La rivoluzione del digitale pubblico: parte in questi giorni la valutazione del rischio per i dati

Access to the comments Commenti
Di euronews
Il direttore dell'Agenzia per la Cybersicurezza Nazionale, Roberto Baldoni
Il direttore dell'Agenzia per la Cybersicurezza Nazionale, Roberto Baldoni   -   Diritti d'autore  ACN per Euronews

Tre profili di rischio per una protezione centralizzata della futura amministrazione pubblica digitale: inizia in questi giorni la rivoluzione digitale delle amministrazioni italiane, che si sposteranno sui  server dei quattro datacenter che formano il nuovo Cloud Nazionale. 

Ora, dopo l'accensione dei server avvenuta a fine dicembre, tocca all'Agenzia per la Cybersicurezza Nazionale, cui compete la strutturazione della sicurezza dei dati. 

Dal 19 gennaio ha preso il via la fase forse più impegnativa, quella della catalogazione di tutti i dati in base al profilo di rischio, oltre alla validazione e alla qualificazione  - da parte dell'Agenzia - dei service cloud e delle infrastrutture. 

Una fase che durerà un anno, dopodiché i dati potranno iniziare a confluire nei server centralizzati ed entro la fine del 2026 si prevede che sia completato il trasferimento di almeno 280 enti pubblici - enti nazionali, servizi sanitari, amministrazioni regionali, provinciali e dei comuni di più di 250.000 abitanti. Gli altri, e cioè principalmente i comuni più piccoli, seguiranno.

Di fronte a un processo così ampio possono esservi naturalmente molte inquietudini: sulle fasi di passaggio, sull'accentramento del rischio, sulla tutela della privacy e molto altro.  

Bisogna anche tener conto delle necessità di interazione e di coordinamento non solo tra amministrazioni italiane, ma anche con i partner europei e gli alleati NATO, e nello stesso tempo capire fino a che punto si possano condividere i dati: 

"Nella cybersicurezza - ci ha detto il direttore dell'Agenzia Nazionale, Roberto Baldoni - è molto importante il modo in cui ci si coordina nei vari settori con gli alleati e con gli Stati membri dell'Unione europea per realizzare una specie di rete nella quale le informazioni possano circolare rapidamente, e questo è il motivo per cui la nostra legge che ha creato l'agenzia ha anche stabilito che il coordinamento della cybersicurezza è in capo al Presidente del Consiglio, e questo consente un'azione su tutto lo spettro, in tutti i settori".

È questa la particolarità italiana: una centralizzazione nelle mani del capo del governo che non si trova negli altri Paesi. 

Baldoni ci ha spiegato che il processo è stato avviato già nel 2021: 

"Dal settembre 2021 - ha detto - l'Italia ha avviato il processo per implementare la strategia di cloud nazionale. Una delle pietre miliari risiede nel fatto che viene attribuito all'Agenzia per la Cybersicurezza Nazionale un ruolo-guida, nel qualificare i cloud providers e le infrastrutture per fornire i servizi alla Pubblica Amministrazione". 

"Dal 19 gennaio - prosegue Baldoni - ha preso avvio la fase di transizione, che durerà un anno nel corso del quale l'Agenzia per la Cybersicurezza Nazionale inizierà a sviluppare le proprie procedure di qualificazione per gestire tre diversi tipi di dati della Pubblica Amministrazione. Si tratta di dati con valenza strategica, che potrebbero comportare un impatto per la sicurezza nazionale, che avranno quindi misure di sicurezza più restrittive per la gestione dei dati; poi i dati critici, che potrebbero avere un impatto inferiore sulla sicurezza nazionale, che avranno misure un po' meno stringenti; e infine i dati ordinari, che necessiteranno di livelli di sicurezza inferiore per la gestione da parte di un provider. Tutto questo per creare una zona di sicurezza in Italia quanto al modo di gestire questi dati". 

