Intervento nel dibattito sulla mozione Giarrizzo ed altri n. 1-00424 (Nuova riformulazione) in materia di infrastrutture digitali efficienti e sicure per la conservazione e l’utilizzo dei dati della pubblica amministrazione.
Il testo dell’intervento in aula
Per affrontare la discussione di oggi sulla mozione Giarrizzo dobbiamo partire da un punto preliminare: il tema del cloud computing è strategico nella Missione 1 del PNRR in particolare, la 1.1 quando si afferma: “il passaggio al cloud computing rappresenta una delle sfide più importanti per la digitalizzazione del Paese, in quanto costituisce il substrato tecnologico che abilita lo sviluppo e l’utilizzo di nuove tecnologie. Lo sviluppo di un cloud storage nazionale avverrà in parallelo e in
sinergia con il progetto Europeo GAIA-X, promosso a livello europeo e nel cui ambito l’Italia intende avere un ruolo di primo piano. GAIA-X punta a creare un forum di standardizzazione europeo per definire i protocolli di funzionamento dei servizi in cloud dal controllo dei dati processati e archiviati sull’infrastruttura, in linea con il principio di «autonomia strategica digitale», alla piena decentralizzazione dei dati grazie alle ultime tecnologie disponibili (multi-edge, multi-cloud o edge-to-cloud).”
Mi pare che in queste parole siano concentrati tutti gli impegni che il governo dovrà prendere nei prossimi anni per lo sviluppo della strategia digitale sulla PA.
D’altra parte, l’esigenza della transizione al digitale che la pandemia ha reso ancora più necessaria, impone il passaggio al cloud computing come un vero e proprio salto di paradigma nel mondo IT. Il cloud costituisce infatti la principale piattaforma abilitante per tutte le tecnologie avanzate (Intelligenza Artificiale, Big Data, Internet of Things) che fanno capo al processo di trasformazione digitale.
Attualmente, il mercato mondiale dei principali fornitori di infrastrutture cloud è dominato da cinque gruppi societari, quattro dei quali (Amazon, Microsoft, Google, IBM) hanno la sede principale negli Stati Uniti, il quinto, Alibaba, in Cina.
Eventuali investimenti statali diretti alla realizzazione di un cloud nazionale non possono non partire da questa situazione tenendo conto di fattori economici e di sostenibilità nel tempo.
In Italia è ormai da tempo operativo il principio del “cloud first”, a partire dal Piano Triennale per l’Informatica 2019 – 2021, ossia l’obbligo per la Pubblica Amministrazione di definire nuovi progetti o sviluppare nuovi servizi adottando, in via prioritaria, soluzioni in cloud, prima di qualsiasi altra opzione tecnologica e, più in generale, di ricorrere al cloud nel momento in cui intende “acquisire sul mercato nuove soluzioni e servizi ICT per la realizzazione di un nuovo progetto o nuovi servizi destinati a cittadini, imprese o utenti interni alla PA”.
La combinazione di questi due elementi, ossia la situazione attuale di mercato e il principio “cloud first”, determina quale conseguenza che la Pubblica Amministrazione tenda in larga misura a dipendere, nella sua operatività essenziale da infrastrutture che rimandano ai provider internazionali.
Da questo nasce il dibattito sempre più crescente sulla sovranità tecnologica che spesso però ha generato interpretazioni fuorvianti.
Occorre valutare quanto l’attuale situazione di dipendenza da grandi fornitori non nazionali sia un reale fattore di rischio e quanto la realizzazione di soluzioni autarchiche sia idonea a contenere il rischio.
Infatti, se da un lato è importante per l’Italia e per l’Europa riguadagnare posizioni nel digitale, dall’altro posizioni sovraniste di estrema chiusura non sembrano motivate e coerenti con l’idea di creare una leadership digitale che a livello di Paese possa fare tesoro delle migliori competenze e risorse disponibili.
In relazione al cloud computing persistono una serie di opinioni spesso non corroborate da fatti, che rischiano di rallentare la diffusione su larga scala.
Una di queste è collegata all’effettiva sicurezza delle informazioniche vi si immagazzinano.
Sembrerebbe che una volta usciti dai propri server o data center, si verifichi la perdita del controllo sui propri dati, divenendo così un più facile bersaglio della criminalità informatica.
Ma oltre al fatto che i provider si muovono entro le regole e i sistemi di sicurezza, l’Italia, in questi ultimi anni si è mossa molto bene sulla cybersecurity attraverso un percorso articolato che vede innestare, accanto alla normativa sul golden power, il perimetro di sicurezza nazionale cibernetica.
Guardiamo anche al contesto europeo ed internazionale, tecnologico e normativo:
Già con il suo arrivo alla guida della Commissione Europea, la Presidente Ursula von der Leyen aveva dichiarato il proprio impegno nei campi dell’economia digitale, facendo dell’accesso a una rete sicura ed economicamente vantaggiosa una delle priorità del proprio mandato e ponendo grande attenzione al tema della sovranità sui dati intesa come l’accesso, il controllo, l’elaborazione e l’utilizzo dei dati.
