Una Nuvola Pubblica Certificata per dare luce a una nuova infrastruttura di servizi

È ormai ineludibile una discussione approfondita sulla necessità di razionalizzare e consolidare le migliaia di data center delle pubbliche amministrazioni, molti dei quali gestiti con tecniche obsolete, poco efficienti e soprattutto costose dal punto di vista energetico, concentrando, grazie alle tecnologie di virtualizzazione e di cloud computing, le risorse di calcolo e di archiviazione complessivamente necessarie al funzionamento del paese in un numero limitato di strutture a livello nazionale.

Tuttavia il panorama estremamente articolato delle pubbliche amministrazioni, che comprende una pluralità di enti – le amministrazioni centrali molto differenziate in termini di capacità informatica, le amministrazioni territoriali (i comuni grandi e piccoli, le regioni ecc.) ma anche Asl e scuole di ogni ordine e grado – tutti dotati di autonomia di progettazione, gestione ed evoluzione dei propri sistemi informativi, rende estremamente difficile, complesso e problematico ipotizzare un piano di creazione dal nulla di data center soprattutto rispondere alle domande: quanti ne servono, chi ne finanzia la realizzazione, chi li deve gestire?

Se ci confrontiamo con colossi a livello mondiale (come ad esempio Google o Microsoft) in astratto per gestire i servizi pubblici in Italia potrebbe bastarne uno solo, ma naturalmente una proposta del genere sarebbe del tutto impraticabile nel quadro attuale della governance digitale del Paese.

Alcuni enti centrali MEF o INPS hanno capacità e dimensioni adeguate per procedere ad un consolidamento interno economicamente giustificato, per altri sarebbe auspicabile utilizzare risorse e servizi di data center esterni per i quali resta aperta la questione di chi dovrebbe promuoverne la realizzazione e la gestione. Per altro mi sembrerebbe del tutto improprio attribuire ad alcune amministrazioni il compito di fornire ad altre amministrazioni servizi infrastrutturali estranei ai servizi connessi ai propri compiti istituzionali come ad esempio ipotizzare la creazione di data center gestiti dalle Regioni per le amministrazioni del territorio indipendentemente da ogni considerazione di competenza e di dimensionamento ottimale..

È tuttavia possibile ipotizzare un approccio che non abbia esplicitamente l’obiettivo di creare e gestire data center pubblici finalizzati alle sole esigenze di economicità e di sicurezza della pubblica amministrazione, ma consideri altrettanto strategico per il paese il funzionamento del settore privato e privilegi piuttosto la creazione di una infrastruttura di servizi, basata sul paradigma della virtualizzazione delle risorse e sui modelli architetturali e di servizio del cloud computing, che renda in qualche modo irrilevante affrontare direttamente la tematica dei data center.

Nel 2012 questo diverso approccio fu oggetto di un approfondito studio condotto congiuntamente dalle Fondazioni Astrid e THINK! che produsse la proposta di creare un’infrastruttura virtuale ICT strategica chiamata “Nuvola Pubblica Certificata” per consentire ai potenziali utenti di utilizzare in tranquillità servizi di cloud computing pubblico (i cui servizi cioè sono accessibili via Internet) e al Paese di trarne nel medio periodo i benefici economici e sistemici prevedibili. :

Lo studio era principalmente rivolto ai decisori politici e agli amministratori e affrontava le tematiche fondamentali che l’affermarsi, ormai irreversibile, del nuovo paradigma tecnologico del cloud computing, poneva alle amministrazioni pubbliche, ma anche alle aziende, soprattutto a quelle medie e piccole, quindi a tutto il sistema Paese e proponeva soluzioni architetturali, organizzative e operative, da abilitare con opportuni interventi normativi.

Lo studio si focalizzava sugli aspetti particolarmente critici, che riguardano l’evoluzione dei sistemi informativi delle piccole amministrazioni e delle PMI verso soluzioni di cloud pubblico dove i servizi dei Cloud Provider sono accessibili via Internet.

L’utilizzo di servizi cloud pubblici presenta difficoltà di natura culturale e psicologica e anche di natura normativa; le perplessità più rilevanti riguardano la temuta perdita di controllo sui propri dati, che sono trasferiti nella “nuvola”: si tratta di preoccupazioni legate alla sicurezza, alla tutela dei dati personali e alle responsabilità giuridiche che le leggi vigenti attribuiscono ai titolari dei dati.

Per rendere possibile l’adozione del cloud computing, facilitando le scelte delle amministrazioni e delle aziende era necessario instaurare un processo di certificazione dei provider che garantisse gli utenti sulla conformità dei servizi cloud alle esigenze di sicurezza, di privacy, di livelli di servizio, di localizzazione dei dati e di garanzie di portabilità prestabilite, che si basasse su clausole contrattuali standard e che accertasse l’affidabilità anche finanziaria del provider e quant’altro potesse assicurare la conformità a norme e raccomandazioni nazionali ed europee.

