Un tesoretto di 9,7 miliardi di euro. È questa la somma cui ammontano le previsioni di investimento nella sezione “Digitalizzazione, innovazione e sicurezza nella PA” all’interno del Piano Nazionale di Ripresa e Resilienza (PNRR). Di questa, quasi 2 miliardi di euro sono destinati al capitolo denominato “Infrastrutture digitali” e in cui il cloud ha un ruolo di primo piano. Ma quali sono gli obiettivi del progetto e le caratteristiche della roadmap che è in corso di definizione? Ne abbiamo parlato con Alessandro Piva, Direttore dell’Osservatorio Cloud Transformation del Politecnico di Milano.
La migrazione verso il cloud in un’ottica di cyber security
Il capitolo dedicato alle infrastrutture digitali per la PA chiarisce immediatamente gli obiettivi dal punto di vista strategico: un approccio “cloud first” che, si legge nel documento, è “orientato alla migrazione dei dati e degli applicativi informatici delle singole amministrazioni verso un ambiente cloud”. I vantaggi del processo di migrazione verso ambienti cloud sono intuibili. Il primo è rappresentato dalla razionalizzazione di un sistema che a oggi è piuttosto caotico. Stando alla mappatura dello stesso governo, gli enti pubblici italiani farebbero riferimento a circa undicimila tra data center e centri di elaborazione dati sparsi sul territorio della penisola, con caratteristiche che lasciano ampiamente a desiderare soprattutto in termini di sicurezza. “Stando alle dichiarazioni del Ministro per l’innovazione tecnologica e la transizione digitale Vittorio Colao, il 95% dei data center utilizzati dalla PA avrebbe livelli di security inadeguati” conferma Alessandro Piva. “Il passaggio a tecnologie cloud, sotto questo profilo, rappresenta un’opportunità per elevare gli standard e centrare gli obiettivi indicati nel PNRR”. Il tema, in una fase in cui l’implementazione di un ecosistema efficiente di “cittadinanza digitale” rappresenta una delle sfide principali, è tutt’altro che secondario.
Dalla sicurezza alle performance: tutti i vantaggi del cloud
L’approccio “cloud first” evidenziato nel PNRR punta anche a risolvere l’annosa questione dell’adeguatezza a livello infrastrutturale dei servizi digitali nella PA. L’adozione di piattaforme cloud, infatti, consentirebbe di mettere a disposizione un sistema altamente scalabile, in grado di fornire prestazioni sempre adeguate alle esigenze. I recenti casi di malfunzionamenti e disservizi (si pensi al caso del “clic day” sulla piattaforma INPS dell’aprile 2020, o alle ricorrenti difficoltà vissute dalle piattaforme del servizio sanitario a livello regionale nel corso della pandemia) rappresentano infatti un vero e proprio “freno a mano” per la digitalizzazione nei rapporti tra i cittadini e le amministrazioni. Se il tema della scalabilità ha maggiore rilevanza per le amministrazioni centrali e gli enti di grandi dimensioni come regioni e città metropolitane, per quanto riguarda gli altri enti enti locali rappresenta certamente un’evoluzione che, almeno in prospettiva, consentirà di omogeneizzare la qualità dei servizi, sgravando i singoli soggetti dalla necessità di gestire direttamente le infrastrutture “fisiche”. “Un tema particolarmente rilevante sarà quello economico” sottolinea Alessandro Piva. “In un contesto come quello della Pubblica Amministrazione, dove molti enti hanno le stesse esigenze in termini di servizi, l’uso del cloud consente di ottimizzare i costi, ma bisogna tenere conto delle risorse necessarie per la transizione, soprattutto per quanto riguarda l’acquisizione delle competenze”.
