Government on the Cloud

Introduzione al Cloud Computing per la Pubblica Amministrazione

In collaborazione con

27/06/2011
SOMMARIO

Alle radici del cloud ................................................................................................................................. 3

Modelli architetturali .............................................................................................................................. 7
Definizione ufficiale NIST (National Institute of Standards and Technology) ..................................... 7
Caratteristiche ..................................................................................................................................... 7
Modelli di servizio ............................................................................................................................... 8
Modelli di deployment ........................................................................................................................ 8
Private Cloud: il caso Boeing ............................................................................................................... 9
Gli attori del Cloud ............................................................................................................................ 10
Il cloud computing nel settore pubblico: una finestra sul mondo ........................................................ 11
Il caso degli USA ................................................................................................................................ 11
Altri casi ............................................................................................................................................. 15
Il cloud per la PA e la Sanità italiana ..................................................................................................... 20
Il quadro normativo e le prospettive di evoluzione .............................................................................. 24
Introduzione ...................................................................................................................................... 24 2
Norme europee e italiane sulla protezione dei dati personali ......................................................... 24
La “perdita di controllo dei dati” ....................................................................................................... 28
Prospettive future e “riconquista del controllo” .............................................................................. 32
Il cloud e il SPC – Intervista a DigitPA .................................................................................................... 37
Cloud e sicurezza ................................................................................................................................... 40
Asset .................................................................................................................................................. 41
I rischi ENISA e la CSA guidance ........................................................................................................ 44
Il Cloud Computing e il nuovo CAD ................................................................................................... 46
Conclusioni ............................................................................................................................................ 49
E la PA? .............................................................................................................................................. 50
Disclaimer .............................................................................................................................................. 53
Alle radici del cloud

Digitando la parola “cloud” su Google, in soli 0,11 secondi

si ottengono 631 milioni di risultati.

Per farci un’idea, digitando “Dio” si ottengono “solamente”

229 milioni di risultati. “Obama” conduce a 594 milioni di
risultati.
La profezia Maya sulla fine del mondo nel dicembre 2012 conduce a “soli” 7,9 milioni di risultati.
Non c’è dubbio: “cloud” è il tormentone informatico del momento.
E ne ha ben donde di esserlo.

Ramnath K. Chellappa (foto qui a destra), oggi professore dell’Emory

University di Atlanta (Georgia), è senza dubbio il “padre del cloud”. Fu lui,
infatti, nel lontano 1997 a teorizzare insieme ai suoi studenti della “Marshall
School of Business” (California) un modello di elaborazione dei dati capace di
3
prescindere dal “luogo fisico” ove questa elaborazione avviene
effettivamente.
La vision era riconducibile a un mondo dove “una quantità indeterminata di server, dislocati in luoghi
fisici diversi, potessero erogare servizi a una quantità indeterminata di client, ovviamente anche loro
dislocati in luoghi fisici diversi”. Chellappa e i suoi studenti, disegnando il modello, furono tutti
d’accordo nel dire: “Wow! Un modello davvero nebuloso!”
Da quel giorno, “cloud” diventò il modello di riferimento (sempre meno nebuloso, anche grazie
all’evoluzione delle tecnologie e della Rete) capace di “rivoluzionare” il mondo dell’informatica.
Per uno strano scherzo del destino, il “modello nebuloso” trovò la sua soluzione tra le nuvole di
Internet.

Di cloud si parla molto, forse anche troppo. Ma è evidente che si tratta della “grande cosa” capace di
trasformare radicalmente il mercato.
Qualcuno ha trovato una similitudine decisamente efficace: “è come quando le industrie
manifatturiere hanno smesso di autoprodurre l’energia elettrica all’interno dei propri stabilimenti e
si sono allacciati alla rete”.
“ICT as a commodity”, una volta per tutte.

Di cloud si parla molto, da almeno un paio

d’anni, anche nel Public Sector. Merito di Vivek
Kundra, CTO del governo federale USA voluto
personalmente dal Presidente Obama a capo
di un ecosistema fatto di circa 800 data center
e di un budget annuale complessivo stimato
intorno ai 40 miliardi di dollari (ai quali si
aggiungono i 35 miliardi circa spesi
annualmente in IT dal Dipartimento della
Difesa). Il tutto calato in un contesto difficile
come quello della “governative spending
review” imposta dalla Casa Bianca nei primi mesi del 2011. 4

Ma Kundra non si è limitato a “parlare”: ha anche agito. E da poco più di un anno è nato “Apps.gov”,
prima iniziativa federale sul cloud inquadrata all’interno di un piano complessivo che destina “alle
nuvole” non meno di 20 miliardi di dollari da qui al 2015.
Sempre dalle slides di Kundra, riusciamo a capire come e dove andranno a impattare le iniziative
governative sul cloud:

 Infrastruttura: virtualizzazione dei data center, “cloudizzazione” di tutti gli ambienti

di sviluppo e test, content delivery, hosting sul cloud di tutti i siti Web governativi.
 Sicurezza IT: sistema unificato di identity management e di gestione della sicurezza
“on the cloud”.
 Collaboration: posta elettronica e tools di produttività (Office Automation &
Collaboration).
 Workflow: con particolare riferimento alle procedure di istruttoria/autorizzazione e
quelle relative alle istanze in entrata da cittadini/imprese.
 CRM: in modalità SaaS, con tendenza all’unificazione delle soluzioni applicative.
 Business Intelligence: migrazione sul cloud delle piattaforme di BI e del sistema di
Performance Management.

5
Questo White Paper, realizzato da Netics in collaborazione con Oracle Italia, si propone l’obiettivo di
“fotografare il fenomeno cloud” analizzandone i principali aspetti sotto il profilo dei modelli
architetturali e, soprattutto, “guardandolo” dal punto di vista della Pubblica Amministrazione
italiana. Tenteremo di dare risposte a domande quali:

 Come il cloud può essere d’aiuto nel riefficientamento complessivo dell’IT pubblico
 Come deve evolvere il quadro normativo in modo da garantire alla PA (e alla Sanità) un
“cloud sicuro e conforme alle disposizioni in materia di privacy”
 Come deve evolvere il Sistema Pubblico di Connettività (SPC) in funzione del paradigma
cloud.
 Quali sono, oltre all’esperienza USA, i principali casi di studio da prendere come riferimento
per chi vuole iniziare ad approcciare il tema del “Government on the Cloud”.

Netics ha approcciato questo tema partendo da un assunto di base: sarà oggettivamente molto
difficile arrivare in tempi brevi a una “PA tutta sul cloud” tentando di imitare il modello USA.
Praticamente impossibile immaginare soluzioni di “Public Cloud” per la Sanità (neppure gli USA ci
sono riusciti, nonostante si tratti di un “mondo” popolato in prevalenza da operatori privati) o per la
6
gestione di sistemi e dati sensibili (l’anagrafe demografica, per fare un esempio).
Sarà altrettanto difficile immaginare un cloud per la PA e la Sanità governato dagli “Over the Top”
e/o dagli operatori di telecomunicazioni.
Con ogni probabilità, il “government on the cloud” all’italiana sarà costruito secondo un’architettura
ibrida governata “dall’interno” (entità/agenzie governative, agenzie/società in-house regionali, altri
aggregatori di matrice pubblica) in modo da garantire indipendenza dai “lock-in” e sicurezza rispetto
ai dati e alla continuità dei processi.

