Risposta. — In relazione all'atto di sindacato ispettivo in esame, sentita la Direzione generale competente del Ministero dello sviluppo economico e gli uffici del Ministro per l'innovazione tecnologica e la digitalizzazione, si rappresenta quanto segue.
  L'interrogante fa riferimento all'adozione delle tecnologie cloud, per sviluppare una nuova serie di servizi finalizzati a soddisfare le esigenze digitali emergenti delle aziende italiane e del settore pubblico, in particolare alle iniziative promosse da Poste Italiane in tal senso.
  Interpellata in merito, Poste Italiane riconoscendo i benefìci economici derivanti dalle suddette tecnologie, rispettivamente in termini di ottimizzazione dei costi, ed operativi, nonché in termini di dimensionamento, scalabilità e affidabilità dei sistemi, ha evidenziato, altresì, che il cloud introduce nuovi rischi che devono essere valutati al fine di indirizzare correttamente la strategia aziendale di evoluzione del modello di rogazione dei propri servizi.
  A riguardo, uno dei principali temi messi in risalto da Poste è per l'appunto quello della sicurezza: in un ambiente cloud si amplia il perimetro dei sistemi e degli accessi, le risorse sono condivise, cambiano responsabilità e controlli, aumenta la velocità del provisioning di risorse e applicazioni, si ha una distribuzione geografica dei sistemi e dei dati con le relative implicazioni di conformità legislativa. La sicurezza negli ambienti cloud deve, pertanto, essere garantita: in tal senso, tra i presìdi di sicurezza adottati da Poste Italiane allo scopo di valutare e gestire i relativi rischi, rientrano i documenti di Linee guida per la sicurezza dei servizi di cloud computing, messi a disposizione dell'azienda da fornitori esterni e i documenti per la sicurezza di tali servizi erogati da Poste Italiane alla pubblica amministrazione (ai sensi delle circolari AgID n. 2 e n. 3 del 9 aprile 2018).
  La società ha tenuto a sottolineare, peraltro, che le richiamate Linee guida prendono in considerazione i principali dieci rischi connessi alla sicurezza del cloud computing (contrattualistica non sempre adeguata; impossibilità di negoziare termini contrattuali; legge applicabile e foro competente; mancato rispetto normativa sulla privacy, riflessi di azioni giudiziarie su altri clienti; perdita di governance; lock-in; indisponibilità di un servizio o di un provider, compromissione delle caratteristiche di sicurezza dei dati; compromissione della sicurezza di rete), e forniscono i requisiti di sicurezza per la progettazione e la gestione dei servizi di cloud computing.
  Invero, Poste ha informato che è stato definito un insieme di controlli per l'ambito cloud derivanti dai principali standard di settore e best practice internazionali.
  I controlli individuati sono stati recepiti all'interno degli strumenti utilizzati per l'Analisi del rischio informatico. In particolare, gli interventi includono:
  1. lo Standard ISO/IEC 27017 Information technology — Security techniques — Code of practise for information security Controls based on ISO/IEC 27002 for cloud services:
  2. lo Standard ISO/IEC 27018 Security techniques — Code of practise for protection of personally identifiable information in public clouds actings Pll processors;
  3. Cloud Controls Matrix versione 3.0.1 (CCM);
  4. Le Linee guida sicurezza dei servizi di cloud computing erogati a Poste Italiane da fornitori esterni e delle Linee guida sicurezza dei servizi di cloud computing erogati da Poste Italiane alla pubblica amministrazione.
  Per quanto riguarda i Servizi di cloud computing erogati da Poste Italiane alla pubblica amministrazione, la società ha segnalato che la strategia cloud delineata dall'Agenzia per l'Italia Digitale (AgID) prevede un percorso di qualificazione per i soggetti pubblici e privati che intendono fornire infrastrutture e servizi alla pubblica amministrazione. Inoltre, a decorrere dal 1° aprile 2019, le pubbliche amministrazioni possono acquisire esclusivamente infrastrutture e soluzioni qualificate e presenti nel Cloud Market Place. In tale catalogo sono iscritti i fornitori di servizi cloud e i fornitori di infrastrutture che soddisfino le caratteristiche organizzative, di sicurezza e conformità legislativa indicate nella procedura di qualificazione. Uno dei requisiti necessari in tema sicurezza è il conseguimento della certificazione ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018.
