sottovalutato nelle discussioni tecniche sull'ACDat, riguarda le conseguenze della non conformità. L'articolo 21 del regolamento ACN attribuisce all'Agenzia il potere di revocare o inibire il servizio qualora questo non risulti conforme ai requisiti previsti; ma le implicazioni non si fermano qui.

In caso di danno derivante dalla violazione degli obblighi di sicurezza informatica, possono configurarsi ipotesi di responsabilità diretta a carico dei funzionari responsabili della gestione o dell'affidamento del servizio non conforme. L'utilizzo di un ACDat non può quindi essere considerato una decisione puramente tecnica: è una scelta regolata da norme stringenti, la cui corretta applicazione è condizione necessaria per la legittimità dell'azione amministrativa.

Per le stazioni appaltanti, questo significa che la verifica della conformità ACN deve essere parte integrante del processo di selezione dell'ACDat, con documentazione tracciabile delle verifiche effettuate e delle decisioni adottate. Non è sufficiente affidarsi alle dichiarazioni del fornitore ma occorre verificare la presenza nel catalogo ACN al livello di qualificazione appropriato rispetto alla classificazione dei dati che si intende gestire.

 

Un quadro normativo stratificato

Il panorama normativo che regola l'ACDat in Italia è, a tutti gli effetti, stratificato:

  • La UNI 11337-5 definisce la struttura funzionale e i requisiti procedurali;

  • La UNI EN ISO 19650 fornisce il quadro internazionale di riferimento per la gestione delle informazioni nel ciclo di vita dei beni;

  • Il D.Lgs. 36/2023 con l'Allegato I.9 traduce questi principi in obblighi contrattuali per gli appalti pubblici.

Il regolamento ACN aggiunge il livello di sicurezza informatica e qualificazione cloud.

Per una stazione appaltante che si appresta a selezionare un ACDat, l'approccio corretto prevede quattro passaggi sequenziali:

  1. La classificazione dei dati che verranno gestiti secondo le categorie ACN (ordinari, critici, strategici), che condiziona direttamente il livello di qualificazione richiesto alla piattaforma;
  2. La verifica che la soluzione considerata sia presente nel catalogo ACN al livello appropriato;
  3. La verifica della conformità funzionale ai requisiti dell'Allegato I.9 del D.Lgs. 36/2023 e della UNI 11337-5;
  4. La definizione nel capitolato informativo delle condizioni di proprietà, portabilità e sicurezza dei dati, che non devono essere demandate a una fase successiva.

Il rischio di affrontare questi passaggi in ordine inverso, partendo dalla scelta della piattaforma e cercando poi di adattarla ai requisiti normativi, è concreto. E le conseguenze di un errore in questa sequenza possono essere significative, sia in termini operativi che di responsabilità.

Figura 4 - Flussi informativi secondo UNI 11337

 

Governance e responsabilità

La conformità normativa dell'ACDat non è una questione tecnica da delegare al reparto informatico o al BIM/CDE Manager. È una responsabilità di governance che coinvolge le figure giuridiche, tecniche e di sicurezza informatica dell'ente, e che richiede un processo decisionale multidisciplinare strutturato.

Il fatto che il quadro normativo sia articolato su più livelli, dalla norma tecnica UNI alla regolamentazione ACN, non è una complicazione: è il riflesso della complessità reale di uno strumento che gestisce informazioni sensibili relative al patrimonio infrastrutturale pubblico. Capire questa complessità, e navigarla con metodo, è oggi una competenza imprescindibile per chiunque lavori sulla trasformazione digitale delle costruzioni in ambito pubblico.

Vuoi approfondire la tematica? Scrivimi a mario@napolitano.consulting oppure fai un salto sul mio profilo IG o sito web.

Trovi gli altri articoli sulla serie ACDat qui di seguito:

  • ACDat: Il Cuore della Collaborazione BIM negli Appalti Pubblici
  • ACDat: i 3 capisaldi dell’Ambiente di Condivisione Dati

 

Scarica l'ebook gratuito "Modelli informativi basati su IFC nei flussi di lavoro OpenBIM"

 

LEGGI IL MAGAZINE VIA EMAIL

LEGGI IL MAGAZINE VIA EMAIL

Iscriviti alla newsletter, ricevi un’uscita digitale al mese.