L'analisi

Strategia Cloud Italia, come avverrà la transizione? Il confronto Italia-USA

Su 1252 data center censiti da AgID nel 2020, 1190 sono risultati da dismettere: come avverrà la transizione al cloud della PA italiana? Le direttrici e gli obiettivi della Strategia Cloud Italia, come ridurre la dipendenza dai fornitori, come funziona il cloud degli USA

Pubblicato il 16 Mar 2022

Sofia Brunelli

Analista Area Digitale&ICT di AWARE Think Thank

cloud - Strategia Cloud Italia - Gaia-X

La Strategia Cloud Italia, annunciata dal ministro per l’Innovazione tecnologica e la transizione digitale Vittorio Colao nel settembre 2021, ha l’obiettivo di eliminare gli oltre 11.000 data center sparsi in tutta Italia, facendo trasmigrare su cloud i dati di almeno il 75% degli uffici pubblici italiani.

Il piano sarà completato entro il 2025 con 1,9 miliardi dal PNRR, secondo il programma Italia Digitale 2026 che prevede tra i propri pilastri proprio “Cloud e Infrastrutture Digitali” e ha sancito l’approccio “cloud first”, con la migrazione dei dati della Pubblica Amministrazione verso un ambiente cloud.

Cloud e PNRR, perché il bando del Polo strategico nazionale aiuterà a digitalizzare il Paese

Strategia Cloud Italia: il censimento AgID 2020 sui datacenter della PA

L’adozione del Cloud computing nel settore pubblico richiede un’analisi approfondita e sistematica sul modello di implementazione e il servizio cloud appropriato (privato, pubblico, community, ibrido/IaaS, PaaS, Saas), tenendo conto delle caratteristiche, vantaggi e svantaggi di ognuno.

Inoltre, richiede una valutazione adeguata dei requisiti e delle priorità dell’autorità pubblica in considerazione del carico di lavoro IT complessivo e delle applicazioni da migrare al cloud.

È di fondamentale importanza la ponderazione delle questioni relative a sicurezza, privacy, integrità, disponibilità e conformità alle leggi e ai regolamenti esistenti.

Infine, la selezione del fornitore (o dei fornitori) di cloud è cruciale non solo per la mera funzionalità del sistema ma anche per la natura strategica della scelta.

Per quanto riguarda cloud e datacenter pubblici, la razionalizzazione promossa da AgID ha dato un primo boost a una migrazione sicura al cloud, come previsto dal Piano Triennale per l’informatica nella Pubblica amministrazione 2019-2021.

Il percorso prevede la progressiva dismissione dei data center obsoleti e inefficienti, con l’obiettivo di ridurre i costi di gestione delle infrastrutture IT in favore di una migrazione verso il cloud della PA.

Il censimento è stato condotto da AgID nel 2020 su quasi mille amministrazioni con l’obiettivo di rilevare lo stato delle infrastrutture IT della PA.

Dei 1252 data center censiti:

●        35 sono risultati candidabili all’utilizzo da parte del Polo strategico nazionale, grazie all’affidabilità delle infrastrutture.

●        27 sono stati classificati nel gruppo A, ossia data center di media qualità ma non candidabili a PSN.

●        I restanti 1190 sono stati classificati nel gruppo B, cioè quei data center privi di requisiti minimi di affidabilità e sicurezza e incapaci di garantire la continuità del servizio. Il loro destino è la progressiva dismissione.

Le direttrici della Strategia Cloud Italia

Il 7 settembre 2021 il Ministro Vittorio Colao insieme a Franco Gabrielli, sottosegretario di Stato delegato alla Sicurezza, Roberto Baldoni, direttore generale dell’Agenzia per la Cybersicurezza Nazionale, e Paolo De Rosa, chief technology officer del Dipartimento per la Trasformazione digitale, ha presentato la “Strategia Cloud Italia”.

