Il cloud pubblico è in crisi? Il caso del GARR

Il Gruppo per l’Armonizzazione delle Reti della Ricerca (GARR), che vanta un’esperienza trentennale, offre servizi al settore dell’istruzione e della ricerca. È finanziato dal MIUR, ma – in alcuni casi – appare ancora non pienamente sfruttato, ad esempio in relazione al servizio del cloud computing. Cos’è e cosa offre il GARR? Le ragioni del suo scarso sviluppo sono superabili? Quali le connessioni con progetti analoghi, che mirano a una piena autonomia ed efficienza digitale, anche in ambito europeo?

Il Consortium GARR è un’associazione senza fini di lucro, “fondata sotto l’egida del Ministero  dell’Istruzione, dell’Università e della Ricerca. I soci fondatori sono CNR, ENEA, INFN e Fondazione CRUI, in rappresentanza di tutte le università italiane” (come si legge qui).

IL GARR offre una rete nazionale a banda ultra-larga, creata per i settori dell’istruzione, della ricerca e della cultura. Suo principale obiettivo è quello di fornire connettività ad alte prestazioni e di sviluppare servizi innovativi per le attività quotidiane di docenti, ricercatori e studenti, anche in ottica di collaborazione a livello internazionale. È stato concepito negli anni Ottanta e realizzato agli inizi degli anno Novanta. L’arco temporale è significativo: si tratta della stagione in cui sono avviati gli sforzi per connettere l’infrastruttura nazionale alla “rete delle reti”, Internet, che proprio in quel decennio erompe in ambito internazionale. Quando diviene un fenomeno mondiale, e non più solo nazionale (negli Stati Uniti, dove è nata, i primi esperimenti riusciti risalgono al 1969), si sgancia dalle esigenze prettamente militari e incrementa le potenzialità scientifiche. Sviluppa, in quell’epoca, anche quelle comunicative e commerciali, fino a diventare lo strumento che oggi plasma le nostre vite.

Il GARR, oltre alla connettività, offre servizi come il cloud computing, che è più recente (è stato realizzato dieci anni fa) e sul quale si intende concentrarsi in questa sede (cloud.garr.it). Il progetto offre servizi tipici del cloud, quali l’Infrastructure as a Service (Iaas) e il Platform as a Service (Paas). È basato su software open source. Ha una certificazione ISO 27001, che lo pone tra i soggetti qualificati dinanzi all’AGID (AGID Marketplace, obbligatorio dal 1 aprile 2019). Segue un approccio federato: ciò implica la possibilità, per ogni “utente” (nel caso di interesse, un ateneo o un dipartimento) di integrare il proprio spazio all’interno dell’infrastruttura (quindi inserendo i propri server in una propria “regione”, che ne garantisce l’autonomia e la scalabilità). Si consideri, per comprendere questo tipo di architettura, che un modello di cloud federato è stato proposto come approccio da seguire nell’intera Unione europea, dove la “federazione” complessiva del cloud (l’Unione europea) è formata dai singoli Stati (ove ciascuno è una regione). Il fine, niente di meno, è quello di garantire autonomia ed efficienza del’infrastruttura informatica per l’intera Unione europea. Sarebbe il caso, allora, di riflettere anche su quella nazionale.

La potenzialità è facile da spiegare: si potrebbe creare un “sistema” nazionale in grado di assicurare non solo la riduzione dei costi, ma anche uno sviluppo delle competenze professionali legate all’informativa e la definizione di un assetto di regole confacente agli ordinamenti statali e dell’Unione europea, rafforzando dove necessario il rispetto dei diritti fondamentali (punto evidenziato, da ultimo, dalla relazione del Garante privacy del 23 giugno); in questo senso, si potrebbero definire policy specifiche (qui è disponibile la privacy policy del GARR) che, coniugandosi in uno sforzo europeo, potrebbero divenire un benchmark internazionale. Un punto nodale, al riguardo, è la locazione dei dati. I datacenter sono ormai oggetto di dibattito acceso (anche in chiave giuridica). Il vantaggio di un simile sistema sarebbe quello di avere una localizzazione certa, all’interno dell’Unione europea, al fine di contrastare circolazioni non contemplate (o non ben comprese da chi decide). Il caso Schrems è indicativo in tal senso, e va tenuto a mente in ordine alle analogie su conservazione e trasferimento dei dati.

Se si considera che il “Cloud Act” statunitense, dopo un famoso caso giudiziario che interessava Microsoft, consente di al Governo USA accedere a dati locati in altri Paesi in base ad accordi con Stati terzi, si comprende l’esigenza di definire, e in maniera veloce, un quadro europeo autonomo e chiaro. Il Gdpr, infatti, dovrebbe imporre uno schermo maggiore e promuovere, anche con riferimento a una architettura come il cloud computing, i valori europei e i diritti riconosciuti dall’Unione. Questo aspetto è stato compreso e valorizzato nel caso del progetto franco-tedesco denominato GAIA-X, proposto come modello per l’intera Unione europea: nato sotto l’egida del Bundesministerium für Wirtschaft und Energie e del Ministère de l’Économie et des Finances, vede la partecipazione di importanti aziende private, di ogni settore, non solo informatico. Persino Microsoft, che ha servizi propri (Azure, in questo caso) ha dato il suo appoggio al progetto (ricevendo critiche in patria sua).

