​​Autoritatea pentru Digitalizarea României (ADR) a demarat marți o licitație deschisă pentru implementarea Platformei Software Centralizată pentru Identificare Digitală (PSCID) care să asigure poarta de acces și primul punct de securizare a serviciilor electronice de eGuvernare, contract cu o valoare estimată fără TVA de 78,4 milioane de lei, finanțat din fonduri UE, potrivit datelor din Sistemul Electronic de Achiziții Publice (SEAP). Proiectul face parte din strategia de 2,4 miliarde euro anunțată de Guvernul PNL pentru digitalizarea serviciilor publice în următorii 10 ani, dar unii experți avertizează că noua platformă ar putea fi un mega-tun și un eșec care va fi decontat din bani publici, în lipsa interoperabilității sistemelor IT ale statului.

Licitatie PSCIDFoto: Autoritatea pentru Digitalizarea Romaniei
  • "Prin Platforma Software Centralizată pentru Identitate Digitală, proiect contractat și implementat de ADR, veți putea să folosiți același username și aceeași parolă pentru a accesa toate serviciile publice de e-guvernare. Prin #LogincuPSCID, autentificarea va fi la fel de simplă ca folosirea unui cont de rețea socială pentru înregistrarea pe o platformă de cumpărături online.", a anunțat recent pe Facebook Autoritatea pentru Digitalizarea României (ADR).

Anunțul de licitație a fost publicat marți 22 decembrie 2020 în Sistemul Electronic de Achiziții Publice (SEAP), un contract cu o valoare estimată la 78,4 milioane de lei (fără TVA) cu implementare în 27 de luni.

Obiectivul general al proiectului constă în îmbunătățirea și automatizarea modalității de acces a serviciilor electronice guvernamentale de către cetățeni și asigurarea identității electronice unice ale fiecărui cetățean care utilizează servicii electronice de eGuvernare.

Condiții de participare la licitație

Firmele interesate de contractul pentru implementarea PSCID trebuie să demonstreze că au furnizat în ultimii 3 ani (calculați până la data depunerii ofertelor), în cadrul a maxim 5 contracte, sisteme informatice ce contin produse / servicii similare, din care cel putin unul sa fi vizat implementarea unui sistem informatic care să aibă acoperire la nivel național / regional / local si să includă implementarea unei componente pentru managementul identității electronice în conformitate cu prevederile Regulamentului eIDAS, in valoare cumulata de minim 39.200.00,00 lei, fara TVA.

Mai mult, firmele interesate trebuie să aibă un nivelul minim al cifrei de afaceri globale pe ultimii 3 ani calendaristici (2017, 2018, 2019) de cel putin 78.400.000,00 lei fara TVA, conform condițiilor de participare la licitație.

Termen limita pentru primirea ofertelor sau a cererilor de participare este 1 februarie 2021. În aceeași zi va avea loc și ședința de deschidere a ofertelor.

CITEȘTE AICI CAIETUL DE SARCINI AL LICITAȚIEI.

  • Ce beneficii ar avea noua platformă, dar și pericolele care ar putea transforma proiectul într-un mega-tun IT

Câteva explicații despre această platformă au fost oferite încă din luna septembrie 2020 de către Sabin Sărmaș, președinte al Autorității pentru Digitalizarea României:

  • "Ce înseamnă PSCID? Știți foarte bine cât de importantă este încrederea și securitatea atunci când se accesează de către cetățeni servicii online. Primul pas este autentificarea. Astăzi, la nivelul României există autentificare în foarte multe feluri. Este ONRC-ul care are mecanisme de implementare, avem autentificare în Spațiul privat Virtual (SPV), avem servicii de autentificare pe Ghișeul.ro, avem autentificare în mediul privat la servicii de internet banking și exemplele pot să continue.
  • Ce ne dorim noi, și aici ne ducem la scopul proiectului, este să avem o platformă de software centralizată pentru identificare digitală astfel încât să avem toate aceste identități care astăzi sunt disparate și la nivele de încredere diferite într-un singur loc. Astfel vom avea modalități puternice de identificare si autentificare electronică și extrem de sigure, creștem și încrederea cetățenilor în acest servicii.", a declarat ]n data de 1 septembrie 2020 Sabin Sărmaș, președintele ADR.