Tale strategia si sviluppa su tre direttrici:

  • la classificazione dei dati
  • la qualificazione dei fornitori di servizi cloud
  • il Polo Strategico Nazionale

Il processo di classificazione dei dati

La strategia prevede di classificare i dati in tre categorie: dati ordinari, strategici e critici, a seconda dell’entità del danno causato da una loro manomissione.

I dati ordinari sono quindi quei dati la cui violazione non pregiudicherebbe l’integrità statale: all’interno di questa categoria ricadono tutti quei dati disponibili sui portali amministrativi istituzionali.

Al contrario, un potenziale cyberattacco a dati critici, come per esempio quelli sanitari, potrebbe avere conseguenze negative sul benessere economico e sociale del Paese.

Infine, la manomissione di dati strategici, dati provenienti dal Perimetro di Sicurezza Nazionale Cibernetico (PSNC), cioè l’insieme di reti, sistemi e servizi informatici da cui dipende l’esercizio di una funzione essenziale dello Stato, potrebbe compromettere la sicurezza nazionale.

Il processo di qualificazione dei servizi cloud

Il processo di categorizzazione verrà eseguito tramite specifici questionari sottoposti alle singole amministrazioni e, a seconda della tipologia di dato, questo verrà conservato in un cloud qualificato.

Il 18 gennaio 2022 l’Agenzia per la cybersicurezza nazionale ha predisposto, in collaborazione con il Dipartimento per la trasformazione digitale, gli atti che definiscono le modalità per la classificazione dei dati e dei servizi pubblici e i requisiti per le tipologie di qualificazione dei servizi cloud della PA.

Un processo fondamentale per una migrazione al cloud uniforme e coerente.

La qualificazione dei servizi cloud mira a comprendere come viene effettuata la gestione operativa dei servizi. In particolare, vi sono tre categorie di requisiti per qualificare il cloud, in base al livello di controllo che si esercita sui dati:

  1. Gestione operativa dei servizi cloud, in particolare gli standard tecnico-organizzativi e le misure di controllo sui dati.
  2. Requisiti di sicurezza, in particolare le modalità di gestione delle chiavi di cifratura.
  3. Clausole contrattuali, con riferimento all’erogazione del servizio e alla sua rendicontazione.

Alla luce di ciò, la Strategia Cloud Italia esclude l’utilizzo del Cloud pubblico non qualificato. In questo caso, il Cloud Service Provider (CSP) non è qualificato rispetto alla normativa UE e non rispetta i requisiti tecnico-organizzativi.

I tre requisiti sopraelencati delineano perciò quattro livelli di capacità di controllo dei dati e di conseguenza quattro tipologie di cloud:

●     Cloud pubblico qualificato: rispetta il quadro legislativo europeo (GDPR e NIS). Tale servizio consente la localizzazione dei dati in UE, il rispetto di requisiti di sicurezza tecnico-organizzativi sulla base di sistemi di cifratura gestiti dal fornitore e garantisce la gestione delle chiavi di accesso ai dati in Italia da parte della PA.

●     Cloud pubblico con controllo on-premise (dei meccanismi di sicurezza): consente un controllo maggiore sui dati e servizi e sulle infrastrutture tecnologiche grazie alla possibilità di accesso al servizio attraverso software installati fisicamente nei computer.

●     Cloud privato/ibrido (IT): tali garanzie di autonomia sono ottenute mediante la gestione operativa da parte di un fornitore soggetto a vigilanza e monitoraggio pubblico. Queste implementazioni si possono distinguere tra:

○      Cloud privato/ibrido su licenza: in questo caso, i fornitori con tecnologia di cloud pubblico sono in grado di lavorare all’interno delle infrastrutture delle PA o di un loro fornitore. Oltre a garantire flessibilità e controllo sui dati, vi è anche controllo su hardware e software.

○     Cloud privato qualificato: utilizza delle architetture industry standard, ma l’intera filiera è fornita dal fornitore e consente il massimo controllo sui dati. I requisiti di sicurezza sono garantiti dalla crittografia nazionale con controllo delle chiavi in Italia.

Questa classificazione permette di adottare soluzioni specifiche per le diverse PA e di conservare i diversi tipi di dati all’interno di servizi cloud più adatti.