Oggi mi sembra importante riproporre in un contesto più maturo l’idea della Nuvola Pubblica Certificata definita, in termini di architettura concettuale, come “l’insieme organizzato di fornitori di servizi cloud (CSP) e di fornitori di servizi di connettività Internet (ISP) che hanno ottenuto la certificazione di sicurezza e di conformità alla normativa e ai regolamenti tecnici italiani”.

La Nuvola Pubblica Certificata può offrire alle amministrazioni e alle aziende servizi che consentono di assolvere gli adempimenti di legge, ad esempio nel caso dei servizi di disaster recovery e continuità operativa. In questo modo rendendo disponibile questa infrastruttura strategica di servizi lo Stato passa da un ruolo puramente prescrittivo, che stabilisce obblighi e abbandona le amministrazioni e le aziende a sé stesse, ad un ruolo di servizio che mette a disposizione gli strumenti per soddisfare le esigenze di sicurezza del Paese.

La Nuvola Pubblica Certificata è per definizione un’infrastruttura aperta, perché i servizi sono accessibili via Internet, sia pure utilizzando Internet Service Provider certificati (si tratta quindi di “public cloud”) e non si pone alcun vincolo sulla natura giuridica dei provider o relativo al contesto giuridico nel quale i provider operano e realizzano i servizi, e neppure sulla natura pubblica o privata degli utenti. Qualora i Service Provider eroghino servizi a un’utenza che opera nel contesto giuridico italiano essi devono garantire di essere certificati secondo la normativa italiana o eventualmente europea vigente. Questa impostazione concettuale non impedisce di riservare alcuni servizi certificati a particolari categorie di utenti (per esempio ai comuni o alle scuole o anche alle sole pubbliche amministrazioni) realizzando così anche la possibilità di costruire una o più nuvole di comunità che insistono sulla Nuvola Pubblica Certificata.

I cloud provider della Nuvola Pubblica Certificata soprattutto se erogano servizi di tipo IaaS, saranno presumibilmente dotati di grandi data center funzionali non solo alle esigenze delle pubbliche amministrazioni, ma anche a quelle delle imprese, grandi, medie e piccole, anch’esse soggette alla normativa sulla sicurezza e sul trattamento dei dati personali.

La caratterizzazione dei provider può essere diversa in funzione dei modelli di servizio erogati (IaaS, PssS o SaaS), tuttavia i Cloud Service Provider accessibili via Internet sono Tipicamente operatori internazionali che utilizzano data center consolidati di grandi dimensioni collocati anche al di fuori del territorio nazionale. Peraltro anche soggetti pubblici italiani, soggetti privati a partecipazione pubblica o anche soggetti privati italiani potrebbero avere interesse a operare come CSP certificati sulla Nuvola Pubblica Certificata.

Come tutte le infrastrutture critiche e strategiche la Nuvola Pubblica Certificata dovrà essere governata da un organismo permanente sia nella fase di realizzazione che nella fase di gestione per assicurarne la continuità nel tempo.

La Nuvola Pubblica Certificata potrà diventare l’infrastruttura abilitante per i progetti nazionali a valenza sistemica, per quei progetti cioè che nascono da obblighi normativi che interessano tutte le amministrazioni di un certo tipo, o anche tutte le amministrazioni e che non si possono considerare completati finché tutte le amministrazioni coinvolte non sono in grado di dispiegare il progetto o erogare in modo permanente il servizio corrispondente.

Oggi le amministrazioni si muovono autonomamente senza azioni e piani coordinati e producono inevitabilmente risultati incompatibili e non integrabili. Un tipico progetto nazionale a valenza sistemica è ad esempio un progetto che tenda a dare attuazione, secondo un piano organizzato, all’articolo del Codice dell’Amministrazione Digitale (CAD) Art. 50-bis “Continuità operativa”. che impone a tutte le amministrazioni di realizzare autonomamente funzionalità di disaster recovery e di continuità operativa lasciando sulle singole amministrazioni l’onere di tutti gli adempimenti previsti.

È utile ricordare che il CAD si applica a tutte le amministrazioni locali in particolare anche ai circa 7500 Comuni che hanno meno di 20.000 abitanti e ai quasi 6000 Comuni che hanno meno di 5.000 abitanti, si applica ad alcune centinaia di ASL e alle scuole che sono circa 14.000, ecc. Realizzare in tempi pianificati queste prescrizioni in modo che, a una data predefinita e certa, il sistema informatico dell’amministrazione del Paese nella sua totalità possa essere considerato in sicurezza è quanto s’intende per progetto di natura sistemica ed è evidente come la Nuvola Pubblica Certificata possa offrire una soluzione.