Il processo di migrazione dei servizi offerti dalla pubblica amministrazione verso un’infrastruttura di tipo Cloud, avviato ormai da diversi anni ed oggetto di numerose rivisitazioni di natura strategica ed operativa, sembra ormai irreversibile, per ragioni tecnologiche, organizzative, di contesto ma anche in forza di specifiche previsioni normative.
Secondo quanto indicato nel Piano Nazionale di Ripresa e Resilienza, in particolare, entro il 2026 l’apparato burocratico nazionale dovrà operare prevalentemente sulla cosiddetta “Nuvola Pubblica”, superando l’attuale situazione che vede, al contrario, una forte propensione verso l’utilizzo di sistemi “on premise”.
Cloud Nazionale, la strategia istruisce PA e fornitori: ecco come e le sfide
Abbracciare una tecnologia “disruptive” come il Cloud, però, non è assolutamente un’impresa semplice e, soprattutto, trascende dai confini prettamente tecnici per abbracciare aspetti di carattere strategico, organizzativo, procedurale ed operativo, che rendono la migrazione complessa, articolata e decisamente impegnativa.
Se, in particolare, finora l’attenzione è stata rivolta soprattutto alle motivazioni ed ai benefici connessi all’adozione di tecnologie Cloud nella pubblica amministrazione, per riuscire a raggiungere l’obiettivo entro il prossimo quinquennio è fondamentale analizzare dettagliatamente gli aspetti implementativi e metodologici e realizzare una vera e propria “road map” in grado di guidare gli enti centrali e periferici verso la nuova infrastruttura ICT.
È necessario, invero, partire dalla situazione esistente sotto il punto di vista tecnico ma anche e soprattutto sotto il profilo del management e delle risorse umane presenti nelle PA italiane.
In estrema sintesi, le pubbliche amministrazioni possiedono le competenze necessarie per avviare il processo di migrazione? In un contesto nel quale la sola designazione dei Responsabili della Transizione Digitale ha rappresentato per anni (ed in parte ancora lo è) un problema apparentemente insormontabile, è ipotizzabile un coinvolgimento attivo degli enti medio-piccoli nell’attuazione di un processo così complicato? Oppure, come spesso (o quasi sempre) è accaduto finora, saranno i grandi player esterni a guidare la migrazione?
Il nodo della formazione e delle competenze
Il primo passaggio, pertanto, deve essere costituito da una forte azione di formazione, sensibilizzazione e divulgazione, che possa creare negli enti basi solide sulle quali costruire il progetto di migrazione.
Strategia Cloud Italia, affrontare il vero nodo: le competenze
Particolarmente interessante, a tal proposito, è il pensiero del Ministro per l’innovazione tecnologica e la transizione digitale, Vincenzo Colao, che, in un video messaggio pubblicato lo scorso 28 settembre in occasione dell’evento “Digitale Popolare” per la presentazione della nuova “Fondazione Italia Digitale”, ha affermato che “non c’è innovazione vera senza competenze. Il lavoro che quindi stiamo facendo per rendere il Paese più moderno, sostenibile, innovativo e competitivo deve mettere al centro proprio la valorizzazione del capitale umano”. Secondo il titolare dell’Innovazione, “oggi abbiamo l’occasione straordinaria di puntare al raggiungimento degli obiettivi europei fissati dal Digital Compass, grazie ai progetti del Piano Nazionale di Ripresa e Resilienza: dalle infrastrutture di connettività alla sanità digitale, al cloud alla sicurezza informatica dei servizi digitali. Gli investimenti in competenze digitali nel Pnrr occupano, nell’ambito di questo pacchetto di iniziative, un ruolo rilevante: avremo a disposizione più di 500 milioni di euro per raggiungere, entro 5 anni, l’obiettivo del 70% della popolazione digitalmente abile e in grado di utilizzare regolarmente l’identità digitale. Dobbiamo investire nel sistema educativo e nella formazione a tutti i livelli, promuovere la diffusione delle competenze e dei talenti nel settore pubblico e sostenere il processo di innovazione e la sperimentazione a livello imprenditoriale”.
