Il Polo Strategico Nazionale, che nelle intenzioni del Governo dovrà diventare il nuovo quartier generale informatico in grado di ospitare i servizi digitali della macchina burocratica nazionale ed implementare una vera e propria “nuvola pubblica” omogenea ed armonizzata in tutta Italia, continua a prendere forma.
Il percorso dell’ambizioso progetto si sovrappone, naturalmente, con gli obiettivi del Piano Nazionale di Ripresa e Resilienza che rappresenta, in estrema sintesi, anche la maggior fonte di finanziamento e richiede il raggiungimento di stringenti milestone entro il 2026.
Polo Strategico Nazionale, opportunità unica per l’Italia: ma la sfida è l’execution
In particolare, sarà necessario completare la migrazione di 30 amministrazioni entro il settembre 2023 per arrivare a 100 entro settembre 2024 e 280 al traguardo finale di giugno 2026.
Si tratta di una corsa contro il tempo, considerando anche le tante difficoltà organizzative che devono quotidianamente affrontare le nostre amministrazioni ma anche le resistenze mai nascoste nelle periferie nei confronti di un processo di accentramento visto con timore dagli Enti Locali, preoccupati di perdere autonomia decisionale ma anche di depauperare i territori e le aziende del proprio ambito geografico di riferimento.
La recente Sentenza del TAR
Una ulteriore spina nel fianco è arrivata qualche settimana fa dalla sentenza con la quale il TAR del Lazio ha accolto due rilievi formulati dalla cordata Fastweb-Aruba in merito alla distanza tra i datacenter del Polo Strategico Nazionale ed agli indici sismici delle zone nelle quali gli stessi CED sono situati.
In sintesi, secondo il capitolato di gara il Polo Strategico Nazionale deve garantire la presenza di due coppie di datacenter distanti tra loro almeno 500 Km, al fine di assicurare la sicurezza delle informazioni e la possibilità di proseguire le attività di vitale importanza anche a seguito di eventi avversi di elevate dimensioni quali terremoti, tsunami, inondazioni, etc.
Secondo i rilievi formulati dai ricorrenti ed accettati dal TAR, tale distanza non è sempre rispettata (seppur per alcune centinaia di metri) in quanto deve essere calcolata in linea d’aria e non, come riportato nelle memorie difensive della compagine capitanata da TIM, in base ai tracciati stradali. Tale situazione, secondo i giudici, genera un rischio per il patrimonio informativo che deve essere custodito all’interno del PSN e comporta l’invalidità dell’infrastruttura posta in essere.
Un ulteriore rilievo recepito dalla magistratura amministrativa è quello relativo agli indici sismici, ossia della classificazione delle zone nelle quali sorgono i datacenter del PSN.
In particolare, secondo quanto previsto dalla gara, il Polo Strategico Nazionale deve essere collocato in località a basso rischio sismico, che si traduce in un indice non inferiore a 3 (su una scala che arriva fino a 4). Il problema, invero, si pone su Pomezia che si trova in zona 2B, ossia nella fascia immediatamente inferiore a quella consentita dal bando di gara. I giudici hanno ritenuto insufficienti le argomentazioni dei legali di TIM, che hanno puntato sul relativamente recente “declassamento” della zona (che fino al 2009 vantava un indice pari a 3) e sul rispetto delle norme antisismiche da parte del Data Center laziale.
Nonostante la bocciatura, la sentenza non mette, comunque, in discussione il diritto della newCo di gestire il Polo Strategico Nazionale: la lex specialis di gara, ossia il decreto legge n.77 del 2021, esclude infatti, al comma 4 dell’articolo 48 la possibilità di un subentro in in quanto è considerato preminente l’obiettivo di scongiurare la perdita dei finanziamenti derivanti dal PNRR.
Il sito istituzionale
Nelle scorse settimane, inoltre, il sito istituzionale del Polo Strategico Nazionale, dopo essere stato lanciato in una modalità estremamente “spartana” e “minimale”, è stato arricchito con una serie di interessanti sezioni ed informazioni, che consentono di approfondire la conoscenza di una infrastruttura di fondamentale importanza per il processo di digitalizzazione dalla macchina burocratica nazionale.
