Le due prossime sfide della PA sono l’interoperabilità dei dati e il cloud. Se delle possibilità associate all’interoperabilità si è parlato anche in merito ad ANPR, sul cloud lo scenario sta cambiando molto velocemente grazie all’azione dell’ACN – Agenzia per la Cybersicurezza Nazionale e al MITD – Ministero dell’Innovazione e Transizione Digitale, che hanno preso il testimone dall’AGID – Agenzia per l’Italia Digitale.
Il mese di marzo 2022 si è quindi posto come un mese caldo per capire come i temi Banda ultra larga e cloud potranno svilupparsi in Italia. La sfida rimane aperta con scadenza 2026: ridurre il numero di datacenter della PA dagli 11.000 attuali, possibilmente eliminando quelli più piccoli e migliorando la cybersicurezza per preservare i dati patrimonio immateriale del nostro Paese. Per capire l’evoluzione in atto, seguiamo l’iter avvenuto nel tempo per arrivare ai giorni nostri.
Reti ultraveloci, le regole Agcom per l’accesso wholesale: cosa cambia
Cloud PA, gli albori del progetto
Il Team Digitale (TD) ha costruito il sito cloud.italia.it per cercare di focalizzare l’attenzione della PA sul tema Cloud. Questo avveniva ormai 5 anni fa quando ancora il tema cloud era lontano dagli acquisti della PA e dai suoi pensieri. In particolare il TD ha dato vita anche al Programma di abilitazione al Cloud, contenente:
- un kit che raccoglie metodologie, strumenti e buone pratiche e fornisce alle amministrazioni indicazioni per elaborare una propria strategia di migrazione dei servizi verso il cloud;
- un framework che descrive il modello organizzativo delle unità operative (unità di controllo, unità di esecuzione e centri di competenza) che eseguiranno il programma di abilitazione
Successivamente, l’Agid, che era titolare del tema Cloud per la PA, andava a definire con con le Circolari AgID n.2 e 3 del 9 aprile 2018 rispettivamente i “Criteri per la qualificazione dei Cloud Service Provider per la PA” e “Criteri per la qualificazione di servizi SaaS per il Cloud della PA” creando di fatto un marketplace dei servizi erogati dai privati/inhouse per la PA. Questo è avvenuto in attuazione del “Piano Triennale per l’informatica nella Pubblica amministrazione 2017- 2019″, approvato con DPCM del 31 maggio 2017. Ad oggi, marzo 2022, il marketplace presenta 115 Schede Infrastruttura qualificate, 814 Schede SaaS qualificate, 201 Schede PaaS qualificate, 144 Schede IaaS qualificate, 941 Fornitori registrati. Questo senza contare i fornitori in qualificazione rispettivamente sui temi SAAS, PAAS e IAAS.
Il censimento Agid
Successivamente Agid effettuava un censimento dei datacenter della PA avviato e concluso in conformità con quanto previsto dalla circolare 1/2019 e dal Piano Triennale per l’Informatica nella Pubblica amministrazione.
I dati emersi dal censimento, portano a dire che dei 1252 data center censiti 35 sono risultati candidabili all’utilizzo da parte del polo strategico nazionale (PSN); 27 sono stati classificati nel gruppo A (possono rimanere); i restanti 1190 sono stati classificati nel gruppo B (da migrare). L’82% delle PA consultate ha dichiarato di possedere un data center di proprietà, il restante 18% ha detto di affidarsi a data center di terzi.
Considerato che le PA (22.000) si stima abbiano circa 11.000 datacenter, il dato raccolto è parziale e autocompilato, del resto pur sempre un dato utile in assenza di altre informazioni.
L’impatto della pandemia
Con la pandemia, i fondi stanziati dall’Europa per la programmazione Europea e per il PNRR, e il passaggio al Governo Draghi, hanno modificato la governance del tema Cloud passando il timone al Ministero dell’Innovazione e Transizione Digitale (MITD). Probabilmente il percorso di transizione del tema era già iniziato anche prima, visto che sulla pagina di Agid associata ai data center, l’ultima comunicazione risale a Luglio 2019, con un titolo finale molto accattivante e premonitore “Entra nel vivo il processo di razionalizzazione dei data center pubblici e formazione dei PSN”. Del resto è indubbio che i due eventi sopra menzionati, con l’aggiunta dell’arrivo del Ministro Colao, esperto di telecomunicazioni e l’abbondanza di fondi, abbiano potuto accelerare il percorso.
