XVIII Legislatura

Commissione parlamentare di vigilanza sull'anagrafe tributaria

Resoconto stenografico



Seduta n. 8 di Mercoledì 30 marzo 2022

INDICE

Sulla pubblicità dei lavori:
Parolo Ugo , Presidente ... 3 

Audizione in videoconferenza del dottor Markus Richter, Sottosegretario di Stato al Ministero dell'interno della Repubblica Federale di Germania e Commissario per le tecnologie dell'informazione, in tema di strategie di sviluppo del cloud nazionale:
Parolo Ugo , Presidente ... 3 
Richter Markus , Sottosegretario di Stato al Ministero dell'interno della Repubblica Federale di Germania e Commissario per le tecnologie dell'informazione ... 3 
Parolo Ugo , Presidente ... 3 
Richter Markus , Sottosegretario di Stato al Ministero dell'interno della Repubblica Federale di Germania e Commissario per le tecnologie dell'informazione ... 4 
Parolo Ugo , Presidente ... 5 
Giuliodori Paolo (Misto-A)  ... 6 
Parolo Ugo , Presidente ... 6 
Giacometto Carlo (FI)  ... 6 
Parolo Ugo , Presidente ... 6 
Richter Markus , Sottosegretario di Stato al Ministero dell'interno della Repubblica Federale di Germania e Commissario per le tecnologie dell'informazione ... 7 
Parolo Ugo , Presidente ... 8

Testo del resoconto stenografico

PRESIDENZA DEL PRESIDENTE
UGO PAROLO

  La seduta inizia alle 8.05

Sulla pubblicità dei lavori.

  PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante l'attivazione dell'impianto audiovisivo a circuito chiuso, la trasmissione in diretta streaming sulla web-tv e, successivamente, sul canale satellitare della Camera dei deputati.

Audizione in videoconferenza del dottor Markus Richter, Sottosegretario di Stato al Ministero dell'interno della Repubblica Federale di Germania e Commissario per le tecnologie dell'informazione, in tema di strategie di sviluppo del cloud nazionale.

  PRESIDENTE. L'ordine del giorno reca l'audizione in videoconferenza del dottor Markus Richter, Sottosegretario di Stato al Ministero dell'interno della Repubblica Federale di Germania e Commissario per le tecnologie dell'informazione, in tema di strategie di sviluppo del cloud nazionale.
  Riguardo a tale materia, ritengo utile ricordare che i principali Paesi europei, in particolare Germania, Francia e Spagna, sono anch'essi impegnati nello sviluppo di infrastrutture nazionali per l'erogazione di servizi cloud, progetto che comporta obiettivi e rischi operativi analoghi a quelli che interessano il nostro Paese.
  È alla luce di tali considerazioni che abbiamo rivolto l'invito a una condivisione alle competenti autorità governative, così da poter realizzare una comparazione delle metodologie adottate nello sviluppo dei rispettivi cloud nazionali.
  Ciò premesso, il dottor Markus Richter, che avremo oggi l'onore di ascoltare, ci vorrà illustrare, nel quadro dei progetti di migrazione dei dati della pubblica amministrazione tedesca verso un'infrastruttura cloud nazionale, quanto segue:

   quali particolari misure vengono adottate contro la perdita o l'esfiltrazione dei dati;

   se fornitori di servizi cloud extra Ue siano coinvolti nei progetti federali di sviluppo del cloud nazionale;

   in caso affermativo, quali metodologie il Governo tedesco stia adottando al fine di garantire la sovranità digitale del Paese e preservarlo da rischi di possibile dipendenza tecnologica e di mercato (lock-in) nei confronti di detti fornitori di servizi cloud;

   ogni ulteriore utile approfondimento del tema in esame.

  Ringrazio quindi della disponibilità e del prezioso contributo che il dottor Richter ci vorrà rendere, e gli cedo volentieri la parola.

