Roma - Consip fa chiarezza sul bando VDS2 e sul fatto che le telecamere utilizzate dai vincitori siano made in China ritargate made in Italy fornite dalla Asit Spa di Valentino Ganz e prodotte dalla JbF Srl dei figli di Ganz, dopo "aver riscritto il firmware e il software e aver fatto i penetration test".
Preliminarmente, evidenzia la Consip ad AGEEI, "la gara “Sistemi di Videosorveglianza ed. 2” – bandita nel dicembre 2018 e aggiudicata nell’ottobre 2021 – è stata predisposta coerentemente con il quadro tecnico-regolamentare vigente a livello comunitario e nazionale e, in aggiunta, è stata concordata con ACN - l’Agenzia per la Cybersicurezza Nazionale - la previsione nella procedura di gara di "ulteriori specifiche di sicurezza dei prodotti”.
Di seguito le domande poste alla Centrale acquisti della Pa e le risposte:
DOMANDA: Consip è a conoscenza del fatto che nel bando VDS2 siano rientrate telecamere Dahua ritargate JBF?
RISPOSTA: "Ciascun fornitore, in fase di gara, è tenuto a dichiarare la lista dei prodotti che metterà a disposizione delle amministrazioni, tra i quali le stesse potranno scegliere nel momento in cui procederanno ai singoli ordini. Le telecamere presenti nel listino della convenzione “Sistemi di videosorveglianza 2” sono di diversi brand, tra i quali anche JBF".
DOMANDA - Sono stati fatti i penetration test richiesti da Consip e con quale esito?
RISPOSTA: "Sì, sono stati effettuati da un ente terzo certificato e non hanno evidenziato la presenza di anomalie o vulnerabilità che potrebbero compromettere la riservatezza, l’integrità o la disponibilità dei dati presenti all’interno del dispositivo".
DOMANDA: Consip ha effettivamente verificato che i firmware e i software fossero di sviluppo e progettazione italiana?
RISPOSTA: "Consip ha acquisito dal fornitore JBF apposita dichiarazione che il firmware installato è stato sviluppato e sarà aggiornato nel rispetto dei requisiti tecnici previsti dalla normativa italiana applicabile".
DOMANDA: Le telecamere sono state effettivamente installate?
RISPOSTA: È ogni singola amministrazione, nell’effettuare l’ordine al fornitore aggiudicatario, a scegliere quali prodotti acquisire e quali installazioni effettuare. Le informazioni sulle telecamere effettivamente installate sono, dunque, di competenza esclusiva delle amministrazioni aderenti.
DOMANDA: Consip poteva prevedere una qualche limitazione alla fornitura di telecamere provenienti dalla Cina
RISPOSTA: "Nell’ordinamento comunitario e nazionale, a cui Consip sottostà, non esiste una regolamentazione che vieti l’accettazione di beni prodotti in un determinato paese, mentre vi è autonomia dei soggetti acquirenti nel definire i requisiti tecnici e di sicurezza che i prodotti scelti devono possedere".
DOMANDA: L'operazione fatta con JBF è in grado di garantire la sicurezza nazionale?
RISPOSTA: "La sicurezza di un sistema di videosorveglianza non dipende solo dalle caratteristiche dei prodotti, ma anche dalle caratteristiche progettuali e realizzative del sistema di videosorveglianza, dall’utilizzo che ne fa la PA attraverso l’adozione di proprie procedure (es: politiche di creazione e uso delle credenziali di accesso) e dal monitoraggio del loro effettivo rispetto da parte del personale interno e/o terzo.
Ciò premesso, i prodotti presenti nel listino della Convenzione “Sistemi di videosorveglianza 2” sono tutti stati verificati nel rispetto dei requisiti minimi /migliorativi fissati nella disciplina di gara e l’attivazione della convenzione è avvenuta nel rispetto di tutti i controlli e verifiche del caso".
In aggiunta, fanno ancora sapere dalla Centrale Acquisti, "Consip ha richiesto ai fornitori "ulteriori specifiche di sicurezza dei prodotti”, concordate con ACN (Autorità per la Cybersicurezza Nazionale), su tre profili:
• garanzia di assenza di servizi e funzionalità, non esplicitamente documentati dal produttore, in grado di comunicare verso reti esterne e/o interne;
• possibilità di disabilitare, da parte dell’Amministratore di sistema, qualsiasi servizio o funzionalità, in grado di comunicare verso reti esterne e/o interne anche per funzioni gestionali e/o di aggiornamento/manutenzione;
• presentazione da parte del fornitore, di un Security Assessment (inclusivo di Penetration Test), eseguito sull’ultimo aggiornamento disponibile del software/firmware dei dispositivi, eventualmente elaborato da una terza parte qualificata ed operante, preferibilmente, nell’Unione Europea, in cui si attesti il soddisfacimento dei requisiti tecnici di sicurezza elencati.
Da quanto apprende AGEEI Il prodotto JBF non era presente nel listino dei partecipanti alla gara, e poi aggiudicatari, al momento dell'avvio della procedura. Ci sarebbe entrato infatti dopo 'salvando' la gara a fronte del ban americano. Anche perché quando la gara è stata bandita il prodotto in questione JBF non esisteva.