20/10/2017
Vincenza Bruno Bossio
2-01946

 I sottoscritti chiedono di interpellare il Presidente del Consiglio dei ministri, il Ministro dell'economia e delle finanze, il Ministro per la semplificazione e la pubblica amministrazione per sapere – premesso che:
   il cloud computing, secondo la definizione fornita dal NIST - Istituto nazionale degli standard e della tecnologia degli Stati Uniti, è «un modello per abilitare accessi a network ubiqui, convenienti e on-demand di un bacino condiviso di risorse configurabili di computazione che possono essere rapidamente acquisiti e rilasciati con il minimo sforzo di gestione o di interazione con il fornitore dei servizi»;
   i servizi di cloud computing possono essere di tipo «privato o community», che prevede l'utilizzo di infrastrutture Ict (Information and communication technology) dedicati internamente a singole organizzazioni o per un gruppo limitato di organizzazioni, oppure di tipo «pubblico», che fa riferimento a infrastrutture Ict comuni e condivisibili da un numero non predefinito di organizzazioni, garantendo allo stesso tempo l'isolamento ad ogni singola organizzazione;
   sempre più aziende e pubbliche amministrazioni stanno utilizzando il cloud computing, la cui efficacia ed efficienza è ampiamente documentata nella letteratura scientifica e nelle analisi di mercato. Molti Stati hanno già implementato politiche «cloud first»: in questo modo ottengono ottimi risultati dal punto di vista prestazionale, garantendo al tempo stesso significativi risparmi di spesa, il tutto nella massima sicurezza, di gran lunga superiore a quella offerta dai singoli data center. Da tempo, infatti, tutte le analisi nell'ambito della sicurezza cibernetica segnalano la riduzione della base d'attacco, e quindi dei data center, come uno degli interventi principali per limitare i rischi;
   ad oggi, le pubbliche amministrazioni possono acquisire servizi di cloud computing tramite la cosiddetta «Gara SPC – lotto 1», sulla base delle linee guida emanate dall'Agenzia per l'Italia digitale sul cloud computing. I servizi di cloud offerti sono limitati alla tipologia «cloud privato», mentre non sono previsti servizi di «cloud pubblico»: a quanto risulta agli interpellanti, i servizi offerti nell'ambito della gara SPC sarebbero obsoleti e di difficile utilizzo da parte delle pubbliche amministrazioni che, infatti, stanno acquisendo dalla gara SPC in maniera estremamente ridotta;
   in data 6 giugno 2017 è stata presentata dagli interpellanti l'interrogazione a risposta scritta n. 4-16839, con cui si chiedeva al Presidente del Consiglio dei ministri, al Ministro dell'economia e delle finanze e al Ministro per la semplificazione e della pubblica amministrazione, se ritenessero prioritario implementare politiche «cloud first», se ritenessero opportuno dare indirizzo a Consip affinché attivasse la necessaria procedura per valutare l'opportunità di predispone strumenti idonei per l'acquisizione di public cloud pubblico da parte della Pubblica Amministrazione, e quali misure urgenti intendessero adottare per evitare il potenziale consolidarsi di situazioni non concorrenziali nel settore del «cloud pubblico»;
   in data 4 luglio 2017 Consip ha pubblicato la consultazione di mercato relativa alla «gara per la fornitura delle licenze d'uso Microsoft Enterprise Agreement e dei servizi connessi per le pubbliche amministrazioni – quinta edizione». La consultazione è elemento prodromico alla prossima pubblicazione di un bando giunto ormai alla sua quinta edizione, originariamente nato per permettere alla pubblica amministrazione di acquisire le licenze dei software Microsoft, ma progressivamente aperto e sempre più ampliato anche ai servizi online, inclusi Tieni di cloud computing, confermando quindi, da un lato, la crescente domanda della pubblica amministrazione di acquisire questo tipo di servizi e, dall'altro, l'orientamento di Consip di non bandire delle gare specifiche dedicate al public cloud, ma di riservare delle quote per questi servizi all'interno delle gare per i diversi enterprise agreement, in cui la competizione è fra distributori, ma che sono invece non competitivi del bene e/o servizio offerto. Come già segnalato, si configura dunque il rischio di una significante distorsione nel mercato del public cloud della pubblica amministrazione –:
   se non ritengano necessario intervenire per dare indirizzo a Consip affinché attivi quanto prima la necessaria procedura per valutare l'opportunità di predisporre strumenti idonei per l'acquisizione di public cloud pubblico da parte della pubblica amministrazione;
   se non ritengano che un'eventuale gara per l'acquisizione di licenze d'uso Microsoft Enterprise Agreement, qualora comprendesse anche beni e/o servizi di cloud computing, potrebbe essere lesiva della competizione e quali iniziative urgenti intendano mettere in atto per evitare il potenziale consolidarsi di situazioni non concorrenziali nel settore del «cloud pubblico»;    quali siano gli orientamenti in merito all'introduzione, nel cosiddetto «cloud della pubblica amministrazione» di servizi di public cloud offerti da operatori privati ai sensi del recente piano triennale per l'informatica nella pubblica amministrazione.