I primi passi del Ministro riguardano immediatamente la “Strategia nazionale per la Banda Ultra Larga” – “Verso la Gigabit Society (PDF)”, approvata il 25 maggio 2021 dal Comitato interministeriale per la Transizione Digitale (CiTD) con l’obiettivo di favorire lo sviluppo delle infrastrutture di telecomunicazione, fisse e mobili. Anche perchè fare cloud con connettività ridottre, non è particolarmente semplice. Ultime notizie: la chiusura del bando in corso è slittata dal 16 marzo al 31 Marzo su richiesta di Tim e Openfiber.
La strategia Cloud Italia
Tornando al 2021, subito dopo la Strategia nazionale per la Banda Ultralarga, il Ministro Colao si occupa di Cloud e il 07 settembre 2021 viene presentata la nuova Strategia Cloud italia: il documento approfondisce aspetti strategici per il percorso di migrazione verso il cloud di dati e servizi digitali delle amministrazioni. Il testo illustra in modo chiaro i criteri di classificazione e la composizione della infrastruttura ad alta affidabilità (Polo Strategico Nazionale) che ospiterà i servizi strategici e critici.
La strategia presenta tre direttrici che sono:
- Classificare dati e servizi della PA per guidare e supportare la migrazione al cloud
- Qualificare i servizi cloud attraverso un processi di scrutinio tecnologico
- Realizzare il PSN dedicato ai servizi strategici, sotto controllo e indirizzo pubblico
I primi due punti vengono specializzati nel regolamento Cloud che è stato presentato il 15 dicembre 2021 adottato da AGID con Determinazione 628/2021.
Cosa dice il regolamento Cloud
Il Regolamento costituisce il tassello abilitante della strategia cloud italiana per l’evoluzione tecnologica delle infrastrutture digitali della Pubblica Amministrazione e per l’adozione del modello cloud per i servizi pubblici. Inoltre stabilisce che entro il 18 gennaio 2022, l’Agenzia nazionale per la cybersicurezza (ACN) (il terzo player con Agid e MITD sul tema) , d’intesa con il Dipartimento per la Trasformazione Digitale (DTD, il quarto player), avrebbe dovuto:
– predisporre il modello per la classificazione dei dati e dei servizi digitali (art.4);
– aggiornare i livelli minimi di sicurezza delle infrastrutture digitali per la PA destinate a trattare le 3 diverse tipologie di dati: strategici, critici e ordinari (art. 7);
– aggiornare le caratteristiche di qualità dei servizi cloud destinati a trattare le 3 diverse tipologie di dati e servizi delle PA (art. 8);
– definire i criteri di qualificazione dei servizi cloud per la PA secondo i 4 livelli individuati (art. 11).
E così l’ACN puntualmente il 18 gennaio 2022 ha presentato i documenti indicati con determina 306 e 307 e allegati.
