In questo capitolo quanto discusso nei capitoli precedenti viene riassunto sotto forma di raccomandazioni e proposte sintetiche raggruppate negli stessi ambiti utilizzati nel resto del documento. 4.1 INDICAZIONI DI CARATTERE GENERALE Condividere le regole e i cammini di adozione dei servizi cloud La condivisione a livello nazionale di regole comuni nell’adozione dei servizi cloud appare un’esigenza largamente condivisibile, peraltro in sintonia con l’art. 117 della Costituzione [COST]. Anche a livello internazionale, le strategie di eGovernment adottate da alcuni Paesi (cfr. ad esempio [UKICT] e [VIV10]) suggeriscono la necessità di elaborare una politica nazionale che comprenda i temi affrontati in queste Raccomandazioni, in particolare la sicurezza e la privacy, l’interoperabilità, gli aspetti economici, legali e contrattuali e l’identificazione delle tipologie di servizi di front end o di back office che meglio si prestano ad una migrazione sul cloud. Diversi strumenti per la governance del processo di adozione del cloud da parte delle pubbliche amministrazioni possono essere ipotizzati, tra i quali: un comitato ad hoc coordinato o sostenuto da DigitPA al quale partecipino prevalentemente rappresentanti delle pubbliche amministrazioni impegnate in progetti di adozione di servizi cloud; un tavolo permanente che riunisca i diversi stakeholder interessati nell’adozione di servizi cloud, eventualmente come evoluzione del gruppo di lavoro che ha fornito supporto all’elaborazione di queste Raccomandazioni; altri strumenti preesistenti di governance nel campo dell’amministrazione digitale. Accelerare e approfondire la razionalizzazione dei grandi data center pubblici Sia pure con finalità e modalità diverse, molte grandi organizzazioni stanno accompagnando all’adozione dei servizi cloud un processo di evoluzione e migrazione delle infrastrutture ICT legacy. L’esempio forse più citato è ancora quello degli USA, che hanno avviato in parallelo la Federal Data Center Consolidation Initiative e la Federal Cloud Computing Initiative [CIOUS]. Dal lavoro di fondazione compiuto dal NIST (National Institute of Standards and Technology) fino alla creazione del portale Apps.Gov, queste due iniziative rappresentano importanti punti di riferimento anche per altre realtà nazionali. Nel nostro Paese, un esempio notevole, ma certo non l’unico, di questa sinergia è rappresentato dal nuovo data center di ENI, che garantirà l’altissima affidabilità richiesta dalle esigenze informatiche aziendali insieme ad un’efficienza energetica di eccellenza. La realizzazione del data center è accompagnato dal consolidamento degli applicativi con un risparmio dell’ordine delle decine di milioni di euro [ENIGDC]. L’utilizzo del cloud da parte della pubblica amministrazione sarebbe fortemente favorito da un intervento immediato di razionalizzazione dei data center e di introduzione nelle piattaforme applicative di elementi di modularità e di standardizzazione. Questo intervento, peraltro, rappresenta già di per sé un’occasione per conseguire una decisa riduzione del patrimonio applicativo, una forte accelerazione del suo riuso, una distribuzione delle maggiori basi di dati fondata sulla razionalizzazione degli accessi e delle prestazioni anziché sulle politiche, finora prevalenti, basate sulla 44 duplicazione2 e sulla ridondanza. La logica di progressione appena esposta consente di scegliere in modo mirato gli oggetti da far emigrare nei diversi tipi di cloud offerti dal mercato. Valutare costi e benefici dei cloud privati e di comunità per la pubblica amministrazione Sebbene l’adozione dei servizi cloud si giustifichi prima di tutto per i risparmi diretti legati alle economie di scala caratteristiche dei grandi cloud di tipo pubblico globali, molti fattori possono opporsi alla loro adozione generalizzata, sia nel settore privato che in quello pubblico. Gartner [GART11] prevede ad esempio che, nonostante l’attuale tasso annuo di crescita della spesa per servizi