 

Seduta del 20 ottobre 2017

Illustra Vincenza Bruno Bossio, Risponde Enrico Morando, Vice Ministro dell'Economia e Finanze, Replica Vincenza Bruno Bossio

 

Illustrazione

Grazie, Presidente, il cloud computing, secondo la definizione fornita dal NIST, che è l'Istituto nazionale degli standard e della tecnologia degli Stati Uniti, è: “un modello per abilitare accessi – cito testualmente - a network ubiqui, convenienti e on-demand di un bacino condiviso di risorse configurabili di computazione che possono essere rapidamente acquisiti e rilasciati con il minimo sforzo di gestione o di interazione con il fornitore dei servizi”.

Come sappiamo, i servizi di cloud computing possono essere di tipo “privato”, o community, che prevede l'utilizzo di infrastrutture ICT dedicati internamente a singole organizzazioni o per un gruppo limitato di organizzazioni, oppure di tipo “pubblico”, che fa riferimento a infrastrutture ICT comuni e condivisibili da un numero non predefinito di organizzazioni, garantendo allo stesso tempo l'isolamento ad ogni singola organizzazione.

Sempre più aziende e pubbliche amministrazioni stanno utilizzando il cloud computing, la cui efficacia ed efficienza è ampiamente documentata nella letteratura scientifica e nelle analisi di mercato. Molti Stati hanno già implementato politiche di cloud first, ottenendo, in questo modo, ottimi risultati dal punto di vista prestazionale, garantendo al tempo stesso significativi risparmi di spesa, il tutto nella massima sicurezza, di gran lunga superiore a quella offerta dai singoli data center. Da tempo, infatti, tutte le analisi nell'ambito della sicurezza cibernetica segnalano la riduzione della base d'attacco, e quindi dei data center, come uno degli interventi principali per limitare i rischi.

Ad oggi, le pubbliche amministrazioni possono acquisire servizi di cloud computing tramite la cosiddetta Gara SPC – lotto 1, gara Consip, sulla base delle linee guida emanate, finora, dall'Agenzia per l'Italia digitale sul cloud computing. I servizi di cloud offerti attraverso questa gara sono limitati alla tipologia cloud privato, e non sono previsti servizi di cloud pubblico. Come già nel corso dell'audizione davanti alla Commissione di inchiesta parlamentare sui livelli di digitalizzazione della pubblica amministrazione, svoltasi alla Camera dei deputati il 24 novembre 2016, è possibile leggere che l'accesso ai servizi sul cloud pubblico deve essere garantito dal punto di vista tecnologico e opportunamente regolamentato.

