Solo pochi mesi fa sembrava che dovesse venire giù il cielo, un po’ per l’importanza dell’investimento (1,9 miliardi di euro da PNRR, quasi equamente divisi tra infrastruttura e migrazione) e un po’ per le soluzioni annunciate (un one-stop-shop per il cittadino sino a oggi tartassato dalla burocrazia, una prospettiva peraltro già ampiamente prevista dal Codice dell’Amministrazione Digitale di 15 anni fa…).
E invece no, qualcosa non ha funzionato e la direzione del governo rischia di continuare ad essere incerta anche nelle prossime settimane o mesi.
Il Cloud per la PA? Nel Polo Strategico Nazionale…
Al centro di tante attenzioni il Cloud per la PA, che dovrebbe offrire alle Pubbliche Amministrazioni centrali e locali servizi avanzati di stoccaggio ed elaborazione dei dati, di tutti i dati dei cittadini italiani, da quelli relativi alla Difesa e alla sanità a quelli delle anagrafe o delle multe del traffico cittadino.
Una infrastruttura denominata Polo Strategico Nazionale, in sigla PSN, non nuovo alle cronache. Era stato prefigurato nel primo Piano Triennale 2017-19 di AGID, l’agenzia posta sotto il controllo di Palazzo Chigi, che tanto controllo non ha esercitato, avendo AGID cancellato ogni traccia di PSN dal successivo Piano Triennale 2019-21, dopo aver aperto i portoni all’accreditamento delle grandi società americane verso cui sono state indirizzate all’epoca (con scarsissimo successo) le Pubbliche Amministrazioni italiane.
Oggi l’oggetto del desiderio è ritornato ad essere il PSN, intorno a cui ruotano finanziamenti da capogiro, assieme a problematiche molto complesse, alcune delle quali molto in voga (dalla performance tecnologiche alla cybersicurezza), altre che fanno fatica ad emergere nonostante la loro rilevanza (sostegno all’industria e alle filiere italiane, competenze digitali locali, relazioni con le università). Ma su tutto lo spettro del Cloud Act americano, che consente all’amministrazione USA di accedere in qualunque momento ai dati custoditi presso le aziende americane, anche in Europa e in Italia. Il che vuol dire addio a qualunque sovranità nazionale sui dati dei cittadini italiani. Una condizione del tutto insostenibile.
Con quali criteri di scelta?
Inizialmente, in tarda primavera, fu annunciato che le valutazioni sulle manifestazioni di interesse presentate sarebbero state fatte entro fine giugno. Ma, attenzione, mancava un’apertura formale di termini. In quelle settimane scesero in campo soggetti forti, ci riferiamo alle tre cordate Leonardo/Microsoft, Fincantieri/Amazon AWS, TIM/Google. Una corsa a tre che però decade subito, facendo squagliare l’accordo delle prime due cordate e facendo emergere la terza, in aggregazione questa volta con Cassa Depositi e Prestiti (CDP), con Sogei e con Leonardo. Una aggregazione singolare se si considera che CDP non sa nulla di Cloud, Leonardo fa ben altro, mentre TIM fa sì Cloud ma con Google (e questo pone problemi oggettivi), con infine Sogei (legata a sua volta ad IBM), che è senza dubbio un gioiello pubblico, ma che difficilmente potrà occuparsi di quella parte di Cloud della PA che è oggetto dell’investimento del PNRR.
Intanto arrivano altre manifestazioni di interesse. Due per l’esattezza. La prima da parte della cordata Aruba/Almaviva, e la seconda da parte dell’appena costituito Consorzio Italia Cloud (6 società italiane di cloud che hanno insieme circa 2.000 risorse umane e 1/3 di miliardo di fatturato cumulativo). Purtroppo, il Consorzio Cloud Italia, pur avendo comunicato ufficialmente il proprio interesse al ministero competente, non viene citato dal ministro Vittorio Colao, al pari delle altre due manifestazioni di interesse, in occasione della presentazione delle linee guida lo scorso martedì.
Con quale strumento di selezione?
Inizialmente doveva essere un bando. Prima annunciato per fine giugno, poi per fine luglio, poi hanno fatto esplicito riferimento al completamento di selezione entro settembre ed assegnazione entro il 2021, infine ad una selezione entro il 2021 ed una assegnazione nel 2022. Ma a complicare le cose è affiorata ad un certo punto anche l’opzione all’israeliana, con un eventuale modella “a qualificazioni”, in base al quale chiunque in possesso di determinate caratteristiche poteva essere accreditato come in fornitore della PA.