Perciò dati ordinari potranno essere detenuti in un cloud di tipo pubblico qualificato o pubblico criptato. I dati critici potranno invece essere conservati in cloud di tipo pubblico criptato, privato/ibrido “su licenza” o privato e infine, dati e servizi strategici potranno essere detenuti su un cloud di tipo privato/ibrido “su licenza” o privato.

L’obiettivo per i prossimi cinque anni è quello di migrare i dataset e le applicazioni di una parte consistente delle PA locali verso un’infrastruttura cloud sicura, lasciando a ciascuna amministrazione la libertà di scegliere all’interno di un insieme di cloud provider pubblici certificati. Qualora ci fossero situazioni in cui la sensibilità dei dati è tale da non ritenere accettabile una soluzione di cloud pubblico, l’amministrazione potrebbe scegliere di utilizzare invece il PSN ibrido o privato.

La classificazione dei dati e la loro conservazione in cloud diversi tentano di rispondere ai rischi posti dall’approvvigionamento da fornitori di paesi non europei, che vanno da possibili modifiche unilaterali delle condizioni dei servizi forniti, fino a rischi sistemici dovuti alla normativa in essere in tali paesi (cfr. Fisa 702 e Cloud Act) che garantiscono l’accesso ai dati presenti sui loro sistemi sebbene questi si trovino al di fuori del loro territorio.

Tali rischi lederebbero la sovranità digitale di un paese e aumenterebbero la dipendenza tecnologica nei confronti di un paese straniero. È ormai chiaro però che player di importanza internazionale come Google, Amazon e Microsoft non possono essere esclusi a priori da una partita simile. Quello che si è tentato di fare (ancora non è chiaro se con successo o meno) è escluderli dalla fornitura dei loro servizi e delle loro infrastrutture per il layer più sensibile di dati, cioè quelli strategici.

Il Polo Strategico Nazionale

Il terzo pilastro fondamentale della Strategia è la costituzione del Polo Strategico Nazionale, ossia di un’infrastruttura informatica presente in vari punti del territorio nazionale, con quattro data center collocati in almeno due regioni per garantire adeguati livelli di continuità operativa e tolleranza ai guasti.

In accordo alla classificazione fornita precedentemente, il PSN offrirà servizi di cloud privato e ibrido. Inoltre, darà supporto alle amministrazioni centrali e alle principali amministrazioni locali come, ad esempio, Regioni, ASL e città metropolitane per garantire, sin dalla progettazione, il rispetto dei requisiti in materia di sicurezza (requisiti by-design), ad esempio PSNC e NIS, e di abilitare la migrazione verso tipologie di servizi cloud IaaS e PaaS.

La gestione operativa del PSN sarà affidata a un fornitore qualificato sulla base di opportuni requisiti tecnico-organizzativi.

Il fornitore dovrà garantire il controllo sui dati in conformità con la normativa in materia. Nello specifico, come ha ricordato il ministro Colao, a dicembre 2021 è stata completata l’istruttoria di tre proposte di Partenariato Pubblico Privato, valutando favorevolmente la proposta presentata da Tim, con Cdp Equity, Leonardo e Sogei.

Il dubbio espresso nel paragrafo precedente si fonda sul fatto che Google (uno dei principali CSP americani), avviando una partnership con Tim, sarebbe il suo principale fornitore tecnologico.

Il ministro ha poi dichiarato che “la scelta è stata sostanzialmente motivata dalla piena corrispondenza tra i contenuti della proposta e i requisiti di completezza dei servizi cloud, ma anche di sicurezza dei dati strategici e critici che abbiamo indicato. Entro fine gennaio prevediamo di pubblicare e mettere a gara questo progetto selezionato. La centrale di committenza per queste gare sarà Difesa e Servizi, la società in house del ministero della Difesa. Il collaudo è programmato per la fine del 2022 e il completamento della migrazione dei dati sul cloud avverrà progressivamente dal 2023 al 2025”.

