INFRASTRUTTURE
MISSIONE AUTONOMIA PER IL CLOUD NAZIONALE La “migrazione” dei servizi della Pubblica Amministrazione centrale e locale è inevitabile, ma dovrà avvenire senza mettere a repentaglio il controllo e la sicurezza dei dati.
P
er la Pubblica Amministrazione italiana il cloud è un passaggio obbligato, inevitabile. Nei prossimi anni le infrastrutture on-premises, cioè i data center interni, dovranno essere progressivamente abbandonate, con un tasso di rinnovamento che sarà monitorato e che dovrà sottostare a scadenze ben precise. La cosiddetta “migrazione” in cloud non dovrà però avvenire con una perdita di controllo su dati e servizi acquisiti, una perdita di sovranità sul mondo digitale (fatto che oggi, invece, si sta realizzando in altri ambiti). La nuvola italiana avrà bisogno innanzitutto di una cosa: la sicurezza, affiancata a garanzie di controllo sui dati. È questo il tema al centro del piano Strategia Cloud Italia presentato a inizio settembre dal ministro per l’innovazione tecnologica e la transizione digitale, Vittorio Colao. La strategia parte da un’analisi dei principali rischi che nell’attuale contesto l’impiego del cloud comporta e punta a individuare le soluzioni che minimizzano gli impatti negativi di questa scelta. La costituzione del Polo Strategico Nazionale avrà proprio 30 |
OTTOBRE 2021
lo scopo di garantire servizi e infrastrutture collocati sul territorio nazionale, sotto il diretto controllo delle agenzie deputate all’innovazione e alla sicurezza per il Paese. La scelta di garantire un monitoraggio costante non solo su infrastrutture gestite sul territorio, ma anche sui servizi erogati da cloud provider internazionali, va nella direzione di un’importante presa di controllo sulla situazione attuale. Il riferimento diretto a legislazioni di dati esteri che pregiudicano la sovranità sui dati strategici italiani (vengono citati direttamente la National Intelligence Law della Repubblica Popolare Cinese, il Clarifying Lawful Overseas Use of Data Act, meglio noto come Cloud Act, e il Foreign Intelligence Surveillance statunitensi) è la presa di coscienza nazionale sul rischio che corriamo come Paese di perdere il controllo su informazioni critiche. Autonomia, controllo e continuità
Oggi è acceso il dibattito su chi si aggiudicherà i lavori di realizzazione dei data center e l’erogazione dei servizi, considerate le risorse in gioco: 1,9 miliardi di euro messi a disposizione dal
Piano Nazionale di Ripresa e Resilienza (Pnrr), divisi tra infrastrutture e processi di migrazione. Ma a prescindere da questa questione, le indicazioni giunte da Colao indicano alcuni principi generali importanti. Il primo è l’autonomia tecnologica, indicata come un obiettivo non facile da raggiungere, considerando che i fornitori di servizi di cloud computing europei hanno attualmente una quota di mercato inferiore al 10%. Alla luce di questa situazione, i rischi che le PA italiane possano essere soggette a modifiche unilaterali delle condizioni dei contratti non possono essere trascurati. Così come sarà difficile governare lo sviluppo di questi servizi, la loro interoperabilità con un intero ecosistema alternativo di tecnologie, se la produzione dei servizi stessi è affidata a terzi, addirittura ad aziende non europee. Il secondo elemento da prendere in considerazione è il controllo dei dati: il documento ministeriale riporta che bisogna “assicurare che i dati gestiti dalla PA non siano esposti a rischi sistemici da parte di fornitori extra Ue, ad esempio l’accesso da parte di governi di Paesi terzi”. Il terzo rischio