  MARKUS RICHTER, Sottosegretario di Stato al Ministero dell'interno della Repubblica Federale di Germania e Commissario per le tecnologie dell'informazione. Buongiorno, sono Markus Richter. Se preferite posso parlare in inglese, ma sarebbe preferibile in tedesco.

  PRESIDENTE. Abbiamo il traduttore, non c'è problema.

Pag. 4

  MARKUS RICHTER, Sottosegretario di Stato al Ministero dell'interno della Repubblica Federale di Germania e Commissario per le tecnologie dell'informazione. Bene, allora riferirò in tedesco grazie alla traduzione simultanea. Grazie anche per l'invito. Trovo straordinario il fatto di poter congiuntamente raggiungere un approccio trasparente sulla strategia cloud degli Stati membri, perché chiaramente, solo quando viene raggiunta questa trasparenza e si seguono dei princìpi congiunti, riusciremo ad avere anche in Europa quella svolta di mercato che ci permetterà, per così dire, di arrivare a un cloud sovrano.
  Da parte mia vorrei sicuramente affrontare il primo quesito che mi è stato posto, ovvero se il Governo federale intende effettuare in Germania una migrazione dell'amministrazione pubblica in un'infrastruttura cloud nazionale. Bene, noi abbiamo scelto un approccio multicloud perché la Germania è uno Stato federale con i cosiddetti Bundesländer e i comuni, e congiuntamente abbiamo deciso di adottare questa strategia multicloud, una decisione che è stata approvata a tutti i livelli, sia a livello federale che a livello di Länder e città. Insieme abbiamo deciso di non appoggiarci a un cloud singolo, ma di seguire una strategia multicloud, definendo condizioni generali e linee rosse. Stiamo cercando di istituire un centro di coordinamento che possa operare al di sopra delle diverse strategie cloud. Dal mio punto di vista, per così dire, è importante riuscire ad avere un livello sopra questi cloud, all'interno del quale ci sia un'app store dove possiamo riunire una sorta di centro di coordinamento. Questo è il nostro quadro generale. Attualmente abbiamo attivato un simile centro di coordinamento. Ci siamo imposti un obiettivo temporale da raggiungere: quest'anno abbiamo già condotto i cosiddetti «proof of concepts», perché la strategia multicloud contiene delle open source tech. Il solo fatto che utilizziamo open source cloud fa sì che, nel momento della contrattazione con hyperscale, che siano Google, Microsoft o altri, abbiamo un buon piano di trattative, una buona posizione di trattativa.
  Coloro che vogliano offrire servizi di cloud in questo multicloud che esiste in Germania, devono rispettare alcune «linee rosse»: ad esempio tutti i centri di calcolo devono essere costruiti in Germania, come sta facendo Microsoft. Un'altra linea rossa è che il gestore deve essere tedesco o almeno europeo, motivo per il quale la Microsoft, insieme alla SAP e un altro fornitore di servizi – che si chiama Arvato – hanno costituito una nuova società di gestione, secondo il diritto tedesco, con sede in Germania, la quale gestisce i centri di calcolo che di fatto sono costruiti da Microsoft.
  Abbiamo una soluzione, dunque, con Microsoft. Google invece si è associata con la Telecom tedesca. Stiamo anche lavorando al cosiddetto «open source tech». Poi ci sono Bundesländer che operano con fornitori di cloud e nel quadro della strategia per l'Amministrazione in cloud per trovare una soluzione. Il tutto confluisce all'interno del centro di coordinamento che stiamo istituendo, che quindi provvede alla sovranità, la quale dunque non viene realizzata attraverso l'autarchia, per cui noi facciamo tutto o creiamo il monopolio di un fornitore ma, secondo il principio della libera concorrenza, accogliamo diversi fornitori nella strategia e così abbiamo la possibilità di ridurre possibili effetti di lock-in e attuare questa migrazione dei dati. Questo per quanto riguarda la vostra prima domanda.
