Infrastrutture e Sicurezza

La Nuvola Pubblica Certificata una infrastruttura critica

13. La Nuvola Pubblica Certificata come infrastruttura critica del Paese

Il modello cloud pubblico implica che i servizi, nelle diverse declinazioni IaaS, PaaS e SaaS, siano accessibili via Internet e i dati delle amministrazioni, come anche i dati delle aziende, che sono sottoposte alla normativa italiana ed europea sulla tutela dei dati personali, escono fisicamente dal perimetro informatico di sicurezza di diretta responsabilità dell’amministrazione o dell’azienda. La catena dei soggetti che contribuiscono all’erogazione di un servizio cloud si estende anche al di fuori dei confini del paese, fino a rendere difficile, o impossibile, la localizzazione fisica dei propri dati: un rapporto contrattuale che apparentemente coinvolge solo tre soggetti (l’Amministrazione utente, l’Internet Service Provider (ISP) e il Cloud Cervice Provider (CSP)), può in realtà coinvolgere una catena difficilmente tracciabile di erogatori di servizi ISP e CSP appartenenti a giurisdizioni diverse.

 

Nel quadro giuridico vigente sia italiano che europeo, gli utenti di servizi cloud, restano titolari dei dati, che tipicamente saranno memorizzati nei grandi data center dei provider; e pertanto mantengono l’intera la responsabilità civile e penale delle violazioni di sicurezza, anche quando nel trattamento intervengono soggetti terzi su cui non hanno alcun controllo.

A tutela dei titolari dei dati che vengono trasferiti nella nuvola, appare necessario utilizzare provider certificati a garanzia che i servizi offerti rispettino i requisiti di sicurezza, di privacy, di accordi sui livelli di servizio, sulla localizzazione dei dati e sulle garanzie di portabilità. Si dovranno inoltre prevedere clausole contrattuali standard e accertare l’affidabilità finanziaria del provider e di quant’altro possa assicurare la conformità del suo operato alla normativa vigente, nazionale ed europea, di sicurezza e di tutela della privacy; ciò anche quando si tratti di servizi cloud erogati da Pubbliche Amministrazioni. Analogamente dovranno essere certificati i fornitori di connettività Internet.

 

L’insieme dei fornitori di servizi cloud e dei fornitori di servizi Internet, che risulteranno certificati in base a norme e regolamenti tecnici italiani (da predisporre anche tenendo conto di eventuali analoghe iniziative in sede europea), costituisce di fatto una specifica infrastruttura ICT che è necessario annoverare tra le infrastrutture critiche e strategiche del Paese: essa potrà essere realizzata e governata con modalità e strumenti che saranno approfonditi nelle successive sezioni di questo capitolo e poiché è utile dare un nome a nuovi concetti che rappresentano realtà astratte, nel seguito sarà chiamata Nuvola Pubblica Certificata: pubblica perché la rete utilizzata è Internet (e quindi si tratta di un public cloud) e certificata perché i servizi cloud, singolarmente certificati, sono accessibili attraverso tutti gli ISP certificati.

 

La Nuvola Pubblica Certificata è definita quindi, in termini di architettura concettuale, come insieme organizzato di fornitori di servizi cloud (CSP) e di fornitori di servizi di connettività Internet (ISP) che hanno ottenuto la certificazione di sicurezza e di conformità alla normativa e ai regolamenti tecnici italiani, normativa che è urgente emanare, anche anticipando eventuali analoghe iniziative in sede europea.

 

Così definita la Nuvola Pubblica Certificata è una infrastruttura aperta in quanto non pone alcuna restrizione sulla natura giuridica dei provider o relativa al contesto giuridico nel quale i provider operano e realizzano i servizi, ma richiede che, qualora eroghino servizi ad una utenza che opera nel contesto giuridico italiano essi possano garantire di essere stati certificati (anche presso organismi non nazionali) secondo la normativa italiana (o eventualmente europea) vigente.

 

L’esistenza di questa infrastruttura ICT certificata in cui i cloud provider, soprattutto se erogano servizi di tipo IaaS, sono in genere dotati di grandi data center, è strumentale non solo alle esigenze dalle Pubbliche Amministrazioni, ma anche a quelle delle imprese, grandi, medie e piccole, anch’esse soggette alla normativa sulla sicurezza e sul trattamento dei dati personali.

