Torino, novembre 2018. “Entro due mesi, dopo due anni e mezzo di attività, saremo un’azienda total cloud”. A parlare non è il dirigente di un’impresa di servizi digitali, ma Carlo Bozzoli, Cio dell’Enel, protagonista mondiale dell’energia elettrica con un management italiano di rara competenza e visione. Il triplice esempio (si può fare, vale la pena farlo, l’abbiamo fatto in meno di tre anni) conta più del convincimento di un professore di Ingegneria informatica che, per quanto valga, è nella stessa direzione.
La destinazione è inconfutabile, tuttavia le strade per arrivarci sono molteplici; pertanto ha senso riflettere su motivazioni e alternative per la PA. In piena società digitale, la sicurezza, la disponibilità e la valorizzazione dei servizi informatici e dei relativi dati costituiscono fattori essenziali per qualsiasi entità pubblica e privata, ma il cittadino italiano vive due esperienze controverse: un’informatica personale sempre disponibile e usabile fino all’attraente; un’informatica pubblica apprezzabile in poche grandi realtà, accettabile in altre, ma che nella maggioranza si basa su applicazioni e sistemi che rientrano nella categoria Agid di quelli che “non garantiscono requisiti minimi di affidabilità e sicurezza dal punto di vista infrastrutturale e/o organizzativo, e non garantiscono la continuità dei servizi”. Non casualmente gli Anonymous italiani li perforano con regolarità, con sempre minor vanto e gloria, dato il basso livello dei sistemi attaccati.
La qualità dei servizi informatici passa attraverso le quattro parole-chiave fatte proprie dall’Agid: affidabilità, sicurezza, continuità, gestione organizzativa, a cui aggiungerei scalabilità, perché i servizi digitali sono in continua espansione. Tuttavia, i data center “caratterizzati da elevati standard di qualità” richiedono investimenti consistenti a livello infrastrutturale e operativo, che la maggior parte delle PA non possono affrontare. Di conseguenza, il consolidamento in pochi grandi data center non richiede più un’analisi costi/benefici, ma va intrapreso con determinazione. Le scelte possono riguardare se rivolgersi a data center privati o pubblici, se condividere solo infrastrutture o anche piattaforme e software as a service, tenendo conto che almeno l’80% degli applicativi comunali eroga servizi simili.
La diffusa obiezione sulla confidenzialità dei dati in cloud è frutto di una cultura legata alla fisicità degli oggetti oltremodo superata dai fatti. I dati digitali si possiedono non perché si possiede la chiave della “cassaforte” localizzata in azienda, ma perché sono protetti con adeguati strumenti di sicurezza e controlli di autenticazione e autorizzazione. Per la riservatezza dei dati più critici memorizzati in data center altrui, si possono utilizzare soluzioni di mascheramento basati su crittografia, pseudonimizzazione o tokenizzazione.
Passare al cloud significa orientare gli investimenti di ciascun ente verso reti efficienti e ridondate, sistemi di controllo degli accessi ai servizi e ai dati, in un contesto di politiche e procedure per la privacy e sicurezza, e adeguate verifiche. L’Agid ha individuato da tempo la direzione verso il cloud con la razionalizzazione dei data center meno efficienti della PA in pochi centri selezionati, ma dal pensiero al progetto e alla sua realizzazione trascorrono troppo anni.
Tutta l’Europa si sta muovendo in tale direzione, anche perché il digital single market deve inevitabilmente basarsi su una PA digitale. Gli Stati Uniti sono addirittura entrati nella seconda fase. La prima Cloud first strategy del 2011 ha comportato un risparmio di oltre 8 miliardi di dollari, ha visto addirittura il transito di alcuni servizi della Cia verso AWS e un investimento pro-cloud da 10 miliardi del Pentagono. Ora, ha lanciato la Cloud smart strategy che prevede una gestione integrata della sicurezza, degli appalti e della forza lavoro IT, in quanto una visione frammentata di questi tre elementi impedisce ogni soluzione cloud in ambito pubblico.
Una lezione di cui il nostro Paese, da classico IT laggard, può far tesoro: il successo della digitalizzazione e modernizzazione dei servizi informatici nella PA parte dalla volontà politico-gestionale e arriva alla condivisione del “ferro”, non viceversa.
