Lo scorso 10 dicembre, invero un po’ in sordina, l’Agenzia per l’Italia Digitale ha pubblicato l’aggiornamento 2021-2023 del Piano triennale per l’informatica nella PA.
Scopo di questo contributo è di leggere il Piano 2021-2023 tenendo in controluce il precedente piano, perché come sempre, le differenze tra l’una e l’altra versione possono avere un importante valore euristico.
Piano triennale Agid 2021-2023, aggiornato al PNRR: che cambia per gli enti locali
Uno stesso disegno, ma una diversa impostazione
Molte cose sono evolute, quasi tutte in meglio, diciamolo subito, tra un piano e l’altro. Purtroppo, non è cambiato il titolo del Piano, né poteva cambiare visto che è imposto da una norma. È un titolo sbagliato per almeno due gravi motivi: il primo è che definire la trasformazione digitale come “informatica” è, a voler essere gentili, almeno riduttivo; il secondo è il singolare di Pubblica Amministrazione. Le amministrazioni pubbliche sono tante e diverse e vanno considerate e rispettate nella loro diversità, seppure unite da un obiettivo comune che è quello di creare valore pubblico.
Ma torniamo al Piano. Ad una prima distratta lettura sembra molto simile, quasi identico, al precedente, perché pressoché uguale è l’indice, tranne un’importante eccezione nel settimo capitolo dedicato alla governance a cui dedicheremo un altro articolo, come anche l’impostazione dei capitoli e lo stesso schema di obiettivi e azioni per ciascuna area.
Già leggendo però con maggiore attenzione la prima pagina ci accorgiamo che ci sono dei cambiamenti di impostazione importanti. Né poteva essere altrimenti, visti i profondi mutamenti che la pandemia, il nuovo Governo Draghi e gli impegni e le opportunità del PNRR hanno portato nelle amministrazioni e nella stessa politica d’innovazione di queste e dell’intero paese. Se infatti il PNRR ha messo al primo posto tra le riforme, così come tra le missioni, l’innovazione della PA, il presente Piano Triennale si pone come sintesi tra le varie linee di trasformazione digitale della Pubblica Amministrazione.
Così sin dalle prime righe si mette in evidenza l’obiettivo ultimo del PNRR e, conseguentemente anche del Piano: “Gli interventi hanno come traguardo principale quello di mettere l’Italia nel gruppo di testa in Europa nel 2026, rispetto a: diffusione dell’identità digitale, riduzione del gap di competenze digitali, incremento dell’uso dei servizi in cloud da parte della PA, crescita dell’erogazione dei servizi digitali essenziali erogati online, completamente delle reti a banda ultra-larga su tutto il territorio nazionale”.
I nuovi compiti di vigilanza di Agid
A questa dichiarazione d’intenti, già nell’executive summary, si accompagna la citazione del nuovo articolo 18bis del CAD, introdotto dal cosiddetto “decreto semplificazioni bis” (dl 77/21), che investe l’AgID di nuovi e più importanti compiti di vigilanza attiva e collaborativa, tanto da costituire un vero e proprio nuovo mandato istituzionale dell’Agenzia in materia di accertamento delle violazioni e sanzionatorio in riferimento agli obblighi di transizione digitale. È una riforma importante di cui giudicheremo nei prossimi mesi i risultati e la stessa fattibilità, messa in forse, per ora, dall’esiguità delle forze a disposizione dell’Agenzia e dalla solita, sciagurata, formuletta finale dell’articolo stesso: “All’attuazione della presente disposizione si provvede con le risorse umane, strumentali e finanziarie già previste a legislazione vigente”.
L’aggiornamento 2021-2023 del Piano triennale per l’informatica nella PA è stato redatto in collaborazione con il Dipartimento per la trasformazione digitale e PagoPA e con il contributo di molte amministrazioni centrali, regioni e città metropolitane. Il documento è stato, inoltre, condiviso e ha recepito le osservazioni della Conferenza delle Regioni e Province Autonome, dell’Unione delle Province e dell’ANCI.
In considerazione del mutato contesto legato all’attuazione del Piano Nazionale di Ripresa e Resilienza – PNRR in materia di trasformazione digitale, il documento è stato notificato alla Commissione Europea, passaggio aggiuntivo nell’iter di adozione del Piano rispetto alle precedenti edizioni. A conclusione della procedura, il Piano sarà adottato con decreto del Presidente del Consiglio dei ministri o del Ministro delegato, come previsto dal Codice dell’Amministrazione Digitale.