Di seguito è riportata, a tal proposito, una carrellata dei temi di maggiore interesse estratti dal portale del PSN.
Polo Strategico Nazionale, il difficile viene ora: perché la migrazione delle PA non sarà semplice
Il tema della sovranità nazionale
Secondo quanto si legge sul sito, il tema della salvaguardia dell’autonomia strategica nazionale e della protezione dei dati strategici e critici rappresenta uno dei driver primari che ha portato alla concezione e successivamente all’implementazione di una strategia nazionale cloud, di cui Polo Strategico Nazionale è uno dei pilastri attuativi insieme alla classificazione dei dati e la qualificazione dei servizi cloud.
Per comprendere a pieno il quadro di riferimento, è necessario considerare anche le numerose sollecitazioni della Commissione Europea, che ha inteso richiamare più volte l’attenzione degli Stati Membri sulla necessità di garantire l’indipendenza digitale dell’Unione da potenziali influenze provenienti da giurisdizioni straniere e sull’opportunità strategica di elaborare e archiviare i dati sul suolo europeo.
E’ immediatamente comprensibile, pertanto, come il concetto di sovranità sia intrinsecamente connesso ad aspetti di natura legale, politica, strategica ma anche di equilibri internazionali che devono essere salvaguardati, soprattutto in un momento storico estremamente delicato come quello attuale, segnato fortemente dalla pandemia e dalla crisi in Ucraina.
In tale contesto, al fine di assicurare la piena indipendenza del Paese, i dati strategici e critici sono gestiti con soluzioni specifiche che garantiscono la segregazione dei dati nei CED del PSN, l’esercizio dei sistemi con personale locale e il trattamento sicuro dei dati.
Tra l’altro, il beneficio di avere i dati della PA concentrati su un numero ridotto di Data Center nazionali, rispetto agli 11.000 attualmente utilizzati, consentirà, a regime, un maggiore e più efficiente controllo dell’infrastruttura, dell’ evoluzione dei sistemi operativi e del relativo software patching, anche con riferimento alla gestione e prevenzione dei rischi di cybersecurity che negli ultimi mesi sono notevolmente incrementati.
E’ fondamentale, inoltre, sottolineare come “Polo Strategico Nazionale” sia una società italiana privata alla quale non si applica il Cloud Act e che l’offerta del PSN preveda differenti tipologie di servizi in funzione della classificazione dei dati, adottando di volta in vota specifiche e idonee misure di sicurezza e controllo dei dati.
Anche in caso di utilizzo di servizi basati su Cloud Service Provider, le soluzioni PSN sono assicurate tramite un sistema di cifratura che utilizza chiavi di crittografia di proprietà delle pubbliche amministrazioni e gestito da società italiane.
La corporate governance
Sul portale sono stati anche pubblicati il Codice Etico e di Condotta e la Carta dell’Anticorruzione ai quali si conforma il sistema di “Corporate Governance” che presiede la gestione e il controllo di Polo Strategico Nazionale.
Secondo quanto si legge nel sito, il modello è orientato alla “massimizzazione del valore degli obiettivi prefissati, al controllo dei rischi d’impresa e d’impatto sull’ambiente per assicurare la massima integrità nei processi decisionali”.
Attraverso il funzionigramma, in particolare, è disciplinato il modello organizzativo interno, i ruoli, le attribuzioni e le responsabilità per la realizzazione degli obiettivi aziendali.
Un’infrastruttura sostenibile
La nuova rivoluzione digitale sta riproponendo, sotto alcuni aspetti, problemi e criticità simili a quelle già sperimentate più di un secolo fa con la nascita delle grandi fabbriche e la proliferazione dell’industria su larga scala.
