Lo scorso 7 settembre è stata presentata la “Strategia Cloud Italia”, il documento strategico per l’implementazione e il controllo dei servizi cloud all’interno della Pubblica Amministrazione. Quali i cambiamenti attesi e le opportunità per il processo di trasformazione digitale del Paese.
Come noto, lo scorso 7 settembre il Ministro per l’Innovazione tecnologica e la Transizione digitale, Vittorio Colao, ha presentato la “Strategia Cloud Italia”, le linee guida per l’implementazione e il controllo dei servizi cloud all’interno della Pubblica Amministrazione.
Come si evince dal documento, obiettivo della Strategia è porsi come «metodologia implementativa» dell’approccio “Cloud First” per la Pubblica Amministrazione, volto, cioè, a favorire un’adozione sicura, cloud native, e completa delle tecnologie cloud per le amministrazioni pubbliche.
Della necessità per le amministrazioni pubbliche di adottare un approccio “Cloud First” se ne discute da anni. In particolare, il tema aveva assunto rilevanza già all’interno del Piano Triennale per l’Informatica della PA 2019-2021 in cui veniva ribadita la necessità per la Pubblica Amministrazione di dover «progressivamente abbandonare le infrastrutture IT proprietarie per convertirsi alla tecnologia cloud» e all’interno del Piano 2020-2022 in cui si affermava che le pubbliche amministrazioni, in fase di definizione di un nuovo progetto e di sviluppo di nuovi servizi, «dovessero adottare primariamente il paradigma cloud, tenendo conto della necessità di prevenire il rischio di lock-in».
La questione viene affrontata anche all’interno del Piano Nazionale di Ripresa e Resilienza (PNRR) in cui si prevede di investire circa 1,9 miliardi di euro per l’implementazione e lo sviluppo delle soluzioni cloud all’interno della PA. Tra le altre cose all’interno del Piano si fa riferimento anche a:
- il principio “once only” (in virtù del quale le pubbliche amministrazioni non devono richiedere ai cittadini le informazioni e i dati di cui sono già in possesso), con l’obiettivo di promuovere l’interoperabilità tra le diverse amministrazioni pubbliche,
- implementazione di soluzioni basate sulla security e privacy by design, garantendo così la protezione dei dati personali,
- implementazione di servizi digital e mobile first, che, oltre ad essere inclusivi e accessibili per tutti i cittadini, vengano incontro alle diverse esigenze delle persone e dei singoli territori e siano interoperabili by design in modo da poter funzionare in modalità integrata,
- sviluppo di servizi pubblici digitali che siano user-centric, data driven e agile, che si basino, cioè, sull’esperienza dell’utente e sulla continua misurazione di prestazioni e utilizzo.
Si tratta di principi per la cui realizzazione la “Strategia Cloud Italia” definita dal Governo rappresenta un primo importante fattore abilitante. Nel dettaglio, la strategia si declina su tre linee di indirizzo strategico:
- classificazione dei Dati e dei Servizi,
- qualificazione dei Servizi Cloud,
- creazione di un Polo Strategico Nazionale.
Con riferimento alla prima area di intervento, all’interno della Strategia viene effettuata una classificazione dei dati e dei servizi della PA rispetto alle problematiche che una loro eventuale compromissione potrebbero causare all’intero sistema Paese. In questo contesto si distingue in dati e servizi:
- strategici, la cui compromissione può avere un impatto significativo sulla sicurezza nazionale (es: dati e servizi relativi a funzioni essenziali dello Stato),
- critici, la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società (es: dati sanitari dei cittadini o relativi allo stato economico e sociale del Paese),
- ordinari, la cui compromissione non provoca l’interruzione di servizi pubblici o comunque un pregiudizio per il benessere economico e sociale del Paese (es: dati e servizi relativi a portali istituzionali delle amministrazioni).
Per quanto riguarda la qualificazione dei servizi cloud (la seconda area di intervento della Strategia), si tratta di un’attività che avverrà a partire dall’analisi di determinati requisiti di sicurezza (si consideri, ad esempio, le modalità di gestione delle chiavi di cifratura e i controlli di sicurezza applicati). Al riguardo, si distingue tra:
- servizi di cloud pubblico non qualificato rispetto agli standard e alle normative europee
- servizi di cloud pubblico qualificato, compatibile con le legislazioni europee in materia (come, ad esempio, la normativa europea GDPR e la direttiva italiana NIS in materia di cyber security), che consento la localizzazione dei dati all’interno del territorio europeo e il rispetto di requisiti di sicurezza tecnico-organizzativi, tipicamente sulla base di sistemi di cifratura gestiti dal Cloud Service Provider (CSP) qualificati a cui è affidata la gestione operativa e che vengono sottoposti a controlli di sicurezza ordinari. Tali servizi ospiteranno i dati e i servizi classificati come ordinari.
