La Camera,

   premesso che:

    la sovranità digitale è uno dei temi chiave per affrontare le sfide della contemporaneità ed assicurare tutela e protezione ai dati dei cittadini; ne è testimonianza l'insistenza con cui la Presidente della Commissione europea Ursula Von Der Leyen indica nella sovranità digitale dell'Unione europea uno dei cardini per la difesa della competizione e degli interessi dei consumatori;

    ovunque si è affermata una compiuta consapevolezza sul ruolo e sul valore dei dati prodotti dalle pubbliche amministrazioni e sulle ragioni per le quali un loro uso improprio può determinare perdita di autonomia, sorveglianza, se non addirittura dominio da parte di interessi economici multinazionali o comunque stranieri;

    l'Europa, in considerazione dell'assenza di grandi operatori di cloud continentali, ha adottato politiche di sviluppo e di rafforzamento del cloud europeo, puntando sulla valorizzazione delle aziende del vecchio Continente;

    le legislazioni di alcuni Paesi extraeuropei prevedono l'obbligo per le loro società nazionali operanti nel mondo di garantire l'accesso alle proprie autorità nazionali per ragioni di sicurezza o di interesse nazionale, come nel caso del «Cloud Act» approvato dal Congresso americano nel febbraio 2018, nonché del Fisa Section 702 per quanto riguarda le attività di intelligence;

    in considerazione di tali legislazioni, alcuni Paesi hanno immediatamente aggiornato le proprie normative sul cloud, come ha fatto la Francia a partire dal maggio 2018, a tutela dell'interesse nazionale; in particolare, la Francia sta attualmente rivedendo i requisiti minimi di sicurezza giuridica richiesti per i cloud provider della pubblica amministrazione francese;

    l'Italia è in ritardo decisionale rispetto agli altri Paesi europei e ad altri Paesi avanzati esterni all'Unione europea; alcune amministrazioni e alcuni enti si sono dotati di infrastrutture cloud nazionali dedicate alla raccolta, custodia e trattamento dei dati in assenza di un piano nazionale;

    la Costituzione stabilisce, all'articolo 117, secondo comma, lettera r), che è attribuita allo Stato legislazione esclusiva sul «(...) coordinamento informativo, statistico e informatico dei dati dell'amministrazione statale, regionale e locale (...)», e indica pertanto il contesto di obbligo normativo per la realizzazione del cloud nazionale per le pubbliche amministrazioni nelle mani dello Stato anche al fine di tutelare e proteggere i dati dei cittadini;

    i dati disponibili richiamano un'intensificazione degli attacchi informatici sia in termini qualitativi che quantitativi, complice il contesto della pandemia che ha spinto organizzazioni e professionisti a un rapido ricorso alla digitalizzazione;

    nell'ambito del Piano nazionale di ripresa e resilienza (Pnrr), assumono rilevanza strategica gli investimenti e le riforme programmate per la digitalizzazione della pubblica amministrazione. In particolare, risultano stanziati 900 milioni di euro a supporto della realizzazione dell'infrastruttura cloud e 1 miliardo di euro per la migrazione dei dati dai data center obsoleti alle nuove strutture;

    il meccanismo di gara messo in campo dal Governo per la realizzazione del Polo strategico nazionale (Psn) seguirà lo schema del partenariato pubblico-privato, attraverso il coinvolgimento di società private di cui saranno in una prima fase valutate comparativamente le proposte, individuando il progetto maggiormente rispondente alle esigenze definite dal Governo, e in una seconda fase di messa a bando della proposta che verrà ritenuta più in linea con le esigenze nazionali;

    stando a quanto annunciato dal Governo, entro i primi giorni del 2022 il Governo intende pubblicare il bando di gara per l'assegnazione del Polo strategico nazionale (Psn) ed entro la fine del 2022 prevede il collaudo dell'infrastruttura, con l'obiettivo di arrivare tra la fine del 2022 e il 2025 al completamento della migrazione dei dati delle pubbliche amministrazioni;

