▶️L'acquisizione di servizi qualificati

Premessa: il principio del “Cloud first”

Con il Decreto del Presidente del Consiglio dei Ministri del 31 maggio 2017 è emanato il Piano triennale per l’informatica nella PA 2017-2019, con il quale viene introdotto il Modello Cloud della PA, definito come l’insieme di infrastrutture IT e servizi cloud qualificati da AGID a disposizione della PA e una strategia atta alla realizzazione di tale modello assieme alla definizione del programma di abilitazione al Cloud della PA.

Col termine “Cloud” ci si riferisce alla locuzione “Cloud computing” che, letteralmente, sta per “informatica nella nuvola”: attraverso il web è cioè possibile accedere a dati, documenti e applicazioni residenti su server remoti anziché su sistemi in locale; è, quindi, sufficiente un dispositivo che possa collegarsi ed una connessione ad Internet.

Con l’utilizzo del Cloud computing a seconda della necessità è possibile, quindi, disporre di diverse tipologie di risorse informatiche;

• hardware in remoto (IaaS - Infrastructure as a Service),

• piattaforme software (PaaS - Platform as a Service),

• software in remoto (SaaS - Software as a Service).

Il successivo Piano triennale 2019-2021 stabilisce con precisione, al par 1.1, il principio del “Cloud first”: le pubbliche amministrazioni, in fase di definizione di un nuovo progetto, e/o di sviluppo di nuovi servizi, in via prioritaria devono valutare l’adozione del paradigma cloud prima di qualsiasi altra tecnologia, tenendo conto della necessità di prevenire il rischio di lock-in. Dovranno altresì valutare il ricorso al cloud di tipo pubblico, privato o ibrido in relazione alla natura dei dati trattati e ai relativi requisiti di confidenzialità.

Nel successivo par 3.1 viene, poi, esplicitata la composizione del modello Cloud delle PA:

• infrastrutture qualificate da AGID che erogano i servizi Cloud qualificati descritti nel punto seguente;

• servizi qualificati da AGID consultabili mediante il Cloud Marketplace suddivisi in IaaS (Infrastructure as a Service), PaaS (Platform as a Service) e SaaS (Software as a Service).

In sintesi, i servizi cloud qualificati da AGID abilitano le PA a sviluppare nuovi servizi digitali, sono esposti mediante il Cloud Marketplace (Il catalogo dei servizi cloud qualificati) e sono erogati mediante le infrastrutture qualificate: i Cloud Service Provider (CSP) qualificati da AGID, i Poli Strategici Nazionali (PSN) e l’infrastruttura di Community Cloud realizzata dal Raggruppamento Temporaneo di Imprese (RTI) aggiudicatario del Contratto Quadro Consip SPC Cloud Lotto 1, fino al termine del contratto. Al fine di facilitare l’adozione del Cloud della PA, AGID e Team per la trasformazione digitale hanno avviato un Programma nazionale di abilitazione al Cloud della PA, anche detto Cloud Enablement Program.

Vengono, quindi, citate le circolari AGID n.2 e AGID n.3 del 2018 con le quali vengono definite procedure e requisiti da osservare ai fini della qualificazione di infrastrutture e servizi.

Dalla lettura combinata di queste circolari con le Determinazioni AGID n. 358 e n.408 del 2018 se ne ricava la data del 1 aprile 2019 come termine, a decorrere dal quale, le Amministrazioni di cui all’articolo 2 del D. Lgs n. 82/2005 acquisiscano esclusivamente servizi IaaS, PaaS e SaaS qualificati dall’Agenzia e pubblicati sul Marketplace Cloud della PA”.

Il principio del “cloud first” è ribadito anche nell’ultimo aggiornamento al Piano triennale 2022- 2024.

Il quadro così delineato rimane immutato pur con il passaggio di alcune competenze da AGID all’Agenzia per la Cybersicurezza Nazionale (di seguito ACN). Dal 19 gennaio 2023 è iniziato il regime transitorio per le procedure di qualificazione, ai sensi dell’art. 2 del Decreto Direttoriale prot. n. 29 del 2 gennaio 2023 di ACN. Lo stesso decreto, al successivo art. 3, dispone l’adozione delle nuove modalità e le procedure di qualificazione che disciplineranno il regime ordinario a partire dal 31 luglio 2023.

