Datacenter, l’impegno di Agid per la razionalizzazione

Il tema dei data center della pubblica amministrazione vive fasi alterne di interesse, talvolta con la sensazione di un prossimo avviamento di percorsi strutturati –o almeno della decisione di predisporre l’avviamento di questi percorsi- e di fasi di ritorno al silenzio sull’argomento, data anche l’importanza e l’attenzione per l’attuazione delle cosiddette “infrastrutture immateriali” (quali SPID, ANPR, PagoPA, NoiPA, conservazione documentale, ecc.).

E’ invece importante che sia dato avvio al percorso di razionalizzazione dei “punti di elaborazione infrastrutturali dell’IT pubblico”. Questa espressione, certamente un po’ ostica, sembra meglio rappresentare la realtà dei sistemi di elaborazione di grande parte delle Amministrazioni, dato che queste ultime spesso si avvalgono proprio di piccoli o piccolissimi centri di elaborazione, concettualmente più assimilabili, appunto, a “punti di elaborazione” che a data center per quanto di piccole dimensioni. Il numero di tali punti è presumibilmente superiore ai 10.000, ma naturalmente in questa cifra si comprendono anche le realtà che effettivamente dispongono di veri e propri data center, in alcuni casi di più data center e di dimensioni notevoli.

Ecco che una prima esigenza è quella di categorizzare realtà più o meno complesse, riservando alle prime interventi puntuali e guidando, per le seconde, per esempio tramite AgID, l’incontro con le disponibilità dei servizi disponibili per le infrastrutture cloud, a cominciare naturalmente dal SPC.

In tale direzione, si stimano circa 400 pubbliche amministrazioni di particolare complessità istituzionale e, quindi, sotto il profilo IT (PAC, Regioni ed Enti collegati, Città Metropolitane, ASL/AO, Comuni capoluogo rilevanti) quale riferimento per la pianificazione di interventi di razionalizzazione per i quali siano necessari percorsi progettuali dedicati. Questi interventi, mirati alla costituzione di poli, a loro volta partecipati da un numero di data center, comprenderanno anche aspetti di connettività, soprattutto nei casi che siano necessarie caratteristiche trasmissive non comprese nell’attuale offerta SPC.

Quanto sopra premesso, è importante fare ora riferimento all’impianto normativo che può permettere di dare finalmente avviamento all’attuazione della razionalizzazione dei data center pubblici. Il primo riferimento è certamente costituito dal comma 514 della Legge di stabilità 2016 che affida ad AgID il compito della predisposizione del Piano triennale ICT delle pubbliche amministrazioni. E’ naturale che il tema trattato troverà riscontro. D’altra parte, vale la pena ricordare che è tuttora in vigore l’articolo 33-septies del DL 179/2012, che ha affidato ad AgID il compito di essere parte attiva del processo di razionalizzazione dei data center. Questa norma, sostanzialmente, ha previsto tre momenti per la definizione di questo percorso:

• il censimento dei data center delle pubbliche amministrazioni;
• la pubblicazione delle linee guida per la razionalizzazione delle infrastrutture IT;
• il piano triennale per la razionalizzazione dei data center pubblici.

Per quanto attiene ai due primi momenti (censimento e linee guida) il compito è affidato ad AgID che, entro la data termine del settembre 2013, ha predisposto, sulla base del censimento, le linee guida.

Relativamente al terzo adempimento, AgID ha predisposto una bozza di piano, che venne inviata all’allora Cabina di regia, recentemente soppressa, senza che ci fosse seguito normativo. Come detto, la prossima pubblicazione del piano triennale dell’IT pubblico rappresenta l’occasione per ricomprendere anche il percorso previsto dall’articolo 33-septies del DL 179/2012. Infatti, se anche il piano triennale previsto dalla legge di stabilità 2016 non potrà dettagliare gli aspetti di questo processo, complesso e lungo, certamente in esso troveranno posto le necessarie indicazioni propedeutiche.

Nell’ambito di quanto sopra, assume un aspetto importante quello della verifica di conformità dei data center pubblici a precisi requisiti che garantiscano l’affidabilità strutturale e funzionale degli stessi, soprattutto nella prospettiva di diventare componenti dei poli di cui si è detto sopra.

Al proposito, le line guida sulla razionalizzazione, sopra richiamate, hanno fissato nella norma TIA-942 il riferimento per identificare questi requisiti. La TIA-942 stabilisce requisiti progressivamente stringenti e attribuisce, in funzione di questa progressione, livelli (“rating”, secondo la versione a oggi più recente della norma, del marzo 2014) di conformità successivi. Le linee guida per la razionalizzazione richiedono, per i data center ammessi al processo di razionalizzazione, almeno la conformità al livello 3.

Ulteriormente, è necessario che un data center partecipante al processo di razionalizzazione fornisca anche adeguate garanzie circa le procedure di sicurezza e in tal senso la certificazione ISO 27001 rappresenta il naturale riferimento.

Riprendendo gli aspetti inerenti i requisiti previsti dalla TIA 942, trattandosi di percorsi particolarmente costosi e lunghi, sempre le citate linee guida richiedono, in prima istanza, una conformità –e non una certificazione piena- sotto forma di qualificazione a cura di AgID. In altro intervento riprenderemo e approfondiremo il tema di questi requisiti.