Le novità introdotte con la “Strategia Cloud Italia” che il governo ha annunciato di recente per la transizione di tutti i sistemi e servizi informatici della Pubblica Amministrazione al cloud, segnano l’introduzione di importanti problematiche, di cybersecurity e non solo.
I processi sottostanti la strategia sono infatti particolarmente complessi e richiedono ingenti investimenti di risorse sia finanziarie che intellettuali, sul cui esito non è così facile fare previsioni.
Proviamo quindi a illustrare quelli che secondo noi sono i principali ostacoli che si frapporranno al raggiungimento dell’obiettivo della strategia cloud e quasi sicuramente ne comprometteranno il pieno successo. Sono problemi che arrivano da lontano e proprio per questo molto radicati e quindi difficilmente estirpabili nell’arco di tempo che la strategia si è data.
Strategia Cloud Italia, affrontare il vero nodo: le competenze
La strategia Cloud Italia
Si tratta in realtà di un affinamento del processo già iniziato da AGID negli scorsi anni e che nel piano triennale di digitalizzazione della PA veniva sintetizzato con lo slogan “Cloud First”.
L’intervento dell’appena nata Agenzia per la Cybersicurezza si coglie nella ridefinizione dei criteri di accreditamento (o qualificazione che dir si voglia) dei Cloud Service Provider (CSP) sulla base di territorialità (non è prevista la possibilità di CSP extra UE) e “qualità” dei servizi di sicurezza erogati e nella metodologia di analisi del rischio che viene introdotta per consentire a tutte le pubbliche amministrazioni di classificare i propri servizi e dati. Le pubbliche amministrazioni useranno poi questa classificazione nella scelta del proprio o dei propri CSP.
I CSP saranno classificati in 4 i livelli di “robustezza”. Il livello più alto corrisponde a quello del Polo Strategico Nazionale (PSN) un’infrastruttura nazionale che dovrà essere realizzata negli anni a venire e che dovrà garantire l’erogazione di servizi cloud, la cui gestione e controllo dovranno essere autonomi da soggetti extra UE. Per il PSN è prevista la conclusione delle procedure di gara entro il 2022. Agli altri CSP sono riservati i rimanenti livelli, stiamo parlando di operatori pubblici e/o privati il cui livello di “robustezza” sarà valutato dall’Agenzia per la Cybersicurezza.
Tre invece sono i livelli di criticità che la metodologia di analisi del rischio prevede che potranno essere assegnati a dati e servizi (strategico, critico e ordinario) sulla base dell’impatto che una loro potenziale compromissione può avere su: sicurezza nazionale, benessere sociale ed economico del paese, salute dei cittadini e buon funzionamento delle amministrazioni. Tutte le amministrazioni pubbliche, sia centrali che locali, saranno chiamate ad adottare questa metodologia per etichettare i propri dati e servizi.
Fatte queste premesse, la strategia è presto fatta. Le amministrazioni, a partire dal 2022, saranno chiamate ad effettuare l’operazione di classificazione di dati e servizi e sulla base delle risultanze di questa operazione individueranno i CSP più adeguati. Si procederà quindi con la migrazione di dati e servizi dai sistemi dell’amministrazione a quelli del CSP. Obiettivo dichiarato: completare la transizione al cloud per il 75% delle amministrazioni pubbliche entro il 2025.
Tutto in linea con quanto sta accadendo nel resto del mondo industrializzato, il passaggio al cloud è oggi al centro di tutte le strategie di digitalizzazione sia da parte di enti privati che pubblici di tutte le dimensioni. In una situazione come quella della PA nazionale, soprattutto in relazione a quanto concerne gli enti locali, questa strategia può indubbiamente portare notevoli vantaggi sia in termini di aggiornamento delle tecnologie che di gestione dei sistemi. In linea con le migliori pratiche e standard internazionali anche l’idea di accompagnare questa transizione sulla base di un’analisi del rischio che consenta di ottimizzare costi e benefici.
Le criticità della strategia
Ma, come abbiamo anticipato, la strategia presenta importanti criticità. Per individuare queste criticità non abbiamo fatto grossi sforzi, abbiamo analizzato il Digital Economy and Society Index report[1]. Per comodità del lettore riportiamo il grafico riassuntivo del DESI 2020 già ampiamente commentato a suo tempo. Ricordiamo che il DESI è un indicatore numerico che prova a sintetizzare lo “stato di digitalizzazione” di un paese, e che sulla base di questo indicatore l’Italia occupa il 25° posto nell’ambito dei 28 paesi della UE.
Il cloud e il DESI
Ma cosa c’entra il DESI con la strategia cloud? Il DESI ci descrive lo stato delle fondamenta su cui vogliamo costruire la “nuova casa digitale degli italiani” (come l’ha chiamata il Ministro Colao), ed è estremamente importante, quando si costruisce una casa, partire dalle fondamenta. Vediamo quindi quali informazioni possiamo trarre al riguardo. Per questioni di brevità considereremo solo le prime tre macroaree analizzate nel DESI.
