La razionalizzazione dei datacenter pubblici e la migrazione verso il cloud delle infrastrutture digitali dell’articolata macchina statale continuano ad essere, tra mille difficoltà, obiettivi strategici nell’ambito del processo di modernizzazione dell’intero sistema Paese.
Le difficoltà operative finora riscontrate ed i conseguenti ritardi nell’attuazione delle politiche originariamente pensate, però, stanno conducendo ad una graduale rivisitazione della rotta e ad una progressiva sovrapposizione di norme, circolari, disposizioni e linee guida che rischiano di generare confusione, indurre un clima di generale sfiducia e vanificare parzialmente gli sforzi compiuti.
Un ulteriore elemento di criticità è rinvenibile nella mancata “narrazione” delle variazioni apportate in corso d’opera: il nuovo Piano si limita, ad esempio, ad ignorare i Poli Strategici Nazionali che rappresentavano il fulcro della precedente strategia ed erano destinati a divenire, nelle intenzioni del legislatore, il cuore pulsante ed il cervello elettronico della nuova pubblica amministrazione digitale. Al loro posto, il documento menziona il nuovo “Polo Strategico Nazionale delle Infrastrutture Digitali” e i datacenter originariamente inseriti nel gruppo “A”, costituito da CED intermedi da dismettere nel lungo periodo.
Ma andiamo con ordine.
Le “novità” del Piano triennale
Nel capitolo dedicato alle infrastrutture, invero, il Piano Triennale per l’Informatica nella PA 2020-2022 riassume, almeno parzialmente, le tappe fondamentali di un percorso che, partito nel 2017 con la prima edizione del documento strategico, si sta rivelando sempre più articolato, complesso, irto di difficoltà ma anche caratterizzato da obiettivi e direzioni non sempre coerenti e perfettamente congruenti.
Riavvolgendo il nastro e confrontando tra loro le disposizioni adottate nel corso degli anni, infatti, è possibile individuare sostanziali modifiche rispetto alla rotta iniziale oltre che profonde differenze nell’approccio verso un argomento estremamente delicato e particolarmente “sentito” dalle pubbliche amministrazioni.
Anche gli obiettivi di medio termine appaiono decisamente ridimensionati: se, infatti, nella previsione iniziale tutti i datacenter non candidabili a “Polo Strategico Nazionale” (perché non in possesso dei requisiti necessari) avrebbero dovuto essere dismessi attraverso percorsi concordati con l’AGID, il nuovo Piano “salva” le infrastrutture originariamente classificate nel gruppo “A”, ossia dotate di misure di sicurezza inizialmente ritenute adeguate nel breve periodo, e richiede un graduale (e, come vedremo a breve, abbastanza diluito nel tempo) smantellamento dei CED inclusi nel gruppo “B” in quanto non in possesso dei requisiti minimi di sicurezza.
Più leggera, inoltre, appare l’attività di supervisione e controllo dell’Agenzia per l’Italia Digitale nei confronti delle pubbliche amministrazioni centrali e periferiche che, in sostanza, potranno riprendere (anche se in realtà non hanno mai smesso) ad investire nei propri datacenter interloquendo con AGID secondo modalità in parte più semplici rispetto al passato.
Sebbene il nuovo Piano si ponga formalmente in linea con i propri predecessori, è del tutto evidente come l’idea originaria di migrazione “immediata” verso strutture fisiche centralizzate o verso la “Nuvola Pubblica” si presenti in una versione abbastanza “sfumata” e rimodulata verso una declinazione più “realista” e “concreta” dei medesimi obiettivi strategici.
Leggendo tra le righe del documento, è possibile individuare i segni di una lunga e serrata trattativa tra il Governo e gli enti locali che hanno sempre temuto di perdere, insieme ai propri CED, anche professionalità, competenze e conoscenze oltre che opportunità di lavoro, occupazione e sviluppo per i propri territori di riferimento.
Fin dalla presentazione della strategia di razionalizzazione, infatti, le amministrazioni territoriali hanno dimostrato quanto meno un palese disinteresse, sfociato a volte in una vera e propria ostilità, verso un processo ritenuto penalizzante ed in qualche modo non compatibile con l’autonomia strenuamente difesa e rivendicata dagli enti locali.
