L’idea di un cloud che regga la trasformazione digitale italiana comincia a intravedersi. In una recente intervista al Sole 24 Ore, la Ministra per l’innovazione e la digitalizzazione ha esposto ulteriori previsioni operative sul tema e in particolare sulle ipotesi di realizzazione del cloud nazionale.
Per capirci qualcosa, cominciamo dal principio del cloud first.
Cloud first e piano triennale Agid
Il Piano Triennale Agid (2019-2021) stabilisce che: “le pubbliche amministrazioni, in fase di definizione di un nuovo progetto, e/o di sviluppo di nuovi servizi, in via prioritaria devono valutare l’adozione del paradigma cloud prima di qualsiasi altra tecnologia, tenendo conto della necessità di prevenire il rischio di lockin. Dovranno altresì valutare il ricorso al cloud di tipo pubblico, privato o ibrido in relazione alla natura dei dati trattati e ai relativi requisiti di confidenzialità”
In questa direzione il Piano Triennale descrive (paragrafo 3.1) le architetture e gli schemi operativi medianti i quali le PPAA devono operare per convergere verso il “Cloud per la PA”. Ad oggi è disponibile una ampia offerta di servizi certificati da AgID per soddisfare le esigenze infrastrutturali in ambito cloud per i modelli base del cloud Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS).
Naturalmente non si parte da zero e già nel 2017, in ordine al Piano Triennale vigente all’epoca, AgID con la circolare n. 5 del 30 novembre 2017 avvia il censimento del patrimonio ICT della PA.
Come è purtroppo noto le PPAA non sono sempre particolarmente reattive quindi abbiamo dati in evoluzione. In particolare l’ultimo Piano Triennale riporta una partecipazione al censimento di 778 amministrazioni, 625 di queste dichiarano di possedere data center per un totale di 927 data center. Ulteriori 157 amministrazioni hanno dichiarato di non possedere data center, oppure di utilizzare risorse in outsourcing.
Nel Piano Triennale quindi si schematizza lo stato dell’arte dei data center in modo seguente:
- candidabili a Poli strategici nazionali, ovvero che rispettano tutti i requisiti preliminari indicati all’Allegato B alla Circolare AGID n. 5 del 30 novembre 2017;
- gruppo A: data center di qualità non idonei come Poli strategici nazionali, oppure con carenze strutturali o organizzative considerate minori. Saranno strutture che potranno continuare ad operare ma per esse non potranno essere effettuati investimenti di ampliamento o evoluzione sulle infrastrutture fisiche. Sarà possibile investire solo per garantire continuità dei servizi e disaster recovery, fino ad un’eventuale migrazione su altre strutture, avvalendosi dei servizi cloud disponibili nell’ambito del Cloud della PA. La progressiva dismissione delle infrastrutture fisiche e la trasformazione dei servizi secondo il piano di abilitazione nazionale al cloud saranno oggetto di specifica attività di programmazione e sviluppo concordata con le amministrazioni delle infrastrutture afferenti al gruppo.
- Gruppo B: data center che non garantiscono requisiti minimi di affidabilità e sicurezza dal punto di vista infrastrutturale e/o organizzativo o non garantiscono la continuità dei servizi, o non rispettano i requisiti per essere classificati nelle due precedenti categorie.
Come già indicato nel Piano Triennale 2017 2019, durante il periodo di esecuzione del presente Piano, le PPAA non possono effettuare spese o investimenti in materia di data center secondo le indicazioni e le eccezioni indicate nella circolare AGID n.2 del 24 giugno 2016 e nella circolare AGID n.5 del 30 novembre 2017.
Censimento datacenter pubblici
Il censimento è proseguito fino ad oggi con i risultati definitivi che sono stati presentati la scorsa settimana e sono ripresi nella sopra citata intervista alla Ministra.
Sono 990 le amministrazioni che hanno risposto, con 1.252 data center a disposizione. Tra questi 1190 sono di Gruppo B e 62 di Gruppo A. Nel Gruppo A 35 data center sono candidabili a Poli Strategici Nazionali. Chi non ha partecipato viene automaticamente classificato come non idoneo.
