Migreranno in cloud i dati delle pubbliche amministrazioni italiane, per garantire maggiore sicurezza e servizi più efficienti per i cittadini. Lo faranno entro il 2025 seguendo il piano Strategia Cloud Italia che il ministro per l’Innovazione tecnologica e la Transizione digitale Vittorio Colao ha presentato in settimana come “una casa moderna per i dati degli italiani”, “un risultato bilanciato, orientato a garantire al tempo stesso sicurezza e nuove tecnologie”.
Il cloud della PA, dei 6,7 miliardi di euro che il Pnrr destina alla digitalizzazione della pubblica amministrazione, se ne accaparrerà 1,9 miliardi e non sarà soltanto una casa, avrà più muri e confini: nel progetto “c’è spazio per tutti, c’è un grande muro che si chiama Europa, c’è un giardino, c’è una casa con diverse stanze con muri normali e altri spessi come casseforti”. Che, tradotto da Colao stesso, indica apertura a più operatori ma nello stesso tempo confinati dentro la UE: “Molti troveranno modo di contribuire a questo disegno, italiani e non italiani, ma l’Italia prende il controllo delle regole di comportamento in giardino e fuori casa”.
Il perimetro del terreno è tracciato, il progetto rimane confinato in Europa (“non è aperto ai paesi extra Ue”) con regole di sicurezza stabilite nel vecchio continente e dalle regolamentazioni UE quali il Gdpr, la libera circolazione dei dati non personali (2016/679 e 2018/1807), la Direttiva Nis (2016/1148), le leggi di sicurezza nazionale, tra cui il cosiddetto Perimetro di Sicurezza Nazionale Cibernetica (legge 133/2019). “La migrazione al cloud permette alle pubbliche amministrazioni di fornire servizi digitali e di disporre di infrastrutture tecnologiche sicure, efficienti ed affidabili, in linea con i principi di tutela della privacy, con le raccomandazioni delle istituzioni europee e nazionali, mantenendo le necessarie garanzie di autonomia strategica del Paese, di sicurezza e controllo nazionale sui dati” precisa il documento di 15 pagine (da leggere in versione integrale).
Il senso è quello di creare un cloud nazionale che mantenga al sicuro i dati critici (dalla difesa, alla sanità fino all’anagrafe), con attenzione agli aspetti di autonomia tecnologica, controllo sui dati e solidità dell’infrastruttura, che passa inevitabilmente dalla scelta attenta dei fornitori di cloud pubblico e dei loro servizi, con preferenza per chi gravita attorno al progetto europeo Gaia-X.
Al centro del cloud nazionale l’elemento principale: il Polo strategico nazionale (Psn), in sintesi l’infrastruttura tecnologica che verrà realizzata per ospitare i dati degli italiani, in grado di garantire i requisiti fondamentali di sicurezza e di autonomia tecnologica. Ci sono cordate interessate e gestire il Psn (tre alleanze nelle voci di questa estate) ma oggi nulla di concretizzato.
Ecco la roadmap: entro la fine del 2021 verrà pubblicato il bando per realizzare il Psn, che a sua volta dovrà essere pronto entro la fine del 2022, in modo tale che a partire dalla stessa data le amministrazioni pubbliche potranno avviare la loro migrazione verso il cloud. Migrazioni che dovranno concludersi entro il 2025, attraverso un processo uniforme uguale per tutte le amministrazioni, dalle grandi ai piccoli comuni. “Non sarà una classica gara quella di fine anno” puntualizza Colao che attende “proposte a giorni”, ma servirà per analizzare i partenariati tra soggetti pubblici e privati, che insieme sono portatori di maggiore progettualità e hanno le competenze per gestire l’infrastruttura stessa. Una condizione quest’ultima imprescindibile.
Con un desiderata: “C’è una certa preferenza a mantenere il controllo sul cloud nazionale da parte dello stato – precisa il ministro -, vediamo che proposte arriveranno”. Le ragioni sono legate a questioni di sicurezza nazionale avvalorate da Franco Gabrielli, sottosegretario di Stato con delega alla sicurezza, artefice della neonata Agenzia per la Cybersicurezza nazionale (Acn) che, con il direttore Roberto Baldoni, giocherà un ruolo chiave nella gestione del progetto, perché che cloud e sicurezza abbiano legami forti ormai lo sanno anche i muri (l’attacco all’infrastruttura regionale del Lazio questa estate ne è un recente esempio).
La Strategia Cloud Italia si realizzerà lungo tre direttrici fondamentali, impostate anche con Paolo de Rosa, Cto del Dipartimento per la Trasformazione digitale: la creazione del Psn, che sarà distribuito almeno su 4 data center in due regioni italiane, la cui gestione e controllo di indirizzo saranno autonomi da fornitori extra UE (1); la definzione di un percorso di qualificazione dei fornitori di cloud pubblico e dei loro servizi per garantire che le caratteristiche e i livelli di servizio dichiarati siano in linea con i requisiti necessari di sicurezza, affidabilità e rispetto delle normative (2); lo sviluppo di una metodologia per classificare dati e servizi delle PA per permettere una migrazione di questi verso la soluzione cloud più opportuna, Psn o cloud pubblico qualificato (3).
Perché il Polo strategico nazionale sarà sì quello preferito di gran lunga dalle PA per i dati critici, ma non sarà l’unico. Da qui prima la classificazione dei dati da gestire (dati e esercizi strategici, dati e servizi critici, dati e servizi ordinari) a seconda che la loro compromissione metta a rischio la sicurezza nazionale o abbia effetti sul benessere economico e sociale della nazione. E la conseguente classificazione dei cloud provider e dei servizi: solamente quelli giudicati idonei dall’Agenzia per la cybersicurezza nel rispetto delle normative UE potranno entrare nel novero, garantendo il mantenimento dei dati su territorio dell’Unione europea. Tra i “non qualificati” rientreranno di contro coloro che operano in Usa e Cina.
Per ora solo manifestazioni di interesse per farsi carico del Psn, “sarebbe il momento di concretizzare” commenta Colao e precisa: “Non ci sono percorsi preferenziali, aspettiamo una proposta, quando arriverà; se arriverà e se saremo convinti la valuteremo, sennò abbiamo definito oggi le regole e faremo pezzettino per pezzettino. Se qualcuno ci propone la casa intera faremo la casa intera, altrimenti faremo mattone per mattone”.
Le tre cordate che hanno manifestato interesse hanno anime tra loro molto diverse (anche al loro interno): l’asse Aruba-Almaviva, la cordata Cdp, Sogei, Tim, Leonardo, il Consorzio Italia Cloud che raggruppa Seeweb, Sourcesense, Infordata, Babylon Cloud, Consorzio Eht e Netalia. Ad oggi nessuno delle tre ha ufficializzato progetti e intenti.
Certo non mancano dubbi sul progetto nel suo complesso (i grandi cloud provider internazionali si faranno facilmente da parte rinunciando ai loro contratti con la PA? Amazon, Google, Microsoft non vorranno ritagliarsi un ruolo anche nella strategia cloud nazionale a valle degli investimenti fatti in Italia? Quattro anni saranno sufficienti per portare la PA in cloud?), ma la Strategia Cloud Italia ha tutti gli elementi per avviare la trasformazione auspicata.
Vedremo se entro la fine di settembre qualcuno presenterà una vera candidatura.
© RIPRODUZIONE RISERVATA