Si può parlare di conto alla rovescia per la partenza del Polo Strategico Nazionale (PSN), la piattaforma su cui poggia gran parte della strategia di trasformazione digitale della pubblica amministrazione italiana.
Lo scorso 21 Marzo le due compagini rimaste in gara, infatti, hanno presentato la propria offerta per l’aggiudicazione del partenariato pubblico-privato che porterà alla realizzazione del PSN.
.
La gara riguarda la progettazione, la realizzazione e la gestione dell'infrastruttura per l'erogazione di servizi cloud per la Pubblica Amministrazione. Si contendono l’assegnazione il raggruppamento composto da TimM, Leonardo, Cassa depositi e Prestiti (Cdp) e Sogei, da una parte, e, dall’altra, Fastweb e Aruba che hanno unito le forze a seguito dell’indizione della gara europea dopo aver partecipato alla prima fase di presentazione e selezione dei progetti di riferimento con partner diversi.
Il gruppo guidato da TimM, ricorda come l'offerta proposta in gara segua la proposta di finanza di progetto a iniziativa privata presentata dalla stessa compagine nei mesi scorsi e selezionata, lo scorso 27 dicembre, dalla Presidenza del Consiglio dei Ministri, quale proposta di riferimento ai fini dell'avvio della gara perché pienamente rispondente alle esigenze espresse nella Strategia Cloud Italia.
L’offerta prevede che, in caso di aggiudicazione della gara, venga costituita una joint venture tra i componenti della compagine in forma di società per azioni per l’erogazione di soluzioni e servizi cloud a sostegno della PA nell’ottica di assicurare il maggior livello possibile di efficienza, sicurezza e affidabilità dei dati.
L’iniziativa si inserisce nell’ambito del piano complessivo di accelerazione della trasformazione digitale, con l’obiettivo di fornire servizi innovativi a cittadini e imprese come previsto dal PNRR e dagli interventi normativi in materia di infrastrutture digitali.
Se il progetto messo a gara ricalca quindi la proposta fatta dal primo gruppo gli altri contendenti, Fastweb e Aruba, da parte loro, ritengono che la loro l’offerta finale possa fare leva sul know how, sugli asset strategici e le competenze tecnologiche e di business delle due aziende che rispondono ai requisiti di sicurezza, resilienza, affidabilità e scalabilità previsti.
Come previsto dal bando, anche Fastweb e Aruba, in caso di aggiudicazione prevedono la costituzione di una NewCo a cui farà capo la realizzazione e gestione del PSN secondo il modello di Partenariato Pubblico Privato (PPP).
In attesa di sapere chi sarà chiamato alla fine a sviluppare il Polo, cerchiamo di capire meglio quali saranno le sue caratteristiche e quali sono i motivi che hanno indicato nel cloud e nel rafforzamento dei data center pubblici l’obiettivo chiave dei prossimi anni.
.
il bando per la realizzazione del Polo Strategico Nazionale è stato pubblicato il 28 gennaio 2022 sulla base della proposta per la creazione del Polo individuata dal Dipartimento per l’Innovazione tecnologica a dicembre 2021.
Sottolinea la portata strategica del Polo, anche sul piano geopolitico, il fatto che la procedura di gara sia stata affidata a Difesa Servizi S.p.A., la centrale di committenza in house del Ministero della Difesa con il supporto, la “vigilanza collaborativa”, dell’Autorità Nazionale Anticorruzione (Anac).
È esplicita la volontà di dotare la pubblica amministrazione di servizi informatici adeguati alle esigenze attuali ma all’interno dei confini nazionali e al riparo dalle incertezze legate agli operatori sovrannazionali e extraeuropei (e soprattutto dai loro governi).
Il Dipartimento per la trasformazione digitale, prima di arrivare al bando di gara, aveva ricevuto ed esaminato tre proposte di Partenariato Pubblico Privato come previsto dalla misura 1 del PNRR (Cloud PA/Polo Strategico Nazionale).
Un pool di esperti del Dipartimento della trasformazione digitale, del MITD, con il supporto di advisor finanziari, della Presidenza del Consiglio e degli esperti dell’Agenzia nazionale per la cybersicurezza, ha individuato nella proposta con capofila Tim quella che meglio rispecchiava i requisiti espressi nella policy Cloud Italia presentata il 7 settembre 2021.
In particolare, sono stati ritenuti convincenti i requisiti di completezza dei servizi cloud e di sicurezza dei dati “strategici” e “critici” della PA integrandosi con servizi di assistenza alla migrazione delle Pubbliche Amministrazioni e di formazione del personale della PA.
Ora, la proposta messa a gara che, ricordiamo, deriva dal progetto di proposto da TimM, Leonardo, CdP e Sogei, prevede un investimento di 723 milioni di euro da parte del soggetto aggiudicatario per l’erogazione di servizi di “public” e “private” cloud in grado di garantire supervisione e controllo da parte delle autorità preposte su dati e servizi strategici.
