La parola d’ordine per il futuro della PA è cloud: cosa comporta? Quali sono sfide e vantaggi?
Tra gli obiettivi primari del PNRR vi è la digitalizzazione della pubblica amministrazione italiana e il cloud è uno degli elementi fondamentali. A tal proposito, nel 2021 il Ministro dell’Innovazione tecnologica e transizione digitale ha pubblicato la “Strategia Cloud Italia“, un piano che prevede la trasmigrazione di almeno il 75% dei dati della Pubblica Amministrazione verso un unico ambiente cloud.
La digitalizzazione della PA
La digitalizzazione della PA è iniziata già da qualche anno sotto l’egida di AgID, la quale aveva strutturato un percorso destinato a soggetti pubblici e privati per fornire infrastrutture e servizi cloud efficienti, affidabili e dagli elevati standard di sicurezza.
Il lavoro di AgID ha dato una prima spinta al percorso per la progressiva dismissione dei data center più obsoleti e inefficienti, previsto dal Piano Triennale per l’informatica nella Pubblica amministrazione 2019-2021. Infatti, un censimento condotto da AgID nel 2020 su 1252 data center ha rilevato che:
● 35 sono risultati affidabili e quindi adatti a rientrare nel futuro Polo Strategico Nazionale (PSN);
● 27 sono risultati di media qualità, ma non a livelli sufficienti da poter rientrare nel PSN;
● i restanti sono risultati privi dei requisiti minimi in termini di affidabilità, sicurezza e continuità del servizio. Pertanto, dovranno essere dismessi.
Cosa prevede la “Strategia Cloud Italia”
La Strategia si pone come scopo la realizzazione di un’unica infrastruttura nazionale, resiliente e sicura, che possa supportare l’intero paese.
Si tratta di un piano ambizioso che punta a superare i problemi legati alla mancanza di standard e alle diverse tecnologie utilizzate dagli uffici pubblici. Attualmente, infatti, la PA italiana è composta da 11.000 data center indipendenti, sparsi sul territorio, che comportano costi elevati e la cui efficienza è, come abbiamo visto, scarsa. Al contrario, un unico sistema cloud nazionale permetterebbe maggiore efficenza e anche un risparmio stimato in circa 500 milioni di euro l’anno.
Per riuscire nell’impresa sono necessari:
- l’adozione di standard e linee guida condivise a livello nazionale per la progettazione, l’implementazione e la gestione dei data center;
- la costruzione di una struttura ibrida pubblico-privato per consentire alle amministrazioni pubbliche di scegliere la soluzione più adatta alle proprie esigenze;
- la cooperazione tra i diversi attori coinvolti, dalle amministrazioni pubbliche agli operatori del settore privato. Infatti, affinché questo piano possa avere successo, è importante che gli enti pubblici siano convinti della sua utilità e lavorino insieme per la sua realizzazione.
La “Strategia Cloud Italia” si sviluppa su tre direttrici:
- classificazione dei dati;
- qualificazione dei servizi cloud;
- il Polo Strategico Nazionale.
Classificazione dei dati
La prima direttrice consente alle amministrazioni di predisporre i piani di migrazione verso il Polo Strategico Nazionale e verso infrastrutture cloud qualificate.
La classificazione prevede che i dati e servizi rientrino in 3 livelli:
- strategico: sono servizi che, se compromessi, hanno un impatto sulla sicurezza nazionale;
- critico: sono servizi che, se compromessi, possono incidere sul mantenimento di funzioni fondamentali per il Paese con impatti su tenuta sociale, salute, sicurezza, economia.
- ordinario: la loro compromissione non incide sul benessere economico e sociale.
Come si vede, a ogni livello corrisponde una criticità diversa, pertanto essi richiedono misure di sicurezza, qualità e affidabilità del cloud diverse.
Le PA possono provvedere autonomamente alla classificazione tramite la piattaforma PA digitale 2026, accedendo con l’identità digitale (SPID o CIE).
