Quando parliamo della infrastruttura IT che anche la Pubblica Amministrazione (PA) usa per fornire servizi ai cittadini, ci si trova spesso di fronte a un grande dilemma: meglio il ferro (di server e data center) o le nuvole (il cloud)? E poi ancora, nel caso si propenda per la nuvola: conviene spostare tutto sui cloud dei colossi USA, oppure no?
La risposta giusta è, come sempre, dipende. Il dilemma, insomma, non è di facile soluzione[1].
Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi
Il ferro è morto, viva il ferro
A chi mi chiede se non sia anacronistico parlare ancora oggi di “ferro”, di server fisici, ignorando l’evoluzione tecnologica del decennio appena trascorso rispondo: not so fast, come dicono in America. Dipende.
Il termine “cloud”, come sappiamo bene, racchiude molte sfumature diverse. Una nomenclatura ormai classica suddivide il tutto in:
- IaaS – Infrastruttura come servizio, ovvero server virtuali appoggiati su dei server fisici;
- PaaS – Piattaforme come servizio con componenti funzionali che gli sviluppatori possono includere nei loro applicativi;
- SaaS – Software erogato come servizio da chi lo sviluppa dalle proprie infrastrutture o poggiandosi su IaaS.
Di cosa parliamo quando parliamo di cloud per la PA
Quando parliamo di Cloud per la PA, a cosa ci riferiamo? È una domanda che ho cercato di indagare discutendo con diversi professionisti che operano nel settore.
La considerazione di base è che la nostra PA non ha esigenze uniche nel mondo, anzi: nel novero dei clienti di infrastruttura IT è un cliente “grandino”, ma piuttosto banale.
A parte i “click day” che sono eccezioni facilmente gestibili, non ci sono grandi picchi di utilizzo, e i servizi offerti sono quasi sempre un semplice scambio di dati tra cittadini e funzionari, o tra diversi enti della PA. Le parti più delicate, ovvero i pagamenti, vengono affidati –tramite un hub di intermediazione – a servizi terzi, come è giusto che sia.
E quindi ci potremmo domandare: quale scelta di cloud può essere adeguata per la PA italiana nel prossimo decennio? Passare tutto al cloud di Amazon, o Microsoft, o Alphabet/Google, usare le loro “API” – un linguaggio e modus operandi specifico di ciascun cloud provider – e dismettere ogni data center gestito internamente?
Potenzialità e rischi
Se da un lato l’adozione di questi sistemi offre potenziali possibilità di sviluppi molto sofisticati, dall’altro generano un lock-in (rimanere imprigionati) molto forte, vincolando il cliente per molti, molti anni a venire. Questo mentre sulla scena Europea si affacciano novità come Gaia-X, una proposta innovativa di cloud interoperabile proprio per limitare il lock-in dei clienti, contrariamente agli interessi dei grandi player a stelle e strisce o cinesi (Alibaba, Tencent, Baidu) ma a cui essi, per ragioni di mercato, dichiarano il futuro supporto. Come se il tacchino annunciasse festoso l’arrivo del Thanksgiving (giorno del ringraziamento).
Da un punto di vista tecnico è prevedibile che i fornitori di applicativi per la PA tenderanno sempre più ad erogarli in modalità SaaS, e le PA potranno acquistare direttamente il servizio. Si tratta perlopiù di fornitori italiani di tutte le dimensioni, poco soggetti alla concorrenza globale in quanto vincolati a specifici aspetti normativi locali, un po’ come per i commercialisti o per i notai.
Un possibile percorso
Gli obiettivi dell’IT di uno Stato dovrebbero essere: un budget contenuto, un servizio efficiente, la sicurezza dei dati, la capacità di ogni ente di costruire e mantenere servizi facilmente.
Per raggiungere questi obiettivi servirebbe un approccio “alla Russa”, cose semplici e con pochi fronzoli, concrete, solide, anche non seducenti, ma che non si rompono mai, il cui TCO (Total Cost of Ownership) è al giusto livello, e senza forti vincoli futuri.
Bisognerebbe scegliere sistemi operativi Open Source quali Linux o BSD, sicuri e ben conosciuti, con una virtualizzazione basata su Xen o addirittura container su Kubernetes.