Per rimanere, comunque, al passo con i tempi, l'Italia ha sviluppato, con il Piano triennale per la trasformazione digitale o per l'informatica, come vogliamo dire, una politica di adozione di cloud pubblico, aperto a tutti i fornitori di tecnologia che potrebbe vedere una concreta adozione nell'arco dei prossimi due anni. Riteniamo che questo tempo, ad oggi ancora teorico, sia comunque troppo lungo, vista la velocità dell'innovazione tecnologica, e si dovrebbe accelerare nel più breve tempo possibile in modo tale da non costringere Consip a precludere l'accesso al cloud pubblico nelle prossime gare sempre in attesa dell'attuazione del Piano triennale.

Infatti, alla data odierna, non è mai stata bandita una gara d'appalto per una convenzione o un accordo quadro per l'acquisizione di cloud pubblico e le pubbliche amministrazioni non hanno quindi una procedura semplificata per acquisire questo tipo di servizi, ad eccezione di alcune convenzioni già in essere da diversi anni per servizi off-line e che hanno progressivamente inserito anche la fornitura di servizi on-line. Il progetto SPC, essendo stato pensato diversi anni fa, oltre 4, ed essendo attualmente basato su soluzioni tecnologiche il cui sviluppo, spesso, è abbandonato, rischia di offrire servizi obsoleti, non potendo beneficiare del continuo sviluppo in innovazione operato da parte dei maggiori provider. Tutto ciò è in contraddizione con il paradigma del cloud first che, come ricordato nell'interpellanza, dovrebbe rispettare criteri che consentano di essere rapidamente acquisiti e rilasciati con il minimo sforzo di gestione o di interazione con il fornitore del servizio.

D'altra parte, qualora l'attuazione del Piano non avvenga in tempi brevi e rimanga un periodo di incertezza per tutto il mercato, le pubbliche amministrazioni che intendano adottare soluzioni di cloud pubblico non presenti in SPC non avranno più a disposizione lo strumento delle convenzioni Consip e dovranno necessariamente attivare forme di acquisto complesse e lente, oppure dovranno rinunciare.

Le aziende che avendo già adottato con soddisfazione soluzioni cloud dovessero decidere di continuare ad usarlo, dovranno, quindi, attivare forme di acquisto con procedura d'urgenza. Inoltre, in conclusione, è doveroso ricordare la full compliance, con il GDPR, il Regolamento sulla privacy, che entrerà in vigore il prossimo maggio 2018, che prevede, per tutte le piattaforme, soluzioni cloud in linea con la nuova normativa della privacy.

Per questo chiediamo al Governo se ritenga prioritario implementare politiche di cloud first; se ritenga opportuno dare un indirizzo a Consip, affinché attivi la necessaria procedura per predisporre strumenti idonei per acquisire pubblic cloud, cloud da parte della pubblica amministrazione, nello spirito, sostanzialmente, dell'allargamento della concorrenza; e, ai sensi del recente Piano triennale per l'informatica nella pubblica amministrazione, quali siano gli orientamenti in merito all'introduzione, nel cosiddetto cloud della PA, di servizi di pubblic cloud offerti da operatori privati.

 

Risposta

Grazie, signora Presidente. Consip, in coerenza con la strategia per la crescita digitale 2014-2020, nonché con il Piano triennale ICT della pubblica amministrazione, ha operato, collaborando con l'Agenzia per l'Italia digitale, predisponendo un quadro di gare per la fornitura di servizi innovativi alle pubbliche amministrazioni, nel quale si colloca la procedura di gara, suddivisa in quattro lotti, per i servizi di cloud computing, di sicurezza, di realizzazione di portali e servizi online e di cooperazione applicativa per le pubbliche amministrazioni. In particolare, il lotto 1 della suddetta iniziativa, offre servizi innovativi in logica cloud computing che rispondono agli obiettivi di semplificazione dei processi di gestione dei centri di elaborazione dei dati, di riduzione di nuovi investimenti su infrastrutture tradizionali, di abbattimento di costi d'acquisto di licenze di servizi professionali e di gestione tecnica.

