Ecco come la Pubblica Amministrazione passerà al cloud

La strategia Cloud Italia punta ad accompagnare la migrazione verso il Cloud della Pubblica Amministrazione, al fine di renderla più efficiente, efficace e sicura. La strategia, articolata in 3 fasi con realizzazione prevista entro il 2025, delinea le linee guida e gli standard che le pubbliche amministrazioni dovranno seguire per scegliere le soluzioni Cloud più adeguate e vantaggiose per l’erogazione dei servizi dei cittadini e la tutela dei dati degli stessi e del Paese. Passo fondamentale di questa strategia sarà la creazione di un Polo Strategico Nazionale, articolato in almeno 4 data center distribuiti geograficamente sul territorio nazionale.

Pubblicato il 07 Set 2021

Cloud italia

Assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali: sono questi gli obiettivi di Cloud Italia, la strategia che guiderà il percorso di migrazione verso il cloud dei dati e dei servizi digitali della Pubblica Amministrazione (PA).

Una migrazione necessaria – per cui il PNRR ha messo a disposizione 6,4 miliardi di euro (M1C1) – per permettere alle amministrazioni di stare al passo con il processo di trasformazione digitale della società, accelerato dalla pandemia.

Non solo, la migrazione della PA verso il Cloud servirà a rendere la PA più efficiente, migliorare la qualità dei servizi erogati ai cittadini e aprire nuove opportunità di sviluppo per l’economia digitale del Paese.

Del resto, anche lo studio economico realizzato dall’Ocse sull’Italia, presentato giusto ieri, individua nella riforma e nella digitalizzazione della PA italiana una delle tappe imprescindibili per assicurare che l’uscita dalla crisi provocata dalla pandemia possa portare a un periodo di crescita del Paese.

La strategia Cloud per la Pubblica Amministrazione

Attualmente, la maggior parte dei servizi pubblici vengono erogati tramite data center della PA che spesso non rispettano i necessari standard di affidabilità e sicurezza: secondo i dati dell’Agenzia per l’Italia digitale (AgID), infatti, ad oggi il 95% dei circa 11 mila data center utilizzati dagli enti pubblici italiani presenta carenze nei requisiti minimi di sicurezza, affidabilità, capacità elaborativa ed efficienza.

La strategia Cloud Italia si inserisce in questo contesto come metodologia per implementare la strategia “Cloud-First” descritta dal PNRR, con l’obiettivo che tutti i servizi erogati siano basati su applicazioni Cloud-native, sviluppate cioè nativamente sulla base dei paradigmi Cloud.

La strategia si articolerà lungo tre macro aree strategiche: classificazione dei dati e dei servizi, qualificazione dei servizi Cloud e la creazione di un Polo Strategico Nazionale (PSN).

Il primo passo sarà proprio la classificazione dei dati e dei servizi, che servirà a guidare le PA nella scelta della soluzione più adeguata per la migrazione verso il Cloud. I dati e i servizi verranno classificati sulla base del danno che risulterebbe dalla loro compromissione.

Ad esempio, i dati e servizi relativi a portali istituzionali delle amministrazioni saranno classificati come ordinari. In questa categoria rientreranno tutti quei dati la cui compromissione (a causa di un attacco hacker, ad esempio) non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.

Al secondo livello vi sono i dati e i servizi critici, come ad esempio i dati sanitari dei cittadini. Si tratta di dati e servizi la cui compromissione e potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese.

Infine, vi sono i dati e i servizi strategici. In questa classificazione cadono, ad esempio, i dati e servizi afferenti funzioni essenziali dello Stato, la cui compromissione può avere un impatto sulla sicurezza nazionale.

La qualificazione dei servizi Cloud

La qualificazione dei servizi acquistabili dalla PA ha come obiettivo semplificare e regolamentare, sia dal punto di vista tecnico che amministrativo, l’adozione di servizi Cloud.

Una fase che si rende necessaria sia per superare le lungaggini burocratiche che rendono difficile per la PA di stare al passo con il mercato, sia per affrontare nel modo migliore le sfide connesse alla migrazione in Cloud.

Tra queste, vi è il nodo del raggiungimento di un’autonomia tecnologica, necessaria per mantenere un diretto controllo sui dati e sui servizi, ma anche per assicurare la possibilità di promuovere un ecosistema di tecnologie, indispensabile per lo sviluppo del Paese.

Autonomia che al momento manca alle aziende europee, le cui quote di mercato delle infrastrutture Cloud rappresentano un valore residuale (inferiore al 10%) rispetto a quelle detenute dalle aziende extra UE.

Vi è poi la questione del controllo sui dati. In questo ambito, si dovranno individuare  in modo chiaro quali dati possano essere gestiti da fornitori extra-UE  (dove le leggi in materia di dati sono meno stringenti) attraverso un Cloud pubblico e quali e quali dati invece avranno bisogno di essere gestiti da un fornitore Cloud che soddisfi specifici requisiti di sicurezza, per abbattere il rischio che questi dati siano accessibili anche a governi di Paesi Terzi.

Infine, le infrastrutture e dei servizi Cloud che supportano le applicazioni della PA e le funzioni essenziali del Paese devono essere resilienti, sia verso possibili guasti tecnici che attacchi esterni

Tenendo in mente queste sfide, la qualificazione dei servizi Cloud dovrà tenere conto della gestione operativa dei servizi Cloud, con particolare focus sugli standard tecnico-organizzativi applicati e sulle misure di controllo sui dati, dei requisiti di sicurezza applicati alla gestione di dati e servizi e delle condizioni contrattuali delle soluzioni.