Un modello inghiottito dalle nebbie, finché non è emersa la soluzione definitiva, la grande trovata: la Partnership Pubblico Privato, in sigla “PPP”. E già, perché qualcuno ha osservato che a complicare le cose è il fatto che il PSN rientra nel cosiddetto Perimetro di sicurezza nazionale cibernetica e pertanto dovrà essere affidato ad una entità a controllo pubblico. Non a caso nei giorni passati, era girata voce di una ripartizione percentuale nella cordata più importante con un 40% a TIM ed il restante 60% equamente diviso tra CDP, Sogei e Leonardo. Il punto è che Leonardo non è una società pubblica. Rimangono CDP e Sogei, le uniche titolate a poter detenere un indiscutibile 51%. Riusciranno a mettersi d’accordo? Difficile dirlo. Di sicuro si sta facendo una qualche confusione legando il Cloud della PA del PSN ad altre applicazioni come il 5G, che nulla ha a che fare con il Cloud della PA finanziato dal PNRR.
Un ulteriore nodo è che TIM e CDP sono doppiamente legate, dal momento che CDP è presente nel capitale di TIM con un 10% o poco meno di partecipazione e un membro del CdA di TIM. Sorge legittimo il dubbio che, chi vuol far confusione, possa trovare terreno fertile per far ricicciare il tema della “rete unica”, dopo essersi legittimato come società di interesse nazionale. Ne viene fuori un quadro deteriorato che potrebbe fare corto circuito.
Con quali tempi?
Abbiamo detto delle promesse dei mesi passati, ora forse ci siamo. Ma emergono dubbi sulle procedure. Nella presentazione pubblica delle linee guida del Cloud per la PA, lo scorso martedì, il ministro Vittorio Colao ha insistito sulla scadenza del 30 settembre 2021, come termine ultimo per la presentazione dei progetti da parte dei soggetti pubblici e privati.
Ma non vi è alcuna evidenza pubblica di questa scadenza del 30 settembre 2021 (né di una data di inizio di consegna delle proposte), tranne le parole del ministro in conferenza stampa. Certo, qualcuno potrebbe avanzare delle proposte entro quella data, ma gli esclusi potranno reclamare la mancanza di apertura di termini formali. E se, al contrario, entro quella data non vi sarà alcuna presentazione (come potrebbe accadere), che succederà?
Inoltre sta emergendo una ulteriore complicazione.
In base a quali criteri le società interessate possono articolare le proprie proposte. Qualcuno potrebbe osservare che la presentazione pubblica delle linee guida dello scorso martedì abbia risolto il problema. Ma formalmente non è così.
Le linee tecniche del Cloud per la PA dovranno essere definite dalla neo istituita Agenzia Nazionale per la Cybersicurezza. A stabilirlo è la stessa norma istitutiva dell’Agenzia, che all’Articolo 7, lettera m), prevede l’assorbimento di ogni competenza pubblica sul Cloud precedentemente detenuta da Agid. A tutt’oggi non vi è traccia della emanazione di linee tecniche da parte dell’Agenzia, che essendo nata qualche settimana fa, non ha potuto avere neanche il tempo tecnico per assolvere ad un compito del genere.
Le manifestazioni di interesse e le ragioni della sicurezza
Sono le tre che abbiamo citato: quella CDP/Sogei/Leonardo/TIM, quella Almaviva/Aruba, infine quella del Consorzio Italia Cloud
Ma se avverranno ulteriori slittamenti, come sembra probabile, cosa faranno altri soggetti? Siamo certi che Microsoft accetti di buon grado di rinunciare o che Amazon AWS sia ben lieta di farsi da parte? Si vedrà. Ma prima occorrerà definire le misure di tutela dei dati italiani, da quelli segreti a quelli anagrafici e sanitari dei 60 milioni di cittadini italiani. Come ci si proteggerà dal Cloud Act? E le misure che si deciderà di adottare saranno adeguate al problema o saranno meri palliativi?
Anche per questo occorrerà attendere, per saperne di più.
Intanto una considerazione possiamo farla.
Si sente ripetere continuamente in queste settimane che la soluzione sarebbe quella di una soluzione a doppia chiave crittografica. Temiamo che non si facciano le dovute distinzioni tra miliardi di dati che devono essere stoccati e messi in naftalina per mera custodia di lungo termine e gli stessi dati che devono essere costantemente accessibili in ogni istante per essere sottoposti ad elaborazione.
“La doppia chiave crittografica mette al riparo i nostri dati da qualunque uso non gradito da parte di aziende estere o da parte di governi esteri” – ci è stato detto da un alto funzionario ministeriale.
Francamente abbiamo qualche dubbio, confortati per altro dalle opinioni di valenti esperti internazionali. Perché se così fosse, allora per paradosso non dovremmo temere alcunché neanche dai cinesi, che potrebbero tranquillamente far parte della partita, potendo essi offrire prodotti hardware di pari o migliore qualità e a costo minore rispetto ad altri fornitori occidentali e mettendo a disposizione soluzioni di intelligenza artificiale anche superiori rispetto a quelle offerte da società americane.
Allora, siamo proprio certi che la soluzione a doppia chiave crittografica sia la soluzione di alto profilo da adottare senza alcuna esitazione?
Domande che sono sotto gli occhi di tutti e che attendono le risposte giuste, nel rispetto dei più elementari criteri di trasparenza necessari per partite così rilevanti.