  Poste Italiane ha, perciò, deciso di procedere all'estensione della certificazione ISO/EEC 27001 del Sistema di gestione integrato «Servizi ICT e Sicurezza Informatica» ai controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Sono in corso gli adempimenti necessari per tale estensione.
  Relativamente alla piattaforma Cloud Azure di Microsoft, Poste Italiane ha osservato che questa fornisce garanzie sull'applicazione dei requisiti di sicurezza per l'erogazione dei servizi in cloud, essendo applicato quanto previsto da standard di conformità internazionali e specifici del settore, soddisfatti da Azure e certificati da Enti terzi accreditati, quali (GDPR) General Data Protection Regulation, ISO 27001, HIPAA, FedRAMP, SOC 1 e SOC 2, nonché standard specifici di singoli Paesi come l'australiano IRAP, G-Cloud del Regno Unito e MTCS di Singapore e che la piattaforma è qualificata all'interno del Cloud MarketPlace di AgID, in qualità di Cloud Service Provider di tipo C.
  Ad ulteriore garanzia della riservatezza dei dati di Poste Italiane e dei suoi clienti, la Società ha, tra l'altro, precisato che è stata implementata una soluzione di cifratura di tutti i dati presenti sulla piattaforma cloud, che garantisce a Poste Italiane il possesso esclusivo delle chiavi di cifratura. Tali chiavi di cifratura sono infatti generate in Poste Italiane e memorizzate in dispositivi HSM (Hardware Secure Module) presenti nei Data Center di Poste Italiane (on premises). Le chiavi generate dagli HSM sono a loro volta cifrate con una KEK (Key Encryption Key) generata da un apparato HSM su Azure, e solo quest'ultimo può accedere alla chiave in chiaro. In tal modo non è possibile che terzi, nemmeno la stessa Microsoft, possano accedere alla chiave generata e utilizzata per le cifratura dei server.
  Poste Italiane ha segnalato, inoltre, ulteriori presìdi adottati per il rafforzamento delle misure di sicurezza degli accessi, delle applicazioni e dei dati resi disponibili in cloud:

    • per l'accesso alle risorse del cloud è stato implementato il doppio fattore di autenticazione (Multi Factor Authentication) per il personale di Poste Italiane che opera come amministratore di sistema;
    • è in fase di rilascio un piano per estendere l'utilizzo della MFA (Multi Factor Authentication) anche al top management aziendale;
    • sono state effettuate attività di Vulnerability Assessment, Penetration Testing e Code Review su risorse ospitate sull'infrastruttura cloud, al fine di individuare eventuali vulnerabilità o problemi di sicurezza.

  Le predette verifiche di sicurezza sono state svolte tramite:

    attività automatiche (VA) atte a verificare la robustezza delle misure di sicurezza a protezione dell'infrastruttura Azure del servizio;
    attività manuali (PT) atte a verificare nel dettaglio lo stato di sicurezza dei protocolli e degli algoritmi utilizzati per la comunicazione tra i sistemi e la comunicazione tra i sistemi e l'utente finale;
    attività di Secure Code Review con l'ausilio di prodotti di mercato e audit manuali sia relativamente ai sorgenti (code review statica) che di tracciamento tramite le interfacce web messe a disposizione dal servizio (code review dinamica).

  In termini generali, l'adozione di un cloud ibrido, a cui fa riferimento l'interrogante, non ha impatti negativi sulla sicurezza dei dati e di conseguenza sulla loro disponibilità-riservatezza e integrità (CIA). La scelta di implementare soluzioni ibride ha un vantaggio principalmente in termini di resilienza e continuità, oltre che manifestare benefìci per il business e la competitività sul mercato di riferimento.
