La PA italiana sul cloud: tutti i tasselli di una partita epocale - Agenda Digitale

l'approfondimento

La PA italiana sul cloud: tutti i tasselli di una partita epocale

Bandi di gara, piano di migrazione alla PA, revisioni normative, incentivi e supporto alle PA. Fino alle sanzioni. Molto articolato il piano del Governo per fare la grande migrazione al cloud di PA locali e centrali, da anni attesa e rinviate. Una rivoluzione non facile ma necessaria. Ecco tutti i punti chiave

11 Giu 2021
Gianpiero Ruggiero

Esperto in valutazione e processi di innovazione del CNR

Lo sviluppo delle infrastrutture digitali è parte integrante della strategia di modernizzazione del settore pubblico. Il cloud non sarà la bacchetta di Harry Potter, che magicamente risolve tutti i problemi e ci consegna servizi pubblici sempre più moderni, ma è un fattore abilitante che può mettere il turbo all’innovazione e creare un vantaggio competitivo.

Il PNRR pone l’interoperabilità, il cloud e l’erogazione di servizi in rete, tra i progetti più importanti da realizzare entro giugno 2026. Sono previste sanzioni e disincentivi per le amministrazioni refrattarie che non si allineano. Non ci sono più alibi, sebbene non sarà certo l’impianto sanzionatorio messo in piedi a generare quel meccanismo trasformativo.

La levata di scudi contro l’arrivo dei colossi americani, pronti ad offrire servizi e tecnologie cloud, hanno acceso i riflettori sull’imminente avvio della gara per la creazione di un Polo Strategico Nazionale. Le regole non sono ancora ufficiali, è ancora in corso la riflessione sull’iter da seguire. Dalla soluzione che sarà trovata dipenderà la direzione della modernità che avremo intrapreso.

La scommessa del cloud nazionale

Mentre la Consip si trova alle prese con una gestione a rilento delle gare per il cloud pubblico, una per i servizi applicativi da 1,2 miliardi e una per facilitare l’adozione di 550 milioni (si tratta di gare complesse, che in parte giustificano i ritardi accumulati dall’avvio delle gare bandite nel 2019), a breve dovrà fare i conti anche con la scadenza del contratto quadro, prevista per il 20 luglio 2021, che aveva affidato al raggruppamento composto da Telecom, Poste italiane e Enterprise Services Italia l’erogazione di servizi cloud per le Pa.

WHITEPAPER
Security as a service, scopri le soluzioni più innovative della sicurezza gestita
Intelligenza Artificiale
Sicurezza dei dati

PNRR e razionalizzazione datacenter pubblici: luci e ombre

Se la partita Consip procede per la maggioranza degli enti pubblici, ben più complessa è quella della gestione delle grandi amministrazioni dello Stato dove sono conservati dati privati, dati riservati e dati segreti; così come delle infrastrutture strategiche, che se venissero bloccate creerebbero un danno enorme per l’intero paese. Per venire incontro alle esigenze di queste amministrazioni, il governo è alle prese con l’individuazione del soggetto cui affidare la grande infrastruttura dove andranno a confluire i data center.

Server PA poco sicuri

Molte infrastrutture della PA – circa il 95% dei server secondo il censimento Agid risultano prive dei requisiti di sicurezza e di affidabilità necessari e, inoltre, sono carenti sotto il profilo strutturale e organizzativo. È un allarme che preoccupa e che espone il Paese a numerosi rischi, tra cui quello di interruzione o indisponibilità dei servizi e quello di attacchi cyber, con conseguente perdita e alterazione di dati o accesso illegittimo da parte di terzi a dati (o flussi di dati) particolarmente sensibili.

Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi

Polo strategico nazionale

La partita si intreccia con la nascita del Polo strategico nazionale[1] che, nelle intenzioni del governo, prevede una prima procedura di selezione, per arrivare successivamente a una gara vera e propria. Già nelle prossime settimane l’esecutivo sarebbe pronto a inviare alle imprese le richieste di manifestazione di interesse per la partecipazione, una sorta di proposte preventive in attesa della decisione su come procedere.

