CED

Data center pubblici, è falsa ripartenza con il Semplificazioni: novità e problemi

Con il decreto Semplificazioni riparte il processo di razionalizzazione dei CED pubblici, un tassello fondamentale del lungo ed articolato processo di digitalizzazione della pubblica amministrazione italiana. Ma le novità sono deludenti e solo in parte davvero “nuove”: ecco perché

03 Ago 2020
Giuseppe Arcidiacono

Responsabile Sistema Informativo at ARCEA


È il “Decreto Semplificazioni” a segnare il primo passo verso il “post-Covid”, ponendo nuovamente l’attenzione, tra le altre cose, sul tema caldissimo della razionalizzazione dei CED e della migrazione digitale verso il Cloud.

L’obiettivo è ormai noto da tempo: gli Enti centrali e periferici dovranno gradualmente migrare i datacenter ed i servizi digitali verso poche strutture selezionate, accreditate ed altamente qualificate oppure verso soluzioni di tipo Cloud, implementando la cosiddetta “Nuvola Pubblica”.

Anche la strada, invero, era già ampiamente conosciuta: dopo i risultati del Censimento avviato nel 2018 e concluso alla fine del 2019, tutti i CED non ritenuti candidabili a Polo Strategico Nazionale (ossia a diventare veri e propri “quartieri generali” informatici) in quanto non in possesso dei requisiti minimi di sicurezza, efficienza, operatività e resilienza devono essere dismessi secondo Piani e Programmi concordati dalle singole amministrazioni con l’Agenzia per l’Italia Digitale.

Le (mancate) novità sui datacenter nel Semplificazioni

Quali sono, pertanto, le novità introdotte dal legislatore in una materia già fortemente dibattuta ed al centro di ampi confronti fin dal 2017 (al Governo c’era Gentiloni) quando l’obiettivo strategico fu ufficialmente declinato all’interno della prima edizione del Piano Triennale per l’Informatizzazione della Pubblica Amministrazione?

Da una prima lettura del testo, in attesa della formalizzazione dei nuovi regolamenti da parte dell’AgID, appare difficile individuare nuovi fattori dirompenti: tecnicamente il Decreto interviene sull’articolo 33-septies del decreto legge 18 ottobre 2012, n. 179 introducendo aggiornamenti e correttivi di dettaglio senza mutare il quadro generale.

Se, infatti, da un lato la norma continua a non prevedere date entro le quali terminare (o quanto meno avviare) le operazioni di migrazione né introduce penali per gli enti inadempienti, dall’altro le nuove disposizioni sembrano ripercorrere, “prendere atto” e ribadire quanto già previsto dall’AgID nelle circolari emanate negli ultimi anni.

Alla luce di quanto finora affermato, è indispensabile porsi un’ulteriore domanda: era necessario ribadire all’interno del nuovo Decreto una serie di disposizioni già cristallizzate in precedenti atti aventi già una valenza normativa, anche ai sensi dell’articolo 71 del CAD che conferisce all’Agenzia per l’Italia Digitale il potere di emanare Regole Tecniche immediatamente attuabili ed esecutive?

Per chi segue da vicino il percorso di ammodernamento della pubblica amministrazione, la risposta non è del tutto scontata ed anzi una riflessione di ampio raggio può condurre a conclusioni anche diametralmente opposte a quelle in apparenza più scontate.

E’ necessario innanzitutto considerare alcuni fattori che stanno caratterizzando il complesso fenomeno di modernizzazione dell’apparato statale fin dalla sua nascita, tra i quali particolare importanza rivestono la forte discontinuità della rotta seguita ed il clima di generale freddezza che da sempre accompagna il tentativo di “rivoluzione digitale della pa”.

Nel corso degli anni sono stati numerosi, infatti, i progetti naufragati ancora prima di arrivare a compimento e le iniziative repentinamente accantonate o modificate in corso d’opera: si pensi, ad esempio, al tentativo della Rete Unitaria della Pubblica Amministrazione (RUPA), parzialmente confluita nel Sistema Pubblico di Connettività (SPC), alle più recenti integrazioni del CAD riguardanti i “Piani di Disaster Recovery” delle PA (con annesso obbligo di inviare i documenti all’AgID), oppure alle tante trasformazioni dell’Ente deputato a gestire la transizione digitale, passato in pochi anni attraverso l’AIPA, lo CNIPA, il DigitPA per giungere all’Agid ed alla temporanea coabitazione con il Team per la Trasformazione Digitale affidato all’ex Amazon Piacentini.