- Servizi di cloud pubblico criptato (o cloud pubblico con controllo on premise), basati su sistemi criptografici con controllo delle chiavi in Italia che consentono di incrementare notevolmente il livello di controllo sui dati e i servizi e di introdurre un maggior livello di autonomia dai CSP extra-UE nella gestione operativa e delle infrastrutture tecnologiche. Tali servizi ospiteranno i dati e i servizi classificati come ordinari e critici.
- soluzioni di Cloud privato e ibrido, che permettono la localizzazione dei dati in Italia e un maggior isolamento dalle region pubbliche dei principali CSP. Al riguardo si distingue tra Cloud privato/ibrido “su licenza” (servizi crittografati in cui il controllo delle chiavi è in Italia e la localizzazione dei dati è tra l’UE e l’Italia) e Cloud Privato Qualificato (in cui sia il controllo delle chiavi sia la localizzazione dei dati sono in Italia, mentre la gestione operativa viene affidata a fornitori soggetti a vigilanza a monitoraggio pubblico). I dati ospitati sono classificati come critici e strategici.
Come specificato dal Ministero per l’innovazione, l’obiettivo finale sarà quello di creare un “digital marketplace”, ovvero un mercato elettronico dei servizi Cloud qualificati che diventerà il mezzo attraverso cui le amministrazioni saranno guidate nella scelta dei servizi cloud per loro più idonei.
L’ultimo pilastro della Strategia prevede lo sviluppo del Polo Strategico Nazionale (PSN), un’infrastruttura informatica a servizio della PA che sarà localizzata sul territorio nazionale e che avrà l’obiettivo di ospitare i dati e i servizi critici e strategici (sulla base della classificazione indicata in precedenza) di tutte le amministrazioni centrali (circa 200), delle Aziende Sanitarie Locali (ASL) e delle principali amministrazioni locali (Regioni, città metropolitane, comuni con più di 250 mila abitanti).
Il PSN sarà costituito da due coppie di data center distribuite in due Regioni italiane che rispetteranno determinati requisiti geografici (si considerino, ad esempio, i livelli di sicurezza fisica dei dati center, alla mitigazione del rischio di disastri naturali) oltre che di sicurezza.
Il PSN, la cui gestione operativa sarà affidata a un fornitore qualificato che dovrà garantire il controllo sui dati in conformità con la normativa in materia, dovrà, infine, effettuare la migrazione dei dati e servizi delle amministrazioni verso tipologie di servizi cloud IaaS e PaaS. I singoli piani di migrazione saranno definiti sulla base dei risultati della classificazione di dati e servizi e supportati dall’Agenzia per la Cybersicurezza Nazionale e del Dipartimento per la Trasformazione Digitale.
La Strategia si propone, dunque, di raggiungere obiettivi ambiziosi, di creare quella che lo stesso Ministro Colao, durante la presentazione del documento, ha definito «una casa moderna e flessibile per i dati degli italiani», composta da «stanze diverse ma tutte con lo stesso livello di sicurezza». Se, quindi, la strada è tracciata come si prepara la PA a percorrerla? Qual è, ad oggi, il livello di digitalizzazione delle amministrazioni pubbliche?
Secondo il Censimento del Patrimonio ICT della PA 2018-2019 realizzato dall’Agid e conclusosi ad inizio 2020, il 95% dei data center analizzati (1.252) non rispettano i requisiti minimi di sicurezza, affidabilità, oltre che di capacità elaborativa ed efficienza. Se si considera che, ad oggi, la maggior parte dei servizi pubblici vengono erogati tramite data center della PA, si rileva come una parte considerevole dei servizi digitali pubblici offerti ai cittadini possa essere vulnerabile agli attacchi informatici, oltre che non in grado di gestire notevoli aumenti dei volumi di traffico. Al riguardo si ricordano le difficoltà riscontrate durante il “click day” che hanno coinvolto l’INPS: nel giorno in cui si è dato avvio alle richieste del bonus di 600 euro riservati a determinate categorie di lavoratori il sistema è collassato. Così come la piattaforma predisposta per richiedere il bonus mobilità, che al momento dell’assegnazione dei bonus non era attiva, provocando il conseguente blocco anche del sito del ministero dell’Ambiente. Una volta che il portale ha iniziato a funzionare, si è generato un grande afflusso, per cui sono state messe in attesa le centinaia di migliaia di persone che volevano fare richiesta del bonus.
