La stazione appaltante dovrà definire, sia nello schema di contratto che nel disciplinare di gara e nel capitolato tecnico, quali sono le caratteristiche del servizio che si intende acquisire e le modalità di esecuzione delle prestazioni contrattuali. Lo schema di contratto dovrà perseguire una serie di finalità volte a tutelare la PA rispetto a tutti i rischi connessi all’utilizzazione di contratti standard proposti in materia di cloud. In particolare, nella documentazione contrattuale e nell’offerta il fornitore deve garantire, pena la risoluzione per inadempimento con escussione della garanzia fideiussoria prestata fatti salvi ulteriori danni, la presenza sul territorio italiano o nell’ambito dell’UE dell’infrastruttura utilizzata per l’erogazione dei servizi di cloud precisando, in caso di infrastrutture presenti in ambito UE, che al contratto dovrà comunque essere applicata la legge italiana e che in caso di controversia l’autorità giudiziaria competente a conoscere della questione sarà comunque quella italiana. Apposite previsioni contrattuali dovranno disciplinare gli standard ed i livelli di servizio necessari alla corretta esecuzione del contratto stesso. In particolare, anche in ragione dell’innovatività delle iniziative in esame e del carattere sperimentale delle modalità di fornitura di servizi cloud, occorrerà introdurre un adeguato sistema di monitoraggio – al quale dovrà essere sottoposta l’attività del fornitore – che consenta il riscontro e la verifica continua delle attività svolte e dei servizi resi. Per tale ragione il fornitore dovrà essere nelle condizioni di predisporre adeguata reportistica delle attività rese. Il contratto dovrà poi prevedere penali contrattuali per la violazione di qualsiasi standard qualitativo che la prestazione debba assicurare. Quanto agli obblighi che specificamente dovranno essere a carico del fornitore, sarà opportuno prevedere:
- oggetto contrattuale dovrà essere puntualmente definito indicando e quantificando esattamente quali sono gli specifici impegni assunti dal fornitore in fase di avvio, esecuzione e conclusione del contratto , rinviando al capitolato tecnico per quanto riguarda le relative specifiche tecnico-informatiche;
- i livelli di servizio e le relative penali. In considerazione della tipologia di servizi gli SLA dovranno, tra l’altro, definire con attenzione gli aspetti relativi alle esigenze di assicurare un’elevata continuità nell’erogazione dei servizi che garantisca la PA riguardo la propria continuità operativa. In merito alle penali occorre precisare che la violazione dei livelli di servizio e gli inadempimenti in generale (mancato raggiungimento della qualità prevista nell’offerta tecnica dunque nel contratto) devono essere puntualmente disciplinati;
- verifiche con periodicità breve (ad es. mensile), anche tramite l’utilizzazione di appositi applicativi informatici messi a disposizione del fornitore, del corretto adempimento delle prestazioni eseguite dal fornitore stesso, da prevedere con clausole contrattuali coerenti con quanto previsto dalle vigenti disposizioni relative alla verifica di conformità;
- la previsione di procedure di gestione degli eventi imprevedibili che possano incidere sulla tempestività e sulla qualità delle prestazioni rese (con adeguata registrazione degli eventi stessi);
- la definizione di sistemi adeguati che intervengano in caso di malfunzionamento per evitare o limitare al massimo qualsiasi tipo di interruzione del servizio; la predisposizione di sistemi di sicurezza idonei a garantire la sicurezza dei dati della PA;
- il sistema dovrà prevedere modalità di recupero e conservazione dei dati sia in caso di disservizio; garantire la sicurezza dei dati e assicurare sempre la titolarità degli stessi; inquadrare correttamente la responsabilità del fornitore verso la PA;
- assicurare le integrazioni con i sistemi SW già in uso presso la PA; prevedere specifici impegni del fornitore per quanto riguarda le attività di affiancamento con il fornitore subentrante a seguito di una nuova aggiudicazione o anche in caso di risoluzione per inadempimento del fornitore o recesso anticipato da parte della PA.
Occorre quindi considerare che le disposizioni contenute nella documentazione che disciplinerà il contratto di cloud devono, ovviamente, risultare coerenti anche con quelle del regolamento attuativo (DPR. n. 207/2010) del Codice degli Appalti pubblici, dove, ad esempio, l’art. 298 prevede che i contratti precisino le penali da applicare nel caso di ritardato adempimento degli obblighi contrattuali, in relazione alla tipologia, all'entità ed alla complessità della prestazione, nonché al suo livello qualitativo. Rispetto al riscontro del corretto adempimento delle prestazioni eseguite, la stazione appaltante dovrà attentamente disciplinare la verifica di conformità . Le prestazioni oggetto di contratto di cloud computing rientreranno tra quelle di cui all’articolo 300, comma 2, lettera b) del citato Regolamento, e cioè prestazioni particolarmente complesse sotto il profilo tecnologico, ovvero, che richiedono l'apporto di una pluralità di competenze ovvero caratterizzate dall'utilizzo di componenti o di processi produttivi innovativi o dalla necessità di elevate prestazioni per quanto riguarda la loro funzionalità. Per questo la stazione appaltante attribuirà l'incarico della verifica di conformità ad un soggetto o ad una commissione composta da due o tre soggetti che siano in possesso della competenza tecnica eventualmente necessaria in relazione all’oggetto del contratto (art. 314, c. 2, del Regolamento). Alla luce delle particolarità delle prestazioni e della necessità di verificare l’esatta esecuzione, dunque tenuto conto della natura delle prestazioni, del contenuto del contratto e di ogni altra circostanza le stazioni appaltanti potranno decidere, come si ritiene opportuno, di procedere a verifica di conformità in corso di esecuzione al fine di accertare la piena e corretta esecuzione delle prestazioni contrattuali, con la cadenza adeguata per un accertamento progressivo della regolare esecuzione delle prestazioni (art. 313 c. 3 del Regolamento).
A sua volta il capitolato tecnico dovrà tra l’altro:
- prevedere tutti gli aspetti e le caratteristiche tecniche, funzionali ed operative della fornitura, indicare gli standard tecnici richiesti ;
- descrivere precisamente gli obiettivi da perseguire ed i servizi da acquisire;
- richiedere la compatibilità con prodotti informatici già in uso presso la PA;
- pretendere la realizzazione di una modalità esecutiva o di un progetto o di un sistema che consenta con facilità il passaggio se del caso ad altro fornitore.