Cloud nazionale, la PA diventerà più snella: ecco tutti i cambiamenti - Agenda Digitale

Lo scenario

Cloud nazionale, la PA diventerà più snella: ecco tutti i cambiamenti

Migrazione verso il cloud della PA, non solo dismissione dei CED ma una potenziale rivoluzione da non perdere: ecco lo stato dell’arte del cloud nazionale e tutti i benefici per la pubblica amministrazione

12 Nov 2021
Giuseppe Arcidiacono

Responsabile Sistema Informativo at ARCEA

La migrazione della pubblica amministrazione verso tecnologie e servizi di tipo cloud, partita ormai da diversi anni, deve essere letta ed analizzata in maniera indipendente dalla dismissione dei data center e delle infrastrutture fisiche utilizzate dagli enti centrali e periferici.

L’implementazione della grande “nuvola pubblica”, infatti, rappresenta una vera e propria rivoluzione che si estende ben oltre i limiti strettamente tecnici ed informatici e, se ben gestita, potrebbe condurre l’apparato burocratico italiano verso una nuova era, nella quale i sistemi informatici potranno essere efficienti, sicuri, resilienti ma soprattutto in grado di interloquire tra loro in maniera quanto più possibile automatizzata e, soprattutto, sganciata dall’intervento di operatori umani.

Burocrazia, come il cloud snellisce i processi

Uno dei problemi più importanti riscontrati oggi dai cittadini e dalle imprese che quotidianamente si confrontano con l’articolata e complessa macchina statale, invero, è rappresentato dall’enorme e sproporzionata mole di documenti, informazioni e dati continuamente richiesti da ogni ufficio di ordine e grado.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Cloud pubblico: aspetti tecnici e organizzativi di una complessa migrazione

Sotto tale aspetto, i software attualmente utilizzati dalla PA non solo non aiutano ma addirittura concorrono a rendere ancora più complicata tale situazione: ogni amministrazione, infatti, ha costruito nel corso del tempo programmi, banche dati, software e procedure ritagliate e contestualizzate rispetto al proprio micro-cosmo, senza considerare che la macchina statale deve, al contrario, vivere ed operare all’interno di un più vasto ecosistema nazionale. Si tratta, a volte, di strumenti non al passo con la tecnologia, basati su piattaforme “proprietarie”, difficilmente riutilizzabili o condivisibili ed estremamente onerosi da gestire, manutenere ed aggiornare.

Perché il cloud per la PA è una rivoluzione

Obbligare, pertanto, tutti gli enti a migrare i propri servizi verso il Cloud offre la strepitosa opportunità di rivisitare i sistemi e, soprattutto, di integrarli a partire dalla loro progettazione, grazie alle linee guida, alle regole tecniche ed alle specifiche previste dall’Agenzia per l’Italia Digitale e dal Governo. Passare al cloud, in estrema sintesi, permette di ripensare l’intero modello operativo della macchina statale, che può essere letteralmente ricostruita su nuove basi e tecnologie moderne, al passo con l’evoluzione digitale ma soprattutto può essere rimodellata e plasmata in base all’esperienza acquisita nel corso di tanti anni di (mal)funzionamento e (dis)organizzazione.

Solo in questo modo sarà possibile concretizzare e valorizzare il tanto pubblicizzato principio del “Once Only”, promosso anche dal Piano Triennale per l’Informatica nella pubblica amministrazione 2020 – 2022, secondo il quale l’apparato statale deve ricercare le informazioni prioritariamente al proprio interno, favorendo le interlocuzioni e gli scambi di informazioni tra le proprie articolazioni centrali e territoriali.

Obiettivo: superare vincoli e limitazioni

Per comprendere al meglio la portata straordinaria del Cloud, che non a caso è definita come una tecnologia “disruptive” da tutti gli addetti ai lavori, è possibile utilizzare l’esempio di una grande città fortemente urbanizzata, nella quale anni di costruzioni senza controllo hanno creato vincoli ormai non superabili quali strade tortuose, palazzi troppo vicini, assenza di verde, eccessiva densità abitativa.

Partendo dalla considerazione che le medesime limitazioni nascono, nel contesto della pubblica amministrazione italiana, da lunghi periodi di implementazioni o acquisizioni di software e strumenti digitali non troppo razionali (per usare un eufemismo), la migrazione sulla nuvola pubblica offre oggi la possibilità di trasformare, in maniera non traumatica, i problemi ereditati dal passato in incredibili opportunità di ripartenza e riprogettazione.

