Alla base di tutto la realizzazione del Polo Strategico Nazionale, distribuito geograficamente sul territorio nazionale
Non sappiamo quando finirà la pandemia, ma in compenso abbiamo una certezza: l’infuriare del Covid ha accelerato la transizione tecnologica, che in Italia ha perfino portato alla creazione di un dicastero ad hoc, guidato dall’ex manager di Vodafone Vittorio Colao. E Colao non è rimasto con le mani in mano, presentando nella giornata di oggi la Strategia Cloud Italia, ovvero il documento programmatico che spiega come digitalizzare la PA e il suo immenso archivio di scartoffie, rendendolo efficiente, a misura del cittadino internauta, ma anche molto sicuro.
“La digitalizzazione della Pubblica Amministrazione – commentano dal dicastero creato appositamente per ricostruire e innovare il Paese dopo la pandemia – si impone oggi come obiettivo prioritario del Piano Nazionale di Ripresa e Resilienza per garantire ai cittadini e alle imprese servizi pubblici di maggiore qualità, efficienza ed efficacia, oltre che per creare nuove opportunità di sviluppo per l’economia digitale del Paese”.
Tre le sfide che la Strategia Cloud Italia intende affrontare: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali. La strategia, infatti, si sviluppa secondo altrettante direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud.
Anzitutto, occorrerà regolamentare l’ampia offerta di servizi cloud disponibili sul mercato per mitigare i rischi sistemici di sicurezza e affidabilità. In quest’ottica la classificazione di dati e servizi, introdotta dalla strategia, li cataloga in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari).
In secondo luogo, la Strategia Cloud Italia si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati; i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative all’erogazione e alla rendicontazione del servizio.
Infine, il governo vuole realizzare il Polo Strategico Nazionale, che avrà l’obiettivo di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza. Il Polo sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del PSN saranno pubbliche e indipendenti da soggetti terzi. La gestione operativa sarà affidata a un fornitore qualificato sulla base di requisiti tecnico-organizzativi.
La Strategia Cloud Italia, si legge nel documento, si pone in questo contesto come metodologia implementativa della policy “Cloud-First”, pilastro del progetto di digitalizzazione della PA enunciato nel PNRR italiano. Questa policy permetterà di guidare, e favorire l’adozione sicura, controllata e completa delle tecnologie Cloud per la PA, con l’obiettivo, a tendere, che tutti i servizi erogati siano basati su applicazioni “Cloud-native”, sviluppate cioè nativamente sulla base dei paradigmi Cloud.
Le classi dei dati e servizi sono identificate sulla base del danno che una loro compromissione, in termini di confidenzialità, integrità e disponibilità, provocherebbe al sistema Paese. Tali classi sono:
• Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
• Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
• Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.
I servizi Cloud qualificati potranno essere utilizzati, in accordo alla classificazione dei dati, con i seguenti vincoli:
● le offerte di Cloud Pubblico Qualificato e Pubblico Criptato, potranno ospitare dati e servizi ordinari;
● le offerte di Cloud Pubblico Criptato, Privato/Ibrido “su licenza“ e Privato Qualificato potranno ospitare dati e servizi critici;
● le offerte di Cloud Privato/Ibrido “su licenza“ e Privato Qualificato potranno ospitare dati e servizi strategici; Questo processo di adozione dei servizi Cloud nella PA, dovrà culminare con la realizzazione di un mercato elettronico dei servizi Cloud qualificati12. Tale mercato dovrà rappresentare il mezzo mediante il quale le amministrazioni saranno guidate, in accordo al processo di classificazione dei dati e dei servizi, nella scelta dei servizi Cloud per loro più idonei e all’acquisto diretto con strumenti amministrativi semplificati e pre-negoziati.
Chi porta la PA sulle ‘nuvole’?
Il processo di migrazione delle scartoffie contenute in faldoni polverosi e logori è descritto nella Strategia Cloud Italia. Dovrà essere centralizzato, agevole e uniforme per tutte le amministrazioni. I piani di migrazione saranno quindi definiti in accordo con il risultato della classificazione dei dati e dei servizi. La classificazione e la redazione del piano di migrazione saranno definiti e supportati, per i rispettivi profili di competenza, dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Dipartimento per la Trasformazione Digitale (DTD). Questo processo non potrà prescindere dalla responsabilizzazione del soggetto pubblico e permetterà di individuare e catalogare i dati e i servizi gestiti, applicando poi una categorizzazione rispetto agli impatti di eventuali compromissioni, dei vincoli normativi e di sicurezza. L’esito della classificazione dei dati e servizi da migrare sul Cloud (ovvero dati strategici, critici o ordinari) permetterà di individuare i piani di migrazione al Cloud più idonei. Tali piani saranno validati e confermati dal Dipartimento e dall’Agenzia al fi ne di assicurare la congruità e il rispetto delle linee strategiche.