Crash di sistema. Cosa nutre l’oligopolio che controlla i data center pubblici

La prenotazione di una visita medica, stipulare un abbonamento per il trasporto urbano, ottenere il rinnovo del passaporto. L’archiviazione di tutto ciò che siamo come cittadini. Dal piccolo comune in cui pochi computer possono essere sufficienti a soddisfare le esigenze degli uffici alle grandi amministrazioni centrali, dove invece è necessario destinare interi locali agli imponenti cervelli elettronici, ogni rapporto che abbiamo con la pubblica amministrazione passa ormai per l’informatica. 

In un tale contesto è fondamentale garantire il funzionamento dei centri di elaborazione dati: grandi strutture di centinaia di metri quadrati, divisi in corridoi delimitati da colonne di apparecchiature in cui led di colori diversi si accendono e spengono continuamente; una scena che agli occhi di chi non è un tecnico potrebbe sembrare tratta dal set di un film di fantascienza.

In ballo, invece, c’è l’efficienza dei servizi forniti al cittadino, ma anche la sicurezza delle informazioni che vengono affidate alla Pubblica amministrazione. Per questo motivo, la manutenzione dei data center costa centinaia di milioni di euro l’anno.

L’Italia è un caso particolare: secondo il Team per la trasformazione digitale, la struttura del Commissario straordinario per l’attuazione dell’Agenda digitale, nel Paese ce ne sono oltre 11 mila pubblici. Numeri esorbitanti rispetto agli obiettivi del piano triennale per l’informatica nella Pubblica amministrazione – e, più in generale, all’indirizzo che il governo ha voluto dare puntando sulle tecnologie cloud computing – secondo cui i dati andrebbero centralizzati in pochi nodi.

Nell’attesa che la transizione avvenga, la quotidianità è fatta di grandi e piccole commesse che animano un ramo degli appalti lontano dai riflettori. Questo mercato della manutenzione è in mano a un oligopolio di cui fanno parte i leader mondiali dell’informatica e che sembra avere usufruito di un sistema che, tra normative inapplicate e cortocircuiti comunicativi, è andato in crash. Come testimoniato da questa storia partita da San Nicola la Strada, cittadina alle porte di Caserta.

Pezzi mancanti

«Siamo rammaricati nel dover constatare che, a tutt’oggi, non abbiamo ottenuto risposta». È il 10 gennaio 2022, quando Michela Rispoli invia l’ennesima mail alla sede italiana di Hewlett Packard Enterprise (Hpe), multinazionale statunitense del settore informatico. Rispoli è presidente del consiglio d’amministrazione di Tpr Service, società campana che si occupa di manutenzione nel settore informatico.

«Siamo nati nel 1997 e operiamo in tutto il territorio italiano con 76 dipendenti – racconta a IrpiMedia il direttore generale Gaetano Esposito -. La nostra è una società indipendente, non essendo affiliata a nessun produttore specifico, e ciò ci consente di occuparci dei servizi di manutenzione su hardware e software di marchi diversi».

Buona parte del business di Tpr Service passa per le attività di assistenza ai centri di elaborazione dati degli enti pubblici, dove il parco macchine spesso è costituito da hardware acquistati da differenti fornitori. Da qualche tempo, tuttavia, per Tpr e le altre società indipendenti è sempre più difficile riuscire a lavorare.

«La nostra competenza nel garantire il funzionamento di server e centri di archiviazione è sempre la stessa ma è diventato praticamente impossibile ottenere una commessa pubblica a causa di una barriera all’entrata che si sta rivelando insormontabile», continua Esposito.

Nel mirino sono finite le gare d’appalto indette dalle pubbliche amministrazioni. Quasi tutti i bandi contengono condizioni che spingono le società indipendenti a rinunciare a presentare l’offerta o, se partecipano, ad andare incontro a probabili esclusioni oppure, ancora peggio, a ritrovarsi impossibilitati a garantire i servizi richiesti. «Con il concreto rischio di incappare in penali, che non solo creano un danno economico, ma pregiudicano anche la reputazione delle aziende», sottolinea il direttore di Tpr Service.

Al centro di tutto c’è una parola che nel mondo della manutenzione da circa un decennio – ovvero da quando il mondo dell’informatica è approdato verso hardware e software sempre più complessi – è oggetto di una grande polemica: firmware. Si tratta di piccole parti di codice che forniscono istruzioni ai dispositivi facendo da interfaccia tra le macchine e i sistemi operativi. Grazie a loro è possibile correggere errori o garantire prestazioni migliori da parte degli hardware. A sviluppare i codici sono le stesse case produttrici.

