Verso il Cloud Sovrano, come si stanno muovendo i Paesi in EU e la sfida italiana

Ogni processo di allocazione e gestione di ingenti quantità di dati in ambienti cloud assume necessariamente una connotazione geopolitica e mette in gioco il tema della sovranità digitale nella sua accezione più diffusa, vale a dire l’indipendenza tecnologica e il pieno controllo dei dati. L’Italia si è distinta in Europa per lo sviluppo di un quadro strategico coerente e tempestivo. La Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri e dall’Agenzia per la Cybersicurezza Nazionale risponde a queste sfide: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali. Per farlo segue tre direttrici: la classificazione dei dati e dei servizi; la qualificazione dei servizi cloud; il Polo Strategico Nazionale.

Data l’estrema attualità del tema, FPA e Oracle hanno deciso di organizzare, lo scorso 19 aprile, un tavolo di confronto tra le principali amministrazioni italiane sulle soluzioni oggi comprese sotto il termine “Sovereign Cloud” e sugli elementi chiave per fare le scelte giuste in un contesto in rapida evoluzione. Il dibattito è stato guidato da Eleonora Bove (FPA), affiancata da Massimo Nappi, Responsabile Cloud tecnologico (IaaS e PaaS) di Oracle per le Pubbliche Amministrazioni e la Sanità e Mauro Capo, Sovereign Cloud Lead Europe di Accenture. Ad arricchire il confronto gli interventi, tra gli altri, di Adriano Avenia, Program Manager, Infrastrutture digitali e cloud del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri, Mirko Calvaresi, Direttore Tecnologia & Servizi di PagoPa, Pierpaolo Bonanni, Dirigente Area Innovazione Tecnologica di INPS e Giuseppe De Marco, Responsabile Security Governance di ISTAT.

Nel corso dell’incontro Accenture ha presentato in anteprima i risultati della ricerca internazionale condotta con il coinvolgimento di 1500 Chief experience officer di nove Paesi europei, dal titolo “Sovereign Cloud Comes of Age in Europe”, al fine di restituire i trend del mercato e le principali sfide nell’adozione.

Sovereign Cloud, i trend a livello europeo

Dall’indagine di Accenture emerge che circa un terzo degli intervistati prevede di spostare su sovereign cloud fra il 25% e il 75% dei propri dati, workload e risorse. “L’hype sulla sovranità deriva dalla ricerca di bilanciamento fra una postura di compliance regolatoria e la necessità di accesso all’innovazione spinta dal cloud per la trasformazione del digital core delle organizzazioni”, sostiene Mauro Capo, Sovereign Cloud Lead Europe – Accenture. Ad oggi 137 Paesi hanno promulgato un qualche tipo di normativa sulla protezione dei dati e sulla sovranità, tema che condiziona soprattutto (ma non solo) i settori regolamentati fra cui le amministrazioni pubbliche. L’analisi di Accenture prospetta un continuum di soluzioni che vanno dall’on-premises (che presenta il livello minimo di potenzialità innovative) al public cloud “compliant” (portatore del massimo livello di innovazione), all’interno del quale si colloca anche il cloud sovrano. Un primo elemento da notare, nei risultati dell’indagine Accenture, è che l’approccio di tipo multicloud è ormai comunemente accettato.

Secondo gli intervistati le principali sfide sono rappresentate dalla quantità di linee guida e regolamenti sui dati in cloud che ne rendono difficile l’implementazione, e dalla carenza di competenze interne sul cloud sovrano. Emerge anche la mancanza di operatori locali alternativi agli hyperscaler statunitensi, che stanno sviluppano nuove soluzioni su misura per la sovranità dell’UE – e tra i quali Oracle spicca per la declinazione particolarmente ampia della sua offerta specifica per il mercato europeo.

