Questa settimana alla Camera dei deputati abbiamo approvato una mozione in materia di infrastrutture digitali efficienti e sicure per la conservazione e l’utilizzo dei dati della Pubblica Amministrazione.

L’obiettivo è quello di assicurare trasparenza sulla strategia del governo e, in particolare, sulla realizzazione del #PoloStrategicoNazionale, con particolare riferimento all’eventualità di un coinvolgimento anche indiretto di soggetti extraeuropei. Le preoccupazioni sono infatti legate alle applicazioni delle norme USA come il “#CloudAct” che insistono sui #provider americani.

Il testo conferma che L’Agenzia per l’Italia digitale e la App IO sono indicate come unico punto di accesso telematico ai servizi, alle informazioni e alle comunicazioni della Pubblica Amministrazione con i cittadini e impegna il governo a prevedere che la Presidenza del Consiglio e il Ministero della #Difesa redigano una relazione da inviare alle Commissioni parlamentari competenti sul “Polo strategico nazionale” al fine di assicurare trasparenza sull’autonomia tecnologica del Polo, affinché sia sottoposto a vigilanza pubblica sotto il controllo dell’Agenzia per la #Cybersecurity Nazionale, per quanto concerne i dati strategici e la #crittografia dei dati della Pubblica Amministrazione.

L’Esecutivo dovrà inoltre adottare ogni opportuna iniziativa per rafforzare il ruolo dell’Italia sul fronte dell’#IntelligenzaArtificiale e dei servizi applicativi basati su #cloud, per quanto riguarda l’offerta formativa delle università italiane, le attività di ricerca e quelle in technology transfer, anche in sinergia con attori privati.

Altri punti della mozione si riferiscono al supporto ai Comuni sotto i 5.000 abitanti per l’adeguamento dei software e il passaggio al cloud. Anche sul fronte scuola e università ci sono importanti indicazioni. Il Governo è impegnato ad adottare ogni opportuna iniziativa per promuovere attività di formazione, ricerca e sviluppo nelle scuole, nelle università e degli istituti tecnici statali e nei centri di ricerca italiani relativamente alle nuove tecnologie e ad assicurare che la migrazione del cloud della piattaforma della Pubblica Amministrazione centrale e locale sia accompagnata da una convergenza dei sistemi informativi.

Atto Camera

Mozione 1-00424

presentato da

CARABETTA Luca

testo presentato

Mercoledì 24 febbraio 2021

modificato

Martedì 11 gennaio 2022, seduta n. 625

La Camera,

premesso che:

l’Agenzia per l’Italia digitale (AgID), definisce il cloud come «un modello di infrastrutture informatiche che consente di disporre, tramite internet, di un insieme di risorse di calcolo (ad esempio reti, server, storage, applicazioni e servizi) che possono essere rapidamente erogate come un servizio. Questo modello consente di semplificare drasticamente la gestione dei sistemi informativi, trasformando le infrastrutture fisiche in servizi virtuali fruibili in base al consumo di risorse»;

il mercato del cloud è in forte crescita, in parte anche in virtù della spinta venuta, nel 2020, dalla situazione di emergenza scaturita dalla pandemia da COVID-19, che ha richiesto ad aziende e collettività di riorganizzare in modalità agile attività e processi. Alla fine del 2020, il 59 per cento delle imprese italiane faceva uso di servizi di cloud computing;

la trasformazione digitale è uno dei driver strategici per lo sviluppo delle moderne economie ed è pertanto essenziale investire nell’evoluzione dei servizi in ottica cloud e di data management;

per concretizzare l’evoluzione digitale delle attività e dei servizi della pubblica amministrazione italiana, è necessario definire un modello operativo di riferimento che assicuri rapidamente l’efficientamento e messa in sicurezza dei data center della pubblica amministrazione, la salvaguardia e valorizzazione del patrimonio di dati della pubblica amministrazione, la razionalizzazione di costi per lo sviluppo e manutenzione dei sistemi Ict delle pubbliche amministrazioni;

secondo il censimento dei data center nazionali curato da AgId; la stragrande maggioranza dei Centri elaborazione dati (Ced) della pubblica amministrazione non forniscono idonee garanzie di sicurezza, efficienza ed affidabilità;

l’Italia ha avviato un processo di trasformazione e innovazione dei servizi della pubblica amministrazione attraverso l’utilizzo di tecnologie digitali, anche alla luce delle recenti modifiche al codice dell’amministrazione digitale (Cad) operate dal decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, che ha previsto disposizioni dirette a promuovere la realizzazione di un cloud nazionale;

in particolare, l’articolo 35 stabilisce che, al fine di tutelare l’autonomia tecnologica del Paese, consolidare e mettere in sicurezza le infrastrutture digitali delle pubbliche amministrazioni garantendo, al contempo, la qualità, la sicurezza la scalabilità, l’efficienza energetica, la sostenibilità economica e la continuità operativa dei sistemi e dei servizi digitali, la Presidenza del Consiglio dei ministri promuove lo sviluppo di un’infrastruttura ad alta affidabilità localizzata sul territorio nazionale per la razionalizzazione e il consolidamento dei Centri per l’elaborazione delle informazioni (Ced) destinata a tutte le pubbliche amministrazioni;

nell’ambito della missione 1 componente 1 «Digitalizzazione, innovazione e sicurezza nella PA» del Piano Nazionale di ripresa e resilienza del 12 gennaio 2021 sono descritti interventi finalizzati a favorire l’adozione e lo sviluppo delle tecnologie cloud nel settore pubblico e, al contempo, a rimuovere gli ostacoli all’utilizzo del cloud da parte della pubblica amministrazione;

in questo ambito, si prevede lo sviluppo di un cloud nazionale e la effettiva interoperabilità delle banche dati delle pubbliche amministrazioni. L’investimento mira a favorire l’adozione dei servizi cloud secondo quanto previsto nella strategia cloud first del piano triennale per l’informatica nella pubblica amministrazione attraverso lo sviluppo di un’infrastruttura ad alta affidabilità localizzata sul territorio nazionale per la razionalizzazione e il consolidamento dei data center di Tipo B della pubblica amministrazione centrale e il rafforzamento in chiave green dei data center di tipo A candidabili a Polo strategico sanitario nazionale in base al censimento AgId. Si prevede inoltre la realizzazione di un cloud enablement program per favorire l’aggregazione e la migrazione delle pubbliche amministrazioni centrali e locali verso soluzioni cloud e fornire alle stesse pubbliche amministrazioni procedure, metodologie e strumenti di supporto utili a questa transizione;

secondo dati del Ministero per l’innovazione tecnologica e la transizione digitale, il 60 per cento del mercato italiano del cloud è fornito da operatori non europei;

attualmente, il mercato mondiale dei principali fornitori di infrastrutture cloud è dominato da cinque gruppi societari, quattro dei quali (Amazon, Microsoft, Google, IBM) hanno la sede principale negli Stati Uniti, il quinto, Alibaba, in Cina;

il potenziamento del cloud computing occupa quindi il ruolo di tematica strategica per l’immediato futuro. L’obiettivo è quello di realizzare un affrancamento dalle soluzioni che oggi poggiano quasi integralmente su infrastrutture messe a disposizione da fornitori internazionali;

in un’epoca di costante dematerializzazione dei beni e dei servizi, i dati rivestono un valore fondamentale per individui ed imprese, un valore che può essere economico o semplicemente intrinseco, sia che siano personali o non personali (ad esempio: quelli aziendali);

occorre considerare la nazionalità del cloud provider, poiché questa può comportare la giurisdizione di Paesi terzi e non europei che possono ritenersi autorizzati ad intervenire sulle proprie aziende, anche con riferimento a dati di cittadini europei da esse custoditi in server localizzati in Europa; pertanto, la collocazione fisica dei server non attenua le cogenze derivanti dalla nazionalità del cloud provider. La fattispecie maggiormente diffusa, quella cioè del cloud provider di nazionalità statunitense, richiede di valutare l’applicabilità della legislazione americana, ed in particolare del cosiddetto «Cloud Act» e del «Foreign Intelligence Surveillance Act». Con altre nazionalità e con Paesi la cui normativa appare molto distante da quella europea, ad esempio la Cina, come altri Paesi dell’Asia, il caso appare ancora più complesso e delicato, per cui la raggiungibilità dei dati affidati in cloud deve essere attentamente valutata;

la preliminare valutazione della normativa e della giurisdizione applicabili costituisce dunque un passaggio necessario ed irrinunciabile, accanto alle considerazioni economiche e tecnologiche. Le incertezze e i rischi risultanti da tale valutazione possono peraltro essere compensati dalla predisposizione di modelli contrattuali e politiche che disciplinino in anticipo ed in dettaglio il comportamento che il cloud provider deve tenere nel caso di provvedimenti di autorità di Paesi terzi, con riferimento all’accessibilità ed alla conservazione dei dati;

