Amministrativo

PNRR - Finanziamento ai Comuni per la migrazione al cloud, le qualificazioni CSP e SAAS di AgID

di Vincenzo Gallotto*

500 milioni dal PNRR ai Comuni per passare ai servizi in cloud erogati da fornitori qualificati AgID - Due le procedure per i fornitori: la qualificazione CSP (Cloud Service Provider) e la qualificazione SAAS (Software as a Service)

Contenuto esclusivo Norme & Tributi Plus

Tra le risorse destinate al Piano Nazionale di Ripresa e Resilienza, 500 milioni di euro sono stati assegnati alla strategia "PA digitale 2026", al fine di incentivare i Comuni nella migrazione dei propri servizi verso soluzioni cloud qualificate, in modo da avere maggiori garanzie di affidabilità e sicurezza nella gestione dei dati e nell'erogazione dei servizi pubblici, potendo contare sui requisiti di affidabilità, protezione e conformità legislativa definiti dall'Agenzia per l'Italia Digitale (AgID), a cui tutti i fornitori devono uniformarsi per offrire servizi cloud alle PA.

Le risorse del PNRR a favore dei Comuni per la migrazione al cloud

Inserite all'interno della missione del PNRR dedicata alla "Digitalizzazione, innovazione e sicurezza nella PA", le risorse stanziate per i Comuni sono state affidate al Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri e verranno assegnate agli enti che ne faranno richiesta tramite la piattaforma "PA digitale 2026".

Il contributo economico riguarda percorsi di migrazione di un numero minimo di servizi verso infrastrutture e soluzioni cloud qualificate, che non siano stati ancora avviati ovvero iniziati a partire dal 1° febbraio 2020.

Possono essere presi in considerazione tutti e soli i servizi che sono stati precedentemente classificati secondo quanto previsto dal Regolamento AGID approvato con Determinazione n. 628/2021 .

La classificazione, aperta a tutte le PA, dovrà essere completata entro il 18 luglio 2022.

Il voucher finanzierà l'acquisto di servizi cloud qualificati propedeutici alla migrazione e le attività di supporto specialistico. L'importo, che comprende anche il primo anno di canone di servizi cloud, sarà parametrato al numero degli abitanti del Comune e alla tipologia di servizi oggetto di migrazione. La candidatura non richiede la presentazione di un progetto: è sufficiente inserire sulla piattaforma i servizi che si intendono attivare, scegliendoli all'interno di una lista di 95 tipologie.

Al termine della procedura guidata, il sistema crea la domanda di partecipazione che dovrà essere firmata digitalmente dal legale rappresentante della PA e ricaricata sulla piattaforma.Le candidature possono essere presentate fino al 22 luglio 2022. Anche prima di tale scadenza sono previste finestre temporali di 30 giorni al termine delle quali il Dipartimento provvede a finanziare le istanze pervenute in quel periodo.

Il modello Cloud della PA e le soluzioni cloud qualificate

Come anticipato, il finanziamento riguarda soluzioni e servizi cloud qualificati. La qualificazione discende dal possesso, da parte del fornitore, di certi requisiti ritenuti essenziali per l'affidamento dei servizi.

La Strategia per la crescita digitale del Paese e il Piano Triennale per l'informatica nella PA hanno, infatti, disposto l'obbligo, per ogni Pubblica Amministrazione, di acquisire servizi cloud qualificati e pubblicati sul "Catalogo dei servizi cloud qualificati per la PA" (conosciuto anche come "Cloud marketplace AgID").

Il percorso di qualificazione predisposto da AgID si è, quindi, reso necessario per assicurare che le Pubbliche Amministrazioni potessero acquisire servizi di cloud computing omogenei, nel rispetto dei parametri tecnici e dei principi di efficienza e affidabilità fissati dalla stessa Agenzia.

È nato così il modello "Cloud della PA", per scongiurare il rischio di affidare i dati a fornitori non in grado di erogare un servizio conforme agli standard internazionali, soprattutto in termini di sicurezza dei dati trattati e di capacità di pianificare o intervenire in loro tutela. Non solo, gli obiettivi del modello sono molteplici, e tra questi sono inclusi il miglioramento del livello dei servizi pubblici offerti, la riduzione del rischio di "vendor lock-in" e l'apertura del mercato alle Piccole e Medie Imprese (PMI).