 

La caratterizzazione dei provider può essere diversa in funzione dei modelli di servizio (IaaS, PssS o SaaS) erogati, tuttavia i cloud service provider (CSP) accessibili via Internet sono nella maggior parte dei casi aziende internazionali che utilizzano data center consolidati di grandi dimensioni collocati al di fuori del territorio nazionale. Nulla ovviamente impedisce che possono operare anche sul territorio nazionale qualora esistano condizioni di economicità del servizio e di ritorno dell’investimento. Peraltro anche soggetti pubblici italiani o soggetti privati italiani a partecipazione pubblica o anche soggetti privati italiani potrebbero avere interesse ad operare come CSP certificati sulla Nuvola Pubblica Certificata. Nelle condizioni attuali del mercato invece, gli ISP sono tipicamente soggetti privati locali che dovranno garantire una connettività adeguata, in termini di banda, sicurezza ed efficienza, tra gli utenti e i CSP. Anche gli ISP devono pertanto rispondere a precise normative ed essere certificati.

 

Secondo la definizione data la Nuvola Pubblica Certificata è una cloud pubblica aperta in quanto i servizi sono accessibili via Internet, sia pure con il vincolo di utilizzare provider certificati. Gli utilizzatori della nuvola saranno tipicamente piccole e medie imprese e, nel campo di specifico interesse di questo studio, tutte le pubbliche amministrazioni medie e piccole. Le grandi organizzazioni sia private che pubbliche seguiranno probabilmente un altro percorso evolvendo inizialmente verso una cloud privata, che consenta prima di tutto il consolidamento dei rispettivi data center, e successivamente o contemporaneamente, faranno accesso anche a servizi di cloud pubblica realizzando una cloud ibrida.

 

Questa impostazione concettuale non impedisce di riservare alcuni servizi cloud certificati a particolari categorie di utenti (per esempio ai comuni o alle scuole o anche a tutte le pubbliche amministrazioni) realizzando così anche la possibilità di costruire una o più nuvole di comunità che insistono sulla Nuvola Pubblica Certificata. È importante a questo punto chiarire che i servizi cloud, anche quelli di tipo SaaS, hanno natura completamente diversa dai servizi applicativi previsti dal CAD, che sono servizi istituzionali di amministrazioni certificanti resi disponibili alle amministrazioni procedenti attraverso la cooperazione applicativa; allo stato dell’arte della sicurezza delle reti, a parte questioni regolamentari, anche questi servizi tecnicamente possono essere esposti sulla Nuvola Pubblica Certificata, per consentire l’integrazione dei sistemi di back-end delle pubbliche amministrazioni.

 

Come ogni infrastruttura strategica e critica è necessario governare la Nuvola Pubblica Certificata con strumenti adeguati di tipo normativo ed organizzativo, che tengano conto delle sue peculiarità e verificare se questi strumenti esistano nel quadro istituzionale vigente.

 

La Nuvola Pubblica Certificata è definita come un sistema organizzato di CSP e di ISP certificati governato da una struttura di governo capace di coordinare l’attività di soggetti distinti che devono svolgere i complessivamente i seguenti compiti:

 

1. proporre l’emanazione di norme e regolamenti che prendendo atto delle possibilità del cloud computing istituzionalizzino i soggetti attori della Nuvola Pubblica Certificata;

 

2. definire gli standard necessari, tecnici, di sicurezza contrattuali e di affidabilità dei provider. In tutti i capitoli di questo studio emerge come problema fondamentale irrisolto quello della standardizzazione soprattutto dei dati e delle applicazioni. La standardizzazione è l’aspetto più rilevante in quanto consente agli utenti di accedere a servizi equivalenti erogati da provider diversi (quindi garantisce una vera concorrenza tra i provider) e soprattutto garantisce la possibilità di migrare da un provider all’altro;

 

3. realizzare e gestire alcune infrastrutture informatiche minime necessarie:

a. per registrare in un apposito elenco i CSP e gli ISP certificati che lo richiedono (accreditamento)

b. per consentire agli utenti di reperire i servizi certificati disponibili

 