cloud di tipo pubblico del 19%, entro il 2015 questi servizi rappresenteranno meno del 5% della spesa IT complessiva. Altre forme di cloud, di tipo privato o di comunità, vengono spesso considerate come un’alternativa a quelli di tipo pubblico in vista di un maggiore controllo, del rispetto di vincoli organizzativi o territoriali e di vantaggi economici indiretti derivanti da razionalizzazione, accorpamento e riuso delle risorse informatiche esistenti. La realizzazione di cloud data center di tipo privato o di comunità deve però essere attentamente giustificata in quanto i vantaggi economici diretti potrebbero ridursi a causa delle minori economie di scala o di barriere digitali conseguenti ad una regolazione incompleta o non tempestiva. La valutazione delle soluzioni e delle architetture dovrà anche tenere conto dei diversi ruoli a livello architetturale [NISTCCRA11] e in particolare dei ruoli di fornitore e di broker di servizi cloud oppure di fruitore degli stessi servizi. È evidente che diverse amministrazioni, enti e loro società strumentali potranno ricoprire in modo naturale l’uno o l’altro dei ruoli. La tassonomia di configurazioni proposta da Gartner [GART10] sulla base di caratteristiche quali la proprietà dei servizi o l’accesso ai servizi conferma la molteplicità di valutazioni necessarie anche in ambito government. Promuovere la disseminazione e lo scambio di esperienze nelle pubbliche amministrazioni I documenti prodotti dal gruppo di lavoro “Cloud computing e pubblica amministrazione”, che hanno formato la base di queste Raccomandazioni, mostrano che l’offerta e la natura stessa dei servizi cloud sono in piena evoluzione e lo resteranno nel prevedibile futuro. È perciò consigliabile estendere e rendere sistematica la diffusione di informazioni e di buone pratiche all’interno del settore pubblico attraverso gli strumenti più efficaci disponibili. Tra questi, si ipotizza in particolare l’istituzione di una comunità che raccolga gli esperti di cloud nelle pubbliche amministrazioni. Come già segnalato in altri punti, diverse modalità di svolgimento di questa importante funzione sono possibili. Con la dovuta attenzione alle peculiarità nazionali, alcune esperienze di altri Paesi, come i Chief Information Officers Councils in USA e UK [CIO], possono offrire ispirazione e indicare criticità. DigitPA ritiene di potere contribuire a svolgere questa funzione. Promuovere la ricerca e la sperimentazione sul Government cloud Government Cloud (o gCloud) è un’espressione utilizzata per indicare le specifiche politiche tecnologiche per promuovere l’adozione dei servizi cloud nella pubblica amministrazione. Queste possono comprendere ad esempio la creazione di cloud di tipo privato riservati alla pubblica amministrazione e ai suoi utenti, oppure il consolidamento dei data center e delle applicazioni in uso dalla pubblica amministrazione, oppure il ricorso alle modalità innovative di erogazione dei servizio di eGovernment rese possibili dal paradigma cloud. Un maggiore sostegno alla ricerca sul cloud viene invocato già da alcuni anni a livello europeo (cfr. ad esempio [DGI10]). Mentre la partecipazione nazionale a questi sforzi è certamente opportuna, un contributo mirato alla ricerca e alla 2 Uno degli strumenti per evitare la duplicazione è il riuso dei programmi informatici cui è dedicato, l’art. 69 di [CAD05] dove sono indicate modalità concrete per garantire il riuso dei programmi e dei singoli moduli sviluppati per conto e a spese delle pubbliche amministrazioni. 