C’è un elemento che non viene mai preso sufficientemente in considerazione quando si parla dei problemi tecnici (o di altra natura) che caratterizzano l’erogazione di un servizio. Si pensi a quello che è successo nella giornata di ieri con il Sogei down: diversi partner della controllata del ministero dell’Economia che offre servizi informatici alla pubblica amministrazione hanno rilevato l’impossibilità di fornire servizi base. Sogei ha dichiarato di aver avuto un problema di natura tecnica, ma di non essere stata vittima di un attacco hacker. Successivamente, ad alcune testate ha dichiarato di aver subito un calo di tensione elettrica che avrebbe causato il down. A Giornalettismo, Areti ha poi confermato che il problema legato a Sogei fosse da imputare a un “buco di tensione”. Di fatto, però, per tutto un pomeriggio (almeno dalle 14 in poi), non è stato possibile scaricare i green pass, non è stato possibile per i medici di base dialogare con le farmacie, non è stato possibile accedere ai servizi digitali, ad esempio, dell’Agenzia delle Entrate. Lo stesso dicasi per tutti gli altri partner di Sogei.
LEGGI ANCHE > Il down di Sogei: «Probelma tecnico, non attacco hacker»
In presenza di una interruzione così lunga, ci si chiede il destino degli accordi con i partner sul livello di servizio erogato (i cosiddetti SLA). Il fornitore di servizi, in sede contrattuale, chiarisce quali siano gli estremi da garantire al proprio partner. Tra questi, si prevede solitamente anche un monte ore precauzionale nell’ambito del quale il servizio può non essere erogato e che permette al partner di effettuare gli interventi necessari al corretto ripristino dello stesso. Ora, nella giornata di ieri, siamo stati in presenza di una interruzione di diverse ore (non è possibile – al momento – stabilire l’esatta durata del problema per ogni singolo partner).
Dovremmo comunque capire di che ordine di grandezza parliamo nel caso di Sogei per analizzare se i tempi di intervento possono essere o meno ritenuti idonei agli accordi presi. Facciamo l’esempio del contratto quadro che Sogei ha con Agenzie delle Entrate. In rete, si può trovare un riferimento che ci aiuta a capire – lungi da noi poter stabilire se c’è stata o meno violazione o basarci solo su questo documento per avere un quadro completo della situazione – l’ordine di tempo nell’ambito del quale si ragiona. Il documento a cui facciamo riferimento è rappresentato dal parere fornito dal Garante della Privacy nel 2014 circa la gestione del sistema informativo della fiscalità alla Sogei spa.
All’epoca si era – come recita il parere – «in vista della scadenza del Contratto di servizi quadro in vigore per il periodo 1 gennaio 2006 – 31 dicembre 2011» ed era stato richiesto un intervento del Garante per «il nuovo schema di Contratto di servizi quadro 2012-2017». Attualmente, ci risulta che il contratto quadro in vigore – tuttavia – sia ancora quello precedente in regime di proroga: dunque, la discussione sullo schema quadro 2012-2017 è del tutto in linea teorica. Tuttavia, nel parere del Garante della Privacy, si fa un esplicito riferimento a quelli che – nella versione che sarebbe dovuta essere successiva e aggiornata di un accordo quadro – erano invece i termini previsti per la SLA.
Nei profili di criticità, il Garante osservava quanto segue:
«La disponibilità degli apparati di sicurezza contrattualmente prevista risulta del 95%, valore che, negli orari indicati, corrisponde ad una indisponibilità potenziale di quasi 3 ore a settimana lavorativa che non verrebbe rilevata come disservizio. Si ritiene opportuno – scriveva il Garante – che la soglia sia riportata a valori idonei alla delicatezza del servizio, da cui dipende la sicurezza periferica dell’intera infrastruttura Sogei e della rete di accesso per il collegamento degli enti esterni. Anche i connessi “tempi di risposta a richieste di implementazione di regole di sicurezza” è opportuno che vengano ricondotti a valori più stringenti, per consentire di adeguare le misure di protezione perimetrale al variare delle minacce, in luogo delle 16 ore lavorative dalla richiesta (corrispondenti a due giornate lavorative). La disponibilità e i tempi di ripristino degli apparati di sicurezza sono poi rilevati, al fine di verificare il rispetto degli SLA contrattuali, nella fascia oraria lunedì-venerdì 8,00 – 18,00, sabato 8,00-14,00, a fronte di servizi erogati in modalità H24, scelta che può condurre a misurazioni fortemente sovrastimate degli indici di prestazione anche in presenza di estese interruzioni. In tale quadro, quindi, deve essere chiarito che il rispetto degli SLA contrattuali relativi a servizi di sicurezza in modalità H24 sia verificato nell’intero arco temporale di erogazione; ciò, al fine di evitare che non risulti possibile contestare violazioni degli SLA e applicare penali anche in casi di prolungate interruzione dei servizi, che non verrebbero rilevate».
L’ordine di grandezza (SLA al 95%) era, all’epoca, ritenuto attenzionabile dal Garante della Privacy. Non è chiaro se questo ordine di grandezza sia più alto o più basso al momento e – ovviamente – si calcola su base annua e non sulla risposta in una singola giornata. Tuttavia, dobbiamo riflettere: quanto accaduto a Sogei lancia un campanello d’allarme, come osservato da più parti in queste ultime ore, anche rispetto alle prossime sfide – come quella del cloud nazionale della Pubblica Amministrazione – che la società si troverà ad affrontare.