Il ritardo dell’Italia nell’acquisizione di competenze digitali, invero, è certificato anche dall’indagine DESI che posiziona il nostro Paese al 25esimo posto in Europa, anche a causa delle scarse conoscenze della popolazione e dei funzionari della pubblica amministrazione.
Fonte: Desi 2020
L’Investimento “Abilitazione e facilitazione della migrazione al cloud” del PNRR
Il problema delle competenze e delle capacità di migrazione delle pubbliche amministrazioni verso il Cloud è stato affrontato anche dal PNRR che, nell’investimento 1.2, ha stanziato ben 1 miliardo con l’obiettivo di sviluppare un programma di supporto e incentivo per trasferire basi dati e applicazioni, in particolare rivolto alle amministrazioni locali.
Secondo quanto indicato nel Piano, le amministrazioni potranno scegliere all’interno di una lista predefinita di provider certificati secondo criteri di adeguatezza rispetto sia a requisiti di sicurezza e protezione sia a standard di performance.
L’obiettivo di fondo è quello di supportare le amministrazioni impegnate nel programma di trasformazione attraverso soluzioni integrate che includeranno competenze tecniche e risorse finanziarie.
In una logica di vera e propria “migration as a service”, il Governo sosterrà le amministrazioni nella fase di analisi tecnica e di definizione delle priorità, attraverso professionisti specializzati nella gestione amministrativa, nella contrattazione del supporto tecnico esterno necessario all’attuazione e nell’attività complessiva di project management per tutta la durata della trasformazione.
Per facilitare l’orchestrazione di questa significativa mole di lavoro, è in fase di creazione anche un gruppo di lavoro che, sotto il coordinamento del Ministro dell’Innovazione Tecnologica e della Transizione Digitale, avrà il compito di censire e certificare i fornitori idonei per ogni attività della trasformazione e, successivamente, di predisporre moduli standard di supporto, che ogni PA potrà comporre ed assemblare in base ai propri bisogni specifici.
Per gli enti periferici di dimensioni ridotte, che non possiedono le competenze e la capacità finanziaria di affrontare la migrazione in forma individuale, sarà introdotto l’obbligo di creare raggruppamenti finalizzati a gestire la transizione digitale.
Secondo quanto si legge nel testo del PNRR, inoltre, la transizione al cloud “è funzionale anche allo sviluppo di un ecosistema di imprese e startup in grado di integrare e migliorare l’offerta e la qualità di prodotti software per la PA”.
Il Piano di abilitazione al Cloud
In tale contesto, anche l’Agenzia per l’Italia Digitale ha elaborato, nel corso degli anni, un “Piano di abilitazione”, condensato in una serie di documenti tecnici, che provano a tener conto del “gap” esistente tra le competenze e le professionalità necessarie e quelle effettivamente disponibili.
In particolare, secondo l’AgID è necessario puntare in maniera forte su tre macro-aree per poter attuare in concretamente la migrazione verso il Cloud:
- Il principio Cloud First, per la definizione di nuovi progetti e per la progettazione di nuovi servizi in coerenza con il modello Cloud della PA;
- L’implementazione di una strategia di Cloud Enablement, in grado di “abilitare” la PA al processo di migrazione delle infrastrutture e delle applicazioni esistenti verso il modello Cloud della PA;
- La creazione di Centri di competenza finalizzati al consolidamento ed al potenziamento delle competenze mediante la creazione di Soggetti Aggregatori e di una “comunità allargata” di tecnici, esperti e manager dell’IT nella quale discutere, proporre standard e regolamenti, condividere informazioni, soluzioni ed esperienze ma anche aumentare l’affidabilità dei sistemi, automatizzandone le procedure.