Câteva obiective specifice ale proiectului enumerate de președintele ADR:

  • - constituirea unui registru electronic național de identități electronice. Identitățile electronice nu vor dispărea, ci vor merge într-un registru, iar fiecare individ va avea atașate mai multe tipuri de identități, toate regăsindu-se în acest registru electronic național de identități.
  • - un al doilea obiectiv este desigur o interconectare cu acel portal de acces unitar și securizat. Securitatea este extrem de importantă.
  • - al treilea obiectiv este interconectarea cu catalogul serviciilor electronice. Astăzi acest catalog este tot resposabilitatea ADR. Cele 36 de evenimente de viață generează mai multe servicii electronice. Vom avea un catalog iar accesul la aceste servicii se va realiza cu ajutorul PSCID.
  • - un alt obiectiv este integrarea PSCID cu toate sistemele serviciilor electronice de eguvernare
  • - alt obiectiv este înrolarea în cadrul PSCID a tuturor furnizorilor de identitate (publici și privați existenți). Este un aspect la care ținem extrem de mult. Vrem ca în această platformă să poată să vină orice furnizor de identitate. Nu vrem ca statul să aibă monopol, nu asta e ideea. Noi încercăm să creăm o platformă mai sigură, federalizată pe care cetățeanul să o poată folosi mai ușor. Cei care furnizează identitatea, fie ca sunt furnizorii de servicii de încredere, fie că sunt băncile, dacă doresc să vină să ni se alăture în acest proiect vor avea posibilitatea de a veni și a se integra oricând.

Cum se va face autentificarea?

  • - Un utilizator se va autentifica în PSCID cu scopul de a accesa serviciile de eGuvernare utilizând un credențial (n.a date de acces).
  • - Ulterior îi va fi asigurat accesul la servicile electronice oferite de instituțiile publice.
  • - Infrastructura PSCID permite accesul la mai multe instituții publice.

"Așa cum astăzi suntem întrebați dacă vrem să ne autentificăm prin Facebook ori Google, așa va fi și această platformă pentru accesarea servicilor publice online. Să spunem că intrăm pe site-ul ministerul Muncii, pentru a accesa niște servicii, nu avem cont acolo și vom alege să fim autentificați prin PSCID. Dăm click și toată identitatea noastră sau, mă rog, toate mecanismele de acces se transferă către PSCID și vom putea accesa serviciile de la Ministerul Muncii. O metoda simplificată, rapida si sigură. Gândiți-vă că vom scăpa de toate acele investiții pe care astăzi statul român le face sau fiecare dezvoltator de platforma de servicii publice electronice din România le face "over and over again" pentru ca astfel se începe, cu atentificarea, cu siguranța.", a mai spus atunci Sabin Sărmaș, președintele ADR.

  • Unii experți IT au atenționat la momentul anunțului făcut de Autoritatea pentru Digitalizarea României că proiectul ar putea fi un mega-tun, un eșec, ale cărui costuri să fie suportate de la bugetul de stat.

Andrei Nicoara

Andrei Nicoara

Foto: Arhiva personala

Andrei Nicoară, expert în e-guvernare, fost consilier IT&C pentru aproape 5 ani în Guvernul României (a fost inclusiv consilier al secretarului de stat Radu Puchiu, în Guvernul Ponta și s-a ocupat și de proiectul data.gov.ro) a atenționat pe pagina sa de Facebook asupra riscurilor acestui proiect IT:

"Dacă ieri puteam fi acuzat de a face comentarii negative fără a-mi dezvălui sursa informațiilor astăzi putem analiza discursul oficial prilejuit de ceremonia de semnare a contractului de finanțare (video disponibil pe pagina Autoritatea pentru Digitalizarea României). Și există câteva chestiuni evidente.

