I pilastri su cui si basa la trasformazione digitale del Paese, e su cui l’Italia deve accelerare per poter competere alla pari con le principali economie globali, sono le cosiddette “piattaforme abilitanti”, ovvero quelle innovazioni tecnologiche che ci permettono di fruire di tutti i nuovi servizi che il mondo virtuale è in grado di offrire.
Tra questi fattori, nel contesto della pandemia di Covid-19, il cloud computing ha assunto una particolare valenza strategica permettendo a imprese, pubbliche amministrazioni e cittadini europei di poter erogare e fruire servizi a distanza e abilitando lo smart working che ha permesso a gran parte delle attività economiche di continuare a operare nonostante le limitazioni imposte dai governi.
Alla presentazione della Strategia Cloud Italia, avvenuta lo scorso 7 settembre, il Ministro Colao aveva auspicato l’arrivo di proposte per il PSN entro fine mese, puntualmente pervenute nei giorni scorsi.
Ecco nel dettaglio il contesto, la strategia e le anticipazioni sulle proposte degli operatori.
Strategia Cloud Italia, non sarà una passeggiata: i problemi da risolvere
L’importanza del cloud computing per l’avanzamento tecnologico della PA
A cavallo di Ferragosto scorso è arrivata nelle casse dello Stato la prima tranche da 24,9 miliardi di euro dei fondi del Piano nazionale di ripresa e resilienza (PNRR) che dà formalmente avvio al percorso di rilancio del Paese. Tra le principali priorità identificate dal Governo italiano nel documento, compare la digitalizzazione della pubblica amministrazione a cui saranno destinati 9,75 miliardi di euro nel prossimo quinquennio. Secondo la progettazione italiana la digitalizzazione della PA dovrà seguire un approccio “cloud first” orientato alla migrazione dei dati e degli applicativi informatici delle singole amministrazioni verso un ambiente cloud. Questa tecnologia consente alle amministrazioni di migliorare notevolmente l’erogazione di servizi, in particolare nelle aree remote (elemento cruciale per salute e scuola), creare nuove applicazioni virtualizzate e sviluppare modelli di gestione che permettono una rapida espansione dell’utilizzo delle infrastrutture in periodi di intensa attività. Le soluzioni di cloud computing appaiono particolarmente vantaggiose per gli enti locali. Infatti, oltre ad evitare la realizzazione e la gestione in casa delle infrastrutture IT (riducendo in maniera drastica i costi di progettazione, installazione e gestione di queste ultime) abbattono notevolmente i tempi di acquisizione delle tecnologie, richiedendo semplicemente la sottoscrizione di un contratto con il cloud service provider. In quest’ottica, lo studio dell’Istituto per la Competitività (I-Com) dal titolo “Una strategia cloud per un’Italia più competitiva e sicura” ha stimato un potenziale risparmio derivante dall’adozione del cloud computing nelle PA locali quantificabile in circa 1,16 miliardi di euro, di cui oltre 1 miliardo in termini di maggiore produttività e ulteriori 140 milioni in termini di minori spese di energia. Il passaggio al cloud computing risulta quindi estremamente conveniente non solo per migliorare i servizi offerti ai cittadini ma anche nell’ottica di efficientamento della spesa pubblica.
I modelli di dispiegamento del cloud computing e il tema della sovranità dei dati
Per comprendere quali possano essere le tipologie di cloud che si adattano meglio alle varie esigenze della pubblica amministrazione italiana, è utile analizzare i modelli di dispiegamento attualmente reperibili sul mercato e i loro punti di forza e debolezza. Le tipologie di dispiegamento attualmente utilizzate possono essere ricondotte a quattro categorie principali: il private cloud, il public cloud, il cloud ibrido e il multicloud. Il private cloud identifica un servizio che utilizza un perimetro specifico per delineare specifiche risorse (ad esempio i server) utilizzate da una singola organizzazione. Il public cloud prevede invece che le stesse macchine vengano messe a disposizione di un pubblico più ampio, con vantaggi per gli utenti che consistono nel poter usufruire dei servizi nel momento e nella scala di performance richiesti, riducendo quindi l’impatto degli investimenti e la gestione dei picchi di carico. I sistemi ibridi si riferiscono ad ambienti ICT in cui cloud pubblici e privati coesistono e si integrano in maniera automatizzata mentre nel multicloud le organizzazioni utilizzano più ecosistemi che però non sono interconnessi tra loro.
La scelta del modello di dispiegamento cloud da utilizzare è strettamente collegata al tema della sovranità dei dati. Se da un lato, infatti, i grandi service provider sono in grado di offrire dei servizi di altissima qualità a prezzi molto concorrenziali è necessario considerare che nessuno dei grandi player del settore è di nazionalità comunitaria.