Come “far evolvere” gli attuali data center pubblici (i quali, nella migliore delle ipotesi, oggi erogano
servizi di Application Providing) portandoli “sulla nuvola”? Come, soprattutto, approfittare di questa
occasione per recuperare efficienza e mettere a fattor comune gli asset, le competenze, il patrimonio
applicativo e informativo oggi sparso in mille rivoli all’interno della PA e della Sanità italiana?

“Government on the Cloud” vuole portare il suo contributo a questo dibattito, anche grazie alla
fattiva collaborazione di Assinter Italia e di tutte le società ICT “in-house” regionali. Le quali, senza
alcun dubbio, sono destinate a giocare un ruolo di assoluto primo piano sulla scena della nuvola
pubblica italiana.
Modelli architetturali

Definizione ufficiale NIST (National Institute of Standards and Technology)

Il cloud computing è un modello per abilitare un accesso conveniente e su richiesta a un insieme

condiviso di risorse computazionali configurabili (ad esempio reti, server, memoria di massa,
applicazioni e servizi) e possono essere rapidamente procurate e rilasciate con un minimo sforzo di
gestione o di interazione con il fornitore del servizio. Questo modello “cloud” promuove la
disponibilità ed è composto da cinque caratteristiche essenziali, tre modelli di servizio e
quattro modelli di rilascio/distribuzione.

Caratteristiche
1. Self-service on-demand: possibilità di scegliere quali servizi usare e quando;
2. Accesso ubiquo alla rete: capacità fornite dal servizio sono disponibili sulla rete e disponibili
attraverso meccanismi standard che permettono l'utilizzo ad applicazioni eseguite su
piattaforme eterogenee
7
3. Condivisione delle risorse: indipendentemente dall’ubicazione delle stesse, le risorse fisiche
e virtuali sono assegnate dinamicamente secondo le esigenze degli utilizzatori.
4. Rapida elasticità: capacità di scalare verso l’alto ma anche verso il basso a seconda di diversi
fattori esterni e per periodi di tempo definibili dall’utente. L'utilizzatore, potendo acquistare
l'uso di risorse in qualsiasi quantità ed in qualunque momento, ha la percezione di una
disponibilità potenzialmente infinita.
5. Servizio misurabile: I sistemi cloud controllano ed ottimizzano automaticamente l'uso delle
risorse facendo leva sulla capacità di misura dell'uso delle tipologie di servizio (es. storage,
computing time, banda). L'utilizzo delle risorse può essere monitorato e controllato in modo
trasparente per il fornitore di servizio e l'utilizzatore.
Modelli di servizio
1. SaaS (Software as a Service) → Modello di applicazioni software implementate come un
servizio ospitato, il cui accesso è possibile attraverso Internet,erogato da un provider
2. PaaS (Platform as a Service) → Piattaforma per il deployment e l’esecuzione di applicazioni;
con questa dizione si intende la capacità, attribuita (ceduta) al consumatore, di dislocare
sull’infrastruttura cloud alcune applicazioni realizzate dal consumatore stesso o acquisite dal
mercato. Esse devono essere create utilizzando i linguaggi di programmazione o i tools
supportati dal provider dell’infrastruttura. Il consumatore non deve gestire l'infrastruttura
cloud, ma ha il controllo sulle applicazioni distribuite e, se possibile, anche sulle
configurazioni dell’ambiente di hosting applicativo.
3. IaaS (Infrastructure as a Service)→ Infrastruttura di ambiente virtuale (Virtual Machine);
permette di fornire al consumatore la capacità di acquisire le risorse di calcolo fondamentali
relative ai server, allo storage e alle reti.

Modelli di deployment
8
1. Private Cloud: L’accesso al servizio è limitato o il cliente finale ha un qualche
controllo/possesso sull’implementazione dello stesso
2. Public Cloud: L’accesso al servizio è ad ampia visibilità e resa disponibile per il grande
pubblico; il fornitore del servizio ha il pieno possesso e controllo dello stesso
3. Hybrid Cloud: Ambiente formato dall’unione di più provider interni e/o esterni. Questo
sistema permette di fruire dei vantaggi economici dei servizi erogati dai cloud pubblici
abbinati al controllo e alla conformità tipici dei cloud privati. Ad esempio, un’azienda può
disporre di un cloud privato e allo stesso tempo collaborare con un cloud provider che
fornisca capacità aggiuntiva a livello di storage o di infrastruttura.
4. Community Cloud: L'infrastruttura è condivisa da molte organizzazioni e supporta una
comunità di consumer che hanno gli stessi interessi.
Public Cloud Entrambi Private Cloud

Riduzione costi iniziali Elevata efficienza Costi totali più bassi

Economie di scala
Gestione più semplificata
Riduzione degli investimenti
Potenziale aumento del rischio
Tabella 1 - Benefici del Cloud: Public VS Private
Maggior controllo su sicurezza e
Elevata disponibilità
qualità del servizio
Elasticità Integrazione più semplice
Riduzione degli investimenti e
Riduzione degli investimenti
dei costi di esercizio
Necessaria valutazione del
Migliore risk management
rischio

Private Cloud: il caso Boeing

The Boeing Company, la maggiore industria aerospaziale del mondo, ha intrapreso dal 2008 la
migrazione verso il Cloud Computing scegliendo come modello di deployment il Private Cloud. Tale
scelta è stata dettata da evidenti questioni di sicurezza.
9
All’inizio Boeing parte con oltre 12.000 server dedicati ciascuno
dei quali ospita un solo applicativo/database.
Al secondo anno di tre complessivi previsti per la virtualizzazione, Boeing ha “lanciato sulla nuvola”
5900 server, ne ha eliminati 4250, ottenuto un risparmio del 10% sul budget IT e sul consumo di
energia elettrica pari all’energia prodotta da 3500 abitazioni private.
Al terzo anno Boeing ha eliminato il 50% dei server fisici, ottenendo un risparmio del 20% sul budget.
Timothy Wente, CIO della Boeing, ha citato la sua azienda come un esempio di impresa che ha tratto
beneficio dalla vision dell’Information Technology come strumento per raggiungere gli obiettivi
complessivi e non più come mere richieste di risorse da parte delle singole Business Units. Questo è
ancor più vero se si pensa che il risparmio generato sul budget IT viene ridistribuito alle due principali
Business Unit (la divisone Aerei Commerciali e quella Aerei Militari), aumentando quindi la capacità
di investimento di ciascuna.

Wente prosegue dicendo che il Private cloud computing offre il meglio dei due concetti chiave per
ogni impresa: sicurezza e innovazione.
Tale modello di deployment rappresenta un cambio di paradigma rispetto alla modalità con cui I
servizi vengono erogati e pagati: “Considerata la recente incertezza economica – prosegue il CIO – è
fondamentale come il Private Cloud permetta di ottenere benefici in termini di risparmio pur
mantenendo il pieno controllo delle proprie risorse”.
Dall’inizio del 2011 Boeing ha scelto di spingersi oltre e tentare la via del modello ibrido utilizzando
quindi una nuvola privata e una esterna ma assolutamente sicura. L’approccio ibrido prende il meglio
di ogni soluzione e offre una varietà di scelte che aprono una serie di opportunità. Secondo un
rapporto IDC, la domanda di questo tipo di approccio, conosciuto anche come Virtual Private Cloud, è
in forte crescita.

