Il passaggio dell’Italia a un cloud sovrano segna un profondo cambiamento nel modo in cui il settore pubblico esercita il controllo operativo. Con il passaggio dei servizi a infrastrutture nazionali condivise come il Polo Strategico Nazionale (PSN), il controllo è determinato meno dalla posizione fisica dei sistemi e più da come viene regolamentato l’accesso agli stessi. Il regolamento cloud emanato dall’Agenzia per la Cybersicurezza Nazionale (ACN) formalizza questo approccio. Stabilisce requisiti chiari per la forza dell’autenticazione, la gestione dei privilegi, la disciplina del ciclo di vita e l’audit che si applicano a tutti i livelli di qualificazione. All’interno di questo modello, l’IAM (Identity and Access Management) diventa il meccanismo che mantiene coerenti l’accesso, la responsabilità e la tracciabilità man mano che le pubbliche amministrazioni convergono su piattaforme cloud comuni.
Questa direzione normativa è in linea con gli obiettivi del PNRR italiano e con l’enfasi di NIS2 sulla sicurezza fin dalla progettazione; rafforza la sovranità digitale nazionale e guida sia il settore pubblico che quello privato verso pratiche di sicurezza più solide per software e infrastrutture.
La struttura di qualificazione: dove l’identità diventa normativa
Il Regolamento per le infrastrutture digitali e per i servizi cloud per le pubbliche amministrazioni dell’ACN introduce quattro livelli di qualificazione: i livelli da QC1 a QC4 sono progettati per ospitare dati e servizi classificati come ordinari, critici o strategici. QC3 e QC4 sono riservati ai carichi di lavoro strategici soggetti a requisiti di sicurezza più rigorosi.
Ciascun livello introduce controlli progressivamente più severi, ma i requisiti per l’IAM si estendono a tutte le categorie con la stessa importanza.
Identità centralizzata, fiducia federata
Il PSN presuppone l’utilizzo di identity provider autorevoli anziché di archivi di credenziali isolati a livello di agenzia. Ciò consente di implementate pratiche di autenticazione coerenti tra i ministeri, consentendo al contempo ai singoli enti di gestire le strutture organizzative interne. L’identità federata garantisce che ogni utente o account di sistema possa essere convalidato rispetto a una fonte nazionale attendibile.
L’identificazione multifattore come requisito di base
La struttura impone l’utilizzo dell’autenticazione multifattore (MFA) per le funzioni amministrative e per l’accesso a informazioni sensibili o critiche. Questo requisito si applica in egual misura al personale interno, ai collaboratori esterni e ai fornitori di servizi esterni. L’MFA è anche il controllo di sicurezza predefinito per gli accessi privilegiati, a protezione delle operazioni ad alto impatto.
Definizione dei ruoli e separazione dei privilegi
L’Allegato A del regolamento richiede pratiche documentate che disciplinino l’assegnazione dei ruoli, la distribuzione dei privilegi e la revisione dei diritti. Richiede inoltre alle agenzie di identificare e mitigare le combinazioni di privilegi che potrebbero creare conflitti di segregazione dei compiti. Revisioni periodiche devono verificare che i diritti degli utenti rimangano adeguati alle responsabilità attuali. Questo approccio considera l’accumulo di privilegi un rischio controllabile piuttosto che un effetto collaterale operativo.
Controllo dei cicli di vita con processi verificabili
La creazione, la modifica e la disattivazione dell’account devono seguire procedure chiaramente definite. I diritti di accesso devono essere revocati immediatamente dopo un cambio di ruolo o la risoluzione del contratto. Ogni azione nel processo del ciclo di vita deve generare evidenze di audit idonee alla verifica di conformità. Questo formalizza la gestione del ciclo di vita dell’identità come un processo verificabile, garantendo che il deprovisioning avvenga senza ritardi.
I login come fonte di informazioni operative
La creazione, la modifica e la chiusura di un account devono essere eseguiti in modo chiaro. Le linee guida richiedono che tutti gli eventi di accesso e amministrativi registrino l’identità dell’autore, il timestamp e la natura dell’azione eseguita. I login devono essere esportabili verso sistemi di monitoraggio centralizzati o SIEM. L’intento va oltre la semplice tracciabilità legale, poiché la correlazione continua delle attività di identità consente il rilevamento in tempo reale di comportamenti non autorizzati o anomali.
Assicurazione continua in luogo della certificazione periodica
La qualificazione dei servizi cloud ha una durata massima di 24 mesi. I fornitori devono presentare nuovamente la documentazione di conformità aggiornata almeno ogni 24 mesi, o prima in caso di modifiche sostanziali. L’ACN stessa aggiorna i requisiti minimi e i criteri di classificazione con cadenza analoga.
Questo sostituisce la certificazione una tantum con una supervisione ricorrente. I controlli di identità e accesso devono pertanto dimostrare un’efficacia misurabile e duratura nel tempo.
Insieme, queste disposizioni dimostrano che, all’interno del framework ACN, la gestione delle identità funge da strumento di governance operativa. Autenticazione, autorizzazione e accountability traducono i requisiti normativi in un controllo applicabile e verificabile.
