agenzia italia digitale

Piano triennale Agid 2020-2022 analizzato punto per punto: attuare la PA digitale

Il nuovo piano Triennale per l’informatica nella Pubblica Amministrazione (2020-2022) appena pubblicato da Agid contiene elementi orientati fortemente alla responsabilizzazione degli enti pubblici verso la reale attuazione degli obiettivi. La sfida è questa, ora: la parte attuativa è da verificare ma anche da supportare

18 Ago 2020
Giovanni Manca

consulente, Anorc


AgID ha pubblicato ad agosto il nuovo Piano Triennale per l’informatica nella Pubblica Amministrazione (2020-2022) a cui ci si riferirà nel seguito come Piano.

Il Piano è lo strumento che viene utilizzato per orientare e stabilire le regole per promuovere la trasformazione digitale del Paese operando sulla Pubblica Amministrazione.

E’ importante sottolineare che il Piano è emesso da AgID in attuazione dell’articolo 14-bis, comma 2, lettera b) del Codice dell’amministrazione digitale (CAD) e le pubbliche amministrazioni operano in conformità ad esso secondo quanto stabilito nell’articolo 12 dello stesso CAD.

In sintesi: le differenze rispetto al precedente piano triennale Agid

Il Piano è notevolmente più snello del Piano precedente (84 pagine rispetto alle 339). AgID rappresenta nell’executive summary, in modo esplicito, la continuità con i due Piani precedenti:

“La presente edizione, rappresenta la naturale evoluzione dei due Piani precedenti: laddove la prima edizione poneva l’accento sull’introduzione del Modello strategico dell’informatica nella PA e la seconda edizione si proponeva di dettagliare l’implementazione del modello, questa edizione si focalizza sulla realizzazione delle azioni previste, avendo – nell’ultimo triennio – condiviso con le amministrazioni lo stesso linguaggio, le stesse finalità e gli stessi riferimenti progettuali”.

E’ il piano dell’attuazione

Per quanto appena riportato possiamo dire che questo è il Piano dell’attuazione.

L’attuazione è responsabilità delle amministrazioni che anche quando si trovano di fronte obiettivi spesso ambiziosi li devono considerare sostenibili perché è con le stesse che ci si è confrontati nella redazione del Piano.

Anche su questo concetto cruciale è utile riportare di seguito la porzione di Piano estratta sempre dall’executive summary:

“In questa prospettiva, pur ponendosi in continuità con il Piano precedente, il Piano 2020-2022 introduce un’importante innovazione con riferimento ai destinatari degli obiettivi individuati per ciascuna delle tematiche affrontate. Saranno infatti le singole amministrazioni a dover realizzare gli obiettivi elencati, obiettivi spesso “ambiziosi” ma sostenibili poiché costruiti sull’esperienza, sul confronto e sulle esigenze delle amministrazioni destinatarie. Si tratta di obiettivi di ampio respiro declinati tuttavia in risultati molto concreti. L’elemento innovativo di questo Piano sta proprio nel forte accento posto sulla misurazione di tali risultati, introducendo così uno spunto di riflessione e una guida operativa per tutte le amministrazioni: la cultura della misurazione e conseguentemente della qualità dei dati diventa uno dei motivi portanti di questo approccio.”

Nel Piano vengono introdotte anche specifiche e diffuse attività di monitoraggio delle quali parleremo nei commenti al Capitolo 8.

Iniziamo a commentare, in sintesi, i singoli capitoli del Piano iniziando dalla sua struttura generale.

Si coglie l’occasione per sottolineare che il Piano deve essere letto e “digerito”, ogni singola frase può avere un significato importante per i soggetti specificamente coinvolti e come tale deve trovare attuazione nello scenario di riferimento pur nel rispetto delle regole che lo stesso Piano definisce come “di largo respiro”.

 

Struttura generale del Piano triennale Agid 2020-2022

Il Piano è suddiviso in tre parti:

  • Il Piano triennale
  • Le componenti tecnologiche
  • La governance

La parte più ampia è la seconda che comprende i capitoli da 2 a 6.

Nella prima parte di executive summary è utile rilevare i principi guida che confermano la continuità con i Piani precedenti.

