Una strategia per le infrastrutture digitali della Pubblica Amministrazione

La proposta di un “Polo strategico nazionale” per mettere al sicuro tutti i servizi digitali fondamentali della Pubblica Amministrazione italiana. E risparmiare miliardi di euro

di Paolo De Rosa, Luca Attias, Simone Piunno

Le infrastrutture digitali sono invisibili, ma non per questo meno importanti e strategiche di tutte le altre infrastrutture del Paese, come le autostrade, le ferrovie, le centrali e le reti elettriche. Si tratta di reti e server su cui transitano ogni giorno i servizi strategici del Paese, che permettono il funzionamento di sistemi cruciali come la sanità, la sicurezza o le telecomunicazioni, e che gestiscono dati sensibili dei cittadini.

Ad oggi il problema di queste infrastrutture è che, tranne poche eccezioni, versano in condizioni che non esitiamo a definire catastrofiche. Il Team per la Trasformazione Digitale ha iniziato a occuparsi di infrastrutture digitali e di cloud proprio per far fronte a uno scenario particolarmente problematico, con il fine di:

  • ridurre l’enorme spreco di energia e risorse, permettendo risparmi fino a miliardi di euro per la Pubblica Amministrazione;
  • mettere in sicurezza (anche fisicamente) le infrastrutture dove transitano i servizi nevralgici del Paese.

Vogliamo raccontare con quale strategia raggiungere questi obiettivi, traghettando l’Italia da un sistema inefficiente a un modello adottato dai Paesi più virtuosi in Europa e nel mondo.

Macerie prime

Stephanie Watters Flores da Unsplash

Descrivere lo scenario attuale è un passaggio necessario per capire di cosa stiamo parlando e perché il lavoro sulle infrastrutture digitali è così urgente.

Attualmente in Italia operano circa 11mila data center, strutture informatiche note anche come “Centri di elaborazione dati”, a servizio di oltre 22 mila Pubbliche Amministrazioni, centrali e locali. Questo vuol dire approssimativamente che per ogni due amministrazioni opera un data center, uno scenario in cui quasi ogni Comune gestisce in proprio i suoi server, magari in un edificio affittato appositamente, oppure (nel caso dei centri più piccoli) semplicemente in un sottoscala, allo sportello del cittadino o nel palazzo del Municipio.

Questa situazione comporta una serie di aspetti negativi. In particolare:

  • La gestione di un data center, per quanto possa essere piccolo, ha un costo elevato legato alla manutenzione, alla collocazione fisica dei server (es. affitto di un edificio), al consumo energetico, allo smaltimento del calore generato dall’impianto, all’obsolescenza delle macchine, alla connettività. Un costo da moltiplicare per 11 mila singoli data center, che incide approssimativamente per 2 miliardi l’anno, sui circa 5,8 miliardi di euro che la Pubblica Amministrazione italiana spende ogni anno nel settore ICT (fonte Consip/Sirmi).
  • Data center così piccoli sono naturalmente poco sicuri. Non parliamo soltanto di sicurezza informatica, ma anche di sicurezza fisica, protezione dei server e del loro funzionamento. Questo perché i data center sono quasi sempre situati in luoghi non idonei, come i centri abitati, oppure in zone a rischio sismico o idrogeologico. Non è un problema teorico: esiste una lunga serie di casi in cui interi servizi della Pubblica Amministrazione sono andati in tilt per fattori esogeni, come un blackout improvviso che ha colpito un data center, o l’esplosione legata a una fuga di gas in un appartamento adiacente, o, nel caso più grave, per il terremoto di Amatrice.

A fronte di questo scenario critico, già nel 2012 il legislatore decise di fissare chiari obiettivi di razionalizzazione dei siti e delle infrastrutture digitali (“Decreto Crescita 2.0” – DL 179/2012).

Una strategia in tre punti

Il primo obiettivo che ci siamo posti come Team Digitale per razionalizzare le infrastrutture digitali della Pubblica Amministrazione è stato la stesura di una strategia a corto, medio e lungo termine. Un piano d’azione in tre punti, per risolvere in maniera virtuosa le criticità che abbiamo appena raccontato.

