Tra gli obiettivi più ambiziosi delle politiche pubbliche odierne vi è senza dubbio la ricerca della c.d. autonomia tecnologica, che deve coniugarsi con il principio del cloud first. La necessità di dotare il Paese di un’infrastruttura cloud adeguata e sicura è esigenza che risulta particolarmente impellente per rilanciare il sistema economico e contribuire a realizzare la transizione digitale. Il ruolo del cloud è infatti cruciale, alla luce della rilevante semplificazione amministrativa che l’interoperabilità dei dati può offrire, con ricadute vantaggiose per la qualità dei servizi offerte ai cittadini. In questo contesto, risulta quantomai necessario che siano i pubblici poteri a guidare la migrazione verso l’infrastruttura cloud: proprio nel settore del cloud, infatti, il rischio è quello di subire una sistematica debolezza contrattuale da parte dei grandi player di mercato, senza margine di manovra per i governi e le amministrazioni, subendo unilateralmente, ad esempio, aumento dei costi di erogazione e interruzioni del servizio.
L’autonomia tecnologica è concetto rinvenibile nell’Art. 33 septies del d.l. 179/2012, che rinvia l’individuazione dei livelli adeguati di qualità e sicurezza delle infrastrutture cloud alla regolazione di amministrazioni specializzate, cioè AgID e ACN, come si specificherà nel prosieguo.
La strategia cloud Italia – di cui si parla in questo breve contributo – sviluppa il cruciale obiettivo dell’autonomia tecnologica nel contesto del rilancio del sistema economico – sociale del Paese.
La sovranità/autonomia tecnologica, nell’attuale contesto geopolitico, consiste nella possibilità di controllare, gestire ed elaborare in modo autonomo i dati afferenti al settore pubblico; allo stesso modo e in senso più ampio, essere autonomi dal punto di vista tecnologico significa avere la possibilità di gestire le proprie infrastrutture digitali senza essere condizionati dai player di mercato più rilevanti, detentori di conoscenza, know-how tecnologico e capacità computazionali rilevantissime. Le infrastrutture cloud europee costituiscono solo il 10% del valore del mercato del cloud: il rischio è quello di rimanere spettatori in un settore da sempre appannaggio di grandi multinazionali tecnologiche, senza che il Paese abbia la possibilità di governare in proprio la transizione digitale e l’ecosistema delle nuove tecnologie che sta prendendo forma.
La strategia Cloud Italia si inserisce in questo delicato contesto, ponendo l’autonomia tecnologica come una sfida fondamentale dell’azione amministrativa.
Il PNRR ha contribuito in modo essenziale a delineare il principio guida della Strategia, cioè il cloud first.
La debolezza delle infrastrutture digitali del nostro Paese è criticità che viene evidenziata da tempo, in particolare dai piani triennali ICT e dal Censimento del Patrimonio ICT, redatti da AgID. Per quanto riguarda l’infrastruttura cloud, la circolare AgID 24 Giugno 2016, n. 2, precisava che costituiscono una leva importante in termini di ammodernamento del Paese la riduzione della spesa per acquisti di nuovi data center e l’incentivo all’adeguamento di quelli già in uso con il principale intento di evitare problemi di interruzione del pubblico servizio e velocizzare il processo di migrazione al cloud. È poi con la circolare AgID 30 dicembre 2017, n. 5, che viene avviato un processo di indagine tramite apposito “Questionario di rilevazione del Patrimonio ICT della PA”, da cui nasce l’idea della costituzione di un polo strategico unico per la gestione in cloud dei servizi pubblici erogati dalle PPAA.
In questo contesto, il PNRR ha portata dirompente perché costituisce l’essenziale elemento di impulso verso l’implementazione di un’infrastruttura cloud sicura ed efficiente. Il PNRR impegna notevoli risorse finanziarie per la transizione digitale (il 27%), nel pieno rispetto dei principi enucleati nel CAD e nel Piano triennale dell’informatica, con particolare attenzione al cloud prevedendo investimenti pubblici pari a 9,72 miliardi di euro per infrastrutture e tecnologie digitali all’avanguardia e per la ricerca e lo sviluppo nei settori strategici del Paese.
Il PNRR sposa inoltre l’idea di trasformazione digitale della PA seguendo il principio del cloud first: la transizione digitale deve avvenire tramite l’efficientamento e la messa in sicurezza dei data center sparsi sul territorio nazionale e la migrazione dei dati delle pubbliche amministrazioni verso infrastrutture cloud. Si tratta di una netta scelta di campo: “Le Amministrazioni possono scegliere se migrare verso una nuova infrastruttura cloud nazionale all’avanguardia (“Polo Strategico Nazionale”, PSN) o verso un cloud “pubblico” sicuro, a seconda della sensibilità dei dati e dei servizi coinvolti. La migrazione al cloud offre l’opportunità di eseguire un’importante revisione e aggiornamento dei processi e delle applicazioni delle PA” In quest’ottica, il PNRR intende effettuare un decisivo cambio di passo verso l’efficienza e sicurezza delle infrastrutture cloud, superando le criticità ravvisate in precedenza.
Nel quadro di questo forte stimolo verso l’implementazione del cloud si inserisce il connesso e cruciale obiettivo dell’autonomia tecnologica. Con la modifica all’Art. 33 septies del d.l. 179/2012 viene stabilito che l’autonomia tecnologica debba necessariamente accompagnare i principi di qualità, sicurezza, scalabilità, efficienza energetica, sostenibilità economica e continuità operativa nella messa a punto e nella gestione delle infrastrutture e dei servizi digitali pubblici, e che AgID stabilisca con apposito Regolamento i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali della pubblica amministrazione.
