Il 27% delle risorse del Piano nazionale di ripresa e resilienza sono dedicate alla transizione digitale, sviluppata lungo due assi: la banda ultra-larga e la trasformazione della PA in chiave digitale. Altri fondi sono destinati dal Piano all’innovazione digitale di infrastrutture, il fisco, sicurezza, sanità pubblica, turismo e cultura, sistema scolastico e ricerca universitaria. L’Osservatorio propone una ricognizione dei principali interventi di digitalizzazione del PNRR, del loro impatto sulle amministrazioni, dei tempi di realizzazione e del confronto con misure analoghe adottate da altri paesi europei. In questo post presentiamo le misure relative al cloud computing, in relazione al quale la prima missione del PNRR prevede lo stanziamento di 900 milioni di euro, con il fine di portare circa il 75% delle PA italiane a erogare e utilizzare servizi in questa modalità entro il 2026. La ricerca di una maggiore efficienza andrebbe però accompagnata da uno sviluppo sistematico e programmatico del comparto, formando nuovo personale, rafforzando le competenze nazionali, favorendo la nascita di operatori solidi. Si intravvedono, infatti, diversi rischi, da rimarcare e affrontare a viso scoperto, per compiere le imminenti scelte in modo consapevole.
Diventato termine e argomento di dominio pubblico, la “nuvola” (cloud) appare, a prima vista, come una entità misteriosa, che consente di beneficiare di risorse remote, velate di una magia come se provenissero da una remota isola caraibica.
La realtà è molto meno colorata e richiama più le caratteristiche dei metalli che ne costituiscono la base fisica. Il cloud, infatti, tolto dal mistero che lo circonda, altro non è se non la messa a disposizione di un ambiente informatico in cui, attraverso la rete Internet, si possono collocare i propri dati (con funzione di memorizzazione, o storage) o, in misura più elevata, di usufruire di servizi “chiavi in mano” (ossia pronti all’utilizzo, senza dover investire nel loro sviluppo). La nuvola “si trova” su un server (o su macchine virtuali installate sui server) esterni alle proprie infrastrutture, che siano domestiche o aziendali. È definito pubblico se tali infrastrutture sono condivise tra più utenti (si pensi ai servizi per i consumatori), o privato (dove, invece, le infrastrutture, pur di proprietà del fornitore, sono dedicate a un singolo cliente, che vi accede in modo esclusivo). Non è, quindi, un’isola del tesoro, ma una offerta di determinati servizi che – a prima vista – dovrebbero semplificare la gestione di spazi di memorizzazione e di applicativi utilizzati per svolgere le funzioni amministrative.
In un Glossario pubblicato di recente dal Dipartimento per l’Innovazione tecnologica e la transizione digitale e dall’Agid, sul sito cloud.italia.it, si legge che “il cloud computing (in italiano “nuvola informatica”), più semplicemente cloud, è un modello di infrastrutture informatiche che consente di disporre, tramite internet, di un insieme di risorse hardware e software (ad es. reti, server, risorse di archiviazione, applicazioni software) che possono essere rapidamente erogate come servizio, consentendo all’utente di non dover preoccuparsi, ad esempio, di come configurare e installare un software sulla propria macchina. Le classi di servizio più comuni che caratterizzano i servizi cloud sono IaaS, PaaS e SaaS. Tali servizi possono erogati agli utenti secondo diverse modalità di fruizione: public cloud, private cloud e hybrid cloud”.
Per l’Osservatorio, sulla nozione di cloud ho parlato in una intervista con il Prof. E. Nardelli (QUI). Il termine è diventato di uso comune, anche per le strategie commerciali adottate dai maggiori soggetti economici del comparto informatico (a partire dalle Big Tech), che ne hanno fatto il proprio cavallo di battaglia da circa una decina d’anni (anche se i suoi albori sono precedenti: il termine è stato usato per la prima vola nel 1996 dalla Compaq, quindi in Texas e non nella Silicon Valley, mentre gli sviluppi di Amazon e Google risalgono al 2006-2008). La strategia seguita è quella di dotare gli apparati acquistati dai singoli utenti (come avviene con i cellulari) di un servizio che consenta di salvare i dati in modo “sicuro”, ossia indipendentemente dal destino fisico dell’apparato (se si perde, i dati sono “salvi”) e di condividere i dati memorizzati tra più device (computer fisso o notebook, smartphone, tablet). In altri casi, uno spazio in cloud viene associato all’utilizzo di email, o in modo “gratuito” (ma solo apparentemente: oggi tutti sappiamo che “se il servizio è gratuito…”) oppure a pagamento, se si vuole usufruire di maggiori risorse e capacità. Dietro questa tecnologia, è nato un fiorente mercato.
Il pensiero di ricorrere sistematicamente al cloud si sta diffondendo anche nel settore pubblico, per una ricerca – a prima vista – di maggiore efficienza, ammodernamento e affidamento a terzi nella gestione delle infrastrutture (con sgravio di compiti, ma anche de-responsabilizzazione – per una panoramica normativa dell’Osservatorio, si v. QUI). Per chi ha scarse competenze informatiche, la soluzione di affidarsi interamente al cloud appare molto utile, per ovviare a eventuali difetti di risorse strutturali e di personale in grado di creare, gestire, aggiornare una infrastruttura e gli applicativi che si traducono in servizi.