Un’ipotesi a cui si sta pensando è quella di creare un partenariato pubblico privato, incentivando le Pa interessate nella migrazione, dando loro il vantaggio di avere un servizio migliore senza l’impegno di dover spendere di più di quello che pagano adesso; il vantaggio per l’azienda vincitrice invece deriverebbe dal numero di enti che dovranno aderire (circa 200 amministrazioni centrali e 80 aziende sanitarie locali) e dalla durata del contratto (venti o trenta anni).

Sul piatto ci sono tanti soldi, circa 1 miliardo previsto dal PNRR per la migrazione.

Da qui l’idea di sottrarre la gara a Consip, rendendo stazione appaltante direttamente il Dipartimento per la Transizione Digitale, pronto a sondare alcune intese industriali che vedono accanto ad alcuni player italiani (Tim, Leonardo, Fincantieri e Fastweb) i principali colossi del cloud mondiale. Circostanza che ha sollevato molte perplessità (tanto che sui social qualcuno ha lanciato l’idea di una petizione), dovute al rischio di veder cedere i dati ad eventuali aziende americane. Su questo punto Colao è stato chiaro affermando che “dobbiamo andare verso la creazione del Polo strategico nazionale sicuro, le cui chiavi di accesso di crittografia siano in controllo pubblico e in cui possiamo avere i vantaggi di esser al sicuro con la nostra tecnologia”.

Piattaforma unica dei dati

Nel PNRR si può leggere che lo sviluppo di un nuovo centro di infrastrutture informatiche-digitali basate sul cloud consentirà l’elaborazione di grandi quantità di dati per l’erogazione di servizi alle imprese e ai cittadini. Tuttavia non sarebbe sufficiente senza la piena interoperabilità e condivisione delle informazioni tra le Pa. Come sostenuto da Mochi Sismondi senza una radicale metamorfosi delle PA attraverso l’information technology non sarà possibile nessuna semplificazione.

A questo servirà la Piattaforma nazionale dei dati digitali, per creare la quale, occorre prima di tutto una colossale mappatura e analisi del patrimonio informativo del paese per identificare i set di dati: ad esempio, registri fondiari, registri anagrafici della popolazione, data set di welfare (INPS e INAIL), dati delle Camere di Commercio. Questi verranno integrati nella Piattaforma unica e messi in grado di dialogare tra loro. L’obiettivo è che il cittadino e l’impresa non debbano interrogare più soggetti per ottenere informazioni, ma abbiano un accesso unico. Per questa, che forse è l’operazione più complessa, si partirà il mese prossimo con la mappatura delle banche dati. Il costo totale è 556 milioni.

Le Amministrazioni potranno scegliere se migrare verso una nuova infrastruttura cloud nazionale all’avanguardia, ovvero il Polo Strategico Nazionale (il cloud privato a cui sta lavorando il governo) o verso un cloud “pubblico”[2] sicuro, a seconda della sensibilità dei dati e dei servizi coinvolti. Questo processo consentirà di razionalizzare e consolidare molti dei data center oggi distribuiti sul territorio, a partire da quelli meno efficienti e sicuri. La migrazione al cloud offre anche l’opportunità di eseguire un’importante revisione e aggiornamento dei processi e delle applicazioni delle Pa.

Le Amministrazioni saranno aiutate in questo percorso con finanziamenti, capacità e riforme. A tal fine sono stati razionalizzati gli appalti ICT, semplificati gli acquisti di beni e servizi informatici strumentali alla realizzazione del PNRR[3], sono create squadre d’implementazione dedicate al sostegno delle amministrazioni locali e centrali durante l’attuazione dei progetti del PNRR e, ha scritto il governo nel Piano, “saranno semplificate le procedure per lo scambio di dati tra le amministrazioni, che attualmente richiedono documenti/autorizzazioni dedicati, per favore una piena interoperabilità tra le Pa”.

Allo stesso tempo, la transizione al cloud favorita da questi investimenti dovrebbe facilitare anche lo sviluppo di un ecosistema di imprese e startup, in grado di integrare e migliorare l’offerta dei servizi e la qualità di prodotti software per la Pa.