I più timorosi in materia di protezione della privacy, così come i più entusiasti per il potenziale fornito dalla circolazione dei dati, ricorderanno che sin dall'inizio del suo mandato da presidente della Commissione europea Ursula von der Leyen aveva detto che "i dati devono circolare". Non tutti nello stesso modo, ovviamente.  E comunque secondo le regole, che sono per la verità in continua evoluzione, in parallelo con l'evoluzione delle infrastrutture (era la stessa presidente della Commissione Ue, nel febbraio 2020, a precisare che anche l'articolo 20 del GDPR - quello che conferisce agli individui un teorico controllo su chi possa accedere ai loro dati, cioè principalmente ai dati machine generated, a partire dai famosi cookies - potrebbe essere modificato, o piuttosto ampliato a tutela del cittadino. Questione in realtà molto complessa, quella del controllo reale da parte dell'utilizzatore, che nella gran parte dei casi è portato a rinunciare a qualsiasi forma di controllo). 

A metà febbraio del 2020 Von der Leyen presentava il paper intitolato "Una strategia europea per i dati" e diceva: "è un fatto che la maggior parte dei dati che raccogliamo oggi non viene mai utilizzata, nemmeno una volta, e questo non è più sostenibile". 

In quella mole di dati, spiegava, "giace un'enorme quantità di idee preziose, di innovazione possibile, di un potenziale inesplorato che dobbiamo liberare". 

In quei giorni si veniva a sapere che l'Ue punta a creare entro il 2030 un "mercato unico dei dati", privilegiando nove settori strategici tra i quali il clima, l'agricoltura, l'energia e la sanità.  Si prevedevano investimenti da 6 miliardi di € per i datacenter. Nel contempo si lavora alla realizzazione di una "federazione europea dei cloud" (Gaia-X, che è partita da una collaborazione tra Commissione Ue e governo tedesco), per ovviare alla dipendenza europea da Cina e USA. 

La pandemia ha poi portato, più che a rivedere, ad ampliare alcuni assi prioritari tra i quali proprio la digitalizzazione, che è uno dei pilastri anche del Pnrr italiano.  

Lo scopo dichiarato dall'esecutivo Ue era la facilitazione della condivisione di dati tra operatori privati e tra imprese e pubblica amministrazione, e questo dovrebbe consentire un valore relativo quasi triplicato della data economy, che dal 2,4% del PIL europeo nel 2018 dovrebbe balzare al 5,8% già nel 2025. 

Non deve stupire quindi che anche l'Italia si sia rapidamente attivata e sia riuscita finora riuscita a rispettare i tempi: è attivo da fine dicembre il Polo Strategico Nazionale con i suoi quattro datacenter a Rozzano, Santo Stefano Ticino, Acilia e Pomezia. E come detto tocca ora alle amministrazioni pubbliche la catalogazione dei dati e all'Agenzia per la Cybersicurezza Nazionale la supervisione di questa lunga fase di trasmigrazione dei dati

Nella fase di passaggio, ma anche successivamente se si considera la necessaria commistione pubblico-privato sin dalla creazione del cloud (il Polo Strategico Nazionale è un S.p.A. i cui soci fondatori sono Cassa Depositi e Prestiti, Sogei, Leonardo e TIM) diviene quindi cruciale il rispetto delle regole (e quindi la sorveglianza) a tutela dei titolari di diritti sui dati e della privacy dei cittadini, utenti, consumatori. E per i dati più sensibili si pongono ovviamente anche le questioni di rilevanza strategica. 

 "La ratio che sta alla base della strategia di Cloud Nazionale italiana - commenta ancora il direttore dell'Agenzia per la Cybersicurezza Nazionale, Roberto Baldoni - è la ricerca del giusto equilibrio tra la sicurezza nazionale e il mercato aperto". 

Si tratta dunque di consolidare la dinamica della data economy europea, migliorando sostanzialmente la perfomance dei servizi pubblici nei rapporti con il cittadino e con le imprese, garantendo nello stesso tempo miglior protezione ai dati di rilevanza strategica ma anche a quelli di minor rilevanza, per il semplice fatto che una centralizzazione dei dati consente di garantire un miglior controllo degli accessi e un'implementazione univoca delle strategie di sicurezza e di protezione dei dati. 

"L'Agenzia per la Cysicurezza Nazionale - sttolinea Baldoni - è nata nel settembre 2021, ma in realtà non abbiamo iniziato da 0, perché nel 2018 venivano già create le basi per la cybersicurezza nazionale in seno ai servizi. Da lì in poi abbiamo studiato le migliori pratiche adottate nel mondo. 'Coordinamento' è una delle parole chiave nel testo della norma che ha creato questa agenzia".