La normativa di riferimento

Continuando nel nostro esempio, è come se fosse possibile, nella nostra città di riferimento, allargare le strade, eliminare gli incroci più pericolosi, innestare verde pubblico o “espandere” il centro abitato. Con un colpo di spugna quasi miracoloso, infatti, la migrazione verso il Cloud può permettere di ridisegnare i connotati digitali della pubblica amministrazione, offrendo un’occasione praticamente unica, anche grazie ai finanziamenti che a breve arriveranno nel contesto del “Recovery Fund”.

All’interno della grande cornice normativa costituita essenzialmente dal Codice dell’Amministrazione Digitale, che grazie all’articolo 71 affida all’AgID la facoltà di emanare circolari aventi forza di legge, dalla “Strategia per l’innovazione tecnologica e la digitalizzazione del Paese 2025” e, da ultimo, dal Piano Nazionale di Ripartenza e Resilienza, si stanno infatti ponendo le fondamenta di un nuovo schema operativo della pubblica amministrazione, che dovrà essere favorito dal modello strategico di evoluzione del sistema informativo promosso dal Governo.

VISTO il decreto legislativo 7 marzo 2005, n. 82, recante “Codice dell'amministrazione digitale” e, in particolare, l'ar

Modello strategico di evoluzione del sistema informativo della Pubblica amministrazione.

Fonte: AgID

Considerata la rapidissima obsolescenza dei sistemi software, la migrazione verso il Cloud obbligherà, di fatto, le pubbliche amministrazioni ad adottare, al più tardi al momento di sostituzione dei propri strumenti informatici, soluzioni “certificate” dall’Agenzia per l’Italia Digitale e, pertanto, già pensate per essere interoperabili, interconnesse ed in grado di scambiare informazioni nella maniera più semplice possibile.

Il Cloud Marketplace, cuore pulsante della nuvola pubblica

La grande “nuvola pubblica” in fase di costruzione, infatti, deve essere pensata come un’articolata piattaforma operativa progettata per fornire una visione unitaria dei servizi offerti dall’apparato burocratico nazionale. Il cuore pulsante del modello ideato da AgID è rappresentato dal cosiddetto “Cloud Marketplace” che è destinato a divenire un vero e proprio contenitore di soluzioni già pronte ed aderenti ai principi ispiratori della nuova pubblica amministrazione; sia i fornitori che i singoli servizi offerti, infatti, sono vagliati preventivamente dai tecnici dell’Agenzia per l’Italia Digitale con l’obiettivo di verificare l’effettivo rispetto di una serie di vincoli e requisiti estremamente stringenti in termini di sicurezza, efficienza ed interoperabilità.

Modello del Cloud della PA

Cloud Marketplace. Fonte: AgID

Nel mercato elettronico, pertanto, le pubbliche amministrazioni troveranno servizi aderenti ai principi dettati dal Piano Triennale ICT e potranno scegliere la soluzione più adatta alle proprie esigenze all’interno di un catalogo costantemente monitorato dall’Agenzia per l’Italia Digitale grazie al processo di selezione e qualificazione dei fornitori e dei software. È fondamentale ricordare come a decorrere dal 1 aprile 2019, le Amministrazioni Pubbliche non possano più acquisire servizi IaaS, PaaS e SaaS che non siano stati preventivamente pubblicati nel Cloud Marketplace.

Come è possibile leggere sulla home page del MarketPlace, “per le modalità di acquisizione da soggetti privati dei servizi Cloud qualificati, occorre fare riferimento alla normativa vigente in tema di procurement delle pubbliche amministrazioni (Codice degli appalti) e agli strumenti delle centrali di committenza come, ad esempio, il Mercato elettronico della PA (MEPA) di Consip accessibile tramite il portale www.acquistinretepa.it”. Allo stato attuale, nel Cloud MarketPlace sono presenti schede relative a 113 Infrastrutture, 874 Servizi SaaS, 208 PaaS, 152 Schede IaaS e 849 Fornitori.

Il Cloud e il modello di Interoperabilità della PA

Un tassello fondamentale del processo di rinnovamento della pubblica amministrazione, che deve essere considerato strettamente complementare alla migrazione verso il Cloud, è costituito dal “Modello di Interoperabilità della PA” (conosciuto anche con l’acronimo ModI), che, focalizzandosi sulle tecnologie e le loro modalità di utilizzo, è finalizzato ad interconnettere tra loro le amministrazioni centrali, regionali e locali e garantire interlocuzioni digitali con i Servizi degli altri Stati Membri dell’Unione Europea e con i gestori di servizi pubblici e dei soggetti privati.