A tal proposito la strategia non chiarisce se il criterio di selezione riguardi la nazionalità del provider o la localizzazione fisica dei data center e di conseguenza di dove sono conservati i dati. La scelta del legislatore appare quindi orientata alla necessità di trovare il giusto trade off tra qualità del servizio e sicurezza dei dati sensibili.
La strategia cloud Italia
Il modello previsto dalla Strategia nazionale sul Cloud si basa su 3 gambe: la classificazione dei dati e dei servizi, la qualificazione dei servizi cloud, il polo strategico nazionale. La prima, quella maggiormente innovativa rispetto alla vision precedente, introduce, sulla scorta del modello britannico, una classificazione dei dati – ordinario, critico, strategico – in base al potenziale danno che una loro esfiltrazione provocherebbe al sistema Paese. I dati “ordinari” sono quelli per cui un eventuale accesso terzo non provocherebbe l’interruzione di servizi dello Stato o un impatto negativo sul benessere economico e sociale del Paese. Sono considerati dati “critici” quelli che, se compromessi, potrebbero pregiudicare la continuità di funzioni dello Stato rilevanti per la società, la salute, la sicurezza. Infine, i dati “strategici” sono quelli che impattano direttamente sulla sicurezza nazionale.
Dati e servizi di grado diverso devono essere affidati a provider che garantiscono livelli di sicurezza diversi. Questo porta alla seconda gamba della strategia, ovvero la qualificazione dei servizi di cloud computing. Questo processo include a sua volta tre aspetti fondamentali, ovvero come il provider gestisce gli aspetti tecnico organizzativi del servizio, i requisiti di sicurezza e le condizioni contrattuali applicate. L’analisi degli aspetti sopracitati permette di individuare le seguenti categorie di servizi:
- Cloud Pubblico non qualificato, ovvero che non risponde ai criteri individuati in precedenza;
- Cloud Pubblico qualificato, ovvero che consente la localizzazione dei dati in Europa e il rispetto di requisiti sia di sicurezza che tecnico organizzativi;
- Cloud pubblico con controllo on-premise dei meccanismi di sicurezza, che permette di criptare i dati e consente un maggior livello di autonomia dai provider extra-UE nella gestione operativa e il controllo delle infrastrutture tecnologiche;
- Cloud privato e ibrido, che permette la localizzazione dei dati in Italia e una separazione dalle altre region pubbliche utilizzate dal provider. Questa classificazione può a sua volta essere ulteriormente suddivisa in:
- Cloud privato/ibrido su licenza, ovvero soluzioni basate sulla tecnologia hyperscaler licenziata da uno o più provider;
- Cloud Privato Qualificato, ovvero soluzioni offerte da un provider (non è chiaro se italiano, con server in Italia o con un partner tecnologico italiano che funga da “garante” dei dati) basate su tecnologie commerciali qualificate mediante procedure di scrutinio e certificazione tecnologica.
Secondo quanto emerge dalla strategia italiana i cloud pubblici non criptati, pur se qualificati, potranno ospitare solo dati e servizi sia critici che ordinari. I servizi di Cloud Pubblico Criptato, Privato/Ibrido su licenza e Privato Qualificato potranno ospitare invece dati e servizi sia critici, mentre quelli strategici potranno essere localizzati solo sugli ultimi due. Secondo la pianificazione italiana questo processo dovrà culminare nella realizzazione di un Marketplace che guidi le PA nella scelta e nell’acquisto del servizio cloud più adatto alle proprie esigenze. Tale processo dovrebbe consistere in un aggiornamento di quello già previsto per la strategia “cloud first”, sebbene non vi sia certezza su tale punto poiché nel nuovo documento non viene menzionato il legame tra le due iniziative.
Fonte: Strategia Cloud Italia
Il ruolo del Polo Strategico Nazionale
La terza gamba della strategia è dedicata allo sviluppo del Polo Strategico Nazionale (PSN), ovvero le infrastrutture ubicate sul territorio italiano utili ad erogare servizi IT alle pubbliche amministrazioni. Il PSN previsto dal piano italiano dovrà offrire garanzie di affidabilità, resilienza e indipendenza. Per tale ragione le localizzazioni fisiche dei data center dovranno essere a basso rischio di disastri naturali e garantire la migliore connettività possibile.
Il Polo Strategico Nazionale verrà gestito da un fornitore identificato sulla base di opportuni requisiti tecnico-organizzativi, il quale sarà tenuto a garantire il controllo sui dati in conformità con la normativa in materia e a rafforzare la possibilità della PA di negoziare adeguate condizioni contrattuali con i fornitori di servizi Cloud.