Gli attori del Cloud

 Fornitore - Offre servizi (server virtuali, storage, applicazioni complete, SaaS) generalmente
secondo un modello "pay-per-use"
 Cliente amministratore - Sceglie e configura i servizi offerti dal fornitore, generalmente
offrendo un valore aggiunto come ad esempio verticalizzazioni alle applicazioni software
10
 Cliente finale - Utilizza i servizi opportunamente configurati dal cliente amministratore.
 Il cloud computing nel settore pubblico: una finestra sul mondo

Il caso degli USA

Il Governo Federale degli Stati Uniti, per quanto riguarda il settore IT, investe circa 76 miliardi di
dollari all’anno, gestisce oltre diecimila sistemi, ha 300 milioni di clienti ed impiega 1,9 milioni di
individui.

Il Cloud Computing, considerato come parte fondamentale di una strategia per un uso efficiente ed
efficace delle tecnologie dell'informazione, è stato efficacemente adottato dal GSA – General
Services Administration – già
nel 2009.
Nel marzo di quell’anno, infatti,
il cloud è stato riconosciuto
come una priorità dell’IT
federale ed è stato creato il
Comitato Direttivo Esecutivo
per il Cloud Computing 11
(CCESC), che avrebbe diretto la
cosiddetta Federal Cloud
Computing Iniziative (FCCI), il
cui obiettivo consisteva nel
rendere i servizi cloud
accessibili e facilmente
Figura 1 – I benefici del cloud: efficienza, rapidità, innovazione (Fonte: Federal Cloud
Computing Strategy, Febbraio 2011) ottenibili dalle agenzie federali.

Nei documenti di presentazione della FCCI, la nuvola è stata presentata come soluzione conveniente,
ecologica e sostenibile: si tratta sicuramente di tre aggettivi scelti con cura, con l’intenzione di
sottolineare quanto il cloud poteva (e possa tutt’ora) rispondere efficacemente alle criticità che una
Pubblica Amministrazione incontra, avendo a disposizione budget sempre più limitati e dovendo
rispettare le direttive sull’ecosostenibilità. Sul sito del GSA, il cloud è considerato “un’opportunità
*per il Governo federale+ per colmare il gap delle performance nel settore IT”.
 Tra i punti di forza riconosciuti al cloud dal GSA figuravano la semplice e rapida acquisizione e
certificazione dei processi, una distribuzione flessibile delle risorse di calcolo, la disponibilità di
strumenti portabili, riutilizzabili ed interoperabili, l’accesso ai servizi assicurato ovunque – poiché
basato su una semplice connessione internet – e l’utilizzabilità delle soluzioni in qualsiasi momento,
in quanto, per definizione, “always on”.

12

Figura 2 - Gli obiettivi dell'iniziativa per il cloud (Fonte: Cloud Computing Discussion: CIO Council Initiative, Primavera 2009)

Le attività di partenza hanno previsto il trasferimento sulla nuvola di tutte quelle applicazioni “non
critiche”, quali ad esempio i servizi di posta elettronica e le soluzioni SaaS e PaaS che consentono un
rapido accesso a strumenti e servizi.

Uno dei principali driver di implementazione della nuvola, in ogni caso, è la centralizzazione del
processo di certificazione delle soluzioni Cloud. Appare necessario – negli Stati Uniti più che altrove –
stabilire un meccanismo preciso attraverso il quale queste soluzioni possano essere adottate
facilmente, rispettando norme comuni di sicurezza e consentendo portabilità dei dati e
interoperabilità tra le centinaia di agenzie e dipartimenti presenti sul territorio federale: senza
questo meccanismo, infatti, il cloud computing non potrà mai fornire i benefici attesi in termini di
risparmio e di efficienza.
Per questo motivo, al National Institute of Standards and Technology (NIST) è stato affidato il
compito – in collaborazione con agenzie governative, mondo industriale e mondo accademico – di
garantire che siano in atto norme adeguate; inoltre, dovrà costantemente verificare che le soluzioni
cloud-based adottate rispettino le norme e i requisiti di sicurezza stabiliti. In questo modo, la
certificazione a livello “centrale” aumenterà la velocità di acquisto delle soluzioni, ma ridurrà anche il
costo della certificazione: i soldi che sarebbero stati spesi per chiedere l'approvazione delle soluzioni
del singolo dipartimento, potranno essere impiegati per la sicurezza.

13

Figura 3 - L'offerta per gli utenti (Fonte: Cloud Computing Discussion: CIO Council Initiative, Primavera 2009)

Un altro aspetto che sicuramente merita attenzione nel caso del Cloud per il GSA è il timing previsto
per l’“inaugurazione pubblica” del progetto, identificabile con la messa online di Apps.Gov, il sito
internet creato appositamente per rendere più semplice l’accesso ai servizi cloud per i clienti della
Pubblica Amministrazione.
 Figura 4 - Gestione del programma per il cloud, timeline per l'anno 2009 (Fonte: Cloud
Computing in the Federal Sector, Gennaio 2010)

Come si evince dalla figura precedente, il lancio di Apps.Gov ha richiesto solamente nove mesi, dal
gennaio al settembre 2009. In tre trimestri, infatti, sono state condotte tutte le operazioni necessarie
a favorire quantomeno la migrazione 14

“di base” della Pubblica

Amministrazione statunitense sulla
nuvola e a costruire – nonché a
rendere operativo – il front-end per il
settore pubblico.
È sicuramente interessante segnalare
che Apps.Gov, dal momento del suo
“lancio” nel settembre 2009, ha
registrato una media di 945 visite al
Figura 5 - Screenshot di Apps.Gov (https://www.apps.gov/)
giorno, un quarto delle quali proviene
dall’estero.
Per ulteriori approfondimenti, sul sito internet http://info.apps.gov/ sono disponibili una serie di case
studies a testimonianza dell’uso efficiente del Cloud sul territorio federale, divisi in diciassette
Federal Cloud Computing Case Studies e quattordici State and Local Cloud Computing Case Studies.
Altri casi

Canada

In Canada, l’OECD (Organization for Economic Co-operation and Development) ha rilevato un

livello elevato di predisposizione all’e-government, caratterizzato da un accesso diffuso ai
servizi Internet, una popolazione con una sufficiente alfabetizzazione informatica e una
notevole quantità di informazioni e servizi disponibili online.

Nell’ottobre del 2009, il CTO del PWGSC (Public Works Government Services Canada) ha
pubblicato un white paper intitolato “Cloud Computing and the Canadian Environment”. La
strategia canadese per il cloud si basa sulla necessità di adottare la nuvola per i benefici rilevati
in merito alla riduzione dei costi operativi, un decremento della spesa capitale e una migliore
possibilità di gestione della pubblica amministrazione, caratterizzata da una forte
decentralizzazione e da un crescente livello di delega delle responsabilità dal governo federale
ai governi locali. Il cloud ha permesso il consolidamento dei 144 data center canadesi e la
disintermediazione delle funzioni IT in ciascuno dei 140 dipartimenti del governo federale,
ciascuno dei quali possiede un proprio CIO.

