A seguito delle parole del Ministro per l’innovazione tecnologica e la transizione digitale Vittorio Colao sull’insicurezza dei server della Pubblica Amministrazione, il progetto per un cloud nazionale sembra aver ricevuto un’ulteriore spinta.
Intervenendo al Festival dell’Economia di Trento, l’ex Amministratore Delegato di Vodafone ha lanciato l’allarme sullo stato di sicurezza informatica dei server della Pubblica Amministrazione, asserendo che circa il 95% degli stessi sia da ritenersi insicuro. La possibile soluzione al problema, oltre ai necessari investimenti in formazione e sicurezza, potrebbe derivare, secondo quanto affermato, dall’utilizzo di “cloud più sicuri perché i dati sensibili dei cittadini e quelli meno sensibili siano tenuti in sicurezza”.
La PA italiana sul cloud: tutti i tasselli di una partita epocale
In effetti, le cronache degli scorsi mesi hanno riportato spesso di amministrazioni pubbliche rimaste vittime di attacchi informatici. Oltre ad attacchi ransomware, noti per causare importanti blocchi operativi e di conseguenza disservizi per gli utenti, spesso sono stati rinvenuti sul darkweb dati dei cittadini, con ovvie ricadute per la privacy in ottica GDPR. Ad esempio, lo scorso aprile, il comune di Brescia ha subito un attacco informatico, a seguito del quale è stato costretto a interrompere l’erogazione di diversi servizi comunali, a causa dell’inoperatività delle postazioni dei dipendenti. Successivamente, si è anche avuta conferma della sottrazione di diversi GB di dati dell’amministrazione ritrovati in vendita su un noto forum di hacker. Tra i vari estratti pubblicati figuravano email e documenti di vari dipartimenti, dai servizi scolastici al sistema che gestisce gli appalti comunali, le cui intestazioni non lasciavano dubbi sull’autenticità del materiale.
La formula “cloud first”
La necessità di dotarsi di un’infrastruttura cloud sicura e all’avanguardia era già stata cristallizzata nella formula “cloud first”, con cui il Ministro aveva inteso sottolineare il ribaltamento di prospettiva che avrebbe contraddistinto la strategia digitale italiana. Il cloud passerebbe da essere una delle opzioni disponibili a una scelta obbligata per la conservazione sicura dei dati, per la loro elaborazione e per l’offerta di servizi digitali. Questa soluzione comporterebbe una serie di benefici:
- Sicurezza: centralizzando i sistemi e riducendo la frammentazione sarà possibile investire su sistemi più avanzati e sicuri facendo leva sull’economia di scala.
- Risparmio: una volta effettuata la transizione si avrà una riduzione dei costi di gestione e manutenzione delle risorse hardware, nonché spese minori per eventuali incrementi di capacità.
- Scalabilità: sarà possibile adeguare costantemente la potenza dei sistemi a seconda della mole di lavoro richiesta, evitando così disservizi dovuti a eventuali sovraccarichi.
- Qualità: potendo erogare applicativi e servizi secondo la formula “as-a-Service” sarà possibile aggiornare costantemente l’offerta per i cittadini e agevolare l’apporto di miglioramenti qualitativi.
Un polo strategico nazionale
Per quanto riguarda i dati più sensibili, la strada scelta è quella della creazione di un Polo Strategico Nazionale a controllo pubblico che fornisca garanzie ancor più elevate in termini di sicurezza. Attualmente si stanno elaborando le proposte da parte delle imprese interessate che dovrebbero pervenire entro il mese di giugno, al fine di avere la piena operatività entro il 2022. Verosimilmente, le proposte potrebbero arrivare dai maggiori attori del mercato nazionale (tra cui ricordiamo, ad esempio, TIM, Leonardo e Fincantieri) in collaborazione con i maggiori fornitori di infrastrutture cloud a livello globale (ad esempio Google, Amazon e Microsoft).
Verso il cloud nazionale: i nodi di sovranità tra Italia, Europa, Usa
La ricetta alla base del Polo sarebbe quella di un’infrastruttura cloud le cui chiavi di accesso crittografiche siano saldamente sotto controllo pubblico, portando quindi alla certificazione di sistemi commerciali qualora si propendesse per quest’ultima soluzione. Anche qualora venisse coinvolto uno dei servizi commerciali più importanti, le società private dovrebbero comunque soddisfare precisi requisiti in termini di sicurezza.
Si potrebbe prospettare in questo modo un modello ibrido che faccia fulcro su un partenariato pubblico-privato in cui però sarebbe sempre lo Stato a validare e garantire l’efficienza dei sistemi utilizzati. Per servizi che richiedano garanzie minori in base alla tipologia di dati trattati, non si esclude la possibilità di realizzare cloud “pubblici” completamente sotto il controllo dell’amministrazione.
L’utilizzo di servizi cloud offerti da paesi terzi extra-europei
Il modello adottato, similmente a quello francese, permetterebbe l’utilizzo di servizi di cloud computing offerti da paesi terzi extra-europei a condizione di sfruttarli su licenza, garantendo così il pieno rispetto delle normative europee di settore. Infatti, qualora si lasciasse la giurisdizione in mano statunitense si ricadrebbe nell’ambito del Cloud Act, prevedendo in questo modo la possibilità per le autorità locali di accedere ai dati presenti sul cloud, anche se immagazzinati su server esteri. Invece, per le imprese europee operanti su suolo francese è prevista la possibilità di ricevere una validazione statale che le riconduca sotto la qualifica di “cloud di fiducia”. Tale qualifica, rilasciata sulla base del rispetto di stringenti norme in materia di protezione dei dati, permetterà a tali imprese di offrire i propri servizi alla Pubblica Amministrazione, la quale finora aveva potuto fare affidamento indifferentemente su provider pubblici o privati.
L’opzione Gaia-X
Una terza via sarebbe quella di adottare il sistema di Gaia-X, il cosiddetto cloud europeo promosso dalla Commissione e sponsorizzato in particolare da Francia e Germania, di cui è stato recentemente inaugurato l’hub regionale italiano sotto l’egida di Confindustria. Lo stesso Ministro Colao ha sottolineato come sia un passaggio fondamentale per rafforzare il ruolo dell’Italia e aumentarne la competitività, pur sempre in un’ottica di cooperazione europea. Anche in questo caso, il settore privato sarebbe fondamentale per la creazione dell’infrastruttura, ma la sua natura prettamente europea, slegandola quindi da operatori esteri, ne accrescerebbe senz’altro la sicurezza dato il controllo delle Istituzioni europee di cui godrebbe. Oltre alle maggiori garanzie, il progetto fungerebbe da leva per creare nuove opportunità per le imprese italiane e il fiorente ecosistema di startup, aumentando la competitività europea rispetto agli operatori extra-UE che finora hanno praticamente dominato il mercato.
Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi
La natura open source
Infine, un altro aspetto positivo del progetto è la sua natura open source votata all’interoperabilità. L’utilizzo di tecnologie libere e standard riconosciuti permetterebbe alle imprese operanti sul territorio europeo di slegarsi definitivamente dai competitor internazionali, garantendo così il pieno rispetto delle normative europee a tutela dei cittadini e ristabilendo, quindi, una sovranità digitale sui dati amministrati. Permetterebbe, inoltre, di concentrare al meglio le risorse disponibili ed evitare una frammentazione dell’infrastruttura cloud in una moltitudine di sistemi nazionali, riportando su scala europea la stessa logica accentratrice alla base della strategia nazionale.