Strategia Cloud Italia: come ridurre il rischio dipendenza da fornitore

La migrazione al cloud dei dati della PA è dunque una scelta strategica dettata dalla necessità di maggiore sicurezza, privacy, competitività e una migliore fruizione dei servizi da parte dei cittadini, in particolare attraverso il processo di dematerializzazione che permette di eliminare completamente i documenti cartacei, permettendo alle loro controparti digitali di avere lo stesso valore legale e probatorio.

Come accennato in precedenza però, la scelta del tipo di cloud da adottare non può prescindere dall’analisi della tipologia di dati da trattare. Di fatto, investire in tecnologie ICT per modernizzare le infrastrutture statali è una tendenza crescente che deve essere accompagnata da una precisa analisi del contesto e delle necessità alle quali una particolare tecnologia deve rispondere.

Come si è visto, l’approccio dell’attuale governo è fortemente misto, prevedendo soluzioni cloud (pubblico, privato o ibrido) in base al grado di confidenzialità dei dati trattati.

Nonostante, dal punto di vista operativo, tale scelta comporti alcuni problemi, risulta essere una strategia fortemente coerente poiché i tre tipi di cloud rispondono ad esigenze diverse. Allo stesso tempo gli enti della Pubblica Amministrazione trattano dati di natura completamente diversa l’uno dall’altro e, di conseguenza, richiedono gradi di confidenzialità e sicurezza diversi.

Solo per citare uno dei problemi operativi appena accennati e posto dal cloud pubblico, si parla di lock-in verso il fornitore quando il cliente dipende dal punto di vista tecnologico da alcuni servizi esclusivi erogati dal fornitore.

Lo stesso Piano triennale dell’informatica per la Pubblica Amministrazione 2019-2021 stabilisce tra i suoi obiettivi la necessità di ridurre il rischio di dipendenza esclusiva dal fornitore (vendor lock-in) senza però fornire alcun tipo di raccomandazione per impedire che ciò avvenga.

Per esempio, può accadere che i CSP impongano dei blocchi all’uscita dal proprio servizio con l’intento di contenere all’interno della propria offerta i clienti ed evitare migrazioni verso i competitor.

Per questo motivo il processo di transizione da un CSP ad un altro diventa complesso, se non impossibile. Questo comporta non pochi problemi: se il CSP decide di aumentare il prezzo del servizio, l’ente a cui esso è erogato si trova in una condizione da cui è difficile sottrarsi. Perciò, mitigare questo rischio significa  analizzare con estrema attenzione le clausole contrattuali e negoziare con i provider formule che privilegino interoperabilità, flessibilità e libertà di scelta non solo sul piano del servizio core, ma anche rispetto alla personalizzazione.

Come funziona il cloud per la PA negli Stati Uniti

A sostegno della tesi “un modello cloud per rispondere a precise necessità” è utile richiamare il caso statunitense. Il governo federale degli Stati Uniti ha optato per un cloud privato fornito da Amazon Web Services (AWS). Il perché di questa scelta può essere compreso volgendo uno sguardo ai rigorosi requisiti di sicurezza degli standard federali.

Attualmente ci sono due regioni di GovCloud, US-West e US-East. Le regioni sono fisicamente situate negli Stati Uniti e sono progettate per consentire alle agenzie governative e ai loro partner di spostare i carichi di lavoro sensibili nel cloud rispettando allo stesso tempo specifici requisiti normativi e di conformità.

Tali soluzioni cloud risultano essere estremamente sicure perché conformi alla Federal Risk and Management Program (FedRAMP), alla High Department of Defense Security Requirements Guide (DoD SRG), alla politica di sicurezza dei sistemi informativi della giustizia penale (CJIS) del Dipartimento di giustizia, alle normative sul traffico internazionale di armi (ITAR) e ad altri regimi di conformità.