Anche oggi, infatti, un nodo cruciale è rappresentato dagli impatti ambientali delle nuove tecnologie che, seppur in maniera meno “evidente” rispetto al passato, utilizzano una quantità spesso esagerata di risorse rischiando di compromettere equilibri già fortemente minacciati da anni di incuria e sottovalutazione di tali aspetti.
È necessario, ad esempio, considerare come un centro di elaborazione dati, che rappresenta la contropartita “fisica” dei sistemi digitali spesso visti (erroneamente) come “virtuali” o “immateriali”, per poter correttamente funzionare e, soprattutto, per fornire risposte in tempi rapidi a tutti gli utilizzatori, umani o tecnologici, consuma per l’alimentazione ed il raffreddamento dei propri sistemi un quantitativo decisamente elevato di energia, che sta esponenzialmente crescendo nel corso degli anni.
Particolarmente interessante, sotto questo punto di vista, è la politica del Polo Strategico Nazionale che punta a mettere in campo “infrastrutture e tecnologie d’avanguardia, per guidare la Pubblica Amministrazione nel processo di innovazione dei servizi digitali in modo efficiente, sostenibile e sicuro”.
I Data Center del PSN, in particolare, sono progettati nel rispetto dei requisiti richiesti dai più importanti enti certificativi, al fine di garantire il massimo livello di eccellenza nella conduzione dei processi gestionali.
L’efficienza energetica viene perseguita attraverso:
- Una progettazione mirata di strutture ed impianti industriali, che utilizzano componenti e tecnologie ad elevata efficienza energetica e basso impatto ambientale
- L’utilizzo di apparati IT e prodotti best in class, che offrono maggiore compattezza e ridotto assorbimento elettrico a fronte di elevate capacità elaborative.
- Infrastrutture progettate secondo i massimi standard.
L’affidabilità dei siti di Polo Strategico Nazionale è, inoltre, confermata dal conseguimento di certificazioni basate su Standard Internazionali e dall’adozione di stili di condotta virtuosi orientati al «green thinking». In quest’ottica, alcuni dei Data Center di PSN hanno ricevuto i riconoscimenti TIER IV e ANSI/TIA 942 Rating 4, nonché ISO50001 per la gestione dell’energia.
La sicurezza delle informazioni
Il processo di digitalizzazione dei servizi offerti dall’articolata macchina burocratica nazionale deve necessariamente affrontare con estrema attenzione la tematica della sicurezza delle informazioni e della lotta al cyber crime, che rappresenta ormai una minaccia concreta, pericolosa e sempre incombente sulla salvaguardia dei dati trattati, a vario titolo, dalle pubbliche amministrazioni.
La pubblica amministrazione deve, in estrema sintesi, dotarsi di infrastrutture digitali capaci di “adattarsi” e “trasformarsi” in base al contesto, alle condizioni al contorno e, naturalmente, alle esigenze dei cittadini.
Deve essere, in altri termini, in grado di utilizzare sistemi “scalabili” che permettano di reagire a tutte le circostanze, comprese quelle eccezionali che richiedono di rispondere in pochi secondi a milioni di richieste simultanee.
E’ opportuno, innanzitutto, sottolineare come la cybersicurezza debba tenere in considerazione non solo attacchi deliberati o azioni criminali ma anche eventi “anomali” che possono fisiologicamente verificarsi in qualsiasi momento durante il ciclo di vita di un sistema informativo complesso come quello che deve garantire l’erogazione dei servizi pubblici.
Un’architettura come quella del Polo Strategico Nazionale deve essere, pertanto, progettata, pensata, implementata, collaudata e testata in maniera tale che possa adattarsi alle condizioni più sfavorevoli e sappia trasformarsi in base agli eventi quasi come una spugna che aumenta il proprio volume quando è inondata dall’acqua e si restringe quando è “scarica”.
Sul portale del PSN, è espressamente indicato come “La sicurezza è al centro degli obiettivi di Polo Strategico Nazionale: vogliamo accompagnare la Pubblica Amministrazione nel processo di transizione digitale verso un cloud in grado di proteggere i dati in modo sostenibile”.
