I risultati prodotti dal Censimento del patrimonio ICT della PA rappresentano una débâcle su molti fronti e per svariati motivi. Innanzitutto, una strategia “condivisa” per la migrazione al cloud della PA sarebbe stata meglio dell’attuale approccio calato dall’alto, poco aderente alla realtà dei piccoli enti e che presenta diversi problemi metodologici che investono in primis la definizione dei criteri per la classificazione dei datacenter, la maggior parte dei quali non passano l’esame per diventare Poli Strategici Nazionali.
Per rendere più agevole l’attuazione della strategia indicata da Agid nel piano triennale per l’informatica nella PA si potrebbe allora creare una rete che in ogni Provincia consenta agli enti più piccoli di avere come riferimento il comune capoluogo e la Provincia medesima; questi ultimi enti poi con la relativa Regione completano il network.
Data center e poli strategici nazionali
Ma andiamo per ordine: ricordiamo anzitutto che quello della riduzione dei data center con l’individuazione di Poli Strategici Nazionali e progressiva (e veloce!) migrazione sul Cloud di quelli di dimensioni minori è uno dei temi al centro del Piano Triennale ICT per la PA di AgID, giunto alla seconda edizione, 2019-21.
A passare sul cloud, secondo i dettami Agid, sarebbero immediatamente i data center classificati come tipo B (quelli che non garantiscono requisiti minimi di affidabilità e sicurezza) poi, a seguire, quelli di tipo A (con carenze organizzative e strutturali minori). Sul portale di AgID, dove viene presentato il nuovo Piano che sostituisce quello precedente 2017-19, l’adozione del Cloud per la PA italiana viene esplicitamente presentata come una importante novità della strategia del Piano medesimo.
Strategia corretta: finalmente una strategia verrebbe da dire.
Se una strategia da sola non basta
Ma le modalità attuative e quanto accaduto dopo il 30 novembre 2017, data di emanazione della Circolare n. 5, con la quale è stato avviato il Censimento del patrimonio ICT della PA, evidenziano che non sempre basta una strategia ma serve molto di più. Ad esempio, la condivisione dei processi che se calati così dall’alto, come spesso accade, non conducono a risultato alcuno.
Veniamo ai risultati prodotti dal Censimento del patrimonio ICT della PA, avviato dalla Circolare Agid n. 5/2017. Al censimento hanno partecipato 778 amministrazioni delle quali 153 hanno dichiarato di non possedere datacenter: 625 Amministrazioni, dunque, per un totale di 927 strutture censite.
Questo risultato evidenzia un primo grave problema metodologico della strategia.
Basta fare due conti per avere chiaro lo scenario devastante che ci si profila. L’art. 1 della Circolare n. 5/2017 definisce l’ambito di applicazione della medesima, evidenziando che per PA si devono intendere quelle di cui al comma 2 dell’art. 1 del D.Lgs. 165/2001 (qui il comma).
Capito quali sono, rimane da capire quante sono: ebbene, secondo questo portale, confrontando diverse statistiche, includendo PAL, PAC, Sanità e scuole si arriva a 55 mila.
Se prendiamo come riferimento questo numero si ha lo sconfortate risultato che la percentuale che si ottiene è di poco sopra l’1,4%. Anche provando ad essere più magnanimi e considerando 8000 comuni, 100 provincie 20 regioni un po’ di ministeri, ovvero circa 10000 Enti, non si ottiene una grande percentuale.
Un tema così rilevante, come quello dell’infrastruttura digitale, in questo ultimo elenco di Enti, ovvero l’ossatura Amministrativa del Paese, che riscuote questo livello di attenzione deve indurci ad una profonda riflessione. Disinteresse? Incompetenza? Disinformazione? Altro? Una di queste situazioni oppure un mix di esse hanno prodotto questo risultato.
Sulla disinformazione vale la pena di segnalare che importanti Comuni dell’Emilia-Romagna non sapevano nulla circa la scadenza prefissata per la compilazione online del questionario. Siccome la mancata partecipazione al Censimento comportava automaticamente la classificazione nella tipologia B viene da pensare male.
Quanto sopra merita e meritava una profonda riflessione che non mi risulta esserci stata.
I criteri per la classificazione dei datacenter
Ma procediamo, pronti per un’altra sorpresa?
Nel mese di Giugno 2019 esce la Circolare n. 1 di AgID dove vengono definiti i criteri per la classificazione dei datacenter (Polo Strategico, Tipo A oppure Tipo B, come previsto dal Piano Triennale).
Molto discutibile la metodologia: indicare la griglia di classificazione prima senza avere definito i criteri per classificare l’appartenenza delle strutture alle singole categorie della griglia medesima.
I datacenter italiani: “tutti bocciati”
Ma quello che troviamo scritto nei criteri è ancora più sconcertante: l’asticella è talmente alta che datacenter importanti (sistemi Regionali, ad esempio, ma moltissimi capoluoghi di Provincia, Pesaro incluso) vengono classificati nella tipologia B, l’ultima della scala, quelli che dovranno provvedere alla dismissione immediata. Questo a causa del fatto che i requisisti richiesti per la classificazione di Tipo A non sono molto dissimili da quelli per la classificazione a Polo Strategico: viene ad esempio richiesta la certificazione ISO 27001, il presidio H24.
