Esattamente come già avvenuto, in largo anticipo, per il settore privato, la spinta frenetica alla digitalizzazione dei servizi resi dalla pubblica amministrazione e la trasformazione radicale del modello sei servizi IT, ha reso la scelta dell’adozione di un modello basato sul cloud una necessità, più che un’opportunità.
Contributi e agevolazioni
per le imprese
La trasformazione digitale e l’adozione del cloud nella PA
Difficile poter dire se sia stata la trasformazione digitale a modificare concettualmente lo stesso operato della pubblica amministrazione, ma è certo che la domanda di servizi efficaci, economicamente e operativamente sostenibili e la significativa carenza di professionalità tecniche – che affligge purtroppo in egual misura pubblico e privato, soprattutto nel nostro Paese – ha agevolato la scelta di migrare servizi, tradizionalmente gestiti in origine in modalità analogica, poi con strutture informatizzate “basiche”, per quindi abbracciare il modello dei servizi in cloud, in particolar modo nella formula SaaS – Software-as-a Service.
Questa svolta copernicana, oltre che dal descritto contesto, è stata agevolata anche da scelte coraggiose del legislatore che, a partire dalla ristrutturazione di un modello di provvedimento amministrativo sempre più rigoroso, con garanzie assai significative verso i privati, cittadini ed imprese e con presidi di responsabilizzazione, tempistiche certe e obbligo di conclusione del procedimento con un provvedimento espresso (ci si riferisce alla legge 241/1990), ha in fatto e in diritto obbligato all’adozione di strumenti digitali avanzati.
L’adozione del cloud computing è sembrata subito una straordinaria opportunità, rendendo immediatamente disponibili, soprattutto a favore di quegli Enti di dimensioni non importanti e che possano quindi permettersi dipartimenti IT strutturati con risorse umane e dotazioni finanziarie significative, per gestire una complessità tecnologica. L’idea di poter attivare, senza investimenti in hardware e software, ma con un semplice contratto e un minimo di formazione strettamente operativa per i funzionari, servizi complessi, con beneficio diretto per i cittadini, è stata perciò vincente e ha dato il via ad un modello di business per grandi e piccole imprese, pronte ad offrire servizi dedicati, ancorché fortemente orientati alla standardizzazione, definendo modelli commerciali studiati per rispondere ai bisogni degli Enti della pubblica amministrazione.
Le criticità della gestione del rischio nei servizi cloud
Colto l’aspetto economico-funzionale e la grande opportunità, apparentemente vincente per entrambe le parti – Enti della pubblica amministrazione in veste di clienti e fornitori di servizi in cloud – l’entusiasmo non ha, assai probabilmente, favorito la necessaria riflessione sugli aspetti di rischio e di conformità normativa che le soluzioni cloud, nelle diverse forme, presentano nell’applicazione pratica.
Si fa presto a dire cloud
Intanto un primo, fondamentale aspetto su cui era necessario soffermarsi, è rappresentato dalla complessità intrinseca del modello cloud, sia di natura tecnologica, che di modello specifico di funzionamento.
Vuoi bloccare la procedura esecutiva?
richiedi il saldo e stralcio
Dietro all’amichevole semplicità del front-end costituito dai servizi web, accessibili da un browser di navigazione, c’è una realtà complessa, non sempre evidente e soprattutto non governabile e gestibile, neppure lontanamente, dal cliente finale. Il cloud, per sua natura, si basa su un’architettura distribuita, basata su funzioni e servizi, erogati dal fornitore specializzato di software applicativo, che a sua volta si affida ad altre parti: il fornitore di servizi di hosting in cloud sui data center, i gestori dei data-base in outsourcing; i fornitori di servizi gestiti, sia di natura sistemistica che applicativa, nonché di Information security (nei casi migliori!), con una impressionante catena di relazioni non sempre trasparente e che invece dovrebbe essere sistematicamente tracciata e gestita anche e soprattutto sotto i profili della garanzia della disponibilità, integrità e riservatezza e nella corretta definizione dei ruoli e delle responsabilità tra “Titolari”, “Responsabili” e “ulteriori responsabili”, con il ben noto modello definito dall’art. 28 del GDPR e con coerente applicazione dei principi del trattamento e della connessa necessità, per il titolare, di comprovarne il pieno rispetto, secondo il fondamentale criterio della “responsabilizzazione”.
