Autonomia digitale, nuova priorità della PA: come passare dal concetto astratto all’attuazione concreta

Il tema dell’autonomia tecnologica e digitale è entrato prepotentemente nel discorso pubblico sull’innovazione di IT e servizi, ma per la Pubblica Amministrazione l’obiettivo non è solo politico o di adeguamento alle normative: il controllo digitale è anche, e forse soprattutto, una condizione abilitante per la trasformazione degli enti.

Perché il controllo digitale è diventato una priorità nazionale

Negli ultimi anni, il governo delle infrastrutture digitali è passato da tema tecnico a priorità istituzionale. Questo cambiamento è guidato da diversi fattori convergenti: l’evoluzione normativa europea (GDPR, NIS2) e italiana – in particolare, con il ruolo crescente dell’Agenzia per la Cybersicurezza Nazionale (ACN) –; la necessità di proteggere dati strategici e servizi essenziali; le tensioni geopolitiche che impattano sulla gestione delle infrastrutture digitali.

La PA si trova, dunque, di fronte alla necessità di garantire non solo efficienza e innovazione, ma controllo e resilienza. Questo è alla base di tutte le nuove normative europee legate all’evoluzione digitale. L’autonomia digitale si pone sia come responsabilità istituzionale sia come prerequisito per erogare servizi moderni e affidabili, che tutelano i dati pubblici e la continuità dei servizi essenziali. In questo scenario, la protezione del dato lungo tutto il suo ciclo di vita assume un ruolo centrale. Sicurezza, cifratura, integrità delle informazioni e capacità di garantire il controllo dei dati rappresentano oggi requisiti fondamentali per qualsiasi infrastruttura destinata alla Pubblica Amministrazione. È su questi elementi che si misurano anche le qualificazioni richieste dall’ACN.

In questo contesto, il cloud non è solo uno strumento tecnologico, ma un’infrastruttura critica su cui si fonda la capacità operativa dello Stato, come ribadito dalla Strategia Cloud Italia, che risponde a tre sfide principali: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali. Basata sull’approccio “cloud first”, la trasformazione punta su sicurezza, controllo dei dati e interoperabilità.

Comporre la scelta: il quadro attuale delle amministrazioni

Oggi la Pubblica Amministrazione, così come le imprese private, si trova a dover bilanciare esigenze sempre più complesse: da un lato i requisiti di compliance normativa europea, la protezione dei dati e la sovranità digitale; dall’altro la necessità di garantire elevate performance, capacità computazionale e velocità nell’innovazione dei servizi.

Questo scenario richiede un approccio più evoluto alle decisioni infrastrutturali, basato su una valutazione multidimensionale dei processi e dei workload. Non esiste infatti una soluzione unica per tutti i casi: ogni organizzazione deve poter scegliere dove collocare dati e applicazioni in funzione del livello di criticità, delle esigenze di privacy, dei vincoli normativi e delle prestazioni richieste.

La sfida non è quindi scegliere tra compliance e innovazione, ma costruire modelli capaci di far convivere entrambe, scalando in modo coerente risorse e servizi lungo un continuum che tenga conto dei diversi livelli di sicurezza, controllo e potenza elaborativa necessari.

La questione, quindi, non è sostituire questo ecosistema, ma governarlo con consapevolezza. Affidare l’intero perimetro, inclusi i dati più sensibili e i servizi core, a provider che rispondono a regole non-UE introduce una dipendenza che, su alcuni layer, l’ente potrebbe voler bilanciare: lock-in tecnologico, complessità di integrazione con le infrastrutture legacy, visibilità limitata su dove risiedono i dati, gestione della compliance. Non si tratta di una fragilità intrinseca, ma di una variabile strategica da calibrare in funzione della criticità di ciascun servizio.

Il tema non riguarda soltanto dove risiedono i dati, ma la capacità dell’ente di mantenere nel tempo libertà di scelta, continuità operativa e governo delle proprie piattaforme digitali. Il controllo strategico della propria evoluzione digitale sta diventando centrale.

È qui che entra in gioco un principio che gli analisti, Forrester Research in particolare, definiscono minimum viable sovereignty: anziché perseguire un controllo assoluto e indifferenziato, l’ente individua i controlli minimi indispensabili sui layer più sensibili, come dato strategico, servizi essenziali, continuità operativa, e mantiene piena libertà di sfruttare il meglio dell’ecosistema globale ovunque questo livello di controllo non sia richiesto. Non è una scelta tra europeo e globale: è la capacità di comporre entrambi nel modo più adatto a ciascun workload.

Il ruolo delle infrastrutture nazionali e dei cloud provider europei

L’introduzione di Aruba nel Lotto 6 dell’Accordo Quadro Consip per i servizi Cloud IaaS e PaaS rappresenta un punto di svolta proprio perché rende questa composizione concreta e operativa, in linea con le sfide tracciate dalla Strategia Cloud Italia. Con l’ingresso di un provider europeo e nazionale in un perimetro finora presidiato dai grandi operatori globali, gli enti dispongono ora di un’ancora europea su cui fondare il controllo del dato, integrandola e non sostituendola, con i servizi internazionali che continuano a utilizzare. Un passaggio che permette di tradurre l’autonomia digitale da principio teorico a opzione operativa.

Aruba è un provider europeo indipendente, con un modello di Cloud europeo declinato su tre dimensioni essenziali: controllo del dato, autonomia operativa e indipendenza tecnologica. Queste sono sostenute dai data center proprietari, la base fisica del controllo, che garantisce residenza del dato, continuità operativa e governo end-to-end.

“Interpretiamo l’autonomia digitale offrendo un’infrastruttura e un modello operativo in cui controllo, sicurezza e conformità sono integrati fin dalla progettazione: questo permette alle amministrazioni di costruire servizi digitali affidabili, resilienti e calibrati sul livello di controllo che ciascun servizio richiede”, afferma Andrea Miele, Head of Public Sales di Aruba. “Non imponiamo un grado di sovranità: lo mettiamo a disposizione, ed è l’ente a stabilire dove serve autonomia piena, dove conviene un modello ibrido e dove affidarsi all’ecosistema globale. La nostra offerta sui tre fronti del dato, dell’operatività e dell’infrastruttura assicura controllo completo sulle informazioni sensibili, residenza dei dati esclusivamente italiana ed europea, indipendenza da terze parti per i servizi core e assenza di esposizione a normative extra-UE, lasciando agli enti piena libertà di scelta e portabilità dei carichi di lavoro”.

Il controllo diretto dell’infrastruttura, certificata secondo le qualifiche ACN, fino alla qualifica QC3 per i dati critici e strategici, e i massimi standard internazionali di sicurezza, come il Rating 4, non è solo un asset tecnologico, ma un prerequisito di governance istituzionale. Proprio in questo scenario normativo si inserisce la proposta di Aruba, che ha costruito una parte rilevante della propria proposta per il settore pubblico misurandosi su tali rigorosi standard. Sono, peraltro, terreni su cui non si tratta di fare “meglio” di altri operatori, ma di rispondere a requisiti normativi specifici della PA italiana che richiedono qualifiche e giurisdizione dedicate. In quest’ottica, il controllo digitale cessa di essere un costo di adeguamento per diventare il fondamento di una nuova autonomia: la capacità degli enti di innovare senza compromettere la continuità operativa in caso di incidenti o emergenze.

Aruba supporta tutti i modelli cloud, pubblico, privato e ibrido, con la possibilità di costruire architetture multi-cloud e interoperabili, comprese quelle che integrano gli hyperscaler. Attraverso interconnessioni dirette, l’infrastruttura Aruba diventa il punto da cui la PA dialoga con l’ecosistema globale mantenendo il controllo del proprio perimetro, e in cui i dati più critici restano su infrastrutture dedicate e localizzate.

I vantaggi per le PA: sicurezza, governance, qualità dei servizi

La governance tecnologica così abilitata è essenziale per le amministrazioni, perché la trasparenza su accessi e processi consente una gestione più efficace delle informazioni, migliorando la capacità decisionale e il controllo istituzionale. La governance europea si traduce anche in sicurezza: la localizzazione dei dati e il controllo dell’infrastruttura riducono l’esposizione a rischi esterni e semplificano l’adozione di misure di cybersecurity avanzate.

Altro elemento chiave è il modello “compliance-by-design”: le infrastrutture e i servizi di Aruba sono progettati per essere nativamente conformi, riducendo la complessità normativa e accelerando i tempi di adozione del cloud.

Infine, ma non ultimo, il controllo digitale è oggi strumentale all’innovazione del servizio per le PA, in quanto elemento abilitante per raggiungere il fine più alto dell’ente pubblico, che è l’efficienza verso l’utente finale. Il controllo tecnologico e la resilienza digitale garantiscono maggiore affidabilità e continuità operativa e questi, a loro volta, portano a servizi pubblici più stabili e performanti.

Il controllo digitale come fondamento della nuova autonomia

Essendo l’autonomia digitale, in ultima analisi, un abilitatore di qualità, è chiaro che la vera innovazione introdotta dall’Accordo Quadro Consip non è solo tecnologica, ma culturale.

La presenza di un provider europeo e italiano nel Lotto 6 significa che la PA dispone di tutti gli strumenti per mantenere il controllo dei dati sensibili sul territorio nazionale e costruire architetture cloud interoperabili. Ciò non annulla i modelli multi-provider, né mette in discussione il valore degli operatori globali: ne completa l’utilizzo, offrendo all’ente la possibilità di calibrare sicurezza, privacy e dipendenza tecnologica in base alle proprie esigenze, e accelerando una trasformazione digitale sostenibile.

“Trasformiamo il concetto di autonomia in una scelta concreta per gli enti”, sottolinea Andrea Miele. “Non si tratta di scegliere tra europeo e globale, ma di poter decidere, servizio per servizio, quale livello di controllo serve. Rendiamo la sovranità del dato una delle opzioni che l’ente può esercitare, nel grado che decide: un’autonomia che non si realizza in isolamento, ma è capacità di innovare in modo consapevole”.

Le PA possono così bilanciare le proprie esigenze di sicurezza, prestazioni, scalabilità e controllo sui dati scegliendo per ciascuna il punto di equilibrio più adatto. In un ecosistema cloud sempre più complesso, unire controllo, sicurezza e conformità by design garantisce alle amministrazioni la flessibilità di innovare mantenendo, dove conta, la propria autonomia e resilienza.