  • 1. promovarea publică a proiectului se bazează pe ideea creșterii securității. O alegere greșită. Deși există un beneficiu tehnic, în zona populară acest demers de centralizare va fi perceput ca o creștere a gradului de supraveghere a populației. Beneficiul creșterii adresabilității mediului electronic de către populație, real și poate mai important, ar fi fost o alegere mai potrivită chiar dacă implica și garanții că acest sistem va fi chiar utilizat în mediul public. Așa, pe principiul ”cel mai protejat calculator este cel scos din priză”, putem invoca și crește securitatea cibernetică fără limită dar și fără sens.
  • 2. Toate afirmațiile demnitarilor duc la ideea că acest sistem va funcționa doar în beneficiul instituțiilor publice. Este o privare a economiei private de un serviciu esențial pentru digitalizarea acesteia. Având în vedere costul uriaș nu pare a fi o lipsă de capacitate tehnică ci o simplă fugă de răspundere.
  • 3. Nu este clar beneficiul real din perspectiva creșterii digitalizării populației. În principal proiectul își propune să refolosească identități digitale deja existente, deci nu va crește gradul de penetrare eID în cadrul populației.
  • 4. În secundar s-a vorbit despre o modalitate de onboarding (creare de eID) similară cu cea a Revolut, respectiv ANAF / SPV. Aici avem provocări pentru care nu a existat un răspuns: atât ANAF cât și Revolut folosesc operatori umani pentru verificare - există aceștia la ADR ? SPV folosește interacțiune video, azi ADR a vorbit doar de poze ale actelor de identitate - Revolut adaugă la acestea și un transfer bancar dintr-un mediu cu KYC corespunzător, ADR nu are această posibilitate. Nu în ultimul rând, un eID de nivel ”substanțial” implică un nivel de securitate echivalent cu cel aferent emiterii unui certificat calificat, ori ADR de 1 an nu a reușit să definească procedura de identificare video pentru emitenții de calificate. De ce contractează acum o tehnologie pentru care nu are competență și suport legal ?
  • 5. Apropo de suport legal ... atât pentru ONRC cât și pentru ANAF este necesară modificarea legislației primare pentru că aceștia să furnizeze bazele de date cu userii lor către ADR. Contractând o astfel de activitate de proiect, înafara legii, ADR - de această dată în postură de finanțator - se joacă cu focul. Și dacă această problemă ar trece neobservată, acest lucru s-ar putea întâmpla numai în baza unei super-deschideri din partea acestora, situație care astăzi nu există. Este de notorietate, spre exemplu, opoziția istorică a MAI de a furniza oricui o copie a registrului persoanelor, practic nimeni, inclusiv menționatele bănci, nu s-au angajat oficial să sprijine acest proiect.
  • 6. Valoarea super-umflată a acestui proiect - 20 mil euro - este atât de evidentă încât va fi un obstacol imposibil în fața colaborării cu celelalte instituții. La nivel uman nu te poți aștepta ca un angajat al altei instituții, de la vlădică până la opincă, să vrea să îndoaie regulile (după cum am menționat anterior) doar pentru ca o gașcă, din care nu face parte, să tragă un MEGA-TUN.
  • 7. Finanțarea proiectului este iresponsabilă din perspectiva absorbției de fonduri europene. Proiectul este contractat în cadrul ciclului de finanțare 2013-2020 care permite rambursări doar până în 2022 totuși durata de implementare planificată este de 3 ani (minim 4 având în vedere că planificarea duratei procedurii de achiziție publică este de 3 luni, dar acest cașcaval este prea atractiv pentru a nu aduce minim 1 an de contestații). Așadar acest proiect în cel mai bun caz ar fi fazat (ce se cheltuie după 2022 va fi re-contractat / rambursat din ciclul 2021-2028) însă se pune întrebarea dacă el va fi compatibil cu liniile de finanțare viitoare (în următorul ciclu finanțarea pe IT/e-guvernare scade dramatic). Practic există riscul uriaș ca acest proiect să fie, cea mai mare parte, suportat de bugetul național.
  • 8. Nu sunt deloc clare beneficiile funcționale aferente proiectului care sunt superioare celor oferite de nodul eIDAS - proiect tot al ADR. Avem probabil o dublă finanțare semnificativă.
  • 9. Acest proiect s-a născut cu ani în urmă, cu tot cu valoarea sa exagerată. Dinamica care a îndepărtat obiecțiunile din mediul guvernamental, similare cu cele de mai sus, merită înțeleasă mai ales că au fost anunțate ca priorități ale acestui an și alte proiecte la fel de controversate.
  • 10. Că mie sau altor persoane private ne-a fost refuzat accesul în sală fără a ni se prelua întrebările puse online este un aspect însă faultarea transparenței prin oprirea transmisiei chiar la momentul primei întrebări din sală, întrebare pusă de George Anghel în ciuda ignorării de către prezidiu, ne-a privat de un martor al faptului că cei de azi știu de ce acest proiect va fi fost un eșec și prin urmare nu vor putea da vina pe cei de mâine."

