Le Amministrazioni Pubbliche dal 1 di aprile 2019 sono tenute ad acquisire i
servizi Saas, Paas e IaaS qualificati da AgID (Agenzia per L’Italia Digitale) ed inclusi nel
Catalogo dei servizi Cloud per la PA qualificati.
Andiamo a vedere nello specifico come il fornitore Cloud ottiene la
qualificazione.
Il fornitore Cloud: come erogare servizi Cloud qualificati per la PA
Fornire servizi Cloud qualificati per la Pubblica Amministrazione significa sottoporre i servizi da erogare (Saas, IaaS e Paas) alla
qualificazione AgID: a tale scopo si utilizza la
piattaforma di qualificazione dei cloud service provider e dei servizi cloud, il
Cloud Marketplace.
Ci sono
due tipi di qualificazione che possono essere richieste: 1) la qualificazione
CSP (vedi la
circolare AgID n. 2/2018) o la qualificazione
SaaS (vedi la
circolare AgID n. 3/2018).
La qualificazione CSP dà la possibilità di erogare alle Pubbliche Amministrazioni
servizi IaaS e
PaaS. Se il fornitore invece ha intenzione di erogare servizi SaaS è tenuto ad indicare al momento della qualificazione i servizi qualificati su cui si basa il proprio servizio SaaS o l’infrastruttura. Se si decide di erogare i servizi SaaS utilizzando la propria
infrastruttura Cloud, il fornitore cloud dovrà essere tra i CSP qualificati, ovvero dovrà risultare come fornitore qualificato.
Cloud Marketplace AgID: il catalogo dei servizi Cloud qualificati per la PA
Cloud Marketplace di AgID è appunto la piattaforma che, in accordo con le Circolari AgID 2 e 3 del 9 aprile 2018, elenca e descrive le infrastrutture ed i servizi qualificati da AgID.
Di ogni servizio viene fornita una
scheda tecnica che include i costi e i livelli di servizio che vengono dichiarati dal fornitore cloud al momento della qualificazione.
Ottenere servizi Cloud qualificati per la PA: quali sono i motivi e gli obiettivi
Per quali motivi AgID ha emanato le suddette circolari e allestito il Marketplace, cioè ha cercato di regolamentare la
procedura di qualificazione cloud PA e di conseguenza il settore?
Le motivazioni che hanno spinto a regolamentare la qualificazione Cloud nella PA si basano su due
principi fondamentali:
- razionalizzare la spesa della PA delegando ai fornitori del servizio cloud investimenti per mantenere elevati gli standard di accessibilità e sicurezza
- inibire la fornitura di servizi non all’altezza degli elevati standard di cui necessita la PA stessa
facilmente rintracciabili all’interno del
Piano Triennale per l’informatica nella PA 2019-2021 dove si evidenziano problematiche importanti, quali:
- mantenere attivi e in sicurezza tutti i data center degli Enti della Pubblica Amministrazione (sono 23.000) richiede spese notevoli.
- mantenere performanti e in sicurezza tutti i data center risulta comunque non fattibile a livello pratico. Molti data center della PA sono infatti risultati mettere a rischio dati e documenti. La loro perdita provocherebbe non solo l’evidente “disagio” di bloccare le attività degli Enti ma anche le non trascurabili condizioni di commettere reati quali l’interruzione di pubblico servizio e la distruzione di Beni Culturali. Infatti il patrimonio documentale di un Ente pubblico è considerato bene culturale e come tale soggetto alla protezione prevista dal Codice (D.Lgs. 24 febbraio 2004 n. 42).
- mappare lo state of the art dei datacenter della PA: il 15 luglio 2019 gli Enti della PA sono stati chiamati a compilare un questionario che aveva l’obiettivo di rilevare lo stato dei data center.
Nello specifico si tratta del
Censimento del Patrimonio ICT della PA. Alle amministrazioni è stato chiesto di trasmettere il Questionario di rilevazione entro 45 giorni a partire dalla data del 15 luglio 2019 (art. 4 Circolare AgID n. 1/2019).
- assicurare la vigilanza sui servizi e SLA.
Dal censimento è emerso che
un numero esiguo di Enti ha effettivamente risposto, circa il 5% del totale e di questi
il 95% è risultato non idoneo.
Il datacenter di chi non ha risposto (il 95% del totale degli Enti pubblici) è stato giudicato non idoneo d’ufficio.
La non idoneità del datacenter obbliga l’Ente a migrare immediatamente al Cloud della PA.
Riguardo l’ottenimento della qualificazione, in parecchi casi le domande di fornitori non hanno ottenuto risposta positiva e quindi non sono stati autorizzati a fornire servizi cloud alla PA ed in molti altri i fornitori hanno rinunciato a presentarle perché i requisiti, imposti dalle circolari AgID 9 aprile 2018 nn. 2 e 3, sono molto stringenti e richiedono copiosi investimenti non alla portata di chiunque.
E per quelli che l’hanno ottenuta vi è comunque vigilanza. Infatti, seppur ad oggi il controllo è ancora formale (si controllano solo i documenti presentati),
AgID ha in previsione di passare anche al controllo sostanziale con verifiche dirette presso i fornitori qualificati come già accade con altri importanti servizi come la conservazione digitale a norma. Rispetto quindi a tutte le qualificazioni
rilasciate ci si attende anche qualche sospensione se non addirittura revoca dovuta a non congruità tra quanto descritto nei documenti di presentazione e quanto effettivamente reso disponibile.
Da tutto ciò ne deriva una situazione facilitata per l’Ente nella scelta dei servizi cloud: non deve effettuare verifiche approfondite perché il fatto stesso che il servizio sia qualificato gli assicura il rispetto degli standard e delle norme in materia. E’ però consigliabile non effettuare comunque un acquisto “sulla parola” ma
verificare direttamente il servizio contattando il fornitore e chiedendo una demo, un periodo di prova il o quanto ritiene più opportuno per avere riscontro dell’effettiva congruità del servizio rispetto alle necessità di acquisto.
Enti classificati non idonei: cosa debbono fare per sistemare il loro datacenter?
Nel caso in cui il datacenter di un Ente dovesse essere qualificato come
non idoneo (quindi facente parte del
gruppo B, riprendendo la classificazione del Piano Triennale per l’Informatica nella PA), cosa deve l’Ente fare per sistemarlo?
L’Ente ha davanti
una sola alternativa:
quella di
migrare al Cloud della PA. Per farlo dovrà impostare un piano di migrazione e di dismissione del proprio datacenter a partire da giugno 2020. Dovrà darne comunicazione ad AgID e, in seguito, è tenuto ad inviare comunicazioni ogni 6 mesi.
Servizi Cloud qualificati per la PA: l’offerta APKAPPA
APKAPPA è
fornitore di servizi SaaS qualificati AgID per la gestione delle attività di
backoffice,
servizi on line e
APP degli
Enti locali, in particolare Comuni, relative a tutte le aree funzionali (
personale, contabile, demografica, tecnica, segreteria, affari generali).
Tali servizi sono realizzati con
hyperSIC, la suite applicativa web-based e responsiva, e reperibili con il nome
hyperSIC Cloud nell’
elenco dei servizi Saas qualificati da AgID.
Per maggiori informazioni sui servizi SaaS qualificati per la PA erogati da APKAPPA scrivici a contatto@apkappa.it