In questi giorni si parla insistentemente di dare vita ad un cloud nazionale su cui far migrare i dati della Pubblica Amministrazione, oggi frammentati in circa 11.000 data center. Il cloud è una tecnologia informatica che consente di sfruttare la rete internet per distribuire risorse, sia software che hardware, per fruirne da remoto, ed è sicuramente una leva strategica importante per la digitalizzazione della PA, una delle infrastrutture determinanti per costruire un ecosistema digitale. A maggior ragione sapendo che oggi, in Italia il 95% dei server, secondo un’analisi svolta da Agid, risulta senza i requisiti di sicurezza e di affidabilità necessari.

È dunque opportuno lo sviluppo di un centro di infrastrutture informatiche-digitali basate sul cloud, per consentire l’archiviazione e l’elaborazione di grandi quantità di dati a loro volta utili e necessari per l’erogazione di servizi alle imprese e ai cittadini. Da qui la centralità della costruzione di un Polo strategico nazionale. Pur avendo più volte segnalato che la digitalizzazione non è una missione in sè, ma strumento abilitante di importanti riforme, riteniamo che proprio la necessità di agire sul lato della domanda comporti la necessità di occuparsi in primo luogo della riorganizzazione anche in senso digitale della PA, che necessiterà, oltre che dell’adozione di soluzioni tecnologiche, anche di un grande piano assunzionale. Non vi è dubbio che i benefici generati da un cloud nazionale saranno consistenti, a partire dalle minori spese energetiche fino ad arrivare ad una maggiore e più snella funzionalità dei servizi.

Ed è certo necessaria una classificazione dei dati da ricoverare, così da avere chiaro il livello di protezione opportuno per le diverse tipologie di dati. Ciò che non è però chiaro è quale sarà il ruolo delle big tech nella creazione e gestione del Polo e dunque quali saranno le garanzie di controllo e governance pubblica di questi dati. Il tema infatti continua ad essere la volontà o meno di esercitare un ruolo di tutela ed una specifica sovranità ed autonomia nazionale su quella che è considerata la nuova ricchezza del mercato globale: i dati. Prima ancora di parlare di come si costituirà il Polo nazionale noi crediamo sia necessario riconoscere ai dati, a partire da quelli generati dall’interazione dei singoli e delle imprese con la PA, lo status di beni comuni.

In secondo luogo è necessario che tutti i dati siano interrogabili dallo Stato per fini di interesse pubblico, nel rispetto della privacy dei singoli. In questo senso richiamiamo la annosa questione, da più parti sollevata in questi mesi, dei dati utili a contenere la pandemia di fatto disponibili alle grandi piattaforme e non disponibili ai governi dei singoli paesi.

In Europa si prova a federare i diversi cloud nazionali in un cloud europeo, Gaia X, che si sostanzia nello sviluppo di una serie di standard di utilizzo e di controllo dei dati condivisi nell’infrastruttura digitale. La Francia, al cui modello pare volersi richiamare anche il Governo italiano, intende strutturare il “Cloud di fiducia”, cioè crea una sorta di certificazione concessa alle sole imprese che siano di nazionalità europea, con dei servers in Francia e che si impegnino a rispettare norme rigide di protezione dei dati.

Le aziende francesi potranno cioè utilizzare su licenza i prodotti tecnologici delle big tech garantendo gli standard di protezione dei dati richieste. Nel frattempo, sempre la Francia, investe per provare a strutturare una filiera nazionale del cloud, consapevole che il mercato del cloud è in continua ascesa, vale già oggi svariati miliardi di euro (830 mld nei prossimi 5 anni in Europa) ed impegnerà, a tendere, un gran numero di occupati. Ma questo basterà ad evitare il trasferimento dei dati fuori dall’Europa?

Di sicuro, vista la natura dei temi e dei diritti in ballo, è evidente che sia necessario avere chiarezza dal governo italiano su come intenda strutturare davvero il cloud nazionale, quale sia il rapporto previsto con le big tech, quali le modalità di classificazione dei dati, quale la loro tutela e, infine, quale il ruolo dello Stato nel governo dei dati. Secondo il Wall Street Journal, i colossi tecnologici Microsoft, Facebook, Amazon, Apple e Google, tutti insieme, valgono oggi circa 8000 miliardi di dollari. Una potenza basata proprio sulla raccolta e sull’utilizzo di dati.

Dunque riteniamo legittima la preoccupazione di una mancata regolamentazione del possibile ruolo di Google, Amazon, Apple, Microsoft e, in generale, dei big tech, a monte della creazione di un cloud nazionale e a maggior ragione in un’ottica federativa europea, specie in relazione alle alleanze realizzatesi in merito tra Tim e Google, Fincantieri e Amazon e Leonardo, Aruba e probabilmente Microsoft. In questo ambito, più che in altri, non è al mercato che si può demandare la autoregolamentazione.

Sappiamo che il 20 maggio 2021 l’European Data Protection Board ha approvato il codice di condotta transazionale per i cloud provider, alla luce anche della sentenza della Corte di Giustizia Europea denominata Schrems due che ha confermato che il Gdpr (regolamento europeo privacy) prevede una tutela senza confini territoriali e politici dei dati personali dei cittadini europei. Le istituzioni europee sono state chiamate dunque in primo luogo   a mappare tutti i trasferimenti di dati personali verso Paesi Terzi che siano stati effettuati sulla base dei contratti in essere, e a presentare, già in realtà entro lo scorso 15 novembre, un report che indicasse i rischi specifici emersi per ciascun trasferimento.

L’attenzione è proprio rivolta al trasferimento di dati verso Paesi extra-EU che, per lo più, avvengono nell’ambito di relazioni contrattuali tra Istituzioni Europee e Cloud Service Provider con base negli Usa. Dunque in Europa si è consapevoli dei rischi e si prova a regolamentare la inevitabile transazione su cloud, ma sappiamo che anche l’adesione a tale codice non impedirebbe di fatto l’eventuale trasferimento di dati verso paesi terzi.

Al ministro Colao chiediamo dunque di indicare con assoluta chiarezza come sarà concepita l’infrastruttura, a chi saranno consegnati i dati dei cittadini italiani, qual è il ruolo di garanzia e di controllo previsto per lo Stato, quali gli investimenti in soluzioni di cybersecurity e conseguente formazione; insomma, vorremo capire se prevarranno, nel suo piano di migrazione della Pa al digitale, il bene comune ed il pubblico interesse o il profitto di aziende private.

Il pilastro digitale attraversa tutte le missioni del Piano e dunque questo è il primo tassello su cui i cittadini necessitano di avere chiare le regole di implementazione. Accanto a questo si dipana infine le necessità di investire in ricerca pubblica e di progettare una politica industriale che utilizzi le soluzioni digitali per lo sviluppo di filiere nazionali ed europee. I finanziamenti che arriveranno dall’Europa consentono infatti di ridisegnare un paese e in quello che noi immaginiamo il pubblico deve riassumere il ruolo primario di tutela degli interessi e dei diritti di cittadini e cittadine e di mitigazione delle asimmetrie economiche e sociali.