Cu riscurile legate suportarea de la buget a cheltuielilor cu acest proiect IT și dificultatea schimbului de date între autorități este de acord și un alt expert în servicii de e-guvernare: George Sârbu, fost vicepreședinte al Agenției pentru Agenda Digitală a României (AADR), Community Manager și Mentor în Inovație al acceleratorului tech Innovation Labs și în prezent membru al Departamentului de Comunicații și Societate Informațională al Consiliului Național al PSD.

  • "Susțin PSCID, în principiu. Am speranța, totuși, că președintele Sărmaș va convoca în curând Consiliul Național pentru Transformare Digitală, pentru a răspunde la toate întrebările rezonabile ale experților din afara spectrului administrației, pentru ca apoi să pună pe făgaș normal numeroasele chestiuni adiacente proiectului propriu-zis. În principal, trebuie tranșată problema cadrului normativ, care trebuie ajustat în mai multe privințe, pentru a permite utilizarea funcționalităților anunțate pentru noul mecanism de single-sign-on. De asemenea, cadrul instituțional este unul problematic, știut fiind faptul că instituțiile administrației publice centrale nu excelează în a schimba de bună voie date. Nu în ultimul rând, oportunitatea sumei bugetate trebuie justificată prin prisma unor beneficii cuantificabile (ideea onboarding-ului agregat de noi utilizatori este un bun început).", a declarat la acel moment pentru HotNews.ro și George Sârbu.

Ce spune acum Sabin Sărmaș, președintele ADR, despre acest pericol de a pune carul înaintea boilor prin lansarea acestei licitații în lipsa rezolvării interoperabilității între sistemele IT ale statului?

  • "Până la integrarea cu alte instituții avem suficient timp să schimbăm legislația. Oricum trebuie o lege pentru interoperabilitate care sa rezolve la nivel general toate aceste probleme. Interpretarea mea este oricum, că strict pentru PSCID nu avem nevoie de legislație care să ofere acces la nici o baza de date. Mecanismul e de așa natură că se poate face și pe legislația actuală. Dar sunt în Parlament, o să pot să ajut enorm și de acolo", a declarat marți, 22 decembrie 2020 pentru HotNews.ro Sabin Sărmaș, președinte al Autorității pentru Digitalizarea României (ADR).

Amintim că Sabin Sărmaș a candidat și a câștigat un post de deputat PNL, astfel că acesta va părăsi conducerea Autorității pentru Digitalizarea României și va activa în Camera Deputaților, cel mai probabil în Comisia IT&C.