L’Agenzia per l’Italia Digitale, nel contesto del Piano di abilitazione, ha bandito, con la collaborazione di Consip, la Gara a procedura aperta per l’affidamento di un Accordo Quadro per la fornitura di servizi cloud IaaS e PaaS in un modello di erogazione pubblico nonché per la prestazione di servizi connessi, servizi professionali di supporto all’adozione del cloud, servizi professionali tecnici a favore della Pubbliche Amministrazioni.
L’Accordo Quadro, secondo le intenzioni dell’AgID, consentirà alle PA di ridurre in modo significativo i tempi di approvvigionamento di servizi cloud e permetterà a tutti gli enti di reperire le competenze necessarie per attuare quanto previsto nel manuale di abilitazione al cloud.
Il principio Cloud First e l’investimento “Infrastrutture digitali” del PNRR
Il punto di partenza imprescindibile è sicuramente rappresentato dal principio “Cloud First” che richiede alle PA di non acquistare e non implementare, se non in casi residuali e di estrema necessità, soluzioni informatiche non basate su tecnologie Cloud.
Si tratta, come è immediatamente comprensibile, di un prerequisito di base anche perché, considerando la rapida obsolescenza delle tecnologie informatiche, in un intervallo di tempo non troppo esteso ogni Ente si troverà nelle condizioni di dover innovare il proprio parco software. Sarà fondamentale, pertanto, allocare tutti i nuovi servizi direttamente sulla Nuvola Nazionale così da evitare di rendere ancora più complessa la fase di migrazione degli asset già esistenti ed utilizzati.
In particolare, secondo l’AgID, è necessario orientare prioritariamente la propria attenzione verso i servizi SaaS nel “Marketplace Cloud” al fine di verificare la presenza di soluzioni rispondenti alle specifiche esigenze di ogni amministrazione.
Solamente in seconda battuta, gli enti dovranno considerare l’ipotesi di acquisire servizi PaaS o IaaS che, per loro natura, si prestano meno alla realizzazione di un’architettura fortemente integrata ed omogenea.
Anche questa tematica è stata trattata dal Piano Nazionale di Ripartenza e Resilienza che ha stanziato, nel cosiddetto investimento “Infrastrutture digitali”, 900 milioni con l’obiettivo di concretizzare l’“approccio “cloud first”, orientato alla migrazione dei dati e degli applicativi informatici delle singole amministrazioni verso un ambiente cloud. Questo processo consentirà di razionalizzare e consolidare molti dei data center oggi distribuiti sul territorio, a partire da quelli meno efficienti e sicuri (il 95 per cento dei circa 11mila data center/centri di elaborazione dati distribuiti utilizzati dagli enti pubblici italiani presenta oggi carenze nei requisiti minimi di sicurezza, affidabilità, capacità elaborativa ed efficienza)”.
Secondo quanto è possibile leggere nel documento, “La trasformazione è attuata secondo due modelli complementari. In funzione dei requisiti di performance e scalabilità e della sensibilità dei dati coinvolti, le amministrazioni centrali potranno migrare sul Polo Strategico Nazionale – PSN, una nuova infrastruttura dedicata cloud (completamente “privata” o “ibrida”), localizzata sul territorio nazionale e all’avanguardia in prestazioni e sicurezza, oppure migrare sul cloud “public” di uno tra gli operatori di mercato precedentemente certificati”.
La strategia di Cloud Enablement elaborata dall’AgID
Una volta definito il processo di approvvigionamento dei nuovi software, AgID ha anche messo a disposizione delle pubbliche amministrazioni due strumenti di fondamentale importanza per la gestione del “porting” dei servizi esistenti verso la nuvola pubblica, rappresentati dal “Programma di Cloud Enablement nazionale” e da un ambiente di lavoro, denominato “framework”, costituito dall’insieme di risorse, strategie operative, metodologie e strumenti necessari per attuare concretamente il “Cloud Enablement Program” della PA.