In particolare, il trasferimento su infrastrutture cloud permette il miglioramento dei servizi in termini di disponibilità, accessibilità e interoperabilità, potendo operare facilmente aggiornamenti o manutenzioni senza dover sopportare gli elevati costi legati al mantenimento di server proprietari presso la sede della PA.

La previsione di caratteristiche omogenee e la possibilità di esportare i dati in un formato interoperabile, accessibile/comprensibile da un'altra piattaforma riduce il rischio di dipendenza esclusiva della PA dal medesimo fornitore, facilitando la concorrenza verso l'innovazione tecnologica e l'efficienza delle infrastrutture.

Una concorrenza che viene tutelata anche a favore delle PMI, con conseguente ampliamento e diversificazione del mercato dei fornitori.

Le qualificazioni CSP e SAAS di AgID

Le imprese che intendono offrire servizi cloud alle Pubbliche Amministrazioni devono, quindi, sottoporsi ai processi di qualificazione definiti dall'AgID con le circolari n . 2 e 3 del 9 aprile 2018 .

Sono previste due procedure: la qualificazione CSP (Cloud Service Provider) e la qualificazione SAAS (Software as a Service).

La qualificazione CSP consente di erogare servizi cloud infrastrutturali alle PA e riserva particolare attenzione agli aspetti di gestione dei processi per la qualità (ISO 9001), alla gestione della sicurezza estesa a tutti gli ambiti che riguardano l'infrastruttura dei servizi cloud (ISO/IEC 27001 estesa ai controlli ISO/IEC 27017 e ISO/IEC 27018), alla gestione delle configurazioni e dei cambiamenti e alla gestione degli incidenti e il recovery dell'infrastruttura in seguito ad eventi critici.

Esistono tre tipologie di qualificazione CSP:
• il tipo A permette al fornitore di qualificare la sua infrastruttura e di vendere servizi Infrastructure as a Service (IAAS) e/o Platform as a Service (PAAS);
• il tipo B, invece, permette la qualifica della propria infrastruttura e la vendita di servizi Software as a Service (SAAS);
• il tipo C, infine, permette la qualifica di tutto quanto appena citato, ossia della propria infrastruttura e della vendita di servizi IAAS, PAAS, e SAAS.

I tre diversi servizi IAAS, PAAS e SAAS differiscono a seconda di quanta possibilità abbia il fruitore/cliente (in questo caso, la PA) di controllare, gestire o modificare i diversi parametri del sistema.

Il massimo livello di intervento è ammesso nel caso di Infrastructure as a Service (IAAS), in cui il fruitore acquisisce memoria, rete e risorse di calcolo, controllando sistemi operativi, memoria e applicazioni, senza poter intervenire comunque sull'infrastruttura cloud sottostante.

Il Software as a Service (SAAS) si pone, invece, sul lato diametralmente opposto, dal momento che permette solamente di fruire delle funzionalità offerte dal servizio senza che l'utilizzatore possa effettuare configurazioni o modifiche.

Tra i due estremi si inserisce il Platform as a Service (PAAS), in cui il fruitore ha il controllo sulle applicazioni ed eventualmente sulle configurazioni dell'ambiente che le ospita.

Laddove un'impresa non disponga di una propria infrastruttura e si avvalga di sistemi di un altro fornitore, è necessario che essa acquisisca la qualificazione SAAS in relazione alla vendita del servizio. L'infrastruttura del fornitore deve essere comunque qualificata come CSP e sarà necessario dichiarare alla PA i dati identificativi di tale fornitore terzo qualificato.

La qualificazione SAAS impone un certo grado di sicurezza applicativa e di trasparenza sulle modalità di erogazione del servizio, la possibilità di esportare i dati, l'interoperabilità mediante API e la disponibilità di un adeguato supporto tecnico per il cliente.

Per ottenere la qualificazione, il fornitore deve trasmettere ad AgID tutta la documentazione richiesta che verrà verificata dall'Agenzia, la quale si riserva la possibilità di valutare in ogni momento il mantenimento dei requisiti necessari. La certificazione ha una durata di 2 anni dalla data in cui AgID accetta la domanda di qualificazione.

_____

*A cura dell'Avv. Vincenzo Gallotto, Studio Legale Gallotto

Per saperne di piùRiproduzione riservata ©