«Sono diventati il meccanismo per escludere di fatto gli indipendenti dal mercato. Puntando sulla proprietà intellettuale – commenta Esposito – le grandi aziende mettono i firmware a disposizione soltanto dei partner commerciali o di chi ha sottoscritto con loro un servizio di manutenzione». In merito alla querelle riguardante le condizioni con cui i firmware vengono messi a disposizione, IrpiMedia ha contattato Hpe. La società statunitense ha dichiarato che la sua priorità è «assicurare ai propri clienti il supporto e i servizi necessari per la manutenzione delle loro tecnologie Hpe».

Le scelte degli enti pubblici

La pubblica amministrazione, adeguandosi a questo sistema di oligopolio, ha iniziato a prevedere tra i requisiti di partecipazione alle gare d’appalto la dimostrazione di potere accedere ai firmware rilasciati dai produttori, così da garantire una completa manutenzione delle macchine. «In uno scenario di questo genere, per aziende come la nostra, la speranza di partecipare ai bandi passa dalla generosità delle aziende produttrici, che a loro volta sono interessate alle grandi commesse e quindi rifiutano di darceli», spiega Esposito.

All’origine della mail inviata nel 2022 da Tpr Service a Hpe c’è proprio la richiesta di accedere ai codici sviluppati dall’azienda statunitense.

«Vi invitiamo nuovamente a voler rispondere con estrema urgenza alla seguente domanda: “Nel caso in cui risulti indispensabile, per l’esercizio dell’attività di manutenzione su di una apparecchiatura Hpe, un aggiornamento di firmware per risolvere un determinato problema, con quale modalità la scrivente società potrà ottenerlo?”», chiede la presidente del consiglio d’amministrazione a Hewlett Packard Enterprise.

Sebbene la corrispondenza inizi nel 2021 e continui fino a fine 2023, la risposta non arriverà mai, neanche quando Tpr Service chiarirà di essere interessata a ottenere i firmware «anche a pagamento». Dal canto proprio, a maggio 2021, la filiale italiana della multinazionale aveva specificato che «Hpe rende disponibile supporto (compresi gli aggiornamenti firmware) ai clienti diretti di Hpe oppure attraverso partner autorizzati», mentre nei mesi successivi, dopo avere sottolineato di ritenere «che non vi siano aggiornamenti e prodotti indispensabili per lo svolgimento del servizio di manutenzione sui propri server», si era detta disponibile ad andare incontro a particolari esigenze «fornendo una copertura contrattuale che includa gli aggiornamenti firmware a condizioni economiche da definire in funzione delle specifiche caratteristiche del caso».

Una proposta che, comunque, non darebbe alle società indipendenti la possibilità di partecipare alle gare d’appalto: i bandi, infatti, spesso richiedono la dimostrazione di avere il diritto ad accedere ai firmware già al momento di presentare l’offerta.

Quella tra Tpr Service e Hpe è solo un esempio delle diatribe che in questi anni si sono registrate tra società indipendenti e grandi aziende produttrici. Gli esiti sono quasi sempre stati gli stessi. «A tutti i nostri clienti viene fornito l’accesso agli aggiornamenti del firmware per i prodotti Dell Technologies attraverso una varietà di canali sia direttamente da Dell che tramite i nostri numerosi rivenditori di prodotti e servizi», si legge in una mail ricevuta la scorsa primavera da Tpr Service, in cui la multinazionale suggerisce di «prendere contatti con i nostri referenti commerciali» nel caso la società campana volesse diventare «un rivenditore di prodotti e servizi Dell Technologies».

«Praticamente tentano di imporci di rinunciare alla nostra posizione di indipendenza, se vogliamo ancora ambire a lavorare nel settore pubblico – denuncia Esposito -. La situazione diventa paradossale se si considera che tutto ciò sta avvenendo a dispetto di quanto previsto dalla normativa europea». Il riferimento va al Regolamento Ue 2019/424 sulla progettazione ecocompatibile di server e prodotti di archiviazione, che ha disposto che, da marzo 2021, per un periodo di otto anni dopo l’immissione sul mercato dell’ultimo prodotto di un determinato modello, «deve essere messa a disposizione, gratuitamente o a un costo equo, trasparente e non discriminatorio, la versione più recente disponibile del firmware».