La trasformazione (implicita) dei Poli Strategici Nazionali
Una prima importante novità che emerge dalla lettura del Piano è rappresentata dalla sostanziale trasformazione dei Poli Strategici Nazionali che erano stati originariamente ideati, pensati e progettati come veri e propri “quartieri generali” in grado di erogare servizi specialistici di natura informatica a tutte le pubbliche amministrazioni non in possesso di CED aderenti alle stringenti regole di sicurezza emanate dall’AGID (inseriti nei gruppi “A” e “B”).
Il nuovo Piano, invero, parte dalla descrizione del “Polo Strategico Nazionale delle Infrastrutture Digitali” che rappresenta l’“insieme delle infrastrutture digitali localizzate all’interno del territorio nazionale, ad alta disponibilità, che garantiscono elevati livelli di sicurezza, affidabilità ed efficienza energetica.” Secondo quanto previsto dal documento, inoltre, “tali infrastrutture ospitano anche i beni strategici ICT conferiti al perimetro di sicurezza cibernetica nazionale dalle amministrazioni che non dispongono di data center classificati come “A””.
Seppur introdotta con estrema “cautela” (è necessario leggere attentamente i diversi capoversi del Piano per ottenere il quadro completo), la novità sembra essenzialmente consistere nel fatto che il PSN sia posto a disposizione della sola pubblica amministrazione centrale (PAC) con la conseguenza che gli enti locali possano utilizzare (e lo faranno probabilmente molto più volentieri) i datacenter di classe “A” anche in maniera aggregata attraverso accordi di collaborazione e consolidamento.
In estrema sintesi, pertanto, i CED inclusi nel gruppo “A” potranno svolgere, nel contesto degli enti periferici, il ruolo originariamente assegnato ai PSN, ossia potranno diventare dei centri delegati ad ospitare dispositivi ed architetture informatiche di molteplici amministrazioni, divenendo un elemento cardine dell’infrastruttura digitale della nuova PA.
Questa scelta, invero, non appare esente da criticità: basti pensare che la Circolare AGID numero 1 del 2019 definisce i CED appartenenti al Gruppo “A” come “Data Center con carenze strutturali/organizzative considerate minori” in quanto in possesso solamente di “requisiti minimi di affidabilità e sicurezza dal punto di vista infrastrutturale e/o organizzativo”; si pensi, ad esempio, che i Centri di Elaborazione Dati candidabili a PSN dovessero ottenere una valutazione positiva in merito a tutti i 23 controlli di una speciale check-list preparata dall’Agenzia per l’Italia Digitale mentre per entrare nel Gruppo A fosse sufficiente rispettare 13 elementi della stessa griglia.
Analizzando la lista di controllo, emerge, ad esempio, come i CED potessero essere inclusi nel Gruppo A anche nel caso in cui non risultassero idonei ad “essere utilizzabili anche da altri Enti in modalità housing/hosting”.
Allo stesso modo, scorrendo ulteriormente la check-list, si può notare come i CED del “Gruppo A” possano anche non avere “capacità libera in termini di superficie, cablaggio di rete, potenza elettrica, condizionamento d’aria, per poter ospitare installazioni hardware aggiuntive.”
È ipotizzabile, pertanto, prevedere che le pubbliche amministrazioni possano migrare i propri datacenter verso strutture giudicate potenzialmente non idonee ad ospitare i servizi e i dispositivi di terze parti?
Un cambio di direzione così deciso dovrebbe condurre l’AGID verso una riclassificazione dei datacenter che possa condurre a selezionare quelli che, pur non rispondendo in pieno ai requisiti ultra-specialistici originariamente previsti per i PSN, forniscano comunque adeguate garanzie sia in termini di sicurezza per l’amministrazione proprietaria sia in funzione di eventuale condivisione con altri enti locali.
In tal senso, appare debole la previsione secondo la quale entro settembre 2021, “le PAL proprietarie di data center di gruppo A avviano piani di adeguamento sulla base del regolamento AGID per i livelli minimi di sicurezza e affidabilità dei data center A”.
Gli indicatori quantitativi
Dal punto di vista tecnico, il nuovo Piano introduce un’interessante innovazione, costituita dalla presenza, per ogni area tematica, di obiettivi operativi connessi ad indicatori numerici in grado di permettere la misurazione dei progressi verso il target finale, secondo una prassi già ampiamente utilizzata nella pubblica amministrazione nel contesto del Piano delle Performance.
