Seppur tra innumerevoli difficoltà, avanza il processo finalizzato a razionalizzare le infrastrutture digitali della pubblica amministrazione italiana e a concretizzare la migrazione verso il cloud dei servizi erogati dall’articolata macchina statale. Le ultime novità in ordine di tempo sono arrivate direttamente dal Ministro per l’innovazione tecnologica e la transizione digitale, Vittorio Colao, che ha illustrato, nel corso di un’audizione alla Copasir ma anche in alcune interviste rilasciate ad organi di stampa nazionali, gli obiettivi prefissati dal Governo in relazione all’ormai imminente avvio delle attività connesse al PNRR.
Si tratta sicuramente di importanti passi in avanti verso la concretizzazione di un progetto partito diversi anni fa ma ancora una volta, purtroppo, il quadro generale si presenta estremamente frastagliato e non mancano all’orizzonte difficoltà di carattere operativo, metodologico ma anche e soprattutto di natura strategica.
Verso un Cloud nazionale sul modello francese
Da quanto emerge, l’Italia punta in maniera decisa su un’architettura cloud in grado di proteggere i dati gestiti dagli enti pubblici, garantire elevati livelli di sicurezza e fornire servizi di qualità elevata grazie all’utilizzo delle migliori tecnologie presenti sul mercato. La strategia proposta da Colao, invero, sembra avvicinarsi a quella descritta qualche settimana fa dal ministro francese dell’Economia, Bruno Le Maire, che, in estrema sintesi, intende garantire ai cittadini, agli Enti ed alle aziende del proprio Paese la possibilità di fruire dei servizi Cloud pubblici, tutelando, allo stesso tempo, la sovranità nazionale rispetto alle potenziali ingerenze dei colossi d’oltreoceano.
In particolare, il Ministro d’oltralpe, che ha definito il Cloud come “le fondamenta della nostra economia”, ha puntato il dito contro il cosiddetto “Cloud Act” del 2018, secondo il quale il Governo USA può accedere in qualunque momento ai dati custoditi da aziende americane anche su territorio estero, senza riconoscere alcun potere di contrasto o limitazioni alle autorità nazionali dei Paesi presso cui i data center sono installati. In linea con il proprio collega francese, Colao ha affermato che il Governo Italiano ha deciso di “far partire l’iniziativa per la creazione del polo strategico nazionale che sarà un cloud per la pubblica amministrazione con dei livelli di sicurezza rinforzati, con una giurisdizione sicuramente italiana, quindi con la residenza dei dati in Europa e in Italia e il controllo della legge italiana, e con, però, al tempo stesso l’accesso alle migliori tecnologie internazionali, che è inutile nascondercelo, non sono italiane”.
Data center, come realizzarli: immobili, contratti e appalti, ecco cosa fare
Come funziona
In estrema sintesi, i dati delle pubbliche amministrazioni italiani dovrebbero confluire su un Cloud residente nel nostro Paese (o almeno nel territorio dell’Unione Europea), regolamentato in base alle leggi italiane ma gestito attraverso partnership strategiche tra aziende italiane (anche pubbliche, come SOGEI) e multinazionali extra Unione Europea (prevalentemente statunitensi o cinesi) che, come afferma lo stesso Ministro, rappresentano oggi il punto di riferimento dal punto di vista tecnologico.
Il primo punto critico dello scenario che si sta prospettando è certamente quello connesso all’asimmetria delle forze in gioco: sarà possibile per le nostre imprese gestire in maniera proficua i rapporti commerciali con giganti del calibro di Google, Amazon o Microsoft? Tale dubbio, in realtà, si sta già materializzando in Francia dove i principali provider nazionali temono di essere sopraffatti dalla potenza delle Big Tech e stanno chiedendo al Governo di tutelare, anche sotto il profilo industriale, le aziende nazionali. Sarà necessario, pertanto, analizzare con grande attenzione tale tematica con l’obiettivo di garantire adeguati equilibri all’interno del nuovo ecosistema digitale italiano, che dovrà necessariamente confrontarsi con i giganti tecnologici ma sarà chiamata a difendere il proprio patrimonio informativo oltre alla sovranità sui propri sistemi.
L’impatto del progetto Gaia X
Alla luce di quanto sopra esposto, è possibile affermare che la strategia italiana si ponga nel solco tracciato dal progetto europeo “Gaia X”, che mira a costruire un’infrastruttura cloud europea con il fine principe di favorire la crescita del mercato digitale comunitario, attraverso un sistema di regole chiare in termini di sicurezza, interoperabilità e sovranità digitale, che permettano a tutti gli Stati Membri di svincolarsi dai servizi e dalle infrastrutture di proprietà extracomunitaria.