I servizi cloud sono erogati tramite data center della PA (interni o esterni) che dovrebbero possedere caratteristiche tali da assicurare adeguati standard di affidabilità e resilienza.
Raggiungere e mantenere tali standard richiede tuttavia investimenti e competenze che oggi non sono ancora nella disponibilità interne alle pubbliche amministrazioni centrali e locali. La Strategia Cloud Italia si pone in questo contesto come metodologia implementativa della policy “Cloud First”, pilastro del progetto di digitalizzazione della PA enunciato nel PNRR del nostro Paese. Mettere in pratica questa policy dovrebbe consentire di guidare strategicamente, e favorire l’adozione sicura, controllata e completa delle tecnologie Cloud per la PA, con l’obiettivo di fare in modo che tutti i servizi erogati siano basati su applicazioni “Cloud native”, sviluppate cioè nativamente sulla base dei paradigmi Cloud.
La Strategia Cloud Italia è oggetto di implementazione attraverso le norme stabilite da due specifici atti regolamentari: il Regolamento AgID, approvato con determina n. 628/2021 e la Determina ACN n. 307/2022. In questo contesto, il ruolo di AgID è quello di definire i requisiti di sicurezza delle infrastrutture cloud, quello di ACN di qualificare i provider privati erogatori dei servizi cloud a cui le pubbliche amministrazioni possono accedere. Il modello previsto dalla Strategia Cloud Italia si declina in tre punti:
- Classificazione di dati e servizi,
- Qualificazione dei servizi cloud;
- Costituzione di un polo strategico nazionale.
Con il Regolamento, viene in primo luogo effettuata la classificazione dei dati in possesso delle pubbliche amministrazioni, divisi in dati di carattere ordinario, critico, strategico, sulla base dell’impatto che il potenziale danneggiamento degli stessi provocherebbe al sistema Paese. I dati “ordinari” sono quelli per cui un eventuale accesso terzo non provoca l’interruzione di servizi della PA o un impatto negativo sul benessere economico e sociale del Paese. Sono considerati dati “critici” quelli che, se compromessi, potrebbero pregiudicare la continuità di funzioni rilevanti per la società, la salute, la sicurezza. Infine, i dati “strategici” sono quelli che impattano direttamente sulla sicurezza nazionale.
In secondo luogo, vengono definite le varie tipologie di servizi cloud in dotazione della pubblica amministrazione, distinguendo tra tre categorie (Iaas, Paas, SaaS) tenendo conto di un adeguato sistema di sicurezza tecnologica, a cui le pubbliche amministrazioni devono necessariamente rivolgersi. In particolare, per far sì che ciò avvenga, viene predisposto un apposito iter di cui alcuni fondamentali passi sono già stati implementati:
- predisposizione, a cura di ciascuna pubblica amministrazione, di un elenco di dati e servizi, classificati in base alla loro natura di dati ordinari, critici, strategici, elenco poi sottoposto a verifica di conformità da parte dell’Agenzia per la Cybersicurezza nazionale (ACN);
- predisposizione delle infrastrutture digitali (tra cui il Polo strategico nazionale) e dei servizi cloud rispettosi delle caratteristiche previste dal Regolamento, servizi cloud che devono necessariamente essere anche provvisti della qualificazione rilasciata da ACN;
iii. migrazione, tramite apposito piano, dei dati in possesso delle pubbliche amministrazioni verso le infrastrutture digitali o verso i servizi cloud dotati dei requisiti di sicurezza previsti da ACN e della necessaria qualificazione ottenuta secondo il procedimento delineato dall’Art. 13 del Regolamento. La migrazione dei dati verso le infrastrutture cloud deve essere completata entro il 30 giugno 2026.
La Determina ACN, insieme al Regolamento AgiD, costituisce l’altro pilastro dell’implementazione del principio Cloud First mediante Strategia Cloud Italia.
Essa suddivide i livelli di qualificazione dei CSP (Cloud Service Provider) in quattro categorie, che, in ordine crescente, dispongono di requisiti via via più stringenti dal punto di vista della garanzia di sicurezza del servizio. Solo i servizi cloud dotati delle qualificazioni di livello 3 e 4, infatti, possono contenere al loro interno dati critici e strategici, mentre i dati di carattere ordinario possono essere conservati anche in servizi cloud di qualificazione 1 e 2.
Al fine di ottenere la qualificazione, il provider privato deve poi rispettare il procedimento di cui all’Art. 13 del Regolamento AgID. In tale disposizione si specifica che:
- l’ACN è dotata di poteri ispettivi e di vigilanza nei confronti dei soggetti erogatori di servizi cloud per conto delle pubbliche amministrazioni;
- la qualificazione ha una durata massima di due anni;
- qualora emergano criticità nel corso delle verifiche, è facoltà di ACN revocare la qualifica precedentemente rilasciata.
Appare dunque evidente l’importanza e la rilevanza di Strategia cloud Italia: regolare l’attività dei provider privati e ‘guidarli’ verso standard di qualità e sicurezza adeguati è elemento cruciale per l’implementazione di un’infrastruttura cloud che risponda in modo veramente efficace alle esigenze dei cittadini.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale