Allegato 7 - Capitolato tecnico

ALLEGATO 7
CAPITOLATO TECNICO
GARA EUROPEA A PROCEDURA APERTA PER L’AFFIDAMENTO DEI
SERVIZI IN OUTSOURCING DELLE SEGNALAZIONI DI VIGILANZA PER CASSA DEPOSITI
E PRESTITI S.P.A. CIG 5755910730
1
Glossario ............................................................................................................................................................ 3
1
Introduzione .............................................................................................................................................. 4
2
Oggetto della fornitura .............................................................................................................................. 5
3
Staging Area di Vigilanza............................................................................................................................ 7
4
Segnalazioni di Vigilanza e Centrale dei Rischi .......................................................................................... 9
5
Anagrafe dei Rapporti Finanziari ............................................................................................................. 12
6
Indagini Finanziarie .................................................................................................................................. 12
7
Antiriciclaggio (componente opzionale).................................................................................................. 13
7.1
8
Matrice sintetica delle attività......................................................................................................... 14
Requisiti di servizio .................................................................................................................................. 15
8.1
Manutenzione Correttiva ................................................................................................................ 16
8.2
Manutenzione Adattativa ................................................................................................................ 17
8.3
Supporto funzionale ........................................................................................................................ 17
8.4
Matrice sintetica delle attività......................................................................................................... 18
8.5
Tabella dei servizi attesi e penali ..................................................................................................... 19
9
Progetto di start-up ................................................................................................................................. 20
9.1
Project Management ....................................................................................................................... 20
9.2
Installazione e caricamento dati pregressi ...................................................................................... 21
9.3
Configurazione del sistema ............................................................................................................. 21
9.4
Formazione e periodo di parallelo................................................................................................... 21
10
Collaudo ............................................................................................................................................... 22
11
Manutenzione evolutiva ...................................................................................................................... 23
11.1
Modalità operative di erogazione ................................................................................................... 23
11.2
Modalità di esecuzione degli interventi .......................................................................................... 23
12
Profili professionali .............................................................................................................................. 25
12.1
Analista funzionale .......................................................................................................................... 25
12.2
Specialista applicativo. .................................................................................................................... 25
2
Glossario

CDP:
Cassa Depositi e Prestiti S.p.A.

CE:
Comunità Europea

CSV:
Comma separated values

EBA:
European Banking Authority

GANTT:
Strumento di supporto per la pianificazione delle fasi e dei tempi di un’attività progettuale
e per verificare in itinere il rispetto degli stessi

PEC:
Posta elettronica certificata

PUMA2:
Procedura unificata matrici aziendali

RPO:
Recovery Point Objective

RTO:
Recovery Time Objective

SLA:
Service-level agreement

Task:
insieme delle attività oggetto del singolo Ordine di consegna e relative modalità di
esecuzione (tempi, costi, composizione del Gruppo di Lavoro).

T.U.B:
Testo Unico Bancario
3
1
Introduzione
La Cassa Depositi e Prestiti S.p.A. (CDP) è una società per azioni a controllo pubblico derivante dalla
trasformazione disposta dall'art. 5 del Decreto Legge 30 settembre 2003, n. 269 convertito, con
modificazioni, dalla legge 24 novembre 2003, n. 326 e successive modificazioni (“Decreto Legge").
Sulla base dell’attuale quadro normativo, così come recepito dallo Statuto societario, a CDP si applicano le
disposizioni del Testo Unico Bancario previste per gli intermediari finanziari di cui all’art. 107, tenendo
presenti le particolari caratteristiche del soggetto vigilato e la speciale disciplina della Gestione Separata.
CDP invia alla Banca d'Italia le segnalazioni statistiche di Vigilanza previste per le banche italiane e si sta
attivando per la prossima partecipazione al sistema della Centrale dei Rischi. Per ulteriori informazioni si
rimanda al sito istituzionale www.cassaddpp.it, allo Statuto della società ivi disponibile e alla normativa di
riferimento.
La presente fornitura si inserisce nell’ambito dei sistemi informativi a supporto della unità Segnalazioni di
Vigilanza e Regolamentari, per l’assolvimento degli obblighi di Vigilanza informativa nei confronti della
Banca d'Italia.
Nella fornitura sono ricompresi anche i sistemi informativi a supporto delle comunicazioni verso l'Agenzia
delle Entrate, per l'alimentazione dell'Anagrafe dei Rapporti Finanziari (sezione dell'Anagrafe Tributaria) e
la gestione delle Indagini Finanziarie.
Costituisce, infine, componente opzionale della fornitura la gestione in outsourcing dei sistemi informativi a
supporto degli adempimenti Antiriciclaggio (Archivio Unico Informatico e segnalazioni SARA).
4
2
Oggetto della fornitura
E’ oggetto della base di gara la prestazione di servizi in outsourcing che consentano a CDP, mediante l’uso
di programmi informatici installati presso l’outsourcer, di effettuare gli adempimenti obbligatori nei termini
e nel pieno rispetto della normativa in materia di Segnalazioni di Vigilanza, Centrale dei Rischi, Anagrafe
Tributaria, Indagini finanziarie e Antiriciclaggio.
La soluzione fornita dovrà essere scalabile e compatibile con l’evoluzione della normativa, quindi avere
caratteristiche tali da consentire all’applicativo e al servizio di evolvere facilmente e senza ulteriori costi.
L’outsourcer dovrà prestare gli opportuni servizi di supporto sia tecnico che funzionale al personale utente,
anche presso la propria sede ovvero presso la sede di CDP, allo scopo di consentire l’avvio di ogni
funzionalità del servizio (Start-Up).
Le componenti della fornitura in outsourcing sono:
a) Servizio di facility e application management su prodotti informatici specializzati:
 per la produzione delle Segnalazioni di Vigilanza e la gestione delle comunicazioni con la Centrale
dei Rischi secondo la normativa emanata dalla Banca d'Italia per le banche italiane;
 per la produzione delle comunicazioni all'Anagrafe dei Rapporti Finanziari e la gestione delle
Indagini Finanziarie
 per la raccolta e completamento dei dati aziendali in un'unica base dati (di seguito "Staging Area di
Vigilanza") che costituisca fonte esclusiva di alimentazione dei prodotti informatici di cui ai punti
precedenti.
b) Supporto funzionale specializzato nell'ambito delle segnalazioni di Vigilanza.
c) Servizi specialistici per l'integrazione con i sistemi aziendali e l'avvio del servizio.
d) Estensione del servizio per la manutenzione evolutiva e per l'assolvimento di nuove richieste
informative della Banca d’Italia.
CDP si riserva la facoltà di richiedere anche la seguente componente opzionale:
e) Servizio di facility e application management su prodotti informatici specializzati per la gestione degli
adempimenti Antiriciclaggio (Archivio Unico Informatico e segnalazioni SARA) e connesso supporto
funzionale.
Alla data attuale i rapporti gestiti da CDP risultano così ripartiti:
 Finanziamenti: 500.000;
 Raccolta postale: 1.500.000 raggruppati per emissione;
 Titoli derivati e partecipazioni: 5.000
 Anagrafiche controparti: 30.000.
Questi dati sono da considerarsi indicativi, ma non limitativi.
5
Durante il periodo contrattuale dovranno essere inclusi:

