Il 7 settembre il ministro per l’Innovazione tecnologica e la Transizione digitale Vittorio Colao, affiancato dal sottosegretario Franco Gabrielli, Roberto Baldoni (fresco di nomina come direttore della neonata Agenzia per la Cybersicurezza Nazionale) e il Chief Technology Officer del Dipartimento per la Transizione Digitale, Paolo De Rosa, ha presentato alla stampa la “Strategia Cloud Italia”. La presentazione si è svolta poche ore dopo la pubblicazione dello studio economico dell’Ocse sull’Italia che ribadisce, in un capitolo dedicato, la necessità di rafforzare l’efficacia del settore pubblico italiano soprattutto attraverso la digitalizzazione della PA. Questa rappresenta, assieme ad una serie di riforme, una delle tappe imprescindibili per assicurare un periodo di crescita del Paese e l’uscita dalla crisi provocata dalla pandemia.
Non a caso sono stati destinati fondi per ben 6,7 miliardi dal PNRR per la Strategia Cloud Italia che segue i criteri già tracciati per la digitalizzazione della PA, ovvero il principio del “Cloud-First” previsto nel Piano Triennale per l’informatica nella Pubblica Amministrazione.
Un programma già avviato (con qualche difficoltà) da qualche anno che prevede la migrazione in cloud dei sistemi informativi della PA con il conseguente passaggio alla modalità as a service1 .
Tralasciando le infrastrutture già qualificate ad erogare i servizi cloud per le PA, ovvero i CSP (Cloud Service Provider), e il SPC Cloud Lotto 12 , particolare enfasi e stata posta nel PSN (Polo Strategico Nazionale) al quale sono dedicati 1,9 miliardi dei fondi previsti, e che rappresenta la parte più delicata di quella che il ministro ha definito Casa moderna per i dati degli italiani.
«Il cloud italiano dev’essere una casa sicura per i dati degli italiani che si devono poter fidare della PA e dall’altro lato tutte le amministrazioni devono potere dare rapidamente e a costi ragionevoli i servizi per i cittadini» ha detto Colao, aggiungendo che nel progetto del governo «c’è un po’ spazio per tutti, c’è un grande muro europeo, poi c’è un giardino, poi c’è una casa con diverse stanze di cui qualcuna con muri spessi tipo cassaforte e altre normali. Molti troveranno modo di contribuire a questo disegno, italiani e non italiani ma l’Italia prende il controllo delle regole di comportamento in giardino e fuori casa»
“la casa” sarà costituita da 4 data center distribuiti in due Regioni nelle quali andranno a confluire i dati del 75% delle PA entro il 2025.
1 https://docs.italia.it/italia/piano-triennale-ict/cloud-docs/it/stabile/cloud-della-pa.html#id7
2 Attualmente, la maggior parte dei servizi pubblici vengono erogati tramite data center della PA che spesso non rispettano i necessari standard di affidabilità e sicurezza: secondo i dati dell’Agenzia per l’Italia digitale (AgID), infatti, ad oggi il 95% dei circa 11 mila data center utilizzati dagli enti pubblici italiani presenta carenze nei requisiti minimi di sicurezza, affidabilità, capacità elaborativa ed efficienza.
La strategia Cloud Italia prevede un’implementazione in tre fasi. La prima fase, da concludersi entro fine 2021, prevede la pubblicazione del bando di gara per la realizzazione del PSN, che verrà assegnato al più tardi entro la fine del 2022 (seconda fase).
Successivamente, a partire dalla fine del 2022 dovrà iniziare la migrazione della PA verso il PSN, da concludersi entro la fine del 2025. In questa fase, verrà data precedenza alle PAC (Amministrazioni Pubbliche Centrali) che attualmente operano con data center propri classificati (secondo il censimento AgID del patrimonio ICT della PA), in Categoria B3 .
Al momento il ministero sta raccogliendo le manifestazioni di interesse per le quali, ha chiarito il ministro, «non ci sono percorsi preferenziali»; si aspetta dunque «una proposta, quando arriverà, se arriverà e se saremo convinti, la valuteremo, altrimenti abbiamo definito oggi le regole e faremo pezzettino per pezzettino. Se qualcuno ci propone la casa intera faremo la casa intera, altrimenti faremo mattone per mattone».
Dunque, in attesa di sapere come avverrà tecnicamente la “costruzione” di questa “casa” vediamo quali sono le regole di indirizzo già definite4 .
Il PSN sarà gestito da un fornitore qualificato, che dovrà garantire il controllo sui dati in conformità con la normativa in materia, nonché rafforzare la possibilità della PA di negoziare adeguate condizioni contrattuali con i fornitori di servizi Cloud.