Sulla base di queste considerazioni, la strategia classifica i servizi Cloud in:

  •  I servizi di Cloud Pubblico non qualificato (extra UE/UE), ovvero quei servizi che non rispondono ai criteri tecnico-organizzativi e normativi individuati in precedenza
  • i servizi di Cloud Pubblico qualificato (UE) compatibili con legislazioni rilevanti in materia (come la normativa europea GDPR e NIS, la normativa italiana in materia di cyber security), che consento la localizzazione dei dati in UE e il rispetto di requisiti di sicurezza tecnico-organizzativi, tipicamente sulla base di sistemi di cifratura granulare gestiti dal fornitore dei servizi Cloud (CSP)
  • i servizi di Cloud pubblico con controllo on-premise dei meccanismi di sicurezza, anche detto Cloud Pubblico
    Criptato, che consentono di incrementare significativamente il livello di controllo sui dati e servizi, introducendo un maggior livello di autonomia dai CSP extra-UE nella gestione operativa e il controllo delle infrastrutture tecnologiche
  • soluzioni di Cloud privato e ibrido, che permettono la localizzazione dei dati in Italia e maggior isolamento dalle region pubbliche dei principali CSP. Tali garanzie di autonomia sono ottenute mediante la gestione operativa da parte di un fornitore soggetto a vigilanza e monitoraggio pubblico. Queste implementazioni si possono distinguere tra soluzioni basate su tecnologia hyperscaler licenziata da uno o più CSP (Cloud privato/ibrido “su licenza”),  oppure soluzioni basate su tecnologie commerciali qualificate mediante procedure di scrutinio e certificazione tecnologica (Cloud Privato Qualificato)

L’obiettivo finale è quello di giungere alla creazione di un mercato elettronico dei servizi Cloud qualificati – sulla base del Digital Marketplace realizzato nel Regno Unito – che diventerà il mezzo mediante il quale le amministrazioni saranno guidate nella scelta dei servizi Cloud per loro più idonei e all’acquisto diretto con strumenti amministrativi semplificati e pre-negoziati.

Il Polo Strategico Nazionale

Un passo fondamentale verso il raggiungimento dell’autonomia tecnologica sarà la creazione di un Polo Strategico Nazionale (PSN), una nuova infrastruttura informatica a supporto alle amministrazioni centrali e alle principali amministrazioni locali, ad esempio Regioni, ASL e città metropolitane.

Il PSN sarà articolato in almeno quattro data center distribuiti in due regioni e sarà gestito da un fornitore qualificato, che dovrà garantire il controllo sui dati in conformità con la normativa in materia, nonché rafforzare la possibilità della PA di negoziare adeguate condizioni contrattuali con i fornitori di servizi Cloud.

Il PSN sarà soggetto a controllo, vigilanza e monitoraggio pubblico. Il fornitore che lo gestirà dovrà garantire, fin dalla fase di progettazione, il rispetto dei requisiti in materia di sicurezza e di abilitare la migrazione, almeno inizialmente, con un processo lift-and-shift, verso tipologie di servizi Cloud Infrastructure as-a-Service e Platform as-a-Service (IaaS e PaaS).

Il PSN offrirà, in accordo con la qualificazione dei servizi Cloud indicata, servizi di Cloud Pubblico Criptato, o permetterà di gestire, ad esempio, strumenti di cifratura on-premise integrati su Cloud pubblico per la PA, e offrirà lo spettro di servizi Cloud privato/ibrido, oppure Cloud Privato/Ibrido “su licenza” o  Cloud Privato Qualificato.

Come avverrà la migrazione della PA sul Cloud

La migrazione verso i diversi servizi Cloud qualificati e eventualmente all’interno del PSN dovrà essere governata tramite un processo centralizzato, agevole e uniforme per tutte le amministrazioni.

Sulla base della qualificazione dei servizi Cloud e la classificazione di dati e servizi, l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Dipartimento per la Trasformazione Digitale (DTD) definiranno i piani di migrazione.

La strategia Cloud Italia prevede un’implementazione in tre fasi. La prima fase, da concludersi entro fine 2021, prevede la pubblicazione del bando di gara per la realizzazione del PSN, che verrà assegnato al più tardi entro la fine del 2022 (seconda fase).

Successivamente, a partire dalla fine del 2022 dovrà iniziare la migrazione della PA verso il PSN, da concludersi entro la fine del 2025. In questa fase, verrà data precedenza alle PAC (Amministrazioni Pubbliche Centrali) che attualmente operano con data center propri classificati (secondo il censimento AgID del patrimonio ICT della PA), in Categoria B, dove rientrano quelle amministrazioni con carenze strutturali e/o organizzative o che non garantiscono la continuità dei servizi.

Il documento

Strategia Coudi talia 2021

Valuta la qualità di questo articolo

C
Michelle Crisantemi

Giornalista bilingue laureata presso la Kingston University di Londra. Da sempre appassionata di politica internazionale, ho vissuto, lavorato e studiato in Spagna, Regno Unito e Belgio, dove ho avuto diverse esperienze nella gestione di redazioni multimediali e nella correzione di contenuti per il Web. Nel 2018 ho lavorato come addetta stampa presso il Parlamento europeo, occupandomi di diritti umani e affari esteri. Rientrata in Italia nel 2019, ora scrivo prevalentemente di tecnologia e innovazione.

email Seguimi su

Articoli correlati

Articolo 1 di 4