Le big del settore informatico starebbero quindi violando tale Regolamento? Hpe assicura di ottemperare alle norme europee e che «gli aggiornamenti firmware sono disponibili presso Hpe», senza citare però le condizioni di utilizzo.

Nella relazione preparatoria al Regolamento viene fatta anche una previsione del valore della concessione dei firmware da parte dei produttori: ipotizzando un prolungamento dell’efficienza di server e apparecchiature di archiviazione rispettivamente da cinque e sette a dieci anni, lo studio ha calcolato in otto euro il costo stimato per garantire l’accessibilità dei firmware. 

Il maxi-appalto alla Zecca dello Stato

Tra gli esempi più significativi della restrizione del mercato della manutenzione dei centri di elaborazione dati c’è la gara indetta, nel 2023, dall’Istituto Poligrafico e Zecca dello Stato italiano.

L’appalto del valore di oltre 25 milioni di euro ha riguardato il servizio triennale di assistenza tecnica su hardware e software sui tre data center di cui si avvale la società partecipata totalmente dal ministero dell’Economia e delle Finanze: il sito primario e quello di business continuity a Roma, rispettivamente in via Salaria e via Gino Capponi, e il sito di disaster recovery che invece si trova a Foggia. Ad aggiudicarsi la commessa è stata Telecom, che ha avuto la meglio sull’altra unica partecipante. «Non eravamo noi, avremmo voluto presentare un’offerta ma non è stato possibile per il solito motivo», spiega il direttore generale di Tpr Service.

L’allusione è sempre ai firmware e a quanto richiesto dal bando. A pagina 37 del capitolato tecnico si legge che i partecipanti si sarebbero dovuti impegnare «a sottoscrivere con le relative imprese produttrici e a consegnare alla stazione appaltante, ai fini dell’aggiudicazione, copia dei contratti o accordi in essere a garanzia del lecito trasferimento alla stazione appaltante del diritto di utilizzo delle licenze d’uso del firmware, del software e degli aggiornamenti o patch correttivi (pezzi di codice che forniscono una correzione o un aggiornamento, ndr)».

Nel caso del parco macchine utilizzato dalla Zecca dello Stato, ciò avrebbe significato trovare un accordo con alcuni dei leader del settore, come Dell, Hitachi, Oracle e altre. «Ci abbiamo provato, ma ovunque abbiamo trovato porte chiuse, a volte con giri di parole e senza affrontare nel merito la questione», rivela Esposito. IrpiMedia ha provato a contattare queste aziende, ma non abbiamo ricevuto risposta.

Alla gara d’appalto, poi vinta da Telecom, ci si è arrivati dopo che tra fine 2022 e inizio 2023 un primo bando era andato deserto. In quel caso l’importo era di poco superiore ai 13 milioni di euro. Per la Zecca dello Stato, la mancata ricezione di offerte sarebbe stata dovuta alla base d’asta eccessivamente bassa. Una tesi a cui la società controllata dal Ministero è arrivata chiedendo direttamente ai produttori.

«A valle dei successivi approfondimenti tecnici condotti congiuntamente dalla struttura IT e dalla struttura acquisti con tutti i vendor (le aziende produttrici, ndr) e software house degli apparati oggetto di manutenzione – si legge in un documento interno posto all’attenzione del Cda – è emersa una stima non adeguata dell’importo».

L’aumento quasi del doppio della nuova base d’asta è stato giustificato da una serie di fattori, tra cui 1,6 milioni per l’innalzamento dei listini e quasi 2,3 milioni per quello che è stato definito costo dell’esposizione finanziaria dei fornitori. Ovvero, viene riportato nella relazione, la «necessità di prevedere in base d’asta la remunerazione degli oneri finanziari sostenuti dagli operatori economici», in quanto «tutti i vendor richiedono il pagamento a inizio contratto generando un esborso anticipato per il fornitore; mentre il servizio al manutentore viene pagato con rate trimestrali».

In sostanza, ciò che viene ricordato dai funzionari della Zecca dello Stato è che, nella stima del valore dell’appalto, andavano considerate le diverse tempistiche che avrebbero interessato l’aggiudicatario – in questo caso Telecom – in termini di costi da sostenere e di somme da incassare. L’azienda vincitrice dell’appalto avrebbe infatti dovuto pagare in un’unica soluzione i servizi concessi dalle società produttrici, mentre le erogazioni della stazione appaltante sarebbero avvenute tramite diverse tranche.

