La "nuvola digitale" e la sua importanza per la PA dell'era della cyber security analizzato dal Prof. Paolo Spagnoletti sul Magazine Luiss Open.
“Il nostro obiettivo è di avere, entro il 2026, il 75% della Pubblica Amministrazione che utilizzi cloud pubblici, ma di avere anche dati in sicurezza”. Lo ha detto di recente Vittorio Colao, ministro dell’Innovazione tecnologica e della Transizione digitale, intervenendo al 18° Foro di dialogo Spagna-Italia. Da una parte, ha spiegato Colao, l’esecutivo intende razionalizzare numero e qualità dei data center pubblici (sono 1.252 quelli censiti, di cui 35 candidati a far parte di un polo strategico nazionale), dall’altra ritiene prioritario lavorare alla sicurezza dei dati pubblici. Anche per questa ragione è stata appena istituita l’Agenzia nazionale per la cybersicurezza. Il duplice obiettivo si inserisce in una comune strategia a livello europeo. Bruxelles infatti sta investendo con decisione sul completamento del digital single market.
Allo stesso tempo l’Ue è consapevole che nel momento in cui l’erogazione di servizi e la vendita di prodotti passano sempre più spesso attraverso le infrastrutture digitali, diventa urgente riappropriarsi della “ownership” del dato, cioè della sovranità sullo stesso. Attualmente, infatti, il mercato europeo “gira” su piattaforme e infrastrutture di proprietà di grandi player internazionali, soprattutto quando si prende in considerazione il “cloud” o “nuvola”, vale a dire il trend tecnologico che è oggi alla base di tutti gli altri. Il cloud è la piattaforma abilitante per eccellenza. Senza cloud, per intenderci, sarebbe impensabile perfino un’attività quotidiana e diffusa come l’utilizzo delle piattaforme social sui nostri smartphone. Lo stesso si può dire per le applicazioni industriali dell’Internet of Things e in generale per le attività di data analytics, la capacità di processare i dati in tempo reale e con modalità distribuite a livello globale.
Finora i servizi di cloud sono offerti soprattutto da piattaforme private, grandi player come Amazon, Microsoft, Google, etc. che offrono ai clienti questa nuova capacità di gestire dati in maniera affidabile, diffusa, sicura, ma stando alle proprie regole e a quelle dei rispettivi Paesi di origine. Il mercato europeo è stato inesorabilmente attirato sulla “nuvola”. Perfino le banche, che fino a dieci anni fa opponevano una strenua resistenza all’idea di condividere servizi sensibili e strategici con soggetti esterni, fanno ormai ricorso al cloud per consentire il lavoro remoto e potenziare le proprie app con tutta una serie di servizi ai clienti, al punto di costituire oggi uno dei settori di punta nell’utilizzo di questa nuova tecnologia. Tale processo ha richiesto l’approvazione di regole da parte delle autorità di vigilanza, sulla base delle quali poggiano le basi dei neonati servizi aggiuntivi. Durante la pandemia il contatto banche-clienti, sempre grazie al cloud, ha assunto sempre più carattere “social”, come dimostrano per esempio le piattaforme chatbot.
A livello europeo si diffonde la consapevolezza che anche altri settori si stanno muovendo in questa direzione. Pensiamo per esempio all’automotive, con le Case che offrono ai clienti vetture collegate al cloud, sottoscrivendo esse stesse – “a monte” – le clausole dei provider della “nuvola”, col cliente finale spesso poco consapevole di queste intese che regolano la gestione dei propri dati. Il tutto, come detto prima, in una situazione in cui i principali attori IT non sono europei, possono raccogliere e valorizzare i dati di cittadini europei, magari vendendoli ad assicurazioni o altri attori. È caratteristico dell’economia digitale, infatti, che i confini tra settori ed ecosistemi diventino più labili. Al tempo stesso non si può immaginare che ogni settore, a differenza di quanto accaduto con le banche, abbia le proprie authority indipendenti deputate al controllo del mercato e degli operatori. Come affrontare questa sfida radicalmente nuova?
