Presidente e Governo, per affrontare la discussione di oggi, a partire dalla mozione Giarrizzo, dobbiamo identificare un punto preliminare. Il tema del cloud computing è già strategico nella Missione 1 del PNRR, in particolare quando si afferma che il passaggio al cloud computing rappresenta una delle sfide più importanti per la digitalizzazione del Paese, in quanto costituisce proprio il substrato tecnologico, che abilita lo sviluppo e l'utilizzo di nuove tecnologie.
In più c'è anche un elemento specifico sulla questione di cui discutiamo oggi. Lo sviluppo di un cloud storage nazionale avverrà in parallelo e in sinergia con il progetto Gaia-X, promosso a livello europeo e nel cui ambito l'Italia intende avere un ruolo di primo piano. Mi pare che queste parole siano abbastanza esaustive di qual è l'indirizzo. D'altra parte - lo sappiamo bene e la vicenda, ahimè, drammatica della pandemia ci ha posto in maniera, a questo punto, veramente irreversibile questa transizione al digitale - il cloud computing è lo strumento fondamentale per questo salto di paradigma, anche perché, combinato insieme alle altre tecnologie, quelle più innovative, che si stanno diffondendo negli ultimi anni, il cloud costituisce la principale piattaforma abilitante per le tecnologie più avanzate di intelligenza artificiale, big data e Internet, delle cose che appunto fanno capo a questo processo di trasformazione e transizione digitale. C'è un punto, che poi è il punto fondamentale, anche qui, di discussione. Il mercato mondiale dei principali fornitori di infrastrutture cloud è dominato - quasi oltre il 70 per cento, anche di più - da cinque gruppi societari, quattro americani (Amazon, Microsoft, Google e IBM) e un quinto (Alibaba) in Cina. Quindi, è chiaro che gli eventuali investimenti governativi, diretti alla costruzione di un cloud nazionale, non possono non partire da questa situazione, tenendo conto di fattori economici e di sostenibilità nel tempo, e non possono sottrarsi al confronto ai parametri di mercato.
Ora da tempo è operativo, come principio nel nostro Paese, quello del cloud first. È stato confermato dal Ministro Colao, ma era già nel piano triennale dell'informatica 2019-2021, ovvero c'è un obbligo - che per adesso non viene, però, rispettato - per la pubblica amministrazione di definire nuovi progetti o sviluppare nuovi servizi, adottando in via prioritaria soluzioni cloud, prima di qualsiasi altra opzione tecnologica, e, più in generale, di ricorrere al cloud nel momento in cui intende acquisire sul mercato nuove soluzioni e servizi ICT.
La combinazione di questi due elementi, ossia la situazione attuale di mercato, dominata da fornitori internazionali, e il principio del cloud first, determina quale conseguenza che la pubblica amministrazione tenda sostanzialmente a dipendere da questi provider internazionali. Da qui nasce il dibattito sempre più crescente sulla sovranità tecnologica, che però spesso ha generato interpretazioni fuorvianti. Occorre valutare quanto e in che modo l'attuale situazione di dipendenza dai grandi fornitori sia un reale fattore di rischio - e lo è per certi versi, soprattutto poi vedremo, rispetto a quelli che sono i regolamenti nazionali, europei e degli altri Paesi, le norme legislative – e, però, in quale modo la realizzazione di soluzioni autarchiche riesca effettivamente a contenere il rischio. È vero che è importante per l'Italia e l'Europa riguadagnare posizioni nel digitale, però, nello stesso tempo, posizioni sovraniste di estrema chiusura non possono essere coerenti con l'idea di creare una leadership digitale, che a livello di Paese possa fare tesoro delle migliori risorse disponibili.
Ci sono oltretutto, in relazione al cloud, anche una serie di opinioni spesso non corroborate dai fatti. È quella, per esempio, legata alla sicurezza delle informazioni, come se ci fosse un'automatica possibilità, per chi gestisce il servizio, di entrare e possedere queste informazioni. Cioè sembrerebbe quasi che uno dei motivi, per cui spesso non si fa il salto dal data center al cloud, è che, una volta usciti dai propri server, dai data center, si verifichi la perdita di controllo sui propri dati, che diventano più facile bersaglio della criminalità informatica. Ma, a parte che i provider si devono muovere dentro le regole e i sistemi di sicurezza di quel Paese, io credo che l'Italia in questi ultimi anni ha fatto dei passi avanti importantissimi sulla cybersecurity, soprattutto attraverso un percorso articolato, che innesta, accanto alla normativa sul golden power, il perimetro della sicurezza nazionale cibernetica, dove sicuramente siamo in ritardo con i decreti attuativi ed è forse una delle questioni che dobbiamo porci.
Ma c'è un contesto europeo e internazionale. Già al suo arrivo alla guida della Commissione europea, Ursula von der Leyen aveva dichiarato proprio il proprio impegno nei campi dell'economia digitale, facendo dell'accesso alle rete sicura ed economicamente vantaggiosa una delle priorità del proprio mandato, ma con grande attenzione al tema della sovranità sui dati, intesa come accesso, controllo, elaborazione e utilizzo. Quindi, c'è questo interesse nazionale, europeo e internazionale.
