“Niente improvvisazione”: sembra proprio questo il messaggio sotteso del nuovo regolamento unico per le infrastrutture e i servizi cloud per la PA uscito il 27 giugno 2024 ad opera della ACN e del Dipartimento per la trasformazione digitale.
Un regolamento che in 88 pagine (27 articoli e 4 allegati n.d.r.) sostituisce le precedenti norme ovvero termina il periodo transitorio della regolazione dei servizi cloud emessa dal Dipartimento per la trasformazione digitale e dall’Agenzia per la cybersicurezza nazionale (ACN), in ossequio alla Strategia Cloud Italia.
Il documento si pone come testo unico che punta ad armonizzare il quadro regolatorio già vigente e definisce le misure tecnico-organizzative e le modalità di qualificazione e adeguamento di servizi e infrastrutture cloud.
Per completezza si ricorda infatti che è dal 19 gennaio 2023 che la qualificazione dei servizi cloud per la PA è di competenza dell’Agenzia per la Cybersicurezza Nazionale (ACN), che è subentrata all’Agenzia per l’Italia digitale (AGID).
L’aggiornamento alle nuove regole è presente sia sul sito Cloud Italia sia nel sito di ACN con una sezione del portale interamente dedicato al Cloud e al nuovo regolamento per spiegarne tutte le componenti ed i passaggi essenziali
Già ampiamente descritto e spiegato in tutte le sue componenti e con dovizia di dettagli nei suoi impatti fin dalla sua pubblicazione, il nuovo Regolamento Cloud aveva anche ottenuto in via preventiva il parere favorevole del Garante Privacy poiché ne recepiva le indicazioni fornite in fase interlocutoria. Un dettaglio questo estremamente importante alla luce del necessario binomio che Sicurezza e Privacy sono chiamate a giocare, insieme, per proteggere e allo stesso tempo tutelare i dati delle persone, durante il processo di trasformazione digitale.
Un testo, quello del regolamento Cloud, ben diverso ad esempio dal Cloud ACT degli USA, che aveva un predominante obiettivo di sicurezza, ma che di fatto lasciava aperte diverse lacune di privacy, (il documento era nato per consentire alle autorità statunitensi, forze dell’ordine e agenzie di intelligenze di acquisire dati informatici dagli operatori di servizi di cloud computing indipendentemente dal fatto che tali comunicazioni, registrazioni o altre informazioni si trovassero all’interno o all’esterno degli Stati Uniti, n.d.r).
Di tutto questo e delle attese sulla piena implementazione di tutta la roadmap prevista dal nuovo Regolamento Cloud abbiamo parlato con l’ammiraglio Andrea Billet, direttore del Servizio Certificazione e Vigilanza, Agenzia per la Cybersicurezza Nazionale (ACN).
Indice degli argomenti
Perché la necessità di una regolamentazione
È diffusamente noto che la crescita della popolarità delle tecnologie cloud è stata accelerata dalla recente pandemia e si prevede che possa crescere ulteriormente nei prossimi anni con punti percentuali a doppia cifra (Fonte Digitexport).
Le tecnologie cloud sono economiche ed efficienti, ma comportano un rischio per la sicurezza, poiché qualsiasi servizio cloud è una forma di esternalizzazione. Per questo motivo, sono stati avviati sforzi sia a livello europeo che dei singoli paesi UE per regolamentare questo aspetto.
L’Italia con il nuovo Regolamento Cloud ha tracciato una roadmap la cui pietra miliare è il 1° agosto 2024, data in cui è stato avviato il regime ordinario di qualificazione. Il generico fornitore di servizi Cloud, a seguito del nuovo testo unico, al fine di essere conforme, deve autenticarsi nella sezione del portale dedicata ai fornitori e inviare l’istanza.
Quando il servizio o soluzione è qualificato allora rientra in un catalogo fruibile dalle PA ed acquistabile secondo i noti canali di procurement delle PA (Codice degli appalti) ed i rispettivi strumenti e piattaforme marketplace quali il Mercato elettronico della PA (MEPA) di CONSIP.
“Questo procedimento”, spiega Billet, “non viene da un ragionamento solitario dell’ACN ma è frutto di una lungo percorso iniziato un anno e mezzo fa. L’AGID aveva già un sistema di qualifica che presentava, tuttavia, aspetti di sicurezza parziali. L’ACN ha ascoltato i territori per addivenire all’attuale formulazione. È stato necessario ascoltare cosa serviva alle PA locali e centrali e sono stati tenuti incontri con le associazioni di categorie e con soggetti privati (aziende grandi e piccole fino a anche da 10 persone). Il risultato è un meccanismo che prevede un percorso che possa sia tutelare le realtà locali, tenendo conto di grandi operatori anche internazionali, ma alzando l’asticella di sicurezza per tutti”.
L’Ammiraglio chiarisce come il fulcro del ragionamento sia proprio il dato e la sua catalogazione: “La classificazione è basata sui dati: i dati ordinari sono gestiti da tutti, i dati critici sono quelli personali e di privacy ed i dati strategici sono inerenti alla sicurezza nazionale. Dipendentemente dal tipo di dato trattato dal servizio cloud che si vuole qualificare, il portale di registrazione chiede della documentazione di prova e comprova, ma il processo di verifica e convalida non si basa solo sulla prova documentale. Ad esempio, chi tratta un dato sanitario, notoriamente dato sensibile, deve fornire evidenze più significative”.
