Cosa c’entra il Polo Strategico Nazionale con quel che resta del castello di Re Artù a Tintagel?
Il castello di Re Artù e il cloud
Il luogo è molto suggestivo, si tratta infatti di una rocca che sorge su uno sperone di roccia raggiungibile via terra con un ponte (ricostruito ai nostri tempi). Nei pressi c’è anche la grotta di mago Merlino (o così piace pensare ai turisti e ai villeggianti).
Cosa c’entra questo con il cloud? Semplice, in origine il PSN me lo immaginavo così. Una roccaforte cibernetica dove progressivamente sarebbero migrati i dati di tutte le PA, grandi e piccine. Invincibile e inattaccabile, dove i “cyber deboli “potevano rifugiarsi per difendersi dal cybercrime. Il rapporto Clusit dice che l’Italia riceve il 7.6% degli attacchi cyber mondiali, ovvero 10 volte rispetto alla popolazione che ha nel globo. E di questi, il 20% li riceve la PA. Quindi un punto di difesa è una naturale conseguenza. Forse il PSN era anche stato un po’ pensato così. Poi spesso tra l’ideazione e l’esecuzione bisogna mediare con la realtà e le cose sono andate in maniera un po’ diversa.
Ma andiamo per gradi per poi capire cosa potrebbe succedere nel 2026, a fine PNRR.
In origine fu il Team Digitale
Nel 2016 viene costituito il Team Digitale di Diego Piacentini. Tra gli obiettivi avrebbe dovuto dare una forte spinte alla “migrazione in cloud dei servizi della PA”. I più maligni diranno che Piacentini non era mago Merlino, ma la Fata Morgana, perché in verità il suo interesse era facilitare il business di Amazon. Riteniamo le accuse poco fondate: andare in cloud era già “trend obsoleto” negli States, Piacentini ha solo portato la sua esperienza e competenza. “Il Piano triennale ha introdotto il Cloud della PA, un progetto con l’obiettivo di facilitare l’adozione del modello cloud computing nelle PA italiane. L’adesione al modello Cloud della PA voleva e vuole assicurare alle pubbliche amministrazioni la possibilità di erogare servizi digitali con alti standard di sicurezza e affidabilità, oltre che architetture informatiche avanzate per il pieno controllo nella gestione dei dati, così come definito nel programma di abilitazione al cloud.”: questo recita il sito cloud.italia.it.
Per le PAL, si tratta e/o trattava di prendere i carichi (dati, applicativi, potenza di calcolo) presenti sui server posti negli scantinati, sotto le scrivanie, negli antibagno e mettere in sicurezza i dati nel cloud. Che il cloud sia più o meno sicuro, è poco rilevante rispetto alla sicurezza fisica, logica e ambientale rasentante lo zero di un server lasciato in un edificio comunale di un comune di 1000 abitanti.
Successivamente, nel 2019, viene realizzato un censimento della Corte dei conti (compilato da numerosi comuni proprio perché l’interlocutore è noto e temuto) dei datacenter della PA con classificazione A (non da smantellare), B (da smantellare).
Le componenti mancanti per la vera migrazione al cloud
Il Team Digitale capisce anche che mancano alcuni componenti per la vera migrazione al cloud, che avvia o costruisce.
La nascita del marketplace Agid
Il primo componente è un marketplace da cui comprare soluzioni cloud certificate. Nasce così il marketplace Agid, realizzato appunto insieme da Agid. Si tratta di un embrione migliorabile di quello che potrebbe diventare il marketplace ACN. Qui si possono trovare al momento soluzioni autocertificate saas, iaas, paas o csp (cloud service provide). In futuro queste soluzioni verranno verificate e certificate ACN.
