Arrivano importanti novità per il processo di realizzazione del “Polo Strategico nazionale” che rappresenta certamente un obiettivo basilare nel percorso di modernizzazione dell’apparato burocratico nazionale, che deve necessariamente erogare risposte adeguate alle esigenze sempre più complesse e variegate di cittadini, famiglie imprese.
La cordata capitanata da TIM e composta anche da CDP Equity, Leonardo, Sogei, che ha avviato ufficialmente le attività del PSN lo scorso dicembre 2022, ha reso noto un serrato cronoprogramma destinato non solo a raggiungere tutti i traguardi prefissati dal Piano Nazionale di Ripresa e Resilienza ma addirittura ad accelerare i tempi portando “a bordo” prima del previsto anche gli enti periferici dell’articolata macchina burocratica nazionale.
Polo Strategico Nazionale, il difficile viene ora: perché la migrazione delle PA non sarà semplice
La newco non solo ha confermato la volontà di completare la migrazione di almeno 280 amministrazioni entro il 2026 ma ha anche annunciato di voler portare nel nuovo quartier generale un consistente numero di PA locali fino a questo momento tenute fuori da ogni conteggio ufficiale.
L’ambizioso (forse troppo?) target fissato dalla RTI prevede di portare il 75% delle amministrazioni italiane ad utilizzare i servizi cloud entro il 2026 grazie all’implementazione di una architettura estremamente innovativa, performante e sicura.
Non sarà certamente un’operazione semplice e richiederà una forte opera di sensibilizzazione, formazione ed informazione, soprattutto alla luce delle ormai note resistenze e diffidenze degli enti locali che temono di perdere, insieme ai Centri di Elaborazione Dati, anche competenze e professionalità oggi in grado di fornire risposte rapide e personalizzate in base alle necessità di volta in volta emergenti dai territori.
Le tappe di un progetto partito oltre due anni fa
Nel corso di una intervista rilasciata al Sole 24 ore, l’amministratore delegato della nuova compagine, Emanuele Iannetti, ha anche ripercorso la storia di un progetto nato oltre due anni fa quando le 4 società che oggi compongono l’RTI chiamata a gestire il PSN hanno presentato congiuntamente al Ministro dell’Innovazione Tecnologica e della Transizione Digitale una proposta consistente, in estrema sintesi, “nell’erogazione di soluzioni e servizi cloud a sostegno della PA nell’ottica di assicurare il maggior livello possibile di efficienza, sicurezza e affidabilità dei dati”.
All’esito di una lunga istruttoria condotta dal Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri, che ha valutato anche le proposte pervenute da altre due cordate (Almaviva – Aruba da un lato e Fastweb – Engineering dall’altro), il progetto è stato prescelto quale base per la successiva gara a procedura aperta, che si è svolta in ossequio a quanto previsto dall’articolo 183 del D.Lgs 50 del 2016 (meglio conosciuto come “Codice degli appalti”) e che ha visto il “soggetto promotore” utilizzare il cosiddetto “diritto di prelazione” per pareggiare l’offerta del duo Fastweb – Aruba ed ottenere il prestigioso affidamento.
Lo scorso 21 dicembre, infine, il PSN è stato ufficialmente collaudo ed è divenuto pienamente operativo nelle sedi di Acilia e Pomezia nel Lazio e Rozzano e Santo Stefano Ticino in Lombardia, consentendo di rispettare perfettamente i tempi delle milestone prevista dal PNRR.
E’ stato anche varato il nuovo sito ufficiale (in verità al momento davvero “minimale”) all’interno del quale sono stati resi disponibili il template del “Piano dei Fabbisogni”, la documentazione contrattuale e le FAQ connesse alle modalità di adesione alla convenzione.
La grafica (spartana) del sito ufficiale del PSN
Il processo di onboarding
Insieme alle prime attività del PSN è partito, di fatto, il processo di “onboarding” degli enti sul Cloud nazionale che, in estrema sintesi, segue il percorso ormai consolidato e conosciuto già adottato da diversi anni per le Convenzioni CONSIP: una volta acquisiti i requisiti dell’amministrazione, il fornitore (ossia la cordata capitanata da TIM e composta anche da Leonardo, Cassa Depositi e Prestiti e SOGEI) dovrà presentare “progetto del piano dei fabbisogni” contenente la descrizione dei servizi, la relativa quantificazione economica coerente con il listino di gara ed “piano di migrazione di massima.”