Per i dati, usare un “data layer” con PostgreSQL e Redis (creato da un brillante italiano), due database open source usati in tutto il mondo e in grado di offrire performance adeguate.
Le alternative dei Big
E infine, veniamo al cuore del dilemma: spostare tutto sui cloud dei colossi USA, oppure no? Ci sono due modi per farlo, e uno dei due potrebbe risultare molto pericoloso.
Il primo modo, quello che tutto sommato potrei condividere perché minimizza costi e rischi tecnologici, è di usare AWS, GCP e Azure (le tre cloud di Amazon, Alphabet/Google e Microsoft) in maniera “stupida”, cioè come semplice infrastruttura efficiente ed elastica, a patto che si scenda ad un accordo commerciale conveniente per la PA, ma mantenendo la sovranità su come costruire l’architettura dei sistemi informativi. In altre parole: forti sconti, e niente furbizie.
Il negativo di questa scelta è che si allontanano competenze che potrebbero tornare utili in futuro, e la cui carenza forzerebbe scelte non ottimali negli anni a venire; e non parlo del signore che sposta pezzi di ferro (server) col muletto all’interno del data center, parlo di chi si occupa di rete, sicurezza, efficienza energetica dei data center della PA italiana.
Trascuro gli aspetti giuridici legati alle sentenze della Corte Europea di Giustizia e quelli geopolitici dovuti alla sostanziale impossibilità di controllo tecnico di ciò che realmente fa il software di base del Cloud. Sono temi che esulano dalla mia competenza e che richiedono valutazioni di giuristi.
Il secondo modo, che potrebbe risultare invece molto pericoloso, è quello di legarsi mani e piedi a una tecnologia di una azienda specifica, sposarne la filosofia di sviluppo, e ritrovarsi in un matrimonio dal quale non si può più uscire, con rischi di vario tipo.
Uno di questi rischi, spesso trascurato, è che il cloud provider potrebbe stancarsi e cambiare idea – uno dei grandi investitori in Google/Alphabet, di cui non posso fare il nome, si chiede da anni se Google riuscirà mai a fare soldi con GCP, e stando alle nostre conversazioni potrebbe non succedere mai. Per i più informati basta guardare cosa è successo con Google Stadia, il servizio che avrebbe dovuto diventare il riferimento per i videogames online di tutto il mondo: lanciato con grande clamore, dichiarato morto nel giro di un anno.
Conclusioni
Mi sto permettendo di lanciare “bordate” a destra e a manca, senza risparmiare quasi nessuno. Perché? Dopo dodici anni all’estero sono tornato in Italia per fare qualcosa di bello nel nostro amato paese, che si sta giusto rialzando dopo un anno in trincea a combattere l’epidemia, e vorrei tanto che nell’ambito che conosco bene, l’IT e la tecnologia, succedessero le cose giuste, visto che le risorse, le menti e le capacità ci sono tutte.
Col Covid, tutto sommato, ce la siamo cavata bene, meglio di altri paesi teoricamente più tecnologici di noi (ricordiamoci che la Gran Bretagna e la Svezia all’inizio scommettevano sull’immunità di gregge, per poi fare una clamorosa marcia indietro); possiamo essere un esempio per l’Europa anche in questo ambito.
Sarebbe un peccato sprecare questa occasione.
Il benessere di un paese dipende anche dalla qualità dei servizi offerti dalla sua amministrazione; nel 2021 questa qualità non può prescindere dalle scelte strategiche che riguardano l’infrastruttura IT. E quindi, ferro o nuvole? La risposta é: un dirigibile in fibra di carbonio. Non l’ha ancora visto nessuno, nel mondo; facciamoglielo vedere noi.
Note
- Sono stato tra i primi a occuparmene, ho iniziato nel 2008 e per una dozzina di anni ho girato il mondo (Europa, Asia-Pacifico, Americhe) per Amazon per spiegare a startup, aziende e governi come e quando adottare il “cloud” di Amazon, chiamato AWS; successivamente sono stato CTO di VMware per l’offerta cloud. Dal 2012, con base a San Francisco, ho accompagnato per mano “startup” come AirBnB, Dropbox e Uber nel loro percorso verso “le nuvole”, ma anche aziende come Samsung, Vodafone, Accenture, e altre centinaia che non sto a elencare, in ogni angolo del globo. ↑