I vincoli e i requisiti per il passaggio al cloud
Di fronte a obiettivi primari estremamente chiari, la declinazione pratica della migrazione verso il cloud della Pubblica Amministrazione comporta una serie di criticità che richiedono una maggiore articolazione. Il punto di partenza riguarda sia il tipo di informazioni trattate, sia le previsioni legislative che regolano il loro trattamento. La normativa nazionale e comunitaria, infatti, prevede specifici requisiti per il loro trattamento e, in particolare, sulla collocazione geografica dei data center utilizzati e la nazionalità degli operatori. “L’aspetto della gestione dei servizi cloud è uno di quelli su cui ci si è mossi con più decisione in questi mesi” conferma Alessandro Piva. “L’obiettivo è quello di mantenere la sovranità nella gestione dei dati attraverso il coinvolgimento di soggetti italiani, anche attraverso una partecipazione diretta del soggetto pubblico, riuscendo comunque a sfruttare anche le tecnologie allo stato dell’arte sviluppate da soggetti stranieri”. Uno dei nodi, infatti, è quello collegato al divieto di conservare dati nei data center di operatori (come quelli statunitensi) che non possono garantire una protezione adeguata delle informazioni da eventuali ingerenze di governi stranieri. Il quadro giuridico europeo, a partire dalla sentenza Schrems II, fissa infatti requisiti estremamente stringenti, che si scontrano però con quello che è il quadro tecnologico e di mercato di fronte al quale ci troviamo davanti.
Quale cloud per la PA?
Il quadro che si sta delineando prevede una sorta di “doppio binario”. Per quanto riguarda il trattamento dei dati, infatti, è prevista una distinzione tra dati ordinari; dati critici e dati strategici. Se per i primi l’indicazione nel PNRR è quella della possibilità di accedere a piattaforme cloud private, pubbliche o ibride, per quanto riguarda le categorie di “critico” e “strategico” le cose si fanno più complicate. “Il PNRR prevede che 1 miliardo dei 2 stanziati per le infrastrutture digitali per la PA siano destinati alla creazione del Polo Strategico Nazionale (PSN), che consentirà una gestione da parte del settore pubblico di tutti i servizi con profili particolarmente sensibili” spiega Alessandro Piva. “Tra questi, alcuni tra quelli erogati dalle amministrazioni centrali, ma non solo: vi rientrano anche servizi erogati dal settore sanitario”. La proposta individuata dal Dipartimento per la Trasformazione Digitale (DTD) come “soddisfacente i requisiti espressi nella policy Cloud Italia presentata il 7 settembre” è quella che vede coinvolti TIM, Enterprise Market, in qualità di mandataria della costituenda ATI con CDP Equity, Leonardo e Sogei. Per quanto riguarda i servizi con un livello di “sensibilità” inferiore, cioè la gestione dei dati ordinari, gli enti potranno rivolgersi a fornitori di servizi cloud del settore privato. La possibilità delle PA di ricorrervi, in ogni caso, sarà legata a un processo di certificazione che ne garantisca la compatibilità con i requisiti normativi e le linee guida individuate a livello nazionale e continentale.
Un puzzle complicato
Fin qui le linee guida e lo stato dell’arte nell’avanzamento della creazione del PSN. Come accade spesso, però, il diavolo si nasconde nei dettagli. Il primo dettaglio riguarda il processo di migrazione e i soggetti coinvolti. Se per le grandi amministrazioni centrali, infatti, i problemi sono relativamente semplici da risolvere, le cose cambiano in altri settori. “Nel settore della salute, che rientra tra quelli in cui buona parte dei dati rientrano sicuramente nella categoria delle informazioni critiche, penso che il processo dovrà tener conto delle caratteristiche del sistema sanitario nazionale e delle eccellenze presenti” sottolinea Alessandro Piva. “L’articolazione a livello regionale e la presenza delle società che gestiscono in house i servizi informatici sono sicuramente un elemento di valorizzare nell’evoluzione prevista”. Non solo: qualche criticità riguarda anche i fondi messi a disposizione dallo stesso PNRR. I 900 milioni di euro indicati a capitolo sono tutt’altro che pochi, ma se si considera il numero di soggetti che saranno interessati dal processo di “ristrutturazione digitale”, la cautela da parte di chi ha qualche dubbio sull’adeguatezza degli investimenti è più che fondata. Insomma: da qui al 2025, orizzonte che è stato fissato per portare su cloud il 75% della Pubblica Amministrazione, sarà necessario sciogliere ancora parecchi nodi.
