Il Pnrr, come sappiamo, destina circa 6 miliardi alla digitalizzazione della Pa. Di questi, un miliardo circa andrà a finanziare il processo di costruzione del cloud, con la migrazione dei dati e, in generale, degli applicativi informatici delle amministrazioni pubbliche verso il cloud stesso, a sua volta suddiviso in 5 diverse tipologie in base alle diverse classificazioni dei dati e all’importanza strategica per il nostro paese.

Per creare dunque il sistema di controllo e coordinamento del cloud nazionale andrà costruito un polo strategico a controllo pubblico, ma non partecipato al 100% dallo Stato. Si tratta del Polo strategico nazionale – Psn –, un progetto già previsto nel Primo piano triennale per l’informatica pubblica del 2017 e che ha subìto diverse trasformazioni sino all’ultima definizione che vede il Polo articolato in quattro data center collocati in due diverse regioni. Il Psn rappresenterà l’infrastruttura nazionale per l’erogazione di servizi cloud e, al  termine dell’espletazione delle procedure previste di classificazione e qualificazione dei dati, dovrà supportare le amministrazioni centrali e le principali amministrazioni locali (Regioni, Città metropolitane, Asl).

Il Governo ha deciso che le aziende interessate alla costruzione del Polo strategico nazionale – incluse quelle pubbliche – non partecipino una vera e propria gara ma presentino un’offerta di partnership e collaborazione. Sarà lo Stato ad effettuare la scelta. Ad oggi sono arrivate già almeno 2  proposte (Tim-Cdp-Leonardoe Sogei, da un lato, e Almaviva con Aruba dall’altro) mentre il Consorzio Italia cloud (Cic) ha recentemente annunciato che non presenterà alcuna proposta di partenariato pubblico-privato, motivando la scelta con la non condivisione del modello indicato dal Governo ed esprimendo “la propria propensione verso una infrastruttura cloud federata che valorizzi le imprese italiane e le aziende pubbliche di settore, indipendente dal soggetto chiamato a gestirle, attenta al principio di ‘sovranità digitale’”.

Potremmo dunque rimanere in attesa della prossima scelta governativa secondo la road map temporale illustrata, se non fosse che continua ad esserci un punto che, a nostro avviso, meriterebbe un’attenzione prioritaria, e cioè quali saranno le misure di protezione dei dati dei cittadini italiani. Sappiamo che il processo di costruzione del cloud inizierà adottando il cosiddetto modello francese, che prevede l’utilizzo di data center e cloud provider europei, ma rimane il tema di quali tecnologie, quali software saranno utilizzati. La Francia  infatti pare voler consentire anche l'uso delle tecnologie extraeuropee, e in particolare Usa, a patto che non si inneschi il Cloud Act.

Se infatti, come è probabile, i software  saranno extraeuropei, bisognerà fare i conti proprio con le normative extraeuropee e, nel caso di tecnologia e software Usa, dovremmo tenere conto appunto del  Cloud Act e del Section 702 del Fisa. Il Cloud Act consente infatti alle autorità statunitensi, forze dell’ordine e agenzie di intelligence, di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dal luogo  dove questi dati siano ricoverati e dunque anche se si trovano su server non allocati in Usa.

Fisa 702 è invece la normativa dell'intelligence  che consente ai servizi di sicurezza Usa di accedere a dati stranieri senza bisogno neppure di un pronunciamento di un giudice. Dunque, come ricorda in una recente intervista sul Sole 24 Ore Innocenzo Genna, giurista specializzato nella normativa europea del digitale, ”il Governo italiano dovrebbe selezionare solo cloud provider chiaramente esenti da questi pericoli”.

Mentre dunque è sicuramente importante che si lavori sulla cifratura dei dati come elemento di protezione delle informazioni che transiteranno in rete, questo ulteriore elemento è di primaria importanza. Il Governo ha trovato soluzioni a questo problema? E se la risposta fosse negativa, ha posto a livello europeo il tema per la ricerca di soluzioni comuni? Sui dati e sul loro utilizzo si gioca una partita politica mondiale e dunque le soluzioni europee e, tra queste, quelle italiane, assumono una rilevanza strategica.

La chiarezza da parte del Governo in merito al trattamento dei dati che verranno sempre più prodotti nel rapporto tra cittadine e cittadini e Pa assume un’importanza indiscutibile. Del resto la dipendenza dalla tecnologia extraeuropea ci riporta al tema ulteriore del necessario sviluppo di soluzioni informatiche nazionali. Vale per il tema del cloud e vale in generale per l’impiego delle risorse del Pnrr.

La Cgil dice da mesi che il il Governo dovrebbe impiegare le risorse per investire in ricerca di nuove tecnologie e arrivare alla creazione di soluzioni Ict, di software e, perché no, di provider italiani. Un processo necessario per utilizzare davvero la attuale straordinaria disponibilità di risorse per riposizionare il nostro paese in ambito Ict e per produrre nuove e qualificate opportunità di lavoro. Seppure la tecnologia americana sia oggi decisamente più avanzata, l’utilizzo di ingenti risorse in un quadro di coordinamento europeo potrebbe infatti dare una risposta anche all’esigenza di controllo europeo in questo  settore.

Nel frattempo forse sarebbe necessario mettere a sistema un possibile accordo tra l’Ue e gli Usa per mettere al riparo i dati europei da indebite ingerenze di governi stranieri. Del resto con la sentenza Schrems 1 la Corte di giustizia europea ha già annullato gli accordi che permettevano alle aziende americane di gestire dati personali di cittadini europei su server posizionati negli Usa. Di certo dunque, nell’iniziare a impiegare le risorse per l’attuazione del Pnrr, il Governo non potrà evitare il confronto sulle dinamiche di implementazione di soluzioni tecnologiche che hanno implicazioni di così straordinaria rilevanza.