La PA interessata, all’esito delle proprie verifiche, può richiedere eventuali modifiche e sottoscrivere, al termine del processo, il contratto esecutivo con il PSN.
Il meccanismo di adesione appare estremamente fluido e ben congeniato: se, infatti, le esigenze di un’Amministrazione dovessero trovare corrispondenza all’interno del listino approvato in sede di gara, sarà possibile “acquistare” direttamente i servizi compilando i quadri di dettaglio in cui si articola il capitolo 7 del Piano dei Fabbisogni; in caso contrario, l’ente potrà indicare un prospetto sintetico dei servizi da attivare insieme ad una ipotesi economica di riferimento.
Il Piano dei Fabbisogni
Il documento, invero, permette alle amministrazioni di esprimere le proprie esigenze in termini di trasferimento del parco applicativo esistente verso la grande nuvola pubblica ma anche di qualificare e dimensionare i servizi richiesti, a regime, al Polo Strategico Nazionale.
Si tratta, invero, di un file in formato docx composto da 7 capitoli che guidano, in maniera estremamente intuitiva, gli enti centrali e periferici nel processo di definizione del proprio contesto di riferimento.
Le caratteristiche del nuovo Polo Strategico
Nel proprio comunicato, la NewCo afferma anche come la missione del Polo Strategico Nazionale sia quella di “garantire la massima sicurezza dei dati e dei servizi critici e strategici del Paese attraverso un’infrastruttura cloud efficiente e affidabile, che favorisca il processo di trasformazione digitale della Pubblica Amministrazione offrendo servizi pubblici di maggiore qualità”.
La società di progetto, in particolare, “intende accompagnare le amministrazioni pubbliche nell’adozione di soluzioni cloud che sviluppino la digitalizzazione della P.A. e consentano maggior efficienza in grado offrire servizi innovativi a cittadini e imprese, razionalizzando la spesa pubblica e riducendo l’impatto energetico”.
Per comprendere al meglio le caratteristiche del costruendo PSN, particolarmente utile è il contenuto del “progetto di fattibilità” nel quale è, tra l’altro, specificato come l’obiettivo sia quello di “fornire alla PA una serie di strumenti innovativi a servizio della transizione digitale”, basandosi essenzialmente sui principi di sicurezza, interoperabilità, trasparenza e portabilità delle applicazioni e dei dati.
In particolare, l’intera architettura si snoda lungo quattro traiettorie fondamentali:
- La progettazione e la gestione delle infrastrutture, che focalizzerà la propria attenzione sulle tematiche della sicurezza, dell’affidabilità, della disponibilità e della scalabilità dei servizi e delle applicazioni gestiti; il progetto, a tal proposito, prevede l’utilizzo di architetture di rete, Data Center e interconnessioni digitali finalizzate a garantire fin dalla progettazione tutti i criteri di sicurezza.
- Il sistema di governance amministrativo e tecnologico, che assicurerà il controllo dei processi, dell’accesso ai dati e della protezione rispetto ai principi di sovranità e di trasparenza, in linea con quanto previsto dalla Strategia “Cloud Italia”.
- Le tecnologie e le scelte architetturali, che saranno improntate ai principi del cosiddetto “multicloud” in modo tale da garantire interoperabilità, flessibilità e scalabilità;
- L’inclusione della innovazione proveniente anche da soluzioni di Cloud Provider Internazionali (Hyperscaler o CSP), con l’obiettivo di tutelare la titolarità, la sicurezza e la piena proprietà dei dati.
Il PSN è stato, inoltre, pensato e progettato per permettere a tutte le PA di scegliere i servizi più idonei alle loro necessità, così da garantire il perseguimento degli obiettivi istituzionali di ogni ente ma soprattutto permettere di rispondere alle articolate esigenze dei cittadini, delle famiglie e delle imprese.
A tal proposito, di seguito sono riportati alcune immagini estratte dalla documentazione di gara che sintetizzano l’infrastruttura digitale presente nella proposta selezionata dal Governo:
Attraverso il Polo Strategico Nazionale ogni Pubblica Amministrazione sarà anche posta nelle condizioni di selezionare le soluzioni cloud più adatte a garantire innovazione ma anche tutela dei dati personali, privacy, sicurezza, compliance, efficienza e sovranità del dato.
