ll 13 gennaio scorso, durante la seduta n. 395 del Senato della Repubblica, è stato presentato l’atto di sindacato ispettivo n. 4-06439 (primo firmatario, Nicola Morra), il cui testo integrale di seguito si riporta, avente ad oggetto le misure di sicurezza per la realizzazione del cloud della Pubblica Amministrazione, nell’ambito del Piano triennale per l’informatica 2020-2022.
"MORRA, ABATE, CRUCIOLI, DE BONIS, CORRADO, GRANATO - Al Ministro per l'innovazione tecnologica e la transizione digitale. - Premesso che:
con decreto del Presidente del Consiglio dei ministri 17 luglio 2020 è stato approvato il "Piano triennale per l'informatica nella pubblica amministrazione 2020-2022", che prevede, tra l'altro, l'esigenza immediata di attuare un percorso di razionalizzazione delle infrastrutture per garantire la sicurezza dei servizi erogati mediante la migrazione degli stessi verso data center più sicuri e verso infrastrutture e servizi cloud qualificati da AgID secondo il modello cloud della pubblica amministrazione;
dal sito istituzionale cloud.italia "si apprende che la "strategia" del cloud della pubblica amministrazione prevede "la realizzazione del sistema operativo del Paese anche mediante l'adozione del cloud computing nel settore pubblico" e che tale "strategia applica il principio cloud first, favorendo l'adozione prioritaria da parte delle pubbliche amministrazioni di strumenti e tecnologie di tipo cloud nello sviluppo di nuovi servizi e nell'acquisizione di software";
si apprende anche che "la strategia prevede di mettere in sicurezza i servizi erogati dalle amministrazioni e in particolare: le amministrazioni centrali i cui sistemi informativi non hanno i requisiti definiti da AgID, migrano i servizi ospitati su tali sistemi verso l'infrastruttura ad alta affidabilità promossa dalla Presidenza del Consiglio dei ministri, anche detta Polo Strategico Nazionale oppure verso i servizi cloud qualificati; le amministrazioni locali i cui sistemi informativi non hanno i requisiti definiti da AgID, migrano i servizi ospitati su tali sistemi verso soluzioni cloud qualificate da AgID; o in alternativa, possono rivolgersi ad altre amministrazioni locali (data center di tipo A), o al Polo Strategico Nazionale per consolidare le proprie infrastrutture e servizi. La scelta di quali servizi migrare verso soluzioni cloud qualificate da AgID o verso il Polo Strategico Nazionale (PSN) avviene sulla base della classificazione dei dati definita all'interno della Strategia Cloud Italia";
dal sito istituzionale del Ministero per l'innovazione tecnologica e la transizione digitale si apprende che: "la creazione di un PSN è condotta dal Dipartimento per la trasformazione digitale. L'infrastruttura sarà gestita da un operatore economico selezionato attraverso l'avvio di un partenariato pubblico-privato ad iniziativa di un soggetto proponente"; "il PSN ospiterà dati e servizi strategici della Pubblica Amministrazione e dovrà essere costituito nel rispetto dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità, secondo il regolamento previsto nell'articolo 33-septies, comma 4 del D.L. 'Ulteriori misure urgenti per la crescita del Paese (D.L.18 ottobre 2012, n. 179)"; "obiettivo del PSN è di ospitare i dati ed i servizi critici e strategici di tutte le amministrazioni centrali (circa 200), delle Aziende Sanitarie Locali (ASL) e delle principali amministrazioni locali (Regioni, città metropolitane, comuni con più di 250 mila abitanti)";
nell'ambito del PNRR le 200 amministrazioni centrali e le ASL potranno ricevere un contributo per completare la migrazione verso soluzioni cloud qualificate da AgID o verso il PSN;
considerato che:
nell'ambito del PSN potenzialmente migrerà la quasi totalità dei dati personali e sensibili dei cittadini italiani detenuti dalle pubbliche amministrazioni: dati giudiziari, dati sensibili, dati personali (sanitari, anagrafici, fiscali);
la migrazione di dati dovrà essere conforme alle disposizioni europee in materia di localizzazione e trattamento dei dati e garantire soluzioni idonee a risolvere i problemi giuridici posti dall'applicazione extraterritoriale della normativa di Paesi extra Unione europea;
il 27 dicembre 2021 il Dipartimento per la trasformazione digitale ha ricevuto ed esaminato tre proposte di partenariato pubblico privato sull'iniziativa M1C1 investimento 1.1 del PNRR (cloud PA/polo strategico nazionale). Con l'ausilio degli esperti del DTD e MITD, di un advisor finanziario, delle competenti strutture della Presidenza del Consiglio dei ministri e degli esperti dell'Agenzia nazionale per la cybersicurezza, il DTD ha individuato nella proposta della TIM S.p.A., Enterprise market, in qualità di mandataria della costituenda ATI con Cassa depositi e prestiti Equity S.p.A., Leonardo S.p.A., Sogei S.p.A. quella che rispecchia pienamente e in misura del tutto soddisfacente i requisiti espressi nella policy cloud Italia presentata il 7 settembre;
da quanto si apprende da notizie di stampa, vi sarebbe l'intenzione di acquisire da parte del fondo statunitense KKR il gruppo TIM S.p.A., già detenuto per il 23,75 per cento dalla società francese Vivendi SA e per il 41,28 per cento da investitori istituzionali esteri;
tra le aziende che offrono soluzioni cloud qualificate da AgID ed accreditate sul sito di AgID cloud marketplace vi sono colossi americani quali: Amazon, Google, Salesforce.com, IBM, Palo Alto,
si chiede di sapere:
se sia prevista la creazione sul territorio nazionale di cloud data center a basso impatto ambientale di proprietà e diretta gestione dello Stato, al fine di garantire il patrimonio nazionale e valorizzare al meglio le risorse economiche previste dal PNRR;
quali misure di sicurezza si intenda implementare per garantire la sicurezza del PSN da attacchi informatici condotti attraverso i computer quantistici di imminente produzione;
quali siano le misure di contrasto che si intende mettere in campo per arginare il "principio di territorialità espansa", in virtù del quale nella realtà dei fatti la NSA degli Stati Uniti d'America ottiene l'accesso alle comunicazioni digitali anche di chi vive fuori dagli USA. In che misura, peraltro, tale fatto incida nella scelta del partner privato commerciale che realizzerà e gestirà il PSN;
quali siano le misure di sicurezza che si intende implementare per contrastare efficacemente la costante attività di spionaggio e controspionaggio ed attacco ai cloud posta in essere dalle grandi corporation e dagli Stati esteri.
(4-06439)”