La cultura mancante nelle PA
Il secondo componente mancante è la cultura per migrare al cloud. Nel sito cloud.italia.it vengono quindi inseriti un kit che raccoglie metodologie, strumenti e buone pratiche e fornisce alle pubbliche amministrazioni indicazioni per elaborare una propria strategia di migrazione dei servizi verso il cloud e un framework che descrive il modello organizzativo delle unità operative (unità di controllo, unità di esecuzione e centri di competenza) che eseguiranno il programma di abilitazione. Il kit corrisponde ad una guida pratica di indicazioni per la migrazione al cloud per una singola PA, il framework a una guida operativa per implementare una strategia complessiva di abilitazione del Paese al Cloud.
Una delle novità del modus operandi è che le componenti sono sviluppate in collaborazione con le pubbliche amministrazioni in maniera iterativa attraverso sperimentazioni e progetti pilota. A cui chi scrive ha partecipato.
Il programma di abilitazione viene proposto alle figure tecniche, esperte informatiche e responsabili della transizione al digitale, ma anche a chiunque sia coinvolto nella gestione di servizi esistenti e/o nella definizione e progettazione di nuovi servizi della Pubblica Amministrazione.
Il Polo Strategico Nazionale
Il terzo componente mancante era il PSN, il Polo Strategico Nazionale. Senza entrare nelle evoluzioni e incroci di ipotesi che hanno coinvolto il PSN, i data center esistenti delle società in house e non, incroci con Gaia-X, sovrapposizioni con gli hyperscale (Amazon, Microsoft, Google, Oracle e qualche altro minore), perlomeno del PSN si parla come del polo che ospiterà i dati della PA. Ma come farlo?
La continuità del lavoro di Piacentini dopo i primi due anni viene garantita da Attias. Con la capacità di autocritica che lo contraddistingue, Attias alla chiusura del suo incarico lascia un documento non solo con i risultati raggiunti, ma anche con cosa avrebbe voluto fare e non è riuscito o avrebbe potuto fare meglio. E tra questi c’è al punto 2: “Non sono riuscito ancora a produrre risultati tangibili (concreti e quantificabili) nella razionalizzazione delle infrastrutture digitali: i data center – o sedicenti tali – delle amministrazioni restano troppi e spesso di infima qualità. Oggi, a differenza di ieri, si parla del problema nelle stanze della politica che conta con una consapevolezza diversa, ma il problema è ancora irrisolto.”
Del resto il percorso del Team Digitale non può rimanere esterno alle istituzioni e dalle sue costole e così nasce Pago S.p.a. e il Ministro per la Trasformazione Digitale con come braccio armato il Dipartimento della Trasformazione Digitale. Il Ministro Colao, secondo Ministro dopo la Pisano, grazie al suo operato e al PNRR riesce ad avere i fondi per raggiungere l’obiettivo di realizzare una gara per il PSN che si chiude nel dicembre 2022 con assegnazione della realizzazione alla cordata Tim-Sogei-CDP-Leonardo, in partenariato pubblico privato.
Dicembre 2022, nasce il PSN
A dicembre 2022 nasce il PSN. La roccaforte è pronta!
A questo punto si potrebbe dire: obiettivo raggiunto. Il castello è pronto, i cavalieri anche, i fondi ci sono, si tratta solo di portare i dati nel PSN.
Al primo incontro con il PSN a cui ho assistito, nella speranza di vedere il cyber castello PSN pronto a ricevere i dati di tutte le PA, il ponte levatoio si è alzato parzialmente. Questo perché le logiche di mercato valgono per tutti, PSN incluso. Il messaggio è stato chiaro: PSN è un fornitore della PA. Niente di male in questo, si discosta forse un po’ dall’idea romantica che mi ero fatto all’inizio della sua ideazione, ma i tempi cambiano.
Escono così nell’ambito del PNRR, ad oggi, tre avvisi per la migrazione sul PSN di dati critici o strategici della PA. Questi riguardano la Aziende Sanitarie Locali e le ASL AO.
Quindi riassumendo, il PSN è costituito per ospitare, grazie anche ai fondi PNRR, principalmente dati critici e strategici. L’adesione è volontaria.
