Presentata la strategia per il Cloud Nazionale: € 1,9 miliardi pronti per la migrazione dei dati della PA, la più grande sfida per la digitalizzazione della pubblica amministrazione è ai blocchi di partenza ed è una opportunità per le aziende che parteciperanno al progetto.
“L’irreversibile processo di trasformazione digitale della società moderna, accelerato dalla emergenza del Covid-19 ha reso improcrastinabile un’analoga trasformazione della Pubblica Amministrazione. La digitalizzazione della Pubblica Amministrazione si impone oggi come obiettivo prioritario per garantire ai cittadini e alle imprese servizi pubblici di maggiore qualità, efficienza ed efficacia, oltre che per creare nuove opportunità di sviluppo per l’economia digitale del Paese. In questo processo trasformativo, il ricorso al Cloud Computing, o Cloud, riveste un ruolo centrale in ragione delle sue caratteristiche abilitanti per la semplificazione e ottimizzazione della gestione delle risorse IT, la riduzione dei costi, e l’introduzione di nuove tecnologie digitali”. È questo lo spirito della Strategia Cloud Italia presentata dal Sottosegretario con delega all’intelligence e alla sicurezza Franco Gabrielli, dal direttore dell’Agenzia per la cybersecurity nazionale Roberto Baldoni, dal ministro della Transizione digitale Vittorio Colao e Paolo de Rosa, CTO del Dipartimento per la Trasformazione digitale: un piano ambizioso che ambisce a guidare la migrazione sulla “nuvola” di dati e fascicoli gestiti da almeno il 75% degli uffici pubblici italiani entro il 2025.
L’opera in considerazione interesserebbe circa 11 mila data center, il 95% dei quali, secondo quanto attestato dall’Agenzia per l’Italia digitale, presenta gravi vulnerabilità in materia di sicurezza, affidabilità, capacità elaborativa ed efficienza. La strategia cloud poggia le proprie fondamenta su quattro pilastri. Il primo pilastro è probabilmente il più consistente: il Piano Nazionale di Ripresa e Resilienza presenta alla voce cloud investimenti per un valore complessivo pari 1,9 miliardi di euro. Tuttavia, per un’agevole transizione sarà necessario procedere ad una generale classificazione delle informazioni gestite dalla pubblica amministrazione in modo da allestire un perimetro di difesa organizzativo e tecnico adeguato al rischio. Interviene, così, il secondo pilastro della strategia, che individua tre tipologie di dati: (i) dati strategici, dati “la cui compromissione può avere un impatto sulla sicurezza nazionale”; (ii) dati critici, la cui compromissione “potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese”; (iii) dati di natura ordinaria, la cui compromissione non è idonea determinare un rischio per la continuità dei essenziali dello Stato.
Certificare i fornitori di servizi cloud è il terzo fattore essenziale per il documento strategico. Il fine è quello di determinare requisiti e standard cui dovranno aderire i gestori della “nuvola”, attraverso lo scrutinio e la qualificazione dei servizi utilizzabili dalla PA. La costituzione di un Polo Strategico Nazionale (“PSN”), inoltre, avrà una rilevanza di primo piano quale “infrastruttura nazionale per l’erogazione di servizi Cloud, la cui gestione e controllo di indirizzo saranno autonomi da fornitori extra UE”. Tale infrastruttura strategica sarà al cuore del processo di migrazione e lavorerà al servizio di ministeri, enti pubblici nazionali, regioni, aziende sanitarie e città metropolitane. A monitorare e gestire l’esecuzione del progetto, a seconda delle rispettive competenze, saranno predisposte la “neonata” Agenzia per la Cybersicurezza Nazionale (“ACN”) e il Dipartimento per la Trasformazione Digitale (“DTD”).