Da questo affidamento è attesa la realizzazione e la gestione di un’infrastruttura ad alta affidabilità, sicura, localizzata sul territorio nazionale e idonea ad ospitare dati e servizi pubblici considerati critici o strategici, garantendo massima sicurezza, continuità e affidabilità.
.
Il Polo Strategico Nazionale fornirà alla pubblica amministrazione un’infrastruttura “cloud nazionale”. Si parla di tutte le amministrazioni centrali, circa 200, delle Asl e delle amministrazioni locali di maggiori dimensioni: regioni, città metropolitane e comuni con più di 250 mila abitanti. Almeno il 75% dovrà migrare sul cloud entro il 2025.
Tuttavia, il passaggio al Polo strategico nazionale non è obbligatorio; alcune amministrazioni in teoria potrebbero scegliere soluzioni diverse, a patto di rispondere ai requisiti previsti per le categorie di dati che trattano.
Il senso, infatti, è quello di portare tutte le amministrazioni pubbliche all’interno di un mercato popolato da “servizi cloud qualificati”. Ma per il progetto sono a disposizione 1,9 miliardi di euro del Pnrr con il finanziamento della migrazione di tutte le amministrazioni individuate.
.
In effetti, la prima “Missione” del Piano è dedicata alla “Digitalizzazione della PA” e tra gli obiettivi è ha un ruolo primario quello di favorire e sostenere le amministrazioni pubbliche nella migrazione verso soluzioni cloud. Questa soluzione, anzi, deve diventare l’ipotesi di partenza dei progetti informatici pubblici secondo il principio del cloud first.
Questa infrastruttura ad alta affidabilità sarà quindi localizzata sul territorio nazionale risolvendo il bisogno, ormai evidente da anni, di razionalizzazione e consolidamento dei Ced della PA.
I criteri con i quali sono state individuate le amministrazioni interessate ai servizi del PSN provengono, in larga misura, dai risultati del Censimento condotto da AgID nel 2020 sullo stato dell’arte dei CED delle amministrazioni pubbliche che a suo tempo aveva reso evidente l’alta percentuale di CED delle amministrazioni pubbliche inidonei sul piano dei requisiti di sicurezza.
Le amministrazioni censite sono state collocate in tre gruppi. La migrazione per il primo gruppo è ritenuta obbligatoria e prioritaria. Si tratta di 95 pubbliche amministrazioni centrali e 80 ASL. Sono amministrazioni che devono essere migrate e che al momento operano su infrastrutture considerate insicure e critiche. Un secondo gruppo comprende 13 amministrazioni centrali che dispongono di infrastrutture sufficientemente sicure e che, quindi, sarebbero in grado di erogare servizi strategici in autonomia. Le amministrazioni che rispondono a tali requisiti potranno servirsi dei servizi offerti dal PSN secondo le proprie esigenze. Il terzo gruppo infine è composto da 93 amministrazioni centrali che non hanno particolari esigenze di infrastrutture informatiche e dalle principali amministrazioni locali.
.
la Strategia Cloud Italia è stata elaborata dal Dipartimento per la transizione digitale e l’Agenzia per la Cybersicurezza nazionale per fornire una precisa linea di indirizzo all’implementazione delle soluzioni Cloud nella Pubblica Amministrazione.
Dalla migrazione al Cloud delle amministrazioni pubbliche ci si attende la possibilità di fornire servizi digitali e di disporre di infrastrutture tecnologiche sicure, efficienti ed affidabili, in linea con i principi di tutela della privacy e le norme europee, mantenendo sotto controllo una materia così sensibile per l’autonomia e la sicurezza del Paese come sono oggi i dati.
.
.
La Strategia Cloud Italia focalizza tre direttrici di cui il Polo Strategico Nazionale è la prima. A questo si aggiunge la definizione di un percorso di qualificazione dei fornitori di Cloud pubblico cui la PA si rivolge.
Il terzo filone di lavoro è infine legato allo sviluppo di una metodologia condivisa di classificazione dei dati e dei servizi gestiti dalle pubbliche amministrazioni in grado di consentire alle PA una migrazione verso le soluzioni Cloud più opportune; in funzione delle esigenze e delle caratteristiche dei dati trattati da ciascuna.
Ma perché la transizione ai servizi cloud è considerata tanto importante? Perché il livello e il volume dei dati unito alla pervasività dei servizi digitali continueranno a crescere, richiedendo infrastrutture computazionali espandibili e scalabili in modo flessibile e immediato, che non sono certo compatibili con i data center tradizionali. Non è quindi un’esigenza della sola pubblica amministrazione italiana, quanto un necessario adeguamento ad una trasformazione che permea tutta la società.
Il Cloud in altre parole consente maggiori servizi digitali a minori costi, riduce consumi energetici e l’impatto ambientale; tuttavia occorre una linea d’azione organica in grado di garantire al Paese autonomia, resilienza, sicurezza e “controllo nazionale dei dati dei cittadini e dei servizi offerti”.
.
.
