Del cloud nazionale se ne parla da oltre un decennio, come del resto della digitalizzazione della PA, che è un tema che affonda le sue radici in tempi ancora più remoti.
Sul piatto oggi ci sono due grandi macro temi che l’Europa sta affrontando.
Il primo a livello normativo che riguarda la sovranità del dato (Digital Sovereignity) e il secondo a livello tecnologico: definizione delle policy di interoperabilità dei dati, standard di sicurezza e tecnici. L’obiettivo è definire le linee guida grazie alle quali le PA dovranno definire accordi e relazionarsi con gli attori di mercato locali e extra-UE.
La partita del cloud nazionale va giocata, dunque, oltre che sul suolo italiano, anche su quello europeo, come si prefiggono i progetti GAIA-X (ndr, iniziativa originariamente franco-tedesca, alla quale l’Italia sta partecipando attivamente) e l’iniziativa European Cloud Alliance.
Non è possibile colmare in poco tempo il gap tecnologico dell’Europa nei confronti di Stati Uniti e Asia e ritengo che sia necessario, in questa fase storica, avere un approccio aperto e inclusivo che coinvolga tutti gli attori di mercato.
Bisogna innanzitutto garantire la sovranità del dato superando il Cloud Act statunitense e investire in modo ingente nel mercato interno, che rimane la leva più importante per avere la tanto agognata sovranità sui dati e l’indipendenza tecnologica.
Il piano NextGenerationEU nel comparto digitale punta proprio a questo.
Nella discussione odierna c’è molta confusione e si sente citare spesso in modo improprio il GDPR. Il regolamento europeo si applica solamente ai dati personali sensibili, ma non pone nessun rimedio sui dati non personali.
Proprio questi ultimi, però, rappresentano la mole più grande di dati riversati nel cloud e hanno una valenza strategica, come, ad esempio, le informazioni relative ad aziende, appalti e statistiche. La salvaguardia di questi dati andrà dunque definita nell’ambito delle iniziative cloud europee, perché nulla hanno a che vedere con il GDPR.
L’Italia, secondo le ultime dichiarazioni del Ministro per l’innovazione tecnologica e la transizione digitale Vittorio Colao, sta trovando ispirazione nel modello francese, il quale prevede che i dati della PA siano gestiti esclusivamente da operatori europei e che le tecnologie extra-UE vengano fornite in licenza agli operatori locali.
Questo impianto normativo, in linea teorica, dovrebbe superare il problema delle ingerenze esterne sui dati.
In buona sostanza, nel modello francese le aziende straniere forniranno la tecnologia, mentre le chiavi crittografiche e gli strumenti per definire le politiche sul trattamento dei dati saranno nelle mani delle aziende locali. Se il modello funzionerà davvero sarà solo il tempo a dirlo.
Il cuore dell’azione italiana invece è nella definizione del Polo Strategico Nazionale, un nuovo soggetto giuridico controllato dallo Stato e nel quale convergeranno asset e dati strategici della PA.
Il recente censimento condotto da AgID sulle infrastrutture delle PA mostra una situazione decisamente critica e desolante: circa il 95% di esse risultano prive dei requisiti di sicurezza e di affidabilità necessari.
Il primo obiettivo da porsi sarà dunque quello di dismettere le infrastrutture obsolete e attuare un piano di consolidamento e migrazione verso infrastrutture moderne e affidabili.
A luglio sarà lanciata una gara pubblica per identificare il soggetto che dovrà erogare i servizi, con un’operatività prevista entro il secondo semestre 2022. I nomi circolati fino ad ora riguardano tre grandi cordate: Tim con Google, Fincantieri con Amazon e Leonardo con Azure/Microsoft; il che lascia spazio ad alcune perplessità riguardo al ruolo delle aziende italiane in questa operazione e sembrerebbe in contrasto con il modello francese di ispirazione.
Sarà necessario in questo momento storico avere un approccio molto pragmatico alla definizione di tali accordi.
Il tema della sicurezza oggi è prettamente legato alla tecnologia e gli hyperscaler come Google, Amazon o Microsoft offrono i più alti standard tecnologici e di sicurezza: privarsene per scelte politiche potrebbe essere nel breve termine la minaccia più grande per la sicurezza stessa.
Sia chiaro, non bisogna cedere sovranità e diritto alla privacy in cambio di tecnologia, ma peggio ancora sarebbe illudersi di ottenere sicurezza, attuando politiche di autarchia tecnologica di stampo nazionalistico.
La strada per un cloud nazionale italiano è ancora molto lunga e sempre più complessa, anche a causa della difformità di vedute degli Stati membri.
I fondi previsti dal PNRR rappresentano un’occasione unica per dare un’ulteriore accelerazione alla modernizzazione della PA italiana, sperando che, per una volta, si metta da parte la retorica politica e ci si concentri sulle necessità che il nostro Paese ha di rendersi moderno e competitivo, uscendo quanto prima dall’inutile e dannosa contrapposizione Europa-Stati Uniti.
Chi è l’autore
Stefano Mainardi è Ceo di SparkFabrik, una tech company che sviluppa web e mobile app in chiave cloud native, tra le prime in Italia a credere in questo approccio e che ha curato progetti per l’Agenzia delle Entrate e AgID