4. identificare a livello nazionale o europeo gli Enti terzi qualificati per effettuare la certificazione di CSP e ISP;

 

5. attribuire a selezionati organismi terzi di auditing la verifica periodica del rispetto dei requisiti di certificazione e di accreditamento da parte dei Provider della Nuvola Pubblica Certificata;

 

6. definire criteri e logiche di certificazione anche secondo criteri di severità dei servizi, attribuendo eventualmente logiche di affidabilità crescenti in funzione della rilevanza sistemica del servizio erogato, secondo un modello, cooptato anche dal modello di qualificazione dei fornitori in ambito CMMI (Capability Maturity Model Integration), siffatto:

 

a. massimo livello di affidabilità e tutela per i CSP eroganti servizi con impatti di sicurezza o comunque potenzialmente bloccanti per il sistema, con specifici requisiti operativi e di sicurezza definiti su base strategica e quindi a livello normativo;

b. livello intermedio per servizi ad alto impatto ma non bloccanti con elementi di affidabilità definiti ancora a livello regolamentare nazionale;

c. livello operativo ordinario per CSP eroganti servizi a supporto delle attività ordinarie della PA qualificati sulla base di standard di mercato (specifiche ISO, piuttosto che livelli di certificazione CMMI).

 

La Nuvola Pubblica Certificata è un’infrastruttura critica e strategica di cui deve essere assicurata continuità nel tempo e che richiede una struttura permanente che ne assicuri la realizzazione e la sostenibilità in un’ottica sistemica e provveda alla sua gestione.

 

Con riferimento al quadro normativo vigente e ai compiti oggi assegnati alle strutture esistenti è prima di tutto necessario istituzionalizzare nel CAD il ruolo di cloud service provider certificato e di Cloud Identity provider in modo simile a quanto avviene per i certificatori di firma elettronica agli Art. 26,27 e 29.

 

I fornitori sia pubblici che privati che aspirano a fornire servizi alla pubblica amministrazione dovranno ottenere, a proprie spese, una certificazione presso enti terzi, secondo criteri e regole tecniche predisposte, ad esempio, da un organismo come DigitPA, in modo che le amministrazioni, ma anche le imprese utenti, siano automaticamente garantite di ottenere servizi conformi a norme e regolamenti tecnici e contrattuali.

 

Il CAD attribuisce attualmente a DigitPA (struttura di cui si avvale il Ministro pro tempore attraverso il Dipartimento per la digitalizzazione della pubblica amministrazione e l'innovazione tecnologica) ruoli ibridi rispetto al modello proposto. Infatti DigitPA non appare ad esempio la struttura che possa esercitare direttamente il ruolo di cloud auditor che deve essere ricoperto da soggetti che possano garantire quella indipendenza necessaria per una credibile struttura di audit secondo gli standard internazionali di mercato (si vedano le specifiche ISACA per il ruolo degli auditor IS certificati CISA). In particolare per le funzioni di audit, in contesto PA, la nozione di indipendenza e terzietà dell’auditor risulta particolarmente rilevante e potrebbe orientare l’approccio verso un modello standard di mercato basato su strutture di professionisti certificati secondo gli standard internazionali.

 

DigitPA potrebbe invece essere la struttura che svolge il ruolo di stazione appaltante per tutte le attività di progettazione e gestione delle infrastrutture informatiche necessarie per supportare la Nuvola Pubblica Certificata e per l’attribuzione a soggetti qualificati dei compiti di auditing. Questi compiti sono praticamente analoghi a quelli che già svolge nel contesto SPC e SPCoop.

 

Oggi in mancanza di un quadro di riferimento istituzionale e organizzativo che caratterizzi i servizi della Nuvola Pubblica Certificata appare giustificata le posizione di chi - e giustamente in prima linea quella dell’Autorità garante – suggerisce in relazione agli aspetti di sicurezza e di tutela della privacy estrema cautela nell’uso dei servizi cloud che sono attualmente accessibili via Internet.

