La trasformazione digitale costituisce un’opportunità unica per le PA, ma presenta al contempo sfide complesse sul fronte della sovranità digitale, della sicurezza e dell’integrazione. In questo contesto, la migrazione al cloud è un passaggio prioritario da affrontare per innovare i processi pubblici, in linea con le disposizioni del PNRR. Vediamo in che modo fare.
Migrazione PA al cloud, cosa dice il PNRR
Secondo il PNRR, entro il 2026 il 75% dei servizi digitali pubblici dovrà migrare su piattaforme cloud. Allo stesso tempo, il 100% dei servizi e i dati strategici della Pubblica Amministrazione che hanno impatto sul funzionamento dello Stato dovrà essere ospitato su infrastrutture sicure e sovrane.
La strategia Cloud Italia
In questo contesto, il Dipartimento per la Trasformazione Digitale ha annunciato, in linea con la Strategia Cloud Italia, investimenti per oltre 6 miliardi di euro per supportare i piani di migrazione tramite l’iniziativa PA digitale 2026. Di questi, 1,9 miliardi sono stati allocati specificamente per supportare la migrazione verso il cloud di comuni, scuole, Asl, aziende ospedaliere e pubbliche amministrazioni centrali.
La Strategia Cloud Italia definisce due percorsi principali per la migrazione al cloud. Il primo, denominato “Trasferimento“, implica il trasloco sicuro dell’infrastruttura IT esistente verso il cloud senza apportare modifiche alle applicazioni. Questo approccio, noto come Lift & Shift o rehosting, consiste nel replicare esattamente i servizi esistenti in un ambiente cloud, inclusi applicazioni e dati.
Il secondo percorso, “Aggiornamento“, prevede la modernizzazione delle applicazioni per il cloud attraverso tre strategie specifiche: la sostituzione con soluzioni progettate per il cloud (repurchase/replace), la riorganizzazione dell’architettura applicativa per adattarsi meglio al cloud (re-platform) o una revisione più profonda dell’architettura fondamentale dell’applicazione per ottimizzarla per il cloud (re-architect).
I nuovi indirizzi della PA digitale per il 2026 permettono inoltre alle amministrazioni che avevano inizialmente scelto il percorso di “Trasferimento” ma che poi hanno optato per “Aggiornamento” di proseguire con la loro scelta migliorativa. Questo cambio di strategia, se rappresenta un passo in avanti rispetto al piano originale, consente alle amministrazioni di mantenere il finanziamento precedentemente accordato, incoraggiando così a perseguire soluzioni più avanzate e efficaci.
Migrazione al cloud per la PA, a cosa fare attenzione
A fronte di un quadro geopolitico sempre più instabile, il bisogno dei governi di riaffermare il controllo sulla propria tecnologia si fa sempre più pressante. Ecco dunque che emerge con forza il tema della data repatriation. Nota anche come rimpatrio dei dati o ibridazione dello storage cloud, la data repatriation consiste nella crescente tendenza a riportare i propri dati e la propria infrastruttura entro i confini nazionali.
Questo è oggi possibile grazie a nuove tecnologie come il geofencing che permettono di geo-delimitare l’area in cui i dati sono archiviati, in piena compliance con gli standard di settore e le normative nazionali e sovranazionali (ISO, GDPR, NIS2 etc.). Secondo un rapporto di Capgemini, il 76% delle organizzazioni pubbliche intende adottare soluzioni di cloud sovrano nel prossimo futuro.
Le PA che migrano al cloud devono inoltre prestare particolare attenzione alla sicurezza della soluzione cloud scelta. Secondo le stime di Market Insights, il costo globale della criminalità informatica è destinato ad aumentare nei prossimi quattro anni, passando dai 9,22 trilioni di dollari del 2024 ai 13,82 trilioni di dollari del 2028. In Italia, un cyber attacco provoca un danno medio di 3,7 milioni di euro.
Il rischio di downtime
Il downtime rappresenta un altro pericolo significativo. In media un attacco ransomware causa un’interruzione dei servizi per oltre 22 giorni, la quale si traduce in mancati profitti, danni reputazionali e potenzialmente multe salate per violazione della regolamentazione in materia di trattamento dei dati. Le organizzazioni che violano le norme del GDPR rischiano infatti sanzioni fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’anno fiscale precedente, se superiore.
Questo comporta una notevole pressione finanziaria per le aziende, in particolare per quelle che gestiscono grandi volumi di dati sensibili. Per queste ragioni, è essenziale affidarsi a una soluzione cloud con un’elevata durabilità dei dati e misure anti-ransomware come object lock e versioning.
L’integrazione
Ultimo tema da considerare è quello dell’integrazione. Per garantire la continuità operativa, le pubbliche amministrazioni devono prediligere soluzioni di object storage S3 compatible e edge-ready. Questa scelta infatti assicura tempi rapidi di implementazione e la flessibilità di poter utilizzare qualsiasi applicativo esistente o futuro compatibile con lo standard s3. L’utilizzo di tecnologie edge ready garantisce inoltre una minore latenza, una maggiore resilienza e massimo controllo sui dati da parte delle pubbliche amministrazioni.
Cloud sovrano per la PA: il caso di Cubbit
Cubbit si distingue nell’industria del cloud storage per la sua architettura geo-distribuita. Diversamente dal cloud storage tradizionale, che archivia i dati in pochi data center, il cloud object storage di Cubbit cifra, frammenta e replica i dati in una rete geo-distribuita a perimetro nazionale. Grazie al geofencing, Cubbit permette inoltre di geo-delimitare l’area in cui i dati sono archiviati, fornendo alle PA il pieno controllo su dati, infrastruttura e costi.
Questo risponde alle esigenze specifiche delle nazioni in materia di sovranità digitale, aiutando le pubbliche amministrazioni a rispettare tutti i requisiti di conformità (ISO, GDPR, NIS2 etc.) e garantendo al contempo forte protezione contro ransomware e disastri localizzati.
L’azienda si sottopone inoltre ad auditing periodici da parte di organismi internazionali e ha conseguito le certificazioni ISO 9001:2015 (sistemi di gestione della qualità), ISO/IEC 27001:2013 (gestione della sicurezza delle informazioni), ISO/IEC 27017:2015 (sicurezza del cloud) e ISO/IEC 27018:2019 (privacy nel cloud e protezione dei dati personali).
In aggiunta, Cubbit è abilitato MePa e ha ottenuto qualifica ACN (ex AgID) e il Cybersecurity Made in Europe Label.
Iper-resilienza e sicurezza sono un elemento distintivo di Cubbit. La sua architettura geo-distribuita garantisce una durabilità dei dati fino a 15 9. Contro ransomware e attacchi hacker, Cubbit offre una soluzione di nuova generazione basata su due tecnologie chiave del protocollo S3: object lock e versioning.
Altra caratteristica chiave di Cubbit è la sua flessibilità. Cubbit si integra perfettamente con l’ecosistema S3, semplificando la gestione dei dati ed eliminando la necessità di imparare un nuovo software. I casi d’uso principali comprendono backup off-site automatizzati con client quali Veeam e simili nonché collaborazione sicura su macchine virtuali o NAS locali, oltre a soluzioni di archiviazione compliant di file a lungo termine.
Ad oggi Cubbit conta oltre 200 aziende clienti in tutta Europa, tra cui Granarolo, Amadori, Leonardo e numerose pubbliche amministrazioni.
Contributo editoriale sviluppato in collaborazione con Cubbit