La ratio dietro la strategia del PNRR sembra essere proprio questa. Il Piano considera il cloud computing, infatti, uno strumento essenziale per promuovere il miglioramento delle infrastrutture informatiche e dei servizi della PA. Per arrivare a tale conclusione, muove dalla considerazione della elevatissima frammentazione e della ricorrente obsolescenza delle infrastrutture proprietarie di queste ultime. In assenza di competenze (tema su cui si tornerà e di cui si è già parlato in questo Osservatorio, anche per altri settori, come la sanità – QUI – e come indicato analizzando uno dei primi discorsi del Presidente del Consiglio, QUI), viene individuata una classificazione delle infrastrutture esistenti. In particolare, sono seguite i censimenti dell’Agid (v. circolare n. 1/2019), i quali hanno condotto a individuare due tipologie nello stato di salute delle infrastrutture: di tipo A, se affidabili e sicure, che non necessitano di interventi; di tipo B, se rivelano, al contrario, uno stato di salute a rischio, che richiede la loro trasformazione. Secondo il il censimento dell’Agenzia, del 2018-2019, il 95% infrastrutture analizzate è obsoleto.
Un cambiamento richiede uno sforzo notevolissimo. A tal fine, il cloud è considerato un beneficio sia per i cittadini che per le amministrazioni, mentre per le imprese sono considerate quelle piccole e medie “che operano nel settore pubblico”. Per i cittadini, si ricordano la maggiore affidabilità e sicurezza, nonché una migliore tutela della privacy: punto, quest’ultimo, di cui vedremo tra poco i rischi derivanti da una narrativa troppo facile. Per le amministrazioni, una facilità di ricorso a tecnologie aggiornate e una maggiore interoperabilità (cui l’Osservatorio ha da poco dedicato un intervento, QUI). Da rilevare che il Piano triennale per l’informatica nella pubblica amministrazione indicava il principio del “cloud first”. Ci si pone, dunque, sulla stessa scia.
Sul piano amministrativo, è di interesse l’intervento parallelo del Dipartimento per l’Innovazione Digitale e dell’Agid. La strategia in discussione è stata elaborata congiuntamente, realizzando una sinergia originale, volta a ricercare una maggiore efficacia nel conseguimento degli obiettivi. Altro elemento da considerare sono i finanziamenti: 900 milioni di euro, che dovrebbero avere i seguenti obiettivi: rinnovare l’interesse per il Polo Strategico Nazionale (PSN), che negli ultimi anni si è arenato; rafforzare le infrastrutture di amministrazioni centrali e ASL che sono efficienti e potrebbero costituire quattro PSN; affrontare l’estrema frammentazione dei datacenter delle amministrazioni locali, per “governare” un universo di circa 11.000 basi dati. A questo riguardo, per l’elevazione tecnologica delle infrastrutture informatiche delle amministrazioni locali sarà fondamentale migliorare la connettività, da cui un ponte diretto verso la strategia di realizzazione della Banda Ultra Larga, o BUL (per l’Osservatorio, nel quadro di una panoramica generale, ne abbiamo parlato QUI). Infine, pare essere stata adottata una pianificazione stringente, con passaggi celeri dalla classificazione al passaggio in cloud. Alle amministrazioni vengono fornite anche indicazioni tecniche e veri e propri percorsi di transizione, mettendo a disposizione un framework di riferimento e un “kit”.
Dunque, la strategia è alla ricerca di una infrastruttura nazionale più efficiente, sia per le amministrazioni nazionali sia per quelle locali. L’intento è da elogiare. I rischi sono, però, dietro l’angolo e sono serissimi (come messo bene in evidenza in questo articolo).
Il primo e fondamentale problema concerne la riservatezza, che in questo caso sfocia nella sicurezza nazionale. Il rispetto per la privacy è sempre citato: tuttavia, non vengono chiariti i metodi specifici di protezione. Il cloud presuppone un trasferimento dei dati verso soggetti terzi, soprattutto se si intende realizzare la migrazione delle infrastrutture da parte di apparati che non hanno competenze sufficienti: è evidente che, in questo caso, si fa riferimento alle capacità di terzi. Di qui il problema di una ingerenza, che in termini tecnici non può essere esclusa. E che potrebbe essere interna (se gli operatori sono nazionali), ma anche svolta in altre giurisdizioni: rischio elevato, considerato che i maggiori operatori sono di altri Paesi (soprattutto statunitensi). Di qui, la stessa strategia mette in guardia i soggetti coinvolti, in quanto afferma che “non basta dotarsi di soluzioni cloud per assicurare privacy ai propri utenti e sicurezza delle infrastrutture e servizi IT, bensì serve un processo continuo di vigilanza e controllo che fin dalla prima fase di progettazione dei servizi, agisca trasversalmente su tutte le aree di interesse, e che sia costantemente aggiornato rispetto allo stato dell’arte delle principali misure di sicurezza”.