Il Dipartimento del Tesoro è riuscito a far raggiungere un accordo sul linguaggio e le definizioni
per il cloud tra i diversi dipartimenti ed ha ottenuto l’approvazione per un piano d’azione
federale. Dopo aver perfezionato l’architettura di sicurezza, il Governo federale ha predisposto
dal gennaio 2010 una community cloud per le retribuzioni, per le pensioni, per il CampusDirect 15
(la Canada School of Public Service) e per la GC Intranet (Government of Canada Intranet).

Nel breve termine, gli obiettivi hanno riguardato l’uso del SaaS per la collaborazione interna,
del PaaS per il web hosting e dello IaaS per lo storage virtuale. Nel lungo periodo, si prevede
che il SaaS fornirà uffici virtuali, il PaaS sarà utilizzato per applicazioni cloud-based e per il
database hosting e lo IaaS sarà usato per il peering tra dipartimenti pubblici e privati.

La strategia canadese per il cloud prevede anche uno sguardo “all’esterno”, promuovendo il
Paese come un esportatore di servizi di Cloud Computing.
Irlanda

In riferimento all’Irlanda, l’OECD nel 2009 ha rilevato successi notevoli per quanto
riguarda lo sviluppo dei sistemi interni di e-government, ma maggiori difficoltà in merito
alla cooperazione tra i diversi settori pubblici. Sostanzialmente, come organizzazione della
pubblica amministrazione, l’Irlanda si configura come un Paese fortemente centralizzato,
con livelli molto bassi di decentralizzazione. Sebbene abbia avviato alcune iniziative per la
riforma del settore pubblico, ad esempio attraverso la creazione di dipartimenti, il
governo centrale detiene ancora la possibilità di influenzare notevolmente la loro
“indipendenza”.

Il governo irlandese riconosce al cloud nel settore pubblico le potenzialità per un

rinnovamento economico sostenibile. La strategia nazionale “Technology Actions to
Support the Smart Economy”, introdotta nel 2009 dal Ministero per l’Energia e le
Comunicazioni e dal Ministero per la Società dell’Informazione, identifica il cloud come
uno dei sei pilastri sui quali costruire l’“economia intelligente” del Paese: la nuvola ed i
data center ad alta efficienza energetica ridurranno i costi e creeranno oltre diecimila
posti di lavoro ad alto valore aggiunto nei prossimi 5-10 anni.

Il primo maggio 2009 si è tenuto un meeting promosso dal Dipartimento delle

Comunicazioni, dell'Energia e delle Risorse Naturali (DCENR) denominato High Level
Strategic Workshop on Data Centres and Cloud Computing, nel quale sono state ribadite le
opportunità offerte dal cloud e la necessità di sviluppare un sistema di regolamentazione
per tenere il passo con gli sviluppi tecnologici e per contribuire a fornire maggiore 16
chiarezza giuridica per le aziende – pubbliche e private – che intendono avvalersi di
opportunità cloud.

Uno dei primi passi concreti è stato fatto dal Local Government Computer Services Board,
che ha sviluppato un’applicazione cloud per collegare tutti i programmi di pianificazione
locali approvati su una singola mappa online. Altre applicazioni cloud sono state
sviluppate per favorire la condivisione tra diversi dipartimenti del settore pubblico, per
supportarli nel fornire servizi di alta qualità e nell’aumentare la produttività riducendo la
spesa pubblica.

Nonostante ciò, il cloud computing è ancora una questione controversa nel settore
pubblico irlandese, soprattutto dopo che il Chief State Solicitor ha inviato una mail ai
dipartimenti di stato sottolineando che "questioni come la protezione dei dati, la
riservatezza, la sicurezza e la responsabilità non sono trattate in maniera sufficientemente
adeguata per le responsabilità del settore pubblico ". Inoltre, un recente rapporto
dell’Irish Internet Association (IIA) ha dichiarato che un numero molto limitato di enti
pubblici vedrà i benefici del cloud computing in termini di risparmio dei soldi e maggiore
produttività.
Danimarca

La pubblica amministrazione danese si caratterizza per una forte decentralizzazione, per

cui la maggior parte dei servizi pubblici sono erogati a livello locale. Il processo di
allocazione delle risorse finanziarie è basato sul modello top down e l’esecutivo ha un
margine di flessibilità nella riassegnazione dei fondi alla fine di ogni anno fiscale. Nel 2007
è stato promosso un ampio processo di snellimento e ammodernamento della
burocrazia, puntando ad un suo miglioramento in termini di efficienza e ad una sua
maggiore professionalizzazione.

Da un rapporto del 2010 sullo stato dell’IT nella nazione è emerso che circa il 45% delle
società intervistate del settore pubblico e privato progettano di iniziare ad utilizzare il
cloud nei prossimi tre anni. Questo rapporto è poi stato utilizzato come base per
promuovere il digital working programme del governo, attraverso il quale il Ministero per
la Scienza, la Tecnologia e l’Innovazione intende rendere la Danimarca “una società ad
alta velocità”. In riferimento al cloud, l’accento è posto sui risparmi economici e
ambientali (in termini di consumo di energia) conseguibili, in particolare nel settore
pubblico. L'adozione del cloud dovrebbe portare a un risparmio economico stimato
attorno al miliardo di corone danesi (circa € 134 milioni, in base al tasso di cambio attuale
– giugno 2011).

Per diventare una “società ad alta velocità”, nel gennaio 2010 si è stabilito quanto segue:

La Danimarca deve diventare una nazione leader nel cloud e nell’IT in genere. Il 17
governo dovrà investire molto sul cloud computing ma, essendo la Danimarca un
Paese abbastanza “piccolo”, non disporrà mai delle economie di scala sufficienti a
costruire una propria nuvola: dovrà quindi concentrarsi sullo sviluppo delle
infrastrutture necessarie per un uso sempre maggiore delle soluzioni di cloud
computing. Le notevoli dimensioni del settore pubblico, specie se comparate con
quelle di altri settori, ne fanno in ogni caso un cliente potenzialmente interessante per
i fornitori di cloud computing e di servizi cloud-based.

Il settore pubblico deve avviare progetti sul cloud computing. L’obiettivo principale
dovrebbe essere quello di raccogliere esperienze e consulenze sull'uso di cloud
computing nel settore pubblico per riuscire a garantire condizioni di
abbonamento/convenzioni chiare ed interessanti, nuovi paradigmi per la sicurezza,
etc. Lo scopo principale, quindi, è quello di chiarire come utilizzare cloud soluzioni
disponibili in modo sicuro.

L’IT University, in collaborazione con l’agenzia NITA (National IT and Telecom Agency) del
Ministero per la Scienza, la Tecnologia e l’Innovazione è stata scelta come banco di prova
per il cloud. Questa scelta rientra nella strategia del ministero atta a rafforzare la
digitalizzazione delle università, come mezzo per aumentare le possibilità di ricerca e
innovazione e per migliorare l'utilizzo delle risorse esistenti.
Giappone

In Giappone le entrate e le spese sono condivise tra governo centrale e locale, ma il

decentramento amministrativo non è forte. Si registra una notevole partecipazione del
settore privato nella fornitura di servizi, cosicché formalmente il servizio pubblico lavora per
lo più a livello di governo locale.