Per tali motivazioni, diventa fondamentale per il legislatore rimarcare anche gli elementi di continuità e la volontà di perseguire gli obiettivi delineati nel Modello Strategico e declinati in maniera concreta nel Piano Triennale che, fin dalla sua nascita, ha avuto il grande merito d’aver riportato il tema della digitalizzazione della PA nelle alte sfere della “Governance”, superando, auspicabilmente per sempre, la visione dell’IT come uno strumento o una “utility” trasversale da gestire a “livello operativo”.

E’ necessario anche considerare che la razionalizzazione dei CED e l’adozione di soluzioni Cloud hanno sempre trovato un’accoglienza a dir poco tiepida soprattutto tra gli enti locali che temono di perdere, insieme alle infrastrutture fisiche, anche importanti ricadute economiche per le imprese che, grazie agli indotti derivanti dalla gestione dei data center, hanno nel tempo acquisito competenze, specializzazioni e professionalità difficilmente riconvertibili nel breve periodo.

Basti pensare che su 27.797 amministrazioni censite nell’Indice delle Pubbliche Amministrazioni, hanno risposto al questionario solamente 778 enti, con una percentuale di adesione che si attesta, pertanto, attorno ad un incredibilmente esiguo 2,7%.

Decreto Semplificazioni: le mosse per cambiare la PA in 200 giorni (si può fare)

WHITEPAPER
Vita da CEO: quali sono gli strumenti necessari ai manager per vincere le sfide professionali
CIO
Digital Transformation

La road-map (non) prevista e le difficoltà operative

Un ulteriore elemento di criticità dell’intera operazione è rappresentato dall’assenza di una vera e propria road-map o di una “progettazione esecutiva” in grado di dettare operativamente i tempi e le modalità di migrazione.

Anche il Decreto “Semplificazioni”, infatti, si affida a generiche dichiarazioni di principio che, tra l’altro, impegnano la Presidenza del Consiglio dei Ministri a “promuovere” lo sviluppo di un’infrastruttura ad alta affidabilità (molto probabilmente complementare ai PSN) localizzata sul territorio nazionale per la razionalizzazione e il consolidamento dei Centri per l’elaborazione delle informazioni, destinata a tutte le pubbliche amministrazioni.

Allo stesso modo, non sono esplicitate le modalità operative con le quali gli enti centrali e periferici debbano migrare, “nel rispetto dei principi di efficienza, efficacia ed economicità dell’azione amministrativa”, i propri CED privi dei requisiti fissati dal regolamento adottato da AgID verso soluzioni idonee e sicure.

Ancora una volta, inoltre, non è stata definita una “strategia di transizione” che possa coniugare le attività di dismissione dei Data Center, idealmente in partenza nel breve periodo, e quelle di migrazione verso le nuove infrastrutture, che si concretizzeranno fisiologicamente in un orizzonte temporale decisamente più ampio.

Secondo quanto stabilito dall’Agenzia per l’Italia Digitale, infatti, i Poli Strategici Nazionali, anche in considerazione della criticità e dell’importanza del proprio ruolo, dovranno essere soggetti ad un articolato processo di valutazione ed accreditamento, all’interno del quale potrebbero essere necessarie attività di rivisitazione, rimodulazione o adeguamento di taluni aspetti di natura tecnica, organizzativa, infrastrutturale o amministrativa.

Basti pensare che la procedura di “riconoscimento” prevede cinque macro-fasi che vanno dalla definizione, a carico di AgID, del paniere di soggetti candidabili all’istruttoria fino ad arrivare all’approvazione da parte della Presidenza del Consiglio dei Ministri, alle sottoscrizioni degli accordi con le singole pubbliche amministrazioni ed al conseguente avvio delle attività e delle operazioni di monitoraggio.

