Nel Cloud Computing, sia i dati che il loro processing sono diffusi, spalmati, re-istanziati su una rete (più o meno) intelligente di server, nodi di una matassa, boe in un mare di informazioni: il cosiddetto “Cloud”, la “nuvola”. L’utente – attraverso un dispositivo, un browser e una connessione a Internet – può accedere alla “nuvola” per ottenere i servizi e i dati a lui necessari, oltre che, ovviamente, per caricarli, condividerli, diffonderli.
L’adozione sistematica della tecnologia del Cloud Computing da parte della Pubblica Amministrazione comporterebbe diversi vantaggi teorici (riduzione di costi, competitività per le PMI, flessibilità ed efficienza, continuità operativa, governance unitaria, etc.). Il Cloud per la P.A. significherebbe anche un nuovo sistema di fruizione dei servizi al Cittadino ed alle imprese tramite applicazioni fisse e mobili dedicate (telemedicina, corsi professionali online, anagrafe telematica, etc.) ed una più efficace partecipazione alla vita ed alla culutra pubblica. Operativamente, inoltre, la tecnologia Cloud potrebbe essere potenziata dalla modalità multi-tenancy, che consentirebbe alla P.A. di gestire un’applicazione ed il processing di dati da parte di più Enti conte
mporaneamente, dislocati sul territorio, con un conseguente risparmio ed ottimizzazione di risorse.
Tuttavia, fermo restando il volano di sviluppo europeo in materia di Digital Agenda, è opportuno sottolineare che l’adozione del Cloud Computing a livello pubblico presenta senz’altro anche alcuni rischi, legati principalmente alla sicurezza, alla privacy dei dati (anche sensibili) dei Cittadini ed alla necessità di mantenere i sistemi ed i servizi al rapido o, meglio, forsennato passo della best practice tecnologica “privata”. DigitPA – l’ente nazionale per la digitalizzazione della P.A. – ha istituito un gruppo di lavoro avente il compito di adottare le linee guida sul Cloud Computing per la Pubblica Amministrazione e definire gli ambiti più proficui di applicazione. Nell’espletamento di tale compito, il gruppo di lavoro godrà del supporto dell’agenzia europea per la sicurezza delle reti e dell’informazione (“ENISA”).
A maggior ragione in un contesto di electronic data processing diffuso e decentrato quale è quello del Cloud, la sicurezza informatica è un aspetto prioritario per la P.A., data la natura per lo più sensibile dei dati processati (es. nelle applicazioni di eHealth). Le classiche soluzioni di prevenzione e monitoring già adottati a tutti i livelli dell’ingranaggio pubblico, quali firewall, antimalware e separazione logica e fisica delle reti, potrebbero non essere sufficienti nel futuribile contesto della rete intelligente, in mancanza di un controllo fisico sui sistemi trasmissivi. È, quindi, necessaria l’adozione di soluzioni ad hoc, addirittura più efficaci di quelle previste dal contesto “privato”, in grado di prevenire attacchi, leaks di informazioni e sospensioni del servizio (evidentemente, in talune applicazioni della P.A., la business continuity sarebbe un valore primario).
Ai sensi dell’art. 51 del Codice dell’Amministrazione Digitale (D. Lgs. n. 82/2005), la P.A. è tenuta a richiedere al fornitore di servizi telematici l’adozione di misure di sicurezza idonee a proteggere la riservatezza, la disponibilità e l’integrità delle informazioni. Bene. Ma quest’obbligo di principio, ancorché elastico, sarebbe sufficiente a prestare ai Cittadini (ultimi fruitori del Cloud pubblico) le necessarie garanzie? Lo sforzo di rispondere a questo quesito non ci porta che ad auspicare che l’implementazione di questa nuova tecnologia sia assistita dalla determinazione di dettagliate prescrizioni di sicurezza e compliance tecnologica, almeno pari – ed al passo – con le corrispondenti best practice “private”.
Vero è che la P.A. sarà comunque tenuta al rispetto della normativa nazionale in materia di privacy (D. Lgs. n. 196/2003, s.m.i.) oltre che europea, che sono incentrate sugli obiettivi di tutela piuttosto che sulle modalità. Vero ancora che ove i dati de quibus abbiano connotazione transfrontaliera o vengano inviati verso server situati al di là dei confini comunitari si applicherebbe la risalente ma specifica e valida normativa europea in materia (a partire dalla Direttiva 95/46/CE, s.m.i.). Rileviamo, tuttavia, che l’asimmetria regolamentare fra eventuali stati coinvolti nel processing e storage di dati rispetto agli obblighi di sicurezza potrebbe comportare falle di tutela a danno dei fruitori nazionali, ciò che potrà (e dovrà) in ogni caso essere scongiurato mediante lo strumento contrattuale. Sarà quindi ulteriore delicato onere in capo alla P.A. determinare ed imporre le necessarie previsioni contrattuali in vista del mantenimento anche all’estero dei livelli di servizio, sicurezza e qualità prescritti entro i confini domestici.
Il Commissario UE per l’Agenda Digitale, Neelie Kroes, si è spinta fino ad auspicare l’adozione di una “nuvola europea” e, quindi, di un impianto regolamentare omogeneo a supporto. Nel concreto, il ruolo dei legislatori nazionali sarà delicato: coordinare ed ottimizzare gli sforzi in vista del raggiungimento degli obiettivi europei, affinché lo sviluppo e l’adozione di nuove tecnologie non sia l’occasione di una parcellizzazione legislativa e regolamentare ovvero, peggio, il pretesto per un forum shopping da parte degli operatori e dei provider di contenuti. Ci auguriamo che non sia questo il contesto in cui l’Italia si veda destinataria di una ennesima reprimenda europea per ritardo nell’allineamento regolamentare ma che, viceversa, il nostro legislatore possa fissare gli standard a livello europeo.