I principi generali

Essi sono:

“• digital & mobile first (digitale e mobile come prima opzione): le pubbliche amministrazioni devono realizzare servizi primariamente digitali;

  • digital identity only (accesso esclusivo mediante identità digitale): le PA devono adottare in via esclusiva sistemi di identità digitale definiti dalla normativa assicurando almeno l’accesso tramite SPID;
  • cloud first (cloud come prima opzione): le pubbliche amministrazioni, in fase di definizione di un nuovo progetto e di sviluppo di nuovi servizi, adottano primariamente il paradigma cloud, tenendo conto della necessità di prevenire il rischio di lock-in;
  • servizi inclusivi e accessibili: le pubbliche amministrazioni devono progettare servizi pubblici digitali che siano inclusivi e che vengano incontro alle diverse esigenze delle persone e dei singoli territori;
  • dati pubblici un bene comune: il patrimonio informativo della pubblica amministrazione è un bene fondamentale per lo sviluppo del Paese e deve essere valorizzato e reso disponibile ai cittadini e alle imprese, in forma aperta e interoperabile;
  • interoperabile by design: i servizi pubblici devono essere progettati in modo da funzionare in modalità integrata e senza interruzioni in tutto il mercato unico esponendo le opportune API;
  • sicurezza e privacy by design: i servizi digitali devono essere progettati ed erogati in modo sicuro e garantire la protezione dei dati personali;
  • user-centric, data driven e agile: le amministrazioni sviluppano i servizi digitali, prevedendo modalità agili di miglioramento continuo, partendo dall’esperienza dell’utente e basandosi sulla continua misurazione di prestazioni e utilizzo”.

Si rilevano almeno due concetti nuovi: il dato pubblico come bene comune e lo sviluppo di sistemi digitali in linea con le esigenze del lavoro agile.

I capitoli che sono contenuti nella seconda parte del Piano hanno una struttura interna comune e omogenea.

Contesto normativo e strategico, obiettivi e risultati attesi, cosa devono fare AgiD, Dipartimento per la Trasformazione Digitale e i soggetti coinvolti sul tema specifico (Es.: Consip nel capitolo dei servizi). Il Piano stesso spiega nella parte introduttiva l’obiettivo dei singoli paragrafi appena indicati.

Iniziamo ad analizzare i singoli capitoli.

Capitolo 1 del piano triennale Agid 2020-2022– Servizi

I servizi da erogare in rete sono la base di ogni piano digitale da oltre vent’anni a questa parte. Le indicazioni in materia non sono mai mancate a partire dal Piano d’Azione del 2000 dell’allora Ministro Lucio Stanca, passando per Linee strategiche, Piani industriali e di e-government ma anche Piani Triennali.

A fini storici è utile ricordare che la predisposizione del documento di Piano Triennale era tra i compiti affidati all’Autorità per l’Informatica nella PA dall’art. 8 del D.Lgs. 12 febbraio 1993, n. 39, “norme per i sistemi informativi automatizzati delle amministrazioni pubbliche”. La previsione legislativa del piano triennale fu successivamente ribadita anche dalla legge Finanziaria 2003 (art. 26 del D.Lgs. 289/2002). Il Codice dell’amministrazione digitale (CAD) è il riferimento normativo vigente.

Per quanto attiene ai servizi l’ultimo Piano stabilisce per le PPAA

  • un utilizzo più consistente di soluzioni Software as a Service già esistenti;
  • il riuso e la condivisione di software e competenze tra le diverse amministrazioni;
  • l’adozione di modelli e strumenti validati a disposizione di tutti;
  • il costante monitoraggio da parte delle PA dei propri servizi on line.

Queste indicazioni hanno lo scopo di mettere a fattor comune le esperienze delle PPAA per ottenere percorsi di innovazione omogenei e non dispersivi.

I servizi devono essere appetibili per i cittadini al fine di limitarne l’uso “a sportello” e l’accesso da remoto deve essere assicurato almeno tramite SPID.  Non viene  citata  la Carta d’Identità Elettronica – CIE che pure deve essere utilizzata anche in accordo con le norme comunitarie in materia di schemi di autenticazione. Questo è uno dei disallineamenti con il DL 76/2020 (semplificazioni).