La strategia si basa su una distinzione fondamentale tra:

  • Servizi non essenziali della pubblica amministrazione. Sono la stragrande maggioranza dei servizi gestiti dagli enti locali e centrali, che non hanno un valore strategico per la sicurezza e il funzionamento del sistema Paese. Rientrano in questa categoria servizi diffusissimi, come ad esempio la posta elettronica, il servizio di protocollo informatico, la rassegna stampa di un ente.
  • Servizi essenziali o strategici, espressamente elencati dalla direttiva NIS dell’Unione Europea (2016/1148) sulla sicurezza informatica e di rete. Questi servizi riguardano la sanità, l’energia, i trasporti, il settore bancario, le infrastrutture dei mercati finanziari, la fornitura e distribuzione di acqua potabile e le infrastrutture digitali. Tutti servizi che per loro stessa natura strategica non possono subire interruzioni e devono essere protetti con il più alto livello di sicurezza.

Chiarire questa distinzione è importante, perché le due macroaree richiedono azioni radicalmente diverse che si snodano nei tre punti della strategia.

1. Il cloud dei servizi non essenziali

Il primo punto della strategia riguarda un maggiore utilizzo del cloud per la gestione dei servizi non essenziali e la condivisione delle infrastrutture che ne permettono il funzionamento. Significa passare da un modello in cui ogni Pubblica Amministrazione gestisce internamente tutti i servizi a uno in cui alcuni servizi possono essere gestiti in cloud, con l’apporto di fornitori privati o pubblici (possono essere altre Pubbliche Amministrazioni, società in house o società in libero mercato).

Gestire un numero sempre maggiore di servizi con il cloud permette di:

  • liberare gli enti dai costi delle infrastrutture e della manutenzione, che passano a carico dei fornitori (cloud service provider) che devono erogare il servizio e garantirne il funzionamento;
  • ridurre i costi del servizio, anche a fronte di economie di scala, permesse da una domanda aggregata di diverse Pubbliche Amministrazioni che possono richiedere uno stesso tipo di servizio;
  • creare un impulso alla crescita delle piccole aziende dell’ICT in Italia, che sono gli attori ideali per fornire una domanda verticale di servizi specifici (come negli esempi citati prima del protocollo informatico o della rassegna stampa degli enti).

Questo primo punto della strategia si chiama Public cloud e ne abbiamo discusso in maniera più diffusa nel post pubblicato nel 2018 “Dalle infrastrutture ai servizi”. Il post spiega anche in che modo diverse tipologie di servizi possono approfittare dei vantaggi del cloud (es. esternalizzare la sola infrastruttura, oppure affidarsi a un fornitore per la gestione del servizio o di una parte del processo).

L’obiettivo è sviluppare un mercato di servizi in cloud per le Pubbliche Amministrazioni, creando una domanda a cui dovranno rispondere dei fornitori qualificati secondo criteri stabiliti dall’Agenzia per l’Italia digitale (circolari Agid n. 2 e n. 3 del 9 aprile 2018), che ne garantiscono l’affidabilità (sicurezza) e la coerenza con il settore pubblico (es. evitando lock-in).

In un altro post del 2018, “Diversamente connessi: un esempio virtuoso”, abbiamo raccontato come l’utilizzo di un’infrastruttura in cloud ha permesso un risparmio di 750 mila euro ogni mese alla Corte dei Conti e una maggiore efficienza del servizio.

2. Il Polo strategico nazionale per le infrastrutture digitali

Il secondo punto della strategia riguarda la messa in sicurezza di tutti i servizi essenziali che vengono gestiti dalla Pubblica Amministrazione in Italia, secondo la distinzione che abbiamo fatto come premessa.

La proposta di questo secondo punto è la creazione di:

  • un piccolo numero (tra i tre e i sette) di data center nazionali, realizzati secondo dei criteri di massima sicurezza ed efficienza energetica in altrettanti siti idonei, dislocati in diversi punti del territorio nazionale;
  • un’entità amministrativa, il Polo strategico nazionale per le infrastrutture digitali, che a livello centrale avrà la responsabilità di gestire questi data center in maniera coordinata.
Esempio di una mappa di data center dislocati su tutto il territorio nazionale.

Per siti idonei intendiamo luoghi che non abbiano rischio sismico o idrogeologico e che siano lontani dai centri urbani, ma anche luoghi garantiti dalla prossimità di diverse reti elettriche, dalla connettività di più operatori, da un’adeguata difesa militare. Tutti requisiti che tanti piccoli data center non possono avere.