Il Ministero dell'Interno (MIC) e il Ministero dell'Economia, del Commercio e dell'Industria

(METI) hanno rilasciato le rispettive strategie per il cloud nel giugno 2010 le quali,
combinate assieme, definiscono la strategia nazionale del Giappone.

La strategia giapponese per il Cloud Computing è molto ambiziosa e mira alla creazione di
nuovi mercati oltre a rinnovare ed incrementare la diffusione delle ICT. La nuvola è ritenuta
fondamentale per “consentire all'intero sistema sociale, oltre i confini delle imprese e delle
industrie, di mettere in comune e condividere una quantità enorme di informazioni e
conoscenze, facilitando lo sviluppo di una "società della conoscenza e
dell'informazione"(MIC 2010)”. Sono stati individuati tre principi di base per l'utilizzo diffuso
di servizi cloud:

- Il governo deve promuovere l’uso di molteplici servizi cloud

- Il governo deve favorire lo sviluppo di tecnologie di cloud-based alla luce delle

esigenze degli utenti, e promuovere iniziative strategiche per creare innovazioni 18

- Il governo deve svolgere un ruolo di supervisore impegnandosi

 nello sviluppo di un ambiente per l'uso diffuso di servizi cloud
 nel fornire sostegno pubblico alla ricerca del settore privato
 a diventare ente aggiudicatore di servizi cloud.

Il METI ha invece proposto una politica di promozione del cloud impegnata su tre fronti:

- Innovazione, con la creazione di nuovi servizi e industrie che utilizzino grandi

quantità di dati
- Quadro di sviluppo, promuovendo lo storage esterno
- Piattaforma di sviluppo, creando piattaforme di cloud computing affidabili e “verdi”
a sostegno del sistema sociale.

È attesa una diffusione delle soluzioni cloud in diversi settori, inclusi quello dell’istruzione
(incentivando l'utilizzo di pratici sistemi di formazione a distanza basati sulla collaborazione
tra industria, università e governo e l’informatizzazione dell’attività amministrativa della
scuola) e della sanità (incrementando l'efficienza dei servizi sanitari mediante ASP, SaaS e
tecnologie di rete, disponibili sempre e ovunque).
Regno Unito

La struttura organizzativa del sistema di governance del Regno Unito è molto centralizzata: le
amministrazioni locali ricevono i fondi dalla centrale e la centrale è responsabile di buona
parte dei servizi pubblici, compresa la sanità. C’è un elevato decentramento nei confronti delle
unità locali, ma queste ultime sono strettamente controllate dai ministeri e dai dipartimenti di
ordine superiore.

La strategia inglese per le ICT vede il cloud come una chance per aumentare le performance e
la sicurezza, ridurre i costi e accelerare la velocità di diffusione [delle ICT]". Questa strategia
deve essere considerata nel contesto più ampio dell’Agenda Digitale che prevede che il
governo assuma il ruolo di guida nella preparazione di un’ampia strategia digitale per il Paese,
avendo un impatto notevole sull’economia digitale in quanto fornitore di servizi pubblici e
influencer sul mercato, oltre che finanziatore per ricerca e sviluppo.

Il Government Cloud (o G-Cloud) è considerato il fattore chiave per il conseguimento del

risparmio di 3,2 miliardi di sterline previsto nel Programma di Efficienza Operativa del Regno
Unito, oltre ad essere alla base di altri progetti inclusi nella strategia inglese per le ICT, tra i
quali troviamo:

- La Data Center Strategy, per razionalizzare i 500 data center utilizzati dal governo,
dalle forze politiche e dalle autorità locali in 12 data center ad elevata sicurezza
- Il Government Applications Store (G-AS), che diventerà un mercato online per la
condivisione e il riutilizzo delle applicazioni business (con un sistema di pagamento
basato sul pay per use), con l’obiettivo di ridurre i costi dei software in tutto il settore 19
pubblico e accelerare gli appalti
- Il sistema degli Shared Services, per cui entro il 2020 il G-Cloud e G-AS insieme
soddisferanno le esigenze di business interno della maggior parte delle organizzazioni
del settore pubblico, mentre numerose attività di back-office saranno rese accessibili a
tutte le organizzazioni del settore pubblico e ai lavoratori tramite un portale on-line.

Mentre la strategia G-Cloud appare quasi “monolitica”, in realtà finora l’approccio inglese al
cloud ha visto l'adozione della nuvola su base regionale, attraverso organizzazioni come
consigli cittadini o corpi di polizia regionali.

Per questo motivo, è opinione di molti che la strategia debba essere adattata e resa il più
possibile applicabile al governo locale, piuttosto che essere plasmata per il governo centrale:
le opportunità di consolidamento della tecnologia sembrano più adeguate per il governo
locale che, essendo più snello, può adattarsi più facilmente alle diverse iniziative.
Il cloud per la PA e la Sanità italiana

Se sotto il profilo dei numeri l’Italia non è

neppure lontanamente paragonabile alla
situazione USA (il totale della spesa IT della
PA centrale e locale, compresa la Sanità
Pubblica, arriva con fatica a un decimo del
budget IT USA al netto della Difesa), qualche
somiglianza la si può trovare sotto il profilo
della frammentazione delle infrastrutture e
delle soluzioni adottate. Centinaia, forse
quasi un migliaio di server solo nei Ministeri;
migliaia di server nelle Regioni e in Sanità;
decine di piattaforme per la gestione della
posta elettronica; migliaia di applicativi legacy; Storage non sempre adeguato. E così via.

20
Il tutto, “con contorno di CAD”: ossia all’interno di un contesto in profonda trasformazione reso
ancora più dinamico dall’introduzione di principi quali la “premialità per gli innovatori” e il
“sanzionamento dei ritardatari”. Ma reso anche estremamente complicato dalla situazione di cassa
dello Stato, delle Regioni e delle Autonomie Locali: “soldi pochi, bisogni tanti”.

Anche attraverso questa ulteriore chiave di lettura traspare evidente “la grande opportunità” per il
cloud. Tutto sta nell’arrivare in fondo all’equazione “riusciranno i nuovi investimenti a essere
interamente coperti dalle economie conseguibili nei primi 2-3 anni?”. Se i numeri di Kundra fossero
applicabili “tout court” anche in Italia, verrebbe da rispondere di sì. “Yes, we can”, per rimanere in
tema.

Ma il problema non è solamente economico-finanziario, purtroppo. Come avremo modo di vedere

nei capitoli successivi, ci dobbiamo muovere all’interno di un quadro normativo decisamente “meno
elastico” di quello statunitense. Giusto o meno giusto che sia, è un vincolo di cui tenere conto.
Considerandolo, è bene precisarlo, in un contesto europeo.
Non possiamo infatti non tenere in considerazione un elemento che – allo stato dei fatti –
rappresenta un vincolo non banale allo sviluppo di un “Government on the Cloud” all’italiana.

Ad oggi, le norme impongono alla PA italiana vincoli piuttosto significativi a partire da quelli relativi
alla “identificabilità del luogo fisico dei data center”. Norma che viene (forse, per eccesso di zelo)
interpretata come “un Ente, un Data Center”, provocando non pochi grattacapi a chi tenta di
razionalizzare una spesa (non meno di 750-800 milioni di euro all’anno, secondo stime Netics) e un
insieme di asset (900 server solo nella PA centrale, 4.500 nelle Regioni, altre svariate migliaia nei
Comuni e nelle Province) sempre più fuori controllo. Per non parlare degli aspetti relativi alla
sicurezza, regolati da un insieme di norme adeguate a un paradigma tecnologico ormai superato. E,
last but not least, dai problemi relativi alla tutela dei dati e della privacy.

