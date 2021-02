Aidr prende in considerazione il fenomeno cloud nella PA, facendo un po’ di chiarezza

di Alessandro Capezzuoli, funzionario ISTAT e responsabile osservatorio dati professioni e competenze Aidr

Negli anni ‘50, George Brassens scrisse una canzone intitolata Le gorille in cui, attraverso una brillante metafora, riuscì a descrivere con ironia e lucidità un concetto molto caro ai filosofi già dai tempi di Aristotele: la differenza tra idea e azione. Proprio come nella canzone, anche nella vita quotidiana capita spesso di trovarsi in situazioni contraddittorie nelle quali si manifesta palesemente l’incapacità di passare dall’idea all’azione. Attraverso le parole si possono compiere degli azzardi che in molti casi restano tali e non vengono compiuti a causa di impossibilità oggettive o sottovalutazioni di qualche tipo. Questa mancanza di coerenza il più delle volte crea negli altri prima enormi aspettative e poi enormi delusioni. Per affrontare con serenità la trasformazione digitale nel settore pubblico, bisogna essere disposti a fare i conti con le aspettative esagerate riposte nella tecnologia ed essere preparati alle enormi delusioni conseguenti alla loro adozione (o non adozione). Tra le innumerevoli anomalie digitali in cui si esercita l’incoerenza ci sono sicuramente le questioni relative al cloud. Nel Piano Triennale per l’Informatica, pubblicato dall’AGID e consultabile all’indirizzo https://www.agid.gov.it/it/infrastrutture/cloud-pa, il cloud riveste un ruolo talmente rilevante da prevedere una strategia di qualificazione per le PA e un programma di razionalizzazione che rispetti i seguenti principi:

miglioramento dei livelli di servizio, accessibilità, usabilità e sicurezza;

interoperabilità dei servizi nell’ambito del modello Cloud della PA;

riduzione del rischio di «vendor lock-in», ossia creazione di un rapporto di dipendenza col fornitore del servizio;

riqualificazione dell’offerta, ampliamento e diversificazione del mercato dei fornitori;

resilienza, scalabilità, «reversibilità» e protezione dei dati;

apertura del mercato alle Piccole e Medie Imprese (PMI).

“L’adozione dell’infrastruttura cloud consente, infatti, – dichiara l’AGID nel sito istituzionale – di migliorare l’efficienza operativa dei sistemi ICT, di conseguire significative riduzioni di costi, di rendere più semplice ed economico l’aggiornamento dei software, di migliorare la sicurezza e la protezione dei dati e di velocizzare l’erogazione dei servizi a cittadini e imprese”.

Sulla carta, il ragionamento è ineccepibile e fornisce una linea strategica da seguire per migliorare considerevolmente la digitalizzazione (e l’organizzazione) del Paese. Dov’è, dunque, la differenza tra la bontà dell’idea e l’applicabilità dell’azione? La risposta non è banale ed è da ricercarsi nella concezione feudale e autoreferenziale ancora imperanti in numerose PA. Innanzi tutto, vale la pena precisare che la parola cloud, benché si presti molto bene al qualunquismo tipico dei convegni, nasconde alcune insidie pericolose a causa del suo significato ampio e generico a cui è necessario dare una contestualizzazione. In Italia, esistono oltre 11.000 data center, e più di 160.000 database il cui costo complessivo ammonta a circa due miliardi di euro, a fronte dei 5,8 miliardi spesi per il settore ICT pubblico. In termini pratici, questo si traduce in fiumi di risorse spese, anche se sarebbe più corretto scrivere sperperate, in appalti e subappalti, in consulenze e acquisti di prodotti, che alimentano un mercato paludoso da cui i cittadini, gli azionisti di maggioranza di quei fondi, hanno dei ritorni molto esigui. Gli undicimila data center, a loro volta, erogano servizi pubblici in cloud a 22.000 piccole istituzioni attraverso un “non sistema” privo di governance e totalmente frammentato in termini di affidabilità e di sicurezza. Parlare genericamente di servizi e di affidabilità, però, non aiuta i lettori nella comprensione dell’articolo, quindi è necessario precisare alcuni aspetti tecnici. Quando si parla di servizi in cloud, in generale si fa riferimento a una piramide suddivisa in tre parti “Infrastruttura, piattaforma e software”.