Da una prospettiva privacy, la strategia Cloud evidenzia gli effetti del braccio di ferro per il dominio sul mercato del cloud tra fornitori europei ed extra-europei. Una scontro tra colossi, specificatamente statunitensi e cinesi, che ha “rotto lo specchio” della sovranità digitale europea, mettendo gli Stati Membri di fronte ai propri limiti tecnologici e infrastrutturali (le quote di mercato nel settore Cloud delle aziende europee rappresentano un valore residuale -inferiore al 10%- rispetto a quelle detenute dalle aziende extra-UE). Questa scomoda condizione di dipendenza tecnologica forza tuttora l’UE a cercare un complesso bilanciamento tra le rigide regole comunitarie in termini di protezione dei dati personali (si pensi all’acquis della Sentenza Schrems II o delle Raccomandazioni 01/2020 dello European Data Protection Board) e il primato degli operatori extra-europei. Su questo fronte, il piano strategico adotta un registro decisamente vago. Se da un lato, infatti, la strategia del cloud nazionale mette alla porta i fornitori extra-europei non qualificati, dall’altro ammette al processo di trasformazione digitale quei fornitori di servizi che consentano “la localizzazione dei dati nell’Unione europea” per i quali rappresenta quindi una opportunità. Il documento riconosce, in particolare, la natura pervasiva di talune discipline normative extra-EU: “Come noto, legislazioni extra UE possono portare, previa sussistenza delle previste circostanze, alla richiesta unilaterale al fornitore dei servizi Cloud di fornire l’accesso ai dati presenti sui sistemi” (si pensi al Cloud Act 2018 o alla Chinese Cybersecurity Law 2017).
Il cloud nazionale e il relativo processo di migrazione sollevano, inoltre, importanti questioni in tema di cybersecurity. Come proteggere la mole di dati gestita dalla pubblica amministrazione? Chi gestirà le “chiavi” del cloud? Gli strumenti di key-management individuati fanno riferimento ad un sistema di doppia crittografia che vedrà come key-holders lo Stato che il fornitore del servizio. Il modello di distribuzione dei servizi Cloud potrà essere organizzato secondo queste modalità principali: (i) cloud pubblico con controllo on premise dei meccanismi di sicurezza (cosiddetto “Cloud criptato”); (ii) cloud privato; (iii) cloud ibrido, che permette la localizzazione dei dati in Italia su licenza di operatori privati, e infine il cloud “privato qualificato” soggetto a una crittografia nazionale con controllo delle chiavi in Italia e (iv) multi-cloud, un modello che prevede l’utilizzo contemporaneo, per la realizzazione di determinati servizi o applicazioni, di più Cloud dello stesso tipo (pubblico o privato) offerti però da diversi fornitori.
La più grande sfida per la digitalizzazione della pubblica amministrazione è, dunque, ai blocchi di partenza. La tabella di marcia predisposta dal documento strategico prevede la pubblicazione del bando per il PSN entro la fine del 2021, l’aggiudicazione entro la fine del 2022. La migrazione dei servizi della pubblica amministrazione, secondo le stime del piano, dovrebbe concludersi entro la fine del 2025. A sovrintendere alla corretta esecuzione del piano di migrazione, a seconda delle rispettive competenze, saranno predisposte la “neonata” Agenzia per la Cybersicurezza Nazionale (“ACN”) e il Dipartimento per la Trasformazione Digitale (“DTD”).
Si tratta di una interessante opportunità per le aziende che operano nel settore perchè il progetto verrà svolto in project financing quindi con l’esigenza quantomeno di un partner finanziario, un fornitore di tecnologia e di un operatore di comunicazioni elettroniche. DLA Piper ha tutte le competenze finanziarie, di project financing, regolatorie, di contrattualistica IT e di diritto amministrativo per assistere i partecipanti alla gara. Qualora voleste saperne di più contattateci ai recapiti disponibili qui
Su un simile argomento, può essere interessante l’articolo: “Prima sanzione GDPR per dati conservati in cloud dopo la sentenza Schrems II”