Il PSN dovrà garantire, sin dalla progettazione, il rispetto dei requisiti in materia di sicurezza, ad esempio PSNC e NIS, e di abilitare la migrazione, almeno inizialmente con un processo lift-and-shift, verso tipologie di servizi Cloud IaaS e PaaS. Il PSN offrirà sia servizi di cloud pubblico criptato (IT), sia tutta la gamma di servizi Cloud privato/ibrido (Cloud Privato/Ibrido su licenza e il Cloud Privato Qualificato). Il documento non chiarisce però che ruolo avranno le 35 strutture in capo dalle amministrazioni regionali già classificati come candidabili a PSN.
Le proposte degli operatori per il PSN
Allo scadere di settembre 2021, così come auspicato dal Ministro Colao, sono pervenute le proposte per la realizzazione e la gestione del Psn per il cloud. Si tratta di due iniziative che provengono da due cordate, e che sia affiancano alla manifestazione di interesse presentata a inizio agosto dal Consorzio Italia Cloud, composto da Seeweb, Sourcesense, Infordata, Babylon Cloud, Consorzio Eht e Netalia.
Una proposta di partenariato pubblico-privato per la creazione del Psn proviene dalla cordata costituita da Tim (45%), Leonardo (25%), Cdp (20%) e Sogei (10%) che si costituirebbe come NewCo con tali quote societarie in caso di aggiudicazione. L’obiettivo consiste nell’erogazione di soluzioni e servizi cloud a sostegno della PA nell’ottica di assicurare il maggior livello possibile di efficienza, sicurezza e affidabilità dei dati. Tra i soci industriali, Tim si occuperebbe di fornire infrastrutture e piattaforme cloud, Leonardo metterebbe a disposizione servizi di cybersecurity, Sogei fornirebbe servizi di business culture enablement e formazione per il personale della PA, e Cdp Equity opererebbe in qualità di socio finanziario.
Un’altra proposta per la realizzazione e gestione del Polo Strategico Nazionale è stata presentata dalla cordata Almaviva-Aruba, sempre in regime di partenariato pubblico-privato. La proposta evidenzia la totale italianità delle società coinvolte e l’immediata disponibilità delle infrastrutture, che consentirebbe il conseguimento dei risultati richiesti entro tempistiche migliorative rispetto alla pianificazione prevista nella Strategia Cloud.
La roadmap della strategia
Per quanto riguarda le tempistiche di realizzazione della strategia, il documento pubblicato individua tre fasi: entro il 2021 è prevista la conclusione della cosiddetta “Fase 1”, ovvero la pubblicazione del bando di gara per la realizzazione del PSN. La Fase 2, che si sostanzia nell’aggiudicazione e nella realizzazione fisica del PSN, dovrà finire, secondo il cronoprogramma, entro il 2022. Infine, la Fase 3 prevede la migrazione di tutto l’ecosistema IT della PA italiana in cloud. Questa fase, che dovrebbe aprirsi subito dopo la fine dei lavori sull’infrastruttura fisica a fine 2022, si chiuderà entro il 2025, in linea con gli obiettivi imposti dal PNRR.
I piani di migrazione saranno definiti in accordo con il risultato della classificazione dei dati e dei servizi. La classificazione e la redazione del piano di migrazione saranno definiti e supportati, per i rispettivi profili di competenza, dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Dipartimento per la Trasformazione Digitale (DTD). In quest’ottica è utile fare due considerazioni: in primo luogo, l’Agenzia è ancora in fase di gestazione, pertanto le operazioni di classificazione e la stessa redazione del piano di migrazione saranno inevitabilmente condizionate dall’operatività della stessa; la seconda riguarda le tempistiche di migrazione, per le quali già esiste una programmazione contenuta nel “Piano triennale AgID 20 – 22” per il quale non viene chiarito se ci sarà un aggiornamento o una ricostruzione ex-novo.
Infine, analizzando in maniera combinata le tre fasi, si osserva come non venga specificato quanta parte del PSN dovrà essere realizzata da zero e quanto verrà mutuato dalle infrastrutture esistenti. Infatti, poiché l’aggiudicazione (fine 2022) e l’inizio della migrazione (inizio 2022) risultano consequenziali, sembrerebbero non contemplati i tempi di implementazione di nuove infrastrutture, e che quindi le operazioni potrebbero consistere nel set-up e nel coordinamento di infrastrutture esistenti (o che verranno realizzate in corso d’opera).
Da questo punto di vista, la pubblicazione di ulteriori dettagli relativi alle proposte fornirà certamente delle preziose indicazioni.