il servizio di outsourcing di tutte le segnalazioni previste dalla Banca d’Italia e dagli altri organi di
vigilanza attualmente nel perimetro CDP. Vanno altresì considerati all’interno del perimetro
contrattuale tutti gli adeguamenti software legati all’emissione di nuove normative Banca D’Italia,
tabelle decisionali o note tecniche emesse dal Servizio Rilevazioni Statistiche della Banca d’Italia che
ricadono nell’attuale perimetro CDP;

Lo Start-up, la configurazione e la parametrizzazione per la creazione dell’input alle segnalazioni di
vigilanza;

un servizio di manutenzione evolutiva con un plafond di ore da utilizzare nell’arco di durata del
contratto per l’attivazione di nuove basi informative richieste a CDP dagli organi di vigilanza o per
future personalizzazioni.
6
3
Staging Area di Vigilanza
La staging area di Vigilanza si colloca tra i sistemi CDP e la suite applicativa oggetto del servizio allo scopo di
raccogliere e completare i dati aziendali in un'unica base dati che costituisca fonte esclusiva di
alimentazione delle varie componenti applicative della fornitura.
Si elencano i principali requisiti funzionali da garantire:

raccolta dei dati elementari in un data base relazionale opportunamente organizzato per gestire le
entità e le relazioni necessarie ai fini di Vigilanza. I dati di ogni rapporto (attributi e importi) potranno
pervenire da più fonti alimentanti. Risulta, quindi, necessaria una gestione parametrica delle regole di
alimentazione tale da garantire l'opportuna flessibilità operativa;

acquisizione e gestione delle chiavi di collegamento tra rapporti di utilizzo, fidi e garanzie;

assegnazione, ad ogni rapporto, della corrispondente forma tecnica attraverso regole parametriche e
conseguente individuazione del piano dati specifico da valorizzare;

gestione di regole parametriche per la valorizzazione dei dati di ciascuna forma tecnica (regole di
calcolo, transcodifica, default);

acquisizione dei saldi e movimenti della contabilità analitica al fine dell'esecuzione di regole
parametriche di calcolo degli importi (saldi e movimenti) di ciascun rapporto. Reportistica sui risultati
della fase di composizione con confronto degli importi composti contabilmente rispetto agli importi
acquisiti dai sistemi operazionali;

gestione delle partite contabili ausiliarie (es. ratei, risconti, debitori e creditori) con regole parametriche
che testano il conto contabile e la forma tecnica del rapporto al fine di assegnare la forma tecnica
ausiliaria specializzata o valorizzare lo specifico importo;

le regole parametriche di assegnazione della forma tecnica, di valorizzazione del piano dati e di
composizione degli importi che devono poter essere inserite o modificate in autonomia dall'utente
avvalendosi di un'interfaccia che consenta l'aggiornamento dello specifico impianto tabellare
attraverso un linguaggio standardizzato;

possibilità, per alcuni sistemi alimentanti, di acquisire flussi di alimentazione già organizzati e codificati
secondo il protocollo PUMA2;

interfaccia utente per modifica o completamento dei dati di rapporto e controparte e delle chiavi di
collegamento tra rapporti di utilizzo, fidi e garanzie;

storicizzazione della base dati per mese di riferimento e progressivo elaborazione, con possibilità di
"trascinamento" delle entità da un storico all'altro;

produzione di report in formato csv di evidenza degli esiti ed errori delle elaborazioni;

funzioni di interrogazione ed esportazione contestuale in formato csv dell'intera base dati. Gestione
della frammentazione dei file in formato csv in caso di superamento di determinati limiti dimensionali;
7

funzionalità specifiche per la corretta predisposizione dei flussi di alimentazione dell'Anagrafe dei
Rapporti finanziari: assegnazione del "Tipo rapporto" ai rapporti continuativi, produzione del flusso
delle deleghe, aggregazione delle operazioni extra-conto per anno solare e controparte,
determinazione degli importi aggregati richiesti nella comunicazione annuale.
8
4
Segnalazioni di Vigilanza e Centrale dei Rischi
La CDP ha la necessità di attivare un servizio a supporto del processo di produzione delle segnalazioni
statistiche di Vigilanza previste per le banche italiane e lo scambio delle informazioni con la Centrale dei
Rischi.
I principali riferimenti normativi sono:

Circolare Banca d'Italia n. 272 del 30 luglio 2008, "Matrice dei conti";

Circolare Banca d'Italia n. 154 del 22 novembre 1991, "Segnalazioni di vigilanza delle istituzioni
creditizie e finanziarie. Schemi di rilevazione e istruzioni per l’inoltro dei flussi informativi";

Circolare Banca d'Italia n. 139 dell’ 11 febbraio 1991, "Centrale dei rischi Istruzioni per gli intermediari
creditizi";

Circolare Banca d'Italia n. 263 del 27 dicembre 2006, "Nuove disposizioni di vigilanza prudenziale per le
banche";

Circolare Banca d'Italia n. 285 del 17 dicembre 2013, "Disposizioni di vigilanza per le banche";

