Continuità operativa, come riscrivere l’articolo 50-bis del CAD

Che il CAD fosse una legge nata con più di un peccato originale e in molte parti inapplicabile era noto (ma forse solo a pochissimi) fin dalla sua prima versione del 2005. Sorprende quindi che la maggior parte dei commenti alle modifiche e alle numerose abrogazioni ora proposte siano negativi.

Molti commentatori ad esempio hanno segnalato con preoccupazione l’abrogazione dell’Art. 50-bis sulla continuità operativa (vedere Riforma Pa, passo indietro su software libero e continuità operativa e Il Cad cade ma noi (gli italiani) lo tireremo su ) e anche nel recente parere del Consiglio di Stato sono state avanzate riserve e critiche.

Perché lamentare l’abrogazione di norme che, se pure condivisibili nei fini, sono per la loro formulazione palesemente inapplicabili e in buona sostanza assurde e che senso avrebbe in un paese serio mantenerle in vigore?

Chiaramente non è accettabile che le amministrazioni pubbliche – che gestiscono servizi fondamentali e critici per il funzionamento del sistema paese – non siano in grado di assicurare il recupero dei propri dati e di garantire la continuità del funzionamento dei loro sistemi informatici a fronte di disastri di qualsiasi natura, tuttavia anche il legislatore meno accorto avrebbe dovuto rendersi conto che questo obiettivo non poteva essere perseguito con le modalità prescritte dall’Art. 50-bis che obbligano ogni singola amministrazione a predisporre piani individuali di disaster recovery e continuità operativa, basati su studi di fattibilità da sottoporre al parere di AgID.

Bastano per capirlo semplici considerazioni di buon senso che evidentemente non sono state fatte, mettendo così in evidenza l’inadeguatezza del processo di produzione legislativa adottato per il CAD.

Una prima considerazione riguarda il fatto che il CAD è una norma di rango legislativo primario che non si limita a formulare principi e obiettivi, ma prescrive soluzioni tecniche ed operative in un campo soggetto ad una evoluzione tecnologica la cui velocità è incompatibile con la nostra capacità di aggiornamento legislativo e che quindi dovrebbero essere oggetto di norme di rango regolamentare secondario più facilmente aggiornabili.

Una seconda considerazione riguarda il fatto che il CAD si applica a tutte le amministrazioni centrali, locali e fino alle scuole di ogni ordine e grado. Le soluzioni tecniche applicabili per garantire la continuità operativa non sono banali e alla portata di tutti, sono complesse e richiedono competenze specialistiche (anche solo per scrivere il capitolato di uno studio di fattibilità) e differiscono quantitativamente, ma non qualitativamente, in funzione della “dimensione informatica” della amministrazione. È irragionevole porre in capo al direttore di una scuola o al sindaco di un piccolo comune gli stessi obblighi posti in capo al CIO di INPS o dell’Agenzia delle Entrate, come anche è assurdo caricare AgID di compiti burocratici di controllo formale palesemente incompatibili con le risorse a sua disposizione, invece di attribuirle un ruolo propositivo e di supporto.

Una terza considerazione riguarda la consuetudine di emanare norme la cui applicazione richiede investimenti o comunque costi aggiuntivi senza mettere a disposizione adeguate risorse e anzi esplicitamente escludendo ulteriori oneri a carico del bilancio delle amministrazioni o dello Stato.

Nelle condizioni date la formulazione dell’Art. 50-bis ne comporta la inapplicabilità di fatto e il caso della continuità operativa non è l’unico del genere presente nel CAD. Che molte leggi italiane siano fatte in questo modo non è certo incoraggiante.

È necessario quindi affrontare il problema di come evitare che, in un campo così innovativo, vengano emanate norme che pur ispirate a finalità condivisibili o necessarie sono formulate in modo sbagliato e inapplicabile.