Si tratta di un elemento certamente positivo che conferisce al documento una maggiore “pragmaticità” e permette a tutti gli interessati di ottenere un quadro realistico sia degli obiettivi da raggiungere che dei risultati prodotti in corso d’opera.
Focalizzando l’attenzione sulle Infrastrutture, è possibile rinvenire nel Piano i seguenti 3 obiettivi operativi connessi a 4 indicatori numerici, in merito ai quali sono individuate specifiche azioni che dovranno essere attuate dall’AGID e dalle singole pubbliche amministrazioni:
- OB.4.1 – Migliorare la qualità e la sicurezza dei servizi digitali erogati dalle amministrazioni locali favorendone l’aggregazione e la migrazione sul territorio
- R.A.4.1a – Riduzione dei data center in Gruppo B sul territorio
- Target 2020 – Baseline: 1.101 data center gruppo B di 741 PAL censiti da AGID per 33.948 CPU, 1.993 TB RAM, 107 PB Storage.
- Target 2021 – riduzione del 5% di RAM, CPU e Storage rispetto alla baseline.
- Target 2022 – riduzione del 20% di RAM, CPU e Storage rispetto alla baseline
- R.A.4.1a – Riduzione dei data center in Gruppo B sul territorio
- OB.4.2 – Migliorare la qualità e la sicurezza dei servizi digitali erogati dalle amministrazioni centrali favorendone l’aggregazione e la migrazione su infrastrutture sicure ed affidabili
- R.A.4.2a – Riduzione dei data center in gruppo B delle amministrazioni centrali.
- Target 2020 – Baseline: 88 data center gruppo B di 44 PAC censiti da AGID per 17.020 CPU, 1.520 TB di RAM, 73 PB di storage.
- Target 2021 – riduzione del 10% di RAM, CPU, storage rispetto alla baseline.
- Target 2022 – riduzione del 30% di RAM, CPU, storage rispetto alla baseline.
- R.A.4.2a – Riduzione dei data center in gruppo B delle amministrazioni centrali.
- OB.4.3 – Migliorare la fruizione dei servizi digitali per cittadini ed imprese tramite il potenziamento della connettività per le PA
- R.A.4.3a – Disponibilità di servizi di connettività Internet a banda larga e ultralarga per le PA locali
- Target 2020 – Baseline: 50 PAL aderenti all’offerta MEPA per i servizi di connettività nell’ultimo trimestre 2020.
- Target 2021 – Incremento di 150 PAL aderenti all’offerta MEPA per i servizi di connettività rispetto alla baseline.
- Target 2022 – Incremento di 250 PAL aderenti all’offerta MEPA per i servizi di connettività rispetto alla baseline.
- R.A.4.3b – Aggiornamento dei servizi di connettività a banda ultralarga nel contratto SPC connettività
- Target 2021 – Definizione di una soluzione e predisposizione di una proposta per aggiornamento del listino da parte del comitato di direzione tecnica.
- Target 2022 – Disponibilità di nuovi servizi di connettività a banda ultralarga nel contratto SPC.
- R.A.4.3a – Disponibilità di servizi di connettività Internet a banda larga e ultralarga per le PA locali
Le principali criticità
Come anticipato in precedenza, dalla lettura degli obiettivi e degli indicatori emerge un approccio decisamente più realistico e concreto, molto probabilmente determinato dalle difficoltà finora incontrate nell’attuazione di una strategia complessa e non troppo gradita agli enti, ma anche un certo “ridimensionamento” delle prospettive, che potrebbe anche condurre in futuro ad un nuovo, per quanto forzato, cambio di direzione.
Una prima considerazione da effettuare è quella connessa alla “baseline”, ossia al punto di partenza indicato negli obiettivi OB.4.1 e OB.4.2, che fissa a 1189 i Datacenter inclusi nel Gruppo “B”.
Si tratta, invero, di una quantificazione al ribasso che non tiene conto della scarsa partecipazione al censimento condotto nel 2018 (è necessario, a tal riguardo, ricordare che poco meno del 3% degli Enti censiti sull’Indice IPA ha partecipato alla rilevazione) e contraddice quanto indicato dalle circolari della stessa AGID, che prevedevano l’inclusione automatica nel gruppo “B” di tutte le amministrazioni che non avessero risposto al questionario.
