Il trattamento dei dati nella Pa è per sua natura ambito critico quando si tratta di sfruttare le leve digitali alla ricerca di efficienza nell’erogazione dei servizi. Le amministrazioni pubbliche custodiscono informazioni anagrafiche, fiscali, sanitarie e di servizio che riguardano la totalità della popolazione amministrata: la perdita o un’indisponibilità prolungata non si traducono solo in un disservizio ma anche in un’esposizione ai rischi con conseguenze ben più gravi.
Il quadro normativo che regola questa responsabilità si è progressivamente strutturato negli ultimi anni, dal Gdpr, alle Misure minime di sicurezza Ict per le PA di Agid, fino alle più recenti direttive europee in materia di cybersecurity come Nis2, che amplia il perimetro degli enti tenuti a garantire continuità operativa e resilienza. A questi si aggiunge il tema della sovranità del dato ovvero l’esigenza che le informazioni della PA siano trattate da fornitori e su infrastrutture localizzate all’interno del perimetro europeo, in conformità con i requisiti di qualificazione dell’Agenzia per la Cybersicurezza Nazionale (Acn) per i servizi cloud destinati al settore pubblico.
Il contesto e il bisogno
In questo quadro, la scelta del fornitore tecnologico non è una decisione meramente operativa ma di governance, che incide sulla capacità dell’ente di rispettare obblighi normativi, garantire continuità dei servizi e mantenere il controllo sul ciclo di vita dei dati. Sono questi gli stessi problemi che si pone il Comune di Numana, ente locale della provincia di Ancona, sulla riviera del Conero, con poco più di 3.700 abitanti. Una dimensione in linea con il profilo della maggior parte dei Comuni italiani — piccoli o medio-piccoli — e che porta con sé un dato strutturale: vincoli organizzativi e di bilancio definiti, organici tecnici contenuti, esigenza di soluzioni che non richiedano interventi pesanti sui processi interni. Allo stesso tempo, anche un Comune di queste dimensioni gestisce sistemi informativi che custodiscono dati anagrafici, atti amministrativi, dati tributari e applicativi gestionali la cui indisponibilità avrebbe ricadute immediate sulla cittadinanza. All’interno del proprio percorso di rafforzamento dei sistemi informativi, l’ente avvia quindi un progetto specifico per la protezione dei dati e la continuità operativa.
Il punto di partenza dell’infrastruttura comunale è descritto da Alessandro Borroni, responsabile della III U.O. del Comune di Numana e referente del progetto: “Abbiamo due server fisici che ospitano diverse macchine virtuali, dai domain controller ai gestionali. Nel tempo abbiamo costruito un sistema di backup molto ridondato, con copie su Nas, Rdx e cloud. Ma c’era l’esigenza di fare un passo ulteriore: avere una copia completa delle macchine virtuali anche fuori dal Comune, in cloud, in modo semplice e realmente sicuro”. È da questa esigenza specifica — già radicata in una strategia di backup articolata sul perimetro locale ma priva di una copia esterna realmente georidondata — che prende forma il progetto di rafforzamento dei sistemi informativi e di continuità operativa avviato dall’ente.
Il metodo e la scelta
Il punto di partenza è circoscritto ma rilevante: rafforzare la protezione dei sistemi informativi del Comune e garantire l’efficienza, senza generare impatti sui processi interni e nel rispetto delle tempistiche e dei vincoli di bilancio tipici della PA. Il Comune, come visto, dispone già di una strategia di backup articolata e attiva sul perimetro locale; manca però una copia esterna, georidondata, capace di garantire la disponibilità dei dati anche in scenari di indisponibilità del sito principale.
Il processo di selezione del fornitore segue criteri strutturali. Vengono valutate diverse opzioni e la scelta si basa su tre elementi specifici: la georidondanza dell’infrastruttura, la sua affidabilità complessiva e la qualità dei data center utilizzati per l’erogazione del servizio. Si tratta di parametri coerenti con l’orientamento normativo verso un cloud per la PA che assicuri non solo la disponibilità del dato, ma anche la sua localizzazione su infrastrutture certificate e la resilienza in caso di incidente fisico o logico.
La scelta cade su ReeVo, cloud provider e managed security service provider europeo che opera da oltre vent’anni con servizi integrati di cloud, cybersecurity e cloud native & DevOps erogati con un approccio secure by design. L’azienda dispone in Italia dell’accreditamento Acn come cloud provider e service provider qualificato di livello 2 (QI 2 e QC 2), un riconoscimento richiesto per l’erogazione di servizi alla PA. La sua infrastruttura si appoggia a otto data center certificati Rating 4 Ansi/Tia-942 distribuiti nei Paesi europei in cui ReeVo è presente, una classificazione che identifica i livelli più alti di ridondanza e disponibilità nelle specifiche internazionali per le strutture di data center. Sul piano operativo, il progetto vede il coinvolgimento di Enterprise Solutions come partner tecnologico per l’integrazione. Tra i siti utilizzati per il progetto figura quello del Tecnopolo, ex bunker della Banca d’Italia, un elemento che ha pesato nella valutazione dell’ente sul livello di protezione fisica dell’infrastruttura.