È bene chiarire che il ruolo del Polo strategico non è quello di gestire i servizi, ma solo di mettere a disposizione delle Pubbliche Amministrazioni dei luoghi fisici, dotati della massima sicurezza ed efficienza energetica, dove collocare i propri server. Gli unici servizi offerti saranno:

  • lo spazio fisico dentro un edificio protetto (controllo d’accesso, difesa perimetrale);
  • l’energia elettrica e un sistema di ventilazione per espellere calore, con tecnologie per ottimizzare la quantità di energia utilizzata.

Pubbliche Amministrazioni centrali, come i ministeri, o locali, come le Regioni e i Comuni, avranno la possibilità di spostare i server dai propri locali (o sottoscala, come abbiamo visto) a questi centri, continuando a gestirli in totale autonomia, comodamente seduti alla loro scrivania. Per questo l’attività del Polo strategico non va confusa con quella di altri poli centrali, che già oggi erogano invece servizi in cloud (come ad esempio Sogei che amministra il servizio di anagrafe nazionale ANPR).

Offrire uno spazio dove collocare i server della Pubblica Amministrazione può sembrare un passaggio poco rilevante, ma questa transizione, che può essere realizzata nel breve/medio periodo, permetterebbe la messa in sicurezza dei server e dei servizi e garantirebbe ingenti economie di scala, evitando costi come lo spreco energetico (infrastrutture efficienti consumano un decimo dell’energia di quelle obsolete), l’affitto di locali ad hoc per le singole amministrazioni, i sistemi di sicurezza, le assicurazioni, la connettività, e così via. Basti pensare che in uno spazio del genere la connettività tra due amministrazioni potrà essere realizzata con un semplice cavo all’interno di uno stesso edificio.

Questo primo passo, la ricollocazione dei server, potrebbe poi permettere importanti sviluppi in una seconda fase, in cui il Polo strategico nazionale potrà arrivare a offrire dei servizi di infrastruttura in cloud (IaaS), mettendo a disposizione delle Pubbliche Amministrazioni dei server virtuali su cui gestire autonomamente i propri servizi. Uno sviluppo successivo che potrebbe segnare un ulteriore passo in avanti sia verso l’efficienza dei servizi, sia in ottica di risparmio energetico.

Foto pexels.com

L’idea di un polo centrale nasce dalle fortissime economie di scala che si possono generare, considerando la capacità di calcolo come un’utility, fornita da pochi grandi centri a chiunque ne abbia bisogno. Un po’ come come l’energia elettrica: a nessuno verrebbe in mente di installare una centrale elettrica nel sottoscala, tutti compriamo l’energia da pochi gestori nazionali che hanno le competenze e le infrastrutture per produrre il servizio in maniera efficiente e sicura.

La stessa idea di un polo centrale per i data center è stata già messa a frutto con successo in altri Paesi del mondo, oltre che da tantissime aziende private di grandi dimensioni (tra cui Eni). Ad esempio nel 2013 il Governo del Regno Unito ha avviato il progetto Crown Hosting Data Centres, grazie al quale:

  • nel 2015 ha attivato due data center nazionali;
  • ad oggi ha fatto confluire le piattaforme di quasi tutte le Pubbliche Amministrazioni centrali (24 su 27) e di 5 amministrazioni locali.

Grazie a questo semplice passaggio, ogni amministrazione che ha aderito al progetto ha recuperato il costo della transizione entro il primo anno e risparmiato fino al 60 per cento dei costi di gestione già dal secondo anno. Allo stesso tempo oggi il governo britannico può contare su una maggiore protezione di molti dei propri servizi fondamentali come la difesa, la sanità, l’istruzione, la giustizia.

3. Il processo di trasformazione dei servizi

Ogni transizione non avviene dall’oggi al domani. Anche la razionalizzazione delle infrastrutture digitali che erogano i servizi deve essere accompagnata da un lavoro di trasformazione che è prima di tutto culturale.

rawpixel da Unsplash

Vogliamo accompagnare questa trasformazione creando dei “centri di competenza”, che aggreghino tecnici, esperti e manager dell’IT di diverse Pubbliche Amministrazioni, che possano definire e promuovere standard, processi e regolamenti per aiutare gli enti a:

  • mappare i propri servizi;
  • individuare quelli essenziali e quelli non essenziali;
  • gestire la transizione dei primi verso la gestione nel Polo strategico nazionale;
  • valutare quali servizi non essenziali gestire con l’ausilio del cloud e secondo quale strategia.

Questo processo è un lavoro che abbiamo già iniziato, in collaborazione con l’Agenzia per l’Italia digitale (Agid) e che sarà oggetto di un post che pubblicheremo nelle prossime settimane.