Circolare Banca d'Italia n. 286 del 17 dicembre 2013, "Istruzioni per la compilazione delle segnalazioni
prudenziali per le banche e le società di intermediazione mobiliare".
La suite applicativa per la produzione delle segnalazioni di Vigilanza e la gestione delle comunicazioni con la
Centrale dei Rischi dovrà garantire tutte le fasi di elaborazione previste dal flusso procedurale PUMA2,
nell’ambito della documentazione tecnico-funzionale emanata dal Servizio Rilevazioni Statistiche della
Banca d’Italia (Manuale PUMA2, Note Tecniche PUMA2 e Tabelle decisionali). Il riferimento a tale
documentazione è circoscritto alla logica funzionale e procedurale prevista dalle norme.
Le funzionalità minimali da garantire sono:





produzione di tutte le basi informative della matrice dei conti individuale delle banche italiane (A1, A2,
A3, A4, W, LD, Y, LY);
produzione delle voci degli schemi di bilancio delle banche (base informativa II);
generazione delle posizioni di rischio per la produzione del messaggio mensile degli importi verso la
Centrale dei Rischi;
gestione di tutti i messaggi e le comunicazioni con la Centrale dei Rischi in integrazione con l'anagrafe
aziendale;
gestione dei rilievi della Banca d'Italia sulle basi informative della matrice dei conti.
Vengono di seguito esposti i requisiti funzionali rilevanti per CDP.
Workflow operativo
Le correzioni guidate degli errori rilevate durante le fasi di controllo, dovranno essere effettuate tramite
funzioni evolute che mettano in relazione le anomalie con i dati, permettendo così di effettuare rettifiche
9
singole o massive il cui esito è verificabile in tempo reale a fronte della riesecuzione contestuale dei
controlli. Le correzioni dovranno essere storicizzate e potranno essere rieseguite o annullate in maniera
massiva.
Le correzioni libere sui dati in input potranno essere effettuate anche in maniera massiva attraverso la
costruzione di regole parametriche. Tali regole dovranno essere storicizzate e dovrà essere possibile la loro
riesecuzione nelle successive date di riferimento. L'esito delle modifiche si dovrà rendere verificabile in
tempo reale a seguito della nuova esecuzione dei controlli di acquisizione.
Dovrà essere garantita la possibilità di integrare, tramite importazione di file di testo, le basi informative
prodotte dalla procedura con porzioni delle stesse predisposte con strumenti di informatica individuale.
Le elaborazioni dovranno utilizzare una versione storicizzata del software e delle tabelle e gli output
prodotti archiviati ad ogni invio con possibilità di consultazione ed estrazione delle stesse a discrezione di
CDP.
Dovranno essere mantenuti in linea almeno 13 periodi di riferimento con la possibilità di effettuare per
ogni data al massimo 10 elaborazioni senza oneri aggiuntivi, con storicizzazione su memoria di massa di 36
mensilità, da recuperare in caso di necessità entro 24 ore.
La generazione della base informativa W e delle voci del bilancio di esercizio avviene in un ambiente
applicativo separato da quello della matrice dei conti. Le voci di bilancio vengono esportate in formato
Excel negli schemi previsti dalla normativa.
Dovrà essere garantita una gestione evoluta dei rilievi della Banca d'Italia attraverso l'automatica selezione
degli aggregati oggetto del rilievo e contestuale possibilità di risalire ai dati di input interessati.
Dovranno essere disponibili strumenti evoluti di navigazione del protocollo, delle regole di elaborazione
(tabella decisionale della Banca d'Italia o equivalente), che dovranno sfruttare le relazioni tra le entità del
protocollo stesso.
Base dati relazionale
La base dati relazionale, che sarà oggetto di interrogazione da parte dell'utente, dovrà contenere tutti i dati
utili per la verifica, con la massima analiticità, dell'esito delle elaborazioni effettuate in ogni fase delle
procedura (controllo, arricchimento, ripartizione fidi e garanzie, generazione voci, trattamenti specifici per
bilancio, segnalazioni prudenziali e centrale dei rischi).
La base dati relazionale dovrà essere interrogabile dall’utente in tempo reale (per cliente, rapporto, forma
tecnica e qualsiasi altro dato in input) con riferimento ad ogni archivio intermedio della procedura e dovrà
avere una struttura (entità-relazioni) tale da supportare le funzioni evolute di interrogazione ed
esportazione di seguito descritte. A fronte di ogni nuova elaborazione della stessa data di riferimento, la
base dati dovrà essere prontamente aggiornata e resa disponibile all'utente.
10
Interfaccia utente e funzioni di inquiry ed esportazione dati
L'interfaccia utente dovrà garantire funzioni evolute di navigazione dell'intera base dati relazionale
attraverso:

funzioni visuali di interrogazione guidate dalle relazioni tra le varie entità della base dati (ad es.
interrogazione per cliente e automatica presentazione dei suoi rapporti, fidi, garanzie e relazioni tra
soggetti);
 presentazione a video dei risultati con possibilità di navigazione ipertestuale e personalizzazione del
layout;
 impostazione guidata delle query, con supporto di metalinguaggi e funzioni visuali;
 integrazione con strumenti di informatica individuale (es. possibilità di copia-incolla e di
esportazione diretta);
 navigazione a video dai dati in input alle voci di matrice e viceversa con possibilità di percorrere a
ritroso il percorso di inquiry;
 esportazione contestuale in formato csv di ogni risultato delle interrogazioni con gestione della
frammentazione dei file di testo in caso di superamento di determinati limiti dimensionali.
Viene richiesto un sistema di reporting, analisi andamentale e quadratura tra voci che consenta di
strutturare report e quadrature personalizzate (con adeguate funzioni visuali) e di creare schede cliente con
il dettaglio dei relativi rapporti e delle connesse voci generate per la matrice dei conti e la Centrale dei
Rischi.
Referenze di mercato dei prodotti informatici
Costituisce elemento preferenziale il fatto che i prodotti informatici, nella versione e configurazione offerta
a CDP, risultino utilizzati, per la produzione delle proprie segnalazioni statistiche, da banche italiane (o
intermediari finanziari soggetti alla medesima normativa di Vigilanza) caratterizzate da operatività
differenziata per perimetro di forme tecniche, complessità e ambito soggettivo di offerta al mercato.
Ulteriori funzionalità specifiche per Centrale dei Rischi
Il prodotto dovrà prevedere un collegamento all’anagrafe aziendale e permettere il caricamento dei dati al
fine di confrontarli con quanto presente nel sistema, oltre a dover essere prevista una funzione di export
per l’aggiornamento dei dati nell’anagrafica aziendale.
La procedura dovrà prevedere la possibilità di gestire i messaggi seguendo un iter guidato sia per quelli
d’iniziativa, sia per i messaggi di risposta evidenziando lo status di lavorazione e procedendo in autonomia
alla conferma degli stessi con esito certo o per la richiesta del codice CR in caso di prima informazione per il
cliente.
La creazione dei messaggi dovrà essere assistita da un percorso guidato specifico del messaggio in
lavorazione e della comunicazione della quale costituisce risposta.
Sono richieste funzioni evolute di presentazione a video e reportistica sulle posizioni di rischio oggetto di
segnalazione mensile, tali da garantire il collegamento con i singoli rapporti che rientrino in ogni categoria
di censimento, variabile di classificazione e classe di dati.
11
5
Anagrafe dei Rapporti Finanziari
Le comunicazioni all'Anagrafe dei Rapporti Finanziari si suddividono in:

Comunicazione mensile all'Anagrafe dei rapporti finanziari disciplinata dalla Circolare dell'Agenzia
delle Entrate n. 18/E del 4 aprile 2007, "Comunicazioni dei rapporti finanziari all’Anagrafe Tributaria";
 Comunicazione integrativa annuale all'Anagrafe dei rapporti finanziari disciplinata dal Provvedimento
del Direttore dell'Agenzia delle Entrate del 25 marzo 2013, "Disposizioni di attuazione dell’articolo 11,
commi 2 e 3, del decreto-legge 6 dicembre 2011 n. 201, convertito, con modificazioni dalla legge 22
dicembre 2011 n. 214, Modalità per la comunicazione integrativa annuale all’archivio dei rapporti
finanziari”.
Il sistema dovrà essere alimentato dalla staging area di Vigilanza con riferimento ai rapporti continuativi,
alle deleghe, alle operazioni extra-conto e agli importi richiesti nella comunicazione annuale.
A fronte della ricezione dei flussi alimentanti, dovranno essere opportunamente individuati gli
aggiornamenti (aperture, chiusure e variazioni) da comunicare all'Agenzia delle Entrate, applicando i
necessari filtri soggettivi e oggettivi (operatività classificata dall'attributo "tipo rapporto").
Il sistema dovrà prevedere un'adeguata gestione degli esiti ricevuti dall'Agenzia delle Entrate.
6
Indagini Finanziarie
Le indagini finanziarie sono disciplinate dal Provvedimento del Direttore dell'Agenzia delle Entrate del 22
dicembre 2005, "Disposizioni attuative dell’articolo 32, terzo comma, del decreto del Presidente della
Repubblica 29 settembre 1973, n. 600, e dell’articolo 51, quarto comma, del decreto del Presidente della
Repubblica 26 ottobre 1972, n. 633, relative alle modalità di trasmissione telematica delle richieste e delle
risposte, nonché dei dati, notizie e documenti in esse contenuti".
Il sistema dovrà prevedere:

l'acquisizione delle richieste di indagine in formato XML direttamente dalla casella di Posta Elettronica
Certificata e la raccolta delle stesse in uno scadenziario che agevoli il monitoraggio dello stato di
lavorazione in relazione alle specifiche scadenze;

l'interconnessione con il sistema di gestione dell'Anagrafe dei Rapporti Finanziari, allo scopo di
verificare l'esito, positivo o negativo, dell'indagine;

una procedura guidata di compilazione delle risposte;

la firma digitale delle risposte e l'invio automatico tramite PEC.
12
7
Antiriciclaggio (componente opzionale)
In relazione agli adempimenti di Antiriciclaggio si richiede, in caso di attivazione della componente
opzionale da parte di CDP, la gestione:

dell’AUI – Archivio Unico Informatico;

della profilatura della clientela;

della Segnalazioni Antiriciclaggio Aggregate – SARA.
Le principali fonti normative sono:

il provvedimento di Banca d’Italia recante le disposizioni attuative per la tenuta dell’archivio unico
informatico e per le modalità semplificate di registrazione di cui all’articolo 37, commi 7 e 8, del decreto
legislativo 21 novembre 2007, n. 231;

il provvedimento di Banca d’Italia recante le disposizioni attuative in materia di adeguata verifica della
clientela, ai sensi dell’art. 7, comma 2, del decreto legislativo 21 novembre 2007, n. 231;

il provvedimento dell’Unità di Informazione Finanziaria recante le disposizioni per l’invio dei dati
aggregati.
Gli standard tecnici dell’archivio unico informatico dovranno consentire una alimentazione tramite flussi di
input giornalieri dedicati all’antiriciclaggio in formato testo con delimitatore di campo.
Dovranno essere inoltre predisposte delle funzioni per le ricerche interattive sui dati in linea, fuori linea e
sull’archivio unico, inerenti i dati anagrafici dei soggetti e dei rapporti. Il prodotto dovrà prevedere una
gestione separata delle operazioni con società quotate su un archivio parallelo all’Archivio Unico
Informatico con la possibilità di eseguire navigazioni interattive ed export.
Necessità di CDP è anche quella di avere una funzione che consenta la valutazione del rischio di riciclaggio,
permettendo di generare dei profili di rischio associati alle controparti. Tali profili dovranno essere
modificabili e i criteri di attribuzione utilizzati dovranno poter essere configurati in autonomia. Dovrà essere
prevista una storicizzazione dei dati che permetta di fare un’analisi andamentale.
In fase di alimentazione e al fine di verificare la corretta gestione dell’AUI, dovrà essere presente un
diagnostico che permetta di confrontare due periodi di riferimento e segnali eventuali variazioni anomale.
13
7.1 Matrice sintetica delle attività
Attività
Outsourcer
CDP

Flussi di input

Riceve da CDP i flussi, provvede al caricamento

ed alla creazione dell’input per la procedura
Antiriciclaggio
Provvede
all’estrazione
dai
sottosistemi ed all’invio dei flussi
all’Outsourcer

Produzione delle

registrazioni per l’AUI
Esegue il giro elaborativo e verifica la corretta

esecuzione del software. Prevede la reiterazione
per la correzione dei dati e la segnalazione di
eventuali incompletezze dei dati in ambiente

provvisorio.
Verifica
nelle
varie
fasi
elaborative la congruità delle
registrazioni prodotte.

registrazioni
Effettua direttamente o richiede
all’Outsourcer le rettifiche alle
registrazioni.