  Il Gruppo Poste Italiane, tramite le analisi del rischio specifico e di impatto sul business, determina il livello di protezione necessario al fine di garantire la conformità alle Direttive e Regolamenti Europei e alla legislazione nazionale, il livello di cifratura necessario e l'eventuale piano di disaster recovery (DR) associato alla tipologia del dato stesso.
  L'importanza che riveste il dato per Poste Italiane è sancita sin dalla fase di acquisizione di servizi o asset, imponendo rigidi requisiti di sicurezza ai fornitori, la conformità al regolamento Gdpr e l'ubicazione dei data center esterni in Italia o Europa. In questo contesto l'infrastruttura, offerta dagli operatori cloud, è utilizzata come abilitatore alla creazione di servizi innovativi per il cittadino senza che ne venga inficiata la riservatezza e privacy del dato.
  La scelta di certificarsi IS027001, implementando un sistema di gestione di sicurezza delle informazioni prova la volontà del Gruppo di assicurare la protezione delle proprie informazioni e di quelle dei suoi stakeholder. Tale sistema di gestione viene certificato tenendo conto di tutta la catena del valore delle informazioni, compresi anche i fornitori di servizi cloud, a cui Poste si affida. La verifica dell'applicazione delle direttive, dei regolamenti, delle normative e delle policy è affidata alle funzioni aziendali interne di sicurezza che monitorano i servizi h24, garantendo una risposta immediata a criticità ed eventi di sicurezza.
  Nello specifico del quesito posto dall'interrogante, sentiti anche i competenti uffici del Ministro per l'innovazione tecnologica e la digitalizzazione, si evidenzia che il ricorso al cloud possa costituire una soluzione tecnologica idonea ed efficiente a favorire la realizzazione della transizione digitale sia della pubblica amministrazione sia delle imprese.
  Per queste ultime, il cloud consente di ridurre i costi di gestione, garantendo l'uso di innovazioni tecnologiche in campo ITC in modo da promuovere la competitività delle imprese stesse. Per le pubbliche amministrazioni, la migrazione in cloud di molti servizi costituisce un passo fondamentale, che ha mostrato enorme utilità specie durante l'emergenza sanitaria permettendo il prosieguo di numerose attività solitamente eseguite in presenza negli uffici e nelle aziende che, pertanto, sarebbero state impedite a seguito delle misure restrittive adottate in quest'ultimo periodo.
  Sotto altro profilo, occorre altresì contemperare le esigenze di tutela dell'autonomia tecnologica del Paese e di sicurezza delle infrastrutture digitali delle pubbliche amministrazioni con la necessità di garantire la qualità, la sicurezza, la scalabilità, l'efficienza energetica, la sostenibilità economica e la continuità operativa dei sistemi e dei servizi digitali.
  Sfruttando elevate economie di scala prodotte da un'aggregazione significativa della domanda di risorse e dalla concentrazione delle infrastrutture in installazioni di grandi dimensioni è possibile immaginare di poter disporre di infrastrutture IT affidabili, sicure ed energeticamente efficienti anche nell'ottica del necessario adeguamento a quanto previsto dalla disciplina in materia di perimetro di sicurezza nazionale cibernetica dettata per rafforzare la sicurezza degli asset strategici del Paese.
  L'Agenzia per l'Italia Digitale, attraverso il Censimento del patrimonio ICT della pubblica amministrazione svolto in tre fasi dal dicembre 2018 fino al settembre 2019, ha rilevato che moltissime infrastrutture della pubblica amministrazione sono prive dei requisiti di sicurezza e di affidabilità necessari e, inoltre, sono carenti sotto il profilo strutturale e organizzativo. Questa realtà espone il Paese a numerosi, gravi, rischi tra cui quello di interruzione o indisponibilità dei servizi e quello di attacchi cyber con il rischio di illegittimo accesso da parte di terzi a dati (o flussi di dati) particolarmente sensibili o perdita e alterazione degli stessi dati.