A tal fine, il progetto prescelto prevede l’implementazione di due macroregioni (poste rispettivamente al Nord ed al Centro Italia) che garantiranno, grazie a datacenter di ultima generazione, la prosecuzione delle attività vitali anche a fronte di eventi anomali di elevata entità:
Il nuovo quartier generale informatico pubblico dovrà naturalmente essere continuamente allineato al quadro normativo comunitario e nazionale oltre che alle best practice ed agli standard internazionali, come di seguito sintetizzato:
I Servizi offerti dal nuovo Polo Strategico
Il costruendo PSN dovrà garantire, in linea con quanto previsto dallo standard internazionale ISO 20001 per la gestione dei servizi IT in maniera continuativa e sistematica, l’erogazione di servizi specialistici focalizzati sui temi della sicurezza, della connettività e dell’affidabilità.
Le funzioni offerte dal Polo saranno, in particolare, classificate nelle seguenti due macrocategorie.
- Servizi Core, ossia direttamente riconnessi agli obiettivi istituzionali delle PA:
- Servizi Infrastrutturali on-demand:
- Industry Standard (Hosting, Housing, IaaS, PaaS, BaaS, CaaS); o Public Cloud PSN Managed;
- Secure Public Cloud;
- Hybrid Cloud on PSN Site;
- Servizi di Migrazione
- Servizi Infrastrutturali on-demand:
- Servizi “Opzionali”, che rappresentano funzioni “ortogonali” rispetto alle missioni di ogni singolo Ente:
- Servizi di Evoluzione (“Re-Platform” e “Re-Architect”);
- Professional Services;
- Business & Culture Enabling;
Sono stati individuati anche i seguenti servizi di natura “trasversale”, che interessano tutti gli ambiti di funzionamento del PSN:
| Servizi | Industry Standard | Hybrid Cloud on PSN Site | Secure Public Cloud | Public Cloud PSN- Managed | ||||||
| Housing | Hosting | IaaS | CaaS | PaaS | BaaS | |||||
| Facility | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Connectivity | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Operational Continuity | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Maintenance & Helpdesk | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| IT Infrastructure | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Service & SLA Management | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Monitoring | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Operational & Security Management | Physical | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Network | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Hardware | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Hypervisor | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||
| Operating System | On- Deman d | ✓ | ✓ | ✓ | Only for PaaS and CaaS Services | Only for PaaS and CaaS Services | Only for PaaS and CaaS Services | |||
| Middleware | ✓ | ✓ | Only for PaaS Services | Only for PaaS Services | Only for PaaS Services | |||||
| Runtimes | ✓ | ✓ | Only for PaaS Services | Only for PaaS Services | Only for PaaS Services | |||||
| Application | ✓ | |||||||||
| Data | ✓ | |||||||||
Le Pubbliche Amministrazioni avranno, in particolare, la possibilità di selezionare dal Catalogo un’ampia offerta di servizi, “con una proposta sempre allo stato dell’arte”, aggiornata secondo le più avanzate tendenze del mercato e allineata alle innovazioni introdotte dagli Hyperscaler.
Degni di menzione tra gli altri servizi offerti sono i seguenti.
Housing e Hosting
Il Servizio Infrastrutturale in modalità Housing Dedicato consiste nella messa a disposizione, da parte del gestore del PSN, di aree esclusive all’interno dei Data Center, dotate di tutte le infrastrutture impiantistiche e tecnologiche necessarie a garantire elevati standard qualitativi in termini di affidabilità, disponibilità e sicurezza fisica degli ambienti.
Fonte: AgID
I servizi IaaS e PaaS
In ossequio a quanto previsto dalla Strategia sul Cloud, dal Piano triennale per l’Informatica nella PA e dalle direttive dell’AgID, il nuovo PSN dovrà fornire in maniera integrata ed unitaria servizi Cloud di tipo infrastrutturali conosciuti come IaaS e PaaS.
Fonte: AgID
I servizi di tipo “Infrastructure as a Service” (IaaS) prevedono l’utilizzo, da parte dell’Amministrazione, di risorse infrastrutturali virtuali erogate in remoto.
Il “Database-as-a-Service”
Il “Database-as-a-Service” può essere considerato come un servizio in grado di consentire agli utenti di configurare, gestire e ridimensionare banche dati digitali utilizzando un insieme comune di astrazioni secondo un modello unificato, senza dover conoscere o preoccuparsi delle specifiche implementazioni di tipo tecnico.