Effettua
le
rettifiche
alle
eventualmente richieste da CDP.
Effettua le integrazioni dei dati in
ambiente provvisorio.

Aggiornamenti correttivi

(per errori al software e
malfunzionamenti)
Effettua le correzioni al software e collauda le

elaborazioni.
Segnala l’anomalia al fornitore e
certifica la correzione per il
passaggio in produzione

Aggiornamenti
adattativi (per
aggiornamenti
normativi)

Fornisce a CDP una documentazione esaustiva

per gli interventi necessari sia alla procedura che
all’estrazione dei nuovi
eventuali dati
sottosistemi.
Effettua le modifiche ai sistemi
alimentanti
e
certifica
l’intervento per il passaggio in
produzione.

Effettua gli aggiornamenti al software e ne
effettua il collaudo e il passaggio in produzione.
Aggiornamenti evolutivi
A seguito di una richiesta da parte di CDP analizza
gli interventi da apportare e fornisce una
documentazione esaustiva.
Fornisce una richiesta scritta per
la
nuova
attivazione
o
personalizzazione.
Propone un piano di lavoro evidenziando le
risorse coinvolte.
Partecipa all’analisi di impatto.

Fornisce assistenza funzionale per le nuove
parametrizzazioni
per
il
completamento
dell’input.


Segnalazioni
Antiriciclaggio
Aggregate
Approva formalmente il piano di
lavoro.
Certifica la soluzione per il
passaggio in produzione.
Effettua il collaudo ed il passaggio in produzione.
Provvede in autonomia all’aggregazione dei dati
dell’AUI e di eventuali archivi paralleli in funzione
della normativa vigente.
Produce il file di input per l’inoltro della
segnalazione all’Unità di Informazione Finanziaria
secondo le specifiche tecniche richieste
Provvede all’invio della SARA.
Riceve i rilievi ed effettua in
autonomia l’invio dei messaggi di
conferma.
14
8
Requisiti di servizio
Oggetto della presente gara è una fornitura di outsourcing che preveda un livello di assistenza che
comprenda Application Management (gestione del software e delle variazioni), Operation Management
(l’esecuzione, il monitoraggio ed il controllo formale dei dati) e servizi specialistici di consulenza (supporto
tecnico-funzionale alle attività di analisi ed evoluzione normativa). Particolare attenzione dovrà essere data
alla fase di start-up e di evoluzioni, che prevede un supporto per la configurazione del prodotto per la
produzione dell’input alle procedure.
Ogni evoluzione delle funzionalità dei prodotti oggetto del servizio dovrà essere finalizzato a migliorare lo
svolgimento di tutti gli adempimenti di segnalazione verso gli organi centrali di controllo (soddisfacendo sia
le esigenze presenti che quelle che dovessero sorgere durante il periodo del contratto e di erogazione del
servizio) sono da considerarsi incluse nel canone annuale di Outsourcing.
Il supporto è finalizzato alla gestione delle richieste di tipo:

tecnico: segnalazione di malfunzionamenti con indicazione di almeno due referenti tecnici di cui è
necessario fornire i rispettivi Curriculum Vitae;

operativo: richieste di chiarimenti sui prodotti;

amministrativo: richieste di chiarimenti normativi con indicazione di almeno due referenti funzionali di
cui è necessario fornire i rispettivi Curriculum Vitae.
Il servizio dovrà avere inoltre le seguenti caratteristiche tecniche:

i prodotti dovranno avere una gestione interna di autenticazione che assicuri elevati livelli di sicurezza e
l’attribuzione di profili di accesso definibili e configurabili nel rispetto delle norme di tutela dei dati
personali inclusa la disciplina di generazione e conservazione dei log di accesso da parte delle figure
individuate come amministratori di sistema;

la disponibilità di sistemi 24 ore al giorno per 7 giorni a settimana senza errori indotti dal software. In
caso di interruzione del servizio, ove possibile, dovrà essere garantita una ripartenza recuperando tutti i
dati inseriti dagli utenti fino al momento del fermo. Ogni fermo macchina programmabile dovrà essere
comunicato con almeno 72 ore di preavviso;

la soluzione di continuità operativa messa a disposizione da parte del fornitore dovrà essere tale da
garantire un RPO e RTO non superiore alle 24 ore per ciascun indicatore e, in ogni caso, tale da
garantire la produzione degli output secondo le scadenze imposte dagli Organismi di Vigilanza;

il supporto operativo, la supervisione ed il controllo delle fasi elaborative batch della procedura;

il servizio di help desk disponibile 7x24x365 tramite apposita applicazione di ticketing e mediante
contatto telefonico, tutti i giorni feriali nella fascia oraria tra le 8.30 e le 18.30;