“Dal cloud pubblico, presente già anche sul suolo italiano con una prima cloud region aperta a Milano da oltre un anno, a quello ibrido con il suo offering “Cloud at Customer”, passando per la possibilità di avere region “isolate” o “dedicate” con modelli di implementazione specifici, tra cui l’isolamento dei realm (NdR lett.te reami, nel senso di settori) – come ha fatto notare Robert Scapin, direttore Alliance & Channels di Oracle Cloud per il Sud-Europa. Ad esempio, grazie al realm del cloud sovrano Oracle per l’UE, le organizzazioni europee possono accedere a un’architettura unica che offre un’operatività separata in modo chiaro e semplice dalle cloud region commerciali per soddisfare i requisiti di conformità più stringenti, perchè vengono applicati meccanismi tecnici di isolamento e di governance dei realm in grado di mantenere i contenuti cloud in hosting all’interno dell’UE.I governi dei principali Paesi europei stanno finalizzando la loro strategia sul cloud nazionale, con diversi stati di maturità. La Francia, ad esempio, incentiva la domanda e aiuta i campioni nazionali ad emergere, mentre la Germania, punta alla crescita di un hyperscaler nazionale. L’Italia sta incentivando sia la domanda sia l’offerta, finanziando lo sviluppo di un nuovo provider.

La Strategia Cloud Italia

La Strategia Cloud Italia si sta rivelando particolarmente efficace e capace di rispettare gli obiettivi del PNRR grazie all’attuazione del Polo Strategico Nazionale (PSN) e alla presentazione dei piani di migrazione al cloud di oltre 14mila amministrazioni locali che hanno aderito agli avvisi pubblici pubblicati a partire da aprile 2022. Come ricorda Adriano Avenia, Program Manager, Infrastrutture digitali e cloud del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri, la strategia si fonda su tre pilastri: classificazione di dati e servizi, in base al danno che una loro compromissione può provocare al sistema Paese e conseguente indicazione sulla tipologia di modello cloud verso il quale  migrare; qualificazione dei servizi cloud, sulla base di caratteristiche minime di sicurezza definite dall’Agenzia per la cybersicurezza nazionale; il già indicato PSN, l’infrastruttura ad alta affidabilità progettata per ospitare i dati e i servizi, a partire dai critici e strategici, delle amministrazioni italiane.

Le esperienze cloud delle amministrazioni italiane

Le esperienze di seguito esposte confermano il livello avanzato delle amministrazioni italiane e la loro propensione al multicloud.

INPS sulla base di una strategia cloud definita nel 2021 punta su multicloud e cloud ibrido, mantenendo on-premises i dati strategici, ma scegliendo il multicloud in ottica di competizione e portabilità. ”Non puntiamo tanto a benefici economici quanto a mettere in competizione i fornitori e mantenere servizi indipendenti”, dichiara Pierpaolo Bonanni, Dirigente Area Innovazione Tecnologica, che dichiara l’obiettivo ambizioso di portare il 75% del parco applicativo su cloud, pubblico o privato.

PagoPa, le cui attività prevedono una molteplicità di servizi oltre a quello dei pagamenti da cui prende il nome, opera in un contesto misto. L’azienda, priva di infrastrutture proprie alla nascita, ha decisamente puntato sul cloud pubblico, per appoggiarsi in una fase intermedia sulle infrastrutture del partner industriale Nexi e migrare poi su cloud pubblico. “Abbiamo un approccio multicloud, con una singola applicazione distribuita su più cloud e approccio API as a product”, sottolinea Mirko Calvaresi, Direttore Tecnologia & Servizi. Proseguendo il percorso, punta ad ampliare il numero dei provider e ad avvicinarsi a PSN, senza la necessità di riscrivere l’infrastruttura.