  Poi mi è stato chiesto quali provvedimenti si prevedono di adottare per evitare perdite o sottrazioni di dati. Non a breve termine, i cloud saranno l'unico ambiente nel quale gestiremo sistemi per la Pubblica Amministrazione: continueremo a utilizzare le strutture classiche ancora per lungo tempo. Sicuramente, però, migreremo progressivamente sempre di più in cloud, il che ci permetterà di reagire in maniera più semplice in situazioni di crisi, di emergenza, muovendoci all'interno di ambienti, per quanto virtuali, più sicuri. Questo sicuramente è il futuro.
  Per quanto riguarda i servizi in cloud dell'amministrazione federale, abbiamo direttive da parte dell'Ufficio Federale per la Pag. 5Sicurezza delle Tecnologie dell'Informazione, che ha istituito il cosiddetto «Catalogo C5», cioè uno standard per la sicurezza contro gli attacchi informatici. Tutti i requisiti per la sicurezza informatica devono essere rispettati da tutti i fornitori di servizi in cloud che vogliano offrire tali servizi in Germania. E vengono effettuate verifiche al riguardo. Per esempio, con la Microsoft stiamo contrattando proprio per trovare una soluzione che soddisfi queste direttive. Per esempio, all'interno del cloud pubblico, che Microsoft mette già a disposizione, il nostro Ufficio federale per la sicurezza delle tecnologie dell'informazione (BSI) sta valutando e verificando se ciò che viene offerto a livello pubblico possa essere anche offerto a livello privato in termini, ad esempio, di sicurezza dei dati. Ciò fa parte delle basi contrattuali. Solo quando verranno soddisfatte potremo avvalerci di questi servizi in cloud.
  I cosiddetti «hyperscale», come la Microsoft, stanno cercando di agire preventivamente, ovvero costruiscono loro stessi dei centri di calcolo che devono attenersi alle nostre regole – lo fanno quasi a proprie spese e a proprio rischio – e poi ci fanno mettere alla prova questi centri di calcolo. Se superano il nostro vaglio, possono gestire i servizi in cloud attraverso il nostro centro di coordinamento, vengono presi accordi sui modelli di licenze e Microsoft ci fa pagare i servizi che utilizziamo.
  Alla domanda su eventuali fornitori di servizi in cloud non-UE, io rispondo «sì»: infatti ho parlato di Microsoft, di Google, di AVS, con cui abbiamo avviato un dialogo. Abbiamo aperto un po' di più la porta. La cosa importante è che le nostre linee rosse, le linee guida, le interfacce aperte, la sicurezza e la protezione delle tecnologie dell'informazione, ovvero gli standard del nostro BSI – Bundesamt für Sicherheit in der Informationstechnik (Ufficio Federale per la Sicurezza Informatica) siano soddisfatti. Sono tenuti a rispettarli tutti coloro che, all'interno di questa strategia multicloud che stiamo perseguendo, vogliano offrire servizi in cloud.
  Per quanto riguarda l'ultima domanda, se il Governo federale, qualora vengano coinvolti fornitori di servizi europei, possa garantire la sovranità digitale tedesca ed evitare una possibile dipendenza tecnologica da cloud servicer provider europei, a questo punto posso dire, e ho già detto, che per noi le linee guida in materia di sicurezza e trasparenza, così come le interfacce aperte saranno elementi essenziali di un cloud tedesco per la pubblica amministrazione. Abbiamo realizzato una sorta di cloud privato in Germania a livello federale: accanto al multicloud che stiamo realizzando, infatti, in Germania esiste un cosiddetto Bundes Cloud, cioè un cloud federale, che è autarchico e sul quale si muovono dati particolarmente critici, dati particolarmente sensibili, che rientra per così dire nell'architettura che abbiamo per il multicloud. Per i processi molto critici esiste anche questo autarchico cloud federale.
  Chiaramente queste regole per la trasparenza, che noi pretendiamo anche dai fornitori europei di servizi per il multicloud, sono di grande aiuto a livello europeo affinché si possa agire tutti allo stesso modo con i fornitori internazionali, quando questi prendono accordi con i singoli Stati membri. Le regole sulla trasparenza servono anche per creare un clima di concorrenza fra componenti open source e fornitori europei. Questo per quanto mi riguarda. Avrei finito, prego.

  PRESIDENTE. Grazie, dottor Richter, per le risposte molto precise e puntuali, che sicuramente ci permetteranno di raggiungere l'obiettivo della Commissione, che è quello di lavorare in coordinamento con i principali Paesi europei in un clima che sicuramente ci vede coinvolti, con interessi che sono comuni per quanto riguarda la sicurezza, trattando di gestione di dati che sono molto importanti e sensibili. Io a questo punto chiederei agli onorevoli commissari se vogliono intervenire per qualche ulteriore chiarimento o qualche ulteriore considerazione in relazione alle risposte che ci sono state fornite. Ha chiesto di intervenire l'onorevole Giuliodori, che è collegato con noi in videoconferenza. Prego.

Pag. 6

  PAOLO GIULIODORI (intervento da remoto). Buongiorno. Intanto grazie mille per la disponibilità del rappresentante tedesco; il suo intervento è assolutamente molto apprezzabile. Andrei subito su due punti che sono stati già toccati, ma volevo delle precisazioni. Voi in Germania, praticamente, vi state muovendo su un approccio, come diceva, di società di diritto tedesco partecipate dai cosiddetti «big», come per esempio Microsoft e Google. Il punto debole in questo senso è che in quanto società americane loro sono sottoposte a una normativa, il cosiddetto «cloud act» e la cosiddetta «FISA 702» (Foreign Intelligence Surveillance Act). Devono rispondere a queste norme che sono americane. Voi in questo modo, con questa sorta di società di diritto tedesco, siete tutelati in questo senso? Tecnicamente avete garanzie in termini di segretezza del dato? Questa è la prima domanda.
  La seconda invece è relativa più al contesto italiano, perché nel contesto italiano si sta andando verso una piattaforma che parte da una bozza di un progetto della Tim già presentato e stiamo aspettando adesso che vengano vagliate le domande per il bando finale. Questa bozza parla di un approccio cosiddetto di «function serverless», ossia costruire un livello superiore al classico livello di cloud. Questo viene fatto tramite un codice proprietario, quindi non open source. Crea dei grossi problemi in termini di migrazione perché, nel momento in cui dovessimo per qualsiasi ragione cambiare piattaforma, non potremmo farlo in tempi zero e a costi zero, praticamente. Non ci sarebbe possibilità di migrazione e saremmo totalmente in balia di chi vincerà il bando per il cloud italiano. Questo sarà un grosso problema soprattutto se l'azienda non sarà italiana. Perderemmo totalmente quel concetto di sovranità digitale che anche lei ha spiegato nel suo intervento. Voglio capire se anche da questo punto di vista voi avete delle garanzie. Grazie mille.

  PRESIDENTE. Grazie, onorevole Giuliodori. Adesso l'onorevole Giacometto. Prego.