Il MoDI, in particolare, deve essere implementato in maniera congiunta con la nuvola pubblica in quanto abilita lo sviluppo di nuove applicazioni “interoperabili by design” per gli utenti della PA, assicurando, nel rispetto del diritto alla privacy, l’accesso ai dati della Pubblica amministrazione anche a soggetti terzi.

Diagram Description automatically generated

Ambito di applicazione del modello di interoperabilità. Fonte: AgID

Il nuovo modello, inoltre, essendo progettato in coerenza con i principi declinati nel cosidetto “European Interoperability Framework (EIF) versione 2.066”, pubblicato nel 2010 nell’ambito del programma “Interoperability solutions for public administrations, businesses and citizens”, permette anche di allargare gli orizzonti della nostra PA verso l’Unione Europea, promuovendo la concretizzazione dei principi del Regolamento eIDAS, che mira a creare una sorta di “Area Shenghen virtuale”, nella quale i cittadini di tutta l’Unione possano accedere a servizi e dati pubblici senza limitazioni di nazionalità o senza barriere doganali o di frontiera.

In tale contesto, AgID:

  • Con la Circolare n. 1 del 9 settembre 2020, ha definito la “Linea di indirizzo sull’interoperabilità tecnica” che tutte le pubbliche amministrazioni devono adottare al fine di garantire l’interoperabilità dei propri sistemi con quelli di altri soggetti e favorire l’implementazione complessiva del Sistema informativo della PA.
  • Nel processo di certificazione dei servizi SaaS, ossia nella determinazione dei servizi che possono essere acquistati dalla Pubblica Amministrazione, richiede l’esposizione di opportune Application Programming Interface (API), che “dovranno rifarsi alle migliori pratiche di gestione (API management), prevedendo in particolare la tracciabilità delle versioni disponibili, la tracciabilità delle richieste ricevute ed evase, la documentazione degli endpoint SOAP e/o REST disponibili e delle rispettive modalità di invocazione”. Secondo quanto indicato dall’Agenzia per l’Italia Digitale, deve essere sempre possibile la migrazione dell’Acquirente verso un altro Fornitore SaaS con conseguente eliminazione permanente dei propri dati al termine della procedura di migrazione. In aggiunta, il Fornitore SaaS dovrà documentare le procedure e modalità di reversibilità del servizio.

In ossequio a quanto previsto dal modello di Cloud proposto dall’AgID, “quando i servizi SaaS sono erogati da una PA tramite API conformi alle Linee Guida di Interoperabilità, si hanno dei vantaggi in termini di uniformità dei modelli di dato e del rispetto delle indicazioni sulla gestione della disponibilità del servizio. In questo caso l’interoperabilità dell’erogatore SaaS «contagia» l’implementazione del fruitore, incentivando la creazione di nuovi servizi conformi (eg. quando le API vengono usate per creare a loro volta nuovi servizi). Per innescare questo circolo virtuoso è fondamentale che tutte le API della PA si adeguino alle Linee Guida di Interoperabilità”.

I requisiti

Di seguito sono riportati i requisiti richiesti da AgID in merito all’interoperabilità ed alla portabilità per la qualificazione dei servizi SasS:

Codice RequisitoRequisitoElementi di riscontro
Interoperabilità del servizio
RIP1La soluzione SaaS deve esporre opportune Application Programming Interface (API) di tipo SOAP e/o REST associate alle funzionalità applicative, di gestione e configurazione del servizio.Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RIP2Il Fornitore SaaS deve rendere disponibile una adeguata documentazione tecnica delle API che ne chiarisca l’utilizzo.Dichiarazione Fornitore SaaS Verifica documentale
RIP3In caso di aggiornamento delle funzionalità del servizio e/o delle relative API deve essere possibile la tracciabilità delle diverse versioni delle API disponibili, allo scopo di consentire evoluzioni non distruttive (versioning). Anche la documentazione tecnica delle API dovrà essere tempestivamente aggiornata.Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RIP4Devono essere implementate delle limitazioni sul numero di richieste che è possibile sottomettere alle API, collegate alle caratteristiche delle API stesse e della classe di utilizzatori (throttling).Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RIP5Deve essere implementata la tracciabilità delle richieste SOAP/REST ricevute e del loro esito (logging e accounting), anche al fine della non ripudiabilità della comunicazione.Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RIP6Il Fornitore SaaS deve dichiarare se la soluzione SaaS è interoperabile con i servizi pubblici SPID e PagoPA.

La dichiarazione di compatibilità con tali servizi può essere rilasciata solo se il Fornitore SaaS ha già superato le eventuali verifiche tecniche previste dalle normative e/o linee guida in vigore per tali servizi pubblici.

