La Pubblica amministrazione tutta, centrale e periferica, avrà il compito di capire entro la fine del 2022 quali dei dati dei cittadini in suo possesso siano più o meno sensibili e richiedere così diversi livelli di protezione, o meglio, di gestione più o meno “statale”. La palla, insomma, sarà lasciata in buona parte a comuni, regioni, ministeri anche guidati dalla neonata Agenzia per la sicurezza cybernetica e attraverso dei “questionari semplificati”.
Ieri, alla presentazione della strategia sul cloud nazionale erano schierati tutti i referenti di governo: a loro, nel 2025, si potrà chiedere se almeno il 75% dei dati della Pa saranno migrati in una nuvola, e lontano quindi dai vecchi data center fisici, come previsto dal Pnrr. La road map è serrata, anche se di fatto prevede che la migrazione vera e propria avverrà solo a partire dal 2023. Il costo totale di tutta l’operazione tecnologica sarà di 6,7 miliardi, previsti nel Pnrr. La sola partita del Polo strategico nazionale e aiuto alla migrazione al cloud (via voucher) ne vale 1,9.
I dati dei cittadini e i relativi servizi, identificati nel corso del prossimo anno come “strategici”, “critici” od “ordinari” andranno a finire in quattro tipologie diverse di cloud, più o meno sotto il controllo statale: da quello di mercato che avrà controlli ordinari a quelli con diversi livelli di criptazione, con gestione delle chiavi in Italia. Poi ci sarà il nucleo, la parte solo statale che custodirà le informazioni più sensibili e critiche. Provando a tradurre per i comuni mortali, viene confermata la necessità di “appaltare” parte dell’expertise tecnologica agli over the top, come Google, Amazon e Microsoft, riservandosi però di fatto diritti e sovranità che saranno stabilite mediante licenze e contratti. Mancano, certo, ancora le proposte sul tavolo del ministero visto che al posto di una tipica gara d’appalto è stata scelta la formula della Ppp europea, private public partnership, che funzionerà all’ingrosso così: il privato, o la cordata o il consorzio di imprese, potrà dire “questa è la mia proposta, la mia offerta”. Quella selezionata sarà il punto di partenza per le altre proposte eventualmente migliorative. La scadenza è sempre fine settembre per le offerte, fine dell’anno per la gare. Una scelta che di fatto viene spiegata con la necessità di conoscere quale sia la migliore tecnologia che le imprese (e la parte di Stato con esse consorziate) possano offrire.
Restano ovviamente delle criticità: la crittografia da sviluppare in futuro con un algoritmo totalmente nazionale è un percorso lungo e lento per evitare di esporsi ad attacchi esterni; il rischio di lock-in, ovvero del vincolarsi tecnologicamente ad una sola (o poche) azienda appare inevitabile per il gap tecnologico accumulato negli anni “e che si proverà ad arginare ricorrendo a più tecnologie e seguendo un percorso di standardizzazione” ha spiegato il responsabile delle tecnologie del ministero, Paolo De Rosa. Infine, il controllo pubblico. A oggi appare evidente che le cordate, quasi tutte, avranno una partecipazione statale tramite le sue controllate. Bisognerà però capire con che percentuali. “C’è una certa preferenza per mantenere il controllo dello Stato in una forma flessibile – ha detto Colao –, certo non al 100%, ma in una forma che possa garantire la capacità di dirigere questa entità nei primi anni”. Senza spaventare i privati con cui il ministro auspica una “forte, trasparente ed efficiente interazione”.