  CARLO GIACOMETTO. Grazie, Presidente. Anch'io intendo esprimere la mia soddisfazione rispetto a questa audizione, di cui ovviamente ringrazio il presidente e il Sottosegretario di Stato Marcus Richter, perché ci ha consentito di conoscere più da vicino ciò che avviene in uno degli Stati più importanti dell'Unione europea e ci consentirà di operare nel prosieguo di questo lavoro di indagine della Commissione venendo a contatto, magari, anche con altre esperienze europee.
  Ho ascoltato le risposte e devo dire che sono state molto puntuali come le domande stesse da parte del presidente. In particolare intendevo approfondire il tema del multicloud. Se ho ben capito, in Germania è stata adottata una strategia che definirei bottom-up, nel senso che i Länder tedeschi e i comuni, nel corso del tempo, hanno costituito i loro cloud per le singole istituzioni e poi la strategia tedesca porterà verso un multicloud che li raggrupperà tutti. È stato definito come una sorta di centro di coordinamento.
  Questa modalità è inversa rispetto a quanto avviene in Italia, a meno di considerare come strategia regionale quella della sola regione Lombardia, che mi risulta abbia fatto qualche passo nella direzione di un cloud regionale che è assimilabile a un cloud di un Land per quanto riguarda il nostro Paese. La nostra strategia invece è una strategia top down, con un operatore nazionale che andrà a cascata nelle varie istituzioni in cui è articolato il nostro Paese.
  Mi chiedevo, quando dal punto di vista temporale i Länder tedeschi e i comuni hanno deciso di adottare una strategia cloud che gli consentisse di gestire in maniera innovativa la mole di dati che produce la loro attività, quindi in quali anni, e quanto tempo si è dato lo Stato federale tedesco per portare a termine questo processo di migrazione verso il centro di coordinamento federale. Grazie.

  PRESIDENTE. Grazie, onorevole Giacometto. Se posso aggiungere un'ulteriore richiesta di chiarimento, soprattutto in relazione all'intervento fatto adesso dall'onorevole Giacometto, aggiungerei, se possibile,Pag. 7 una richiesta per conoscere se il Governo federale tedesco ha valutato quali sono le differenze operative nei vari cloud a livello di Länder e se questi possono risultare compatibili poi con un coordinamento a livello federale. Quello che succede nel nostro Paese in realtà è che le esperienze di cloud a livello territoriale spesso, se operative o comunque se iniziate, risultano diversificate nelle modalità di approccio rispetto a una visione a livello centrale. Volevo sapere come è possibile poi rendere coerente tutto questo percorso. Grazie, dottor Richter.