Il concetto di autonomia tecnologica deriva dalla grande importanza rivestita dalla capacità di controllo delle infrastrutture digitali del Cloud e quindi di stoccaggio ed elaborazione dei dati.
La Strategia solleva un problema evidente: le quote di mercato delle infrastrutture Cloud delle aziende europee rappresentano un valore inferiore al 10% rispetto a quelle detenute dalle aziende extra UE. È un problema che riguarda tanto i servizi e le piattaforme digitali quanto le infrastrutture informatiche. È una condizione di palese svantaggio che espone a rischi di ‘approvvigionamento’ simili a quello che stiamo osservando in questo periodo di tensioni internazionali.
ll raggiungimento dell’autonomia tecnologica, con la possibilità di esercitare un diretto controllo sui dati e sui servizi, diventa perciò elemento fondamentale per lo sviluppo dell’ecosistema tecnologico sul quale è basata la crescita di un Paese avanzato (Cloud Computing, IoT, Artificial Intelligence, Quantum Computing).
.
La gestione di servizi Cloud in paesi extra UE costituisce un rischio sistemico. Esistono Paesi nei quali le norme consentono ai governi la richiesta unilaterale al fornitore dei servizi Cloud di fornire l’accesso ai dati presenti sui sistemi. In questo modo esiste la possibilità che uno Stato estero possa accedere a dati sensibili e strategici per i cittadini e le istituzioni italiane. Si tratta di un reale rischio geopolitico.
Per questo è necessario determinare in modo chiaro, attraverso una procedura di classificazione, le tipologie di dati che potranno essere gestiti da un fornitore extra UE attraverso un Cloud pubblico e quali dati invece avranno bisogno di essere gestiti da fornitori Cloud in grado di soddisfare specifici requisiti di sicurezza.
.
Le infrastrutture e i servizi Cloud che supportano le applicazioni della PA, e le funzioni essenziali del Paese, dovranno adottare opportuni accorgimenti, di tipo procedurale e tecnico, di sicurezza, ridondanza e interoperabilità. Sarà sempre più importante la resilienza di fronte a incidenti o minacce cyber con controlli di sicurezza stratificati e dotazioni in grado di assicurare la continuità di servizio e il disaster recovery in siti geograficamente distribuiti sul territorio nazionale.
La Strategia mette in evidenza un’ulteriore direzione: la capacità di lavorare sulla standardizzazione, l’armonizzazione e l’interoperabilità dei servizi Cloud. In quest’ottica, l’Italia partecipa al progetto GAIA-X con l’obiettivo di sviluppare i requisiti comuni per lo sviluppo di un’infrastruttura dati europea.
Del Polo strategico nazionale abbiamo già parlato, qui è opportuno accennare allora agli altri assi portanti della Strategia Cloud Italia: la classificazione dei dati e la classificazione dei servizi Cloud.
.
.
Per usufruire al meglio delle opportunità disponibili, ma anche nel rispetto dei requisiti che abbiamo visto, è necessario definire un criterio di riferimento per la classificazione dei dati e dei servizi gestiti dalle PA.
Le classi dei dati sono quindi state definite sulla base del danno che una loro compromissione, in termini di confidenzialità, integrità e disponibilità, provocherebbe al Paese.
Sono stati definiti tre livelli: quello Strategico: che comprende dati e servizi la cui compromissione potrebbe avere un impatto sulla sicurezza nazionale; quello Critico, che riguarda dati e servizi la cui compromissione potrebbe arrecare danni al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese; e quello Ordinario: con dati e servizi la cui compromissione non provocherebbe l’interruzione di servizi chiave.
Il ricorso ai servizi Cloud delle diverse amministrazioni dovrà quindi tenere conto di tali criteri e portare ad una maturazione del livello di affidabilità e rispondenza ai requisiti strategici previsti per i fornitori ricorrendo quindi ai “servizi Cloud qualificati” secondo precisi criteri: le offerte di Cloud Pubblico Qualificato e Pubblico Criptato, potranno ospitare dati e servizi ordinari; le offerte di Cloud Pubblico Criptato, Privato/Ibrido “su licenza“ e Privato Qualificato potranno ospitare dati e servizi critici; le offerte di Cloud Privato/Ibrido “su licenza“ e Privato Qualificato potranno ospitare dati e servizi strategici.
Mentre si attende l’esito della gara per la realizzazione del PSN la tabella di marcia prevede la migrazione delle amministrazioni a partire dalla fine del 2022 verso il PSN, da concludersi entro la fine del 2025.
InnovazionePA è una iniziativa Soiel International, dal 1980 punto d’informazione e incontro per chi progetta, realizza e gestisce l’innovazione.
Tra le altre iniziative editoriali di Soiel:
Soiel International Srl
Via Martiri Oscuri 3, 20125 Milano
Tel. +39 0226148855
Fax +39 02827181390
Email: info@soiel.it
CCIAA Milano REA n. 931532 Codice fiscale, Partita IVA n. 02731980153