Poiché, come è facilmente comprensibile, i tempi di attivazione saranno particolarmente lunghi ed il percorso sarà costellato da insidie e difficoltà (se non altro di tipo burocratico), sarà possibile per le amministrazioni rispettare il divieto di intervenire sui propri Data Center senza porre in serio pericolo, e sotto la propria responsabilità, la prosecuzione delle proprie attività e soprattutto l’erogazione dei servizi verso i cittadini?

Anche la migrazione immediata verso il Cloud non appare un’opzione praticabile sia perché richiede una programmazione di ampio respiro che deve necessariamente partire dall’analisi dei sistemi informativi in uso presso le singole amministrazioni e dallo studio delle soluzioni proposte dai “vendor” accreditati, sia per questioni di carattere economico, finanziario e contabile: se da un lato, infatti, la pubblica amministrazione deve ancora in gran parte ammortizzare gli investimenti effettuati negli ultimi anni verso le proprie infrastrutture fisiche, dall’altro gli enti dovrebbero recuperare nuove risorse per attivare servizi Cloud e gestire il passaggio dei dati dalle applicazioni attualmente in uso verso i software residenti sulla “nuvola pubblica”.

E’ fondamentale, inoltre, sottolineare come, dal punto di vista contabile, le spese di implementazione dei CED siano classificate come “investimenti” mentre gli oneri per l’attivazione di servizi cloud rappresentino a tutti gli effetti “spesa corrente”: tale differenza assume un valore decisivo sia perché incide notevolmente nella già critica fase di elaborazione dei Bilanci Preventivi delle amministrazioni sia perché la maggior parte dei finanziamenti, anche di derivazione comunitaria, richiedono interventi strutturali assimilabili ad “investimenti”.

E’ del tutto evidente, pertanto, che serviranno nuovi interventi normativi per dirimere i tanti dubbi ancora incombenti e che l’Agenzia per l’Italia Digitale dovrà dedicare ancora molte energie per avviare concretamente il processo di razionalizzazione delle infrastrutture e dei servizi pubblici.

La definizione di CED

Il Decreto Semplificazioni è intervenuto anche nella definizione di CED che, in base a quanto previsto dalla nuova normativa, è da intendersi come “il sito che ospita uno o più sistemi informatici atti alla erogazione di servizi interni alle amministrazioni pubbliche e servizi erogati esternamente dalle amministrazioni pubbliche che al minimo comprende risorse di calcolo, apparati di rete per la connessione e sistemi di memorizzazione di massa”.

Considerando, pertanto, che tra le dotazioni basilari di un CED sono esplicitamente previsti anche i dispositivi di connessione, fisiologicamente “non delocalizzabili”, e che, in base a quanto previsto dal Piano Triennale, le PA sono chiamate a “virtualizzare” le proprie reti, è realmente ipotizzabile la completa dismissione dei Centri di Elaborazione Dati periferici?

Si pensi, ad esempio, ai dispositivi sempre più “smart” ed “intelligenti”, tanto da essere paragonabili a veri e propri “server”, deputati a gestire le intranet, le VPN (Virtual Private Network) o i collegamenti tra varie sedi di uno stesso ente oppure ai firewall di nuova generazione che integrano al proprio interno funzioni di “application gateway”, “intrusion detection”, “content filtering”, etc.

E’ del tutto evidente come, presso le sedi locali della PA, dovranno comunque essere presenti strutture fisiche deputate ad ospitare hardware e software (in pratica piccole sale CED) in grado di gestire aree (come la connettività interna) non trasportabili sul cloud.

Per tale motivo, diventerà sempre più importante prevedere una disciplina di dettaglio che permetta agli enti di poter opportunamente pianificare le proprie scelte nel rispetto delle disposizioni legislative e delle regole tecniche emanate dell’AgID.

Allo stato attuale diventa effettivamente difficoltoso per le amministrazioni trovare il giusto punto di equilibrio tra la necessità di avviare la migrazione dei propri servizi verso le nuove infrastrutture ed il compito, non meno importante, di mettere in sicurezza le informazioni gestite quotidianamente nelle incessanti interlocuzioni con i cittadini, le imprese e la collettività.

