Con Strategia Cloud Italia si delinea il passaggio strategico della PA italiana ad un cloud che sia allo stesso tempo performante e sicuro. Ma basteranno quattro anni?
Per anni
ci siamo lamentati di una certa
arretratezza digitale della nostra Pubblica Amministrazione, tanto centrale quanto locale. Anche qui però la pandemia del 2020 ha fatto, in parte, da spartiacque. Ha reso evidente che il cittadino
va raggiunto con nuovi servizi digitali e che la digitalizzazione negli enti pubblici deve decisamente accelerare. La decentralizzazione e le pretese, anche eccessive, di autonomia non hanno aiutato in questi anni. Serviva un indirizzo strategico, collegato anche al PNRR, e adesso è arrivato con
Strategia Cloud Italia.
Il
piano Strategia Cloud Italia serve appunto - testualmente - a "
fornire l’indirizzo strategico per l'implementazione e il controllo di soluzioni cloud nella Pubblica Amministrazione". Ovviamente la PA centrale e gli enti locali il cloud già lo conoscono bene e lo
usano. Il senso del piano strategico è
organizzare la migrazione verso un modello di cloud che sia in linea con le esigenze che uno Stato ha oggi nella gestione dei suoi dati e servizi. Non da ultimo, un cloud che mantenga i dati critici al sicuro e senza il rischio che si trovino, e nemmeno transitino, in altre nazioni. O perlomeno in nazioni non UE.
Uno dei messaggi chiave del piano Strategia Cloud Italia è che
non basta un qualsiasi cloud per le esigenze della PA. Basterebbe per digitalizzarla, certo, ma le esigenze degli enti pubblici non sono le stesse delle aziende e dei cittadini. Serve qualcosa di
più controllato, sicuro, organizzato. In una visione, aggiungiamo noi, che in effetti potrebbe essere anche seguita dalle aziende italiane più attente alla criticità delle proprie informazioni.
Strategia Cloud Italia mette in evidenza
tre sfide per il cloud della PA, sfide che diventano di fatto tre obiettivi da conseguire. Primo, l'
autonomia tecnologica: mettersi completamente in mano a cloud provider non-UE
è rischioso, serve realizzare anche una infrastruttura cloud su cui si abbia il controllo completo (sarà il Polo Strategico Nazionale). Seconda sfida, il
controllo sui dati: è inevitabile che la PA usi in qualche modo il cloud pubblico generico, ma questo deve avvenire solo per alcune tipologie di dati ben definiti, e tenendo conto che questo rappresenta comunque un rischio (tecnologico ma anche geopolitico).
Terza sfida, la
resilienza: il cloud della PA è di fatto una infrastruttura critica che deve essere "solida" a tutti gli effetti. Questo significa solidità infrastrutturale e per la cyber security, ma per il piano Strategia Cloud Italia poter operare con continuità deriva anche dalla possibilità di
spostare liberamente dati e servizi da un cloud provider esterno all'altro. Non tutti permettono allo stesso modo, o affatto, questo livello di interoperabilità, da qui la necessità di una "qualificazione" dei fornitori di cloud pubblico e dei loro servizi. Con una palese preferenza per l'ecosistema europeo
Gaia-X.
Strategia Cloud Italia: il Polo Strategico Nazionale
La PA italiana non ambisce a farsi una infrastruttura cloud completamente propria e ad usare solo quella. Non sono più i tempi della centralizzazione tecnologica assoluta, anche se le tentazioni in questo senso possono esserci. Vuole però sviluppare "
una nuova infrastruttura informatica a servizio della PA localizzata sul territorio nazionale", che diventa il
Polo Strategico Nazionale.
In concreto, il PSN è una
infrastruttura distribuita su almeno (inizialmente) quattro siti distinti e situati in almeno due Regioni diverse. Difficile pensare che all'inizio non si tratti di Lombardia e Lazio, data la distribuzione attuale dei data center in Italia. La gestione operativa del PSN non sarà diretta ma "
affidata a un fornitore qualificato sulla base di opportuni requisiti tecnico-organizzativi".
Il Polo Strategico Nazionale diventa di fatto un cloud provider ad ampio spettro:
il provider largamente preferenziale (ma non unico) delle PA italiane. Ospiterà dati e servizi strategici della Pubblica Amministrazione, offrirà servizi di cloud privato e ibrido in modalità
IaaS e PaaS, si occuperà della migrazione dei servizi e delle applicazioni che le PA già hanno in essere. Questo ruolo essenziale deriva da un duplice approccio delineato dal piano Strategia Cloud Italia e che le PA dovranno seguire: un modello "
cloud first" nell'acquisizione delle risorse IT e nello sviluppo di servizi digitali, una scelta dei provider cloud
guidata dai dati e dai servizi che essi dovranno gestire.
Al centro, la sicurezza
È proprio questa
classificazione delle informazioni da gestire e dei servizi da erogare che
mette in primissimo piano i provider europei e il PSN. Nella scelta dei servizi cloud, il singolo ente pubblico dovrà considerare in quale delle seguenti categorie ricadono i dati e i servizi che deve gestire.
Dati e servizi strategici: la cui compromissione può avere un impatto sulla sicurezza nazionale.
Dati e servizi critici: la cui compromissione può influire negativamente sul mantenimento di funzioni rilevanti per la società, la salute, la sicurezza, il benessere economico e sociale.