Le sei componenti tecnologiche: novità, conferme, ritardi
Come dicevamo l’impianto del Piano è identico a quello precedente e le stesse sono le sei componenti tecnologiche trattate: servizi, dati, piattaforme, infrastrutture, interoperabilità, sicurezza informatica. Lo spazio di questo articolo non mi permette di entrare troppo nei dettagli, per altro il piano è di facile lettura (è un pregio non da poco) e neanche tropo lungo; quindi, chi vuole approfondire potrà rivolgersi direttamente alla fonte. Quel che mi interessa qui è mettere in luce quel che è cambiato.
I servizi
Partiamo dal capitolo sui servizi. Qui l’aggiornamento più importante è dato dall’aggiunta di un obiettivo importante: la piena applicazione del Regolamento Europeo 2018/1724 Single Digital Gateway e le conseguenti azioni per ridurre una frammentazione che ritarda la maturità dei servizi e allontana l’obiettivo once only. Passando poi alle azioni a cui sono chiamate AgID e istituzioni (in primis il Dipartimento per la Trasformazione Digitale -DTD- e Consip) non possiamo notare un poco lodevole spostamento in avanti di molte scadenze fissate dal precedente piano. Solo a titolo di esempio citiamo tra le altre tutti le azioni che avevano come attore principale Consip: la realizzazione del modello integrato Cloud Marketplace la cui scadenza era fissata dal precedente Piano a giugno 2021 e slitta di un anno e mezzo a dicembre 2022; l’avvio della pubblicazione delle gare strategiche per Servizi SaaS Public Cloud che slitta da marzo a dicembre 2021 (per altro ad oggi è stata pubblicata una sola di queste gare quella relativa a produttività individuale e collaboration); sempre in tema di procurement il termine entro cui le PA adeguano le proprie procedure di acquisto alle linee guida di AGID sull’acquisizione del software e al CAD (artt. 68 e 69) slitta di due anni dall’ottobre 2020 all’ottobre 2022.
I dati
Nel capitolo dedicato ai dati la novità principale è data dal progetto della PDND (Piattaforma Digitale Nazionale Dati). In particolare, il Piano prevede che la fornitura dei dataset, avvenga preferenzialmente attraverso API (interfacce per programmi applicativi), le quali, anche ai sensi dei punti 31 e 32 delle premesse della Direttiva (UE) 2019/1024:
- rispettino le Linee guida sull’Interoperabilità;
- siano documentate attraverso i metadati (ontologie e vocabolari controllati) presenti nel Catalogo Nazionale Dati per l’interoperabilità semantica
- siano registrate sul catalogo API della PDND (Piattaforma Digitale Nazionale Dati).
Anche qui, nella sostanziale adesione alle scadenze precedentemente indicate, notiamo qualche slittamento, come ad esempio le linee guida per la valorizzazione del patrimonio informativo pubblico che sono slittate da gennaio 2021 a giugno 2022.
Le piattaforme
Il capitolo dedicato alle Piattaforme risente della grande crescita nell’utilizzo di almeno tre piattaforme fondamentali: SPID, spinto da killer application come il cashback; l’app IO che deve l’incremento alla necessità di scaricare il green pass; PagoPa che è ormai molto più comune (e più semplice) per i pagamenti verso le amministrazioni. Anche in questo capitolo non manca qualche proroga: e le scadenze mancate: la realizzazione della Piattaforma Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel Registro Imprese (INAD) slitta di un anno; scompare tutto l’obiettivo legato ai CUP e alla loro rete; si deve constatare una debacle relativa al fascicolo Sanitario Elettronico fissando degli obiettivi minimali e facendo slittare di quasi due anni, da settembre 2020 a giugno 2022, la revisione della normativa, per altro di responsabilità del MEF.
In compenso nuovi obiettivi e azioni riguardano la Piattaforma Notifiche Digitali che permette la notificazione e la consultazione digitale degli atti a valore legale; la Piattaforma Gestione Deleghe (SDG) che consentirà ai cittadini di delegare altra persona fisica per agire presso le pubbliche amministrazioni attraverso una delega; la già citata Piattaforma Digitale Nazionale Dati (PDND) che permette di aprire canali tra le PA e, così, farle dialogare, realizzando l’interoperabilità, attraverso l’esposizione di API.