Il framework di lavoro del Cloud Enablement della PA è, a sua volta, costituito da due elementi principali, rappresentati da un’unità di controllo e molteplici unità di esecuzione, come rappresentato nella figura seguente:
Fonte: AgID
L’unità di controllo, che ha il compito di aggiornare, gestire e monitorare il framework di lavoro e il programma di Cloud Enablement, è costituita, in particolare, da un team specializzato in attività di abilitazione al cloud (supporto specialistico nella migrazione di applicazioni, data center, etc.) e rappresenta il nucleo di governance dell’intero progetto ed è chiamata a svolgere le seguenti attività:
- Definizione delle metodologie, con particolare riferimento alle attività di monitoraggio ed assessment, alle modalità di consegna ed al controllo della qualità;
- Sviluppo e mantenimento degli strumenti di lavoro;
- Program Management, che si sostanzia nella gestione del programma di Cloud Enablement, del coordinamento dei progetti e delle unità di esecuzione sul territorio;
- Controllo della qualità e confronto, attraverso opportuni strumenti (survey, design docs, test, etc), tra quanto effettivamente realizzato ed i parametri di qualità previsti dalla metodologia adottata.
- Monitoraggio dell’intero programma in termini di risultati attesi (deliverables) e parametri (KPI), anche attraverso l’implementazione di un’infrastruttura di monitoraggio ovvero un’applicazione che da un lato, abilita le PA e le unità di esecuzione ad attivare e monitorare il singolo progetto di migrazione, dall’altro, fornisce una visione complessiva dello stato di avanzamento di tutti i progetti di migrazione in atto.
Nel modello appena descritto, le “unità di esecuzione” sono i soggetti responsabili della progettazione e dell’esecuzione di uno specifico caso di migrazione cloud.
Tali fondamentali attori svolgono consulenza sul campo, progettando e implementando, insieme alle PA e ai centri di competenze, il percorso di migrazione dei servizi IT.
Fonte: AgID
Le principali attività dell’ unità di esecuzione sono:
- Attività di Assessment iniziale delle infrastrutture e delle applicazioni utilizzate dalla PA, finalizzata ad individuare la criticità di ogni applicazione ed eventuali interdipendenze. Gli output di tale fase sono rappresentati da un catalogo delle infrastrutture da dismettere e delle applicazioni da migrare e da un report nel quale sono evidenziate le possibili criticità da affrontare nella fase di migrazione.
- Progettazione del processo di migrazione, con il fine di individuare le architetture, le strategie di migrazione per le diverse applicazioni, le soluzioni cloud ed infine i tempi di esecuzione.
- Esecuzione della migrazione, che rappresenta la parte operativa di tutto il processo nella quale è eseguito quanto descritto nel piano di migrazione. Al termine di questa fase la PA dovrebbe poter disporre dei nuovi servizi IT in ambiente cloud. Tale passaggio dovrebbe svolgersi per ogni applicazione, in modo che si possa verificare il corretto funzionamento del sistema al termine di ogni iterazione.
- Revisione della sicurezza applicativa e dell’infrastruttura, finalizzata ad individuare le criticità per ogni ambito anche attraverso l’avvalimento di soggetti terzi per una migliore e più indipendente analisi del rischio. La revisione prevede l’applicazione delle misure minime di sicurezza ICT per le pubbliche amministrazioni, emanate da AgID. Nell’ambito della “web application security”, è necessario applicare i controlli legati alle vulnerabilità più comuni, menzionate in dettaglio nella celebre classifica “TOP Ten” del progetto OWASP (https://owasp.org/www-project-top-ten/).
- Retrospettiva post-migrazione e supporto, con l’obiettivo di evidenziare le problematiche emerse nelle attività di progettazione specifiche. Le cosiddette “lessons learnt”, ossia le “lezioni apprese” nel corso delle attività di implementazione, sono presentate all’unità di controllo che le consolida in una “base di conoscenza” comune.
- Formazione nei confronti dei referenti dell’amministrazione sui servizi cloud (IaaS, PaaS, SaaS) e sul loro utilizzo attraverso sessioni di formazione specialistica sulle tematiche del cloud.
- Project Management, anche attraverso o gli strumenti forniti dall’unità di controllo e le risorse cloud acquisite dalle stesse amministrazioni.