E’ come se in una classe dove gli studenti per la maggior parte sono quasi sempre assenti, con capacità a malapena a far di conto, il Professore impartisse il compito di matematica con la risoluzione di un integrale curvilineo e di una equazione differenziale.
Viene quasi il dubbio che tutta l’operazione sia voluta e pensata per portare la PA Italiana sul Cloud perché va di moda, a prescindere, senza neanche preoccuparsi minimamente di verificare effetti negativi (lock-in ad esempio, ma qui si apre un altro tema). Senza neanche pensare cosa sta facendo il mondo delle imprese: sta andando sul Cloud, con attenzione, verificando i costi (che ad esempio per servizi IaaS sono ancora alti) ma facendo attenzione agli investimenti fatti fino ad oggi on-premise.
Vorrei evidenziare che questa modalità operativa fa perdere a tutto il progetto la dignità di strategia che per essere tale deve essere conosciuta e condivisa; sembrerebbero mancare entrambi i requisiti nel caso de quo. Se si insisterà con questo approccio top-down (calato dall’alto) non si produrrà nessun risultato.
Cloud first sì, ma non solo
Ribadisco che sono assolutamente d’accordo con la strategia Cloud first, ma aggiungo but not only! (a seguire documenterò meglio questa ultima parte, ovvero non solo cloud!).
Per il Comune di Pesaro abbiamo avviato da tempo l’uso del Cloud, il datacenter on-premise è già pronto a collegarsi e a migrare la totalità dei server in hosting; il nostro file system diversi Terabytes di dati sono in backup sul Cloud con una copia settimanale, una mensile e una annuale. Utilizziamo sistemi di storage che archiviano on-premise i dati “caldi” e su cloud quelli “freddi” ovvero meno utilizzati, garantendo il backup di entrambi con lunghi periodi di conservazione. Questo per dire che non sono certo le novità a spaventarci.
Perché non solo cloud? Perché per una organizzazione di dimensioni rilevanti come sono ad esempio la generalità dei Capoluoghi di Provincia, con molte postazioni di lavoro e con un modello di Desktop Remoto per gestire tutta la parte di office automation, il rinunciare completamente ad un datacenter costa ancora troppo, sia in termini di connettività che in termini di risorse computazionali sul Cloud. Per una esecuzione veloce ed efficace serve ancora un sistema di remotizzazione del desktop e archiviazione del file system in una server farm in locale, contenuta e limitata, ma essa è comunque un datacenter.
Un approccio dal basso per risultati migliori
Detto ciò, tornando ai datacenter e al cloud così come declinati dal Piano Triennale, ritengo che un approccio diverso dal basso, bottom-up, possa dare risultati migliori.
Come? Classificando correttamente le diverse realtà esistenti sul territorio. E’ chiaro che un comune di 1000 abitanti, ad esempio, con il “server” (troppa grazia: spesso parliamo di pc assemblati con un solo alimentatore e neppure un raid sullo storage!) nell’anticamera del bagno senza rack e condizionamento, rappresenta un livello diverso da quello di un Comune Capoluogo di Provincia con una soluzione funzionante di BCDR (Bussiness Continuity Disaster Recovery) pur privo di certificazione ISO 27001 come lo sono molti datacenter Regionali.
Quindi giusta la griglia di classificazione del Piano Triennale, sbagliati i criteri.
Una “rete” per una strategia condivisa
Ma oltre a questo esistono nei territori degli Enti che possono fare da riferimento per i più piccoli e relazionarsi con quelli più grandi? La risposta è certamente sì. Si può costruire una rete che in ogni Provincia consenta agli Enti più piccoli di avere come riferimento il Comune Capoluogo e la Provincia medesima; questi ultimi Enti poi con la relativa Regione completano il network.
Con questo modello si può pensare che la strategia sia intanto conosciuta e condivisa. Poi l’attuazione, per gradi, deve preoccuparsi delle realtà più piccole e fragili e quindi a maggiore rischio (perdita di dati, attacchi informatici, ecc) utilizzando i datacenter regionali e/o Comune Capoluogo e Provincia dove già esistono infrastrutture importanti che ancora non hanno terminato il loro periodo di ammortamento e non devono essere sostituite per obsolescenza nell’immediato.
Non dimentichiamoci che il cloud non è gratis e gli investimenti fatti fino ad oggi non vanno buttati fino a che non abbiano finito la loro vita.
Un’ultima riflessione sul cloud: da un primo approccio in cui era consentito solo l’uso di SPC Cloud, Convenzione CONSIP (approccio che ritengo sbagliato) si assiste ora ad una apertura generalizzata: sono state accreditate come Service Cloud Provider molte Software House. Questo approccio lo ritengo ancora peggiore del primo: qualcuno si ricorda ancora quando venivano scritti fiumi di parole sul lock-in?