Ostacoli per le amministrazioni minori nell’adozione del cloud computing
Già questo aspetto rappresenta una pietra d’inciampo, perché qualunque forma di esternalizzazione non solo non libera il soggetto gravato da una “posizione di garanzia”, qual è il titolare del trattamento dei dati, che somma alla generale responsabilità del titolare, anche quella dell’esercizio di un dovere di vigilanza, continuativa, effettiva, sulle modalità con la sicurezza dei dati è affrontata dalla catena di fornitura cloud.
Evidentemente, questo processo è critico per una serie di ragioni, diremmo “originarie”, tra cui vale la pena menzionare:
- Carenza di risorse tecniche ed economiche limitate – Le amministrazioni minori dispongono di budget limitati, che impediscono l’acquisizione di dotazioni di controllo e gestione tecnica del dato e dei relativi accessi; l’assenza di personale altamente specializzato, carente in generale anche per le gradi aziende private, costituisce un ostacolo significativo ed anche la prescrizione, introdotta recentemente dall’art. 8 della L. 90/2024 relativa all’obbligo di rafforzare la resilienza delle pubbliche amministrazioni e alla designazione di un “referente per la cybersicurezza”, appare piuttosto una forma piuttosto discutibile di rimedio ad una realtà effettivamente critica.
- Difficoltà nel garantire la conformità normativa – da quanto detto ne discende anche la reale difficoltà, soprattutto per gli Enti minori, a verificare che i provider cloud rispettino tali normative e adempiere a quegli obblighi di controllo che dovrebbero rappresentare il minimo livello operativo di governo degli obblighi contrattuali e connessi ai ruoli ed alle responsabilità definite, tra l’altro, dal GDPR.
- Scarso potere contrattuale – A differenza delle grandi amministrazioni centrali, le realtà minori hanno un ridotto potere di contrattazione con i fornitori cloud. Questo le espone al rischio di accettare termini contrattuali sfavorevoli, che non includono adeguate garanzie sulla sicurezza, sulla qualità dei servizi o sulla possibilità di effettuare audit indipendenti.
Il regolamento unico per i servizi cloud della pubblica amministrazione
Per fronteggiare questo reale e complesso tallone d’Achille del sistema, già nel 2021 l’Agenzia per l’Italia Digitale (AgID), ben consapevole del quadro di rischio che si andava profilando, aveva iniziato a definire una strategia più ampia per la gestione del cloud, in attuazione degli articoli 33-septies, comma 4, del D.L. 179/2012 e 17, comma 6, del D.L. 82/2021, con lo specifico intento di:
- stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;
- definire le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione;
- individuare i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, anche stabilendo il processo e le modalità per la classificazione dei dati e dei servizi digitali delle pubbliche amministrazioni;
- individuare le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione.
Tale prospettiva si è mantenuta, con il trasferimento delle competenze alla neonata “Agenzia per la Cybersicurezza Nazionale”, fino ad approdare al “Regolamento unico per le infrastrutture digitali e i servizi cloud per la Pubblica Amministrazione” adottato con Decreto Direttoriale dell’Agenzia per la Cybersicurezza Nazionale n. 21007/24 del 27 giugno 2024 ed efficace dal primo agosto 2024.
Il dettaglio di questo provvedimento, il modello costitutivo di questa strategia e le notevoli implicazioni organizzative sono state già affrontate su questa stessa rivista e su altre testate in ripetute occasioni[1] e a quelle illustrazioni si rinvia per una più ampia comprensione del contesto regolatorio.
Limiti dell’approccio regolatorio nella gestione degli incidenti di sicurezza
In questa sede, partendo dall’esperienza di un significativo incidente, che ha colpito un importante fornitore di servizi cloud SaaS per la pubblica amministrazione l’8 dicembre 2023 e che ha avuto impatti su un considerevole numero di pubbliche amministrazioni centrali e locali e di utenti, pare utile svolgere alcune riflessioni critiche sul modello esclusivamente regolatorio, che rischia di dimostrare costantemente tutta la sua fragilità alla prova dei fatti, ossia nell’affrontare incidenti di sicurezza che originano da azioni deliberate di attori ostili.