Di come si stia lavorando all’adeguamento del quadro normativo, tratteremo più avanti. Rimaniamo,
per ora, al modello di possibile evoluzione dello scenario di adozione del “paradigma Cloud” nella PA
italiana. Aldilà degli “slogan” e delle ambizioni di “conquista” di un mercato ancora aldilà dall’essere
maturo ma sicuramente promettente.
E’ già ormai piuttosto 21
chiaro che gli spazi sul
cloud per operatori
“general purpose” (a
partire da Google)
appaiono confinati ad
ambiti “di commodity”
quali ad esempio la posta
elettronica e gli strumenti
di produttività individuale.

Ed è altrettanto chiaro che le istituzioni guardano con un minimo di (giustificato) sospetto verso i
“cloudbuster” privati, siano essi rappresentati dagli “Over the Top” (ancora Google, ma anche
Amazon) e/o dai “grandi proprietari/gestori di data center sparsi per il mondo”.
E’ evidente a questo punto che l’unico modello di cloud capace di imporsi in ambito PA e Sanità ha a
che fare con un’architettura rigorosamente privata (ibrida, se vogliamo, in quanto aperta a
“possibilità” per operatori “cloudbuster” in ambiti quali la posta, le piattaforme di collaboration, il
“Platform as a Service”) calata in un contesto di “proprietà/governance” rigorosamente pubblica.
Magari “consortile”, sul modello CINECA per quanto riguarda il mondo accademico e della ricerca, o
sul modello del “centro di supercalcolo” realizzato da CSI Piemonte vent’anni fa. Un po’ come sta
succedendo in Francia e in Spagna, con i vari consorzi nati per supportare i Comuni nell’innovazione
tecnologica.

Se questo è lo scenario “presumibile”, allora le varie società ICT in-house (con particolare riferimento
a quelle a dimensione regionale) sono destinate a diventare i “Public Cloudbuster” dell’immediato
futuro. Con, altrettanto presumibilmente, una SOGEI destinata a diventare il “Cloudbuster” della PA
centrale. Completano il quadro “futuribile” un “Cloud dell’Università e Ricerca” (CINECA) e un “Cloud
del sistema camerale” (InfoCamere). E una serie di “punti interrogativi”, rappresentati dal mondo
delle Autonomie Locali.

L’auspicio è che tutte queste “nuvole” nascano a partire da una visione condivisa e finalizzata alla 22
“messa a sistema” delle risorse. A partire da un disegno “comune” rispetto al modello architetturale
di riferimento, e sino ad arrivare ad un’ipotesi di “federazione delle nuvole pubbliche” finalizzata a
costruire le condizioni necessarie a “mandare in soffitta”, una volta per sempre, il problema della non
interoperabilità dei sistemi. Se il CAD, recentemente rivisitato, può rappresentare un ottimo punto di
partenza, ci si augura che l’imminente ridisegno del Sistema Pubblico di Connettività (SPC) venga
attuato tenendo nell’adeguata considerazione i modelli di deployment introdotti dal Cloud.

Un interessante spunto di riflessione in questo senso

è rappresentato da un recente lavoro di Alessandro
Osnaghi1, pubblicato dal Comitato Scientifico
“Think!” del think-tank Astrid. Ne riportiamo qui di
seguito un breve stralcio relativo al passaggio più
interessante, nel quale l’autore “traccia i contorni”
di questa nuvola comunitaria.

1
“Pubblica Amministrazione che si trasforma: Cloud Computing, Federalismo, Interoperabilità”, speech di Alessandro
Osnaghi a Forum PA 2011.
 “Non si tratta tanto di pensare a una nuvola “esclusiva dell’amministrazione” ma a
un’infrastruttura tecnologica nazionale che renda disponibili servizi certificati, erogati da
soggetti accreditati, che rispondono dal punto di vista funzionale, tecnico, contrattuale e
soprattutto di fiducia, ai requisiti funzionali e normativi prescritti per le amministrazioni. Se, ad
esempio, alcuni dati devono risiedere sul territorio nazionale, quest’opzione deve poter essere
garantita.

Realizzare un cloud di comunità nell’ambito del quale i servizi sono erogati essenzialmente da
soggetti privati accreditati non è solo complesso per gli aspetti tecnici organizzativi e di
governance, ma soprattutto per la necessità di rivedere gli strumenti normativi e regolamentari
abilitanti o di predisporne di nuovi. Ricordo che alcuni servizi critici, ad esempio quelli relativi alla
firma digitale, sono stati affidati a soggetti privati fiduciari che operano in modo conforme al CAD
e altri se ne potrebbero aggiungere, come ad esempio i servizi di Identity Management, anch’essi
un prerequisito per il cloud computing e l’interoperabilità.

Per evidenziare alcune delle situazioni di criticità riprendo l’esempio di una scuola o di un piccolo
comune che decidano di virtualizzare i loro server trasferendo quindi nella nuvola le basi dati che
contengono dati personali. Questo, alla condizione di sapere dove si trovano i dati, sarebbe
possibile già ora e in questo modo queste amministrazioni potrebbero assicurarsi anche i servizi di
continuità operativa e di disaster recovery. Se tutto è trasferito nella nuvola presso un CSP (Cloud
Service Provider), nella scuola o nel comune restano solo il router e le stazioni di lavoro e si accede
al server virtuale attraverso i servizi di un ISP (Internet Service Provider). Nei fatti il titolare del
trattamento dati (il sindaco o il preside) può essere direttamente responsabile solo della loro 23
certificazione, l’ISP ha nei fatti la responsabilità di garantire l’integrità e la confidenzialità nel
trasferimento delle informazioni al CSP, mentre la responsabilità del controllo dell’accesso e della
disponibilità, ma anche dell’integrità e confidenzialità è di fatto sotto il controllo diretto del CSP.”

Se sia quella nazionale o, viceversa, quella regionale federata la dimensione più adeguata al “Cloud
della PA” è, a questo livello del dibattito, un dettaglio trascurabile. E’ invece molto interessante (e
sintomo di quanto Osnaghi rappresenti ancora una risorsa importante all’interno della comunità di
chi si occupa di ICT nella PA italiana) vedere come l’autore – giustamente – identifica il Cloud come
“la grande opportunità” per gli enti di dimensioni minori (i piccoli Comuni, le scuole).