i tempi elaborativi complessivi per la produzione di tutte le basi informative statistiche, bilancio e
Centrale Rischi non dovranno essere superiori alle 6 ore continuative dal momento della ricezione degli
input da parte dell’outsourcer.
15
Il servizio fornito dovrà comprendere tipologie di intervento
Manutenzione Adattativa di seguito dettagliati.
di Manutenzione Correttiva e di
8.1 Manutenzione Correttiva
Consiste nella diagnosi e nella rimozione delle cause e degli effetti, sia sulle interfacce utente che sulle basi
dati, dei malfunzionamenti delle procedure e dei programmi in esercizio.
Il servizio di manutenzione correttiva è normalmente attivato attraverso una segnalazione di impedimento
all’esecuzione dell’applicazione/funzione o dal riscontro di differenze fra l’effettivo funzionamento del
software applicativo e quello atteso, come previsto dalla relativa documentazione o comunque
determinato dai controlli che vengono svolti durante l’attività dell’utente (nel seguito chiamati anche
malfunzioni o malfunzionamenti).
Il servizio di manutenzione correttiva dovrà essere teso alla risoluzione dei difetti presenti nel codice
sorgente o nelle specifiche di formato o di base dati, non rilevati a suo tempo durante il ciclo di sviluppo o
il collaudo.
Dal momento in cui la richiesta è comunicata al Fornitore, decorrono i tempi relativi ai livelli di servizio
definiti nel seguito del Capitolato.
I malfunzionamenti, le cui cause non sono imputabili a difetti presenti nel software applicativo, ma ad
errori tecnici, operativi o d’integrazione con altri sistemi, potranno comportare, da parte del servizio di
manutenzione correttiva, il supporto all’attività diagnostica sulla causa del malfunzionamento, a fronte
della segnalazione pervenuta e la risoluzione in termini di assistenza agli utenti.
La manutenzione correttiva dovrà essere svolta nel rispetto dei livelli di servizio definiti nella tabella di
seguito allegata:
Tipologia
Gravità
Conseguenze
Esempio
Bloccante
AA
Inutilizzabilità del sistema
Servizio inutilizzabile
Non
Bloccante
A
Gravissimo degrado della
qualità che rende il sistema
inutilizzabile
Qualità molto degradata, il
sistema rimane attivo ma
l’operatività utente ridotta su
larga parte del sistema
Qualità degradata, sistema
attivo e operatività utente
degradata su piccola parte del
sistema,
impatto
sulla
operatività
utente
trascurabile
Sottosistema
utilizzabile
B
C
non
Bassa efficienza con
tempi
di
risposta
inaccettabili
Funzione
incomprensibile, o non
più allineata con la realtà
operativa / Descrizione
di un campo errato
16
Il livello di servizio (SLA) da garantire per le richieste BLOCCANTI (gravità AA) dovrà avvenire entro le 5 ore
lavorative
I livelli di servizio (SLA) si dovranno garantire sul 95% delle richieste valutate NON BLOCCANTI in relazione
ai livelli di gravità sopra indicati:
Indicatore
Valore soglia
Tempo di Risoluzione del
problema dalla data di
assegnazione al Fornitore
SLA 1 - Malfunzionamenti di gravità A entro 1 giorno lavorativo
SLA 2 - Malfunzionamenti di gravità B entro 2 giorni lavorativi
SLA3 - Malfunzionamenti di gravità C entro 3 giorni lavorativi
8.2 Manutenzione Adattativa
Il servizio consiste nell’esecuzione di interventi di adeguamento delle applicazioni a fronte di modifiche
normative o tecnologiche introdotte dagli organi preposti.
8.3 Supporto funzionale
Il fornitore dovrà garantire una adeguata consulenza bancaria sulla normativa al fine di permettere una
corretta parametrizzazione della staging area e di prevedere eventuali nuove informazioni nel sistema
alimentante.
Dovrà essere garantito il supporto applicativo sul prodotto, sul processo elaborativo e sulle regole relative
al protocollo di riferimento con gli opportuni riscontri normativi.
17
8.4 Matrice sintetica delle attività
Attività
Outsourcer
CDP
Flussi di Input
Ricezione dei flussi, caricamento su Staging
area e creazione dell’input alla procedura di
Vigilanza, Antiriciclaggio e Anagrafe tributaria
Estrazione dai sottosistemi ed
invio dei flussi all’outsourcer
per
Esegue il giro elaborativo e verifica la corretta
esecuzione del software. Deve inoltre
prevedere la reiterazione per la correzione dei
dati.
Verifica
nelle
varie
fasi
elaborative la congruità delle
informazioni prodotte. Effettua le
rettifiche e l’integrazione dei dati.
Aggiornamenti correttivi (per
errori
al
software
e
malfunzionamenti)
Effettua le correzioni al software e collauda le
elaborazioni.
Segnala l’anomalia al fornitore e
certifica la correzione per il
passaggio in produzione
Aggiornamenti adattativi (per
aggiornamenti normativi)
Ha l’onere di fornire a CDP una
documentazione esaustiva per gli interventi
necessari sia alla procedura che per eventuali
nuovi dati da estrarre dai sottosistemi.
Effettua le modifiche ai sistemi
alimentanti e certifica l’intervento
per il passaggio in produzione.
Produzione
vigilanza
matrici
Effettua gli aggiornamenti al software e ne
effettua il collaudo e il passaggio in produzione.
Aggiornamenti
evolutivi
(attivazione
nuova
base
informativa
o
personalizzazioni)
A seguito di una richiesta da parte di CDP,
analizza gli interventi da apportare e fornisce
una documentazione esaustiva.
Fornisce una richiesta scritta per
la
nuova
attivazione
o
personalizzazione.
Propone un piano di lavoro evidenziando le
risorse coinvolte.
Partecipa all’analisi di impatto.
Fornisce assistenza funzionale per le nuove
parametrizzazione per il completamento
dell’input.
Effettua il collaudo
produzione.
Messaggistica
e
comunicazioni Centrale Rischi
ed
il
passaggio
Approva formalmente il piano di
lavoro.
Certifica la soluzione
passaggio in produzione.
per
il
in
Si occupa dell’invio e della ricezione su rete dei
messaggi e delle comunicazione ed effettua in
autonomia l’invio dei messaggi di conferma.
Analizza le comunicazioni e crea i
messaggi in funzione della
normativa vigente.
18
8.5 Tabella dei servizi attesi e penali
CDP si riserva il diritto di controllare trimestralmente, tramite proprio personale, che il servizio venga
effettuato secondo le modalità prescritte.
Qualora si verificassero inadempienze, ritardi o difformità nella gestione del servizio rispetto a quanto
previsto nel presente capitolato, CDP si riserva la facoltà di inviare una richiesta scritta di giustificazioni con
invito a conformarsi immediatamente alle condizioni contrattuali.
Nell’ipotesi in cui l’outsourcer non provveda a risolvere le inadempienze contestate, CDP si riserva di
applicare una penale al verificarsi degli eventi di seguito descritti:
Inadempienza
Penale
1 per mille del canone mensile per ogni
ora o frazione successiva alle 5 ore
Errore Bloccante AA
Errore NON Bloccante
Tipo A
0,77 per mille del canone mensile per
ogni giorno o frazione successivo al
primo.
Tipo B
0,5 per mille del canone mensile per
ogni giorno o frazione successivo alle 48
ore
Tipo C
0,3 per mille del canone mensile per
ogni giorno o frazione successivo alle 72
ore
Mancato rispetto dei tempi previsti per l’elaborazione
complessiva
1 per mille del canone mensile per ogni
ora o frazione successiva alle 6 ore
Ritardi imputabili esclusivamente all’outsourcer nella
produzione delle matrici, registrazioni AUI ed altri segnalazioni
da inviare agli Organi di controllo
1 per mille del canone mensile per ogni
ora o frazione successiva alle 6 ore
La penalità sarà applicata a mezzo lettera raccomandata A/R e sarà immediatamente esecutiva, anche in
caso di contestazioni. L’ammontare delle penalità potranno essere compensate, anche ai sensi dell’art.
1241 del Codice Civile, con quanto dovuto all’appaltatore a titolo di corrispettivo.
L’importo complessivo delle penali non potrà essere superiore al dieci percento dell’ammontare
contrattuale, fermo restando la facoltà di CDP, al raggiungimento di tale limite, di risolvere il contratto ai
sensi e per gli effetti dell’articolo 1456 C.C., fatto salvo il diritto di risarcimento di ulteriori danni.
Non si darà luogo all’applicazione delle penali qualora il ritardo dipenda da cause di forza maggiore, purché
le stesse siano notificate a CDP entro 2 (due) giorni dal loro verificarsi.
19
9
Progetto di start-up
Al fine di produrre le segnalazioni agli organi di vigilanza, l’outsourcer dovrà erogare i servizi professionali di
assistenza, colludo e rilascio in produzione della soluzione applicativa dettagliando le relative fasi in un
Piano di Progetto. Nel piano dovranno essere comprese anche le attività necessarie per la
parametrizzazione dell’applicativo al fine di produrre l’input alla procedura e la formazione del personale
CDP.
I servizi specialistici richiesti riguardano:

installazione, configurazione (compreso il caricamento iniziale dei dati), parametrizzazione, formazione,
documentazione e assistenza all’avvio in produzione del sistema;

gap-analysis dei dati aziendali di alimentazione del sistema;

personalizzazione, parametrizzazione e integrazione della Staging Area di Vigilanza con i sistemi
aziendali;

avvio del servizio.
Il progetto con il supporto dell’outsourcer dovrà essere suddiviso nelle seguenti fasi:

fase 0 - Project Management;

fase 1 - Installazione e caricamento dati pregressi;

fase 2 - Configurazione del sistema;

fase 3 - Collaudo e formazione;

fase 4 - Certificazione e attivazione in produzione.
9.1 Project Management
Attraverso la realizzazione da parte di CDP in accordo con l’outsourcer di un diagramma di GANTT, verrà
monitorata la rispondenza dei risultati sia in termini qualitativi (coerenza con il presente capitolato e con la
normativa di riferimento) che in termini temporali.
CDP si riserva la facoltà di applicare una penale pari all’1 per mille dell’ammontare netto contrattuale per
ogni giorno di ritardo, nel caso in cui i ritardi siano imputabili all’outsourcer e in caso di mancanza di
assistenza funzionale qualificata nelle fasi di parametrizzazione.
20
9.2 Installazione e caricamento dati pregressi
La fase comprende tutte le attività a carico dell’outsourcer per l’installazione degli applicativi, comprese le
attività di caricamento dei dati attualmente presenti nei sistemi CDP legati alle precedenti segnalazioni:

caricamento storico dell’archivio unico informatico;