 

Nel quadro legislativo vigente (CAD e Dlgs 196/2003, Codice della privacy) esistono - non solo per le pubbliche amministrazioni, ma per tutti i privati titolari di dati personali - vincoli normativi di sicurezza e di responsabilità sui dati che hanno suggerito all’Autorità Garante di produrre il documento “Cloud Computing: indicazioni per l’utilizzo consapevole dei servizi” allegato alla recente Relazione 2010 del Garante per la protezione dei dati personali al Parlamento. Questo documento fornisce undici argomentati suggerimenti per gli utilizzatori del cloud in tema di sicurezza, livelli di servizio, clausole contrattuali e necessità di accertare l’affidabilità del provider, raccomandazioni che comportano da parte degli utilizzatori complesse verifiche normative, tecniche e contrattuali e di affidabilità nei riguardi dei fornitori di servizi cloud. Per utilizzare con relativa tranquillità i servizi cloud pubblici le singole amministrazioni e le imprese dovrebbero svolgere in proprio e a costi propri queste verifiche. Si tratta di adempimenti tecnicamente complessi e costosi che vanno spesso al di là delle capacità di soddisfarli della maggior parte dei soggetti destinatari. Il risultato, sicuramente non voluto, è però quello di scoraggiare i piccoli e medi utenti, che massimamente potrebbero beneficiarne, dall’adottare servizi cloud pubblici che già oggi sono offerti sul mercato.

 

La sicurezza informatica e la tutela della privacy costituiscono per le Amministrazioni e le aziende un costo che tende ad essere indipendente dalla loro dimensione economica. Il legislatore, finora, ha per lo più dettato principi generali, applicabili a tutti indistintamente. In futuro sarà opportuno prevedere regole e direttive opportunamente diversificate, dunque più “sostenibili”, per quanto riguarda gli adempimenti di sicurezza (inclusa la tutela della privacy). Occorre infatti tener conto dei costi e delle dimensioni dell’amministrazione e dell’azienda, accettare un ragionevole margine di rischio e considerare non solo la tipologia del dato, ma anche il suo valore economico. Tuttavia proprio il cloud computing può offrire la possibilità di fornire alle Amministrazioni questo tipo di servizi, a costi sopportabili e senza richiedere investimenti, diventando quindi una tecnologia abilitante per consentire alle piccole amministrazioni, e anche alle piccole imprese, di adeguare i propri sistemi informativi alle norme di legge sulla sicurezza, sempre che abbiano accesso ad una banda Internet adeguata.

14. La sicurezza strategica dei dati

Per comprendere le innovazioni possibili ed i risparmi che si potrebbero realizzare rilassando alcuni vincoli normativi è necessario andare al cuore del problema: i dati e la loro sicurezza.

 

Storicamente i dati operazionali, quelli che sono necessari allo svolgimento dei compiti di servizio (altri dati possono essere raccolti a fini decisionali o statistici) sono stati conservati su supporti fisici utilizzabili senza alcuna mediazione. Oggi i dati operazionali delle amministrazioni necessari al funzionamento del sistema paese sono conservati in modo codificato in forma elettronica e sono utilizzabili solo attraverso la mediazione di un sistema informatico. L’adozione di servizi cloud di tipo IaaS consente sia di spostare i dati nel cloud acquisendo servizi di storage sia di acquisire server virtuali dove poter eseguire le proprie applicazioni. A questo punto è naturale chiedersi: dove sono i dati e di chi sono i dati?

 

Finora per ragioni storiche comprensibili ha prevalso nella normativa l’idea che i dati operazionali (cioè quelli che servono allo svolgimento dei compiti istituzionali di un ente) sono di chi ha il compito istituzionale di raccoglierli, certificarli (cioè dichiararli autentici), conservarli e utilizzarli per lo svolgimento dei propri compiti di servizio. Si tratta di una visione che dovremmo ormai considerare obsoleta. Una visione più aderente alla realtà tecnologica odierna potrebbe ipotizzare che i dati delle amministrazioni sono res publica e sono semplicemente affidati alle Amministrazioni e agli Enti dello Stato, alle Regioni, alle Province e ai Comuni per fini specifici e con responsabilità specifiche e differenziate. (Anche perché spesso i dati di una amministrazione devono essere utilizzati nei procedimenti di un’altra).

