Business
Cloud sovrano: l’Italia punta alla sovranità digitale
Ecco perché la sua realizzazione è considerata una misura di salvezza nazionale. Ma al momento dipendiamo ancora dalle big tech statunitensi
Chiamiamolo “cloud sovrano”. No, non è un escamotage di marketing politico per il nuovo corso inaugurato dal governo Meloni che rivendica il concetto di nazione come costitutivo dell’azione programmatica dell’esecutivo. È un concetto che preesiste a questo governo, anzi è un obiettivo di politica industriale immaginato dal governo Conte e poi messo a terra dal governo Draghi. Si tratta della missione più importante del decennio per i suoi risvolti di privacy, di analisi di dati, di valutazione delle politiche pubbliche, di impatto di una tecnologia su una filiera costituita da migliaia di aziende, che mette sul piedistallo la nostra sovranità digitale. Siamo liberi, soprattutto da incursioni esterne, se siamo in grado di conservare i nostri dati in un unico cervellone centralizzato. Anagrafici, fiscali, previdenziali, immobiliari, elettronici.
Che cosa succederebbe se li perdessimo tutti a un tratto? Non potremo più interrogare alcun archivio. L’Inps fuori uso, la Banca d’Italia pure, l’Agenzia delle Entrate anche. E poi le piattaforme sanitarie delle regioni. Visite cancellate, certificati mai arrivati, prenotazioni mai registrate. Informazioni in ostaggio di intelligence estere, Paesi dittatoriali, organizzazioni terroristiche che investono sui grandi proventi del cybercrime. È impossibile non ricordare il pesante attacco informatico alla Regione Lazio, che ha mandato in crash anche la piattaforma regionale di prenotazione dei vaccini anti-covid. Ecco perché l’accentramento dei dati in cloud è una misura di salvezza nazionale. Sullo sfondo i soldi del Pnrr dedicati alla digitalizzazione della PA. Ma servono nuove competenze e nuovi profili.
Cloud sovrano: a che punto è l’Italia
Pochi sanno che la gran parte delle informazioni è già custodita sulla Laurentina, quadrante Sud di Roma. Nel mega data center di Sogei, la società informatica controllata dal ministero dell’Economia. È il cervellone d’Italia. Ha un’importanza strategica per il Paese, tutelata come sito di rilevanza nazionale e protetto, per quanto possibile, dagli attacchi informatici. Da qui passano tutti i dati dei contribuenti. Dalla fatturazione elettronica alle dichiarazioni precompilate dei redditi. Per questo quando parliamo di cloud sovrano ci riferiamo a servizi e soluzioni che consentono di assumere il controllo della posizione dei propri dati accorpando le modalità di accesso in un ambiente condiviso.
Istat, Inps, PagoPa, Corte dei Conti stanno tutte migrando verso questo “cloud pubblico”, obiettivo del Polo Strategico Nazionale costituito dalla cordata composta da Tim, Cassa Depositi e Prestiti in qualità di suo braccio finanziario, la stessa Sogei e Leonardo. Si propone di far confluire gli archivi digitali di una miriade di amministrazioni, come gli 8 mila Comuni dislocati nel Paese, oggi sparsi in decine di migliaia di server, in un’unica piattaforma dislocata su quattro centri dati ubicati in due regioni distinte.
Ciò dovrebbe portare a dati omogenei, comparabili, a una maggiore efficienza energetica e potenzialmente a una superiore capacità nell’uso delle informazioni con l’intelligenza artificiale generativa, ultimo avamposto della modernità, che potrebbe permettere di ridurre al minimo l’evasione fiscale, che ora viaggia attorno ai 100 miliardi all’anno.
La dipendenza dalle big tech Usa
Tuttavia, la strada per l’autonomia digitale, per la nostra indipendenza, è lastricata di buone intenzioni e non sempre quello che si enuclea a parole riesce poi nei fatti. Soprattutto se la tecnologia cloud è appannaggio dei grandi colossi tech Usa come Amazon, Microsoft, Google, che dominano la scena sui mercati internazionali grazie a investimenti da capogiro.
D’altronde dipendere da server statunitensi significa che i dati di tutti i cittadini italiani vengono archiviati su server che, anche se fisicamente si trovano in Europa e in Italia, sono comunque di società Usa e quindi sottostanno alle norme americane di accesso ai dati.
Nello specifico il Cloud Act, un provvedimento che ha profondi connotati geopolitici con la stella polare di preservare la sovranità degli Stati Uniti nel confronto ormai multipolare con Cina e Russia. Una legge che, però, è stata messa sotto la lente dal Comitato europeo per la protezione dei dati già a luglio 2020. E che ha evidenziato potenziali punti di conflitto tra le due legislazioni inasprendo un dibattito che a Bruxelles impera già da qualche anno.
Gli esperti di privacy Ue rilevano che con il Cloud Act sussiste il diritto legale per le forze dell’ordine statunitensi di accedere a dati di clienti stranieri con conseguente «portata extraterritoriale di poteri». Per questo finora alle aziende e alle pubbliche amministrazioni in Europa è stato reso necessario dover crittografare i dati con chiavi «compatibili» con i sistemi americani.
Il progetto europeo Gaia-X e il francese Andromède
Ma facciamo un passo indietro per capire quello che è avvenuto in Europa in questi anni sul tema strategico del cloud nella totale indifferenza dei media. Nome in codice: Gaia-X. Una rete di sistemi cloud per consentire di diminuire, quanto più possibile, la dipendenza dai colossi americani.
Il ragionamento parte nel 2019 per costituire un server sovrano dell’Unione europea, che rientra tra i propositi della Commissione guidata da Ursula von der Leyen. Non sfugge che cosa sia successo nel 2018 a Berlino. Un massiccio attacco informatico che coinvolse quasi tutti i partiti tedeschi, compreso quello dell’allora cancelliere Angela Merkel con alcuni dati sensibili finiti chissà dove.
I francesi ci ragionano dal 2011. Quando annunciarono il progetto Andromède con lo scopo di costruire e gestire l’infrastruttura di una “centrale digitale”, con vocazione europea, attraverso un partenariato pubblico-privato per dar vita a una società con i maggiori operatori Itc francesi, in cui lo Stato era il maggior azionista. Un progetto che venne quasi subito abbandonato, perché non si arrivò al necessario accordo tra soggetti pubblici e privati.
Il Supervisore europeo per la protezione dei dati (Edps) redasse una requisitoria feroce non appena si insediò l’ultima Commissione Ue. E non stupisce lo abbia fatto nei confronti di Microsoft. Ha scritto il Supervisore, suscitando un vespaio di polemiche, che i dati personali, legali, finanziari, politici e commerciali dei 46 mila funzionari delle istituzioni europee, dalla Commissione alla Banca centrale europea, sono nelle mani del colosso di Redmond. Lo sono sulla base di accordi che lasciano al gruppo fondato da Bill Gates ampia discrezionalità di trattarli e esportarli dove crede e di utilizzarli in violazione delle stesse norme europee sulla privacy.
Tutt’altra storia sarebbe avere un sistema con standard “made in Ue”. Avere server comunitari consentirebbe di non dover più temere improvvise interruzioni di servizio, di gestione di infrastrutture critiche, di perdita di dati per una “interruzione” dei cavi sottomarini o per la “spinta di un pulsante” che dall’altra parte dell’oceano rischia di mandare tutto in blackout. Anche noi. Per questo l’Europa si prepara a blindare la sicurezza dei servizi cloud forniti dalle big tech imponendo un requisito fondamentale per ottenere il bollino di provider “sicuro” certificato dall’Ue: entrare in una joint venture con un’azienda europea in cui il provider extra-Ue avrà la quota di minoranza, recita un documento dell’Enisa, l’agenzia europea per la cybersecurity, fatto circolare agli organi di stampa.
Perché il cloud nazionale è ancora lontano
Questo il contesto in cui si origina il ragionamento di costruire un cloud sovrano anche da noi. Qualche interrogativo sulla sicurezza informatica, però, per la verità resiste: per il rischio che qualcuno possa intrufolarsi in questo mega-cervellone di Stato in cui saranno accentrate (e depositate) le informazioni sensibili di 60 milioni di italiani.
I sostenitori rilevano, che ci sarà un doppio livello di accesso e a vigilare c’è l’Agenzia nazionale per la Cybersecurity alle dirette dipendenze del presidente del Consiglio dei ministri. Ma a giudicare dal modo in cui lo stanno accogliendo, finora in maniera tiepida, i Comuni c’è ancora tanta strada da fare. Finora il 4% delle amministrazioni locali usano il Cloud centralizzato e «il 95% dei server della Pubblica amministrazione sono deboli», confessò sconsolato appena due anni fa l’allora ministro per l’Innovazione tecnologica Vittorio Colao.
Le aziende però stanno accogliendo bene questa rivoluzione. Almeno a giudicare da un’indagine di Accenture secondo la quale «circa un terzo degli imprenditori intervistati prevede di spostare su sovereign cloud fra il 25% e il 75% dei propri dati, workload e risorse».
«I governi dei principali Paesi europei stanno finalizzando la loro strategia sul cloud nazionale, con diversi stati di maturità. La Francia incentiva la domanda e aiuta i campioni nazionali a emergere, mentre la Germania punta alla crescita di un operatore nazionale. L’Italia sta incentivando sia la domanda sia l’offerta, finanziando lo sviluppo di un nuovo provider», ha appena detto a un dibattito pubblico il manager Robert Scapin, direttore di Oracle Cloud per Sud Europa.
Mentre le amministrazioni centrali al momento vanno in ordine sparso. L’Inps sulla base di una strategia cloud definita nel 2021 punta su multicloud e cloud ibrid. «Non puntiamo tanto a benefici economici quanto a mettere in competizione i fornitori e mantenere servizi indipendenti», dice Pierpaolo Bonanni, dirigente Area innovazione tecnologica, che dichiara l’obiettivo ambizioso di portare il 75% del parco applicativo su cloud, pubblico o privato.
PagoPa, le cui attività prevedono una molteplicità di servizi oltre a quello dei pagamenti da cui prende il nome, opera invece in un contesto misto. L’azienda, priva di infrastrutture proprie alla nascita, ha decisamente puntato sul cloud pubblico, per appoggiarsi in una fase intermedia sulle infrastrutture del partner industriale Nexi e migrare poi su cloud pubblico. Multicloud è invece l’esperienza della Corte dei Conti. La scelta convinta nasce da una questione di costi, non tanto in termini di risparmio, ma di controllo.
Questo articolo è tratto dal numero di Business People di settembre 2023, scarica il numero o abbonati qui