Gli obiettivi del Piano si spingono naturalmente fino al dicembre del 2022 e appaiono ottimistici nei numeri ma non particolarmente ambiziosi da raggiungere.

 

Capitolo 2 – Dati

Il dato pubblico è cruciale per il buon funzionamento della trasformazioni digitale. Il Piano giustamente sottolinea che siamo nella data economy.

Il Piano evidenzia che:

“… è necessario ridefinire una nuova data governance coerente con la Strategia europea e con il quadro delineato dalla nuova Direttiva europea sull’apertura dei dati e il riutilizzo dell’informazione del settore pubblico. È quindi opportuno individuare quanto prima le principali problematiche e sfide che l’attuale data governance del patrimonio informativo pubblico pone per delineare le motivazioni e gli obiettivi di una Strategia nazionale dati, anche in condivisione con i portatori di interesse pubblici e privati”.

Inoltre ribadisce, in continuità con i Piani precedenti, che:

“Un asset fondamentale tra i dati gestiti dalle pubbliche amministrazione è rappresentato dalle banche dati di interesse nazionali (art. 60 del CAD), la nuova data governance deve favorire l’accesso alle stesse per agevolare la constatazione degli stati relative alle persone fisiche e alle persone giuridiche”.

I dati pubblici sono considerati bene comune e deve essere favorito il loro riutilizzo tra PPAA ma anche verso cittadini e imprese.

Le indicazioni operative sono molto precise e specialistiche quindi gli owner delle attiività dovranno essere molto preparati sul tema. Il ruolo di AgID e del Dipartimento dovrà essere quello di evitare attività di “vetrina” a favore di attività efficaci sul tema.

 

Capitolo 3 – Piattaforme

Nel Piano viene ripreso, in continuità, con precedenti documenti istituzionali il concetto di piattaforme della Pubblica Amministrazione: piattaforme tecnologiche che offrono funzionalità fondamentali, trasversali, abilitanti e riusabili nella digitalizzazione dei processi e dei servizi della PA.

Le Piattaforme, tecnologicamente indirizzate dai sistemi cloud, devono operare per la realizzazione di processi distribuiti e per standardizzare i flussi operativi tra amministrazioni.

Esse dovrebbero essere abilitanti anche a livello territoriale ma anche favorire specifici servizi evolvendo specificamente verso di essi.

Nel Piano si cita pagoPA e come novità

  • CUP integrati.
  • Piattaforma IO.
  • INAD: la piattaforma che gestisce l’Indice nazionale dei domicili digitali.
  • Piattaforma del Sistema Museale Nazionale.

Per la gestione dei cosiddetti Big Data si riconferma la piattaforma digitale nazionale dati (PDND): che ha lo scopo di valorizzare il patrimonio informativo pubblico attraverso l’introduzione di tecniche moderne di analisi di grandi quantità di dati.

Il Piano evidenzia anche le Piattaforme già esistenti (es. SPID, pagoPA, ANPR, CIE, FSE, NoiPA ecc.) e per loro individua e promuove azioni evolutive, adattative e di adeguamento tecnologico per un miglioramento continuo anche per i livelli di sicurezza.

Anche in questo caso gli obiettivi appaiono ambiziosi anche se obbligati (Es. la disponibilità di servizi da utilizzare tramite l’APP IO) e comunque collegati a quanto previsto nel capitolo successivo dedicato alle Infrastrutture.

 

Capitolo 4 – Infrastrutture

Le Infrastrutture sono una nota dolente per la PA. E’ noto che le rilevazioni di AgID attraverso il Censimento del Patrimonio ICT della PA, hanno evidenziato che molte infrastrutture risultano prive dei requisiti di sicurezza e di affidabilità necessari e, inoltre, sono carenti sotto il profilo strutturale e organizzativo. Il principio del cloud first è quello portante.

“Al fine di consolidare e mettere in sicurezza le infrastrutture digitali delle pubbliche amministrazioni è definito il Polo Strategico Nazionale delle Infrastrutture Digitali (PSN) ovvero l’insieme delle infrastrutture digitali localizzate all’interno del territorio nazionale, ad alta disponibilità, che garantiscono elevati livelli di sicurezza, affidabilità ed efficienza energetica.”

Per tali infrastrutture si prevede anche l’hosting dei beni strategici ICT che sono all’interno del perimetro di sicurezza cibernetica nazionale per le amministrazioni che non dispongono di data center classificati al massimo livello “A”.

Gli obiettivi di questa parte del Piano sono complessi e AgID e il Dipartimento (ma nel caso specifico anche Consip) dovranno svolgere un intenso ruolo di stimolo, indirizzo e supporto verso le PPAA soprattutto quelle locali di medie e piccole dimensioni.

L’utilizzo del cloud impone la disponibilità di capacità di rete adeguate ma anche la capacità delle PPAA di gestire la migrazione applicativa dei data center.

AgId e il Dipartimento hanno pubblicato numerosi documenti ma è evidente che la gestione dei progetti sarà in mano ai fornitori quindi il controllo dovrà essere accurato.

Seppure non specificamente descritto in questo capitolo è cruciale il coordinamento con i temi della sicurezza ICT connessa al cloud anche dal punto di vista delle obbligatorie misure da attuare per la conformità ai temi della protezione dei dati personali anche garantendone la libera circolazione comunitaria (regolamento europeo 679/2016 – GDPR).

Capitolo 5 – Interoperabilità

L’interoperabilità rappresenta un altro dei temi “storici” della digitalizzazione della PA. I primi documenti istituzionali sul tema sono di oltre venti anni fa.

E’ noto che l’interoperabilità permette la collaborazione e l’interazione telematica tra pubbliche amministrazioni, cittadini e imprese ed è cruciale  per l’attuazione del principio once only.

L’Italia ha recepito le indicazioni dell’European Interoperability Framework che porta alla Linea guida sul Modello di Interoperabilità per la PA (di seguito Linea guida).

Quest’ultima individua gli standard e le loro modalità di utilizzo per l’implementazione di interfacce software che  favoriscono:

  • l’aumento dell’interoperabilità tra PA e tra queste e cittadini e imprese;
  • la qualità e la sicurezza delle soluzioni realizzate;
  • la de-duplicazione e la co-creazione delle interfacce software.

La Linea guida individua le tecnologie SOAP e REST da utilizzare per la realizzazione delle interfacce software, aggiornando il Sistema Pubblico di Cooperazione Applicativa (in breve SPCoop) emanato nel 2005.

Il Piano precisa che gli aspetti semantici sono da coordinare con il Capitolo 2 sui “Dati” e ovviamente con il Capitolo 6 sulla “Sicurezza informatica”.

Il Piano si rende ben conto delle difficoltà realizzative e si pone obiettivi ragionevoli soprattutto se si punta sulla grandi amministrazioni centrali.

 

Capitolo 6 – Sicurezza informatica

In un contesto mondiale dove i servizi digitali rappresentano un elemento indispensabile per il funzionamento di un Paese, la PA ne è parte fondamentale e indispensabile. E’ ampiamente noto che la minaccia cibernetica è sempre più attiva e cresce continuamente in qualità e quantità minacciando infrastrutture critiche, processi digitali e rappresentando anche un elevato rischio di natura militare visto l’utilizzo che è sempre più diffuso verso quello che chiamiamo il perimetro di sicurezza cibernetico (è noto anche il rischio di manipolazioni a fini elettorali anche se non coinvolge direttamente i sistemi della PA).

Il Piano mantiene la barra dritta rispetto al passato ponendosi anche il cruciale problema della protezione del dato. Questo elemento è fondamentale perché tale protezione è strettamente connessa alla sua qualità e agire correttamente consente, in un colpo solo, di attuare anche gli obblighi normativi europei in materia di protezione dei dati personali (GDPR).

Il Piano si focalizza sulla Cyber Security Awareness, poiché tale consapevolezza fa scaturire azioni organizzative indispensabili per mitigare il rischio connesso alle potenziali minacce informatiche.

La cronaca ci dice che nella PA ci sono frequenti attacchi a portali che bloccano i servizi erogati e costituiscono danno di immagine. E’ in crescita anche il fenomeno denominato data breach (violazione dei dati) che rappresenta anche una grave violazione del GDPR.

Le azioni stabilite nel Piano sono tutte indispensabili e ragionevoli rispetto allo scenario possibile. Oltre agli attori coinvolti nel Piano è indispensabile e cruciale il supporto del Garante per la protezione dei dati personali quantomeno per verificare se la PA ha nominato un adeguato DPO (figura obbligatoria per il GDPR) ed è organizzata, almeno ai minimi termini, in linea con le regole del GDPR (Regolamento europeo 679/2016).

Al solito il Piano affida a Linee guida e regole specifiche ma anche alle strutture specifiche di AgID il supporto alle PPAA.

 

Capitolo 7 – Strumenti e modelli per l’innovazione

Questo capitolo apre la terza parte del Piano dedicata alla governance. E’ l’unico capitolo del Piano con una connotazione più politica.

Per la sua particolarità e per evitare che la sintesi dell’articolo risulti omissiva su alcune questioni si rimanda il lettore al testo del Piano.

Comunque in questa sede si può dire che il Piano evidenzia che:

“…la trasformazione digitale della Pubblica Amministrazione si basa sull’innovazione dei suoi processi che dovranno essere finalizzati al miglioramento dell’efficienza e della qualità dei servizi a partire dalle aree di interesse pubblico ad alto impatto per il benessere dei cittadini come la salute, la giustizia, la protezione dei consumatori, la mobilità, il monitoraggio ambientale, l’istruzione e la cultura”.

“La PA può e deve fare da catalizzatore di innovazione per la PA stessa, per il territorio, per il tessuto economico e sociale e in ultima istanza per tutti i cittadini. I bisogni digitali di tutti questi soggetti emergono e possono essere soddisfatti attraverso l’interazione continua tra PA, Comuni, Regioni, AGID, Ministeri, mondo accademico e della ricerca e soggetti privati in grado di fornire soluzioni innovative, grazie anche a progetti specifici di ricerca e sviluppo”.

Qui i riferimenti alla recente formulazione, da parte del Ministro dell’Innovazione e della Digitalizzazione, della “Strategia per l’innovazione tecnologica e la digitalizzazione del Paese – 2025” sono numerosi.

Si citano la smart community come base per l’interazione coordinata tra PA ed impresa anche alla luce della nuova normativa (articolo 36 del DL 76/2020 – semplificazioni) sulle misure di semplificazione amministrativa per l’innovazione.

Il capitolo talvolta abbandona lo specifico tema dell’ICT nella PA  ma stabilisce principi importanti.

  • Impulso allo sviluppo delle Smart cities e dei Borghi del Futuro.
  • Costruire una rete dei poli di innovazione che diventi catalizzatore e acceleratore della innovazione nella PA.
  • Considerare l’innovazione come e per il bene comune.

Quanto stabilito è importante ma deve essere supportato da meccanismi di adeguata competenza, efficacia ed efficienza.

 

Capitolo 8 – Governare la trasformazione digitale

Un Piano deve essere supportato da adeguata governance in termini di risorse umane e strumentali. Le risorse umane devono essere di numero adeguato e competenti specialmente su temi dove le competenze scarseggiano anche nel mercato privato (analisi dei dati, sicurezza informatica, project management innovativo, ecc. ).

Il Piano non può fare a meno di ribadire la necessità del coinvolgimento attivo delle amministrazioni e dei territori.

Vengono ribaditi molti concetti già visti e che hanno funzionato parzialmente nel passato sostanzialmente per motivi legati alla politica che non favorisce proprio il principio di “smart community”.

Risulta efficace e pienamente condivisibile il seguente brano del Piano:

“È strategico, ai fini dell’accelerazione dei processi di trasformazione digitale, che le Amministrazioni in grado di esprimere progettualità e competenze tecniche ed organizzative in relazione ai temi del Piano triennale (ad es. cloud, interoperabilità, design dei servizi…) si propongano come punti di riferimento”.

 

Il Piano mantiene cruciale la professionalità del Responsabile della Transizione al Digitale (RTD) che è un ruolo che rimane indispensabile e deve essere consolidato. Una rete di contatto tra queste cruciali figure professionali è auspicata e fondamentale anche per confrontare esperienze e iniziative. La conferma viene da iniziative del mondo privato sul tema.

Il Piano non dimentica il tema del lavoro agile (smart working) e si pone l’obiettivo di definire per mezzo dei RTD un modello di maturità che focalizzi i cambiamenti organizzativi e tecnologici necessari per un efficace e efficiente lavoro agile.

Nel capitolo si parla anche di domanda pubblica come leva per l’innovazione del Paese e modelli e regole per l’erogazione integrata di servizi interoperabili. I concetti sono ambiziosi e richiedono un cambio di mentalità significativo.

Il Piano non dimentica la necessità di sviluppare le competenze digitali e ribadisce concetti che sono condivisibili ma che nel passato hanno segnato il passo. Quindi il problema non è di concetto o di indirizzo ma attuativo.

Si arriva al monitoraggio dell’attuazione del Piano. Questo è uno dei compiti di AgID ai sensi dell’articolo 14-bis, comma 2, lettera c) del CAD.

Le metodologie che verranno messe in campo sono l’evoluzione del cruscotto di Avanzamento Digitale, di una banca dati specializzata che dovrà essere alimentata dalle PPAA secondo un format specifico sviluppato da AgID.

Per le azioni specifiche di monitoraggio è indispensabile la lettura del Piano.

 

Capitolo 9 – Indicazioni per le PA

Il Piano si chiude con le indicazioni per le PA. Si ribadiscono gli obiettivi del Piano e i raccordi in termini di continuità con i Piani precedenti. Viene aggiornato il modello strategico rappresentando che questa è una scelta di semplificazione  ma anche il risultato dello scambio di esperienze con le PA.

La seguente figura (Nr. 2) del Piano rappresenta il Modello strategico di evoluzione del sistema informativo della PA nel Piano 2019-2021 e rappresentazione semplificata nel Piano 2020-2022

Il Piano si compiace della sua impostazione dei capitoli che:

“fa sì che risulti chiaro quali siano le linee di azione che ci si aspetta le amministrazioni mettano in atto, come si è visto nei capitoli precedenti, con una sequenza temporale successiva alle azioni condotte da AGID, dal Dipartimento per la Trasformazione Digitale e da altre amministrazioni owner dei processi rappresentati”.

In conclusione del capitolo sono presentate in forma di infografiche le agende delle PPAA contenenti l’avvio e conclusione delle azioni a loro carico in coordinamento con gli 8 capitoli del Piano.

Considerazioni conclusive

Quest’ultima versione del Piano rappresenta certamente l’evoluzione dei due Piani precedenti nei termini indicati nella sintesi direzionale (executive summary) iniziale.

La lettura del Piano non è facile e la struttura sintetica non facilita questa operazione in molti punti. La parte normativa è utile e efficace anche se c’è disallineamento in vari punti con il DL 76/2020 (semplificazioni). Si ipotizza che questo derivi da esigenze temporali nell’emissione del Piano ma anche dal fatto che la versione definitiva per il triennio di riferimento è opportuno che sia conforme alla conversione in Legge del DL.

Per il resto si può dire che il Piano contiene elementi orientati fortemente alla responsabilizzazione delle PPAA verso la reale attuazione degli obiettivi.

Quindi, mai come stavolta la parte attuativa è da verificare ma anche da supportare (la nota dolente è sempre quella dei fondi disponibili). Il percorso di adeguata e specifica formazione culturale delle PPAA è irto di ostacoli, AgID appare sempre più debole anche per il ricambio continuo dei collaboratori precari e per la mancanza di risorse umane minime per affrontare i sempre maggiori oneri che la normativa le attribuisce.

Stesso discorso per altri organismi di controllo come la Corte dei Conti che deve essere adeguata con figure specializzate ai nuovi compiti di monitoraggio stabiliti nell’ultima versione del CAD.

Se l’attuazione del Piano è il punto focale del prossimo triennio, l’esperienza suggerisce che questa non verrà raggiunta con l’attività di controllo e l’irrogazione di sanzioni (esclusi i casi di palese inerzia direzionale) ma con un adeguato indirizzo e supporto da parte di un’adeguata AgID insieme al Dipartimento per la Trasformazione Digitale e quelle amministrazioni “forti” che possono affiancare e supportare i processi di digitalizzazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4