Gli esperti sono concordi nel ritenere che il controllo sui dati priva il titolare dell’esclusività – con tutti i rischi che comporta. I rischi di ingerenza sono ancora maggiori per le PA: esse detengono informazioni essenziali per la vita dello Stato e una loro compromissione avrebbe ricadute che non è necessario spiegare (si considerino le funzioni essenziali, per riferirsi alla terminologia in materia di cybersicurezza). Questo rischio si associa alla possibilità teorica – ma possibile – di un controllo dei dati da parte dei fornitori del servizio. Non a caso l’European Data Protection Supervisor a fine maggio ha avviato una indagine per comprendere come operano i servizi di due grandi fornitori (Amazon e Microsoft), e in che termini, in base alle clausole contrattuali, possano trasferire i dati verso Paesi terzi, in possibile violazione del già richiamato e fondamentale arresto Schrems II (di cui ho parlato QUI: a questo riguardo, va notato, per inciso, che gli effetti della sentenza Schrems II della Corte di giustizia, pur evidentissimi fin dalla sua pubblicazione, a volte sfuggono, come avvenuto di recente con una discutibile follow up del Consiglio di Stato francese, o come avvenuto con l’approvazione recentissima di una normativa europea che consente il monitoraggio generale di ogni servizio da parte degli ISP, a fini – nobilissimi, s’intende – di contrasto alla pedofilia). Una volta dismessa l’infrastruttura residente nelle proprie sedi (on premises), a favore dei datacenter esterni, non vi sono strumenti per assicurare l’impenetrabilità dei dati in maniera assoluta. Probabilmente l’unico strumento è lo zero access, ossia l’impossibilità, per il fornitore, di leggere i dati. Attraverso un sistema di crittografia, infatti, sarebbe impossibile accedere ai contenuti in cloud, anche laddove la richiesta provenisse dal titolare. Tuttavia, è una prassi non sempre diffusa e costosa – che però dovrebbe essere incentivata, soprattutto se sono in gioco i dati delle pubbliche amministrazioni, che come detto potrebbero essere legati a esigenze vitali della vita statale.
Anche il vendor lock-in è un rischio evidente. Aderire alle maggiori competenze dei maggiori operatori potrebbe generare scelte da cui sarebbe poi molto difficile uscire in futuro, se non a un costo altissimo. Vi è poi chi sostiene che il vantaggio dei prodotti già confezionati è solo apparente: nessun servizio non è realizzabile da bravi sistemisti. Purché vengano utilizzati dalla PA e, dunque, purché vi siano team di esperti che possano affiancarla. Scelte come quelle dintre grandi operatori economici, che hanno stretto patti di sviluppo con le Big Tech (Tim con Googlw, Leonardo con Microsoft, Finmeccanica con Amazon: si veda questo articolo), andrebbero analizzate a fondo per studiarne le ripercussioni in ottica di sviluppo.
È sempre da ricordare, infine, che il cloud ha comunque “i piedi per terra”. È nuvola per il singolo, che non ha il controllo diretto del mezzo dove i dati sono memorizzati o dove i servizi sono. Ma i server che ospitano le macchine virtuali, gli spazi e i servizi sono ben ancorati al suolo. E necessitano di una cura costante. A maggio, l’incendio del datacenter francese OVH ha rivelato ai più – anche a chi non era particolarmente ferrato in materia – come tutto ricada sulle infrastrutture fisiche (un po’ come Internet, che non è evanescente e i cui nodi possono essere soggetti alla giurisdizione statale nel cui territorio risiedono, come insegnano da tre lustri J. Goldsmith e Tim Wu).
Da quanto analizzato, si possono trarre alcune considerazioni conclusive. Primo, serve creare un ambiente tecnologico adeguato e sicuro, che eviti adeguatamente backdoor, e costituisca un investimento di lungo periodo. Secondo, va rafforzato e sviluppato il comparto, in senso nazionale ed europeo: è imprescindibile promuovere competenze informatiche maggiori e dare (o ridare) vita a una industria di settore autonoma, che sia in grado di eccellere e offra soluzioni parimenti innovative; rimanere indietro rispetto ad altre realtà sarebbe un passo indietro irrecuperabile. Terzo, dovrebbe essere chiaro a tutti gli aspetti centrali della vita pubblica statale non possono essere conferiti “a cuor leggero” a soggetti terzi e vanno affrontate situazioni altamente problematiche come l’applicazione extra-territoriale di normative come il Cloud-act (sul punto, si veda questa analisi).
Cosa attendersi, dunque? È tutto da scrivere, ma senza un adeguato controllo delle macchine, saranno i terzi ad avere potenzialmente l’accesso alle risorse. E alcune operazioni potrebbero essere soggette alla impossibilità di un monitoraggio consapevole. Le premesse per un discorso serio e generale ci sono, ma occorre trovare il coraggio di creare uno spazio economico e tecnologico europeo, in cui far maturare i frutti preziosi del Vecchio Continente.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale