L’Italia è pronta a lanciare il cloud nazionale. E lo farà nel rispetto della privacy dei dati sensibili, consegnando allo Stato le “chiavi” per evitare che finiscano esclusivamente in mano di soggetti terzi. È quanto emerge dalla nuova Strategia per il cloud nazionale italiano presentata questo pomeriggio dal Sottosegretario con delega all’intelligence e alla sicurezza Franco Gabrielli, dal direttore dell’Agenzia per la cybersicurezza nazionale Roberto Baldoni, dal ministro della Transizione digitale Vittorio Colao e Paolo de Rosa, chief Technology Officer del Dipartimento per la Trasformazione digitale.

LA ROAD MAP 

Arriva dunque ai nastri di partenza una delle più strategiche partite del Pnrr, che per il Cloud nazionale prevede uno stanziamento di 900 milioni di euro. Tre i pilastri della strategia. La creazione del “Polo strategico nazionale” (Psn), “un’infrastruttura nazionale per l’erogazione di servizi Cloud, la cui gestione e controllo di indirizzo siano autonomi da fornitori extra UE”. Un “percorso di qualificazione” dei fornitori di cloud pubblico per “garantire che le caratteristiche e i livelli di servizio dichiarati siano in linea con i requisiti necessari di sicurezza, affidabilità e rispetto delle normative rilevanti”. Infine la fase più delicata, la migrazione di dati e servizi della Pa italiana “verso la soluzione Cloud più opportuna”. La classificazione e la redazione del piano di migrazione saranno definiti e supportati, a seconda delle rispettive competenze, dall’Agenzia per la Cybersicurezza Nazionale (Acn) e del Dipartimento per laTrasformazione Digitale (Dtd).

La road map tracciata dal documento prevede la pubblicazione del bando per il Psn “al più tardi entro la fine del 2021”, l’aggiudicazione entro la fine del 2022, dunque la migrazione dei servizi della Pa, “da concludersi entro la fine del 2025”. Una tabella di marcia che segna un ritardo rispetto alle attese del Mitd, che aspettava le prime offerte per il Polo verso la fine di giugno. Tutto rinviato di un anno.

SICUREZZA FIRST

C’è però una strategia nazionale che affronta di petto il nodo più intricato della questione cloud, la sicurezza e il controllo dei dati. La premessa è nota: quando si parla di cloud, le aziende europee giocano un ruolo marginale, ricoprendo circa il 10% del mercato rispetto alle aziende extra-Ue. Fra queste primeggiano i fornitori americani, i veri key-player della partita europea (vista anche la diffidenza verso la sicurezza dei provider cinesi).

E qui si arriva al dunque: “Come noto, legislazioni extra UE5 possono portare, previa sussistenza delle previste circostanze, alla richiesta unilaterale al fornitore dei servizi Cloud di fornire l’accesso ai dati presenti sui sistemi”, si legge nella strategia. È il caso del “Cloud Act” approvato nel 2018 dal Congresso Usa, al centro di un tiro alla fune con l’Ue perché permette a deputati e senatori americani di conoscere dati gestiti da aziende locali, anche se operano all’estero. La gestione dei rischi, spiega il documento, “ha risvolti non soltanto tecnologici ma anche impatti geopolitici sulla scena internazionale”.

CHIAVI IN MANO

La strategia individua tre categorie di dati. Strategici, ovvero dati “la cui compromissione può avere un impatto sulla sicurezza nazionale”. Critici, la cui compromissione “potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese”. Infine i dati “ordinari”, cioè quelli che, qualora compromessi, non interrompono servizi essenziali dello Stato.

Due gli strumenti individuati dal governo italiano per proteggere le informazioni sul cloud. Da una parte una doppia crittografia che permetterà all’Italia di tenere le “chiavi” per accedere alle informazioni insieme al fornitore del Cloud. Nello specifico, interverrà su tre tipologie di servizi cloud: il cloud pubblico con controllo on premise dei meccanismi di sicurezza (cosiddetto “Cloud criptato”), il cloud privato e ibrido, che permette la localizzazione dei dati in Italia, e infine il cloud “privato qualificato” soggetto a una crittografia nazionale con controllo delle chiavi in Italia. Il secondo: una “licenza esclusiva” concessa dai colossi extra Ue ai gestori italiani.

IL POLO STRATEGICO NAZIONALE

Intanto la strategia di Draghi e Colao svela qualche dettaglio in più sul Psn. Sarà “distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati” e la gestione operativa sarà affidata a “un fornitore nazionale qualificato”. Questo dovrà garantire “il controllo sui dati in conformità con la normativa in materia, nonché rafforzare la possibilità della PA di negoziare adeguate condizioni contrattuali con i fornitori di servizi Cloud”.

In attesa del bando sono già partite le prime manifestazioni di interesse. È il caso del Consorzio Italia Cloud, di cui fanno parte aziende come Seeweb, Natalia, Babylon Cloud, o del tandem Almaviva e Aruba. In campo anche Leonardo e Tim: un mese fa l’Ad di Piazza Monte Grappa Alessandro Profumo aveva confermato un’interlocuzione “su più fronti sia con l’operatore nazionale delle telecomunicazioni che con Cdp”. Il Psn, si legge nel documento, ” dovrà permettere alla PA di garantire, sin dalla progettazione (by-design), il rispetto dei requisiti in materia di sicurezza, ad esempio PSNC e NIS, e di abilitare la migrazione, almeno inizialmente con un processo lift-and-shift, verso tipologie di servizi Cloud IaaS e PaaS”.