Dichiarazione Fornitore SaaS
Portabilità del servizio e dei dati
RIP7Deve essere sempre possibile da parte dell’Acquirente, su richiesta oppure in modalità self-service, l’estrazione di una copia completa dei dati memorizzati e gestiti dal servizio (in formato standard, non proprietario e riutilizzabile), ivi compresi i dati derivati quali log e statistiche di utilizzo, nonché le configurazioni del servizio. Tali prerogative devono essere garantite per un periodo di almeno due mesi (phase out) a partire dalla cessazione della fornitura (anche nel caso in cui la cessazione sia stata determinata dalla revoca della qualifica da parte di AgID).

SLI previsti: SLI07 e SLI08

Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RIP8Deve essere sempre possibile la migrazione dei dati del servizio verso un altro Fornitore SaaS con conseguente eliminazione permanente dei dati di proprietà dell’Acquirente al termine della procedura di migrazione (inclusi i dati derivati e i dati di backup).Dichiarazione Fornitore SaaS
RIP9La proprietà dei dati deve essere mantenuta dall’Acquirente anche in seguito ad operazioni di acquisizione o fallimento del Fornitore SaaS. In caso di fallimento, chiusura dell’attività o dismissione del servizio, il Fornitore SaaS deve garantire all’Acquirente di poter recuperare i dati (in formato standard, non proprietario e riutilizzabile) e di poter migrare il servizio. Il periodo di tempo a disposizione dell’Acquirente dovrà consentirgli di completare il recupero dei dati e la migrazione del servizio e non potrà comunque essere inferiore a due mesi.

SLI previsti: SLI07 e SLI08

Dichiarazione Fornitore SaaS
RIP10Il Fornitore SaaS deve predisporre un dettagliato piano di reversibilità, contenente le procedure e le modalità per migrare il servizio SaaS e tutti i dati pertinenti (anche derivati).Dichiarazione Fornitore SaaS Verifica documentale

Cloud, i vantaggi: riduzione degli investimenti iniziali e maggiore elasticità

Un ulteriore vantaggio intrinsecamente connesso al Cloud è rappresentato dalla riduzione dei costi di gestione dei sistemi ICT e, in particolare, dalla compressione degli investimenti iniziali rispetto alle classiche installazioni on-premise. Si pensi ad esempio al risparmio legato ai costi di predisposizione delle sale CED ed all’acquisto dei dispositivi hardware che non solo richiedono ingenti risorse iniziali ma vincolano le scelte strategiche anche nel lungo periodo, almeno fino al completamento ammortamento delle infrastrutture fisiche.

Le applicazioni cloud di tipo SaaS, al contrario, presentano piani di costi generalmente legati all’effettivo consumo, che consentono di gestire la crescita di un servizio in maniera dinamica e, tralasciando fenomeni distortivi come quelli del “vendor lock-in”, facilitano la migrazione verso le soluzioni di volta in volta ritenute più vantaggiose.

In tal modo è possibile ottenere anche maggiori livelli di elasticità e scalabilità degli strumenti software utilizzati dalla pubblica amministrazione, che possono essere ampliati o rimodulati in base alle effettive necessità ed in risposta ad eventi imprevisti. Mentre nelle installazioni locali, ad esempio, è necessario dimensionare in anticipo le infrastrutture hardware che ospitano i diversi programmi, nelle soluzioni cloud è possibile acquistare risorse quali RAM, disco rigido, capacità di elaborazione ma anche utenze o singolo “privilegi” (ossia abilitazioni da associare ad un operatore) e “funzioni” nel momento in cui servono e dismetterle quando il periodo di picco è stato superato.

La manutenzione, la sicurezza informatica ed il GDPR

Nella sua analisi delle infrastrutture utilizzate dalla pubblica amministrazione, l’Agenzia per l’Italia Digitale ha riscontrato molteplici criticità anche nella gestione e nell’attuazione delle attività di manutenzione che spesso sono ritenute estremamente onerose dagli enti e sono rimandate o addirittura non effettuate, con gravi ricadute non solo sulle performance ma anche sulla diponibilità, riservatezza ed integrità dei dati trattati. AgID richiede che i servizi forniti attraverso il Cloud della PA siano costantemente aggiornati, migliorati e mantenuti durante tutto il loro ciclo di vita dal fornitore.

