L’utilizzo del Cloud nelle P.A. può trasformarsi in un ingente risparmio economico per la Pubblica Amministrazione, con possibilità di utilizzare più efficientemente le risorse finanziarie, al fine di offrire maggiori servizi a un minor costo.
Tuttavia resta da risolvere il tema giuridico della razionalizzazione degli attuali data center e della migrazione dei dati sulla “nuvola” che, secondo AgID, dovrà essere il nuovo criterio ispiratore della Pubblica Amministrazione.
Cloud computing: cos’è, a cosa serve e quali sono i rischi
di Carmelo Giurdanella (Avvocato e docente esperto in appalti pubblici) e Alice Castrogiovanni (Avvocato amministrativista)
Il cloud computing è una tecnologia di telecomunicazione informatica direttamente accessibile online, che consente di disporre in maniera più celere dei propri dati digitali i quali, in tal modo, diventano fruibili con semplicità e immediatezza.
Questo è quanto sostiene l’AgID che in più occasioni ha affermato come tale strumento, oltre a presentare “benefici di carattere generale”, consentirà di conseguire sia “l’ammodernamento delle infrastrutture, sia la condivisione di sistemi, applicazioni e banche dati. In sintesi, la razionalizzazione dei data center” (s.v. AgID, cloud computing del 20.10.2016).
Allo stesso modo, la Commissione Europea (s.v. COM. 2012. 529) ha riconosciuto al cloud computing le stesse potenzialità del web. In particolare, secondo l’Autorità, il cloud computing, proprio per le sue caratteristiche, ha lo specifico vantaggio di semplificare l’accesso e il trattamento dei dati, superando, conseguentemente, la necessità di stanziare ingenti risorse per la gestione e la conservazione dei dati detenuti dalla Pubblica Amministrazione (di seguito anche in sigla “PA”).
Si tratta di potenzialità che nel settore pubblico si traducono in un ingente risparmio economico, con conseguente possibilità di utilizzare, in maniera più efficiente, le risorse finanziarie a disposizione, al fine di offrire maggiori servizi a un minor costo.
Ciò in quanto la possibilità di trasferire i dati in cloud si traduce in una dismissione degli attuali data center, con immediato risparmio di risorse pubbliche e, in prospettiva, nel superamento della necessità di stanziare ingenti somme per garantire l’aggiornamento tecnologico.
Nonostante i numerosi vantaggi della tecnologia cloud, tuttavia, resta da risolvere il complicato tema giuridico della razionalizzazione degli attuali data center e della migrazione dei dati sulla “nuvola” che, seguendo la strada suggerita da AgID, dovrà essere il nuovo criterio ispiratore della Pubblica Amministrazione.
Al fine di rispondere a tale quesito occorre iniziare a riflettere sulle criticità del modello, specie se quest’ultimo è destinato a diventare il nuovo protagonista nel campo della futura gestione dei dati.
Il tema si pone soprattutto con riferimento alla conservazione, gestione e archiviazione dei dati e delle informazioni sensibili detenute dalla Pubblica Amministrazione. Ed infatti, se ad oggi i data center rappresentano le infrastrutture in cui vengono conservate e raccolte le informazioni sensibili dei cittadini, avviare un percorso di razionalizzazione di tali archivi, con conseguente migrazione dei dati in cloud, imporrà di individuare nuove regole giuridiche idonee a presiedere alla migrazione delle informazioni, garantendo alle stesse sicurezza e portabilità.
Sul punto, va chiarito che la maggior parte delle attuali soluzioni cloud computing, pur nella diversità delle loro caratteristiche tecniche, sono accomunate dal fatto che il gestore del cloud mette a disposizione le risorse informatiche e materiali, nonché i data center per l’erogazione del servizio. Da qui, la facile conclusione per cui, in mancanza di adeguate tutele, è pressoché impossibile per l’Amministrazione verificare effettivamente dove siano conservati i dati migrati in cloud se i data center siano “effettivamente” (l’uso dell’avverbio non è casuale!) localizzate in un Paese UE.
A ciò si aggiunge una normativa, anche europea, tutt’altro che adeguata a disciplinare il settore in esame. Invero, la legislazione attuale, ancorata al dato fisico (hardware),sembra insufficiente a regolamentare il trattamento dei dati migrati sulla “nuvola” in cui i dati in esso migrati sono destinati a muoversi e ad essere trasferiti su disposizione del gestore senza che a ciò corrisponda un’effettiva conoscenza del “luogo” in cui detti dati saranno archiviati.
La tecnologia cloud computing, dunque, richiede un particolare sforzo della Pubblica Amministrazione, che in qualità di stazione appaltante non può limitarsi ad un esame delle norme facoltizzanti la migrazione dei dati, ma dovrà anzitutto ricercare, attraverso la via contrattuale e i capitolati tecnici, le clausole più opportune per limitare (rectius: impedire!) che i dati personali vengano trasferiti in Paesi terzi extraeuropei.
Accanto ai suddetti fattori, la PA dovrà altresì valutare la definizione giuridica dei compiti del fornitore, le responsabilità e gli oneri delle parti, anche con riferimento a più sequenze procedimentali: esternalizzazione del proprio data center; migrazione dei dati sulla “nuvola”; livelli di servizi; gestione del processo; strategia d’uscita; penali e via dicendo.
