Con la pubblicazione della “Strategia Cloud Italia”, anticipata nel corso di una conferenza stampa del Ministro Vittorio Colao, inizia a delinearsi uno dei pilastri della transizione digitale contenuto nel PNRR: “portare entro il 2025 circa il 75% delle PA italiane a utilizzare servizi in cloud”. È questo l’obiettivo che il Governo si è posto e ha dichiarato di voler raggiungere nei prossimi anni per trasformare la PA in chiave digitale.
Le informazioni formali dal punto di vista governativo al momento non sono tantissime e le dichiarazioni pubbliche sono molto istituzionali. Del resto la posta in gioco è alta e la cifra a disposizione è da capogiro, oltre un miliardo e mezzo di euro, tra migrazione e piattaforma unica dei dati. I campioni globali hanno forti interessi ed è chiaro che spingeranno per l’assegnazione dell’infrastruttura, ma anche in Italia ci sono operatori pronti a mettere in campo le loro competenze e che proveranno ad arrivare fino in fondo a una partita ancora tutta da giocare.
Cloud Nazionale, la strategia istruisce PA e fornitori: ecco come e le sfide
Le PA alla sfida della “nuvola informatica”
Con la pubblicazione del documento entra nel vivo l’indirizzo strategico per l’implementazione e il controllo di soluzioni cloud nella PA. Al tempo stesso vengono fornite le prime indicazioni per una delle attività più importanti, e al tempo stesso complesse, del processo di digitalizzazione delle PA italiane[1].
Il documento si pone, infatti, l’obiettivo di definire un piano strategico di indirizzo per l’adozione del Cloud Computing nella PA, alla luce delle sfide e dei rischi emergenti. La lettura della strategia è indispensabile per tutte le amministrazioni in quanto elenca fasi e passaggi da tenere in conto per la piena adozione del modello cloud (e quindi per la pianificazione di tutte le future scelte, anche di approvvigionamento delle amministrazioni). Già definiti i futuri passaggi: entro la fine di quest’anno si procederà a pubblicare il bando di gara per la realizzazione del Polo Strategico Nazionale; entro la fine del 2022 dovrà avvenire l’aggiudicazione del bando di gara; dal 2023 dovrà iniziare la migrazione della PA verso il PSN, da concludersi entro la fine del 2025.
Molto del successo della strategia dipenderà dalle gare e dagli accordi che saranno stipulati con gli operatori del settore. Da luglio scorso Consip è riuscita ad attivare il Lotto 1 dell’Accordo quadro multi-fornitore per i “Servizi applicativi in ottica cloud e servizi di PMO” – dedicato alle Pubbliche Amministrazioni Centrali, che potranno perciò affidare contratti esecutivi ai 4 fornitori aggiudicatari (Accenture, IBM, Enterprise Services, Almaviva) per la realizzazione di applicazioni cloud-native, la migrazione al cloud, l’evoluzione delle applicazioni esistenti, l’adeguamento e il relativo mantenimento.
Tre le sfide che la Strategia Cloud Italia intende affrontare: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali. Tra le novità – oltre all’indicazione del 2025 come termine entro cui la migrazione dovrà essere completata – c’è una maggiore enfasi sui temi della privacy e della sicurezza. Nel documento, a tal proposito, si legge che “la gestione di tali rischi, necessariamente, ha risvolti non soltanto tecnologici ma anche impatti geopolitici sulla scena internazionale che dovranno essere opportunamente considerati”.
Per questo il documento chiarisce che le scelte in materia di cloud non potranno essere guidate dalla logica del “prezzo più basso”, ma dovranno tenere sempre più conto del fatto che proteggere dati, sistemi e servizi è questione di sicurezza nazionale (non solo cibernetica).
Le tre direttrici della Strategia Cloud Italia
La strategia delineate dal Ministero si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud.
Classificazione dei dati e dei servizi. Regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. In quest’ottica la classificazione di dati e servizi, introdotta dalla strategia, li cataloga in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari).
Qualificazione dei servizi cloud. La qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati; i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative all’erogazione e alla rendicontazione del servizio.
Realizzazione del Polo Strategico Nazionale (sotto controllo e indirizzo pubblico). Il Polo Strategico Nazionale ha l’obiettivo di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza. Il Polo sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del PSN saranno pubblici e indipendenti da soggetti terzi. La gestione operativa sarà affidata a un fornitore qualificato sulla base di requisiti tecnico-organizzativi.
Come noto, legislazioni extra UE[2] possono portare, previa sussistenza delle previste circostanze, alla richiesta unilaterale al fornitore dei servizi cloud di fornire l’accesso ai dati presenti sui sistemi. Tali fattispecie comportano la possibilità, per uno Stato estero (o Paese Terzo), di accedere a dati (o flussi di dati) particolarmente sensibili e strategici per i cittadini e le istituzioni italiane.