In tal modo, gli enti centrali e periferici che acquistano i servizi presenti nel MarketPlace non hanno bisogno di aggiornare i sistemi operativi dei server, acquistare hardware, contrattualizzare personale esterno, pianificare le operazioni o migrare i dati per ottenere i benefici della tecnologia più recente in quanto il miglioramento continuo è garantito in maniera incrementale dal provider certificato dall’Agenzia per l’Italia Digitale. In tal modo, le pubbliche amministrazioni potranno adempiere con maggiore facilità ai molteplici adempimenti derivanti dalle norme sulla sicurezza delle informazioni e dal Regolamento Generale per la protezione dei dati personali. Si pensi, ad esempio, alla gestione delle password, delle informazioni sensibili sui data base o al monitoraggio degli accessi degli amministratori di sistema più volte sollecitato dal Garante per la Privacy.

È importante, comunque, sottolineare come il processo di adeguamento non possa essere circoscritto all’adozione di strumenti tecnologici o di servizi cloud ma, come ribadito da tutti gli standard internazionali di riferimento, debba essere ricondotto a modelli organizzativi, procedurali e strategici, che devono comprendere anche la formazione e la sensibilizzazione di tutte le risorse umane.

Il miglioramento e la rivisitazione dei servizi pubblici

Non è certamente un caso che il Piano per l’Informatica nella pubblica amministrazione 2020 – 2022 inserisca il principio “Cloud First” tra gli strumenti fondamentali al fine di raggiungere l’obiettivo del miglioramento dei servizi pubblici, che devono essere rivisitati per divenire sempre più orientati alle reali esigenze di cittadini ed imprese e fornire risposte di qualità, in maniera tempestiva ed esauriente. In particolare, l’AgID, chiede a tutti gli enti pubblici di privilegiare l’utilizzo di soluzioni “Software as a Service” offerte da fornitori accreditati dall’Agenzia per l’Italia Digitale, anche al fine di:

  • favorire i processi di riuso e condivisione di software, buone pratiche e competenze tra le diverse amministrazioni, con l’obiettivo di minimizzare gli sforzi e ottimizzare i risultati;
  • adottare modelli e strumenti validati e posti a disposizione di tutti gli interessati attraverso canali di tipo digitale.
  • implementare meccanismi di monitoraggio dei propri servizi, con lo scopo di avviare un processo di miglioramento continuo della qualità, dell’efficienza e dell’efficacia.

Un ruolo fondamentale deve essere svolto dal Responsabile per la Transizione Digitale che, nel contesto operativo di ogni ente, dovrà guidare le attività di reingegnerizzazione dei processi, in maniera tale da eliminare ritardi, ridondanze ed inefficienze. Come anticipato in precedenza, un elemento cruciale è rappresentato dalla capacità di fornire una visione identitaria della pubblica amministrazione, che deve presentarsi alla collettività come un’unica grande organizzazione in grado di seguire standard e modelli omogenei a livello nazionale, declinando i propri servizi in base alle particolari necessità dei singoli territori.

Le priorità

La migrazione verso il cloud rappresenta un’occasione irripetibile per la pubblica amministrazione italiana che deve sfruttare la nascita della nuvola pubblica non solo per trasformare i propri strumenti informatici e digitali ma anche e soprattutto per generare un nuovo modello organizzativo di tutta la macchina statale con l’obiettivo di fornire servizi efficienti, efficaci ed in grado di rispondere alle reali esigenze di cittadini, famiglie ed imprese.

Il passaggio al Cloud dovrà, in particolare, favorire il processo di armonizzazione dell’apparato burocratico repubblicano che, in particolare, dovrà sempre più assumere caratteri unitari ed omogenei su tutto il territorio nazionale superando l’attuale situazione di frammentazione a livello territoriale. Sarà, in primo luogo, fondamentale garantire l’interoperabilità dei sistemi e delle banche dati così da concretizzare il principio del “Once Only”, in ossequio al quale un’amministrazione deve evitare di richiedere ai cittadini informazioni e documenti già in possesso di un qualsiasi ente pubblico. Allo stesso modo dovranno essere sfruttati gli altri vantaggi intrinsecamente connessi al Cloud quali la compressione degli investimenti iniziali, la maggiore flessibilità e scalabilità dei servizi, la facilità di ottenere soluzioni in linea con i principi di sicurezza e protezione dei dati personali.

Per raggiungere tali fondamentali obiettivi, l’Agenzia per l’Italia Digitale, nel rispetto dell’articolata cornice normativa di riferimento, non solo ha elaborato regole tecniche ma ha anche messo a disposizione strumenti e risorse in grado di guidare il processo di migrazione. In particolare, l’obbligo di acquistare servizi Cloud attraverso il “Marketplace” certificato permette di orientare le scelte dei singoli enti pubblici verso soluzioni aderenti ai principi dettati dal Piano Triennale ICT 2020 – 2022 e, pertanto, in grado di contribuire alla modernizzazione della pubblica amministrazione.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4