Multicloud è anche l’esperienza della Corte dei conti, ente pioniere del cloud fin dal 2013 che opera al 90% su cloud pubblico di hyperscaler e per il restante privato. La scelta convinta nasce da una questione di costi non tanto in termini di risparmio, ma di controllo. “Grazie al cloud possiamo conoscere esattamente la spesa nel corso dell’anno mentre abbiamo sperimentato l’impossibilità di sapere esattamente il costo di un’infrastruttura on prem”, sottolinea Leandro Gelasi, Responsabile A.I. Servizio per la gestione dei progetti applicativi (SPA). Alla difficoltà di conteggiare costi afferenti a diversi centri di spesa si sommano i costi nascosti, primo fra tutti la sicurezza. “La sicurezza offerta dal cloud è irraggiungibile, anche per realtà medio grandi”, spiega.

ISTAT sta lavorando per aumentare la sicurezza in termini di governance, anche in vista del cloud, andando a migliorare il sistema di gestione delle informazioni, intraprendere un percorso di certificazione, in particolare per i processi e la business continuity, come riferisce sta Giuseppe De Marco, Responsabile Security Governance.

Se quasi tutti gli interlocutori lamentano una carenza di competenze, diversi sono i suggerimenti. La strada seguita da PagoPa è di creare team con competenze trasversali, ad esempio cloud e software engineer, che operano sullo stesso ecosistema e puntano alla creazione di nuclei di competenze interne da far crescere anche in collaborazione con i cloud provider.

L’approccio Oracle

“L’adozione del cloud non è una scelta limitata alla tecnologia ma rappresenta un passaggio epocale che impatta su organizzazione, competenze, processi, governance” – conferma Massimo Nappi, Responsabile Cloud tecnologico di Oracle Italia per le Pubbliche Amministrazioni e la Sanità. “Per affrontare questa sfida è indispensabile fare sistema e stabilire uno scambio continuo di informazioni ed esperienze”.

L’azienda, leader da sempre nei sistemi hardware e software per la gestione dati e nelle applicazioni per i processi aziendali (es. ERP) ha da tempo trasformato ed esteso il proprio business con una soluzione cloud B2B di livello enterprise, diventando velocemente un hyperscaler globale che oggi offre un set completo di servizi (IaaS, PaaS e SaaS) con 41 cloud region in 22 Paesi. Oracle Cloud Infrastructure (OCI) è un cloud “di seconda generazione”, ripensato cioè – rispetto a quelli presenti in precedenza sul mercato – per le esigenze più critiche in termini di performance e sicucrezza (con un approccio “security by design”, sicurezza fin dalla progettazione), tipiche delle organizzazioni pubbliche e private che vogliono migrare carichi di lavoro IT mission-critical – anche in un’ottica multi-cloud, grazie a partnership con altri provider. Per soddisfare le richieste di territorialità della PA e delle aziende italiane, Oracle aveva già da tempo aperto una cloud region in Italia (Milano), mentre per rispondere a particolari esigenze normative e di governance su dati e applicazioni sta per aprire, entro l’estate 2023, di 2 Sovereign Cloud Region per l’Unione Europea,situate in Spagna e Germania (per ragioni di ridondanza e disaster recovery ottimali all’interno del realm UE isolato) anche sulla scorta dell’esperienza maturata con 7 region dedicate al public government cloud in USA e UK. A ciò si aggiunge una cloud region dedicata all’interno di PSN.
“Le PA italiane hanno dunque la possibilità, oggi, di scegliere il Public Cloud di Oracle nelle varie cloud region presenti nell’Unione Europea, tra cui quella di Milano e le Cloud Region Sovrane EU per i dati ordinari e critici, mentre la PSN managed per i dati ordinari, critici e strategici, nella cloud region dedicata al PSN” ha concluso Nappi.

A cui ha fatto eco Mauro Capo di Accenture, rimarcando la versatilità e innovatività dell’approccio Oracle al Sovereign Cloud e sottolineando l’attenzione con cui la grande società di consulenza e system integration, nel suo ruolo di partner d’elezione delle organizzazioni pubbliche e private europee per le strategie cloud, sta dedicando a questo set di soluzioni.