Sulla base di questa suddivisione, l’erogazione dei servizi viene classificata con uno schema rappresentato dalla tabella sottostante.

La prima colonna, interamente azzurra, rappresenta il flusso della gestione tradizionale dell’ICT di un’organizzazione. Le celle di colore blu identificano i servizi cloud a cui è possibile fare ricorso. L’ultima colonna rappresenta il flusso di una gestione dell’IT totalmente in cloud. Gli acronimi a cui si fa riferimento nello schema, IaaS, PaaS e SaaS, descrivono differenti tipologie di cloud.

Una soluzione IaaS (Infrastructure as a Service) prevede la gestione esterna dell’infrastruttura (i server fisici, la rete, la virtualizzazione, lo storage dati, etc). L’utente può gestire i sistemi operativi, le applicazioni e il middleware attraverso delle API, demandando al fornitore le questioni riguardanti l’hardware, la connettività, i disservizi, gli adeguamenti tecnologici e la risoluzione dei problemi.

La tipologia PaaS (Platform as a Service) include, oltre all’infrastruttura, un ulteriore livello di software applicativo costituito da piattaforme di sviluppo o di solution stack. Questa soluzione fornisce un ambiente adatto agli sviluppatori e ai programmatori, che possono avere a disposizione piattaforme e strumenti di condivisione in cloud, come previsto dalla metodologie DevOps, senza l’onere della gestione dell’infrastruttura. Infine, la soluzione SaaS (Software as a Service) fornisce agli utenti una o più applicazioni software “pronte all’uso”, che si possono utilizzare attraverso dashboards, API o interfacce web. In questo caso, gli oneri di gestione si limitano alle attività generiche di manutenzione quali possono essere gli aggiornamenti software o la correzione dei bug. A completare questo scenario, ci sono le proprietà intrinseche dei cloud, che possono essere pubblici, privati o ibridi. Tralasciando l’approfondimento di quest’ultimo aspetto, che introdurrebbe un ulteriore grado di complessità, è bene soffermarsi su quali siano i reali fabbisogni di una PA, anche in funzione delle dimensioni, delle risorse umane e dei processi interni all’organizzazione. È evidente che non esiste una soluzione in assoluto migliore delle altre, ma esiste una soluzione che si adatta meglio alle diverse realtà organizzative. Ci sono PA che non hanno risorse umane in grado di gestire le infrastrutture, e quindi devono per forza orientarsi sulla scelta di servizi SaaS, e PA che hanno personale diversificato con differenti capacità di garantire un certo livello di affidabilità nell’erogazione dei servizi. Ovviamente, l’adozione di una soluzione non ne esclude altre: si possono scegliere cloud diversi per esigenze diverse. Per esempio, si può scegliere un servizio SaaS per gestire la posta elettronica e un cloud PaaS per gestire lo sviluppo software. Come molto spesso accade, però, i problemi non riguardano quasi mai la tecnologia ma la sua applicazione in quei contesti lavorativi troppo ingessati da regole sociali non scritte che privilegiano il clientelismo e i favoritismi. In un recente rapporto dell’AGID riguardante il patrimonio ICT di 990 PA emerge che il 35,4% degli enti non intende ricorrere all’utilizzo del cloud computing, il 22,2% lo prevede e il 42,4% utilizza un qualche tipo di servizio. I servizi cloud più utilizzati sono quelli di tipo privato (40,2%) e le tipologie prevalenti sono SaaS (49,1%) e IaaS (34,8%). I servizi software maggiormente richiesti riguardano la posta elettronica, l’hosting, la gestione documentale, l’archiviazione dei file, il protocollo Informatico e la gestione del personale (paghe e presenze). Nonostante gli evidenti vantaggi in termini di affidabilità, di scalabilità, di sicurezza e di risparmio economico, e nonostante i