I dati e le considerazioni riportate in sede istituzionale indicano anche i prossimi passi del percorso. Chi è nella Classe B ha due possibilità: passare direttamente al cloud o aggregarsi ad una classe superiore. I dati e i servizi critici (termine indefinito ma probabilmente da riferirsi alle norme sul perimetro di sicurezza cibernetica), in particolare se gestiti da PPAA centrali passeranno sotto la gestione del Polo Strategico Nazionale (la Ministra nell’intervista citata parla chiaramente di una struttura pubblica unica che sarà una joint venture tra lo Stato e i privati).
Naturalmente altre fonti istituzionali precisano meglio alcuni aspetti. Nel blog per la trasformazione digitale del ministero innovazione è stato pubblicato l’articolo: “Inizia la rivoluzione cloud: la strategia per le infrastrutture digitali della Pubblica Amministrazione” nel quale vengono ribaditi i numeri citati dalla Ministra e forniti alcuni dettagli per la migrazione verso il cloud dei soggetti obbligati.
I servizi critici vengono riproposti come servizi strategici: “Le infrastrutture che gestiscono servizi strategici dovranno essere spostate sotto la gestione diretta di un Polo strategico nazionale (Psn). Si tratta di un soggetto giuridico controllato dallo Stato che avrà a disposizione un numero ridotto di data center nazionali, su cui farà convogliare tutte le infrastrutture che oggi gestiscono i servizi strategici delle Pubbliche Amministrazioni centrali. La creazione di questo modello permetterà a un soggetto unico di gestire direttamente le infrastrutture che garantiscono il funzionamento dei servizi cruciali del Paese, garantendo il rispetto dei più elevati standard di sicurezza fisica e informatica, la massima qualità del servizio, l’efficientamento dei consumi e dei costi di gestione.”
La razionalizzazione dei datacenter non poli strategici
Per gli altri data center ci dovrà essere la prevista razionalizzazione. Tale attività, che molto spesso, coinvolge le Regioni e le società in house delle stesse sarà avviato a breve e sarà certamente molto complesso perché numerose sono le applicazioni non virtualizzate, quindi non adatte a una migrazione diretta in cloud. Il loro passaggio con cambio in servizi SaaS ha dei costi che devono essere gestiti sulla base di aggregazioni e quindi al risparmio visto il riuso possibile e indispensabile degli applicativi.
I temi del dibattito futuro sono i soliti, tempi di attuazione, gestione dei fornitori all’interno delle PPAA, razionalizzazione dei data center anche in termini applicativi con un reale sviluppo del principio normativo del riuso del software e delle architetture open source.
Di natura strettamente politica sono le scelte per la joint venture tra lo Stato e i privati per il PSN nazionale e per il ruolo dei 35 PSN individuati nel censimento.
Le scelte dovranno essere di tutela del patrimonio dati e servizi ICT nazionali. La gara ipotizzata sarà europea ma non è chiaro il ruolo delle multinazionali americane in questo scenario.
Il tema è paragonabile a tanti esempi di joint venture del passato che non sempre sono state positive. In altri casi (storico il caso SOGEI) lo Stato è stato costretto ad acquisire l’intero sistema perché non era sostenibile il meccanismo delle Gare per ovvi motivi di complessità e efficienza delle eventuali migrazioni di gestore esterno.
Il tema è chi fa che cosa in quanto, ad esempio, chi gestisce il cloud è sì controllato dallo Stato e dalle Autorità di settore, ma è lui che gestisce l’infrastruttura e quindi eventuali inadempienze sono difficilmente gestibili per ovvi motivi. Quindi lascia perplessi la scelta di un PSN nazionale con dati e servizi strategici dove ragionevolmente l’infrastruttura sarà gestita dai privati ovvero lo sterzo non sarà nelle mani dello Stato che avrà certamente il controllo, almeno teorico, della direzione da seguire ma poche possibilità di spegnere il motore e cambiare autista.
La prevista gara gestita da Consip e da allestire nell’ambito dei tempi tecnici potrà fornire ulteriori indicazioni operative.
