Nel momento in cui scriviamo la terra ancora trema nelle Marche ed in Umbria devastando alcuni tra i borghi più belli del nostro Paese e sono passati quasi tre mesi dal precedente terremoto che ha colpito il Centro Italia dove la lista delle vittime è arrivata a sfiorare quota trecento, nel frattempo sono arrivate le prime stime (in miliardi di euro) di quanto servirà per ridare vita ai paesi e dignità alle persone che ci abitavano mentre ancora non si è deciso dove mettere le macerie.
Ma di questo hanno ampiamente parlato e parleranno ancora tutte le maggiori fonti mainstream. Vorremmo invece ricordare una “vittima” molto particolare di quel terremoto, tutt’ora dispersa, e di cui giornali e siti nazionali si sono occupati in modo estremamente superficiale: il server del Comune di Amatrice (e ovviamente tutti i dati in esso contenuti).
Veniamo ai fatti: la polvere delle scosse si è appena posata ed emerge chiaramente che, tanto per cambiare, corruzione ed incompetenza hanno fatto sì che i danni umani e materiali fossero molto più alti di quanto sarebbe giustificato da una scossa del sesto grado. Un esempio su tutti: la scuola “Romolo Capranica”, crollata come un castello di carte. E buona grazia che la scossa c’è stata il 24 agosto di notte e non il 24 settembre alle 9 di mattina. Partono le indagini e, ovviamente, non possono che cominciare dai documenti (concessioni, licenze edilizie, perizie, ecc.) del Comune di Amatrice. Dove sono i documenti? Fra le macerie del Comune. Dove sono le copie digitali di quei documenti (e potremmo aprire una parentesi sul fatto che, anno del Signore 2016, si parli ancora di copie digitali e non di documenti nativamente digitali)? Nel server del Comune, anche lui sotto centinaia di tonnellate di pietre e cemento.
Partono le ricerche, i Vigili del Fuoco cominciano a scavare per individuare il server e, abbastanza ovviamente, non riescono a trovarlo (piccolo inciso, quello che hanno fatto in quei giorni Protezione Civile, Vigili del Fuoco e tutti coloro che hanno collaborato ai soccorsi dimostra, senza tema di smentite, che nel settore siamo i migliori del mondo. Grazie). Tutt’ora la sorte del server è ignota, rottame inservibile fra milioni di rottami.
Fin qui quello che hanno riportato i giornali generalisti, con qualche timido accenno al fatto che, senza quei dati, probabilmente non si potranno accertare le responsabilità. Ma a qualche giornalista un po’ più scafato sovviene all’improvviso il termine “Disaster Recovery” e subito giù le critiche all’Amministrazione comunale per non aver rispettato il dettato del CAD, art. 50 bis (abrogato proprio in questi giorni) che IMPONE a tutte le P.A. la predisposizione di piani di Disaster Recovery e Business Continuity, con tanto di parere obbligatorio di Agid.
Bene, chi vi scrive lavora per un’Amministrazione Pubblica fra le prime a dotarsi dei piani di cui sopra. Questo articolo è scritto a quattro mani e due di quelle mani hanno fisicamente recuperato (sotto scorta dei Vigili del Fuoco) il server dalla nostra sede dell’Aquila resa totalmente inagibile dal terremoto e dal successivo incendio del 2009 (cent’anni fa, in informatica). Tutte e quattro le mani hanno fatto sì (insieme al lavoro di tanti altri) che i DATI ospitati su quel server (che erano backuppati presso la sede centrale) tornassero integralmente disponibili non appena si trovò una nuova sede provvisoria, senza perdere un byte. E sarebbero stati disponibili anche se il server fosse andato totalmente distrutto. Un ottimo risultato, per l’epoca, il minimo sindacale, oggi.
Entrambi abbiamo collaborato a scrivere i piani, ad implementarli e a testarli e quindi ci sentiamo assolutamente titolati a dire, chiaro e tondo, che gli Amministratori di Amatrice non hanno nessuna responsabilità per il mancato rispetto di quanto previsto dal Codice dell’Amministrazione Digitale. Perché, avendolo fatto sul serio e non solo sulla carta, abbiamo la consapevolezza che almeno il 95% delle Pubbliche Amministrazioni non ha le risorse umane, economiche ed organizzative per gestire correttamente un proprio Datacenter, figurarsi per avere il polo di Disaster Recovery.
Di più, una percentuale sostanzialmente analoga non ha le risorse per gestire correttamente l’intero ciclo di vita dei documenti e dei dati “aziendali”. La gestione delle infrastrutture ICT è oggi, e lo sarà sempre di più in futuro, un mestiere terribilmente difficile e costoso ed è impensabile continuare a lasciarla nelle mani di realtà troppo piccole e troppo poco strutturate, come la stragrande maggioranza degli 8.000 Comuni italiani e delle amministrazioni pubbliche in genere.
Ma vogliamo spingerci oltre e dire chiaramente che non è pensabile che amministrazioni così piccole possano gestire l’ICT in proprio, se non altro per la cronica scarsità di figure titolate a “fare il CIO“. E’ vero, in P.A. ci sono dei professionisti d’eccezione che hanno le capacità adatte, ma sono perle rare che le proprie amministrazioni, guarda caso di dimensioni che vanno dal grande all’enorme, si tengono strettissime. E senza figure come quelle a coordinare, senza le risorse economiche ed umane di cui dispongono, anche il solo rispetto teorico delle normative di settore (in genere completamente avulse dall’execution) è pura utopia.
Ad oggi, l’unico scenario che può mitigare i rischi, a costi affrontabili, è quello di appoggiarsi, in modo critico e consapevole, ma senza preclusioni ideologiche, sui servizi di cloud pubblico e di pianificare la migrazione dei propri servizi nella “nuvola“. Concentrarsi sul disegno dei servizi e non sulle infrastrutture, sulla qualità dei dati e non sulla loro “tenuta”. Perché se c’è una cosa che questa vicenda insegna, è che i dati non possono essere gestiti in modo sicuro (dove “sicuro” significa anche al sicuro da chi quei dati ha tutto l’interesse per distruggerli) in posti che rassomigliano più ad uno sgabuzzino che a un data center anche solo tier 2.
Per chiudere, solo una piccola riflessione. Se è vero, come affermano in molti, che la perdita dei dati di Amatrice farà comodo a tanti amministratori, tecnici e politici con la coscienza sporca, non sarà ora di VIETARE in modo esplicito di conservare i dati della Pubblica Amministrazione in questo modo e di IMPORRE di tenerli al sicuro in “luoghi” che garantiscano un livello di tutela almeno pari a quello a cui ognuno di noi è abituato quando usa il proprio account su un qualsiasi servizio di storage online?