la strategia per la riorganizzazione delle infrastrutture digitali del Dipartimento per la trasformazione digitale, in accordo con la strategia europea, rappresenta il fondamento per razionalizzare le risorse, rendere più moderni i servizi pubblici e mettere in sicurezza i dati;

la strategia opera una distinzione fondamentale tra: infrastrutture che gestiscono servizi strategici, ovvero un ridotto numero di asset tecnologici (server, connettività, reti, e altro) che abilitano funzioni essenziali del Paese, come ad esempio la mobilità, l’energia, le telecomunicazioni; tutte le altre infrastrutture gestite dalle pubbliche amministrazioni centrali e locali che gestiscono la stragrande maggioranza dei servizi, erogati al cittadino o interni agli enti che permettono il funzionamento di servizi comuni;

il piano triennale per l’informatica nella pubblica amministrazione, adottato nell’ambito della «strategia per la crescita digitale del Paese», ha previsto una strategia per l’adozione del cloud computing nella pubblica amministrazione che si articola attraverso tre elementi principali:

il principio cloud first secondo il quale le pubbliche amministrazioni devono, in via prioritaria, adottare il paradigma cloud (in particolare i servizi SaaS) prima di qualsiasi altra opzione tecnologica tradizionale, normalmente basata su housing o hosting;

il modello cloud della pubblica amministrazione, cioè il modello strategico che si compone di infrastrutture e servizi qualificati dall’Agenzia per l’Italia digitale (AgID) sulla base di un insieme di requisiti volti a garantire elevati standard di qualità e sicurezza per la pubblica amministrazione. In fruizione di questo modello è stata creata un’apposita piattaforma, il Cloud Marketplace dell’Agenzia per l’Italia digitale (AgID), che consente di visualizzare la scheda di ogni servizio mettendo in evidenza le caratteristiche, il costo e i livelli di servizio dichiarati dal fornitore. Le pubbliche amministrazioni possono così confrontare servizi analoghi e decidere, in base alle loro esigenze, le soluzioni più adatte;

il programma di abilitazione al cloud (cloud enablement program) vale a dire l’insieme di attività, risorse, metodologie da mettere in campo per rendere le pubbliche amministrazioni capaci di migrare e mantenere in efficienza i propri servizi informatici (infrastrutture e applicazioni) all’interno del modello cloud della pubblica amministrazione;

a decorrere dal 1° aprile 2019, le amministrazioni pubbliche possono acquisire esclusivamente servizi IaaS PaaS e SaaS qualificati dall’Agenzia per l’Italia digitale (AgID) e pubblicati nel catalogo dei servizi cloud per la pubblica amministrazione qualificati;

grazie al censimento dei centri di elaborazione dati, trentacinque sono stati individuati come eleggibili a poli strategici nazionali; sarebbe quindi sufficiente federarli e convogliare gli investimenti sull’interoperabilità per ottenere i migliori risultati e salvaguardare gli investimenti che i territori hanno fatto sulle proprie società in house;

è ormai indifferibile la necessità di provvedere alla creazione di una piattaforma nazionale di cloud storaging, nella quale far confluire tutti i dati e le informazioni disponibili e quotidianamente impiegati dalle amministrazioni pubbliche;

come affermato dal Ministro per l’innovazione tecnologica e la transizione digitale nel corso di un’audizione davanti alla Commissione trasporti della Camera, l’obiettivo del Governo è di assicurare che le amministrazioni vengano aiutate a migrare in cloud diversi a seconda del diverso livello di sensibilità dei dati dei quali dispongono e questo implicherà classificare innanzitutto le tipologie di dati in strategici, critici e ordinari, per garantire scelte che tutelino in maniera appropriata cittadini e amministrazioni, come già fatto da molti altri Paesi. In tal senso, per i dati più sensibili si intende creare un Polo strategico nazionale, localizzato sul suolo italiano e con garanzie di vigilanza e giurisdizionali elevate. Il Polo strategico permetterà di razionalizzare e consolidare molti di quei centri che ad oggi non riescono a garantire standard di sicurezza adeguati, mentre per le tipologie di dati e applicazioni meno sensibili si prevede la possibilità per le amministrazioni di usufruire di efficienti cloud messi a disposizione da operatori di mercato, pubblici o privati;

in data 7 settembre 2021 il Ministero per l’innovazione tecnologica e la transizione digitale ha pubblicato la policy Cloud Italia esprimendo requisiti per la realizzazione del Polo strategico nazionale;

tra il settembre 2021 e il dicembre 2021 sono stati presentati tre progetti in risposta all’annuncio del Ministero per l’innovazione tecnologica e la transizione digitale;

in data 27 dicembre 2021 il Dipartimento per la trasformazione digitale ha annunciato l’avvio della gara per la realizzazione del Polo strategico nazionale a seguito della selezione del progetto di riferimento, elaborato dal raggruppamento Tim, CDP, Leonardo e Sogei. Secondo quanto riportato dal Ministero per l’innovazione tecnologica e la transizione digitale, la progettualità in questione risulta soddisfare in particolare i requisiti di completezza dei servizi cloud e di sicurezza dei dati, «strategici» e «critici» della pubblica amministrazione integrandosi con servizi di assistenza alla migrazione delle pubbliche amministrazioni e di formazione del personale della pubblica amministrazione;

il progetto sarà messo a gara entro le prime settimane del 2022 attraverso un apposito bando curato dalla società Difesa Servizi, in house del Ministero della difesa,

impegna il Governo:

1) ad adottare iniziative per prevedere che la Presidenza del Consiglio dei ministri e il Ministero della difesa provvedano a far pervenire alle competenti Commissioni parlamentari una relazione dettagliata sull’espletamento delle procedure relative al Polo strategico nazionale, al fine di assicurare trasparenza in ordine all’autonomia tecnologica del Polo strategico nazionale stesso e con particolare riferimento all’eventuale coinvolgimento anche indiretto di operatori extraeuropei;

2) ad adottare iniziative per assicurare che il Polo strategico nazionale sia sottoposto a vigilanza pubblica, in particolare sotto il controllo della Agenzia per la cybersicurezza nazionale per quanto concerne le modalità di trattamento e localizzazione dei dati strategici e la gestione di chiavi e strumenti di crittografia per dati della Pubblica amministrazione, nell’ambito delle competenze già previste dall’ordinamento vigente, e che comunque i concessionari dello stesso siano per tutta la durata della concessione conformi ai requisiti definiti dall’esercizio del cosiddetto golden power governativo;

3) a prevedere un’opportuna campagna di informazione pubblica sulle scelte effettuate e gli obiettivi perseguiti rispetto alla strategia per il Cloud nella pubblica amministrazione e al Polo strategico nazionale;

4) ad adottare iniziative per supportare, in particolare, i comuni sotto i 5000 abitanti nel passaggio al cloud, favorendo azioni di formazione del personale della Pubblica amministrazione, valutando l’opportunità di erogare contributi per l’adeguamento dei software e restituendo entro 6 mesi un monitoraggio della situazione negli enti locali;

5) ad adottare ogni opportuna iniziativa per rafforzare il ruolo dell’Italia sul fronte dell’intelligenza artificiale e dei servizi applicativi basati su cloud per quanto riguarda l’offerta formativa delle università italiane, le attività di ricerca e quelle di «technology transfer», anche in sinergia con attori privati;

6) ad adottare ogni opportuna iniziativa per promuovere attività di formazione, ricerca e sviluppo nelle scuole, nelle università, negli Its e nei centri di ricerca italiani relativamente alle nuove tecnologie – integrando o modificando se necessario anche i curricula scolastici e universitari – e sostenerne le applicazioni rispetto alla produzione industriale, alla pubblica amministrazione e ai servizi civili in imprese consolidate e start up innovative, al fine di creare nuovi posti di lavoro e accrescere il patrimonio di proprietà intellettuale nazionale;

7) ad assicurare che la migrazione nel cloud delle piattaforme della pubblica amministrazione centrale e locale sia accompagnata da una convergenza dei sistemi informativi, tenuto conto anche del principio del «mobile first» espresso nel Piano triennale per l’informatica dell’Agenzia per l’Italia Digitale e di app IO, che nelle recentissime norme (decreto-legge n. 76 del 2020 «Semplificazione e innovazione digitale», convertito dalla legge 11 settembre 2020, n. 120) è indicata come unico punto di accesso telematico ai servizi, alle informazioni e alle comunicazioni della pubblica amministrazione con i cittadini.

(1-00424) (Ulteriore nuova formulazione) «Carabetta, Capitanio, Bruno Bossio, Palmieri, Nobili, Stumpo, Angiola, Ripani, Colucci, Fusacchia, Morassut».