Si tratta, com’è di tutta evidenza, di un’iniziativa estremamente articolata ed ambiziosa, che punta a ricondurre sotto a un maggior controllo il flusso e l’archiviazione dei dati europei, in ossequio a quanto previsto dal Regolamento Generale per la Protezione dei Dati Personali. Il progetto, in particolare, si sviluppa su tre traiettorie fondamentali, costituite dalla governance, dallo sviluppo di adeguate procedure e dall’identificazione ed utilizzo di standard tecnologici in grado di garantire elevati livelli di interoperabilità ed indipendenza dai formati proprietari adottati dai provider cloud.
I promotori dell’iniziativa, inoltre, puntano ad introdurre sistemi di sicurezza omogenei ed armonizzati a livello europeo che permettano, tra le altre cose, di accertare l’identità della fonte e del destinatario dei dati, con l’obiettivo di coniugare la totale accessibilità ai dati nel rispetto dei diritti di privacy e tutela dei dati personali. A tal fine, tutte le aziende e le istituzioni sono state invitate a presentare progetti e contributi entro la fine del 2021, con il fine di consentire l’avvio della fase di realizzazione ed implementazione concreta dell’ecosistema digitale europeo, che dovrà favorire, secondo quanto è possibile leggere nello statuto di Gaia X, la nascita di “un nuovo mondo digitale aperto e trasparente, in cui dati e servizi possono essere resi disponibili, raccolti e condivisi in un ambiente di fiducia e sicurezza”.
Il ruolo dell’Agenzia per la cybersicurezza nazionale e i futuri rapporti con Agid
Particolarmente interessante e ricca di spunti di riflessione, inoltre, è stata l’audizione del Ministro Colao presso il Copasir: dai verbali dell’incontro, infatti, emerge come un ruolo di fondamentale importanza all’interno dell’ecosistema Cloud italiano sarà svolto dall’Agenzia per la cybersicurezza nazionale (ACN), recentemente istituita dal Decreto-legge del 14 giugno 2021 n. 82.
L’idea di fondo è, invero, quella di affidare all’ACN il compito di verificare l’architettura di sicurezza proposta dai provider Cloud che intendono qualificarsi quali fornitori per la pubblica amministrazione. In tale contesto, l’Agenzia dovrebbe affiancare l’AgID che già da diversi anni sovraintende a tutte le attività di accreditamento delle aziende interessate ad entrare nel cosiddetto “Cloud MarketPlace”, ossia nel mercato riservato agli enti centrali e periferici. L’attenzione verso la sicurezza e la tutela delle informazioni, soprattutto in una fase iniziale e progettuale come quella in cui si trova il processo di creazione della “Nuvola Pubblica”, rappresenta sicuramente una novità di assoluto rilievo. Troppo spesso in passato sono stati privilegiati aspetti connessi alle “performance” sottovalutando l’importanza strategica della protezione dello sterminato patrimonio informativo pubblico, che deve essere difeso, valorizzato e gestito in maniera tale che possa diventare volano di sviluppo per l’intero Sistema Paese.
Sarà fondamentale, però, definire con attenzione le competenze e gli spazi operativi all’interno dei quali dovranno muoversi l’ACN e l’AgID per evitare sovrapposizioni, ridondanze ma, come la storia recente ci ha insegnato, anche “competizioni interne” che rischiano di limitare la portata dell’intero progetto. Si pensi, a titolo di esempio, alla convivenza non sempre semplice tra l’Agenzia per l’Italia Digitale ed il Team per la Trasformazione Digitale che si è definitivamente risolta con la conclusione delle attività della struttura del “Commissario straordinario per l’attuazione dell’agenda digitale”.
Transizione verso il Cloud e ridimensionamento degli obiettivi iniziali
Nelle ultime settimane è stato, inoltre, definito un primo “piano di transizione” verso il Polo Strategico Nazionale che prevede l’approdo nei nuovi quartieri generali informatici per 281 enti suddivisi in tre fasce di priorità:
- In prima linea sono state collocate 95 Pubbliche Amministrazioni centrali e 80 Aziende Sanitarie Locali che devono effettuare immediatamente la migrazione in quanto in possesso di infrastrutture non adeguate all’importanza dei dati trattati nell’ambito delle proprie funzioni istituzionali;
- Nel gruppo intermedio, invece, si ritrovano 13 Enti centrali, tra cui ministeri, Inps, Inail, in possesso di datacenter sicuri e, pertanto, autorizzati ad utilizzare il PSN in via residuale, in caso di necessità;
- Chiudono la lista, infine, 93 Pa centrali, che non hanno necessità, al momento, di fruire di servizi Cloud, e, pertanto, continueranno ad operare secondo le modalità già adottate in precedenza.