Alla luce di quanto appena esposto, il numero di CED da dismettere dovrebbe essere molto più ampio e la sua esatta determinazione richiede necessariamente l’organizzazione di ulteriori censimenti, come peraltro richiesto dal già citato Decreto Rilancio.
In caso contrario, le incombenze connesse alla migrazione ricadrebbero esclusivamente su quelle pubbliche amministrazioni che, attenendosi alle disposizioni fornite da AGID, hanno risposto alla consultazione mentre sarebbero in qualche modo “salvati” gli Enti che non hanno inteso fornire un riscontro anche a fronte di molteplici sollecitazioni.
Un ulteriore elemento degno di nota è rinvenibile nei target relativi al processo di effettiva dismissione dei CED, che testimoniano, ancora una volta, in maniera indiretta, le preoccupazioni dell’Agenzia per l’Italia Digitale, soprattutto in relazione agli enti locali: basterà, ad esempio, ridurre (cumulativamente?) del 5% le dotazioni di memoria, elaborazione o storage nel 2021 (ossia a distanza di oltre un anno dalla pubblicazione del Piano) per considerare le attività in linea con il cronoprogramma concordato.
Considerando che la percentuale di riduzione prevista sale al 20% entro l’anno 2022, ossia entro l’orizzonte temporale massimo del documento strategico, si può ben capire come l’effettiva chiusura dei CED più a rischio seguirà una strada impervia e potrà concretizzarsi in un intervallo non certo di breve periodo.
È necessario anche sottolineare come per le PA proprietarie di CED inclusi nel gruppo B non sia stato disposto un divieto perentorio di effettuare spese ma sia stato al contrario confermata la possibilità di intervenire sui datacenter chiedendo una preventiva autorizzazione secondo le modalità già stabilite dalla richiamata Circolare AGID 1/2019.
Visto l’elevato numero di amministrazioni pubbliche locali e CED interessati (almeno 1101 secondo la baseline del Piano) ed il meccanismo di silenzio-assenso previsto dalla circolare, è estremamente verosimile che gli enti continueranno, anche al fine di garantire la sicurezza delle informazioni in ossequio, tra l’altro, a specifiche norme nazionali e comunitarie (si pensi, ad esempio, al GDPR) ad effettuare investimenti sui propri datacenter, rendendo ancora più difficoltoso il raggiungimento degli obiettivi prefissi.
Conclusioni
A fronte del nuovo cambio di rotta nelle strategia nazionale di razionalizzazione, si sarebbe quanto meno potuto esplicitare le “lessons learned” e spiegare le motivazioni sottese al cambio di direzione. Allo stesso modo, sarebbe estremamente interessante conoscere le ragioni di una strategia così fortemente diversificata tra la pubblica amministrazione centrale, e quella periferica.
La scelta di utilizzare i datacenter del gruppo “A” è determinata dalla volontà di preservare investimenti e competenze a livello locale? C’è qualche connessione con il numero estremamente ridotto di CED potenzialmente candidabili a PSN? I nuovi obiettivi sono il frutto di un confronto con la PA e rappresentano una soluzione maggiormente condivisa ed “accettata” dagli stakeholders?
Rispondere in maniera chiara a queste domande potrebbe certamente contribuire a far comprendere meccanismi ed equilibri che oggi appaiono (almeno dall’esterno) solamente ipotizzabili.
Resta tutta da verificare, inoltre, la scelta di continuare ad utilizzare strumenti e documenti nati nella precedente “gestione” (si pensi, ad esempio, al Censimento ed alla Circolare 1/2019) che si basavano su un modello ormai superato e che rischiano di creare effetti distorsivi nella nuova visione.
Allo stesso modo, servirà una profonda azione di armonizzazione tra le norme già adottate sull’argomento (quali, ad esempio, il già citato Decreto Rilancio), il Piano appena varato e le Regole Tecniche che l’AGID dovrà emanare nel prossimo triennio. Sono tante, infatti, le tematiche e le previsioni che rischiano di sovrapporsi e che richiederanno all’Agenzia per l’Italia Digitale un delicato quanto difficoltoso lavoro di ricucitura e progressiva rielaborazione delle regole di fondo con l’obiettivo di riprendere un cammino finora non proprio lineare.