Il Professor Chris Johnson, accademico britannico impegnato nella ricerca dei fattori convergenti a definire la reale capacità dei soggetti critici a garantire la sicurezza delle informazioni, dei sistemi e delle reti, in occasione del primo Cybersecurity Summit promosso dall’Organizzazione Internazionale dell’Aviazione Civile a Dubai nel 2017, codificò con una formula iconica il cosiddetto “Paradosso di Dubai”, da una semplice quanto fondamentale osservazione: il mondo occidentale primeggia nello sforzo di regolazione, imponendo ai soggetti – pubblici e privati – chiamati ad uno sforzo difensivo senza pari nel passato, una serie indefinita di processi, obblighi, vincoli, aggravati dalla scarsità di risorse e da un quadro di minacce sempre più intense e aggressive.
Prestiti aziendali immediati
anche per liquidità
Guardando il versante degli attaccanti, questi per definizione non seguono regole ed anzi, di sovente, profittano proprio del necessario rispetto delle regole proprie degli stati di diritto, per amplificare gli effetti dei propri attacchi, favoriti in molti casi dalla disponibilità di ingenti risorse, in particolare quando provenienti da attori statuali o supportati da compagini governative. In una figurativa bilancia a due bracci, il piatto del difensore è sempre in una posizione deteriore rispetto a quella dell’attaccante.
Questa considerazione è ancor più vera quando si consideri che il mondo contemporaneo ha visto un progressivo trasferimento di uno dei compiti fondamentali dello Stato, quello di garantire la sicurezza dei propri consociati (l’altro è la difesa) verso i cittadini e soprattutto le imprese, che non possono però fruire di quei poteri coercitivi e di monopolio della forza, che continuano ad appartenere, in modo formale e sostanziale, al potere pubblico.
E dunque resta il fondamentale quesito, se questo trasferimento di responsabilità, che si traduce in concreto in una produzione bulimica di norme ed obblighi, apporti un reale miglioramento in quella che si definisce la “postura di sicurezza” di un Paese e, dunque, alla reale riduzione della superficie d’attacco complessiva.
Quesito ancor più di difficile soluzione, quando si consideri che, a fronte dell’aumento della pressione normativa, gli incidenti di sicurezza anziché diminuire, aumentano secondo una proiezione esponenziale, se si considerino corretti i dati raccolti e pubblicati da organizzazioni pubbliche e private qualificate come ENISA e CLUSIT.
La complessità della gestione dei dati pubblici nel cloud
La realtà è assai più complessa di quanto possa apparire e, soprattutto, mal tollera semplificazioni, in un contesto, come quello della gestione dei dati pubblici nel cloud presenta diverse implicazioni di estrema delicatezza.
Un primo aspetto da segnalare e che meriterebbe un approfondimento sistematico, riguarda quello che in punto tecnico viene definito come “ripartizione delle responsabilità di security” (Security Shared Responsibility) in ambiente cloud e che renderebbe necessaria una chiara e costantemente aggiornata attribuzione della responsabilità sul dato nella complessa architettura di un sistema cloud sopra descritto. Al di là di una formulazione contrattuale di questo regime, andrebbe svolto un serio approfondimento su come questo meccanismo funzioni (e se funzioni), investigando soprattutto sei singoli attori della catena esercitino i propri poteri-doveri (per esempio: nella definizione dei criteri per la continuità operativa, dei backup, dell’efficacia dei meccanismi di disaster recovery, delle politiche di identity/privileged identity management, di vulnerability e patch management, per citarne solo alcune).
Altro ambito di approfondimento, sino ad oggi solo parzialmente esplorato soprattutto in Italia, riguarda l’effettiva capacità di garantire l’interesse nazionale, in particolare per quanto attiene ai dati critici o strategici che vengano ad essere memorizzati su server appartenenti ad imprese di diritto straniero. Il riferimento è relativo all’annosa questione delle relazioni tra Unione Europea e Stati Uniti, a seguito delle censure mosse sul preesistente “Privacy Shield”, intese a limitare i poteri delle agenzie federali statunitensi nel prendere cognizione di informazioni detenute da imprese statunitensi, relative a soggetti non USA, ovunque esse si trovino e che ha suscitato ampie polemiche in relazione alla perdurante vigenza dei provvedimenti noti come FISA Section 702[2] ed Executive Order 12333[3] e che in momenti di raffreddamento delle relazioni internazionali potrebbero aprire una falla nel sistema difensivo del Paese.