Cloud PA, i prossimi interventi: la roadmap
La classificazione dei dati ad oggi è in costruzione con dei gruppi di lavoro definiti per tipologie di PA e porterà le PA stesse a dover compilare e inviare la classificazione dei dati di proprio utilizzo, entro il Giugno 2022, in modo che l’ACN possa valutarli. Questo come indicato dai Piani Triennale 2021-2023 le cui prossime scadenze sono:
● Entro giugno 2022 (o altro termine indicato nel Regolamento) – Le PAL/PAC trasmettono all’Agenzia per la cybersicurezza nazionale l’elenco e la classificazione dei dati e dei servizi digitali come indicato nel Regolamento – CAP4.PA.LA13
● Da luglio 2022 (o altro termine indicato nel Regolamento) – Le PAL aggiornano l’elenco e la classificazione dei dati e dei servizi digitali in presenza di dati e servizi ulteriori rispetto a quelli già oggetto di conferimento e classificazione come indicato nel Regolamento – CAP4.PA.LA14
● Entro gennaio 2023 (o altro termine indicato nel Regolamento) – Le PAL/PAC con data center di tipo “A” (i B nel frattempo sono spariti) adeguano tali infrastrutture ai livelli minimi di sicurezza, capacità elaborativa e di affidabilità e all’aggiornamento dei livelli minimi di sicurezza, capacità elaborativa e di affidabilità che le infrastrutture devono rispettare per trattare i dati e i servizi digitali classificati come ordinari, critici e strategici come indicato nel Regolamento – CAP4.PA.LA15
● Entro febbraio 2023 (o altro termine indicato nel Regolamento) – Le PAL/PAC con obbligo di migrazione verso il cloud trasmettono al DTD e all’AGID i piani di migrazione mediante una piattaforma dedicata messa a disposizione dal DTD come indicato nel Regolamento – CAP4.PA.LA16
L’impatto del bando PSN
Nel frattempo il 28 gennaio 2022 è stato valorizzato il terzo asse della strategia banda ultra larga mediante la pubblicazione del bando per la realizzazione del Polo Strategico Nazionale (PSN). La proposta per la creazione del Polo, su cui si basa la gara, è stata individuata dal Dipartimento per la trasformazione digitale a dicembre 2021 secondo il modello di partenariato pubblico privato e seguendo il progetto Tim-Cdp-Leonardo-Sogei. La proposta messa a gara prevede l’investimento di 723 milioni di euro da parte del soggetto aggiudicatario per l’erogazione di servizi di “public” e “private” cloud in grado di garantire supervisione e controllo da parte delle autorità preposte su dati e servizi strategici. La scadenza per la presentazione delle offerte è alle ore 16 del 16 marzo 2022 (eccoci quindi nuovamente ai giorni nostri). La tempistica prevede inoltre che entro il 31 dicembre 2022 debba essere completata la realizzazione del PSN.
La realizzazione del Polo Strategico Nazionale implementa la missione del Piano Nazionale di Ripresa e Resilienza (Missione 1, componente 1, investimento 1.1 Cloud PA/Polo Strategico Nazionale) per accelerare la trasformazione digitale della PA e ha l’obiettivo di portare il 75% (più di 200) delle amministrazioni italiane (tra PAC, ASL e PAL di grandi dimensioni) ad utilizzare servizi in cloud entro il 2026.
Tutte le amministrazioni centrali, le aziende sanitarie locali e le principali amministrazioni locali potranno attingere alle risorse economiche previste dalla Missione 1 del PNRR per migrare i dati e i servizi verso il Polo Strategico Nazionale.
Conclusione
Tutto sembra avere un filo logico, se non fosse per i tempi stretti (ormai un mantra del PNRR che ci accompagnerà per i prossimi 4 anni) e per la circolare Agid 1/2022 del 28 Febbraio, che vuole specificare che la qualificazione riferita alle Circolari AgID n.2 e 3 del 9 aprile 2018 rispettivamente sui “Criteri per la qualificazione dei Cloud Service Provider per la PA” e “Criteri per la qualificazione di servizi SaaS per il Cloud della PA” è ancora valida, ovvero:
“pur essendo state apportate numerose e significative modifiche rispetto ai requisiti contenuti negli allegati alle precedenti Circolari AgID, nelle more dei decreti del Presidente del Consiglio dei Ministri di cui all’art. 14 del Regolamento sul “Cloud della PA” e del neces- sario perfezionamento del trasferimento di competenza ed attribuzioni all’Agenzia per la Cybersicurezza Nazionale (ACN), restano ferme le attività per la qualificazione dei Cloud Service Provider (CSP) e dei servizi cloud IaaS, PaaS e dei servizi SaaS svolte da AgID”.
Il che non chiarisce molto bene il rapporto tra i QC1, QC2, QC3 e QC4 definiti da ACN e CSP definito da Agid. Del resto probabilmente si tratta di un primo passo di chiarimenti a cui ne seguiranno altri nell’integrazione derivante sia dal percorso storico sopra indicato che dalla convergenza progressiva di indicazioni di ACN, DTD, MITD e Agid.