Cosa succederà nei Comuni italiani da qui al 2026
E i dati ordinari degli enti locali? Proviamo ad analizzare i comuni. Immaginiamo la mappa dell’Italia con i suoi 7900 campanili e che ogni comune abbia tante lucine quanti sono i software che ogni comune gestisce: una per l’anagrafe, una per la ragioneria, una per i vigili, una per la mensa, etc.
Ora immaginiamo di teletrasportarci nel 2026.
Molti fornitori medio piccoli della PA saranno spariti. Uno degli effetti di secondo ordine del PNRR è necessariamente questo: chi non riesce ad essere PA-compliant (regole ACN, collegamento a nuove piattaforme, migrazione in cloud, nuove linee guida da seguire), viene eliminato dal mercato. Certi livelli di servizio si riescono a garantire solo se strutturati.
Le lucine del 2023 si sono quindi spostate e addensate presso i fornitori della PA sopravvissuti e i loro data center, in cui i comuni hanno migrato. Ad esempio un fornitore che prima gestiva 2000 clienti distribuiti su 2000 server sparsi in 2000 comuni nel territorio italiano, ora gestisce 2000 software di backoffice (avviso 1.2) , 2000 siti (avviso 1.4.1), ipotizziamo 10 o 20 mila servizi dei comuni (avviso 1.4.1), è partner tecnologico pagoPA di 2000 comuni (1.4.3), ha un middleware/hub di gestione dei messaggi per IO (1.4.3) e Notifiche (1.4.5) per 2000 comuni, potrebbe avere anche un hub di comunicazione e logging per PDND (1.3.1.) per 2000 comuni. Di questi fornitori potrebbero essercene 5-10-20-50? Possiamo ancora definire i dati che ospitano ordinari?
Passaggio al cloud, i rischi da considerare
Il dato del singolo ente è ordinario, ma il dato di 2000 enti lo è ancora?
Se uno di questi fornitori viene “cyber-abbattuto”, possiamo ancora considerare questa situazione un problema non critico o strategico per il Paese? Abbiamo 2000 comuni fermi, come lo spieghiamo ai cittadini?
Alcune domande aperte si pongono: sono forse diventati (siamo nel 2026) “too cloud to fail” alcuni fornitori (un po’ come le banche statunitensi nel 2008)?
A questo punto i più ottimisti potrebbero dire: vero, ma i fornitori verranno controllati da ACN e comunque anche loro si appoggiano ai data center degli Hyperscaler che sono diventati regionali (italiani per la maggior parte). Per cui sono “ragionevolmente sicuri”.
Indubbio, del resto tornando alla visione romantica della storia, non è meglio se questi dati vengono fatti migrare progressivamente pur nella garanzia della “sovranità della software house” nel PSN in modo che ci sia una sicurezza garantita dai “cavalieri digitali del Tintagel nazionale, ovvero il PSN?”?
E questa “sovranità del dato e dell’applicativo” della software house, perché va garantita mentre non viene garantita la sovranità del dato del comune, visto che oggi quello che sta avvenendo è che un ente senza troppo spirito critico sta comprando tutto dallo stesso fornitore e questo comporterà che il fornitore diventerà l’ente essendo padrone del suo “sistema operativo comunale”?
Conclusioni
Questa migrazione verso il PSN dei “too cloud to fail” potrebbe inoltre essere un secondo step di migrazione del cloud della PA verso il PSN con un ulteriore controllo che ci sia anche un cambiamento dei software in ottica nativa cloud? Alcuni software della PA potranno anche passare l’asseverazione 1.2, ma in alcuni casi dire che sono cloud richiede un minimo di sforzo di fantasia considerato che sono web, non tanto cloud.
Per chiudere e tornare a Tintagel, suggestiva è anche la statua di bronzo di Re Artù, di circa 2 metri e mezzo posizionata nel punto più alto del castello, ai quattro venti della Cornovaglia (che non mancano mai). Visto dove è posizionata, sicuramente è uno che veglia sul “cloud”.
