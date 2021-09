Roma – Migrare sul cloud i dati di almeno il 75% degli uffici pubblici italiani entro il 2025. È questo l’obiettivo finale che si è dato il governo Draghi nella sua prima traccia della strategia per il cloud nazionale. Un documento che fissa principi e linee guida degli interventi per trasferire sulla “nuvola” la mole di informazioni oggi parcheggiata in 11mila data center, il 95% dei quali, dall’ultimo censimento dell’Agenzia per l’Italia digitale, ha “carenze nei requisiti minimi di sicurezza, affidabilità, capacità elaborativa ed efficienza”.

Quattro, in sintesi, i punti fermi. Primo: introdurre una classificazione delle informazioni in mano alla pubblica amministrazione, per decidere a quali garantire le maggiori protezioni. Secondo: certificare le aziende che forniscono i servizi cloud, stabilendo una serie di requisiti da rispettare a seconda del dato da archiviare. Terzo: realizzare un polo strategico nazionale (Psn), l’infrastruttura cardine al servizio di ministeri, enti pubblici nazionali, regioni, aziende sanitarie e città metropolitane. Quarto punto fermo: le risorse da spendere. Il Piano nazionale di ripresa e resilienza mette a budget 1,9 miliardi di euro per la voce cloud.



Il braccio di ferro con le big tech

Per il resto, la strategia è tutta da scrivere. A cominciare dalle regole per negoziare la fornitura con i colossi del cloud, che hanno passaporto statunitense (Google, Amazon web services, Microsoft) o cinese (Alibaba). Una situazione che ha messo i Paesi dell’Unione europea, sprovvista di campioni locali di pari grado, nella scomoda situazione di trovare un compromesso tra le rigide regole comunitarie in termini di privacy e sicurezza informatica, l’ambizione dei governi a imporre la loro sovranità anche in campo digitale e il primato degli operatori extra-Ue, che fanno il bello e il cattivo tempo nel settore.

Su questo fronte, anche la strategia italiana mantiene una vaghezza tattica. Da un lato, infatti, il piano del governo mette alla porta i fornitori extra-europei non qualificati. Dall’altro inserisce tra i servizi su cui si potrà appoggiare la pubblica amministrazione quelli che consentono “la localizzazione dei dati nell’Unione europea”. Dove ormai tutte le multinazionali del settore hanno installato dei data center.

La gara per il cloud

Per lo stesso ministro della Transizione digitale, Vittorio Colao, al timone del progetto, l’approccio è “bilanciato” e tiene conto “delle esigenze del libero mercato”, tanto che per realizzare il Psn “c’è spazio per tutti”. Anche perché le principali aziende italiane interessate alla partita – leggi Tim, Leonardo, Fincantieri – si sono alleate con giganti del cloud, rispettivamente Google, Microsoft e Amazon.

Al momento fonti di stampa danno per accreditata una manifestazione di interesse da parte di una cordata composta da Cassa depositi e prestiti, Tim, Sogei e Leonardo. “Se arriverà, la pubblicheremo e altri soggetti potranno rispondere”, ha spiegato Colao. Anziché uscire con un bando con caratteristiche tecniche prestabilite, come ha fatto in passato la centrale degli acquisti per la pubblica amministrazione Consip, stavolta il governo attenderà che siano le aziende a fare la prima mossa e, sulla base delle offerte, modulerà la gara. L’obiettivo è di pubblicarla entro la fine dell’anno, aggiudicarla entro la fine del 2022 e procedere poi alla migrazione nei successivi tre anni, con una corsia preferenziale dedicata alle amministrazioni centrali che si appoggiano a data center non considerati più sicuri.

Come migrare i dati

La migrazione dei dati si preannuncia una delle fasi più complesse del piano. In primis, come spiega Paolo De Rosa, responsabile tecnologico del Dipartimento per la trasformazione digitale (Dtd), la strategia prevede di suddividere le informazioni in tre classi di rischio.

I più delicati sono i dati strategici. Se compromessi, si rischiano impatti sulla sicurezza nazionale. Per il ministero rientrano in questa categoria, per esempio, i dati della Difesa o del bilancio dello Stato. Poi ci sono i dati critici, come quelli sanitari. In questo caso un incidente può pregiudicare la possibilità di tenere in piedi servizi fondamentali dello Stato. Vedi il caso dell’attacco informatico a Regione Lazio. Nella categoria dei dati ordinari rientrano, infine, quelle informazioni che, se esposte, non mettono a repentaglio la macchina pubblica.

Ogni ufficio dovrà compilare dei questionari per decidere in che categoria rientra ogni dato, affiancato dai tecnici del Dtd e dalla neonata Agenzia per la cybersicurezza nazionale (Acn), affidata al direttore Roberto Baldoni, già .

Per ciascun livello di confidenzialità gli uffici pubblici potranno accedere a diversi tipi di servizi cloud, certificati dal governo dal punto di vista operativo, contrattuale e di sicurezza. Si va da servizi pubblici, regolati da norme comunitarie, a diverse formule ibride con livelli di crittografia sempre più elevati. Infine, al centro del disegno c’è il polo strategico nazionale, che sarà articolato in almeno quattro data center in due regioni. La migrazione sarà finanziata con fondi del Pnrr, con pacchetti in abbonamento per i vari servizi.

Sorveglianza cyber e geopolitica

A vigilare sul progetto c’è l’Agenzia per la cybersicurezza, che, spiega Baldoni, “diventerà il centro unico nazionale per il perimetro cibernetico (le regole nazionali sulla cybersecurity, ndr) e la direttiva Nis (il corrispettivo europeo, ndr)”, con il progressivo passaggio di funzioni dai servizi, dal ministero dello Sviluppo economico e da quello per la Transizione digitale. “Non possiamo più mantenere 11mila data center – aggiunge -. La proposta offrirà diversi tipi di tecnologia e applicativi”. E a tendere, precisa, punta a elaborare anche “un sistema di crittografia nazionale”.

Come Francia e Germania e dopo il lancio del progetto europeo per uno standard cloud comune, Gaia-X, anche l’Italia cerca di colmare il ritardo accumulato nel settore con un pacchetto di norme. Convitati pietra sono i colossi del cloud, che dettano le regole del mercato e della tecnologia.

Per Michele Zunino, a capo del consorzio Italia Cloud, che raccoglie sei società italiane del settore (Seeweb, Eth, Netalia, Infordata, Sourcesense, Babyloncloud) e si è candidato per il Psn, “le soluzioni sin qui indicate non sembrano ancora dare alcuna sicurezza in merito ai rischi derivanti dal Cloud Act (la legge statunitense sul cloud che dà prerogative al governo sui dati archiviati dai suoi operatori, ndr). Il governo dovrà dire come intende affrontare il problema e se allinearsi o meno a quanto Germania e Francia stanno decidendo”. Non è chiaro come la strategia nazionale potrà prevenire lock-in tecnologici e tensioni geopolitiche con gli Stati Uniti. Una pagina ancora bianca. Ma da scrivere in fretta.

The post Cosa ha deciso il governo sul cloud nazionale. E cosa manca ancora appeared first on Wired.