caricamento delle matrici statistiche di vigilanza.
9.3 Configurazione del sistema
La fase ha l’obiettivo di predisporre, a carico dell’outsourcer, l’applicativo al modello aziendale di CDP sia in
termini di configurazione delle tabelle della procedura, che in termini di fasi elaborative.
Inoltre, a carico di CDP e con il supporto dell’outsourcer, dovrà essere configurato l’applicativo al fine di
predisporre l’input alla procedura partendo dai dati forniti. Nel caso in cui l’applicativo non coprisse
completamente le esigenze di trasformazione dati, è da considerarsi compreso nella seguente fornitura,
anche uno sviluppo software aggiuntivo.
9.4 Formazione e periodo di parallelo
L’outsourcer dovrà compiere un corso di almeno cinque giorni per gli utenti CDP (fino a un max. di dieci
utenti e per un totale complessivo fino a venticinque giornate di formazione) fornendo una completa
documentazione del prodotto e di tutte le sue fasi elaborative.
Dovrà essere previsto un periodo di tre mesi di parallelo tecnico in collaborazione, per eseguire i controlli di
congruità tra le segnalazioni prodotte con la soluzione proposta e quella attualmente in uso.
21
10 Collaudo
Il collaudo della fase di start up sarà svolto da CDP con il supporto del fornitore e dovranno essere messe a
disposizione un numero di risorse adeguate alla complessità della fase. Dovrà essere garantita l’immediata
presa in carico da parte del fornitore degli eventuali malfunzionamenti riscontrati e dovrà inoltre essere
assicurato un flusso costante delle attività di test.
Il collaudo della manutenzione evolutiva sarà svolta con le stesse modalità descritte per la fase di Start up e
la durata dipenderà dalle caratteristiche, dimensione e criticità dell’intervento.
In dettaglio le attività richieste al Fornitore sono:
 il supporto tecnico/funzionale all’utilizzo del prodotto;
• gestione dell’invio e della ricezione automatica dei flussi verso e da CDP ;
 Il supporto tecnico/funzionale per l’ottimizzazione delle parametrizzazioni nella staging area e nella
procedura di segnalazioni di vigilanza;
 gli eventuali adeguamenti software per la gestione delle parametrizzazioni;
 la correzione delle anomalie del software riscontrate;
 l’esecuzione delle fasi procedurali, verifica degli output e dei report generati;
 simulazione di invio delle basi informative prodotte;
 acquisizione di rilievi di test che consentano il collaudo di tutte le tipologie di rettifiche;
 simulazione di invio e ricezione di messaggi per la centrale rischi;
Al termine del collaudo l’outsourcer dovrà rilasciare una certificazione di conformità del software e
dell’installazione con quanto previsto dalla normativa Banca d’Italia.
A seguito dell’accettazione del servizio da parte di CDP, l’outsourcer effettuerà il passaggio in produzione
dell’applicativo.
22
11 Manutenzione evolutiva
Banca d’Italia periodicamente rilascia degli aggiornamenti normativi, a seguito dei quali vengono date delle
disposizioni alle società di software per gli opportuni adeguamenti delle procedure alle nuove esigenze. Tali
adeguamenti possono essere definiti ordinari (es. modifica tabella decisionale) o straordinari, quando
l’entità della modifica è tale da richiedere un cambiamento strutturale del prodotto (es. nuove fasi extratabellari, o nuove attivazioni di basi informative) e sono inclusi nel canone di outsourcing corrisposto
annualmente.
In caso di adeguamenti normativi che necessitano di una consulenza per adeguare il sistema alla nuova
necessità, verrà attivato il servizio di manutenzione evolutiva per il supporto necessario a CDP.
11.1 Modalità operative di erogazione
Le attività evolutive dovranno essere gestite fornendo un supporto funzionale con relativa
documentazione, entro 10 giorni della pubblicazione della normativa da parte degli organi competenti.
Al momento della pubblicazione delle modalità operative dovrà essere fornito un documento contenente
oltre alle specifiche relative alle funzionalità da analizzare o da correggere, anche la stima dei tempi
necessari all’esecuzione dell’intervento e le figure professionali a disposizione di CDP per un supporto
funzionale e tecnico.
Prima di poter procedere alla realizzazione dell’intervento, il documento ‘Specifiche funzionali
dell’intervento dovrà essere comunque preventivamente accettato da CDP. Nel suddetto documento il
Fornitore dovrà evidenziare anche il numero di giornate e i tempi di realizzazione necessari per l’intervento
di manutenzione evolutiva.
Dopo detta accettazione, sarà emesso per ciascun intervento di manutenzione evolutiva un apposito
documento denominato Ordine del quale il documento di ‘Specifiche funzionali’ sarà parte integrante e
l’outsourcer dovrà riferirsi ad esso per l’espletamento delle singole attività. L’outsourcer darà corso alle
attività sopra elencate secondo il piano di dettaglio e le modalità concordate (le attività da svolgere
nell’ambito del singolo intervento e le relative modalità vengono di seguito indicate come ‘Task’).
11.2 Modalità di esecuzione degli interventi
La gestione delle evoluzioni dovrà prevedere un intervento sui sistemi dell’outsourcer per l’installazione
dell’adeguamento, nonché il supporto tecnico-funzionale per la configurazione del modello CDP.
I Servizi, previo accordo con CDP, potranno essere prestati anche all’interno della sede di CDP che in tal
caso metterà a disposizione i locali e le abilitazioni informatiche per consentire al personale di poter
23
prestare i servizi richiesti. In generale, a puro titolo informativo, si fa presente che i locali di CDP saranno
aperti tutti i giorni lavorativi, dalle 8.30 alle 17.30. Resta salva la facoltà di CDP di poter modificare, previa
comunicazione, detti orari di ufficio.
Per ciascun Task l’outsourcer sarà tenuto a presentare a CDP il piano di attività e di avanzamento
(diagramma di Gantt) nel quale saranno riportati i tempi di esecuzione delle attività, le relative date di
consegna ed il livello di servizio da garantire (SLA per gli interventi di Assistenza Applicativa nel caso di
manutenzione correttiva), oltre alle risorse assegnate.
Si fa presente che non sarà possibile procedere in ogni caso all’emissione delle fatture prima
dell’accertamento della regolare esecuzione da parte di CDP e che per le modalità di fatturazione si rinvia a
quanto più precisamente indicato nei documenti di Gara .
L’Affidatario è tenuto ad operare nel rispetto della pianificazione concordata ed eventuali variazioni del
piano di lavoro dovranno essere tempestivamente comunicate e sottoposte all’approvazione di CDP.
La remunerazione dei Servizi evolutivi è effettuata a seguito della valutazione dell’entità dell’intervento e la
necessità di supporto funzionale presso la CDP sulla base delle giornate effettivamente accettate da CDP
per ogni singolo task completato
L’eventuale plafond non utilizzato nel corso dell’anno sarà cumulato con quanto previsto nell’anno
successivo.
Si precisa che il quantitativo totale di giornate di manutenzione evolutiva previste è di 1000 giorni per 36
mesi per un totale di 2000 giornate per tutta la durata del contratto comprese le opzioni di rinnovo.
24
12 Profili professionali
12.1 Analista funzionale
Titolo di studio

Esperienza lavorativa
Esperienza comprovata di almeno 10 anni nel ruolo di analista
funzionale presso società informatiche o banche
Laurea oppure diploma scuola secondaria superiore
Competenze almeno in una delle seguenti aree tematiche:
Competenze

Segnalazioni statistiche vigilanza Banca d’Italia

Bilancio

Centrale dei rischi

Antiriciclaggio

Basilea


12.2 Specialista applicativo.
Titolo di studio

Esperienza comprovata di almeno 10 anni nel ruolo di
specialista applicativo presso società informatiche
o di
consulenza
Esperienza lavorativa
Competenze
Laurea oppure diploma scuola secondaria superiore

Comprovata esperienza nell’utilizzo e nella configurazione dei
prodotti di Segnalazione di Vigilanza, Centrale Rischi ed
Antiriciclaggio.

Conoscenza funzionale tale da poter supportare le fasi di
parametrizzazione dell’applicativo per la predisposizione
dell’input e la risoluzione di eventuali anomalie.

25

Download Report