Quest’ultimo passaggio è particolarmente importante. Fa capire, infatti, come per la stazione appaltante a occuparsi concretamente del mantenimento della stabilità delle apparecchiature dei due data center di Roma e di quello installato a Foggia debbano essere tecnici incaricati dalle stesse società che hanno fornito le macchine.

«Per tutte le componenti hardware e software – si legge nel capitolato – viene richiesto un servizio di assistenza tecnica e manutenzione espletato da personale in possesso di adeguate competenze e certificazioni rilasciate dalla impresa produttrice di riferimento o demandato ai tecnici del vendor di riferimento».

Concetti che sono stati ribaditi nei chiarimenti dati prima della chiusura dei termini per presentare l’offerta: in merito alla possibilità dell’aggiudicatario di affidare le giornate di manutenzione ai propri tecnici, dalla Zecca dello Stato hanno risposto che «si richiede che le giornate siano erogate esclusivamente dalla casa produttrice».

L’aumento dei costi e la questione subappalto

«Se ce ne fosse stata data la possibilità, noi avremmo partecipato alla prima gara, la base d’asta da 13 milioni per noi era sufficiente a garantire un adeguato guadagno». Gaetano Esposito non ci gira attorno: per l’Istituto Poligrafico e Zecca dello Stato, aver dovuto bandire una seconda procedura per assicurare la manutenzione dei propri data center ha rappresentato una spesa che la società del Ministero avrebbe potuto evitare. In altri termini: l’avere imposto la dimostrazione del possesso della licenza per utilizzare i firmware come requisito di partecipazione, ha impedito ai manutentori indipendenti di presentare un’offerta, con conseguente sperpero di denaro pubblico. 

In attesa dello svolgimento della seconda gara, la Zecca dello Stato ha dovuto infatti prorogare i contratti ai precedenti manutentori, per un valore complessivo di tre milioni. A ciò si aggiunge una considerazione relativa al nuovo capitolato d’appalto.

«Otto dei 12 milioni di aumento sono stati giustificati dal Poligrafico con la necessità di sostituire delle macchine che entro il 2026, periodo in cui si concluderà il servizio di manutenzione, andranno in fase di dismissione – commenta il direttore generale di Tpr Service -. Tale valutazione, però, è ancora una volta frutto delle posizioni dei produttori».

I costruttori, quando dichiarano che un’apparecchiatura è obsoleta – tecnicamente in end of support – cessano di garantire l’assistenza tecnica mettendo il proprietario nella condizione di doverle inevitabilmente sostituire. In realtà se non ci fosse il problema del firmware, a questi hardware si potrebbe allungare di molti anni la vita affidando la manutenzione alle società indipendenti. Uno scenario che, tra l’altro, contribuirebbe a ridurre la produzione di rifiuti elettronici (Raee) così come previsto dal Regolamento Ue 2019/424 già menzionato.

Per la società campana, i motivi di recriminazione non finiscono qui.

Un altro riguarda il ruolo che il bando di gara ideato dalla Zecca dello Stato affida all’aggiudicatario nel momento in cui viene richiesto che a occuparsi materialmente del servizio richiesto siano i produttori. Telecom, che si è aggiudicata la commessa a un prezzo di 23 milioni e 346 mila euro, nella propria offerta ha dichiarato che avrebbe subappaltato il 50% delle opere.

«Non si comprende in cosa possa consistere il restante 50%, se si considera che ogni vendor ha chiesto la stipula di specifici contratti di manutenzione per mettere a disposizione i firmware», afferma Esposito.

Tpr Service, dopo avere chiesto l’annullamento anche della seconda gara sostenendo che in caso di partecipazione di società terze queste «si sarebbero limitate a veicolare le offerte dei produttori delle apparecchiature ai prezzi da loro stabiliti», ha ottenuto l’accesso agli atti di gara presentati da Telecom, tra cui gli accordi stipulati con i singoli vendor o società partner di questi ultimi.

Per esempio, nella proposta fatta a Telecom da un’azienda che collabora con diversi produttori, si legge che «le fee (le somme spettanti, ndr) del vendor saranno fatturate interamente all’attivazione del servizio di manutenzione mentre i servizi di gestione (diretti, ndr) in modalità bimestrale posticipata». Altri produttori, invece, hanno specificato che «all’attivazione del contratto di supporto dei prodotti hardware e software» sarebbe stato reso «disponibile l’utilizzo delle licenze d’uso del firmware».