Si tratta, invero, di una nuova sostanziale variazione (in un contesto che purtroppo ne ha già viste molte) rispetto al Piano ed ai cronoprogrammi faticosamente costruiti nel corso degli anni, in ossequio a molteplici disposizioni normative. Basti ricordare che i PSN, in base al primo Piano Triennale per l’Informatica nella Pubblica Amministrazione, varato nel 2017 dall’allora Governo Gentiloni, i “Poli Strategici Nazionali” (non a caso, all’epoca, anche il nome lasciava intendere ad una pluralità di sistemi) avrebbero dovuto fornire servizi a tutte le pubbliche amministrazioni dotate di “data center che non garantiscono requisiti minimi di affidabilità e sicurezza dal punto di vista infrastrutturale e/o organizzativo, o non garantiscono la continuità dei servizi”.
Da quel momento in poi, passando prima da un censimento non certo esaltante, al quale ha risposto una percentuale decisamente irrisoria di PA, e successivamente da una serie di rivisitazioni normative “al ribasso” (la più corposa ed importante è certamente quella del “Decreto Semplificazioni” del 2020), l’idea iniziale basata su una forte centralizzazione delle infrastrutture è stata gradualmente sostituita da previsioni più morbide che interessano in maniera diretta quasi esclusivamente le amministrazioni statali e, da quanto sta emergendo negli ultimi giorni, le Aziende Sanitarie Locali.
I fronti critici
Ferma restando la necessità di continuare a puntare verso modelli e paradigmi ormai imprescindibili per i sistemi informativi moderni, resta la perplessità connessa ai continui ridimensionamenti dei Piani e dei Programmi originari che da un lato rendono incerto l’orizzonte per le pubbliche amministrazione che intendono programmare la propria transizione digitale nel lungo periodo (ad esempio: un ente locale che oggi non è chiamato a migrare verso il Polo Strategico Nazionale può riprendere ad investire sui propri datacenter? E se non potesse farlo, come dovrebbe garantire l’efficacia, l’efficienza e, soprattutto, la sicurezza della propria infrastruttura IT) e dall’altro rischiano di depotenziare gli ingenti investimenti previsti anche nel Piano Nazionale di Ripresa e Resilienza.
In sintesi, si potrebbe arrivare al paradosso di aver speso diversi miliardi in una “Nuvola Pubblica” utilizzata solamente da una minoranza, seppur qualificata, di amministrazioni. È ormai noto, infatti, come il tema della razionalizzazione e, soprattutto della centralizzazione, delle infrastrutture non stia particolarmente a cuore (per usare un eufemismo) alle amministrazioni periferiche che temono di svuotare le proprie organizzazioni di competenze strategiche ma anche i territori di importanti fonti di guadagno e sviluppo. Serve, pertanto, ripensare il modello complessivo, riprendendo le interlocuzioni tra centro e periferia in maniera tale da sfruttare a pieno l’occasione probabilmente unica ed irripetibile (almeno nelle cifre poste in gioco) fornita dal Recovery Plan.
Conclusioni
Il grande cantiere digitale della “Nuvola Italiana” continua a rimanere al centro delle politiche di digitalizzazione e modernizzazione dell’apparato burocratico ed amministrativo italiano. Gli ingenti stanziamenti previsti all’interno del Piano di Ripresa e Resilienza potranno sicuramente apportare nuova linfa ad un progetto ambizioso ma costellato da innumerevoli difficoltà. Dalle tante novità arrivate nelle ultime settimane emerge certamente un quadro dinamico e vitale, caratterizzato da obiettivi ambiziosi oltre che da una positiva attenzione verso aspetti spesso trascurati quali la sicurezza, la sovranità e la difesa dei dati nazionali.
Continuano, purtroppo, a mutare in maniera estremamente repentina (senza apparenti motivi o comunque in assenza di spiegazioni più o meno chiarificatrici) la rotta e la direzione strategica: in considerazione dell’elevata importanza della nuova infrastruttura nazionale sarebbe, al contrario, fondamentale fissare in maniera stabile l’orizzonte di riferimento e coinvolgere nella maniera più inclusiva possibile tutti gli attori interessati, con particolare riferimento a quelle amministrazioni periferiche che rappresentano la vera e propria massa critica della macchina pubblica ma che fino a questo momento hanno assunto un ruolo marginale (e spesso passivo) nell’’intero processo di ristrutturazione dei servizi erogati a favore dei cittadini.
In vista della concreta implementazione del Cloud nazionale, infine, dovranno certamente essere previsti meccanismi di tutela dei provider italiani che, in assenza di regole chiare e “contropesi normativi”, rischiano seriamente di subire la potenza economica, organizzativa e “politica” delle grandi multinazionali straniere, con evidenti potenziali rischi incombenti sull’autonomia e l’indipendenza dell’intero ecosistema digitale.
