Lo scorso 13 febbraio AgID ha presentato a Roma le modalità di “trasferimento dei dati della PA verso il Cloud”, con un evento in Confindustria creato per illustrare il percorso di qualificazione e definire le modalità relative alla procedura necessaria.
Cosa è emerso?
Che dal 1° aprile 2019 la Pubblica Amministrazione italiana potrà acquisire solo servizi Cloud dai CSP (Cloud Service Provider) qualificati e pubblicati sul “Catalogo dei servizi Cloud qualificati per la PA” realizzato da AgID.
Si tratta di una lista di poche società, dove primeggiano le multinazionali che dominano i mercati mondiali del Cloud e una pattuglia di piccole società italiane.
E la componente pubblica, che domina la scena dei dati delle PA in tutta Europa, come è possibile che in Italia sembra essere ignorata?
Parliamo, come è noto, di quelle società pubbliche (in taluni casi molto rilevanti) che erogano servizi IT per sé e/o per altre PA e operano in nome e per conto dello Stato, in considerazione delle forti ragioni di strategicità dei dati trattati dalle Pubbliche Amministrazioni.
Sono le società destinate ad essere qualificate come PSN (Poli Strategici Nazionali), che l’iniziativa di AgID ha invece praticamente oscurato, se non dimenticato.
Con quali conseguenze?
Presto detto. Se un qualsiasi Comune italiano volesse oggi spostare i propri dati in Cloud affidandosi ad una delle strutture pubbliche presenti sul territorio nazionale, non potrebbe farlo. Non potrebbe rivolgersi a SOGEI, INAIL o INPS, per citare alcuni dei poli più rilevanti (che, immaginiamo, avranno pur sollecitato AgID all’azione), né ad alcuna delle tante strutture territoriali presenti in tutta Italia. E va anche aggiunto che molte di esse, prevedibilmente, avranno anche fatto investimenti significativi in vista di una qualificazione, sin qui mancata, come PSN.
Eppure il Piano Triennale per l’informatica nella Pubblica Amministrazione, a proposito di razionalizzazione di risorse ICT della PA, prevede che AgID:
- Si occupi di individuare un insieme di infrastrutture fisiche esistenti di proprietà della PA che verranno elette a Poli Strategici Nazionali (PSN);
- Definisca il percorso delle PA verso il modello cloud, anche attraverso le risorse rese disponibili dai Poli Strategici Nazionali e le risorse messe a disposizione tramite SPC-Cloud;
- Definisca un processo di qualificazione dei PSN;
- Definisca regole e procedure per la qualificazione di altri Cloud Service Provider (CSP).
Paradossalmente, con l’evento della scorsa settimana, AGID ha saltato i primi tre punti per dar seguito solo al quarto….
Ma c’è di più.
L’incoerenza del procedimento avviato dalla presentazione della scorsa settimana è ancor più vistosa se si considera che uno dei due punti qualificanti del Piano Triennale ha come obiettivo:
“…Razionalizzare, ovvero riqualificare la spesa ICT delle amministrazioni in coerenza con gli obiettivi della Legge di stabilità 2016…”.
Il che vuol dire che:
“… tutte le Pubbliche amministrazioni che dispongono di infrastrutture fisiche in qualsiasi forma contrattuale dovranno partecipare al censimento effettuato da AgID sulla base del quale saranno individuate le infrastrutture fisiche delle PA candidate a ricoprire il ruolo di Poli Strategici Nazionali o classificabili nelle seguenti categorie (nella logica di salvaguardia degli investimenti pregressi effettuati dalle amministrazioni):
- Gruppo A – Data center di qualità non eleggibili a Polo strategico nazionale, oppure con carenze strutturali o organizzative considerate minori.
- Gruppo B – Data center che non garantiscono requisiti minimi di affidabilità e sicurezza dal punto di vista infrastrutturale e/o organizzativo, o non garantiscono la continuità dei servizi”.
Di tutto ciò non vi è traccia, né AgID stessa si è preoccupata di indicare le ragioni per tale vistosa manchevolezza.
Ricordiamo che la valutazione dei Poli Strategici Nazionali doveva esser fatta entro il maggio 2018, per dar luogo a giugno ad una lista di soggetti prescelti e da sottoporre alla Presidenza del Consiglio dei Ministri, cui doveva seguire entro luglio una definizione della lista dei Poli prescelti, con l’obbligo di dar luogo alle Convenzioni tra AgID e i singoli soggetti entro il dicembre scorso.
E ora?
Che farà AgID in considerazione del fatto che ha presentato una sola faccia della luna, peraltro meno rilevante, senza svelare l’altra faccia, di gran lunga più importante, delle strutture pubbliche?
Come risponderà AgID alle richieste silenti dei grandi e piccoli erogatori di servizi IT per la PA che sono pronti da mesi a sottoporsi al processo di qualificazione, ma sono nella impossibilità di dar seguito perché ogni cosa sembra bloccata a monte dalle stesse procedure AgID?
Che calendario prevede AgID per la definizione dei PSN sino ad ora ignorati?
È possibile che si sia creata una condizione di emarginazione dannosa per le strutture della Pubblica Amministrazione che offrono servizi IT, con un’alterazione dei profili di mercato?
Il disattento percorso di questi giorni sta oggettivamente dando luogo ad un fenomeno strisciante di impoverimento del carattere di strategicità dei dati della PA italiani, con l’idea sottesa che darli in mano a privati o al pubblico sia la stessa cosa?
E a proposito di strategicità dei dati, siamo poi certi che i profili di Privacy siano tutti esauriti nell’adempimento di misure di protezione e cybersicurezza dei dati stessi (come si desume dai documenti di AgID sul tema) e non abbiano anche a che fare (o forse prevalentemente a che fare) con i processi ovvero con i trattamenti a cui sono sottoposti?
E AgID si è preoccupata di sottoporre a vaglio preventivo del Garante Privacy le procedure di qualificazione dei CSP o ha proceduto con la semplice modalità di autocertificazione dei diretti interessati?
Sono tutti quesiti plausibili, ma che possono tradire anche una sensibilità soggettiva. Lasciamo al lettore l’arbitrio della risposta ai quesiti avanzati.
Ciò che invece è certo è il dissolvimento dei Poli Strategici Nazionali e l’assenza di qualsiasi indicazione a riguardo da parte di AgID, il che potrebbe dar luogo a considerazioni di non poco conto.
È bene invece riaffermare qui che i dati della Pubblica Amministrazione sono i dati dei cittadini e degli uffici statali centrali e locali e non vi sono mani migliori a cui affidarli se non quelli controllati dalla proprietà pubblica, che non è guidata da motivazioni predatorie sullo sfruttamento dei dati.
Vedremo cosa succederà e quali saranno, dietro sollecitazioni che siamo certi non mancheranno, le valutazioni del governo, della politica, delle autorità regolatorie, dei diretti interessati che aspettano da mesi una qualificazione come Poli Strategici Nazionali e che oggi sono ammutoliti dall’assordante silenzio che sembra essere equivocamente calato sull’argomento.