  Occorre, pertanto, avviare un percorso di attività volto alla razionalizzazione delle infrastrutture ICT della pubblica amministrazione e alla individuazione e realizzazione di un Polo strategico nazionale, un insieme di data center localizzati all'interno del territorio nazionale, ad alta disponibilità, in grado di garantire elevati livelli di sicurezza, affidabilità ed efficienza energetica per poter erogare servizi di cloud computing privato dedicato alla pubblica amministrazione in coerenza con quanto stabilito nel piano triennale per l'informatica nella pubblica amministrazione.
  Nel contempo, è necessario prevedere un processo di migrazione verso soluzioni affidabili e sicure delle infrastrutture, dei sistemi e dei servizi delle pubbliche amministrazioni oggi privi dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità fissati da AgID, nel rispetto della disciplina in materia di perimetro di sicurezza nazionale prevista dal decreto-legge 21 settembre 2019, n. 105, convertito dalla legge 18 novembre 2019, n. 133.
  Il Dipartimento per la trasformazione digitale, presso la Presidenza del Consiglio dei ministri, effettuerà un monitoraggio periodico dello stato di migrazione al cloud dei servizi della pubblica amministrazione in attuazione del Programma di abilitazione al Cloud.
  Riguardo, invece, alle politiche di sostegno alla ricerca, sviluppo e innovazione delle tecnologie digitali, si rimanda alle misure introdotte nel recente decreto «semplificazioni», volte a facilitare la ripresa post-emergenza, con le quali si interviene anche attraverso semplificazioni per favorire la digitalizzazione della pubblica amministrazione.
  Ebbene, a favore delle attività di impresa, il Ministero dello sviluppo economico ha previsto, in tale provvedimento, un pacchetto di misure finalizzate ad avviare un importante processo di sburocratizzazione del nostro Paese, in modo tale da sostenere l'intero sistema produttivo in questa fase di ripresa economica, attraverso procedure più snelle e veloci.
  Tra queste misure approntate, si ricordano quelle per l'innovazione, tese a semplificare e favorire le iniziative che riguardano le sperimentazioni e la ricerca, mediante l'impiego di tecnologie emergenti.
  Tra le altre iniziative messe in campo, occorre segnalare l'avvio dell'Atlante i4.0, il primo portale nazionale con la mappa delle 600 strutture per l'innovazione e la digitalizzazione delle imprese, nato dalla collaborazione tra Unioncamere e Ministero dello sviluppo economico. L'Atlante digitale rappresenta uno strumento molto utile, mappando su tutto il territorio nazionale le principali strutture esistenti, al fine di dare alle imprese, soprattutto le più piccole, un supporto rilevante nei processi di trasferimento tecnologico, utilizzando la ricerca per azioni di mercato.
  Infine, con il decreto direttoriale 9 giugno 2020, il Ministero dello sviluppo economico ha disciplinato l'intervento agevolativo sulla digital transformation, istituito all'articolo 29 del «decreto Crescita» finalizzato a sostenere la trasformazione tecnologica e digitale dei processi produttivi delle micro, piccole e medie imprese, attraverso la realizzazione di progetti diretti all'implementazione delle tecnologie abilitanti individuate nel Piano nazionale impresa 4.0, nonché di altre tecnologie relative a soluzioni tecnologiche digitali di filiera.
  In conclusione, l'impegno del Ministero dello sviluppo economico milita verso il sostegno di una digitalizzazione ad ampio raggio, nella piena consapevolezza che l'innovazione tecnologia rappresenta una chiave per la crescita sostenibile e per l'inclusione dell'intero Paese. Di questo nuovo paradigma devono essere consapevoli sia il settore pubblico che quello privato, nell'ottica di sfruttare le tecnologie digitali attraverso nuovi approcci e appalti pubblici innovativi.
  In tal senso, è in corso un'attività di impulso all'utilizzo del cloud nella pubblica amministrazione che garantisca alti standard di sicurezza e di interoperabilità oltre che uno scambio di informazioni con amministrazioni, esperti, aziende e cittadini, utile a favorire l'organizzazione e il cambiamento culturale necessario alla diffusione e all'adozione delle tecnologie cloud in Italia.
  
Il Viceministro dello sviluppo economico: Stefano Buffagni.