I Piani triennali dell'Informatica ad oggi (a cura di AGID):

• Piano Triennale per l'informatica nella PA - Aggiornamento 2022 - 2024

• Piano triennale per l’informatica nella PA - Aggiornamento 2021 - 2023

• Piano triennale per l'informatica nella PA - Aggiornamento 2020 - 2022

Monitoraggio e format del Piano triennale:

• Monitoraggio del Piano triennale per l’informatica nella PA

• Guida per la redazione format del Piano triennale per le pubbliche amministrazioni, Indicazioni operative e note per la redazione

• Format Piano Triennale (formato docx) per la redazione del Piano ICT ad uso delle pubbliche amministrazioni

Ragioni alla base del “Cloud per la PA”

Nel settore dell’informatica si è assistito, a partire dal primo decennio degli anni 2000, a una diffusione crescente di applicazioni e servizi in Cloud rispetto alla gestione interna degli stessi con sistemi propri quali server, sistemi operativi e software. Tale fenomeno lo si spiega, principalmente, con la constatazione di una diminuzione del cosiddetto TCO, Total Cost of Ownership col passaggio, appunto, ad una organizzazione di tipo Cloud, passando da un investimento che non prescinde da costi di manutenzione e che può richiedere periodi lunghi di ammortamento, all’acquisizione di servizi a consumo caratterizzati da accelerazione dei tempi di messa in produzione, da maggiore elasticità nell’estensione di servizi correlati, da minori difficoltà e minori costi operativi nel passaggio ad altro fornitore: specialmente per quegli enti che non sono dotati di strutture tecniche competenti ed adeguate.

Nello specifico della pubblica amministrazione si è deciso di adottare un modello dedicato e chiamato “Cloud della PA”. Le ragioni alla base di questa scelta risiedono nella necessità di requisiti più stringenti in materia di sicurezza, di affidabilità e di qualità operative: il mercato libero può presentare un’ampia varietà di offerta in termini di fornitori con i più svariati profili qualitativi. Proprio per evitare tale rischio si è deciso di attivare un sistema di qualificazione per i soggetti che intendono offrire servizi, applicazioni e infrastrutture alla PA nel rispetto di parametri ben definiti di sicurezza e affidabilità: ottenuta la qualificazione i fornitori potranno essere inseriti nel Marketplace Cloud della PA. I principi da rispettare vanno individuati nella garanzia di una piena interoperabilità, nell’evitare la dipendenza da un fornitore (il cosiddetto “vendor lock-in”), nella garanzia di scalabilità e di protezione dei dati nonché di capacità di resilienza dei sistemi, nella garanzia di adeguati livelli di servizio garantiti (Service Level Agreement) in termini di qualità generale, sicurezza, accessibilità, riduzione dei tempi di fermo.

La strategia Cloud Italia

Per avviare e realizzare il percorso di migrazione che le pubbliche amministrazioni devono compiere per il passaggio al Cloud è stato elaborato, da parte del Dipartimento per la trasformazione digitale, un documento definito “Strategia Cloud Italia" con il quale si intende guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali.

La strategia si basa su tre direttrici che dovranno accompagnare gli enti nelle scelte da compiere rispetto alle diverse possibilità nel percorso di migrazione al cloud:

1. Classificare dati e servizi delle PA rispetto al rischio: effettuare un’analisi dei rischi e definire la valutazione dei danni, che possono derivare dalla compromissione dei dati, sia rispetto al singolo ente che rispetto al sistema Paese; tale analisi guiderà le pubbliche amministrazioni nella scelta della soluzione più adeguata per la migrazione verso il Cloud;

2. Qualificare i servizi Cloud attraverso un processo di scrutinio tecnologico: l’obiettivo è semplificare e regolamentare l’acquisizione di servizi Cloud da parte delle pubbliche amministrazioni, sia dal punto di vista tecnico (gestione operativa, sicurezza, etc.) che da quello amministrativo (contratti e relative condizioni);

3. Realizzare il Polo Strategico Nazionale dedicato ai servizi strategici, sotto controllo e indirizzo pubblico: questa azione mira a garantire elevati livelli di continuità operativa e resilienza in caso di guasti per i servizi strategici e critici della PA. Sarà distribuito su territorio nazionale e la gestione operativa sarà affidata a un fornitore qualificato, il cui controllo e le linee di indirizzo saranno pubbliche e indipendenti da soggetti terzi.