La tematica assume ulteriore rilevanza se si considera che nel 2020, complice, appunto, la crisi pandemica, si è assistito ad un forte aumento nella diffusione e nell’utilizzo dei servizi pubblici digitali: per l’anno considerato è triplicato il rilascio del Sistema Pubblico di Identità Digitale (SPID) che è passato dai 5,7 milioni di gennaio dello scorso anno ai 17,6 milioni di oggi. Questa crescita è particolarmente significativa, soprattutto se si considera che nel gennaio 2019 il numero di rilasci era solamente di circa 3,5 milioni.
Un trend positivo emerge anche dal numero di carte d’identità elettroniche rilasciate (che è cresciuto notevolmente e ha sfiorato i 19 milioni (dei quali 6 sono stati rilevati soltanto nel 2020), dal servizio PagoPA (che nell’ultimo anno ha raddoppiato il numero di transazioni, arrivando ad un valore complessivo di quasi 20 miliardi di euro) e dall’app IO (che, a maggio 2021, ha fatto registrare 11,4 milioni di download, contro i 4,2 milioni di download 2020 di novembre, grazie soprattutto alla spinta del cashback sui pagamenti elettronici).
In questo senso, dunque, la Strategia rappresenta un’occasione senza precedenti per realizzare un ambizioso progetto di riforma ed ammodernamento della PA. Perché ciò accada sarà, però, necessario comprendere quali strategie le diverse amministrazioni pubbliche intendono sviluppare per gestire al meglio tali nuovi opportunità.
Il mercato del Cloud in Italia
Secondo le stime effettuate nel 2020 da The Innovation Group, lo scorso anno il mercato del cloud valeva 2,6 miliardi di euro mentre nel 2021 poco più di 3 miliardi, facendo registrare un aumento del 13,2% su base annua.
Fonte: TIG, 2020
In particolare, nel 2021, si rileva una crescita del 14,4% per il cloud pubblico che nel 2020 vale 1,6 miliardi contro gli 1,9 miliardi attesi per il 2021. Si rileva, altresì, un aumento del 17,3% per le attività di sviluppo e consulenza delle soluzioni di private cloud (che nel 2020 valgono 353 milioni di euro e nel 2021 414 milioni di euro). Infine, un aumento dell’8,1% viene rilevato per il cloud privato che nel 2020 vale 645 milioni di euro e nel 2021 697 milioni di euro.
La crescita del mercato del cloud totale (e anche per le sue singole componenti) è da ricondurre al forte ricorso alle soluzioni e ai servizi abilitati dal cloud: si pensi, ad esempio, ai software e ai servizi di collaboration a cui si è fatto ampiamente ricorso durante i diversi lockdown o al cloud gaming, un settore per cui, nell’ultimo anno e mezzo, è stato rilevato un aumento significativo, spinto soprattutto dal forte ricorso ai videogiochi che si è verificato durante i diversi lockdown.
Tali trend positivi osservabili per il mercato del cloud (relativi sia al 2020 sia al 2021), vengono confermati anche dai dati trimestrali dei principali player del settore. Al riguardo si consideri che Alphabet, la holding di Google, nel 2020 ha riportato una crescita del fatturato del 13%, i ricavi sono arrivati a 182,5 miliardi di dollari in totale, un aumento trainato dal segmento Google Cloud, i cui ricavi sono stati di 13,1 miliardi nel 2020, in crescita del 47% su base annua. Allo stesso modo si rileva come, nel 2020, Amazon abbia registrato un utile netto di 21,3 miliardi di dollari (contro gli 11,6 miliardi di dollari del 2019, con un aumento dell’84%). Anche in questo caso si tratta di una crescita trainata dai ricavi registrati nel segmento AWS. Come del resto affermato dalla stessa Amazon in una nota, «in soli 15 anni AWS ha raggiunto un fatturato annuo di 54 miliardi di dollari un business in costante accelerazione, in aumento del 32% anno su anno».
Per maggiori informazioni clicca qui.