desiderata del fu Team Digitale, che ambiva a ridurre i data center a pochi poli nazionali, le resistenze della PA all’adozione di soluzioni cloud computing sono ancora molte. In molti casi, l’esigenza di avere un data center in house è giustificata, in parte, da questioni legate alla specificità di alcuni processi e al rispetto della normativa sulla privacy (normativa di cui moriremo, prima o poi…), che incute agli amministratore degli enti una paura folle di incorrere in possibili sanzioni da parte del Garante e li induce ad applicare misure che sfidano la ragione e rendono difficile condurre qualsiasi tipo di attività lavorativa. C’è da dire, però, che queste situazioni sono spesso circoscritte ad alcuni processi interni ben definiti e che difficilmente rappresentano esigenze “strutturali” di mantenimento, per esempio, della gestione di un servizio di posta elettronica. Le cause della resistenza al cloud sono numerose, ma una di esse è ben identificabile ed è riconducibile all’esercizio del potere conseguente alla gestione delle risorse economiche stanziate per l’IT. Non bisogna dimenticare che le risorse economiche non sono di chi le gestisce, ma dei cittadini che le finanziano: a loro bisogna rendere conto delle spese e dei risultati. I dati prodotti dalle istituzioni non sono di chi li produce, ma appartengono alla comunità: tra l’idea di open data e l’applicazione dell’open data, però, c’è di mezzo il senso della proprietà privata dei dati, che ostacola ogni forma di condivisione. C’è di mezzo la paura che i dati possano essere usati per far emergere verità diverse da quelle prestabilite o che possano portare un qualche tipo di profitto a chi ne fa un uso differente. L’idea di rendere pubblici i dati attraverso un cloud accessibile è condivisa da tutti… purché resti un’idea. I servizi erogati non godono di un destino diverso: spesso sono finalizzati alle carriere del personale e la loro suddivisione o frammentazione alimenta conflitti interni e delimitazioni di aree di competenza che penalizzano fortemente il benessere collettivo. È innegabile che l’IT sia diventata centrale in tutte le attività svolte nella PA e che l’interruzione di un servizio informatico si ripercuota quasi sempre sull’erogazione di un servizio pubblico o sull’interruzione di un processo produttivo… specialmente quando il processo è vincolato a sovrastrutture di marxiana memoria. In questo scenario, il ruolo del manager IT riveste un ruolo fondamentale: non bastano competenze e capacità organizzative, bisogna reprimere la tentazione di cedere al delirio di onnipotenza, agli scarichi di responsabilità, alle questioni personali con i dirigenti delle altre aree produttive, agli interessi personali e ai clientelismi a diversi livelli. La differenza tra idea e azione, nel caso della trasformazione digitale, non c’entra nulla con le questioni tecnologiche o con la scelta di un cloud IaaS piuttosto che PaaS, ma è più che altro subordinata alla cultura lavorativa. C’entra con la dignità, con la coscienza e col senso di responsabilità dei lavoratori: tutte questioni strettamente collegate a un problema culturale che tende a confondere, a tutti i livelli, il senso del dovere col senso del potere. In ogni PA esistono picchi di eccellenza ed esempi virtuosissimi di professionalità e responsabilità, che non a caso provengono da quei lavoratori intellettualmente liberi, curiosi e indipendenti, quei lavoratori che, in silenzio, fanno funzionare le cose e che spesso affrontano condizioni lavorative deprimenti e raggiungono i risultati non tanto “grazie” all’amministrazione che li rappresenta, ma “nonostante” l’amministrazione che rappresentano”. Non sarà il cloud a salvare la Pubblica Amministrazione, saranno i lavoratori.