Lo stesso MIUR (che finanzia il GARR), durante il lockdown ha indicato il ricorso a risorse private, che hanno destato molta attenzione in termini di lock-in e di privacy (ne abbiamo parlato nell’Osservatorio, qui). Nel corso della crisi pandemica, dunque, molte risorse didattiche si sono affidate a strumenti a distanza che riposano su datacenter esteri o che, comunque, ne consentono poi la circolazione (mentre il governo francese ha compiuto scelte molto diverse). Di qui le domande poste sulla scelta tra gestione proprietaria e pubblica sono state sollevate, recentemente, non tanto in chiave tecnica, quanto di policy ministeriale e universitaria (si v. l’articolo di M.C. Pievatolo su Roars). Eppure, le domande sono ancora aperte. l’AGID ha concluso il censimento dei datacenter e annunciato che 35 possono svolgere le funzioni di “Poli strategici nazionali” (un passaggio che rafforzerebbe e trasformerebbe l’architettura nazionale). Tuttavia, ancora non è noto (da gennaio) quali siano tali 35 soggetti.

Internet è condivisione per definizione: la “rete delle reti” è diventata uno strumento di comunicazione in grado di trasformare profondamente la società (si pensi ai casi descritti da Manuel Castells nel V Capitolo di “Comunicazione e potere”), ma è arrivata a un’epoca in cui la raccolta dei dati (nelle loro diversissime forme), la profilazione, l’uso sregolato (o indebito) dei database e le conseguenze sociali che ne derivano (con possibilità di accentuazione delle differenze e di sfruttamento) meritano maggiore attenzione nel dibattito pubblico.

Nel caso del GARR, sarebbe interessante capire se, e in che misura, le Università sfruttano tale risorsa. A oggi, pare sia poco sfruttato: molti hanno scelto piattaforme proprietarie, a parte casi isolati come il Politecnico di Torino. Mentre in Italia la soluzione stenta a decollare, altri Paesi sembrano apprezzarla di più, come nel caso della Grecia, che ha adottato proprio la soluzione del GARR per l’ambito della loro ricerca.

Certo, qualche assestamento è ancora necessario. Il sistema non è sufficiente a coprire le esigenze potenziali di tutte le istituzioni del mondo dell’istruzione e della ricerca, soprattutto in termini di capacità e memorizzazione. Il Prof. Giuseppe Attardi, che ha diretto il progetto cloud del Garr per diversi anni, aveva proposto un piano di sviluppo dell’infrastruttura, ipotizzando costi molto contenuti (circa un decimo, per fare un confronto, con quelli del CINECA, che sono finanziati per la metà dal MIUR). Con tali finanziamenti, si potrebbero erogare servizi idonei alle esigenze. I costi sono legati anche agli interventi sull’automazione, che consentono di gestire la complessità dell’infrastrutture con poche risorse umane.

Quali sono le ragioni che ostacolano la diffusione del servizio cloud del GARR?

I costi? Come appena visto, possono essere livellati. L’intervento del Miur, poi, genera di per sé un circolo virtuoso, in quanto i costi sostenuti rientrano, indirettamente, nei successivi investimenti pubblici. È anche vero, però, che lo stesso consorzio Garr non abbia praticato una politica di prezzi (e di marketing) adeguata: forse una diversificazione della strategia potrebbe portare a un maggiore successo.

La difficoltà di gestione? Come spiegano alcuni esperti, il GARR, oltre ai servizi richiamati, offre il Deployment as a Service (DaaS): esso consente di selezionare gli applicativi sulla base delle proprie esigenze, scegliendo in un catalogo appositamente costruito. Non vi è bisogno, dunque, di essere tech-guru o sistemisti. Ad esempio, si può installare Moodle (molto conosciuto) con pochissimi passaggi.

Il più facile ricorso alle tecnologie dei grandi operatori? È chiaro che questi ultimi offrono solidità e tecnologie di livello enorme, oltre a beneficiare di esternalità di rete; consentono anche una minore responsabilità (assumendo i rischi dell’infrastruttura: questo è un fattore non secondario nelle scelte amministrative). Tuttavia, non consentono un adeguato sviluppo delle competenze, oltre a offrire una gestione dei datacenter che risponde – ovviamente – a scelte aziendali e che, se non debitamente monitorata, viene sottratta alle decisioni dell’istituzione.

In questo quadro altamente complesso, migliorare alcuni aspetti del GARR ed estenderne l’utilizzo consentirebbe non solo di rafforzare la formazione e le competenze del mondo dell’informatica, fungendo da volano per il suo sviluppo, ma anche di realizzare un perno delle risorse infrastrutturali del settore pubblico, attraverso servizi dedicati (e, ci si augura, a prezzi ragionevoli). È da sottolineare, in merito, che il Garante per la privacy, presentando Relazione annuale, il 23 giugno scorso, ha affermato come “di fronte alla delocalizzazione in cloud di attimo rilevantissime chiediamo al Parlamento e al Governo se non si debba investire in un’infrastruttura cloud pubblica, con stringenti requisiti di protezione, per riversarvi con adeguata sicurezza dati di tale importanza” (p. 13 del discorso di presentazione).

Il panorama, in conclusione, è vasto ed è tutt’altro che sondato fin nei suoi più remoti ambiti. L’informatica va conosciuta con grande consapevolezza dai decisori pubblici, in modo sempre più approfondito: le soluzioni che giacciono alla sua base, infatti, producono conseguenze di natura sociale ed economica e, in ultima istanza, politica. Non comprenderne le implicazioni genera ritardi e l’avvio del cammino su strade da cui è poi difficile e costoso tornare indietro.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.