Una delle missioni del PNRR (Piano Nazionale di Ripresa e Resilienza) è quella della migrazione al cloud delle PA. L’obiettivo è migrare i dataset, le applicazioni e i servizi pubblici verso infrastrutture cloud sicure, consentendo a ciascuna PA di scegliere all’interno di un insieme di offerte certificate.
Le applicazioni cloud-native, in effetti, stanno proliferando anche negli ambienti IT più tradizionali, ma la capacità di proteggere tali applicazioni e ambienti è rimasta ancora indietro. La strategia cloud PA prevede tre fasi principali: 1) la classificazione di dati e servizi in strategici, critici e ordinari; 2) la qualificazione dei fornitori; 3) la realizzazione del PSN (Polo Strategico Nazionale). Il vero problema, però, è la possibilità di attuare il cosiddetto cloud switching, per passare facilmente da un fornitore di un servizio a un altro, quindi, in un quadro generale di efficiente interoperabilità dei dati e dei servizi per evitare il grande problema del “vendor lock-in”, con conseguenti gravi carenze in termini di mobilità dei dati e dei servizi.
A tal proposito è fondamentale attuare le “misure per un’economia dei dati equa ed innovativa” sancite dal Data Act della Commissione europea e che si inseriscono nella più ampia strategia digitale nota come Data Governance Act. Tali norme disciplinano, per tutti i paesi dell’Unione, chi può accedere ai dati generati nell’UE in tutti i settori economici e chi può utilizzarli. L’obiettivo generale è quello di garantire equità nell’ambiente digitale, stimolare un mercato dei dati competitivo, creare opportunità per l’innovazione basata sui dati e rendere le informazioni più accessibili a tutti. Tali disposizioni comprendono, tra l’altro, misure volte a consentire agli enti pubblici di accedere ai dati in possesso del settore privato e di utilizzarli quando sono necessari per circostanze eccezionali ed emergenze pubbliche; facilitare il cloud switching; dare garanzie contro il trasferimento illecito dei dati.
Da un punto di vista operativo è importante l’iniziativa SWIPO (Switching Cloud Providers and Porting Data), un gruppo multi-stakeholder supportato dalla Commissione europea, al fine di sviluppare codici di condotta per la corretta applicazione del Regolamento (UE) 2018/1807 sulla libera circolazione dei dati non personali, con particolare attenzione all’articolo 6 “porting dei dati”. Come noto, è in fase conclusiva la gara per la realizzazione del o dei PSN e, quindi, sarà bene che si tengano ben presenti le criticità relative al quadro generale di interoperabilità richiamato, proprio per evitare il “vendor lock-in” e, nello stesso tempo, garantire a ogni PA la capacità di concordare con i fornitori di cloud politiche, regolamenti e SLA adeguati alle esigenze. Infine, sarebbe necessario considerare anche l’iniziativa Gaia-X, la “nuvola europea” per creare un’alternativa tecnologica ai leader americani e cinesi, con l’obiettivo di realizzare un’infrastruttura federata di servizi cloud.
Attualmente, Gaia-X si è allineata ai tre standard dettati dall’Agenzia europea per la cybersecurity (ENISA) e sta definendo le regole che garantiscano la sicurezza dei dati denominate “trust and labeling framework”. Operativamente, sono in corso cinque progetti in fase pilota e altrettanti a livello avanzato. L’interoperabilità nella migrazione al cloud è indispensabile proprio per poter migrare verso l’infrastruttura europea non appena questa si renderà effettivamente disponibile. Speriamo che, ancora una volta, non si tratti di un’occasione mancata per garantire all’Italia e all’Europa la sovranità tecnologica nei servizi pubblici, che significa avere il pieno controllo dei dati e delle applicazioni, nonché delle tecnologie sottostanti. Questa del cloud switching e della interoperabilità è la grande scommessa da vincere nel breve periodo.
 è quella della migrazione al cloud delle PA){kind=link}