Quanto è fragile il digitale pubblico: la pandemia rivela scelte politiche errate | Agenda Digitale

Infrastrutture PA

Quanto è fragile il digitale pubblico: la pandemia rivela scelte politiche errate

L’emergenza sanitaria ha messo in evidenza le gravi debolezze delle infrastrutture digitali della PA, che a loro volta originano dalla strategia che ne governa lo sviluppo. Ultimo caso il bonus bici. Ripercorriamola per comprendere dove si annida il vero problema

23 ore fa
Sergio Sette

consulente informatico e digital trasformation


Il recente caso del “clic day” per il bonus bici, con annesso crash della piattaforma del ministero Ambiente e persino di alcuni SPID provider, è solo l’ultima delle brutte figure quasi mensilmente inanellate dalle infrastrutture digitali della PA, specie quella centrale.

L’emergenza legata al coronavirus ha messo in evidenza le gravi debolezze del sistema, che a loro volta originano dalla strategia che governa lo sviluppo delle infrastrutture materiali del digitale pubblico italiano, e che forse, a questo punto, sarebbe ora di rivedere uscendo dallo schema della narrazione corrente, che vede sempre tutto e comunque un successo.

Più che discutere della strategia in sé, per capire come siamo arrivati a questo punto, è interessante ripercorrere la sua storia, che, come vedremo è la tipica storia di molte delle strategie finora attuate nel digitale. Che mostra in modo abbastanza palese dove sta il problema.

La storia della migrazione dei datacenter della PA

La storia della migrazione dei datacenter della PA non è molto differente da quella di altri aspetti del digitale pubblico, alcuni dei quali ho raccontato proprio su Agendadigitale.eu.

Il censimento dei cosiddetti “CED” pubblici iniziò nel lontano (lontanissimo, eoni, se si pensa alla velocità di evoluzione del digitale) 2012.

Il DL 18 ottobre 2012, n. 179 (il cosiddetto decreto crescita 2.0), all’articolo 33-septies, introdotto dalla legge di conversione (non esisteva nel DL originario) affidava ad Agid il censimento dei cosiddetti CED delle PA e la incaricava di presentarne i risultati al PdC entro settembre del 2013. Entro 90 giorni da tale data, attraverso un apposito DPCM, avrebbe dovuto essere adottato un piano di razionalizzazione dei datacenter delle PA, aggiornato ogni anno.

Agid, si attivò rapidamente e mise in opera il censimento, delegandolo operativamente alla Fondazione Ugo Bordoni, predispose anche le Linee Guida (se siete curiosi le potete trovare qui),che furono messe in consultazione pubblica, ed infine avviò qualche tavolo di lavoro.

Come spesso succede (pensate solo alle regole tecniche, uscite già semi-obsolete 8 e 9 anni dopo il cad, o a INAD, di cui ho già raccontato qui), anche in questo caso il decreto atteso però non fu emanato e il processo si arrestò.

La macchina però era avviata.

Da tenere presente che proprio in questo periodo le PA, le più virtuose almeno, stavano operando per portare a compimento quanto previsto dall’art. 50-bis del CAD e presentando, spesso anche implementando, i loro piani per il DR e la BC.

Operando, in alcuni casi, investimenti importanti. Queste due attività, da una lettura delle Linee Guida, erano (e non poteva essere altrimenti) non in contrasto fra loro. E guidate da apposite Linee Guida di Agid, emanate proprio nel 2013 (sempre se vi interessa, le trovate qui).

Un approccio sensato e coerente.

Purtroppo, di questo non si tenne conto in seguito, anche per via della poderosa sterzata operata nel 2016, che portò, fra le altre cose, all’abrogazione (avvenuta ad opera della c.d L. Madia) dell’art 50-bis del CAD.

La legge di stabilità 2016

Si arrivò quindi al 2015 e agli, oserei dire, famigerati, commi 512-517 dell’art. 1 della L. 208/2015.

Che forse non diranno nulla a chi non è mai stato dentro ai meccanismi della PA, ma che ebbero un fortissimo impatto sul settore IT, iniziando a complicare sempre più la vita a chi vi operava, creando confusione ed incertezza, accelerando un declino ormai in atto da diversi anni.

Era l’inizio di quella stretta accentratrice che ha caratterizzato l’ultimo quinquennio dell’IT pubblico, con importanti ricadute anche nel settore privato. Era la legge dell’obbligo di approvvigionamento attraverso Consip o le Centrali di Committenza Regionali, della necessità di segnalare eventuali acquisti non conformi sia ad Agid che ad Anac. Nonché di farli autorizzare preventivamente dai vertici amministrativi degli Enti, che a fronte della minaccia di essere sottoposti a indagine della CdC, agirono da potente freno.