  MARKUS RICHTER, Sottosegretario di Stato al Ministero dell'interno della Repubblica Federale di Germania e Commissario per le tecnologie dell'informazione. Grazie mille. Vorrei rispondere alla prima domanda, ovvero i cosiddetti «effetti di lock-in», se si può migrare tra le diverse soluzioni in cloud. Questa è l'importante premessa per la nostra strategia multicloud e questi sono i requisiti che richiediamo, perché attualmente abbiamo degli effetti di lock-in, già solo se pensiamo al pacchetto Microsoft Office, e a Excel in particolare, che da noi viene utilizzato in moltissimi casi. Oggi queste dipendenze esistono.
  Il nostro obiettivo è che, grazie al multicloud, si possa innanzitutto impedire l'aumento di questi effetti di lock-in e che in un secondo momento si possano ridurre quelli esistenti. Per esempio, stiamo cercando di trovare una piattaforma di lavoro open source compatibile con Office. Abbiamo già fatto dei progressi per quanto riguarda lo sviluppo e stiamo cercando di lanciare questa piattaforma di lavoro non come alternativa per sostituire Office immediatamente; stiamo lavorando ad alternative che ci permettano di ridurre gli effetti di lock-in.
  Il centro di coordinamento che stiamo istituendo consentirà al Governo federale e ai singoli Länder congiuntamente di vigilare a livello centrale che le linee rosse da noi definite per ridurre gli effetti di lock-in siano rispettate.
  Per quanto riguarda la segretezza dei dati, in Germania la sicurezza dei dati è una delle priorità, non solamente perché ci muoviamo all'interno di un quadro europeo, ma perché a livello nazionale abbiamo regolamentato molto questa tematica. In Germania si presta, dunque, particolare attenzione acché queste normative di legge vengano rispettate.
  E succede questo, per esempio, anche ora che stiamo trattando con Microsoft: Microsoft sta realizzando un centro di calcolo in Germania, in due sedi diverse, che sarà ceduto o, per così dire, venduto a un operatore tedesco. Dunque la tecnologia del centro di calcolo sarà di Microsoft, ma sarà messa a disposizione da un operatore tedesco, non americano né legato ad altri siti, che si occuperà della manutenzione e della gestione, interamente tedesche. Dunque esistono tecnologie che consentono di effettuare manutenzioni e gestioni «disconnesse», così da evitare esfiltrazioni di dati verso Paesi terzi.
  In Germania il cloud non è ancora così diffuso. Abbiamo un cloud nazionale a livello di governo federale, alcuni Länder hanno elaborato soluzioni ad interim, ma con la strategia per la migrazione in cloud della pubblica amministrazione, che è stata approvata solo l'anno scorso, puntiamo a un nuovo approccio. Questo significa che ciò che esiste in alcuni Länder o in alcuni comuni potrà migrare, mentre in altri casi occorrerà interrompere le attività proprio perché puntiamo molto sull'aspetto della sovranità digitale.
  Al riguardo la collaborazione è essenziale, perché solo se all'interno delle unità amministrative si riesce ad avere un coordinamento con gli hyperscale, possiamo muoverci anche verso l'open source e dunque avere successo. Ci siamo resi conto che gli hyperscale sono concorrenti gli uni contro gli altri, perché perseguono degli obiettivi finanziari, motivo per il quale è importante parlare con un'unica voce in materia di sovranità, non solamente all'interno di uno Stato membro, ma tra gli Stati membri a livello di Unione europea.
  Per quanto riguarda la dimensione temporale, siamo molto vincolati dal 2025, perché dal 2025 Microsoft offrirà le proprie soluzioni esclusivamente su public cloud. Questo significa che i pacchetti Office o Pag. 8altre soluzioni dovranno essere eliminate. Attualmente queste soluzioni vengono utilizzate all'interno dei nostri centri di calcolo. Nel momento in cui Microsoft offrirà questi servizi solamente dal public cloud, lasciando dunque defluire i dati anche verso l'America, saremo chiaramente costretti a interrompere il servizio. Noi vogliamo evitare di arrivare a questo punto, siamo sempre molto interessati alle innovazioni e dunque siamo vincolati alla data del 2025.
  È la stessa Microsoft che sta costruendo dei centri di calcolo in Germania, i quali poi saranno ceduti a operatori tedeschi. Nel frattempo possiamo realizzare il nostro ambizioso piano di dar vita alla strategia nazionale tedesca per l'amministrazione in cloud entro quell'anno, creare un sistema di governance così come il centro di coordinamento congiuntamente con i Länder. Sono particolarmente felice che esistano degli operatori statali di tecnologie dell'informazione in Germania che possano essere coinvolti nel progetto del centro di coordinamento. Quindi non stiamo partendo da zero: convogliamo nel centro di coordinamento anche operatori comunali e regionali. Quello che stiamo costituendo in Germania è un consorzio, all'interno del quale tutti i soggetti dei diversi livelli si muoveranno congiuntamente. Questo permetterà al governo federale, alle regioni, alle città e ai comuni di parlare con una voce rispetto agli hyperscale, offrendo soluzioni proprie, a condizione che tutti unanimemente si impegnino a rispettare la strategia nazionale dell'amministrazione pubblica sul cloud.
  Questo farà sì che, soprattutto se Microsoft o Google cercano di portare avanti trattative con singole città, singoli comuni, singole regioni per mettere un piede all'interno di questo sistema, la strategia nazionale li rinvierà al centro di coordinamento, l'istituzione preposta a fornire per noi i servizi sul cloud.

  PRESIDENTE. Grazie al Sottosegretario di Stato dottor Markus Richter, per queste ulteriori risposte puntuali e precise.
  Non essendoci altri interventi, dichiaro conclusa d'audizione.

  La seduta termina alle 8.35.