E’ stato così definito il “Programma di abilitazione al Cloud" tramite il quale si forniscono alle pubbliche amministrazioni kit, framework ed indicazioni operative al fine di facilitare loro l’adozione del modello cloud computing. La migrazione dovrà concludersi entro il 2025, attraverso un processo uniforme per tutte le amministrazioni. Per supportare le pubbliche amministrazioni nelle attività di classificazione dei propri dati e servizi è stata resa disponibile una procedura on line all’interno del sito web “PA digitale 2026”, grazie alla quale è possibile effettuare le attività di autoanalisi, compilare il questionario per modificare o classificare nuovi servizi ed inviare la classificazione ad ACN che provvederà ad eseguire le verifiche di conformità.

Il Marketplace Cloud della PA

Tutti i fornitori che vogliono proporre i propri servizi alle pubbliche amministrazioni devono sottoporre gli stessi alla qualificazione: a tale scopo si utilizza la piattaforma di qualificazione dei cloud service provider e dei servizi cloud, il Cloud Marketplace. Dal 2 gennaio 2023 le imprese e le amministrazioni che vogliano richiedere la qualificazione necessaria all’ammissione nel Marketplace saranno valutate da ACN e non più ad AgID: quest’ultima continuerà ad occuparsi della gestione del Marketplace.

Con il Decreto direttoriale n. 29 del 2 gennaio 2023, il Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, d’intesa con il Dipartimento della Trasformazione Digitale della Presidenza del Consiglio dei ministri, ha individuato le modalità con le quali le imprese, a partire dal 19 gennaio, potranno mantenere le qualificazioni già ottenute o richiederne di nuove.

Ci sono due tipi di qualificazione che possono essere richiesti:

• la qualificazione CSP (vedi la circolare AgID n. 2/2018) o la qualificazione SaaS (vedi la circolare AgID n. 3/2018). La qualificazione CSP dà la possibilità di erogare alle pubbliche amministrazioni servizi IaaS e PaaS.

• Se il fornitore invece ha intenzione di erogare servizi SaaS è tenuto ad indicare al momento della qualificazione i servizi qualificati su cui si basa il proprio servizio SaaS o l’infrastruttura. Se si decide di erogare i servizi SaaS utilizzando la propria infrastruttura Cloud, il fornitore cloud dovrà essere tra i CSP qualificati, ovvero dovrà risultare come fornitore qualificato.

Il Marketplace permette di visualizzare la scheda di ogni servizio fornendo le caratteristiche, il costo e i livelli di servizio dichiarati da ciascun fornitore. Le PA possono, quindi, valutare tra più servizi analoghi e scegliere le soluzioni ritenute più adeguate. Il Marketplace indica anche le modalità di acquisizione con cui uno specifico servizio potrà essere acquisito da una amministrazione rimandando allo strumento di procurement disponibile (p.e. portale acquistinretepa.it) per procedere con l’acquisizione.

Il Marketplace è consultabile al seguente indirizzo web: https://catalogocloud.acn.gov.it/show/all.

Requisiti tecnico-funzionali essenziali in caso di acquisizione di applicazioni

Nel procedimento di valutazione per l’acquisizione di servizi applicativi si deve accertare la presenza dei seguenti elementi:

• autenticazione con SPID e CIE;

• gestione dei pagamenti tramite collegamento a PagoPA;

• gestione delle notifiche con IO;

• utilizzo della Piattaforma Notifiche per i pagamenti;

• raccolta dati da basi di dati già esistenti (es. ANPR) tramite connessione a Piattaforma Nazionale Digitale Dati;

• disponibilità di API;

• presenza nel Marketplace Cloud oggi AGID in futuro ACN.