AWS GovCloud (US) tratta una grande varietà di dati partendo da quelle che vengono definite  informazioni non classificate controllate (CUI), ossia quelle prive di classifica di segretezza, ma ritenute meritevoli di protezione, ad esempio attraverso la limitazione dell’accesso alle sole persone che hanno necessità di trattarle per motivi attinenti al loro impiego, incarico o professione, fino a informazioni personalmente identificabili (PII) passando per le cartelle cliniche sensibili dei pazienti, i dati finanziari, quelli delle forze dell’ordine e i dati sulle esportazioni.

L’infrastruttura sicura di AWS ha aiutato le agenzie federali a espandere il cloud computing e a inserire dati governativi sensibili nel cloud. Una simile scelta deriva dalla consapevolezza che i dati del governo sono dati particolarmente vulnerabili e richiedono alti livelli di sicurezza e di riservatezza.

Conclusioni

I governi, spinti dalla necessità di una maggiore efficienza e flessibilità dei processi burocratici, una diminuzione dei costi e una maggiore trasparenza, stanno optando sempre più spesso per soluzioni cloud.

I due casi presentati, quello italiano e quello statunitense, sono esemplari per validare la tesi secondo cui il cloud computing è una tecnologia che va adattata e modellata a seconda dei bisogni: non c’è da stupirsi se gli Stati Uniti abbiano optato per un maggiore controllo sull’infrastruttura di hosting, caratteristica tipica del cloud privato, a differenza della strategia ibrida scelta dall’Italia.

Inoltre, un’infrastruttura privata implica che ogni agenzia governativa abbia il controllo su quali dati vengono condivisi e con chi, consentendo un controllo completo su ciò che viene condiviso (e, cosa più importante, su ciò che non viene condiviso).

Se da un lato, quindi, è vero che l’adozione di tecnologie ICT, come il cloud, costituiscano il reale fattore abilitante per una concreta modernizzazione della pubblica amministrazione, dall’altro è anche vero che la spinta verso la semplificazione e la revisione dei processi amministrativi non possa derivare meramente dall’adozione di modalità innovative di fruizione delle tecnologie ICT.

Si può perciò affermare che il cloud non costituisce la soluzione ma lo strumento.

Uno strumento adeguato alla digitalizzazione e la dematerializzazione ma che comporta una complessità organizzativa gestibile dall’Amministrazione Pubblica solo con un generale ripensamento dei processi amministrativi, adeguatamente adattati alle implicazioni del cloud.

___________________________________________________________________________________

Fonti bibliografiche

AgID, “Piano triennale per l’informatica nella Pubblica amministrazione 2019-2021” https://docs.italia.it/italia/piano-triennale-ict/pianotriennale-ict-doc/it/2019-2021/03_infrastrutture.html#cloud-della-pa

AgID, “Razionalizzazione del patrimonio ICT”, https://www.agid.gov.it/it/infrastrutture/razionalizzazione-del-patrimonio-ict

AWS, AWS GovCloud (US) https://aws.amazon.com/it/govcloud-us/

Dipartimento per la Trasformazione Digitale, “Strategia Cloud Italia Documento sintetico di indirizzo strategico per l’implementazione e il controllo del Cloud della PA” https://assets.innovazione.gov.it/1634299755-strategiacloudit.pdf

Ministro per l’innovazione tecnologica e la transizione digitale, “Obiettivi e iniziative per il digitale nel Piano nazionale di ripresa e resilienza”, 2021 https://innovazione.gov.it/dipartimento/focus/italia-digitale-2026/

Piano Nazionale di Ripresa e Resilienza, 23 aprile 2021 https://www.governo.it/sites/governo.it/files/PNRR.pdf

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • diversity

    Verso un mondo più accessibile: una transizione urgente

    15 Mag 2024

    di Petru Capatina

    Condividi

  • gli studi

    L’impatto dell'AI sulla privacy: come garantire un uso lecito dei dati personali?

    16 Mag 2024

    di Anna Cataleta

    Condividi

  • GESTIONE DOCUMENTALE

    Fattura elettronica e conservazione, perché puntare all'integrazione con i gestionali

    05 Feb 2024

    di Cristina Mazzani

    Condividi

Prossimo

Verso un mondo più accessibile: una transizione urgente

Articolo 1 di 4