    risulta che uno dei componenti della cordata, e cioè Tim, operi nel settore cloud in partnership e con la tecnologia fornita da Google Inc, operatore soggetto alla normativa extraterritoriale Usa del Cloud Act sopra richiamata;

    alla luce dell'estrema rilevanza per la tutela della sovranità nazionale, Fratelli d'Italia sta seguendo con estrema attenzione gli sviluppi della costruzione dell'assetto della futura infrastruttura cloud delle pubbliche amministrazioni nazionali;

    la procedura per la realizzazione del Polo strategico nazionale già in corso presenta diverse criticità, a partire da:

     a) la modalità con cui si è costruita la cordata principale (Cassa depositi e prestiti, Sogei, Leonardo e Tim), consentendo a Cassa depositi e prestiti di comportarsi come un soggetto di mercato alla ricerca dei propri partner, mentre le partnership pubblico-privato prevedono la presentazione di proposte progettuali da parte di sole imprese private, cui si potranno affiancare – solo in un secondo momento – i soggetti pubblici che per la loro natura dovranno essere equidistanti dai soggetti di mercato. Al contrario, da quanto si è letto con insistenza sulla stampa, addirittura è stato chiesto a soggetti pubblici (Poligrafico e Zecca dello Stato, Inps, Inail) di farsi da parte per non indebolire la cordata partecipata da Cassa depositi e prestiti;

     b) la presenza, in una delle cordate, di Sogei, società in house del Ministero dell'economia e delle finanze, che era già Polo strategico nazionale ai sensi dell'articolo 33-septies del decreto-legge 18 ottobre 2012, n. 179, e lo è stato fino a poche settimane fa ovvero fino all'approvazione del decreto-legge 6 novembre 2021, n. 152 (cosiddetto decreto-legge Pnrr), con il quale il Governo, all'articolo 7, comma 3, ha revocato tale status di Polo strategico nazionale alla stessa Sogei. Quasi contemporaneamente Sogei diventa parte attiva in un'aggregazione che concorre all'assegnazione di ingenti investimenti pubblici per la realizzazione, guarda a caso, del Polo strategico nazionale;

     c) con tale intervento il Governo intenderebbe far venir meno, da un punto di vista meramente formale, lo status di Polo strategico nazionale di Sogei, per consentirgli di partecipare all'aggregazione di imprese pubblico-privato di cui sopra; ma l'aver cancellato con un colpo di spugna quello status di Sogei quale Polo strategico nazionale pone la stessa Sogei nella condizione di non poter operare in questo momento (e con essa tutte le altre agenzie del gruppo, dalle Dogane alle Entrate e Riscossioni) perché privo di quello status di Polo strategico nazionale necessario per poter gestire con ruolo tutti i dati strategici degli italiani che Sogei tratta e custodisce;

    risulta analogamente anomala la presenza nell'ambito del primo raggruppamento per il Polo strategico nazionale, come si è visto, anche di un altro soggetto pubblico quale Cassa depositi e prestiti, che come noto detiene una partecipazione nella stessa Tim, avendone acquistato, con il risparmio postale degli italiani, una quota azionaria, risultando così esposta oggi ad un'importante minusvalenza e facendo sorgere il dubbio che l'assegnazione della commessa relativa al cloud possa essere usata come pretesto per fare lievitare il titolo di Tim (come è peraltro accaduto più volte con il silenzio della Consob);

    la presenza di Tim in una cordata precostituita con forte partecipazione istituzionale come quella che è stata prefigurata, sembra giustificata come partecipazione industriale determinata dalle competenze di quell'azienda in ambito cloud, mentre è a tutti noto che le competenze di Tim nel cloud sono frutto di un accordo strategico tra Tim stessa e Google, che è divenuta quindi la factory cloud di Tim; questo vuol dire che in caso di assegnazione impropria ad una siffatta cordata, i dati degli italiani sarebbero presi in custodia da Google, una società americana esposta a tutti i rischi del «Cloud Act», la legge approvata dal Congresso americano e già citata come uno dei fattori di maggior rischio per la sovranità digitale del Paese;