- Connettività: per poter operare correttamente il cloud necessita di una banda larga se non ultralarga in funzione dei servizi che si implementeranno. Nonostante questa sia la macroarea del DESI su cui l’Italia è più forte, è risaputo che l’infrastruttura di rete in Italia è ancora in divenire. Sono ancora molte le zone non coperte da questo tipo di connettività, al di fuori dei grossi centri metropolitani la situazione è ancora molto critica come peraltro è emerso chiaramente anche durante la pandemia. Il passaggio al cloud di tutta la PA ha come requisito necessario la disponibilità su tutto il territorio nazionale almeno della banda larga, siamo sicuri che tutto il paese godrà di questo livello di connettività per il 2025? È vero l’obiettivo fissato nella strategia cloud per il 2025 è il 75% della PA, a quando allora il 100%? È necessario pensare al resto del paese se non si vuole correre il rischio di aggravare il già evidente “divario digitale” tra centro e periferie.
- Capitale umano. La realizzazione della strategia cloud richiede l’impiego di un numero considerevole di persone con competenze particolarmente avanzate, soprattutto nel settore delle architetture, dei sistemi e della cybersecurity. Competenze che come ben mostra il grafico DESI sono decisamente carenti nel nostro paese. Per rigore di cronaca siamo i peggiori in Europa sia in termini di specialisti che di competenze generiche. Il problema è anche emerso durante la conferenza stampa sopra citata, ed il direttore del centro di cybersicurezza Baldoni ha accennato al potenziale problema. Non è del tutto chiaro però come si pensi di risolverlo. Il Ministro Colao ha accennato a della gare di consulenza. In realtà non crediamo che per qualità e quantità di competenze in gioco ci possano essere gare che tengano. Le competenze negli ambiti sopra citati nel nostro paese non sono solo molto carenti e ma sono anche difficili da trovare sul mercato. Sono competenze che si formano con anni di esperienza nel settore, attraverso studi approfonditi, lo sviluppo di programmi di ricerca ambiziosi, l’adozione e l’uso di tecnologie “on the edge”, la creazione di centri di ricerca e confronti con altri professionisti a livello internazionale. Gli USA finanziano progetti e percorsi formativi sulla cybersicurezza dai primi anni ’70, l’Italia di fatto non ne ha mai finanziati. Se l’Italia avesse voluto disporre oggi delle competenze di cui ha bisogno per realizzare la strategia cloud avrebbe dovuto avviare dei programmi dedicati dieci anni fa. Oggi deve accontentarsi di quello che c’è, che è comunque il risultato dell’iniziativa di “pochi” che anni addietro avevano colto l’urgenza e l’importanza del problema. Si parla anche della promozione e dell’avvio di corsi di formazione per specialisti nei settori sopra elencati, si tenga conto che per formare persone competenti e competitive spesso non sono sufficienti 5/7 anni. Le diverse iniziative formative avviate in ambito cybersecurity ultimamente non potranno produrre effetti nel breve termine. È indubbio, questo fattore influirà significativamente sul risultato della strategia cloud sia in termini qualitativi che quantitativi.
- Use of Internet Services. Questo è un altro problema di cui nella strategia non si parla ma che può essere particolarmente critico. Si tratta dell’uso dei servizi internet fatto dai cittadini. Tra le motivazioni principali della strategia cloud vi è l’obiettivo di migliorare in termini di efficienza ed efficacia i servizi della pubblica amministrazione verso i cittadini. L’indice DESI ci dice però che i cittadini italiani non sembrano molto interessati ad usare questi servizi, quindi se anche l’obiettivo della strategia venisse raggiunto potremmo trovarci nel 2025 PA e comuni che erogano servizi on line ad “altissima qualità”, ma i cittadini che continuano ad andare allo sportello a richiedere i loro certificati. La strategia cloud non può quindi prescindere da un programma di acculturamento digitale per avvicinare e incentivare l’uso corretto delle tecnologie da parte dei cittadini, la pandemia forse ci ha dato una mano in questo senso, ma il terreno da recuperare è ancora molto.
Conclusioni
In conclusione, una strategia cloud il cui obiettivo è largamente condivisibile ma sulla quale aleggia un interrogativo di fondo: “Può un paese che nel 2020 risulta venticinquesimo su 28 nel processo di digitalizzazione e che da sempre è stato tra i fanalini di coda in questo processo, riuscire in quattro anni a produrre lo sforzo necessario per raggiungere gli obiettivi stabiliti dalla strategia cloud?”.
Note
- https://digital-strategy.ec.europa.eu/en/policies/desi ↑
