L'informatica è una delle voci di costo più importanti per l'istituto di previdenza sociale. Che per il crash del primo aprile sul bonus da 600 euro rischia fino a 20 milioni di multa

Oltre 12 milioni nel 2005. Poi 121 nel 2009, 203 nel 2011. Più i 172 milioni messi a budget lo scorso anno per i successivi quattro. Dal 2005 al 2019, per lo sviluppo, la manutenzione e la gestione dei suoi servizi digitali, l’Inps ha speso circa 336 milioni di euro, calcolando soltanto le gare informatiche. Fanno circa 24 milioni all’anno. A questi, fino al 2022, si aggiungeranno i 172 milioni con cui è stato assegnato l’ultimo bando sul digitale, partito da una base d’asta pari al doppio: 360 milioni di euro. Per l’istituto nazionale di previdenza sociale gli appalti per informatica e tecnologie sono tra i più importanti e delicati, dato che queste voci assorbono ogni anno il 35% delle spese per far funzionare la grande macchina di via Ciro il Grande, 26.947 impiegati a fine 2018.

Il primo aprile, però, il sito è andato in crash. Molti dei lavoratori autonomi che si sono collegati al portale, per richiedere il bonus di 600 euro disposto dal governo per l’emergenza coronavirus, sono stati reindirizzati nell’area riservata di altri utenti, con informazioni riservate e sensibili in bella vista. Come se, pensando di entrare in casa propria, qualcuno si ritrovasse in quella d’altri.

Lo scambio di persona è stato attribuito dal numero uno dell’Inps, Pasquale Tridico, a un’escalation di attacchi informatici. Spiegazione ribadita anche dal presidente del Consiglio, Giuseppe Conte. Esclusa, al contrario, da molti esperti informatici e attribuibile, come ha spiegato Wired, ad altre cause. Il garante della privacy, Antonello Soro, vuole vederci chiaro. Ha avviato i primi accertamenti per fare luce sulla natura del problema: se è un difetto di progettazione del sito o ha altra origine. Nel frattempo, dal 2 aprile l’Inps ha programmato ingressi scaglionati per professionisti, centri di assistenza fiscale e partite Iva, ma il sito ha dato ancora problemi, mentre le domande hanno sfiorato i 2 milioni.

La gara per le reti

L’ultimo bando per fare gestione e manutenzione delle reti dell’Inps (non solo il sito, quindi, che è la punta dell’iceberg, ma tutta l’infrastruttura informatica che tiene in piedi l’ente, dai data center all’intranet) risale a maggio 2016. Ammontare complessivo: 359,9 milioni di euro. Sul piatto c’è un contratto della durata di quattro anni per accaparrarsi uno o due servizi dei sette lotti messi a gara: dai software per entrate e contributi a quelli per erogare le pensioni o i sussidi dell’Inps, o ancora, i programmi per far funzionare gli ingranaggi, dall’integrazione tra i vari gestionali all’aggiornamento delle difese informatiche.

L’aggiudicazione definitiva arriva, dopo ricorsi al Tar e impugnazioni delle graduatorie, solo nel 2018 e i contratti vengono firmati tra marzo e aprile 2019. Un ritardo che pesa sullo sviluppo dei servizi. E la gara si chiude con un valore complessivo che è meno della metà di quello di partenza, visto che il criterio per assegnare il bando è quello “dell’offerta economicamente più vantaggiosa”, si legge in una delibera ufficiale dell’Inps. Ossia il progetto ritenuto più adatto dal punto di vista del rapporto qualità-prezzo. E per ogni lotto si può subappaltare fino al 30%.

Le aziende in campo

Chi ha vinto? I primi due servizi – ovvero la gestione della riscossione dei contributi e dell’erogazione delle pensioni – vanno al tandem Engineering spa (gruppo informatico nato nel 1980, 1,2 miliardi di valore della produzione nel 2019 e 160 milioni di ebidta) ed Eustema spa (azienda it). Valgono, rispettivamente, 81 e 80 milioni di euro e vengono aggiudicati a 39 e 38,5 milioni.

I lotti 3 e 4, che comprendono la gestione di tutte le altre prestazioni dell’Inps (come sussidi, assegni di maternità, indennità) e l’integrazione dei vari sistemi per rendere omogeneo il servizio (tra cui la gestione del fascicolo virtuale dell’utente), vanno al raggruppamento guidato da Leonardo, il campione italiano della difesa, con il colosso informatico Ibm, la società di revisione contabile e consulenza Ernst & Young e Sistemi informatici srl (azienda it). I due servizi, ciascuno del valore di 71 milioni, vengono aggiudicati con un’offerta di 32 milioni in entrambi i casi.