Anche per questa ragione, è importante che la costruzione del “nuovo catalogo di servizi SPC” tenga
in adeguata considerazione le opportunità offerte dal Cloud. Anche attraverso la valorizzazione di
tutto il lavoro che – nel frattempo – i Centri Tecnici Regionali di SPC sapranno costruire in termini di
offerta di servizi innovativi.
Il quadro normativo e le prospettive di evoluzione

Introduzione
Da un punto di vista giuridico, il cloud computing si traduce nella condivisione e conservazione, da
parte degli utenti, di dati o applicazioni su server solitamente gestiti da terzi, ai quali si accede
attraverso Internet. Al di là, quindi, degli indubbi vantaggi in termini di contenimento dei costi e
incremento dell’efficienza, ciò che può essere fonte di preoccupazione è proprio il flusso di dati che
viaggia verso la nuvola ed in essa risiede. Dato che le offerte cloud si rivolgono tanto a privati e
aziende quanto alla PA, è evidente che particolare attenzione deve essere posta alla riservatezza e
alla sicurezza dei dati. A tal proposito, però, occorre prendere atto di ciò che si delinea come un
momentaneo vuoto normativo: sia a livello italiano che europeo, attualmente, mancano delle norme
specifiche che si occupino della protezione dei dati nell’ambito dei servizi di cloud computing. Per
tale ragione, è necessario rifarsi alla generica normativa sulla protezione dei dati che, però, posta di
fronte all’innovazione della nuvola presenta alcune criticità. Se è certo che il superamento vero e
proprio di tali ostacoli normativi è possibile solo attraverso un intervento del legislatore è, tuttavia,
anche vero che, nell’attesa che ciò abbia luogo, è sempre possibile per un’amministrazione pubblica 24

(e più in generale per un qualsiasi soggetto interessato ad adottare soluzioni cloud) scegliere il
fornitore cui affidarsi, prestando particolare attenzione alla definizione degli aspetti legati alle
problematiche giuridiche più rilevanti.

Norme europee e italiane sulla protezione dei dati personali

Quadro normativo di riferimento in UE e in Italia
La protezione dei dati personali è un diritto fondamentale nell’Unione Europea. A tal punto che, nella
stessa Carta dei Diritti Fondamentali dell’Unione si legge: “Ogni individuo ha diritto alla protezione
dei dati personali che lo riguardano”. La tutela di tale diritto viene assicurata, in ambito comunitario,
dalle seguenti direttive:
 Direttiva 95/46/CE – relativa alla tutela delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati. Punta ad armonizzare le legislazioni
nazionali al fine di migliorare i criteri di gestione dei dati da parte dei “titolari” e garantire
una serie di diritti ai cittadini europei;
  Direttiva 2002/58/CE – relativa al trattamento dei dati personali e alla tutela della vita
privata nel settore delle comunicazioni elettroniche, si riferisce principalmente al
trattamento dei dati personali ed alla tutela della privacy nel quadro della fornitura dei
servizi di telecomunicazione;
 Direttiva 2006/24/CE – riguardante la conservazione dei dati (data retention) generati o
trattati nell’ambito della fornitura di servizi di comunicazione elettronica.

In Italia, le prime due direttive sono state recepite all’interno del Decreto legislativo 30 giugno 2003,
n. 196 intitolato Codice in materia di protezione dei dati personali (ma più comunemente noto
come Testo Unico sulla privacy o Codice Privacy), mentre la terza direttiva è stata recepita nel
Decreto legislativo 30 maggio 2008, n. 109.

Terminologia: dati, trattamento e soggetti del trattamento

I suddetti riferimenti normativi disciplinano un’attività (il trattamento) compiuta da determinati
soggetti e avente ad oggetto i dati personali. Per meglio inquadrare l’argomento e comprendere ciò
che verrà segnalato in seguito, si riporta qui una breve descrizione terminologica di tali aspetti.
25

Un dato personale è una qualunque informazione relativa a persona fisica, persona giuridica, ente o
associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale (articolo 4, comma 1, lettera b.
del Codice Privacy). Da notare che anche immagini e suoni sono dei dati personali.
Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più
siti, va a costituire una banca di dati (articolo 4, comma 1, lettera p. del Codice Privacy).

Si parla di trattamento dei dati in riferimento a qualunque operazione o complesso di operazioni,

effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in una banca di dati (articolo 4, comma
1, lettera a. del Codice Privacy).
Attorno al trattamento ruotano quattro attori principali:

 l’interessato (data subject) – è la persona fisica, la persona giuridica, l’ente o l’associazione

cui si riferiscono i dati personali (articolo 4, comma 1, lettera i. del Codice Privacy).
 il titolare (data controller) – è la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione o organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento
di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (articolo 4,
comma 1, lettera f. del Codice Privacy). Inoltre, come sancito nell’art. 28 del Testo Unico
sulla Privacy, quando il trattamento è effettuato da una persona giuridica, da una pubblica
amministrazione o da qualsiasi altro ente, il titolare del trattamento è l’entità nel suo
complesso o l’organismo periferico che esercita un potere decisionale del tutto autonomo
sulle finalità e sulle modalità del trattamento;
 il responsabile (data processor) – è la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione o organismo preposti dal titolare al
trattamento di dati personali (articolo 4, comma 1, lettera g. del Codice Privacy). Il
responsabile, se designato (è a nomina facoltativa), effettua il trattamento attenendosi alle 26
istruzioni impartite dal titolare cui spetta la vigilanza sull’osservanza delle disposizioni da lui
assegnate (articolo 29 del Codice Privacy);
 l’incaricato (data executor) – è la persona fisica autorizzata a compiere azioni di trattamento
dal titolare o dal responsabile (articolo 4, comma 1, lettera h. del Codice Privacy). Le
operazioni di trattamento possono essere svolte solo da incaricati (dipendenti, collaboratori,
consulenti, prestatori di servizi, etc.) che operano sotto la diretta autorità del titolare o del
responsabile, attenendosi alle istruzioni impartite e operando esclusivamente all’interno
dell’ambito del trattamento loro consentito (articolo 30 del Codice Privacy).

I diritti dell’interessato e gli obblighi del titolare

Le norme in materia di protezione dei dati personali riconoscono all'interessato una serie di diritti,
tra i quali:
 il diritto di ricevere informazioni generali sul trattamento dei propri dati (identità del
responsabile del trattamento, finalità del trattamento, destinatari dei dati, etc.);
 il diritto di accesso ai propri dati personali direttamente presso chi li detiene (titolare del
trattamento);
  il diritto di aggiornare, correggere o integrare i dati inesatti e incompleti;
 il diritto di opporsi, per motivi legittimi, al trattamento dei propri dati, ad esempio qualora
venissero utilizzati per valutare alcuni aspetti personali dell’individuo, come il rendimento
professionale, la condotta, il reddito, le opinioni pubbliche, le convinzioni religiose, etc.;
 il diritto di opporsi al trattamento dei propri dati per scopi di informazione commerciale o per
l'invio di materiale pubblicitario o di vendita diretta, oppure per ricerche di mercato;
 il diritto di ottenere la rettifica, la cancellazione o il blocco di dati il cui trattamento non è
conforme ai regolamenti;
 il diritto di ottenere un risarcimento dal titolare del trattamento per eventuali danni subiti.

Per far valere un proprio diritto, l’interessato deve limitarsi a inviare un’apposita richiesta al
responsabile o la titolare. Quest’ultimo, di contro, ha l’obbligo di:
 garantire che i diritti dell’interessato siano rispettati (per esempio, il diritto di avere
informazioni generali sui dati personali, il diritto di accesso ai propri dati, etc.);
 garantire che i dati dell’interessato siano trattati lealmente e lecitamente e rilevati per
finalità determinate, esplicite e legittime. Essi devono inoltre essere esatti e, se necessario,
aggiornati;
27
 garantire la riservatezza del trattamento;
 garantire la sicurezza del trattamento;
 garantire un livello adeguato di protezione quando il trasferimento di dati avviene in paesi al
di fuori dell'UE.