 

È una realtà di fatto che i dati non hanno più un unico vero responsabile della sicurezza, ma esiste una molteplicità di soggetti che possono esercitare responsabilità di sicurezza diverse sugli stessi dati in momenti diversi. (Non si parla qui della tematica degli open data attualmente di grande richiamo, ma che riguarda la questione tutta politica della diffusione dei dati pubblici, non la tematica della loro sicurezza).

 

La normativa vigente è nata in un mondo senza reti e deriva da una cultura senza reti. Il sistema informativo di ogni organizzazione conserva procedure e dati in un luogo fisicamente circoscritto nell’illusione che così siano più sicuri e le responsabilità sulla loro sicurezza più oggettivabili.

 

Se però entriamo nella cultura della rete e del cloud e cerchiamo di beneficiare dei servizi IaaS, ad esempio di utilizzare servizi di storage o di disaster recovery offerti in rete da un cloud provider, dobbiamo affrontare una situazione più complessa in cui il sistema informativo di una organizzazione (composto di apparecchiature, procedure e dati) in pratica si smaterializza nella nuvola e la sua funzionalità è garantita da una molteplicità di soggetti. Al di là delle garanzie sulla qualità e i livelli di servizio, il tema veramente critico è quello della sicurezza dei dati.

 

La sicurezza informatica si declina in vari aspetti, (si tralascia di considerare gli aspetti della sicurezza fisica degli impianti per effetto di eventi catastrofici: questi ultimi aspetti sono comuni a tutti le infrastrutture strategiche per il funzionamento del Paese). Nel nostro caso è significativo concentrarsi sugli aspetti che riguardano la sicurezza dei dati, che costituiscono il vero patrimonio di un ente e non devono essere persi o alterati.

 

In un contesto di rete e di cloud i dati possono essere movimentati e conservati da soggetti diversi da quelli che li hanno generati e che li devono utilizzare per erogare i propri servizi istituzionali. Come esempio si pensi ad un Comune che acquisisce un server virtuale e capacità di memoria per svolgere le proprie funzioni anagrafiche. I soggetti coinvolti sono il Comune, il suo Internet Service Provider e il Cloud Service Provider che assicura il servizio di virtualizzazione e storage. Pensando ad un piccolo comune o a una piccola azienda, è certo che il livello di sicurezza che può ottenere utilizzando la nuvola è enormemente superiore al livello di sicurezza che potrebbe gestire in proprio.

 

Per quanto riguarda il trattamento dei dati è possibile individuare numerose responsabilità oggettivamente distinte:

• Esiste la responsabilità di raccogliere dati autentici e di certificarli e un corretto modello amministrativo dovrebbe garantire (ma purtroppo non è sempre vero) che un solo ente abbia la responsabilità di raccogliere un certo tipo di dati e di certificarli nei confronti di che ne ha bisogno per svolgere i propri procedimenti.

 

• Esiste la responsabilità di garantirne l’integrità cioè che i dati una volta raccolti possano essere modificati solo da soggetti autorizzati, sia quando sono memorizzati localmente sia quando vengono trasferiti in rete. Ogni violazione della integrità locale o nel trasferimento in rete deve essere rilevabile.

 

• Esiste la responsabilità di garantire la confidenzialità cioè che i dati possono essere conosciuti solo da soggetti autorizzati

 

• Esiste la responsabilità di garantire la disponibilità del dato, cioè la garanzia che il dato sia sempre accessibile, o venga recuperato in tempi certi, sia a fronte di eventi criminali che di eventi naturali catastrofici.

 

Questi sono i tipici parametri su cui si misura e si costruisce la sicurezza informatica e risulta evidente nell’esempio fatto che il titolare del Comune può esercitare direttamente la responsabilità di garantire l’autenticità del dato, mentre l’ISP ha nei fatti le responsabilità della integrità e della confidenzialità durante la trasmissione, e al CSP resta nei fatti la responsabilità della disponibilità, dell’integrità e della confidenzialità, ottenuti tipicamente con strumenti crittografici e soprattutto con il controllo dell’accesso (cioè con il riconoscimento degli addetti autorizzati).

 

È chiaro che siamo di fronte a materia contrattuale giuridicamente molto complessa che però non si risolve semplicemente mantenendo le cose come stanno e quindi lasciando la responsabilità totale in carico all’anello più debole della catena e quello meno coinvolto negli aspetti critici della sicurezza.