Il gruppo di consulenza e revisione Kpmg, con le società informatiche Exprivia, Wemake e Inmatica, vince per 26 milioni di euro il lotto 5 (valore sulla carta: 41 milioni). A loro spetta tenere in piedi le reti dell’istituto: quindi integrazione dei dati, gestione del personale e fiscale, potenziamento dei servizi antifrode nonché, si legge nel capitolato, “l’evoluzione dell’infrastruttura di sicurezza e protezione dei dati”.

Gli ultimi due lotti, infine, riguardano l’analisi dell’uso dei servizi che viene fatto ogni giorno per dimensionarlo in modo corretto e supporto nella scelta, nella razionalizzazione e nel riuso dei software. All’epoca del bando Inps dichiarava di aver messo online 400 servizi, di cui 20 su mobile; di avere 1,5 milioni di accessi giornalieri al sito, 63mila contatti al call center; 18,5 milioni di pin rilasciati. Il lotto 6 va a tre società di sviluppo – Creasys srl, Cast Italia spa e Softlab spa – per 1,9 milioni (su 3,9 milioni di base d’asta). L’ultimo alla Business integration partners spa con 2,2 milioni di offerta (base 5 milioni).

I ritardi nell’appalto

Una fonte interna all’Inps, che ha chiesto a Wired l’anonimato per poter contribuire a questo articolo, spiega che i ritardi nell’assegnazione della gara hanno pesato nell’aggiornamento dei sistemi dell’istituto. Infrastrutture e programmi che sarebbero potuti essere operativi già nel 2020, non lo saranno molto probabilmente prima del 2021-22, perché l’appalto è di fatto partito da poco. Tra l’altro, a dispetto delle precedenti gare (vinte da alcune delle aziende affidatarie dell’ultimo appalto), quella del 2016 ha previsto una suddivisione per servizi. Con l’obiettivo di assegnare a ciascun gruppo la cura dalla a alla z di una specifica area delle attività dell’istituto.

Wired ha contattato l’ufficio stampa dell’Inps per capire quale fornitore sia stato coinvolto nel progetto del bonus 600 euro, ma al momento della pubblicazione di questo articolo non ha ricevuto risposta. Oltre alle aziende vincitrici della gara per l’informatica, infatti, altre si aggiudicano contratti specifici o subappalti per operazioni che si intersecano con quelle della maxi-gara.

Wired ha anche interpellato alcune delle aziende che hanno partecipato alla gara del 2016, in particolare quelle che hanno vinto il lotto 3 e il 5, che sono i più contigui al genere di attività del bonus. Leonardo, a quanto risulta a Wired, ha sì sviluppato un applicativo che gestisce anche le domande per i 600 euro, ma si tratta di una funzione che entra in gioco in una fase molto più avanzata della richiesta rispetto all’autenticazione, che è il punto in cui il portale dell’Inps si è incartato, tant’è che l’azienda non è stata coinvolta nella sistemazione della falla. Anche Ernst & Young ha fatto sapere di non essere implicata nelle attività andate in crash.

Rispetto al lotto 5, Kpmg ha scritto a Wired che né essa né le altre aziende del raggruppamento temporaneo di imprese “si sono occupate di interventi di sviluppo e manutenzione del sistema di protezione informatica sul sito Inps e dei sistemi con cui sono gestite le domande per la richiesta, il controllo e il pagamento delle prestazioni relative alla erogazione del bonus introdotto con il decreto legge Cura Italia”. Wemake, parte di quel gruppo, ha confermato. Ed Exprivia ha precisato di aver maneggiato solo una fornitura marginale dell’appalto.

Rischio multa

Per il crash di lunedì l’Inps rischia una multa salata. Fino a 20 milioni di euro, stando alle previsioni del Gdpr, il regolamento europeo per la protezione dei dati personali, in caso di gravi violazioni. Dal giorno del tilt l’istituto ha 72 ore di tempo per comunicare il fattaccio al Garante della privacy e a tutti gli utenti coinvolti nello scambio di persona.

Peraltro su Twitter un utente segnala a Wired che all’interno della pagina dello sportello virtuale per i servizi di informazione e richiesta di prestazioni, l’informativa sulla privacy è ferma al 2003, ossia a prima dell’entrata in vigore del Gdpr. Una situazione, questa, purtroppo comune ad alcuni siti, anche di spicco, della pubblica amministrazione.