    notizie di stampa riportano inoltre che la procura di Roma avrebbe aperto un fascicolo sul progetto del Polo strategico nazionale, a seguito di presunte pressioni sul Ministero dell'economia e delle finanze nei confronti dell'Istituto Poligrafico al fine di scoraggiare la partecipazione di altri soggetti pubblici al bando per la realizzazione dell'infrastruttura cloud nazionale;

    la strategia cloud nazionale, presentata nel settembre 2021, per garantire la sicurezza giuridica dei dati strategici della pubblica amministrazione, fa perno su una coppia di strumenti, definiti rispettivamente come «doppia chiave crittografica» e «licenza esclusiva di tecnologia»;

    autorevoli esperti hanno sollevato dubbi sugli effetti di tali soluzioni e non esiste attualmente un benchmark internazionale per verificarne l'efficacia pratica come strumenti di difesa adeguati contro le normative extraterritoriali di Paesi terzi all'Unione europea che, come nel caso del «Cloud Act», consentono ad amministrazioni di altri Paesi extraeuropei di impossessarsi dei nostri dati nazionali,

impegna il Governo:

1) ad adottare iniziative volte ad assicurare la chiarezza delle regole, la parità delle condizioni competitive per il mercato e la massima trasparenza nella gestione della procedura di gara per la realizzazione del Polo strategico nazionale;

2) a chiarire in che modo intenda affrontare il nodo del «Cloud Act» americano e tutti i suoi effetti negativi, per assicurare riservatezza e sicurezza ai dati dei cittadini italiani custoditi presso la pubblica amministrazione;

3) a sospendere le procedure in corso fino al momento in cui saranno chiarite le criticità esistenti e corrette le attuali anomalie della procedura di gara, a partire dalla correzione del ruolo di Sogei, escludendone la partecipazione in qualità di soggetto partecipante a uno dei raggruppamenti in gara e affidando alla società un ruolo esecutivo, successivo all'aggiudicazione della gara, a fianco del raggruppamento che risulterà vincitore;

4) a chiarire cosa intenda fare delle esperienze cloud che l'Italia ha già maturato a livello nazionale e locale per la gestione interna delle infrastrutture dati con particolare riferimento alle aziende italiane di cloud, alle società in house regionali, che custodiscono tutti i dati sanitari dei cittadini italiani, alle università che svolgono intensa attività di ricerca per sviluppare nuove soluzioni in ambito cloud computing ed edge computing;

5) a fornire chiarimenti in merito al ruolo affidato alla società Difesa servizi spa, società in house del Ministero della difesa, precisando se questa avrà un ruolo effettivo nella fase di predisposizione e aggiudicazione del bando o se invece avrà una funzione meramente notarile e, infine, come potrà eventualmente svolgere il ruolo assegnatole, considerando che potrebbe trovarsi nella posizione di conflitto di interessi di chi sceglie un assegnatario di un servizio per il quale potrebbe successivamente rivestire il ruolo di cliente;

6) a fornire, nelle competenti sedi parlamentari, ogni utile elemento su queste tematiche prima di procedere con la pubblicazione del bando e proseguire le procedure di gara per la realizzazione del Polo strategico nazionale.
(1-00466) (Seconda ulteriore nuova formulazione) «Lollobrigida, Meloni, Butti, Mollicone, Albano, Bellucci, Bignami, Bucalo, Caiata, Caretta, Ciaburro, Cirielli, Deidda, Delmastro Delle Vedove, De Toma, Donzelli, Ferro, Foti, Frassinetti, Galantino, Gemmato, Lucaselli, Mantovani, Maschio, Montaruli, Osnato, Prisco, Rampelli, Rizzetto, Rotelli, Rachele Silvestri, Silvestroni, Trancassini, Varchi, Vinci, Zucconi».