Per il cloud nazionale serve governance e sovranità

Per la Pubblica Amministrazione italiana, il cloud è un passaggio obbligato, inevitabile. Nei prossimi anni le infrastrutture on-premise, cioè i data center interni, dovranno essere progressivamente abbandonate, con un tasso di rinnovamento che sarà monitorato e che dovrà sottostare a scadenze ben precise.

La cosiddetta “migrazione” in cloud non dovrà però avvenire con una perdita di controllo su dati e servizi acquisiti, una perdita di sovranità sul mondo digitale (fatto che oggi, invece, si sta realizzando in altri ambiti). La nuvola italiana avrà bisogno innanzitutto di una cosa: la sicurezza, affiancata a garanzie di controllo sui dati. È questo il tema al centro del piano Strategia Cloud Italia presentato a inizio settembre dal ministro per l'innovazione tecnologica e la transizione digitale, Vittorio Colao. La strategia parte da un’analisi dei principali rischi che nell’attuale contesto l’impiego del cloud comporta e punta a individuare le soluzioni che minimizzano gli impatti negativi di questa scelta.

La costituzione del Polo Strategico Nazionale avrà proprio lo scopo di garantire servizi e infrastrutture collocati sul territorio nazionale, sotto il diretto controllo delle agenzie deputate all’innovazione e alla sicurezza per il Paese. La scelta di garantire un monitoraggio costante non solo su infrastrutture gestite sul territorio, ma anche sui servizi erogati da cloud provider internazionali, va nella direzione di un’importante presa di controllo sulla situazione attuale. Il riferimento diretto a legislazioni di dati esteri che pregiudicano la sovranità sui dati strategici italiani (vengono citati direttamente la National Intelligence Law della Repubblica Popolare Cinese, il Clarifying Lawful Overseas Use of Data Act, meglio noto come Cloud Act, e il Foreign Intelligence Surveillance statunitensi) è la presa di coscienza nazionale sul rischio che corriamo come Paese di perdere il controllo su informazioni critiche.
 

Autonomia, controllo e continuità

Oggi è acceso il dibattito su chi si aggiudicherà i lavori di realizzazione dei data center e l’erogazione dei servizi, considerate le risorse in gioco: 1,9 miliardi di euro messi a disposizione del Piano Nazionale di Ripresa e Resilienza (Pnrr), divisi tra infrastrutture e processi di migrazione. Ma a prescindere da questa questione, le indicazioni giunte da Colao indicano alcuni principi generali importanti. Il primo è l’autonomia tecnologica, indicata come un obiettivo non facile da raggiungere, considerando che i fornitori di servizi di cloud computing europei hanno attualmente una quota di mercato inferiore al 10%. Alla luce di questa situazione, i rischi che le Pa italiane possano essere soggette a modifiche unilaterali delle condizioni dei contratti non possono essere trascurati. Così come sarà difficile governare lo sviluppo di questi servizi, la loro interoperabilità con un intero ecosistema alternativo di tecnologie, se la produzione dei servizi stessi è affidata a terzi, addirittura ad aziende non europee. Il secondo elemento da prendere in considerazione è il controllo dei dati: il documento ministeriale riporta che bisogna “assicurare che i dati gestiti dalla PA non siano esposti a rischi sistemici da parte di fornitori extra Ue, ad esempio l’accesso da parte di governi di Paesi terzi”. Il terzo rischio è quello delle garanzie di continuità offerte dal cloud: è necessario quindi prevedere soluzioni procedurali e tecniche per incrementare sicurezza, ridondanza, interoperabilità. Si afferma che bisogna “innalzare il livello di resilienza nei confronti di incidenti, ad esempio cyber, e/o guasti tecnici, attraverso controlli di sicurezza e requisiti che garantiscano la continuità di servizio”.

I pilastri della strategia italiana

Come progettare, quindi, un cloud nazionale accessibile e sicuro? Gli indirizzi strategici indicati da Colao sono volti a favorire un uso del cloud il più possibile conforme alle norme europee, svincolato da interferenze esterne, disegnato per proteggere dati critici da malfunzionamenti e incidenti di cybersecurity. La soluzione individuata si basa su tre pilastri.
Il primo è la classificazione dei dati e servizi, che saranno suddivisi fra “strategici” (cioè di impatto diretto sulla sicurezza nazionale, come il bilancio dello Stato), “critici” (rilevanti per la società, per esempio quelli relativi a salute dei cittadini e al benessere economico e sociale) e “ordinari” (se vengono a mancare, non causano l’interruzione di servizi essenziali). Questa classificazione è un passaggio importante perché da essa dipende la scelta dello specifico servizio cloud da utilizzare. A seconda dell necessità di proteggere più o meno specifici dati, essi saranno posizionati su cloud con livelli di sicurezza diversi. Il secondo pilastro è la realizzazione di un processo sistematico di scrutinio e qualificazione dei servizi cloud utilizzabili dalla Pubblica Amministrazione. Tale procedura avrà lo scopo di individuare il livello di sicurezza e compliance, dettagli operativi che permettano di verificarne a priori (prima ancora dell’acquisizione del servizio da parte delle PA) la rispondenza ai bisogni effettivi. La strategia colloca già alcuni attori del mercato come “non qualificati”: sono i cloud provider, europei e non, che non rispondono alle norme Ue sulla privacy (il Gdpr) e sulla sicurezza delle infrastrutture e delle reti (la direttiva Nis) e quelli che non si adeguano a criteri tecnici e organizzativi ritenuti essenziali. Per esempio, operatori che non consentono una localizzazione dei dati critici (come quelli sanitari) all’interno dell’Unione Europea, o quelli che non consentono alla Pubblica Amministrazione di adottare meccanismi di sicurezza minimi (come la cifratura dei dati gestita on-premise e integrata su cloud pubblico). Il terzo pilastro della strategia, fondamentale, è la creazione del Polo Strategico Nazionale (Psn), cioè dei data center da cui i servizi saranno erogati: la loro gestione e controllo dovranno essere autonomi dal controllo di soggetti non europei.