WHITEPAPER
Checklist e i suggerimenti essenziali per una migrazione perfetta al Cloud pubblico
Cloud

L’idea di fondo, non esplicitata nella norma, ma chiara e abbondantemente pubblicizzata dalle dichiarazioni dei politici all’epoca, era che la PA, le PAL in particolar modo, fossero inefficienti, sprecassero risorse e per questo avessero bisogno di una “guida sapiente” che le sapesse correttamente indirizzare. Che grande è bello, e un modello centralista (in cui il grande non va costruito ma è la PA centrale stessa) fosse l’unica strada possibile per correggere le lacune e le inefficienze della PA. L’intera strategia per l’IT pubblico fu fondata su queste considerazioni.

Non voglio entrare nel merito della strategia, ma la banale, e a volte brutale e stucchevole generalizzazione che vede sempre nel grande il bravo e sapiente, e nel piccolo lo sprovveduto sempliciotto, non solo è palesemente non suffragata dai fatti, ma ha contribuito alla svalutazione di molte realtà valide, portando al depauperamento di numerose fra queste, che non sempre hanno saputo/voluto lottare per sopravvivere.

Ho personalmente, nella mia carriera professionale, vissuto questa fase e ricordo molto bene il clima che si respirava allora, specie per chi, da piccolo, si vedeva oggetto di “attenzioni” da parte dei grandi che si proponevano di “aiutarti” con offerte “che non si potevano rifiutare”.

Sebbene non si parlasse di datacenter e non si modificasse il succitato art. 33-septies, fu in questo contesto che, con il comma 513, si delegò ad Agid la predisposizione del Piano Triennale dell’Informatica nel quale, seppur non esplicitamente, sarebbe andato a convergere il Piano di Razionalizzazione dei Datacenter di cui all’art. 33-septies, alla luce della visione Stato-centrica ereditata dalla Legge di stabilità, in quasi totale discontinuità a quanto previsto nelle Linee Guida del 2013.

Con evidente imbarazzo da parte di quelle PA, ripeto, le più virtuose, che nel frattempo si erano adeguate alle disposizioni su DR e BC e che ora vedevano in serio pericolo i loro investimenti (e datacenter).

I Poli Strategici Nazionali (PSN)

Subito dopo la Legge di stabilità, nel 2016 la Legge Madia (Dlgs 179/2016), la stessa che operò l’abolizione dell’art. 50-bis del CAD, intervenne sull’art. 33-septies, aggiungendo il comma 4-ter, che individua Sogei come soggetto incaricato di realizzare uno dei Poli Strategici nell’ambito della ristrutturazione dei datacenter. È la prima volta che si ritrova il termine Polo Strategico, prima ancora che nel Piano Triennale.

Si iniziò ad intravedere quella che sarebbe stata la strategia delineata dalla legge di stabilità 2016. Un insieme di Poli Strategici Nazionali avrebbero costituito la spina dorsale dell’infrastruttura materiale in cui tutti i datacenter avrebbero dovuto convergere.

Stop agli investimenti

Intanto, con circolare 6/2016 (che vi invito a leggere anche per apprezzare il cambio di strategia comunicativa, al link qui) Agid di fatto intimò, “nelle more della predisposizione del Piano Triennale”, uno stop agli investimenti e allo sviluppo di nuovi e vecchi datacenter.

Con conseguente crescente disorientamento delle PA coinvolte.

Il Piano Triennale 2017-2019

La prima versione del Piano Triennale si materializzò nel 2017. Quello che prevedeva era noto: classificazione dei datacenter in 3 gruppi: i PSN, gli Highlander, destinati a durare, il gruppo A, destinato ad una dismissione lenta, il gruppo B, spazzatura, destinato ad una rapida eliminazione.

Il destino dei datacenter delle PAL era ormai segnato: si fece, infatti, sapere che al più sarebbero rimasti un ristretto numero di PSN, 20, al più 40. Il resto via, dismesso, per convergere nei PSN. Punto.

Alla strategia dei PSN si affiancò quella del cloud privato, accessibile attraverso il “Cloud Marketplace” di Consip. La confusione, se possibile, aumentò, anche per i fornitori della PA, che per poter continuare a vendere le proprie soluzioni alle Amministrazioni, avrebbero dovuto, a loro volta, qualificarle, rispettando i criteri e le regole imposte con le circolari Agid 2 e 3 del 2018.

La classificazione dei datacenter sarebbe avvenuta sulla base di un ulteriore censimento, normato con circolare 5/2017 di Agid (la trovate qui). Furono, però, qui definiti solo i criteri per la classificazione dei PSN, mentre il censimento fu suddiviso in due parti: la prima per le infrastrutture centrali e le Regioni, a seguire le altre PAL.

Nella circolare non furono, invece, inseriti i criteri per la classificazione nei gruppi A e B, per i quali si dovette attendere fino alla successiva circolare, emanata 2 anni dopo.

La lettura dei criteri individuati per i PSN rese evidente che si puntava a standard elevatissimi (corretto, visto il loro ruolo), ma rendendo i criteri noti solo in prossimità del censimento, di fatto essi risultarono inarrivabili per chiunque già non ne fosse in possesso. Insomma, non un esame, ma una fotografia, senza appello. Spiace pensare male, ma come non pensare che i giochi si fossero svolti prima?