Le infrastrutture
Il capitolo infrastrutture presenta come principale novità la scelta le PSN Polo Strategico Nazionale, ma anche il documento di indirizzo strategico sul cloud intitolato “Strategia Cloud Italia”. Tale documento, parte integrante del Piano triennale si sviluppa lungo tre direttrici fondamentali:
- la creazione del PSN, la cui gestione e controllo di indirizzo siano autonomi da fornitori extra UE, destinato ad ospitare sul territorio nazionale principalmente dati e servizi strategici la cui compromissione può avere un impatto sulla sicurezza nazionale;
- un percorso di qualificazione dei fornitori di Cloud pubblico e dei loro servizi per garantire che le caratteristiche e i livelli di servizio dichiarati siano in linea con i requisiti necessari di sicurezza, affidabilità e rispetto delle normative rilevanti;
- lo sviluppo di una metodologia di classificazione dei dati e dei servizi gestiti dalle Pubbliche Amministrazioni, per permettere una migrazione di questi verso la soluzione Cloud più opportuna (PSN o Cloud pubblico qualificato).
Il risultato di tali scelte strategiche è stato di spostare tutti gli obiettivi di migrazione dai data center di livello B, ossia non sicuri e obsoleti, anche dal punto di vista della sostenibilità, ai data center in regola con le indicazioni AgID al 2023 o al PSN. Ci sono quindi ancora due anni di tempo per mettersi in regola. Il PNRR costituisce lo strumento finanziario e programmatorio che consentirà questo passaggio. La data principale però, in questa area, che determinerà tutti i passaggi successivi è molto vicina. Entro gennaio 2022 infatti dovrà avvenire la pubblicazione regolamento che definirà i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione.
Interoperabilità
Strettamente legato al capitolo sui Dati, il capitolo dedicato all’interoperabilità presenta una novità interessante di metodo: mette infatti in primo piano la collaborazione e la condivisione tra amministrazioni ripromettendosi di promuovere protocolli d’intesa ed accordi per:
- la costituzione di tavoli e gruppi di lavoro;
- l’avvio di progettualità congiunte;
- la capitalizzazione delle soluzioni realizzate dalla PA in open source ecc.
Obiettivo del Piano relativamente all’interoperabilità è l’uso della PDND (Piattaforma Digitale Nazionale Dati) già citata. Tale piattaforma rende possibile l’interoperabilità dei sistemi informativi mediante l’accreditamento, l’identificazione e la gestione dei livelli di autorizzazione dei soggetti abilitati ad operare sulla stessa, nonché la raccolta e conservazione delle informazioni relative agli accessi e alle transazioni effettuate suo tramite. La scadenza per il lancio effettivo di questa piattaforma è fissata dal Piano per dicembre 2022 e tale scadenza ha portato allo slittamento di circa due anni, ad esempio, della raccolta preliminare delle API su Developers.italia.it (da dicembre 2020 a dicembre 2022) o dell’impegno per le PA di popolare il Catalogo con le API conformi alla Linea guida sul Modello di Interoperabilità per la PA (da gennaio 2021 a gennaio 2023).
La sicurezza informatica
L’ultimo capitolo dedicato alle componenti tecnologiche riguarda la sicurezza informatica. Anche qui una importante discontinuità avvenuta con l’istituzione recente dell’Agenzia per la Cybersicurezza nazionale e con il decreto attuativo del perimetro di sicurezza nazionale cibernetica. Tali provvedimenti pongono la cybersecurity a fondamento della digitalizzazione della Pubblica Amministrazione e del Sistema Italia.
In primo piano in questa edizione, come per altro anche nella precedente, la necessaria azione per una maggiore consapevolezza delle amministrazioni, dei loro dirigenti e dei loro dipendenti riguardo ai rischi. Gli obiettivi proposti dal piano sembrano, in questa area, non particolarmente ambiziosi, ma è vero che partono da un livello molto basso. Si consideri che a dicembre 2020 la baseline di conoscenza della normativa sulla sicurezza da parte non di semplici dirigenti pubblici, ma dei Responsabili della Transizione Digitale (RTD) era di poco superiore al 50%.
Slittano anche qui di un anno e mezzo, da giugno 2021 a dicembre 2022, due scadenze fondamentali: l’emanazione delle Linee guida per lo sviluppo e la definizione del modello di riferimento per i CERT di prossimità e soprattutto la pubblicazione dell’aggiornamento delle attuali Misure minime di sicurezza ICT per le pubbliche amministrazioni.