La Sicurezza dei dati
Nella sezione dedicata alla sicurezza del portale, è possibile leggere come il Team del PSN sia impegnato nella progettazione, allestimento e messa a disposizione delle Amministrazioni di Data Center ad alta affidabilità localizzati sul territorio nazionale ed erogazione di Servizi Cloud dedicati, con focus sulla connettività e affidabilità dei servizi e sulla cybersecurity per garantire la confidenzialità, integrità e disponibilità dei dati.
Ogni Data Center del PSN, in particolare, è equipaggiato con un sistema antintrusione ad attivazione automatica interconnesso con sistemi di vigilanza pubblica e/o privata, è dotato di di sistemi di protezione perimetrale esterna ed è protetto da impianti di videosorveglianza e videoregistrazione.
L’accesso al sistema è consentito solo ed esclusivamente al personale di sicurezza adeguatamente identificato dalle procedure e normative in termini di privacy.
Data Center in doppia region italiana
Come anticipato in precedenza, l’infrastruttura Cloud è ospitata all’interno di 4 Data Center distribuiti sul territorio italiano, allestiti in una configurazione di doppia Region (Nord e Sud, distanti tra loro centinaia di chilometri) in dual-AZ (Availability Zone), cioè una coppia di Data Center in configurazione di business continuity, distanti tra loro diverse decine di chilometri.
Il carico di lavoro viene distribuito in maniera trasparente e la configurazione di Alta Affidabilità (o “High Availability”, utilizzando una locuzione anglosassone) consente di realizzare la continuità di servizio infrastrutturale tra i due CED della stessa Region.
In tal modo è possibile garantire la capacità intrinseca della piattaforma Cloud di reagire ad eventi disastrosi rendendo possibile la riattivazione dei carichi di lavoro all’interno di una delle due AZ o su una Region diversa.
Cybersecurity
Grazie al know-how acquisito dalle compagini che compongono la cordata nella protezione di infrastrutture critiche nazionali, il PSN può fornire soluzioni e servizi finalizzati a garantire il massimo livello di protezione e resilienza cibernetica attraverso capacità di anticipare le minacce, controllare i rischi e gestire efficacemente eventuali attacchi esterni.
Il Polo, invero, punta a garantire la confidenzialità, integrità e disponibilità delle informazioni attraverso misure di protezione delle infrastrutture, reti e archivi adeguate ai livelli di esposizione al rischio cibernetico.
L’analisi dei rischi è condotta, a cadenza periodica, mediante appositi strumenti di valutazione che permettono anche il tracciamento delle azioni di rimedio eventualmente identificate.
E’ garantita, inoltre, la conformità alle leggi e ai regolamenti vigenti, tra cui quelle inerenti la sicurezza delle informazioni, la tutela dei dati personali nonché quelle applicabili agli Operatori dei Servizi Essenziali (OSE), ai Fornitori di Servizi Digitali (FSD) ed ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC).
Le misure tecniche ed organizzative individuate saranno inoltre soggette a certificazione ISO/IEC 27001 e ISO 22301 e descritte da specifiche “Security Policy” elaborate a cura dell’Organizzazione di Sicurezza, in particolare con riferimento alla sicurezza e alla conformità dei sistemi informatici e delle infrastrutture delle reti.
La sicurezza logica prevede inoltre che, all’interno di ogni ambiente dedicato ai clienti finali, venga definita un’architettura a “segmenti” a cui sono applicate Politiche coerenti con il tipo di applicazioni che il segmento deve ospitare.
Il PSN, infine, prevede l’offerta di servizi “CERT” (Community Emergency Response Team) e “SOC” (Security Operations Centre) e fornisce adeguati dettagli in merito alla mitigazione dei rischi operativi legati alla gestione della sicurezza informatica.
Il Polo, in particolare, fornirà la gestione della sicurezza in accordo alle responsabilità tradizionalmente definite all’interno di tutti i modelli IaaS e PaaS previsti nel progetto di fattibilità, come riportato nella figura seguente:
Gestione della Sicurezza nel PSN. Fonte