Uno dei problemi su cui intervenire è sicuramente il processo legislativo. La normativa che riguarda il CAD è predisposta dagli uffici legislativi del governo e viene approvata dalla commissione Affari costituzionali, organismo dove presumibilmente e ragionevolmente esistono competenze esclusivamente giuridiche. Che in termini di finalità molte delle norme necessarie abbiano valenza costituzionale o giuridica sembra corretto ed è comprensibile che in questa sede non vengano presi in considerazione aspetti di altra natura, ma sono troppo frequenti i casi in cui considerazioni e valutazioni di natura tecnica ed organizzativa vengono totalmente ignorate fino anche a produrre, come segnalato nel recente parere del Consiglio di Stato testi incoerenti spesso incomprensibili e formulati con un linguaggio tecnicamente improprio. Il disegno dello Stato digitale non può essere basato solo su considerazioni giuridiche ed escludere del tutto dalla sua formulazione le competenze specialistiche necessarie.

Tornando al tema della continuità operativa ci si chiede allora in che modo, facendo leva sullo stato dell’arte delle tecnologia, si potrebbe formulare una norma che assicuri il perseguimento della finalità desiderata con modalità ragionevoli e applicabili.

L’unica soluzione praticabile appare quella di sottrarre alle singole amministrazioni la responsabilità di progettare e gestire funzioni informatiche non specifiche dei propri compiti istituzionali, per realizzare le quali molte non sono attrezzate, e di trasferirle in una infrastruttura digitale realizzata a livello sistema paese utilizzando le possibilità che oggi offrono le tecnologie del cloud computing e applicando così anche al disegno del sistema informativo del paese un ragionevole principio di sussidiarietà. Il vincolo normativo per le amministrazioni resterebbe quindi solo quello di utilizzare i servizi messi a disposizione dalla infrastruttura.

Per poter fare questo è necessario che esista una struttura operativa permanente incaricata del progetto, della implementazione e della gestione delle infrastrutture digitali necessarie al sistema paese.

Si tratta di un approccio radicalmente diverso che mette in evidenza che la carenza che ha determinato la attuale situazione di stallo nel processo di digitalizzazione della amministrazione oltre che di natura politica è di tipo organizzativo ed operativo. Lo Stato non si è dato le strutture necessarie ed è mancato un organismo portatore di una visione sistemica unitaria e responsabile del disegno architetturale del nuovo Stato digitale che necessariamente implica una ridistribuzione di compiti e di ruoli tra le amministrazioni.

Non è necessario creare nuovi organismi e il compito di definire la Architettura e i componenti del sistema informativo del Paese può essere svolto da AgID sempre che le venga attribuito con chiarezza e con adeguate risorse. Senza l’identificazione di un ruolo di Chief Architect nazionale non si potrà andare da nessuna parte.

Si tratta a ben vedere del percorso già seguito per il sistema pubblico di identità digitale SPID che prevede il trasferimento dalle singole amministrazioni a servizi infrastrutturali delle funzioni di gestione dell’identità degli utenti dei servizi in rete.

In questo modo l’Art. 50-bis potrebbe rinascere con una formulazione che impegni le amministrazioni non più a progettare soluzioni individuali, ma ad utilizzare servizi di disaster recovery e continuità operativa che saranno messi a disposizione come servizi infrastrutturali.

Seguendo questo approccio, eventualmente esteso anche al consolidamento di funzioni applicative, si potrà perseguire indirettamente e gradualmente nel medio e lungo termine anche l’obiettivo di consolidare le infrastrutture fisiche dei CED con un potenziale risparmio di risorse per le singole amministrazioni che non avranno più l’onere di realizzare e gestire individualmente compiti trasferiti alla infrastruttura.

Nella attuale difficoltà di fare nuovi investimenti e data l’impossibilità di spendere oggi risorse che si recupereranno domani, resta il problema di come finanziare la realizzazione delle diverse componenti infrastruttura.

Nel caso di SPID questo problema ha determinato, tra le immotivate e poco responsabili proteste generali, la decisione di realizzare i servizi infrastrutturali attraverso forme di partnership con i privati. È probabile che anche in altri casi non ci siano alternative a questo modello operativo e lascerei a chi protesta la responsabilità di proporre soluzioni diverse praticabili.

Nella situazione finanziaria del paese fingere di poter fare le cose a costo zero e lamentare la perdita di “sovranità” per ruoli attribuiti al settore privato, a cui non potrà non essere riconosciuto un giusto ritorno, significa assumersi la responsabilità di mantenere il Paese in uno stato di permanente arretratezza.