Al di là di quanto detto finora, il vero problema insito in questa strategia è che chiunque non era PSN, avrebbe dovuto chiudere. Una strategia estrema, difficile da motivare, visti appunto gli elevatissimi standard necessari e lo stato reale dei grandi datacenter pubblici.

Il censimento si è completato nel 2018, senza che i criteri per la classificazione nei gruppi A e B fossero mai pubblicati! Lo saranno solo ex post, con circolare 1/2019 (consultabile qui).

Si scoprirà quindi che per essere considerato di gruppo B bastava non possedere una delle certificazioni necessarie (ISO 27001, 9001 ecc.). Condannando così datacenter di qualità (ve ne sono alcuni che possiedono caratteristiche da PSN ma a cui manca qualche certificazione, requisito per altro sanabile in tempi ragionevoli e non dichiaratamente previsto) a morte ingiusta e prematura.

Il DL Semplificazioni, fine della storia?

Siamo ai giorni nostri, i giochi sembrano fatti. Agid pubblica i risultati del censimento ed i (facili) pronostici sono rispettati: solo 35 sono risultati candidabili a PSN, 27 in gruppo A, i restanti nel gruppo B (dati forniti da Agid). Partecipano al censimento solo 1252 PA, una percentuale bassissima, inferiore al 10%. Ma, stando alle circolari, le PA che non hanno partecipato, sono automaticamente in gruppo B. D’altronde, visto i criteri, che senso aveva partecipare? Certo, per la statistica, ma nella sostanza il risultato era noto in partenza. L’assenza non deve quindi sorprendere.

Ma ecco arrivare un colpo di scena, un po’ mascherato, ma decisamente rilevante. Ne ha parlato in modo diffuso qui su AgendaDigitale.eu Giuseppe Arcidiacono, in un bell’articolo che consiglio vivamente se siete interessati ai dettagli (lo trovate qui).

La lettura combinata del DL Semplificazioni e del nuovo Piano Triennale (2020-2022) opera una specie di “controrivoluzione”, vagamente mascherata, ma soprattutto, come giustamente nota Arcidiacono, totalmente priva di motivazioni. Quasi come se la strategia fosse rimodulata verso, cito ancora Arcidiacono, “una declinazione più realista e concreta dei medesimi obiettivi strategici”. Per fortuna, aggiungo!

Il succo del discorso si può riassumere in questi semplici punti:

  • I PSN, fulcro fino a ieri della strategia, sembrano svaniti, inglobati in un nuovo, semi-fantomatico “Polo Strategico Nazionale delle Infrastrutture Digitali”;
  • I datacenter di gruppo A avranno lunga vita (ed ecco perché la scelta dei criteri e le loro modalità di diffusione assume ora rilievo)
  • I datacenter di gruppo B per ora non si dismettono (anche se le PA devono presentare un piano di migrazione entro settembre, ma migrazione verso cosa? rimane comunque un mistero)

Non proprio una ripartenza, ma un’ulteriore svolta che non mancherà di produrre ancora incertezza e sfiducia.

Cosa ci insegna questa storia

Prima di tutto una constatazione: anche qui siamo di fronte ad una storia che inizia già 8 anni fa ed è ancora ben lontana dal volgere al suo termine.

Mi ricorda quello che mi diceva mio padre quando da bambino mi portava a camminare con lui in montagna: passi brevi e cadenzati, sennò in cima non ci arrivi.

I progetti troppo ambiziosi, che prevedono cambiamenti epocali, bisogna essere in grado di realizzarli, si deve essere campioni per farlo. E deve avere comunque un senso farlo.

La strategia del digitale soffre di gigantismo e miopia insieme, e nonostante i ripetuti fallimenti nessuno sembra essersene reso conto. E il “time to market”, cosa fondamentale anche per la PA, va così a farsi benedire.

In seconda battuta, la storia mostra, e anche ciò è tipico del fare attuale e probabilmente causato da quanto detto sopra, che le strategie scelte sono ondivaghe e disorientanti. Generano sfiducia e non producono risultati.

Per operazioni come queste, dove qualcuno dichiara di volersi assumere il controllo di tutto un ambito, sarebbe bene istituire un qualcosa di simile all’inversione dell’onere della prova: prima di chiedere agli altri dimostrazione di saper gestire i propri affari (o peggio, come si è fatto in questo caso, affermare esplicitamente che non ne sono in grado), sarebbe bene che chi pretende di subentrare dimostri ex ante di possedere non solo capacità teoriche, ma anche una soluzione pronta, funzionante ed efficiente. Se non altro servirebbe ad evitare ai primi di fare brutte figure, agli altri di perdere inutilmente tempo e risorse, già per altro molto limitate.

EVENTO
Da emergenza a strategia: Sicurezza, Dati, AI e Cloud. La sfida è proprio ora
Big Data
Cloud

@RIPRODUZIONE RISERVATA

Articolo 1 di 4