La migrazione al cloud secondo il PNRR

Per accompagnare la migrazione della PA al cloud è previsto un programma di supporto e incentivo per trasferire basi dati e applicazioni, in particolare rivolto alle amministrazioni locali, che potranno scegliere all’interno di una lista predefinita di provider certificati secondo criteri di adeguatezza rispetto sia a requisiti di sicurezza e protezione, sia a standard di performance.

Il supporto alle amministrazioni che aderiranno al programma di trasformazione sarà realizzato con “pacchetti” che includeranno competenze tecniche e risorse finanziarie. In una logica di vera e propria “migration as a service” si aiuteranno le amministrazioni nella fase di analisi tecnica e di definizione delle priorità, con risorse specializzate nella gestione amministrativa, nella contrattazione del supporto tecnico esterno necessario all’attuazione e nell’attività complessiva di project management per tutta la durata della trasformazione.

Supporto alle PA, aggregazione obbligatoria per le PA minori

Per facilitare l’orchestrazione di questa significativa mole di lavoro al Dipartimento per la Transizione Digitale sarà creato un team incaricato di censire e certificare i fornitori idonei per ogni attività della trasformazione e, successivamente, di predisporre “pacchetti”/moduli standard di supporto (che ogni PA combinerà a seconda dei propri bisogni specifici).

Per le PA locali minori, che non hanno la massa critica per una gestione individuale, verrà resa obbligatoria l’aggregazione in raggruppamenti ad hoc per l’esecuzione dell’attività di trasformazione/migrazione (secondo criteri specifici e predefiniti).

Verso un nuovo contesto normativo del “cloud first”

Un passaggio cruciale per facilitare gli interventi di digitalizzazione è quello di semplificare e innovare il contesto normativo. In particolare, è previsto entro il quarto trimestre 2021 l’adozione di un intervento legislativo con le seguenti misure:

  • – introduzione di disincentivi per le amministrazioni che non avranno effettuato la migrazione al cloud entro un termine predefinito, in considerazione che la migrazione ridurrà i costi ICT delle amministrazioni;
  • revisione delle regole di contabilità[4] che disincentivano la migrazione (con il cloud, infatti, si eliminano spese che con l’hardware erano obbligatorie, come la gestione delle infrastrutture fisiche, le spese legate allo smaltimento dei macchinari da sostituire, i costi legati alla sicurezza);
  • semplificazione delle procedure per lo scambio di dati tra le amministrazioni, che attualmente richiedono documenti/autorizzazioni dedicati, per favorire una piena interoperabilità tra le PA.

Inoltre, saranno adottati provvedimenti di attuazione, in particolare il regolamento Agid sui livelli minimi di sicurezza delle PA (ex art. 33-septies DL 179/2012) e le linee guida Agid sull’interoperabilità (ex. Artt. 50 e 50-ter CAD).

Sanzioni per le amministrazioni che frenano la transizione digitale

Con l’approvazione del decreto legge che ha definito la governance del PNRR è stato introdotto un articolato procedimento sanzionatorio per la violazione da parte delle Pa degli obblighi di transizione digitale[5].

In particolare ad Agid spetterà il compito di vigilanza, verifica, controllo e monitoraggio sul rispetto delle disposizioni del CAD e di ogni altra norma in materia di innovazione tecnologica e digitalizzazione della pubblica amministrazione, ivi comprese l’attuazione delle “Linee guida” e del “Piano triennale per l’informatica nella pubblica amministrazione”. Attribuito ad Agid anche il compito di individuare i termini e le modalità con cui le amministrazioni centrali e locali devono effettuare le migrazioni dei Centri per l’elaborazione delle informazioni (CED) e i relativi sistemi informatici verso le strutture previste che garantiscono i necessari requisiti di sicurezza e affidabilità.

In primo luogo, le violazioni, accertate dall’Agid, rilevano ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili e comportano responsabilità dirigenziale e disciplinare. In secondo luogo, all’accertamento delle violazioni consegue l’irrogazione da parte dell’Agid di una sanzione amministrativa. Come estrema ratio è previsto l’intervento sostitutivo del Governo nei confronti dell’amministrazione inadempiente con la nomina di un commissario ad acta.