I centri di competenze
Il terzo elemento della strategia di Cloud Enablement è costituito dall’individuazione di specifici centri di competenze sul territorio che hanno lo scopo di consolidare il know how e l’esperienza relativa alla gestione dei servizi cloud nella PA ma possono anche svolgere la funzione di soggetti aggregatori, amministrando i servizi cloud per conto di altre PA, svolgendo pertanto un ruolo chiave nel modello di sviluppo della trasformazione digitale della PA.
Secondo quanto indicato dall’Agenzia per l’Italia Digitale, al termine del processo di trasformazione/migrazione verso la Nuvola Pubblica, le attività di aggiornamento, formazione, gestione del cambiamento e ottimizzazione delle risorse cloud, saranno affidate ai centri di competenze.
La roadmap della migrazione proposta dall’AgID
Partendo dalla considerazione che la migrazione dell’intero parco applicativo al cloud sia un’operazione estremamente complessa, in quanto abbraccia aspetti tecnologici, di processo e culturali, l’Agenzia per l’Italia Digitale ha sviluppato e proposto una roadmap finalizzata a far ottenere agli enti pubblici i benefici della nuova architettura in maniera graduale, durante il periodo di transizione senza attendere la conclusione dell’intero processo.
Per raggiungere il risultato appena descritto, è fondamentale, secondo AgID, procedere in modo iterativo ed incrementale, partendo da quegli applicativi che da un lato maggiormente si prestano all’adozione del paradigma cloud e dall’altro non sono direttamente connessi a servizi di “core business”, il cui malfunzionamento potrebbe provocare conseguenze rilevanti per la collettività.
Si tratta, invero, di una declinazione del modello delle “quick wins” (locuzione traducibile in italiano come “successi rapidi”), che punta a raccogliere immediato consenso anticipando i risultati positivi derivanti da un determinato processo di trasformazione o reingegnerizzazione.
Tale approccio permette, inoltre, di scoprire ed affrontare le problematiche che emergono durante l’implementazione della strategia, senza particolari pressioni legate alla criticità dell’applicativo.
La conoscenza che si acquisisce grazie alle prime, semplici sfide rappresenta un prezioso supporto nelle fasi più “calde” e complesse, riducendo il rischio connesso alle migrazioni successive.
In estrema sintesi, la roadmap proposta da AgID si articola in tre macro-fasi fondamentali:
Fase I (Ora) | Fase II (Subito dopo) | Fase III (Più tardi) |
Obiettivo: Creare i primi casi di migrazione di successo evidenziando il valore che si ottiene dalla nuova infrastruttura | Obiettivo: Sfruttando le conoscenze maturate nella fase precedente, creare altri casi di successo con migrazioni più impegnative dal punto di vista del rischio o della complessità di esecuzione | Obiettivo: Concludere la migrazione degli applicativi rimanenti, più rischiosi e più complicati basandosi sulle esperienze precedenti |
Come:
| Come:
| Come:
|
Per iniziare il percorso appena descritto, ossia per identificare gli applicativi da cui iniziare, pianificarne ed eseguirne la migrazione, il gruppo di lavoro dell’AgID propone un approccio articolato nelle seguenti macro-fasi:
- Definizione di una lista degli applicativi e dei servizi attivi, che comprenda sia i software utilizzati abitualmente che quelli connessi a specifiche necessità. L’obiettivo di fondo è quello di ottenere una visione olistica della propria organizzazione. L’Agenzia per l’Italia Digitale propone anche un modello per l’elaborazione della lista, composto dai seguenti elementi minimi:
NOME APPLICATIVO | INTERLOCUTORE | SERVIZI SUPPORTATI | LICENZE | OPPORTUNITÀ DA COGLIERE | RISCHIO | FACILITÀ DI MIGRAZIONE |
- Prioritizzazione degli applicativi, attraverso una classificazione in quattro livelli (“opportunità da cogliere”, “rischio minimo”, “semplice da migrare”, “altro”) che aiutano una valutazione orientata al valore generato, bilanciato rispetto al rischio potenziale ed alla difficoltà dell’operazione.