Dati e servizi ordinari: la cui compromissione non provoca l’interruzione di servizi dello Stato o,
comunque, effetti negativi sul benessere economico e sociale della nazione.
Fatta, possibilmente in maniera prudenziale e conservativa, questa classificazione,
ne derivano quasi automaticamente i servizi cloud che possono essere scelti dall'ente che li sta valutando. Con una importante premessa: i fornitori ed i servizi "non qualificati", ossia giudicati insufficienti dalla
Agenzia per la Cybersicurezza Nazionale (ACN) rispetto alla compliance alle normative UE,
non possono in alcun caso essere scelti. E "non qualificati" sono certamente tutti i servizi e provider che non garantiscono il mantenimento dei dati sul territorio dell'Unione Europea.
Il cosiddetto "cloud qualificato" - quindi "promosso" dall'ACN dopo varie valutazioni - è composto da quattro categorie di servizi, che sono
classificati in base alla implementazione tecnica, specie per quanto riguarda la protezione dei dati e la loro collocazione.
I servizi
Cloud Pubblico qualificato (UE) garantiscono la localizzazione dei dati in UE e genericamente la loro cifratura. I servizi
Cloud Pubblico Criptato (IT) garantiscono la localizzazione dei dati in UE e in più le chiavi di cifratura conservate e gestite in Italia.
Il piano Strategia Cloud Italia prevede poi una classe di servizi cosiddetti
Cloud privato/ibrido su licenza (IT), in sostanza implementazioni di cloud privato/ibrido basate su tecnologie
offerte in licenza da un hyperscaler certificato. La classe più stringente di servizi è la
Cloud Privato Qualificato (IT), ossia implementazioni di cloud privato in cui tutto è sotto controllo diretto, in primis i dati.
Per le PA e gli enti locali che devono adottare il cloud, queste classificazioni sono una vera e propria guida a prova di errore, perché
una certa classe di dati o servizi può essere affidata solo a categorie di cloud ben determinate. I dati e servizi ordinari possono fare capo solo alle offerte
Cloud Pubblico qualificato (UE) e
Cloud Pubblico Criptato (IT). I dati e servizi critici possono fare capo solo alle offerte
Cloud Pubblico Criptato (IT), Cloud privato/ibrido su licenza (IT), Cloud Privato Qualificato (IT). I dati e servizi critici possono fare capo solo alle offerte
Cloud privato/ibrido su licenza (IT), Cloud Privato Qualificato (IT).
Ci sono poi altre indicazioni precise. I servizi di tipo
Cloud Pubblico Criptato (IT), Cloud privato/ibrido su licenza (IT), Cloud Privato Qualificato (IT) devono essere erogati dal PSN. Le
amministrazioni locali dovrebbero limitarsi alle offerte di cloud pubblico generico o criptato, le
amministrazioni centrali dovrebbe invece evitare del tutto il cloud pubblico generico, affidandosi quindi completamente al PSN.
Strategia Cloud Italia: i prossimi passi
La strategia delineata per il cloud delle PA è articolata, ma i tempi di realizzazione indicati dal piano Strategia Cloud Italia
sono relativamente brevi. Il bando di gara per la realizzazione del PSN va pubblicato prima di fine 2021 e il completamento del Polo Strategico Nazionale è previsto un anno più tardi. Da quel momento - fine 2022 -
parte la migrazione della PA verso il PSN, da concludersi entro la fine del 2025.
L'Agenzia per la Cybersicurezza Nazionale (ACN) e il Dipartimento per la Trasformazione Digitale (DTD) saranno le principali entità che
definiranno il piano di migrazione al cloud degli enti pubblici. Insieme al soggetto pubblico/privato, ancora indefinito, che gestirà operativamente il PSN. Ma la criticità da affrontare subito si sa già quale è: il passaggio al cloud
delle 95 PA centrali e delle 80 ASL che devono essere migrate con urgenza perché operano con infrastrutture
insicure e critiche. Un impegno - e un business - quantificato nella messa in opera di quasi 2.400 rack server e oltre 51 petabyte di storage.
Dopo questi enti in difficoltà digitale, il PSN dovrebbe attrezzarsi per servire un secondo gruppo di 13 PA centrali che secondo AgID hanno infrastrutture sufficientemente sicure e
possono quindi erogare servizi strategici in autonomia. Ma possono anche voler utilizzare i servizi erogati dal PSN, in funzione delle loro esigenze. Il resto della PA - 93 altre PA centrali e le principali amministrazioni locali -
potrà muoversi in tempi diversi, perché non ha esigenze pressanti che il PSN debba prepararsi a soddisfare in tempi brevi.
Volendo tirarne le somme, il piano Strategia Cloud Italia appare logico e mosso dalle migliori intenzioni. I potenziali punti critici però non mancano, ovviamente. A partire dal processo di qualificazione dell'ACN: viene da chiedersi
quanto sarà draconiano, nei fatti, considerando che i grandi hyperscaler mondiali difficilmente
potranno e vorranno essere messi da parte senza reazioni.
E poi, come negare di non avere
qualche perplessità ogni volta che si parla di creare un grande soggetto pubblico/privato che gestirà una infrastrutture critica? Infine, il tempo. Anche se consideriamo che la migrazione della PA italiana in cloud potrà considerarsi ufficialmente completa - un po' curiosamente - quando avrà coinvolto il 75% degli enti possibili, ci sono comunque
giusto quattro anni per far fare alla Pubblica Amministrazione un bel salto digitale. Il da fare non manca.