La soluzione alle suddette problematiche dipende, inoltre, anche dalla tipologia di servizio cloud scelto dalla PA e che può essere:
1. di tipo SAAS (cloud Software As a Service) e che si caratterizza essenzialmente per l’essere un servizio chiavi in mano, in cui è il gestore che fornisce alla PA l’intera infrastruttura, occupandosi, non solo della sua manutenzione e del suo aggiornamento, ma anche dei relativi software necessari a garantire il servizio;
2. di tipo PAAS (cloud Platform As a Service) e che si caratterizza per consentire alla PA di gestire i propri dati all’interno della piattaforma predisposta dal gestore del cloud, restando in capo alla stessa la scelta di quali programmi istallare. Si tratta di una soluzione che, a differenza della prima, lascia (almeno sulla carta!) maggiori margini di operatività con riferimento all’installazione dei software e degli applicativi;
3. di tipo IAAS (cloud Infrastructure As a Service) in cui il gestore del cloud si limita solo a fornire i propri data center, lasciando all’Amministrazione il compito di istallare e sviluppare la propria soluzione e il proprio software per la gestione dei dati in cloud;
4. in ultimo, di tipo DAAS (Desktop As A Service) in cui grazie ad un processo di virtualizzazione i software e server vengono installati in cloud, divenendo pienamente accessibili da qualunque macchina e postazione.
Le soluzioni, così brevemente descritte, prestano vantaggi e svantaggi specifici e impongono di risolvere problematiche giuridiche diverse.
Così se una soluzione di tipo SAAS, a fronte di una maggiore facilità nell’utilizzo, si accompagna ad un trasferimento dei dati quasi incontrollato, una soluzione di tipo PAAS o IAAS si potrebbe prestare ad un controllo più diretto della Pubblica Amministrazione nella gestione dei dati, compresa la possibilità di verificare l’ubicazione dei data center , attraverso l’imposizione di specifici obblighi.
In disparte, poi, il tema già noto della necessità di assicurare che i dati migrati sul cloud rimangano segreti.
Si tratta di un tema che, seppur noto e già in parte oggetto di sperimentazione da parte della PA, impone oggi una nuova e più accurata riflessione, in ragione della complessità propria della tecnologia del cloud computing.
Si pensi, ad esempio, al profilo della sicurezza, che impone alla Pubblica Amministrazione di prevedere nei propri capitolati tecnici adeguate regole volte a prevenire i rischi connessi al trattamento dei dati, al malfunzionamento degli apparati e dei sistemi affidati all’esterno, ai disservizi e alle disfunzioni causate da fattori umani o da eventi esterni che in astratto potrebbero provocare la perdita dei dati conservati.
Non si allude solo alla necessità di prevenire il rischio di attacchi hacker (rischio peraltro, già noto e su cui si possono prevedere adeguate soluzioni informatiche), ma anche alla necessità di prevedere tecnicamente e giuridicamente delle misure che consentano alla PA di non perdere il controllo materiale e diretto dei dati una volta scaduta la gara.
È innegabile, infatti, che trasferire i dati in cloud potrebbe comportare il pericolo di trasferire definitivamente i dati al gestore del cloud.
In breve, la razionalizzazione dei data center pubblici non può prescindere da un’adeguata progettazione idonea a prevenire anche il rischio di concentrazione nelle mani di pochi gruppi della maggior parte dei dati detenuti dalla PA, attraverso la previsione di specifiche strategie di uscita in presenza di abusi o violazioni delle regole.
Occorrerà, quindi, prevedere nuove norme, volte a vigilare sull’operato del fornitore e sull’esecuzione del servizio di migrazione, ad esempio, inserendo opportune limitazioni alla migrazione dei dati fra i vari data center, o imponendo una specifica ubicazione verificabile in sede di esecuzione, limitare e diversificare i soggetti che possono partecipare alle gare bandite dalla PA, prevedendo anche l’obbligo di rivolgersi a soggetti diversi al fine di evitare concentrazioni e monopoli di fatto.
Infine, altra questione da non sottovalutare è la possibilità per la Pubblica Amministrazione che decida di adottare un modello cloud di ritornare ad una gestione fisica, qualora i disservizi causati dal primo non garantiscono in maniera adeguata e appropriata la gestione in sicurezza dei dati.
Forse è proprio questo il motivo per cui il legislatore, consapevole delle difficoltà, dei timori e delle resistenze del mercato, ha rimesso alla Pubblica Amministrazione il compito di sperimentare la tecnologia cloud, anche nell’ottica di un rilancio della competitività italiana.
Al momento, tuttavia, solo alcune Regioni italiane (la Lombardia e la Toscana, per citare i casi più noti) hanno avviato in chiave pionieristica un percorso volto alla razionalizzazione dei propri data center secondo il nuovo paradigma del cloud computing.
Occorrerà senz’altro partire da tali esperienze virtuose per individuare soluzioni condivise, sicure ed efficienti.
Carmelo Giurdanella
Alice Castrogiovanni