Fonte: AgID
- Definizione di una scheda di assessment dell’applicativo, con l’obiettivo di raccogliere le informazioni necessarie a supportare i successivi processi decisionali. Anche in questo caso, l’Agenzia per l’Italia Digitale fornisce un template, https://docs.google.com/spreadsheets/d/1P8lcsCxEXKYk7oZVoHrS6rhNmqdPz4bHfzmsmWq4akQ/edit#gid=1101730863;
- Identificazione delle strategie di migrazione possibili, per selezionare quelle più adatte per ciascun applicativo sulla base della scheda di assessment. L’obiettivo è di evidenziare le diverse opzioni disponibili prima di procedere con la scelta di quale adottare. A tal proposito, l’Agenzia per l’Italia Digitale propone il modello elaborato da NTT Data sintetizzato nella figure seguente:
- Analisi costi-benefici delle strategie di migrazione identificate per valutarne l’opportunità. L’obiettivo è identificare il modello cloud migliore in base al contesto e alle circostanze in cui l’amministrazione si trova.
- Valutazione delle competenze: uno dei fattori cruciali per il successo di un processo di migrazione sono le competenze necessarie. Attraverso uno strumento di assessment è possibile stimolare la riflessione sulle competenze necessarie rispetto a quelle disponibili, coprendo non solo l’ambito tecnologico ma tutti quelli che possono essere necessari per il successo del processo di migrazione. Per evitare il rischio lock-in, l’amministrazione deve prendersi carico delle responsabilità e delle competenze rispetto sia al centro di competenza che ad eventuali fornitori.
Fonte: AgID
- Scelta della strategia e pianificazione della migrazione con l’obiettivo di prendere una decisione informata e pianificare in maniera adeguata la migrazione.
- Esecuzione della migrazione dell’applicativo a più alta priorità. In questa fase sarà fondamentale il supporto del centro di competenza che, nella sua qualità di soggetto aggregatore, è in grado sia di ricoprire un ruolo di “consulente” per l’amministrazione durante il processo sia di consolidare la conoscenza che l’amministrazione acquisisce per condividerla poi con l’unità di controllo.
- Check dei risultati: l’ultimo passaggio operativo riguarda la riflessione sui risultati raggiunti e sull’impatto generato dall’operazione di migrazione. L’obiettivo è quello di valutare i progressi fatti e il valore dalla migrazione anche calcolando e interpretando alcuni indicatori di risultato.
Una visione di alto livello dell’approccio proposto dall’Agenzia per l’Italia Digitale, nella quale sono evidenziati sia i macro-obiettivi che le attività da porre in essere, è rappresentata nella seguente figura:
Fonte: AgID
Conclusioni
Il processo di migrazione verso il Cloud rappresenta un obiettivo strategico di primaria importanza nel percorso di modernizzazione e digitalizzazione dell’apparato burocratico nazionale. Per la sua realizzazione il Governo ha deciso di utilizzare una parte dei finanziamenti che arriveranno dall’Europea nel contesto dell’ormai celebre “Recovery Fund”.
Una volta acquisite le risorse economiche e stabilito il quadro di riferimento anche attraverso l’approvazione della “Strategia Cloud Italia”, il vero nodo è rappresentato dalla capacità della pubblica amministrazione di realizzare la complessa attività di migrazione con le competenze, gli uomini e le professionalità a propria disposizione. È necessario, in estrema sintesi, concentrarsi sulla formazione del personale, sulla definizione delle modalità operative e sulla concretizzazione di una road-map in grado di guidare concretamente gli Enti centrali e periferici nel corso dei prossimi 5 anni verso la meta della Nuvola Pubblica. L’Agenzia per l’Italia Digitale, invero, ha messo a disposizione una serie di strumenti e di documenti estremamente interessanti e molto dettagliati che devono essere, ora, opportunamente declinati nel contesto delle singole amministrazioni.