È bene quindi che il Governo, fin da subito, determini in modo chiaro, attraverso una procedura di classificazione, le tipologie di dati che potranno essere gestiti da un fornitore extra UE attraverso un cloud pubblico e quali dati invece avranno bisogno di essere gestiti da un fornitore cloud che soddisfi specifici requisiti di sicurezza.
La classificazione dei dati e dei servizi
Il tema della regolamentazione per mitigare i rischi dell’adozione del cloud diventa cruciale. Nel documento, perciò, viene individuato un processo di classificazione dei dati e dei servizi gestiti dalle PA, che servirà nella migrazione. La classi dei dati e dei servizi sono identificate sulla base del danno che una loro compromissione, in termini di confidenzialità, integrità e disponibilità, provocherebbe al sistema Paese.
Tali classi sono:
- Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
- Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
- Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.
Tale classificazione, a prescindere dai requisiti di sicurezza o dal dettato normativo, rappresenta un utile riferimento per guidare l’analisi di impatto di una eventuale compromissione di certi dati e servizi. Ad esempio, i dati e servizi afferenti funzioni essenziali dello Stato, ovvero identificati nell’ambito del PSNC, saranno classificati come strategici, i dati sanitari dei cittadini saranno classificati come critici, mentre dati e servizi relativi a portali istituzionali delle amministrazioni saranno classificati come ordinari.
I servizi Cloud qualificati potranno essere utilizzati, in accordo alla classificazione dei dati, con i seguenti vincoli:
- le offerte di Cloud Pubblico Qualificato e Criptato, potranno ospitare dati e servizi ordinari;
- le offerte di Cloud Criptato, Privato/Ibrido “su licenza” e Privato Qualificato potranno ospitare dati e servizi critici;
- le offerte di Cloud Privato/Ibrido “su licenza” e Privato Qualificato potranno ospitare dati e servizi strategici;
Questo processo di adozione dei servizi cloud nella PA, dovrà culminare con la realizzazione di un mercato elettronico dei servizi cloud qualificati. Tale mercato, alla stregua di quanto avvenuto nel Regno Unito con il Digital Marketplace dovrà rappresentare il mezzo mediante il quale le amministrazioni saranno guidate, in accordo al processo di classificazione dei dati e dei servizi, nella scelta dei servizi cloud per loro più idonei e all’acquisto diretto con strumenti amministrativi semplificati e pre-negoziati.
Il processo di migrazione sul cloud
La migrazione verso i diversi servizi cloud qualificati e eventualmente all’interno del PSN dovrà essere governata tramite un processo centralizzato, agevole e uniforme per tutte le amministrazioni. I piani di migrazione saranno quindi definiti in accordo con il risultato della classificazione dei dati e dei servizi. La classificazione e la redazione del piano di migrazione saranno definiti e supportati, per i rispettivi profili di competenza, dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Dipartimento per la Trasformazione Digitale (DTD).
L’esito della classificazione dei dati e servizi da migrare sul Cloud (ovvero dati strategici, critici o ordinari) permetterà di individuare i piani di migrazione al cloud più idonei. Tali piani saranno validati e confermati dal Dipartimento e dall’Agenzia al fine di assicurare la congruità e il rispetto delle linee strategiche.
Azioni di supporto alle amministrazioni
Ancora da chiarire i dettagli dei “pacchetti” di supporto, che dovrebbero includere competenze tecniche e risorse finanziarie, da assicurare alle amministrazioni che aderiranno alla migrazione. In una logica di vera e propria “migration as a service”, il PNRR ha previsto appositi aiuti alle amministrazioni nella fase di analisi tecnica e di definizione delle priorità, con risorse specializzate.
Per facilitare l’orchestrazione di questa significativa mole di lavoro al Dipartimento per la Transizione Digitale è al lavoro un team incaricato di censire e certificare i fornitori idonei per ogni attività della migrazione e, successivamente, di predisporre pacchetti/moduli standard di supporto (che ogni PA combinerà a seconda dei propri bisogni specifici).
Per le PA locali minori, che non hanno la massa critica per una gestione individuale, verrà resa obbligatoria l’aggregazione in raggruppamenti ad hoc per l’esecuzione dell’attività di migrazione (secondo criteri specifici e predefiniti).
Il tasto dolente delle competenze
Il tema del supporto alle amministrazioni si lega a quello delle competenze. Nel ricordare che molti dipendenti pubblici sono andate in pensione, portando con sé la memoria storica dei sistemi in funzione, Antonio Cisternino ha giustamente toccato un tasto dolente, cioè che “le PA soffrono molto l’assenza di competenze in un panorama sempre più complesso e parcellizzato, dove solo per capire un modello di cloud o decodificare alcune linee guida servono competenze in parte o del tutto assenti”.