Qualificazione dei servizi cloud
La seconda direttrice riguarda la qualificazione dei fornitori di servizi cloud. I servizi cloud saranno analizzati in considerazione di parametri come:
- standard tecnico-organizzativi e misure di controllo sui dati;
- sicurezza nella gestione dei dati e nell’erogazione di servizi;
- condizioni contrattuali.
I servizi possono essere dunque classificati in:
- servizi di cloud pubblico non qualificato (extra UE/UE): servizi che non rispettano i parametri tecnico-organizzativi e normativi;
- servizi di cloud pubblico qualificato (UE): sono in linea con le norme di riferimento (per esempio, il GDPR), permettono la localizzazione dei dati in UE, rispettano i requisiti di sicurezza tecnico organizzativi;
- servizi di cloud pubblico con controllo on-premise dei meccanismi di sicurezza, o Cloud Pubblico Criptato (IT): offrono un maggiore livello di controllo sui dati e sui servizi, dando maggiore autonomia ai Cloud Solution Provider (CSP) extra-UE nella gestione nel controllo delle infrastrutture;
- Soluzioni di cloud privato e ibrido: consentono la localizzazione dei dati in Italia e la loro autonomia è garantita da un soggetto pubblico che vigila e monitora i CSP.
Il Polo Strategico Nazionale
Il PSN è la vera e propria infrastruttura informatica che servirà per il cloud italiano. Sarà formata da quattro data center localizzati in almeno due regioni diverse e a gestire sarà un fornitore di cloud pubblico qualificato (che è stato scelto a seguito di gara lo scorso 22 giugno 2022).
I quattro data center saranno collegati in fibra ottica e dovranno rispettare requisiti di sicurezza molto elevati.
Cloud italiano: ostacoli…
La cloud migration pubblica solleva alcune questioni e preoccupazioni.
Tra i problemi più rilevanti, si segnalano:
– La vulnerabilità delle infrastrutture IT: la maggiore accessibilità ai dati e ai servizi pubblici, li rende più vulnerabili agli attacchi informatici.
– La mancanza di standard: la maggiore flessibilità nell’erogazione dei servizi pubblici potrebbe rendere più difficile la definizione di parametri di qualità e di sicurezza.
– Il rischio di dipendenza: l’uso massiccio delle infrastrutture IT da parte della PA potrebbe comportare una maggiore dipendenza dai fornitori dei servizi cloud pubblici.
…e vantaggi
Tuttavia, i vantaggi del passaggio al cloud della PA sono indiscutibili, sia per le amministrazioni che per i cittadini.
Tra i principali vantaggi per le amministrazioni pubbliche, si possono menzionare:
– la riduzione dei costi: il cloud pubblico consente di abbattere le spese legate alla gestione, al mantenimento e all’aggiornamento delle infrastrutture IT, anche grazie alla condivisione delle stesse tra più enti.
– la maggiore efficienza: il cloud pubblico consente una maggiore flessibilità e scalabilità delle infrastrutture IT, permettendo alle amministrazioni di adattarsi rapidamente alle variazioni delle esigenze dei cittadini.
– la maggiore sicurezza: il cloud pubblico offre un livello di sicurezza elevato, grazie alle misure di sicurezza tecnico-organizzative e alla vigilanza sulle infrastrutture da parte dei fornitori di servizi cloud pubblici qualificati. Inoltre, permette alle amministrazioni di disporre di una copia dei dati in più sedi, riducendo il rischio di perdita e garantendo la continuità del servizio in caso di problemi.
I vantaggi per i cittadini sono, invece:
– la maggiore accessibilità ai servizi pubblici: il cloud pubblico permette una maggiore flessibilità nell’erogazione dei servizi, rendendoli disponibili ovunque e in qualsiasi momento.
– la maggiore trasparenza: il cloud pubblico consente alle amministrazioni di rendere disponibili i dati e i servizi pubblici in modo da permettere ai cittadini di verificarne il corretto funzionamento e di segnalare eventuali problemi.
– la maggiore sicurezza: il cloud pubblico si basa su infrastrutture che devono rispettare elevati standard in termini di cybersicurezza e privacy.