M1C1 – Investimento 1.2 – Migrazione in Cloud

Il PNRR dedica grande attenzione al processo di razionalizzazione del patrimonio ICT pubblico. Un percorso già avviato nell’ambito delle diverse edizioni del Piano triennale. In continuità con questo percorso, il PNRR persegue due obiettivi strategici tra loro strettamente correlati. Da un lato, il consolidamento delle infrastrutture digitali pubbliche, dall’altro, l’adozione di un approccio cloud first nello sviluppo di applicazioni e servizi.
L’obiettivo finale è di portare circa il 75% delle PA italiane a utilizzare servizi in cloud entro il 2026. Il Piano individua quindi due specifiche linee di investimento relative a infrastrutture digitali (1.1) e migrazione in cloud (1.2).
Le due misure previste dal PNRR sono strettamente collegate alle linee di indirizzo contenute nella Strategia Cloud Italia, elaborata da DTD e ACN (settembre 2021). La Strategia si articola in 3 direttrici che guidano la PA nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud:
1. Classificazione di dati e servizi della PA in base al danno che una loro compromissione provocherebbe sul sistema-Paese. In particolare, la Strategia individua tre classi di dati e servizi:
- Strategici, la cui compromissione provocherebbe un impatto sulla sicurezza nazionale;
- Critici, la cui compromissione provocherebbe un pregiudizio a funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
- Ordinari, la cui compromissione non provocherebbe interruzione di servizi dello Stato o pregiudizio per il benessere economico e sociale del Paese.
2. Qualificazione dei servizi Cloud utilizzabili dalla PA, per garantire che caratteristiche e livelli di servizio siano conformi a determinati requisiti di sicurezza, affidabilità e rispetto delle normative rilevanti.
3. Realizzazione del Polo Strategico Nazionale (PSN), un’infrastruttura nazionale per l’erogazione di servizi cloud. Il PSN offre le più alte garanzie di affidabilità, resilienza e indipendenza. Gestione e controllo dell’infrastruttura sono autonomi da soggetti extra UE.
Successivamente, i provvedimenti attuativi della Strategia hanno ulteriormente dettagliato le linee di indirizzo. Tali provvedimenti hanno definito, tra le altre cose, il processo di classificazione di dati e servizi pubblici. La classificazione è un passaggio propedeutico allo sviluppo dei piani di migrazione delle PA verso ambienti cloud qualificati. I piani di migrazione devono infatti identificare la tipologia di cloud di destinazione (PSN o cloud provider) in base all’esito della classificazione.
Quali sono questi provvedimenti?
Il 15 dicembre 2021 l’Agenzia per l’Italia digitale (AgID) ha adottato il Regolamento sui servizi cloud della PA (Determinazione n. 628/2021) che, tra le altre altre cose:
- definisce le caratteristiche dei servizi cloud per la pubblica amministrazione;
individua le modalità del procedimento per la loro qualificazione;
- definisce termini e modalità con cui le PA devono effettuare le migrazioni, anche stabilendo il processo e le modalità per la classificazione dei dati e dei servizi digitali.
Il 18 gennaio 2022, l’ACN ha predisposto, in collaborazione con il DTD, le circolari attuative del Regolamento Cloud, inerenti a:
- classificazione dei servizi erogati dalla PA (Determinazione n. 306/2022). Contiene il modello di classificazione a 3 livelli in base alla criticità di dati e servizi;
- qualificazione dei servizi cloud e dei data center della PA (Determinazione 307/2022). Definisce quattro livelli crescenti di qualificazione, sia per le infrastrutture che per i servizi cloud. La tipologia di dati e servizi trattabili (strategici, critici, ordinari) dipende dal livello di qualificazione raggiunto.
Dal 19 aprile 2022, le amministrazioni possono effettuare la classificazione, propedeutica al processo di migrazione. Le PA possono utilizzare l’apposita procedura disponibile sulla piattaforma PA Digitale 2026.
Dal 19 gennaio 2023, la competenza relativa al processo di qualificazione di soggetti pubblici e privati che intendono fornire servizi cloud alla PA passa ufficialmente da AgID ad ACN. Il Decreto direttoriale n. 29 del 2 gennaio 2023, adottato da ACN d’intesa con il DTD, definisce il passaggio verso il nuovo sistema di qualificazione.