Se, infatti, anche l’ultima circolare dell’AgID fornisce, comprensibilmente, la possibilità di investire, previa comunicazione all’Agenzia, sui datacenter pubblici con il fine di garantire l’integrità, la disponibilità e la riservatezza dei dati, come sarà possibile prevedere uno “switch-off” in tempi relativamente brevi? Gli investimenti pianificati negli ultimi mesi dagli enti non dovranno essere opportunamente ammortizzati e, nel caso di ulteriori ritardi nell’istituzione dei PSN (o delle architetture alternative) non dovranno essere necessariamente ripetuti, innescando una spirale difficilmente interrompibile nel breve periodo?

I nuovi censimenti ed il Piano Triennale

Per poter effettuare una razionalizzazione dei CED organica e funzionale alle necessità delle PA, è necessario verificare con cadenza periodica il reale stato dell’arte attraverso attività di assessment delle infrastrutture pubbliche che saranno svolte, in base a quanto stabilisce il “Decreto Semplificazioni”, attraverso censimenti affidati all’Agenzia per l’Italia Digitale.

Le nuove rilevazioni, in particolare, saranno condotte ogni tre anni e potranno essere gestite in collaborazione con l’Istituto Nazionale per la Statistica mentre all’AgID è affidato il compito di definire nel Piano triennale, dopo aver sentito la Conferenza Stato-Regioni, la strategia di sviluppo delle infrastrutture digitali pubbliche e la strategia di adozione del modello cloud, alle quali le amministrazioni dovranno attenersi.

Dalla lettura della disposizione emerge, ancora una volta, l’estrema cautela del legislatore che, a diversi anni di distanza dall’avvio del processo di migrazione, prevede un nuovo confronto con le amministrazioni territoriali e fissa termini decisamente ampi per le attività di monitoraggio dei data center pubblici, confermando implicitamente le difficoltà e le insidie connesse ad un progetto ambizioso ma anche estremamente complicato.

Considerando la scarsa partecipazione alla prima rilevazione del 2018, sarà estremamente importante lanciare una vera e propria campagna di “sensibilizzazione” e prevedere forme e metodologie di somministrazione dei questionari in grado di raggiungere la maggior parte delle amministrazioni, così da ottenere un quadro realistico della situazione e poter orientare le decisioni strategiche nella maniera più opportuna.

E’ altamente probabile, infatti, che le informazioni attualmente in possesso dell’Agenzia per l’Italia Digitale non rispecchino fedelmente la geografia e la fisionomia dei CED pubblici così come al momento potrebbe risultare abbastanza complicato verificare l’andamento dei progetti di migrazione.

La clausola di invarianza della spesa

Seguendo quella che ormai è diventata una prassi nel processo di digitalizzazione della pubblica amministrazione italiana anche il Decreto Semplificazioni prevede che gli enti centrali e periferici debbano adempiere le nuove disposizioni “con le risorse disponibili a legislazione vigente, senza nuovi o maggiori oneri a carico della finanza pubblica”.

Se da una parte è immediatamente comprensibile la volontà del legislatore di non gravare sul già sofferente bilancio statale, inteso in senso lato, dall’altra è necessario considerare come la trasformazione digitale debba necessariamente essere accompagnata da investimenti anche consistenti in grado di fornire in un ottica temporale di medio-lungo termine risparmi ingenti derivanti dal miglioramento complessivo dell’intera organizzazione.

Anche in questo caso, sarebbe opportuno lanciare un messaggio forte ed inequivocabile alla pubblica amministrazione ma anche a tutti gli stakeholder: investire con decisione oggi nella modernizzazione della macchina statale consentirà di cogliere fra qualche anno risultati decisamente importanti, in grado di semplificare la vita dei cittadini, sostenere l’economia e le imprese, creare posti di lavoro e, in ultima battuta, rilanciare l’intero sistema Paese nel panorama europeo ed internazionale.

WHITEPAPER
Strategie DevOps: perché puntare su un'infrastruttura capace di gestire al meglio le applicazioni?
Cloud
DevOps

@RIPRODUZIONE RISERVATA

Articolo 1 di 4