Esso sarà soggetto a controllo, vigilanza e monitoraggio pubblico. Il fornitore che lo gestirà dovrà garantire, fin dalla fase di progettazione, il rispetto dei requisiti in materia di sicurezza e di abilitare la migrazione, almeno inizialmente, con un processo lift-and-shift,verso tipologie di servizi Cloud Infrastructure as-a-Service e Platform as-a-Service (IaaS e PaaS).
I dati da migrare verranno classificati a seconda della loro importanza in Ordinari, Critici e Strategici. Di conseguenza il PSN offrirà servizi di Cloud Pubblico Criptato (IT), ovvero permetterà di gestire, ad esempio, strumenti di cifratura on-premise integrati su Cloud pubblico per la PA, e offrirà lo spettro di servizi Cloud privato/ibrido, ovvero il Cloud Privato/Ibrido “su licenza” (IT), il Cloud Privato Qualificato (IT).
3 Rientrano in questa categoria le amministrazioni con carenze strutturali e/o organizzative o che non garantiscono la continuità dei servizi, https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/02/20/cloud-pa-concluso-il-censimento-ict
4 Riportate nel documento di sintesi https://assets.innovazione.gov.it/1631016873-strategiaclouditalia2021ita.pdf
Nonostante nel documento siano riportati chiaramente le sfide che la strategia cloud dovrà affrontare ossia, l’indipendenza tecnologica, il controllo sui dati e la realizzazione di un sistema resiliente (termine omnicomprensivo, di moda da qualche anno in questo campo, foriero di garanzie di sicurezza sotto gli aspetti tecnologici e regolamentari), restano aperti molti interrogativi e altrettanti nodi da sciogliere: politici, industriali e di sviluppo delle filiere nazionali, sovranità dei dati e gli interessi di parte.
Tra questi non annoveriamo, per il momento, i dettagli tecnici del PSN, dato che la neonata Agenzia Nazionale per la Cybersicurezza che ha assorbito di ogni competenza pubblica sul Cloud precedentemente detenuta da Agid, non ha potuto avere il tempo tecnico per emanare le linee guida.
Ci si interroga innanzitutto quali saranno i criteri di selezione dei soggetti (il plurale è d’obbligo) che realizzeranno le infrastrutture e i servizi, da un lato il ministro annuncia un bando e dall’altro raccoglie proposte. Ricordiamo che già questa primavera si erano fatte avanti tre cordate: Leonardo/Microsoft, Fincantieri/Amazon AWS, TIM/Google. Senza giungere ad un qualche risultato, se non alimentare lo spettro del cloud act americano 5 . Attualmente (anche se il ministro non le cita in conferenza) si sono fatte avanti le cordate tra Almaviva e Aruba, il consorzio Italia Cloud e soprattutto Tim, Cdp, Sogei e Leonardo, la cordata più accreditata, considerando che, in linea teorica, il PSN rientrerebbe nel cosiddetto Perimetro di sicurezza nazionale cibernetica e dovrebbe essere affidato ad una entità a controllo pubblico.
Vi è poi la questione della sovranità dei dati. La possibile apertura (o comunque la non chiusura) agli Hyperscaler del cloud ha suscitato preoccupazioni da più parti. C’è chi avanza dubbi sulla doppia cifratura sul modello francese come garanzia di sicurezza 6 , e chi paventando il già citato cloud act americano propugna l’inammissibilità di soggetti esteri a custodire dati che rappresentano beni collettivi supremi. Il più attivo in questo senso è il consorzio Italia Cloud che per bocca dei suoi rappresentanti, agitando lo spettro del cloud act, ha invocato un’esplicita esclusione dei player internazionali. Al netto degli interessi di parte (e qui il rischio di dumping è concreto) le preoccupazioni sono condivisibili quando si parla di dati strategici. Vedremo se il governo riuscirà a mantenere le promesse e continuare sul solco tracciato dal progetto Gaya – x, senza incorrere in lock-in tecnologici che potrebbero generare tensioni geopolitiche.
La strada sembra ancora lunga, non ci resta che aspettare l’eventuale bando per avere maggiori dettagli, nella speranza che non si tratti di un’altra falsa partenza.
5 Al quale si aggiungono il FISA (Foreign Intelligence Surveillance Act) 702 e l’EO (executive order) 12333, che obbligano le aziende statunitensi che operano all’estero a cedere i dati dei loro clienti ai servizi Usa.
6 https://www.ilsole24ore.com/art/preoccupati-uso-tecnologie-usa-polo-cloud-garantire-sovranita-AE5e4fh
Autore: Federico Pugliese