Sul piano operativo, il progetto vede il coinvolgimento di Enterprise Solutions come partner tecnologico per l’integrazione. La società opera nell’Ict per imprese e PA con specializzazione in sicurezza informatica, networking e protezione dei dati. Nel progetto Numana, il ruolo del partner non si limita all’intermediazione commerciale verso il cloud provider, ma copre tre aree distinte. La prima è l’analisi del contesto: la traduzione delle esigenze tecniche dell’ente — la copia completa delle macchine virtuali in cloud (lo vediamo in seguito) — in un perimetro progettuale coerente con i vincoli amministrativi della PA, dalle disponibilità di bilancio alle tempistiche di affidamento. La seconda è il dimensionamento e l’integrazione tecnica della soluzione, condotta in continuità con le tecnologie già in uso presso il Comune. La terza è l’accompagnamento operativo nelle fasi di attivazione e collaudo, con un presidio diretto sull’avanzamento del progetto.
Un esempio concreto di questa flessibilità riguarda la modalità di affidamento. L’attivazione del servizio avviene a fine anno (2025), in una fase tipicamente complessa per la gestione del bilancio comunale, e richiede un contratto di durata calibrata sul periodo residuo dell’esercizio anziché un impegno annuale completo. La possibilità di estendere successivamente l’affidamento consente all’ente di partire senza forzare i tempi della programmazione di bilancio. Sul piano relazionale, lo stesso approccio è sintetizzato da Fabrizio Buzi, Sales Pac di ReeVo: “I Comuni non sono grandi metropoli e non possono essere trattati come tali. Ci adattiamo ai loro processi, non il contrario”.
La soluzione
Sul piano tecnologico, l’intervento estende la strategia di backup esistente del Comune introducendo una copia completa delle macchine virtuali in cloud. È un passaggio rilevante rispetto al modello precedente: il backup non si limita più al salvataggio di file e database, ma riguarda l’intera macchina virtuale, comprensiva di sistema operativo, configurazioni e applicativi. In caso di necessità, ciò consente un ripristino dell’ambiente operativo nella sua interezza, riducendo i tempi di recovery e la complessità delle procedure manuali di reinstallazione.
L’integrazione tra lo storage cloud di ReeVo, la soluzione già utilizzata per i backup locali e l’infrastruttura esistente è realizzata, secondo quanto comunicato dall’ente, in tempi rapidi e senza interruzioni operative. L’attivazione del servizio avviene quindi con modalità contrattuali calibrate sui tempi e sulle disponibilità di bilancio dell’ente, un elemento che le amministrazioni di piccole dimensioni segnalano spesso come critico nella relazione con i fornitori cloud.
L’integrazione si regge su due scelte tecniche specifiche. La prima è l’adozione dello storage cloud di ReeVo come destinazione dei backup, con interfaccia S3-compatibile: una scelta che consente l’integrazione con qualunque software di backup capace di scrivere su object storage standard. La seconda è la continuità con la tecnologia già utilizzata dal Comune per i backup locali — Veeam — che gestisce nativamente la replica verso destinazioni S3-compatibili. La combinazione di queste due scelte ha permesso di estendere il perimetro di protezione senza stravolgere lo stack già operativo: il Comune mantiene la propria piattaforma di backup, aggiungendo lo storage cloud di ReeVo come destinazione esterna per le copie complete delle macchine virtuali.
I vantaggi
Gli effetti del progetto si articolano su tre piani. Il primo è la resilienza: la disponibilità di una copia esterna, georidondata e completa delle macchine virtuali riduce l’esposizione del Comune a scenari di indisponibilità dei sistemi locali, da quelli accidentali — guasti hardware, eventi ambientali — a quelli intenzionali che negli ultimi anni hanno colpito anche realtà della PA italiana. Il secondo piano è la conformità: appoggiarsi a un fornitore qualificato Acn e a infrastrutture certificate Rating 4 facilita all’ente il rispetto degli obblighi normativi sulla protezione dei dati e sulla qualifica dei servizi cloud per la PA. Il terzo piano è operativo: poter contare su backup in cloud gestiti riduce il carico di attività sul personale tecnico interno e sposta una parte della complessità verso il fornitore. Il punto di vista dell’ente è così sintetizzato da Borroni: “Sapere che esiste una copia completa, sicura e georidondata delle nostre macchine virtuali ci permette di lavorare con maggiore tranquillità”. Una considerazione che traduce in termini operativi un risultato che, per una piccola amministrazione, ha implicazioni anche di percezione del servizio pubblico da parte della cittadinanza. Il progetto, secondo la comunicazione dell’ente, rappresenta un primo passo all’interno di un percorso più ampio. La roadmap prevede ulteriori sviluppi, tra cui test di disaster recovery per verificare nelle condizioni reali la capacità di ripristino dei sistemi, e altre iniziative coerenti con le direttive nazionali sulla digitalizzazione della PA. Il caso indica come, anche in contesti di piccole dimensioni, sia possibile costruire un’infrastruttura di protezione dei dati allineata ai requisiti più recenti di sovranità digitale e continuità operativa, modulando l’impegno economico e organizzativo in funzione della scala dell’ente.
© RIPRODUZIONE RISERVATA