Il tema della sovranità dei dati e della privacy hanno dunque assunto massima rilevanza, nel dibattitto non solo europeo ma anche internazionale.
Nel marzo 2018, il Congresso degli Stati Uniti ha approvato il cosiddetto (CLOUD Act), che aggiorna il quadro giuridico per i dati archiviati sui server di comunicazione e i provider di servizi cloud.
La delicatezza della relazione USA-UE in tema di dati è diventata ancora più centrale in conseguenza dell’adozione della sentenza Schrems II della Commissione di giustizia europea che ha ritenuto che i requisiti del diritto interno degli Stati Uniti, e in particolare determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti, ai fini della sicurezza nazionale, comportino limitazioni alla protezione dei dati personali che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell’UE e che tale legislazione non accordi ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.
Sempre nell’ottica di allargare e rendere maggiormente inclusivo il perimetro della regolamentazione e del mercato dei dati la Commissione Europea ha promosso il progetto di ispirazione franco-tedesca “Gaia-X”, che implica la creazione di un data framework in cui stabilire regole comuni ai paesi UE e standard tecnologici da applicare per tutte le soluzioni Cloud presenti sul mercato siano esse pubbliche o private. Il progetto punta a trovare un equilibrio tra la protezione dei dati di enti, cittadini e imprese, anche attraverso strumenti normativi come il GDPR, e lo sviluppo di strumenti innovativi capaci di incrementare efficienza, tecnologia, all’interno di un ecosistema digitale aperto e trasparente.
Rispetto alla destinazione di parte delle risorse del PNRR alla promozione del cloud computing, la strategia di puntare direttamente alla creazione di un cloud di Stato, come avvenuto anni fa in Francia, potrebbe però rischiare di non colmare il gap tanto nel breve quanto nel lungo periodo.
L’Italia deve ancora completare la rete di accesso ad alta velocità distribuita su tutto il territorio nazionale e implementare appositi programmi per rafforzare le competenze digitali dei lavoratori pubblici e privati, degli studenti e dei cittadini.
Una limitazione dell’accesso alle risorse dei principali provider di mercato non solo rischierebbe di influenzare anche lo stesso tasso di adozione del cloud da parte di aziende e PA, ma potrebbe, paradossalmente, di avere delle ripercussioni anche sul livello di sicurezza complessivo di enti pubblici e aziende
Ci sentiamo dunque di condividere come punto di partenza della discussione la posizione espressa da ministro Colao nella recente audizione in commissione quando afferma in particolare:
“Oltre al “cloud first”, vogliamo assicurarci che le amministrazioni vengano aiutate a migrare in cloud diversi a seconda del diverso livello di sensibilità dei dati dei quali dispongono.
Questo implicherà classificare innanzitutto le tipologie di dati in ultrasensibili, sensibili e ordinari, per garantire scelte che tutelino in maniera appropriata cittadini e amministrazioni, come già fatto da molti altri paesi.”
Per i dati più sensibili il ministro propone di creare un Polo Strategico Nazionale a controllo pubblico, localizzato sul suolo italiano e con garanzie, anche giurisdizionali, elevate. Il Polo Strategico permetterà di razionalizzare e consolidare molti di quei centri che ad oggi non riescono a garantire standard di sicurezza adeguati. Allo stesso tempo, l’investimento in infrastrutture all’avanguardia consentirà di cogliere appieno le opportunità del cloud computing e aiutare le PA a rendere più efficiente l’erogazione dei servizi.
Per la parte dei dati più sensibili dunque si può pensare ad una infrastruttura pubblica, finalizzata prioritariamente alla gestione dei dati strategici e critici della Pa Centrale, arricchita attraverso sinergie di altre Pa detentrici di dati di tipo A, come ad esemppio i dati sanitari, attraverso una federazione delle infrastrutture di eccellenza al fine di favorire anche l’interoperabilità delle banche dati. Concludendo, le dotazioni infrastrutturali e il cloud sono tecnologie abilitanti per lo sviluppo di una sorta di “sistema operativo del Paese” che consenta di trattare le grandi quantità di dati e informazioni indispensabili per erogare e gestire servizi a cittadini ed imprese. Ma per dare effettiva e completa attuazione al principio dell’once only, si devono rendono interoperabili le basi dati e accessibili attraverso un catalogo di API che consenta alle Amministrazioni centrali e periferiche, secondo vari livelli di autorizzazione, di attingere ai dati del cloud, di elaborarli e di fornire servizi a cittadini e imprese, mediante lo sviluppo di un sistema pubblico integrato di accesso, introperabilità, che, sotto il controllo pubblico, che ne garantisca la sicurezza, la consistenza, l’affidabilità e l’efficienza.
VIDEO