Il Portale è distinto fra soggetti italiani in possesso di SPID e soggetti non italiani non in possesso di SPID e su questa distinzione il Direttore specifica come “esistano anche aspetti geopolitici per limitare accessi da aziende estere. Quindi qualsiasi fornitore italiano o estero deve leggere bene il regolamento e rendere la sua sicurezza standardizzata. Per le piccole realtà sono state previste misure di adempimento minime ma sensate e ad esempio la ISO9001 è una base imprescindibile per tutti”.
I doveri delle PA
I soggetti della pubblica amministrazione non hanno che da accedere al catalogo e scegliere il fornitore; operazione che può sembrare banale a fronte di poche voci, ma quando le voci del catalogo sono numerose il compito potrebbe sembrare più arduo. Billet su questo tema chiarisce: “Attualmente nel catalogo di servizi qualificati, che è pubblico, ci sono circa milleottocento voci, ma la previsione è di arrivare ad almeno da duemila se non tremila voci. Normalmente la PA sceglie per macrocategorie o procede ‘a colpo sicuro’ su quelli che già conosce. Abbiamo osservato che i piccoli operatori lavorano con servizi ‘taylor made’ mentre i grandi operatori propongono servizi ‘a grana grossa’. E sebbene la mole di verifiche da fare fosse ingente, fino ad oggi il gruppo che si occupa di visionare le istanze di qualificazione per ciascuno dei milleottocento già qualificati, non ha mai fatto scadere i termini della qualificazione”.
In un contesto geopolitico di competizione nazionale ed internazionale il rischio di pressioni è sempre presente perché, spiega il direttore, “il grande operatore prova a forzare il sistema con la motivazione della sua difficoltà di sottostare agli adempimenti delle leggi e dei regolamenti dei diversi paesi in cui opera. Questi sono anche i motivi per cui in Europa non è ancora stato chiuso lo schema certificativo European Cybersecurity Certification Scheme for Cloud Services (EUCS) tuttora soggetto pressioni e azioni di lobby”.
“Ma qui in Italia” conclude Billet “le regole sono quelle stabilite dal Dipartimento per la trasformazione Digitale (DTD) che può erogare i fondi del PNRR emettendo i bandi; in ACN li supportiamo con regole di qualificazione dei fornitori e con le attività di verifica e asseverazione; i grandi operatori esteri non possono che seguire questo procedimento se vogliono accedere a quei bandi e mettersi in condizione di competere in questo ecosistema”.
Il valore di un ecosistema sicuro
Il nuovo Regolamento Cloud nasce per supportare i servizi pubblici ma i soggetti privati possono trarne beneficio. Billet cita, per esempio, “il settore finanziario che ha manifestato interesse. Questo perché il cloud è una tecnologia veicolare ovvero è un abilitante di tante applicazioni e quindi presidiare il cloud è un fattore critico. Le banche hanno scoperto la convenienza del rapporto costi/benefici e per questo tipo di soggetti di mercato adottare il Cloud significa liberare risorse interne e personale. Si tratta di una spesa virtuosa se e solo se si possono contrattare le condizioni contrattuali del fornitore Cloud (cosa notoriamente impossibile con i grandi operatori internazionali che non concedono clausole di Audit e similari condizioni di controllo del fornitore, n.d.r.). Ed è proprio in questi casi che il settore finanziario si è rivolto ad ACN chiedendo di poter accedere ed usare il catalogo magari potendo inserire anche requisiti specifici per le banche. In questo senso come ACN agiremmo come un mediatore di garanzia (si pensi ad un soggetto simile a paypal)”.
Ma il senso di avere un catalogo nazionale dei fornitori può essere considerato anche come valido controllo delle supply chain. Infatti, chiarisce Billet, “anche le piccole medie imprese possono consultare il catalogo e servirsi di servizi Cloud già qualificati, e quindi automaticamente si genera un ecosistema sicuro in cui i soggetti che si comportano male poi hanno multe o danni di reputazione e progressivamente escono dal sistema di qualifica. Nel tempo invece si genera un beneficio per i soggetti onesti che praticano la sicurezza, investono in misure appropriate”.
Housing e infrastrutture di prossimità
Il regolamento tratta anche le casistiche dei servizi di housing e dei cosiddetti servizi o infrastrutture di prossimità (più noti apparati di edge computing, n.d.r.) perché è stato verificato come fossero adottati in alcuni contesti. L’AMM. Billet in proposito chiarisce: “L’edge computing è molto interessante soprattutto nel settore sanitario. Ad esempio, nella diagnostica per immagini i dati sono importanti e la fruizione locale non richiede troppe garanzie, che sono invece necessarie e da garantire a livello centrale quando cioè il dato del paziente è inviato per l’elaborazione dei dati amministrativi e di diagnosi. Anche per l’Housing ci siamo ispirati al modello di responsabilità condivisa per cui le responsabilità sono divise fra chi fornisce l’hardware e chi lo gestisce. Anche in questi due casi ACN opera come un mediatore culturale alla security per la diffusione ed evangelizzazione delle prassi di security”.