C'è una sentenza, c'è una questione, però, che è stata un po' spartiacque, rispetto a quella questione della normativa, a cui facevo riferimento. Nel marzo 2018 il Congresso degli Stati Uniti ha approvato il cosiddetto Cloud Act, che ha aggiornato il quadro giuridico, relativamente ai dati archiviati sul server di comunicazione dei provider e dei servizi cloud.
Rispetto a questa delibera, rispetto a questa norma, c'è stata una sentenza della Corte di Giustizia europea che, di contro, ha ritenuto che i requisiti del diritto interno agli Stati Uniti, su particolari programmi, comportino dei limiti alla protezione dei dati personali, che non sono configurati in modo tale da soddisfare i requisiti equivalenti a quelli previsti dal diritto UE e che questa legislazione USA non accorda ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi. Quindi, il tema fondamentale rispetto ai dati più sensibili è il tema su dove sono i data center e quale giustiziabilità c'è rispetto a possibili doli o anche azioni di criminalità informatica.
Come abbiamo già detto, sempre nell'ottica di allargare e rendere maggiormente inclusivo il perimetro della regolamentazione e del mercato dei dati, la Commissione europea ha promosso il progetto “Gaia-X”, che, appunto, implica la creazione di un data framework in cui stabilire le regole comuni per i Paesi europei e abbiamo letto, nel documento del PNRR, che l'Italia vuole partecipare a questa iniziativa.
Dunque, rispetto a tutte queste questioni, la strategia di puntare direttamente alla creazione di un cloud di Stato, come è avvenuto, per esempio, qualche tempo fa, in Francia, potrebbe, però, rischiare di non colmare il gap tanto nel breve, quanto nel lungo periodo, ancor di più se si restringe il campo dei fornitori, per adesso, per nazionalità. Abbiamo ancora un percorso lungo per quel che riguarda l'accesso alla Rete o, meglio ancora, il diritto alla connettività e abbiamo ancora da lavorare molto sulle competenze digitali dei lavoratori pubblici, privati, degli studenti e dei cittadini. La limitazione, quindi, da subito dell'accesso alle risorse dei principali provider di mercato potrebbe influenzare lo stesso tasso di adozione del cloud da parte delle aziende e della PA per via della minore capacità che un ristretto numero di servizi avrebbe nel soddisfare le esigenze di enti e di aziende e, paradossalmente, potrebbe avere ripercussioni proprio sul livello di sicurezza degli stessi.
Quindi, concludendo, ci sentiamo di condividere, come punto di partenza della discussione di questa mozione, sperando, come, d'altra parte, c'è stata anche la disponibilità del collega Giarrizzo e di altri colleghi di altre forze politiche, di arrivare a una mozione di maggioranza condivisa, proprio il punto di vista espresso dal Ministro Colao nell'audizione nella Commissione trasporti e telecomunicazioni, quando afferma: “Oltre al “cloud first”, vogliamo assicurarci che le amministrazioni vengano aiutate a migrare in cloud diversi a seconda del diverso livello di sensibilità dei dati dei quali dispongono. Questo implicherà classificare innanzitutto le tipologie di dati in ultrasensibili, sensibili e ordinari, per garantire scelte che tutelino in maniera appropriata cittadini e amministrazioni”. Per i dati più sensibili, il Ministro propone di creare un Polo strategico nazionale a controllo pubblico - e questo tema del controllo pubblico è il vero tema che, sostanzialmente, va approfondito e va esplicitato rispetto a quella che potrebbe essere una mozione della maggioranza -, ma, soprattutto, localizzato sul suolo italiano - quindi, il tema è la localizzazione più che la gestione - e con garanzie, anche giurisdizionali, elevate. Questo Polo strategico permetterà di razionalizzare e consolidare molti di quei centri che, ad oggi, non riescono a garantire standard di sicurezza.
Ecco, il punto è questo: noi dobbiamo andare a vedere, per la parte dei dati più sensibili, un'infrastruttura pubblica, magari, finalizzata prioritariamente alla gestione dei dati strategici e critici della PA centrale, ma che dovrebbe essere, poi, arricchita attraverso sinergie di altre PA detentrici di dati di tipo A. Penso, per esempio, ai dati sanitari. Se noi considerassimo come dati ultrasensibili solo quelli della PA centrale, escluderemmo i dati sanitari, mentre credo che, oggi, il tema della sicurezza dei dati ultrasensibili riguarda i dati sanitari, ma riguarda i dati sanitari anche la possibilità di una interoperabilità tra le diverse banche dati. E, proprio per questo, noi dobbiamo guardare, sostanzialmente, a una effettiva e piena attuazione del principio dell'“once only” e, in linea con la strategia dell'Europa, bisognerebbe rendere interoperabili le basi dati accessibili attraverso un catalogo di API che consenta alle amministrazioni centrali e periferiche di attingere ai dati del cloud, di elaborarli e di fornire i servizi.
Concludendo, sono abbastanza d'accordo anche con quello che diceva il collega di Forza Italia. Noi dobbiamo, quindi, andare verso un sistema pubblico integrato di accesso, interoperabilità e sistemi di cloud computing sotto il controllo pubblico, che, quindi, ne garantisca la sicurezza, la consistenza, l'affidabilità e l'efficienza.