La strategia italiana sul cloud della Pubblica Amministrazione sta entrando nel vivo della fase operativa, mentre il decreto legge sulla cybersicurezza nazionale potrebbe assegnare le attività di certificazione in capo alla nuova Agenzia: la trasformazione digitale della Pubblica Amministrazione, dunque, che dovrebbe portare entro il 2026 quasi il 75% deli servizi delle PA italiane sul cloud, procede inesorabile e prevede la creazione di un Polo Strategico Nazionale (PSN).
Ecco l’Agenzia per la cybersicurezza nazionale: come cambia la sicurezza cibernetica dell’Italia
Indice degli argomenti
Il Polo Strategico Nazionale per la sicurezza dei dati della PA
La scelta di affidare la gestione dei dati delle amministrazioni più importanti a un ente istituzionale è dettata non solo dalle maggiori garanzie di sicurezza richieste, ma anche al fine di mantenere i dati su server “nazionali” o almeno europei.
Normative estere quali il Cloud Act statunitense, infatti, prevedono di poter imporre l’accesso da parte delle autorità locali, con ovvie ricadute sulla confidenzialità dei dati degli interessati e sui diritti tutelati dal GDPR.
Il Dipartimento per la trasformazione digitale della Presidenza del Consiglio si sta occupando della creazione dell’infrastruttura che dovrà essere operativa entro il secondo semestre del 2022 e che sarà gestita da un operatore del settore secondo un modello di partenariato pubblico-privato.
Nello specifico, le amministrazioni interessate dal progetto sono tutte le amministrazioni centrali, le principali amministrazioni locali, nonché le Aziende Sanitarie Locali (ASL) in ragione della particolare tipologia di dati trattati.
Come avverrà l’adozione dei servizi offerti dal Polo Strategico Nazionale
L’adozione dei servizi offerti dal PSN sarà garantita in via prioritaria alle amministrazioni ricondotte nel Gruppo 1, in cui ritroviamo 95 amministrazioni centrali e 80 ASL le cui infrastrutture sono state ritenute critiche e con un livello di insicurezza tale da giustificare il trasferimento urgente ai nuovi apparati.
Gli altri due gruppi individuati all’esito del censimento condotto nel 2020 da parte dell’Agenzia per l’Italia digitale (AgID), invece, potranno scegliere se utilizzare i servizi del Polo Strategico Nazionale oppure affidarsi ad un operatore economico certificato.
Nel gruppo 2 ritroviamo 13 amministrazioni pubbliche centrali che, in virtù della sufficiente sicurezza della propria rete, possono implementare autonomamente la migrazione dei servizi, mentre le rimanenti 93 amministrazioni pubbliche centrali, nonché le principali amministrazioni locali non presentano necessità tali da giustificare un’adozione urgente.
Per gli enti facenti parte del gruppo 1 sono state già fornite stime preliminari sulle capacità che l’infrastruttura dovrà avere per gestire i dati necessari, con indicazioni relative al numero di rack, CPU, storage e potenza elettrica.
Per le prime 175 amministrazioni saranno necessari 2.384 rack per un totale di 51.387 TB di memoria e quasi 9.000 kW di potenza.
Indicazioni che saranno senz’altro fondamentali per gli operatori che si proporranno per l’affidamento del servizio, tra cui figurano anche Leonardo e Tim quali partner privati del progetto in collaborazione con Cassa Depositi e Prestiti e Sogei.
La PA italiana sul cloud: tutti i tasselli di una partita epocale
L’importanza di un Polo Strategico Nazionale
La disparità riscontrata a livello di adozione del cloud da parte delle diverse amministrazioni pubbliche era già emerso nel rapporto “La spesa ICT nella PA italiana 2020” presentato da AgID.
Su un campione di 75 enti, solo 19 amministrazioni centrali e 25 locali hanno dichiarato di adottare tecnologie cloud, per la maggior parte come Infrastructure-as-a-service (IaaS), ma con una maggior adozione come Software as-a-Service (SaaS) per quelle locali.
In linea col livello di infrastrutture cloud, anche gli altri indici presi in considerazione evidenziano un livello di digitalizzazione piuttosto basso delle amministrazioni pubbliche in genere, ma con un certo scarto a favore di quelle locali che si stanno adeguando più velocemente alle sfide dell’innovazione digitale.
D’altra parte, anche il censimento del patrimonio ICT della Pubblica Amministrazione che ha portato alla suddivisione in 3 gruppi ha restituito risultati simili. Su quasi mille amministrazioni per un totale di 1.252 data center censiti, il 42% ha affermato di adottare già servizi cloud, il 22% di prevederne l’utilizzo, mentre il 36% non l’ha ancora considerato come un’opzione.
Come avverrà la migrazione di dati e servizi
Risulta chiaro come sia quindi prioritario dare concreta attuazione alla strategia delineata nel Piano Triennale per l’Informatica nella Pubblica Amministrazione 2020/2022 e che si muove secondo le seguenti direttrici:
- adozione di servizi cloud per le amministrazioni centrali e locali anche disponibili sul mercato, ma tenendo conto di progetti europei open-source quali Gaia-X;
- garanzia dei più alti standard di sicurezza, affidabilità e autonomia tecnologica per gli asset strategici nazionali attualmente ospitati su server non sicuri;
- valorizzazione dei data center più virtuosi e contenenti dati rilevanti, nonché eventuale federazione di risorse con altri enti per le PA territoriali.
Per le amministrazioni che già adoperano servizi cloud, il Polo Strategico Nazionale provvederà anche alla migrazione di dati e servizi senza alterazioni, oppure abilitando nuovi servizi secondo modalità quali cloud privato, cloud ibrido, come Infrastruttura (IaaS), Piattaforma (PaaS) o Software (Saas).
Cloud della PA locale oltre il PNRR: tutti i problemi ancora da risolvere
I requisiti per gli operatori privati di servizi alle PA
Come anticipato, gli operatori privati che potranno offrire i propri servizi alle PA saranno solo quelli appositamente certificati, similmente ad esempio al modello francese. In Francia, infatti, si permette ad operatori extra-europei di poter operare solo su licenza, garantendo così il rispetto delle più stringenti normative europee in materia di protezione dei dati personali.
Per le aziende europee, invece, è previsto il rilascio di una certificazione che assegna il titolo di “cloud di fiducia” e che garantisce il rispetto dei requisiti nazionali previsti.
Per l’Italia la questione potrebbe risolversi assegnando tali prerogative alla nuova Agenzia per la Cybersicurezza Nazionale (ACN) prevista dal decreto-legge 14 giugno 2021, n. 82 attualmente sotto esame da parte delle commissioni Affari costituzionali e Trasporti della Camera dei Deputati.
L’eventuale approvazione degli emendamenti proposti assegnerebbe alla nuova agenzia proprio il compito di accertare la corrispondenza dei provider ai requisiti richiesti.
La valutazione avverrebbe sulla base dell’aderenza a quegli stessi principi che hanno spinto il Governo ad adottare la formula “cloud first”, ovvero la sicurezza data dalla centralizzazione dei sistemi, la maggior qualità dei servizi erogati col cloud, la scalabilità del servizio, nonché il risparmio in termini di costi di gestione e manutenzione.