Tutti gli aspetti connessi all’esercizio e alla gestione dell’infrastruttura, comprese le operazioni di riconfigurazione della capacità elaborativa e delle repliche, sono demandate al gestore del PSR, mentre gli utenti possono focalizzarsi sulle funzionalità applicative, con l’obiettivo di estrarre valore dai dati e valorizzare il patrimonio informativo gestito a vario titolo dalla pubblica amministrazione.
La gestione delle identità digitali
La società affidataria della gestione del PSN dovrà anche mettere anche a disposizione un servizio di “Identity Management applicativo”, che consenta di gestire in modo unificato e centralizzato l’autenticazione e l’autorizzazione degli utenti che utilizzano le applicazioni di competenza delle singole amministrazioni.
L’obiettivo principale è quello di integrare in modo semplice e nativo le differenti esigenze di gestione delle identità digitali previste dal Codice dell’Amministrazione Digitale (CAD), nel rispetto di quanto previsto dalla normativa posta a tutela della privacy, con particolare riferimento al Regolamento Generale per la Protezione dei Dati Personali (RGPD).
Le funzioni di “Big Data”
La pubblica amministrazione gestisce un patrimonio informativo di valore inestimabile, che deve essere difeso, tutelato e protetto ma anche valorizzato ed esaltato con l’obiettivo di fornire servizi a valore aggiunto alla collettività e rispondere alle esigenze sempre più complesse e variegate di cittadini, famiglie ed imprese.
L’articolata macchina statale è anche chiamata ad affrontare in maniera efficace ed efficiente le nuove sfide della cosiddetta “data economy” (ossia l’economia basata sui dati), nella quale le informazioni costituiscono una preziosa ed insostituibile “materia prima” in grado, se ben trasformata ed elaborata, di generare opportunità di sviluppo, lavoro ed inclusione sociale.
I servizi per l’Intelligenza artificiale
Il processo di digitalizzazione della pubblica amministrazione deve necessariamente fondarsi sulle migliori tecnologie emergenti e disponibili sul mercato internazionale, con l’obiettivo di rendere i servizi offerti alla collettività sempre più efficienti, efficaci ed in linea con le reali esigenze di cittadini ed imprese.
Partendo da tali premesse, il PSN dovrà garantire anche strumenti per l’applicazione dell’intelligenza artificiale, che rappresenta un campo strategico e fortemente innovativo, in grado di rivoluzionare e semplificare molti aspetti concreti della vita dell’uomo e dell’organizzazione degli Stati. Si pensi, ad esempio, ai vantaggi che l’intelligenza artificiale potrà apportare nella medicina, anche grazie all’introduzione di diagnosi “automatizzate”, nella ricerca scientifica, nell’assistenza verso gli utenti finali ed in tutti quei settori nei quali le informazioni possono essere estratte, elaborate e fornite direttamente da computer, robot o sistemi informativi, limitando o addirittura azzerando la necessità dell’intervento umano.
Backup as a Service
Proteggere le applicazioni critiche facendo leva su un servizio di backup è allo stato attuale il modo migliore per garantire la continuità operativa.
È fondamentale impostare per tutte le attività, anche e soprattutto quelle “mission critical”, un meccanismo automatico di duplicazione dei dati utilizzati e generati nelle attività quotidiane.
Tale approccio, in particolare, consente, in caso di interruzioni del servizio, attacchi informatici o perdita di informazioni, di accedere ai dati salvati e ripristinare immediatamente l’operatività di tutti i sistemi, riducendo al minimo, o addirittura azzerando, il “downtime”.
Architettura Funzionale Golden Copy
Disaster Recovery “as-a-Service” – DRaaS
Il nuovo quartier generale informatico deve anche garantire un efficace “Disaster Recovery as-a-Service” (DRaaS) con l’obiettivo di permettere agli enti centrali e periferici di ripristinare i dati e l’infrastruttura IT anche a fronte di un evento anomalo di ingenti dimensiono.
È necessario, in tale contesto, riflettere sulle possibili implicazioni della risposta a un potenziale disastro che, almeno in linea di principio, ossia escludendo i cosiddetti “falsi allarmi, è stato generato anche a causa del fallimento della “prima linea di difesa”.
In particolare, cosa succederebbe se non risultasse possibile risolvere in breve tempo un incidente e quello che inizialmente si presentava, in forma figurata, come un “principio d’incendio” si propagasse fino a bloccare totalmente una parte o la totalità delle funzionalità dei sistemi informativi, dei processi amministrativi, delle attività istituzionali?
