Si parla di cloud nazionale ma spesso dietro questo termine si celano problematiche ben più complesse rispetto a quelle tecniche ed infrastrutturali. Un recente intervento a RadioSkyLab mi ha dato lo spunto per scrivere un articolo e cercare di fare chiarezza.
Che cosa è il cloud nazionale
L’idea alla base del cloud nazionale è quella di rendere interoperabili le P.A., facendo in modo che i dati afferenti cittadini e servizi siano a disposizione immediata di chi possiede le autorizzazioni per usarle. Il cloud nazionale è quindi un luogo virtuale in cui i dati vengono salvati e sono sempre disponibili ma soprattutto è un luogo in cui i dati possono essere utilizzati ed elaborati grazie ad una potente infrastruttura informatica. In sostanza, e semplificando molto, il cloud nazionale offre quindi una serie di interessanti garanzie:
- I dati sono mantenuti all’interno di un’infrastruttura informatica distribuita sul territorio nazionale, ciò tutela contro la perdita di dati.
- I dati sono accessibili immediatamente da chi ne ha le autorizzazioni, consentendo integrazioni tra servizi di pubbliche amministrazioni differenti.
Il PNRR (Piano Nazionale di Ripresa e Resilienza) ha stanziato oltre 500 milioni di euro per realizzare il cloud nazionale di cui, a dire il vero, si discute dal 2013 quando AgID fece uscire un documento intitolato “CARATTERIZZAZIONE DEI SISTEMI CLOUD PER LA PUBBLICA AMMINISTRAZIONE v.1.0” (link). Quindi il cloud nazionale è il futuro al quale tendere la mano perchè consentirà di abbattere significativamente tutte quelle barriere che non consentono alle P.A. di cooperare nella gestione dei dati, con un teorico e conseguente abbattimento di parte della burocrazia, dei tempi e dei costi di gestione dell’informazione. Nella prefazione del suddetto documento (seppur in bozza) AgID illustrava le finalità che voleva intraprendere:
Il presente documento ha lo scopo di orientare le soluzioni di sistemi di Cloud Computing in ambito SPC ed è pertanto diretto ai datacenter delle Pa che vorranno seguire una logica di razionalizzazione e integrazione, al mercato interessato alle prossime gare SPC …
Da quel 2013 lo scenario internazionale è cambiato molto, da un punto di vista normativo, ad esempio, abbiamo avuto il GDPR (promulgato il 25 maggio 2018) per la tutela dei dati personali, ci sono stati cambiamenti nella gestione dei dati personali tra Europa e paesi extra UE (ad esempio è venuto meno il GDPR Shield che regolamentava la gestione dati tra Europa e USA) e nel 2018 è stato siglato dall’ex presidente Trump il Cloud Act di cui parleremo più avanti.
Principali elementi di attenzione del cloud nazionale
L’avvento del cloud nazionale preoccupa non poco alcuni esperti del settore che, a mio avviso correttamente, sono molto sensibili al corretto trattamento dei dati. La preoccupazione principale riguarda il fatto che il cloud, un domani non troppo remoto, conterrà tutti i dati della P.A. e dei cittadini e sarà quindi una fonte informativa unica nel suo genere che, con tutta probabilità, farà uso anche di tecniche di intelligenza artificiale per raggiungere livelli di computazione adatti ad erogare nuovi servizi avanzati e più moderni.
Il rapporto con le BigTech
Una prima forma di preoccupazione deriva dal fatto che l’Italia non ha aziende che, tecnologicamente parlando, possano concorrere con le cosiddette BigTech (Amazon, Google, Microsoft, Oracle, etc…). Ciò è un problema perchè impedisce di sviluppare una corretta politica nazionale, costringendo il nostro Paese a “guardare fuori dai confini” per poter realizzare questa tecnologia. Il grado di dipendenza nei confronti di queste aziende potrebbe essere un potenziale problema: è fondamentale rivendicare la sovranità territoriale ed evitare che aziende straniere possano portare fuori dall’Italia e dall’Europa questi dati. Proprio per questo motivo negli ultimi mesi si parla molto del Cloud Act.
Il Cloud Act
Il Cloud Act (Clarifying Lawful Overseas Use of Data Act) è una legge del Congresso degli Stati Uniti d’America approvata il 23 marzo 2018 che stabilisce alcuni obblighi per le aziende sottoposte alla giurisdizione degli Stati Uniti. Attenzione però perchè quando si legge “aziende sottoposte alla giurisdizione degli Stati Uniti” si intendono sia aziende americane operanti all’estero che, ad esempio, aziende europee con un regime fiscale assoggettato alle leggi americane.
Il Cloud Act prevede che in caso di reati penali gravi (ad esempio terrorismo ma anche reati di natura finanziaria), un giudice possa autorizzare il fornitore di servizi cloud a rendere disponibili i dati oggetto d’inchiesta alle autorità americane, pur riconoscendo il diritto dei provider di contestare le richieste che entrano in conflitto con le leggi o con gli interessi nazionali di altri Paesi. Il problema è che il Cloud Act è incompatibile con il percorso giuridico che l’Europa sta intraprendendo per la tutale a dei dati personali, aprendo una spaccatura molto seria tra gli specialisti del settore. C’è chi, come Jennifer Daskal – professore associato di diritto presso la American University, specializzato in terrorismo, sicurezza nazionale e diritto penale – è chiaramente favorevole al Cloud Act e chi invece ne contesta l’attuazione.
La Francia, ad esempio, ha palesemente disconosciuto il Cloud Act sostenendo che i provider su cui farà riferimento saranno esclusivamente europei. La scelta francese è stata da molti definita radicale ma anche “saggia” sia per l’orientamento garantista di tutela dei dati, sia perchè favorisce lo sviluppo nazionale.
Sviluppo nazionale e partenariati
La necessità di valutare soluzioni distanti dalle BigTech costringe a domandarsi se il proprio paese abbia le capacità per sostenere una sfida del genere. La Francia intende puntare su aziende locali come la celebre OVH, provider internet e di servizi cloud di rinomata fama. L’Italia si trova nella condizione di non avere aziende sufficientemente forti per concorrere con le BigTech e questo dovrebbe spingere il Governo italiano a stanziare fondi e attuare manovre politiche per lo sviluppo e il raggiungimento di tale obiettivo.
Qualcuno avrà però notato che le aziende italiane pronte a scendere sul campo del cloud nazionale sono diverse e, nella fattispecie le principali sono, TIM, Fincantieri, Leonardo, Fastweb. Sembrerebbe quindi che l’Italia abbia un piano per la gestione del cloud nazionale ma le preoccupazioni sono oggettivamente dietro l’angolo perchè:
- TIM ha un partenariato con Google;
- Fincantieri ha un partenariato con Amazon;
- Leonardo ha un partenariato con Microsoft;
Ecco che, nuovamente, le BigTech sono presenti sul mercato del cloud e bisogna quindi rispondere ad una domanda essenziale queste aziende rappresentano un rischio per i dati della P.A. italiana? La risposta è no, se la gestione dei dati viene condotta in modo corretto ed oculato. Il parteneriato con queste società non prevede che esse ricevano i dati della Pubblica Amministrazione, ma che mettano a disposizione tecnologie utili in modo limitato e controllato per poter erogare il servizio. Si tratta, quindi, di dover effettuare una vigilanza che, tuttavia, lascia perplessi molti esperti del settore e che, in ogni caso, rischia di andare a danneggiare e limitare il possibile sviluppo di un tessuto tecnologico nazionale.
Nota di colore, TIM ha istituito una società chiamata NOOVLE per la gestione del cloud e spiega l’integrazione con i servizi Google in una pagina dedicata del proprio sito. Sarebbe quindi lecito domandarsi dove inizia la responsabilità di Noovle e dove quella di Google nella gestione dei dati e quale sia il reale rischio che i dati delle P.A. siano assoggettabili, ad esempio, ad azioni derivanti dal Cloud Act.
Da dove nascono le preoccupazioni
L’Italia non è, purtroppo, abituata a condurre questi progetti in modo ordinato e trasparente. Anche nel caso del cloud nazionale, in relazione alla gestione dei dati della P.A., c’è stata molta opacità (che fine hanno fatto i Poli Strategici Nazionali, prima presentati e poi spariti nel nuovo Piano Triennale della P.A.?) e la paura è quella di aziende italiane che, appena ottenuto il contratto di gestione dei dati, lo girino alla BigTech di turno. Vorrei citare una frase di Raffaele Barberio nella puntata di Lo ho-BIT del 28 giugno 2021.
Dobbiamo rifiutare l’idea delle società prestanome […] reclamare delle scelte di politica industriale che facciano forti le imprese italiane private e che rafforzino e orientino meglio le imprese in-house pubbliche che sono nelle regioni italiane.
Direi che sono affermazioni particolarmente condivisibili e che, già da tempo, sono spesso venute meno. Entrando in molte P.A. ci si rende conto che la cosiddetta sovranità territoriale è carente a favore di tecnologie configurate per trasportare tali dati in paesi con giurisprudenze e regolamentazioni differenti ma perchè? La motivazione è che molte aziende straniere sollevano le P.A. dall’incombenza di doversi organizzare tecnicamente e internamente, garantendo loro soluzioni complete, di facile applicazione che tuttavia celano aspetti di gestione del dato preoccupanti.
Conclusioni
Il cloud nazionale (finalmente) è alle porte: la gestione dei dati pubblici è una priorità sulla quale non si dovrebbe soprassedere o sottovalutare. È quindi fondamentale riuscire a comprendere il modo più corretto per gestire il rapporto tra pubblico e soggetti privati. Da un lato non c’è nulla di male a creare partenariati con aziende leader del settore, a patto che queste rispettino i criteri di sovranità nazionale nella gestione dei dati. D’altro canto non si può fare a meno di pensare che il cloud nazionale sia un’opportunità più unica che rara per dare un forte impulso all’imprenditoria italiana, favorendo quelle imprese nostrane che possono contraddistinguersi per qualità e professionalità. Quando la Francia prese le distanze dal Cloud Act in molti commentarono con un cloud “fait en France“, sarebbe ora che anche il nostro Paese si dotasse di un cloud “fatto in Italia” o, se più vi piace, “made in Italy”.
Ringraziamenti
Marco C.C. per avermi segnalato un refuso e avermi permesso di migliorare la qualità dell’articolo! 🙏