Vuoi acquistare in asta
Consulenza gratuita
Prospettive future per la sicurezza dei dati nella pubblica amministrazione
Queste considerazioni dimostrano come gli aspetti di sicurezza e quelli di più ampia valutazione strategica degli interessi nazionali e comunitari si intersecano e non possano essere disgiunti, così come non si può pensare come il trasferimento di compiti di protezione così qualificati e sofisticati possano essere richiesti al “referente Cyber” di un’amministrazione pubblica.
In realtà, anche alla luce degli sconvolgimenti geopolitici nei quali l’Unione Europea si è trovata coinvolta in maniera repentina, alcune strategie che apparivano consolidate – ad esempio quelle della gestione strutturale dei dati a massimo valore presso il Polo Strategico Nazionale e il controllo dei dati verso grandi players tecnologici statunitensi, partner del citato Polo – è verosimile che richiederanno una rivalutazione dei rischi e l’adozione di nuove misure idonee a salvaguardare l’interesse nazionale. Processo di natura fortemente politica che poco vedrà coinvolti gli Enti della pubblica amministrazione, che null’altro potranno fare che domandarsi, legittimamente, quale livello di sicurezza possa e debba essere garantito ai propri dati.
La necessità di un nuovo approccio alla governance digitale
Nulla è durevole quanto il cambiamento. Non c’è nulla di immutabile, tranne l’esigenza di cambiare. Tutto fluisce, nulla resta immutato (Eraclito)
Questo è un altro punto di grande disagio per il giurista, un tempo avvezzo alla stabilità delle norme, che nel tempo potevano subire diverse interpretazioni, rimanendo strutturalmente invariate. Oggi i cambiamenti geopolitici si sommano a quelli tecnologici e l’ansia di normare con regole di dettaglio, proprie di certi ordinamenti, come quello europeo, dimostrano tutti i loro limiti.
La pubblica amministrazione nazionale, che pure ha in molti casi ben dimostrato una flessibilità di adattamento al cambiamento, si troverà a fronteggiare nuove ed ulteriori sfide anche radicali. Basti pensare al Disegno di legge, che sta completando il proprio iter parlamentare) sull’intelligenza artificiale, che prevede un ampio utilizzo di questa misteriosa entità dai contorni tuttora indefiniti, addirittura nelle istruttorie dei provvedimenti amministrativi, con tutto quello che ne conseguirà anche in chiave culturale e di organizzazione degli uffici.
Quel che appare all’osservatore attento è che l’impostazione formale nelle relazioni tra potere esecutivo, organi di controllo ed enti amministrativi è destinata a cambiare, esattamente come dovrà cambiare ancor di più il rapporto tra enti di controllo e imprese: l’esigenza è quella di abbandonare la prospettiva che ancora risente dell’approccio della pubblica amministrazione di controllo come “entità sovrana” e il privato (o anche l’ente pubblico minore) percosso dalle norme in un rapporto di perdurante sudditanza.
Prestito condominio
per lavori di ristrutturazione
La storia, quella che stiamo vivendo oggi nella sua innaturale complicazione, richiede propensione al cambiamento e capacità di far fronte comune alla realtà, trasformandola da permanente rischio a grande opportunità di evoluzione.
Note
[1] Il nuovo Regolamento per il cloud della PA: novità e impatti – Agenda Digitale
Servizi cloud PA, entra in vigore il nuovo Regolamento: ecco come recepirlo – Cyber Security 360
[2] Foreign Intelligence Surveillance Act, 2008
[3] Adottato dal Presidente Ronald Reagan nel dicembre 1981, è il fondamento giuridico attraverso la quale l’agenzia per la sicurezza statunitense NSA raccoglie, conserva, analizza e diffonde le informazioni di intelligence esterna. L’applicazione principale di questa fonte è la possibilità di raccogliere, analizzare e adottare conseguenti provvedimenti relativi ad entità straniere che avvengono interamente al di fuori degli Stati Uniti
Vuoi bloccare la procedura esecutiva?
richiedi il saldo e stralcio
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