45 sperimentazione di soluzioni G-Cloud a livello nazionale potrebbe contribuire ad un’adozione sistemica del cloud da parte della pubblica amministrazioni italiana, con possibili importanti ricadute sia in termini di spesa pubblica che di efficienza energetica. Curare da vicino gli aspetti internazionali Come già sottolineato, nonostante le realizzazioni concrete possano variare in base ai diversi contesti, l’adozione di servizi cloud si giustifica generalmente per un uso su scala relativamente grande. Anche in ambiti più limitati, come ad esempio quello nazionale o europeo, risulta difficile immaginare politiche di adozione del cloud che non seguano da vicino l’evoluzione degli standard, la disponibilità dei finanziamenti, l’offerta dei fornitori e le stesse esperienze sviluppate al di fuori dei confini nazionali. L’Unione europea ha da tempo avviato azioni importanti, anche economicamente, per promuovere l’uso del cloud da parte degli Stati membri (cfr. ad esempio i programmi CIP – ICT PSP [CIP11] e ISA [ISA11]). A breve termine verrà annunciata una strategia cloud europea che indicherà prevedibilmente nuove iniziative e renderà disponibili nuovi finanziamenti mirati che sarà certamente opportuno coordinare con le iniziative nazionali in questo campo. Più in generale, appare indispensabile curare, nei casi via via rilevanti, i rapporti con tutti gli stakeholder internazionali che operano per l’evoluzione dell’assetto normativo e degli standard o promuovono iniziative di studio e progettuali in questo campo. Avviare progetti-pilota in settori prioritari I servizi cloud rappresentano un’opportunità per progettare e rendere disponibili a costi marginali servizi digitali di ogni tipo. Alcuni casi di uso presentano però caratteristiche che li rendono particolarmente adatti alla realizzazione, in tempi brevi e con elevati ritorni, di progetti-pilota o di sistemi direttamente operativi. Tali caratteristiche comprendono un’ampia base di utenti, connettività adeguata, copertura dell’intero territorio nazionale, presenza di esperienze che permettano subito una graduale digitalizzazione di onerosi processi di tipo tradizionale. Molte sono le prospettive di applicazione del paradigma cloud per la raccolta, gestione e diffusione dei dati prodotti dal mondo della scuola. Procedure automatizzate di scrutinio o di verbalizzazione degli esami, a volte ispirate a modalità cloud, sono già utilizzate in molte scuole e università italiane. Molti altri processi generati dall’interazione tra studenti, famiglie, insegnanti e amministrazione (e che quindi coinvolgono la stragrande maggioranza dei cittadini) possono essere trasformati in servizi cloud in tempi brevi. Strumenti di eLearning basati sul cloud e accessibili da dispositivi mobili sono ormai ampiamente diffusi a livello globale. Tutte le amministrazioni di piccole e medie dimensione devono ottemperare a requisiti di legge che possono implicare impegni economici ed organizzativi gravosi o anche irrealistici. Ad esempio, l’articolo 50-bis (“Continuità operativa”) del Codice dell’amministrazione digitale [CAD05] delinea gli obblighi, gli adempimenti e i compiti chE spettano alle pubbliche amministrazioni, a DigitPA e ai ministri delegati per la Funzione pubblica e per l’Innovazione tecnologica ai fini dell’attuazione della continuità operativa. In particolare ogni amministrazione deve predisporre il piano di continuità operative ed il piano di disaster recovery che saranno adottati da ciascuna sulla base di appositi studi di fattibilità tecnica, sui quali è obbligatoriamente acquisito il parere di DigitPA [DIG11]. Se l’amministrazione ha acquisito dei servizi cloud ed ha parte dei suoi dati su un cloud esterno, dovrà considerare anche questo scenario nelle soluzioni tecniche per la salvaguardia dei dati e delle applicazioni informatiche. Anche la sanità presenta le caratteristiche sopra richiamate, nonostante la delicatezza dei dati trattati e l’affidabilità richiesta alle applicazioni. Alcune esperienze pilota in Italia, tra le quali quella della ULSS 8 di Asolo (TV), hanno realizzato la digitalizzazione di un ampio ventaglio di servizi digitali di back-office e di front-office che spaziano dalla ricetta elettronica fino alla scheda sanitaria individuale, alla prenotazione degli esami, al pagamento elettronico dei 46 ticket e al ritiro dei referti. Anche da questa esperienza è scaturito un documento di raccomandazioni sul cloud computing in sanità.