Negli ultimi mesi l’appalto per i data center della Zecca dello Stato è finito all’attenzione dell’Antitrust. L’intento è quello di capire se il settore della manutenzione informatica possa essere influenzato da fattori che limitano la concorrenza tra gli operatori economici.

Un mercato con poca concorrenza

Quello dell’Istituto Poligrafico è soltanto uno dei casi in cui la scelta di chi dovrà garantire la manutenzione dei data center pare tagliare fuori le imprese che non hanno accordi specifici con i produttori delle macchine. 

Facendo una ricerca sulle piattaforme che aggregano i bandi di gara si trovano diversi esempi in cui, tra i requisiti di partecipazione, è prevista la dimostrazione del possesso delle licenze per accedere ai firmware. In altri, seppure non posta come requisito per partecipare, la necessità di utilizzarli nell’ambito della manutenzione pone le imprese indipendenti davanti a un bivio: rinunciare all’appalto o fare l’offerta per poi, nel caso di vittoria, contrattare in una posizione di debolezza – e lontana dalle «condizioni eque, non discriminatorie e orientate ai costi» previste dal Regolamento Ue 2019/424 – la cessione del diritto di utilizzo. 

Nei mesi scorsi, Tpr Service ha presentato un esposto all’Autorità nazionale anticorruzione (Anac) per segnalare un bando pubblicato dall’Azienda socio-sanitaria territoriale di Mantova per la manutenzione di un parco macchine a marchio Hpe. Il capitolato d’appalto, oltre a specificare che il servizio dovrà comprendere gli aggiornamenti dei firmware, specifica che che l’impresa affidataria «deve avere un contratto di partnership con la Hpe Italiana di livello Platinum».

Sogei, altra controllata dal ministero dell’Economia, per la manutenzione del parco macchine Dell ha chiesto la messa a disposizione di tecnici specializzati della casa madre. Qualcosa di simile è stato fatto anche dalla Regione Lombardia, che per la presa in carico delle apparecchiature dell’Agenzia di tutela della salute dell’Insubria ha previsto che, prima della sottoscrizione del contratto, l’aggiudicatario debba presentare i documenti che attestino di essere un business partner di Ibm.

Tra le stazioni appaltanti che nel corso della manutenzione chiedono all’aggiudicatario di aggiornare i firmware ci sono anche Poste Italiane, l’agenzia per lo sviluppo dei mercati telematici Intercent-Emilia Romagna, la fondazione Cittalia legata ad Anci (Associazione Nazionale Comuni Italiani), il Comune di Milano, l’Aci (Automobile Club d’Italia) e il Gruppo Torinese Trasporti.

Esistono alternative?

Da una parte le pretese di chi non vorrebbe vedersi escluso dalla possibilità di partecipare alle gare pubbliche, dall’altra chi reclama il diritto di far valere la proprietà intellettuale su codici che, per quanto non complessi, sono il frutto degli investimenti fatti nello sviluppo dei propri hardware e software. A stabilire da quale delle due parti penderà la bilancia saranno altre autorità, a partire dall’Antitrust, a cui spettano gli interventi in caso di abusi derivanti da posizioni di dominanza nel mercato che chiudono l’accesso a potenziali concorrenti.

Quello su cui si può riflettere è però se esistano o meno alternative che possano mettere d’accordo tutti. 

Nell’ultimo aggiornamento del piano triennale per l’informatica nella Pubblica amministrazione, che affida un ruolo di protagonista al Polo strategico nazionale, tra i benefici della migrazione verso le tecnologie cloud sono riportati la mitigazione del «rischio di lock-in (il fenomeno che si verifica quando un mercato rimane precluso ai più, ndr)» e la possibilità di ridurre significativamente i costi di manutenzione dei data center.

Tra le possibili soluzioni ci sarebbe quella di affidare alle stazioni appaltanti il compito di contrattare, al momento di rifornirsi delle apparecchiature, le condizioni per ottenere la licenza d’uso degli aggiornamenti dei firmware. Così facendo, le aziende costruttrici e le ditte indipendenti potrebbero competere tra loro soltanto sull’esecuzione dei servizi di assistenza, e lo Stato e gli enti pubblici potrebbero risparmiare decine di milioni di euro ogni anno.