In Europa si sta progressivamente affermando un progetto che potrebbe tornare d’interesse anche al nostro legislatore, impegnato nel trasferire in modo efficiente e sicuro la P.A. sul cloud. Parliamo di “Gaia-X” (www.gaia-x.eu), una federazione di infrastrutture di dati e fornitori di servizi nata ufficialmente nel 2020, sostenuta da una rappresentanza di imprese, scienza e amministrazione di Germania e Francia, a cui si è unita anche l’Italia fra altri Stati europei, che ha l’obiettivo di consentire ai cloud service provider di operare al meglio delle loro possibilità, in qualunque parte del mondo si trovino, senza far venire meno le garanzie di sicurezza per gli utenti. Gaia-X stabilisce che i fornitori di servizi cloud, per poter arrivare a gestire i dati degli europei, devono rispettare una serie di regole che rappresentano interessi e principi cari agli attori europei, come la trasparenza, l’apertura, la protezione dei dati e la sicurezza. Non ci sono più “buchi” di regolazione per un settore specifico o per l’altro, l’obiettivo è che i service provider accettino regole comuni a tutti i “data spaces” (finanza, sanità, assicurazioni, ecc.). Le regole riflettono interessi dei settori produttivi e dei consumatori europei. A stilare le regole, dopo aver accolto opinioni e contributi di vario tipo, è un board dell’associazione, in cui tra l’altro siedono due italiani. Poi ci sono gli hub nazionali, alcuni in via di costituzione come quello italiano, che recepiscono standard e regole definiti dall’associazione europea, oltre a gestire l’elenco dei servizi “Gaia-X-compliant” offerti da aziende private e P.A. italiane e a contribuire allo sviluppo di nuovi scenari d’uso.
Le regole riguardano essenzialmente le modalità con cui vanno gestiti e trattati i dati, dunque anche la garanzia della sicurezza di questi dati, l’audit che è possibile fare sugli stessi, eccetera. Gaia-X offre anche maggiori garanzie sul tema della portabilità dei propri dati, per venire incontro a uno dei principali timori delle aziende che si affidano alla tecnologia cloud, il pericolo di “lock-in”, cioè quello di rimanere bloccati con un certo fornitore che potrebbe di fatto non consentire lo spostamento dei dati del cliente; fissare standard in materia è particolarmente richiesto dalle aziende.
Che interesse possono avere i fornitori dei servizi cloud, perlopiù extra europei, a rispettare gli impegni proposti da Gaia-X? Essenzialmente tutto dipende dal fatto che il mercato europeo fa gola per la sua ricchezza e che i fornitori di servizi cloud, non operando in regime di monopolio, possono trovare conveniente modificare i loro standard e le loro architetture non per accontentare un singolo cliente, ma per avere accesso a interi data-spaces e dunque settori di possibile espansione.
Quali possibili relazioni tra Gaia-X e i progetti del Governo italiano sulla digitalizzazione (in sicurezza) della P.A.? Si pensi alla gara che sarà bandita nelle prossime settimane per costruire il cosiddetto Polo Strategico Nazionale, un sistema di data-center dove ospitare dati e applicazioni di 180 amministrazioni considerate strategiche. Oppure all’ampliamento del cloud ad altri settori della P.A. pur meno strategici. Se la P.A. e i fornitori rispetteranno regole e standard di Gaia-X, i dati generati dagli italiani – opportunamente anonimizzati – potranno essere per esempio valorizzati dall’industria digitale nazionale, da chiunque insomma – start-up o azienda affermata che sia – riesca a fare business sfruttando questi dati in sicurezza, con conseguenti vantaggi per i cittadini-fruitori dei servizi finali. Si tratta di partnership pubblico-privato di nuova generazione. Non a caso nel progetto Gaia-X, lanciato originariamente su iniziativa soprattutto dell’esecutivo franco-tedesco, si vada rafforzando il ruolo di associazioni datoriali (come la Confindustria italiana) e dei governi di altri Paesi del continente.
Paolo Spagnoletti è Professore Associato in Information Systems and Organization al dipartimento di Business and Management, e un membro del Research Center in Leadership, Innovation and Organisation (CLIO) alla Luiss.