Il futuro “sulla nuvola” della PA digitale: meccanismi e competenze per la svolta
Non si può che essere d’accordo che le (poche) nuove assunzioni soffrono di un problema centrale: come attrarre competenze. Se la struttura salariale del lavoro pubblico non è in grado di attrarre adeguate professionalità, attirate da un mercato ICT in grado di remunerare meglio del settore pubblico, c’è da chiedersi con quali risorse si dovranno gestire i fornitori a cui si dovrà necessariamente far ricorso per la migrazione dei servizi esistenti e la realizzazione dei nuovi.
Diventa cruciale perciò mettere al centro dell’attenzione il tema della formazione, altrimenti è difficile immaginare chi possa davvero supportare la transizione di oltre 20.000 enti. Troppe amministrazioni, soprattutto a livello locale, non hanno ancora individuato il Responsabile per la Transizione Digitale, oppure hanno fatto una nomina da adempimento senza una piena consapevolezza dell’importanza del ruolo nell’attuazione del piano. La formazione degli RTD e del personale del suo ufficio resta un tema centrale per sostenere un reale cambiamento.
I nodi di una gara complessa
“Entro settembre ci aspettiamo che arrivino proposte per il polo strategico nazionale”, ha evidenziato il ministro. Colao ha chiarito che possono partecipare al progetto tutte le aziende – big tech e non, italiane e non – ma sarà l’Italia a prendere il controllo delle regole in linea con quanto previsto anche dal perimetro cibernetico. E ha precisato che il progetto “non è aperto ai paesi extra Ue, come ad esempio la Cina. C’è un muro che si chiama Europa, con le sue regole”. “La selezione – ha poi spiegato – non avverrà tramite una gara vera e propria ma tramite una proposta, che verrà pubblicata come da norme Ue, da parte di soggetti pubblici e privati che abbiano le competenze per farlo”.
Limitare la partecipazione di società di Paesi terzi sarà impresa ardua, anche perché il Governo sa bene che le quote di mercato delle infrastrutture cloud delle aziende europee rappresentano un valore residuale (inferiore al 10%) rispetto a quelle detenute dalle aziende extra UE. Tale criticità, peraltro, non è circoscritta ai soli servizi e piattaforme digitali, ma anche e soprattutto alle infrastrutture che consentono il funzionamento degli stessi.
Conclusioni
In attesa di conoscere i dettagli operativi sul bando di gara di selezione del soggetto che gestirà il Polo Strategico Nazionale, fondamentali per capire la direzione del Governo, il Ministro Colao ha promesso che la scelta dei fornitori sarà fatta valutando gli “opportuni requisiti tecnico-organizzativi” e non sarà una scelta politica, tenendo a precisare che ci sarà particolare attenzione al tema della riservatezza e della sovranità dei dati, il che farebbe escludere “invadenze” di campo da parte americana o cinese.
Dal mondo politico si alzano voci in favore di un soggetto attuatore totalmente italiano. Per i fautori dell’italianità, tale scelta, giustificata dal fatto che in Italia ci sono tantissime aziende che si confrontano con le esigenze di mercato, e in molti casi vincono anche la competizione commerciale con dei players globali, non solo darebbe il vantaggio della completa raggiungibilità normativa e investigativa su questo cloud, ma darebbe anche vantaggi economici; le risorse pubbliche verrebbero riversate nel tessuto industriale del Paese andando a consolidare quel trend che vede la committenza pubblica da sempre come un motore per le imprese, per le sue competenze e le sue professionalità, producendo effetti positivi per la crescita.
Sugli operatori italiani graverebbe un aspetto dimensionale d’impresa, su cui si può discutere, ma se venissero opportunamente consorziate e messe in rete con il mondo della ricerca e dell’università, il potenziale sarebbe enorme.
Vedremo come andrà a finire la partita, ancora tutta da giocare, tra i “giganti globali” e le “piccole realtà”. Sarà il cloud della PA un’occasione per far crescere le competenze e le imprese domestiche?
Note
- Il processo dovrebbe consentire di razionalizzare e consolidare molti dei data center oggi distribuiti sul territorio, a partire da quelli meno efficienti e sicuri. Ad oggi il 95% dei circa 11mila data center utilizzati dagli enti pubblici italiani presenta carenze nei requisiti minimi di sicurezza, affidabilità, capacità elaborativa ed efficienza. ↑
- Esempi sono il National Intelligence Law of the People’s Republic of China, il Clarifying Lawful Overseas Use of Data Act (CLOUD Act) o il Foreign Intelligence Surveillance (FISA). ↑