I requisiti dell’implementazione
Per le pubbliche amministrazioni che si stanno muovendo verso il PSN, la vera complessità risiede nel conciliare le aspettative di governance, processo e sicurezza tra istituzioni che non sono mai state concepite per operare come un’unica entità. Tre realtà definiscono questa transizione.
Il consolidamento delle identità rivela sfide strutturali
La maggior parte dei ministeri e degli enti regionali mantiene directory sovrapposte, meccanismi di autenticazione obsoleti e modelli di accesso incoerenti. Unificarli non è semplicemente un’attività di integrazione dei sistemi; è un esercizio di allineamento amministrativo. Determinare quale entità detiene il dato utente più autorevole e chi definisce le gerarchie dei ruoli richiede il consenso prima che possa avvenire il consolidamento tecnico. La pulizia dei dati di identità è tanto il risultato del coordinamento interagenzia quanto dell’implementazione della tecnologia.
La gestione dei privilegi richiede automazione e disciplina
Le revisioni manuali degli accessi e le catene di approvazione basate su e-mail non possono garantire la garanzia continua prevista dalla struttura del PSN. Il provisioning automatizzato, le approvazioni multilivello e i cicli di certificazione ricorrenti sono necessari per garantire che i privilegi rimangano appropriati nel tempo. L’implementazione just in time dell’elevazione dei privilegi, in cui i diritti amministrativi esistono solo durante il periodo di effettiva necessità, riduce ulteriormente l’esposizione. Per essere efficaci, questi meccanismi devono operare quasi in tempo reale, concedendo e revocando l’accesso in pochi minuti anziché in giorni.
La telemetria IAM deve informare la difesa attiva
I log di autenticazione che rimangono confinati all’interno delle singole applicazioni offrono scarso valore per le operazioni di sicurezza. Se integrati con i sistemi SIEM (Security information and event management) e SOAR (security orchestration, automation, and response), i dati di identità diventano un elemento chiave per il rilevamento e la risposta alle minacce. Modelli come l’attivazione improvvisa di account inattivi, sequenze di accesso insolite o l’uso di privilegi al di fuori delle finestre di manutenzione approvate possono essere identificati e gestiti immediatamente. In questo modo, l’IAM si evolve da una funzione di conformità a un contributo alla consapevolezza situazionale e alla gestione del rischio.
Non si tratta di fasi di implementazione sequenziali; sono capacità interdipendenti che determinano se la sovranità si traduce in controllo operativo o rimane retorica.
L’IAM come infrastruttura di sovranità
Nel contesto del PSN, l’IAM svolge tre funzioni misurabili che definiscono se la sovranità digitale esiste a livello operativo piuttosto che nominale.
Assicurazione di conformità: i modelli di accesso devono allinearsi dinamicamente ai livelli di classificazione dei dati. I repository di dati strategici che consentono un accesso amministrativo illimitato violano strutturalmente il modello di qualificazione, indipendentemente dalla potenza della crittografia o dalla posizione geografica. L’IAM diventa il meccanismo di applicazione runtime per la policy di classificazione.
Continuità operativa: le attività amministrative richiedono tracciabilità e reversibilità. Quando si verifica un errore di configurazione, e succederà, la capacità di identificare quale credenziale ha eseguito quale operazione e in quale momento determina se il ripristino è possibile. Alternativamente, nei casi più gravi, se è necessario ricostruire interi carichi di lavoro. La completezza dell’audit rappresenta la differenza tra la resilienza e un danno catastrofico.
Contenimento dei rischi: le credenziali compromesse si propagano attraverso gli ambienti che hanno privilegi eccessivi. L’applicazione del principio del privilegio minimo, combinata con il monitoraggio comportamentale continuo, limita il raggio di azione in caso di errore di autenticazione. Il ruolo dell’IAM si sposta dal controllo dei gate al controllo dei danni, contenendo le violazioni anziché semplicemente impedendone l’accesso.
Queste funzioni illustrano perché il framework del PSN tratta l’IAM non come un controllo ausiliario, ma come un’infrastruttura fondamentale. L’efficacia del cloud sovrano italiano dipende meno dalla posizione fisica dei server e più dalla precisione con cui le policy di identità vengono definite, applicate e verificate tra le entità partecipanti.
L’identità come meccanismo di controllo
L’approccio italiano illustra un’evoluzione più ampia nel modo in cui gli Stati rendono operativa la sovranità digitale. Il PSN non tratta la gestione delle identità come una dipendenza tecnica, ma come il meccanismo attraverso cui la governance diventa applicabile. Ogni decisione di accesso, assegnazione di privilegi ed evento di autenticazione fa parte di un sistema di controllo istituzionale che definisce chi può agire all’interno dell’infrastruttura digitale nazionale.
Per l’Italia, l’integrazione dell’IAM nell’infrastruttura di qualificazione garantisce che l’utilizzo del cloud nel Paese possa evolversi in modo sicuro senza frammentare la governance. Per altre nazioni, dimostra che raggiungere una vera autonomia digitale richiede più della semplice costruzione di infrastrutture locali. Richiede la capacità di tenere conto di ogni identità, tracciare ogni azione e far rispettare ogni privilegio entro i limiti della supervisione nazionale.
A cura di Jay Reddy, Senior Technology Evangelist, ManageEngine