 

Il controllo dell’accesso comporta l’esistenza nella Nuvola Pubblica Certificata anche di servizi necessari alla realizzazione di un sistema nazionale federato di gestione della identità personale degli utenti e delle loro qualifiche e ruoli, per poter assegnare e gestire le opportune autorizzazioni all’accesso. Si tratta in pratica di porre in esercizio modelli di Identity management federato ormai collaudati e comunemente diffusi a livello internazionale e già parzialmente adottati anche da alcune Regioni italiane. Per questo è necessario che nella Nuvola Pubblica Certificata siano presenti una particolare categoria di service provider chiamati Identity Provider con il compito di rilasciare agli altri servizi asserzioni, certificate e basate su standard internazionali, sulla identità personale di chi accede ai servizi e sulle sue eventuali qualifiche o attributi necessari per concedere l’autorizzazione all’accesso. Anche i Cloud Identity Provider devono essere soggetti certificati. In particolare i CIP sono anche i soggetti che incaricati di gestire il processo di provisioning delle credenziali agli utenti. (Per una discussione completa sugli aspetti di gestione dell’identità federata si veda il documento allegato).

 

Gli utenti privati (le imprese) non hanno l’obbligo di utilizzare servizi certificati probabilmente più costosi, ma in questo caso si dovranno assumere direttamente le responsabilità relative agli adempimenti di sicurezza e di tutela della privacy.

 

Per le pubbliche amministrazioni è necessario invece rendere obbligatorio l’accesso a servizi certificati a garanzia dell’adempimento degli obblighi relativi all’accertamento dell’affidabilità tecnica e giuridica e finanziaria del provider.

 

In ogni caso questo cambio di paradigma richiama il decisore politico-istituzionale alla necessita di identificare ed enumerare con precisione quali siano le basi dati strategiche per il funzionamento del Paese, quelle cioè che sarà necessario mettere in sicurezza consolidandole in opportuni data center e, tra esse, identificare quelle che per ragioni di sicurezza nazionale debbano essere mantenute in data center operanti entro i confini nazionali.

 

La Pubblica Amministrazione italiana, a livello centrale e locale, dispone di numerose decine di data center, alcuni gestiti ancora con tecniche e procedure obsolete, quindi necessariamente costosi e poco efficienti. Una strategia di migrazione verso il cloud rappresenta anche un’occasione per rivedere la situazione esistente, con l’obiettivo di razionalizzare, consolidare e modernizzare i sistemi informativi, invece di procedere a costosi investimenti al solo fine di fare fronte all’obsolescenza delle dotazioni tecnologiche, senza apprezzabili vantaggi sul piano applicativi e funzionale.

15. La transizione verso il cloud

Il processo di migrazione verso il cloud computing da parte delle Amministrazioni sarà necessariamente graduale, si svolgerà secondo diversi modelli architetturali, mantenendo l’integrazione e la compatibilità con i servizi esistenti: le strategie seguite potranno essere rivolte all’uso di servizi di cloud pubblici in particolare della Nuvola Pubblica Certificata, oppure al consolidamento dei propri data center in cloud privati, ibridi o di comunità.

 

Per governare la transizione, sono necessari un censimento dei data center attualmente operativi e una pianificazione accurata, che includa una road map di transizione e un prospetto di costi e benefici economici e funzionali e - se possibili - incentivi per favorire l’aggregazione dei data center esistenti; nel caso in cui i data center appartengano ad enti locali che svolgono gli stessi compiti istituzionali ed erogano gli stessi servizi, si dovrebbe incentivarne la standardizzazione per favorire un consolidamento anche a livello applicativo.

 

Nel censimento potrebbero rientrare anche i data center dei grandi enti pubblici e delle grandi imprese a partecipazione pubblica (nazionale e locale) spesso dotati di grandi capacità e potenza di calcolo, superiori a quelle effettivamente utilizzate, e facilmente espandibili. Come già osservato tutte le infrastrutture critiche nazionali (gasdotti, oleodotti, elettrodotti, ferrovie, autostrade, poste, telecomunicazioni ecc.) sono oggi totalmente dipendenti dalle tecnologie ICT; è presumibile che i soggetti che le gestiscono possiedano data center capaci di evolvere, nel quadro di una partnership pubblico-privata ben costruita, verso l’offerta di servizi cloud, partecipando così come fornitori di servizi alla Nuvola Pubblica Certificata: una infrastruttura ICT strategica del Paese aperta a tutti.