Rispetto ai modelli di cloud computing presenti in letteratura, tenuto conto dei requisiti espressi e fissati dall'Agenzia per l'Italia digitale, la scelta è stata quella del community cloud della PA, ossia un modello di cloud computing in cui le infrastrutture fisiche, rese disponibili dal fornitore, siano dedicate alla pubblica amministrazione e le cui risorse elaborative siano logicamente assegnate alle amministrazioni contraenti, garantendo così la segregazione logica degli ambienti e dei dati. Si è ritenuto opportuno, infatti, optare per un modello di cloud che desse adeguate garanzie, anche sotto il profilo della sicurezza e della protezione dei dati. A tal fine, i centri servizi messi a disposizione dal fornitore aggiudicatario, dai quali vengono erogati servizi cloud, oltre a dover essere certificati ISO 27001, devono essere interconnessi alla rete del sistema pubblico di connettività.

Si segnala tuttavia che i servizi di tipo SaaS - mi spiace, Presidente, ma ci sono da adesso in poi numerose sigle, che nella parte scritta saranno anche specificate - l'erogazione è consentita anche attraverso la rete Internet - sostanzialmente un modello di cloud di tipo pubblico - mediante centri servizi differenti da quelli dai quali vengono erogati, come specificato in seguito, i servizi IaaS e PaaS (Platform as a Service), purché anch'essi certificati ISO 27001, consentendo - questa è la sostanza - l'utilizzo di infrastrutture tecnologiche fisiche anche in modalità non esclusiva per le pubbliche amministrazioni contraenti.

Più nel dettaglio i servizi cloud computing offerti dal Lotto 1 sono di tipo IaaS, servizi di calcolo e memorizzazione per la fruizione di risorse remote virtuali; PaaS, servizi per lo sviluppo, collaudo ed esercizio di applicazioni, poggianti su infrastrutture di tipo IaaS; e infine SaaS, servizi applicativi erogati direttamente alle pubbliche amministrazioni (conservazione digitale, produttività individuale, comunicazione unificata, social collaboration e analisi dei dati).

Il modello di governo e controllo della fornitura prevede poi un comitato di direzione tecnica, composto da Agit, Consip e dal fornitore, che ha tra i propri compiti la valutazione di proposte di inserimento di nuovi prodotti o servizi complementari ai servizi già oggetto della fornitura e nel rispetto dei massimali contrattuali, che potranno essere resi dal fornitore alle amministrazioni. In riferimento a tale compito, sono state recentemente approvate - lo dico a titolo esemplificativo - le proposte tecniche dei seguenti nuovi servizi, che si prevede di attivare prossimamente ad avvenuto completamento della valutazione di congruità economica, il DRaaS (Disaster Recovery as a Service), servizio posto a garanzia della continuità operativa dei servizi erogati dalle pubbliche amministrazioni, contraddistinto da range di valori molto elevati e inoltre CaaS, servizio basato su tecnologia altamente innovativa che consente di eseguire processi di sistema e applicativi in un ambiente protetto ed isolato, realizzando la piena indipendenza del servizio applicativo dall'infrastruttura sottostante, con una immediata e completa portabilità dei servizi IT.

In definitiva, il listino dei servizi cloud del Lotto 1 era riconducibile all'offering dei principali cloud service provider di mercato, in una logica, pertanto, di apertura a diverse possibili tecnologie proprietarie, risultando, stante l'attenzione posta al tema dell'aggiornamento tecnologico, improprio quindi, a nostro avviso, descriverne i contenuti in termini di obsolescenza.

Si segnala, altresì, che il contratto-quadro del Lotto 1 è stato sottoscritto il 20 luglio 2016 e che alla data del 31-8-2017 risultavano sottoscritti oltre 90 contratti esecutivi dalle amministrazioni centrali e locali, per un valore ordinato di oltre 14 milioni di euro. Al 31-12-2017 si stima una previsione di nuovi ordini per un valore di circa 17 milioni di euro. Questo lo dico, nello specifico, in relazione alle osservazioni contenute nella interpellanza sulla complessità di accesso per le PA, evidenziando al contrario, questi dati, un'incoraggiante volume di ordini.