In altri termini, quale sarebbe, ad esempio, l’impatto di un intero armadio rack non più funzionante, della perdita totale della connettività verso internet, dell’impossibilità di accedere fisicamente ad un singolo ufficio o, addirittura, a tutto lo stabile in cui sono allocati i servizi di un’amministrazione?
Ci troveremmo, in estrema sintesi, di fronte ad un secondo, e naturalmente ben più grave, fallimento: riprendendo l’esempio della città fortificata già citato nello scorso “appuntamento”, anche la seconda linea di difesa, deputata a sopperire ai possibili malfunzionamenti della cinta muraria, non è riuscita a fermare o a rallentare l’attacco esterno; archibugieri, fanti, cavalleria e soldati semplici sono stati spazzati dalla furia nemica ed ora l’intero villaggio è saccheggiato se non proprio raso al suolo.
Sarebbe, ad esempio, accettabile che un ospedale interrompesse, anche solo temporaneamente, le proprie attività a causa di un malfunzionamento esteso dei propri sistemi informativi? È possibile sospendere trattamenti medicali di vitale importanza perché non esistono meccanismi in grado di mitigare un danno strutturale, architetturale o anche “semplicemente” connesso ad un software o ad un apparato hardware?
È del tutto evidente che un sistema di protezione dalle minacce cibernetiche e, più in generale, di gestione della sicurezza delle informazioni debba prevedere strategie, piani operativi, procedure e linee guida che consentano la prosecuzione delle funzioni di “Core Business” anche a fronte di vere e proprie calamità.
La sicurezza informatica ed il perimetro cibernetico nazionale
Il progetto del PSN, infine, prevede l’offerta di servizi “CERT” (Community Emergency Response Team) e “SOC” (Security Operations Centre) e fornisce adeguati dettagli in merito alla mitigazione dei rischi operativi legati alla gestione della sicurezza informatica.
Il PSN, in particolare, fornirà la gestione della sicurezza in accordo alle responsabilità tradizionalmente definite all’interno di tutti i modelli IaaS e PaaS previsti nel progetto di fattibilità, come riportato nella figura seguente:
Gestione della Sicurezza nel PSN
Secondo quanto si legge nel documento, in particolare, l’obiettivo di fondo è “contrastare le minacce che possano mettere a repentaglio le informazioni delle Amministrazioni e l’erogazione dei servizi oggetto della fornitura”. Il soggetto aggiudicatario, pertanto, dovrà impegnarsi a “gestire la sicurezza delle informazioni garantendone la Riservatezza, l’Integrità e la Disponibilità attraverso il rispetto e l’attuazione delle Security Policy”.
In particolare, le regole, le procedure operative ed organizzative attuative dovranno essere riportate in specifiche procedure di gestione conformi allo standard ISO/IEC 27002, in linea con quanto prescritto dall’Allegato A della Circolare dell’Agenzia per l’Italia Digitale numero 1 del 14 giugno 2019 in tema di PSN nonché delle normative di settore, con particolare riferimento a quelle inerenti alla tutela dei dati personali e quelle applicabili agli “Operatori di Servizi Essenziali” (OSE).
Si tratta, invero, di previsioni estremamente importanti in quanto la pubblica amministrazione italiana deve necessariamente affrontare con estrema attenzione il tema della gestione della sicurezza delle informazioni e della “cyber-security”, che rappresenta ormai una minaccia concreta, pericolosa e sempre incombente sulla salvaguardia dei dati trattati, a vario titolo, dalle amministrazioni.
Conclusioni
È necessario, a tal proposito, considerare che, se fino a pochi anni fa, quando la gran parte degli strumenti utilizzati dalle PA erano “analogici”, il pericolo più grande per la riservatezza, l’integrità e la disponibilità di un atto pubblico era rappresentato da coloro che fisicamente avevano accesso agli uffici di un ente, ed in particolar modo alle celebri “stanze dei bottoni”, oggi dovrebbero decisamente generare maggiori ansie e preoccupazioni quei soggetti che, pur trovandosi a distanze siderali dai luoghi in cui si svolge l’azione amministrativa, hanno la possibilità di introdursi nei sistemi informativi di una PA, per carpirne informazioni, modificarne i contenuti o cancellare dati “scomodi” senza lasciare traccia.
Alla luce della repentina trasformazione della società, dell’organizzazione delle pubbliche amministrazioni e del concetto stesso di servizio offerto da un ente centrale o territoriale dello stato, è, pertanto, quanto mai urgente porsi alcuni interrogativi basilari.