 

Si potrebbero anche valorizzare asset significativi per il sistema già presenti nel paese e comunque vincolati per prassi interne o per obblighi regolamentari, a logiche di governance misurabili (come ad esempio nel mondo bancario), con ciò abilitando la realizzazione di una infrastruttura, anch’essa con natura giuridica da definire ma che potrebbe avere anche natura privata.

 

Ciò in base a due considerazione:

- Il mercato dei Cloud Provider richiede la presenza di un abilitatore forte, capace di avviare i primi progetti focalizzandosi più sugli aspetti sistemici che su quelli commerciali, aprendo così il mercato almeno a livello di infrastrutture e abilitando anche alcuni elementi propedeutici ai servizi Cloud veri e propri. Si pensi ad esempio alle grandi infrastrutture Multi Protocol Label Switching (MPLS) detenute dai grandi Data Center nazionali;

- Grandi realtà private con valore sistemico per il Paese hanno, da sole, tutte le potenzialità per abilitare pienamente tutti i servizi IaaS e PaaS necessari per lo start up operativo efficace di una politica Cloud nazionale, basti pensare alle capacità ICT detenute dal settore energia dell’Energia e delle Utilities, da ENI a ENEL a Terna, realtà considerate critiche per il loro valore sistemico e quindi avviate, anche per normativa primaria, a un percorso di controllo regolamentare, oppure a quelle detenute dai primari istituti bancari, pensiamo ad esempio ai centri servizi di Intesa San Paolo o di Unicredit o al Consorzio MPS, anch’essi già considerati a valore sistemico e posti sotto controllo sia per normativa primaria sia per prassi regolamentare nazionale e internazionale.

La realizzazione di una realtà di partnership, basata su questi contesti operativi porterebbe diversi vantaggi:

- Capitalizzerebbe su scala nazionale competenze e asset già presenti, ma di fatto non qualificati in un quadro sistemico;

- Permetterebbe la costituzione di un contesto aziendale privato che potrebbe supportare non solo operativamente ma anche giuridicamente un Ente con funzioni di controllo analoghe a quelle che Banca d’Italia esercita sul sistema bancario;

- Indirizzerebbe il mercato del Cloud senza richiedere fin dall’inizio investimenti pesanti e senza creare situazioni monopolistiche, sia perché si tratterebbe di attori che non operano nel mercato ICT sia perché si porrebbero in un quadro regolamentare controllato da un Ente esterno;

- Faciliterebbe una visione integrata delle componenti critiche del sistema Paese, coerentemente con le indicazioni UE che progressivamente dovranno essere effettivamente recepite anche in Italia;

- Permetterebbe ai Cloud Providers di focalizzarsi sui servizi a valore aggiunto SaaS e BPaaS, svincolando la componente IaaS, che necessita di grandi infrastrutture e che quindi sarebbe sempre rivolta a pochi grandi attori internazionali, che avrebbero anche la barriera all’accesso rappresentata dalla esigenza di mantenere almeno i servizi critici in Italia, dalla componente servizi SaaS, più facilmente perseguibile, probabilmente con maggiori margini e con maggiore valore percepito anche per gli utenti, permettendo da subito di realizzare portafogli servizi di notevole ampiezza;

- Garantirebbe gli utenti riguardo a esigenze normative o culturali relative al mantenimento delle componenti critiche su infrastrutture sotto diretto controllo nazionale.

Il modello risulterebbe architetturalmente sostenibile anche in considerazione dei recenti investimenti operati dai grandi attori del mercato su grandi progetti di consolidamento, virtualizzazione e IaaS o del modello architetturale già presente in grandi realtà con grandi cluster geografici su infrastrutture consolidate su reti MPLS in ambito nazionale o UE.

Tags

Attachments

- [ Show all ]

Voting

18 votes
19 up votes
1 down votes
Active
Idea No. 257