La sanzione pecuniaria[6] per la Pa può variare da 10 a 100 mila euro per alcune specifiche inottemperanze:

  • mancata ottemperanza alla richiesta di dati, documenti o informazioni o trasmissione di informazioni o dati parziali o non veritieri;
  • violazione dell’obbligo di accettare i pagamenti spettanti attraverso sistemi di pagamento elettronico;
  • mancata disponibilità di dati in formato elettronico entro la data stabilita dal Presidente del Consiglio;
  • l’inadempimento dell’obbligo di rendere disponibili e accessibili le proprie basi dati;
  • violazione dell’obbligo di utilizzare esclusivamente identità digitali per l’identificazione degli utenti dei servizi on-line;
  • violazione dell’obbligo di rendere disponibili i propri servizi in rete;
  • non ottemperanza al rispetto delle regole in materia di livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali e in materia di caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud.

L’impianto sanzionatorio appare decisamente eccessivo, soprattutto per chi sarà chiamato ad applicarlo. Troppi ed eccessivamente gravosi i compiti di sentinella affidati ad Agid, che probabilmente non riuscirà a compiere per esiguità di personale. Meglio pensare a soluzioni che incentivino piuttosto che a sanzionare.

Conclusioni

L’interoperabilità dei dati è senz’altro uno dei nodi da sciogliere in fretta, se vogliamo che gli investimenti del PNRR raggiungano i loro obiettivi e che ci sia una reale trasformazione dell’agire delle Pa.  Sappiamo che il 20 maggio 2021 l’European Data Protection Board ha approvato il primo codice di condotta transnazionale per i Cloud Provider. L’eventuale adesione a tale codice non impedirebbe l’eventuale trasferimento di dati verso paesi terzi, ma è comunque un tassello importante per la creazione di un modello europeo per arginare un controllo indiscriminato dei dati.

In attesa che il governo italiano avvii ufficialmente la gara per l’individuazione del Polo Strategico Nazionale, vedremo se terrà conto della posizione del Garante europeo per la protezione dei dati.

Quello che conta è che la questione venga posta nel modo giusto. Se tutti si dicono concordi sulla necessità di avere un unico cloud privato, qual è la strada migliore per realizzarlo?

Note

[1] Per realizzare il consolidamento e la messa in sicurezza delle infrastrutture digitali della PA, l’art. 35 del D.L 76/2020 (Semplificazioni e innovazione digitale), ha introdotto la realizzazione di una infrastruttura ad alta affidabilità localizzata (detta Polo Strategico Nazionale) sul territorio nazionale, il cui sviluppo è promosso dalla Presidenza del Consiglio dei Ministri.

[2] Soluzioni cloud commerciali acquistabili sul mercato che, se verranno usati, dovranno essere certificati.

[3] In particolare l’articolo 53 del decreto legge n. 77/2021 prevede alcune semplificazioni con riguardo agli acquisti dei beni e dei servizi informatici strumentali alla realizzazione del PNRR al fine di assicurare che gli acquisiti fi tali beni e servizi possano avvenire in maniera rapida ed efficace.

[4] Il cloud rappresenta l’IT sotto forma di commodity, non più Capex – Capital Expenditure – una spesa che contempla il rischio di sbagliare, ma Opex – Operating Expense – un costo necessario, perfettamente aderente alle reali esigenze del business. Adottando infatti il sistema in cloud si modificano i paradigmi legati ai costi dell’IT. Le soluzioni tradizionali richiedono tempi di ammortizzazione dei costi relativi ad hardware e software, mentre con il cloud si prospettano alternative come il noleggio operativo o il lease back.

[5] Si tratta dell’articolo 41 del decreto legge n. 77/2021 recante “Governance del PNRR e prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure”.

[6] I proventi delle sanzioni pecuniarie saranno versati in apposito capitolo di entrata del bilancio dello Stato per essere riassegnati allo stato di previsione della spesa del Ministero dell’economia e delle finanze e sono destinato in misura uguale a all’Agid e al Fondo per l’innovazione tecnologica e la digitalizzazione.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 2