In riferimento, infine, alla consultazione di mercato, pubblicata sul sito della Consip, ai fini dell'avvio della quinta edizione della gara per la fornitura delle licenze d'uso Microsoft Enterprise Agreement dei servizi connessi per le pubbliche amministrazioni, anch'essa espressamente richiamata nell'interpellanza, si rappresenta che questa non possa essere ancora intesa come rappresentativa di una maturata volontà di Consip in merito alla richiesta di servizi cloud, tanto che in essa, peraltro, non compare un esplicito riferimento ad essi.

La predetta consultazione si prefiggeva, in generale, l'obiettivo di verificare l'evoluzione della fornitura in oggetto, che ha subito nel tempo una rapida trasformazione in termini di domanda della PA di evoluzione tecnologica, di articolazione dell'offerta e di evoluzione - quest'ultimo particolare è molto rilevante - della regolazione prevista dall'Agenzia per l'Italia digitale. Proprio nella consapevolezza di tale rapida evoluzione, Consip ha avviato un'istruttoria - in questo senso la risposta alla domanda contenuta nell'interpellanza è positiva -, un'istruttoria per definire opportune soluzioni d'acquisto del citato software commerciale per la pubblica amministrazione, sia nella forma cloud, sia in modalità tradizionale, in un'ottica di necessario coordinamento con il complesso degli strumenti disponibili nell'ambito del programma di razionalizzazione degli acquisti, nonché tenendo nella debita considerazione le indicazioni fornite dall'Agenzia per l'Italia digitale nel Piano triennale per l'informatica nella PA 2017-2019.

Occorre, infine, considerare che attualmente l'offerta di questo tipo di licenze sul mercato europeo si è ampliata, con la presenza di nuovi players. Si pone, pertanto, l'esigenza di assicurare la più ampia concorrenzialità e, al contempo, di veicolare la crescente domanda di servizi cloud della pubblica amministrazione, a seconda delle caratteristiche della stessa, verso lo strumento di volta in volta più adeguato. In ragione di ciò sono in corso, da parte di Consip, i necessari approfondimenti. Solo in seguito alle conseguenti valutazioni, si potranno fornire notizie certe sull'impianto della futura gara ad evidenza pubblica.

L'insieme di queste attività dovrà infine ispirarsi al rispetto della regola fissata dall'Agip, che ha stabilito che una copia dei dati dovrà comunque risiedere sul territorio italiano, e l'insieme di queste attività dovrà svilupparsi in cooperazione, da parte di tutti i soggetti pubblici interessati, con il team digitale presso la Presidenza del Consiglio dei ministri. La ringrazio, signora Presidente.

 

Replica

Ringrazio il Governo, ringrazio Vicepresidente, ma devo dire francamente di non essere soddisfatta, perché, a parte un'apertura finale, nell'ultima parte dell'intervento del Vice Ministro, io vorrei dire che, piuttosto che rispondere alla domanda, si è preferito approfondire alcune questioni, che francamente io vorrei chiarire.

Nel Lotto 1 è stato scelto il cloud computingcomunity cloud” o cloud privato, facendo quindi una scelta che sostanzialmente impedisce la piena concorrenza. Dopodiché si dice che su questo ci sono altre possibilità, per cui indirettamente entri in qualche misura anche il cloud pubblico. Beh, esattamente quello che vorremmo evitare, cioè che ci fossero sostanzialmente delle gare che aprano pienamente alla concorrenza sul cloud privato come sul cloud pubblico.

Rispetto al tema dell'obsolescenza, evidentemente il comitato di direzione tecnica che si è formato è giustificato proprio dal fatto che è necessario, alla luce anche dell'evoluzione costante della tecnologia – ripeto, sono passati quattro anni -, definire altri servizi e probabilmente altri elementi di innovazione tecnologica.

Acquisisco positivamente la disponibilità di Consip di istruire - mi sembra di capire - una gara su questo tema che è stato posto, perché, ripeto, l'Italia, con il Piano triennale, ha indicato alcune cose, ma andare rapidamente nella direzione del cloud first credo che sia un obbligo anche legato sostanzialmente alla sicurezza dei sistemi. Grazie.