Nel caso in cui l’interessato riscontri una violazione dei propri diritti, può presentare un reclamo
presso l’Autorità Garante della Protezione dei Dati Personali, istituita in tutti gli Stati membri.
L’Autorità ha il compito di assicurare che i diritti e gli obblighi siano rispettati, riceve ed esamina i
ricorsi presentati dagli interessati e può vietare il trattamento dei dati.

Infine, per completare questo breve quadro normativo di riferimento, è utile ricordare che, dal punto
di vista dei profili di responsabilità, sono previste sanzioni non solo di carattere civile e
amministrativo ma anche penale, a carico del titolare ma pure del responsabile e degli incaricati del
trattamento.
La questione della sicurezza
Come già sottolineato in precedenza, tra gli obblighi del titolare del trattamento vi è quello di
garantire delle adeguate misure di sicurezza infatti, come sancito nel Codice (art. 31) i dati devono
essere custoditi e controllati con l’adozione di misure di sicurezza preventive e idonee a ridurre al
minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di
trattamento illecito. In particolar modo, nel caso di trattamento dei dati personali effettuato con
strumenti elettronici (art. 34), questo è consentito solo se il titolare dimostra di adottare, nei modi
previsti dal Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B. del Codice), delle
precise misure minime quali, ad esempio: un sistema di autenticazione e autorizzazione informatica,
un aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati, un sistema di protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti
e accessi non consentiti, l’adozione di procedure per la custodia di copie di sicurezza e il ripristino
della disponibilità dei dati e dei sistemi e, infine, la tenuta di un aggiornato documento
programmatico sulla sicurezza.

La “perdita di controllo dei dati” 28

Le “3 W” della perdita del controllo
Il breve excursus all’interno del quadro normativo di riferimento, seppur parziale e incompleto,
fornisce bene un’idea dell’elevata complessità che un’amministrazione pubblica, in qualità di titolare
del trattamento dei dati dei cittadini ai quali presta i propri servizi, è tenuta a gestire per assicurare la
protezione delle informazioni.

All’interno dei servizi di cloud computing, tale complessità non può che aumentare anche a causa di
un’inevitabile perdita di controllo:

«Occorre riflettere anche sui rischi che pone la nuova tecnologia del “cloud computing”,
con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li
produce e usa, e gestiti da enormi server collocati in ogni parte del pianeta»
(Francesco Pizzetti – Presidente del Garante per la protezione dei Dati Personali)
La perdita di controllo sui dati è relativa alle cosiddette “3 W”, infatti una PA, sulla quale per legge
grava l’onere della protezione dei dati di sua competenza, nell’optare per una soluzione cloud si
trova di fronte i seguenti interrogativi:
 Chi può accedere ai dati (Who)?
 Cosa viene fatto con i dati (What)?
 Dove si trovano i dati (Where)?

Sotto questi tre punti di vista è, dunque, inevitabile una perdita, quantomeno parziale, del potere di
controllo sui dati, con tutti i rischi che ciò comporta, in particolare in termini delle possibili
responsabilità alle quali la PA si espone nei confronti dei soggetti terzi interessati (cittadini,
dipendenti, fornitori, etc.) per eventuali violazioni della normativa in materia di privacy e sicurezza
delle informazioni.

In pratica, l’amministrazione pubblica che si affida ad un fornitore di soluzioni cloud continua a

mantenere il ruolo di titolare anche su quei dati che finiscono sulla nuvola, il che vorrà dire che,
nonostante i suddetti limiti in termini di controllo, dovrà:
 continuare a garantire aspetti quali, ad esempio, la salvaguardia delle informazioni, la 29
massima sicurezza nel trattamento dei dati e la possibilità di acquisizione forense di prove
digitali;
 rispondere direttamente nei confronti di terzi i cui dati personali, conservati nella cloud, sono
stati violati.

Dati nella nuvola: i profili normativi critici e i rischi per la sicurezza

L’attuale istituto giuridico della protezione dei dati personali, come già accennato all’inizio del
capitolo, presenta di fronte alla cloud alcune criticità. In particolare, i giuristi sono concordi
nell’evidenziare i tre seguenti profili critici:
 Applicabilità del Codice Privacy (d.lgs. 196/2003) al fornitore di soluzioni cloud (cloud
provider);
 Ruolo del cloud provider nel trattamento dei dati;
 Trasferimento dei dati all’estero.
Oltre questi limiti delle normative vigenti, non sono da trascurare anche i potenziali rischi per la
sicurezza dei dati affidati alla nuvola.

Il problema dell’applicabilità del quadro normativo

In merito all’ambito di applicazione del Codice, occorre far presente che esso è applicabile al cloud
provider quando quest’ultimo:
 è stabilito in Italia (articolo 5, comma 1);
 oppure è stabilito in un Paese non appartenente all’Unione europea e impiega, per il
trattamento, strumenti situati in Italia anche diversi da quelli elettronici, a meno che questi
non siano utilizzati solo ai fini di transito nel territorio dell’Unione (articolo 5, comma 2).
Se il cloud provider, quindi, ha la propria sede e le proprie infrastrutture al di fuori dello Stato Italiano
non potrà essere assoggettato al Codice.
Nei punti precedenti non si è fatto riferimento al caso in cui il fornitore di soluzioni cloud è stabilito in
un altro Stato della Comunità europea perché, in questo caso è vero che non è applicabile il D.lgs.
196/2003 ma, grazie alla Direttiva 95/46/CE, la tutela del dato è uniformata all’interno dei confini
UE: in pratica, se si decide di affidarsi a un provider con sede nel territorio di uno qualsiasi degli Stati
membri, si avrà sempre la garanzia di godere delle tutele sancite dalla suddetta direttiva comunitaria, 30
perché esiste sicuramente una legge di quello Stato che la ha recepita.
L’elemento di criticità, invece, risiede nel fatto che, in base alla Direttiva 95/46/CE e al Codice
Privacy italiano, l’applicabilità del quadro normativo al cloud provider viene determinata sulla base
di criteri prettamente territoriali (il principio dello stabilimento del titolare o l’utilizzo di strumenti
collocati sul territorio europeo) che, però, mal si conciliano con la natura delocalizzata e
internazionale della nuvola: per un fornitore cloud è sufficiente spostare sede e data center al di
fuori del territorio europeo per sottrarsi, di fatto, dai vincoli previsti in materia di protezione dei dati
dalla normativa comunitaria, anche nel caso in cui i propri servizi fossero diretti principalmente a
clienti europei.

Qual è il ruolo del cloud provider nel trattamento dei dati?

La struttura della nuvola e, in particolare, l’entrata in campo della figura del cloud provider mettono
in crisi la filiera di responsabilità, disciplinata – nel Codice Privacy – attraverso l’istituzione del
titolare e del responsabile del trattamento dove, come già visto, il primo è il soggetto cui è riservato
ogni potere decisionale con riguardo alle finalità e alle modalità del trattamento dei dati; mentre il
secondo rappresenta il soggetto a cui il titolare delega alcune specifiche operazioni di trattamento.
Alla luce di questo quadro normativo, risulta difficile collocare il fornitore di servizi di cloud
computing: è un co-titolare del trattamento assieme alla PA che ad esso si è affidata o è, piuttosto,
un responsabile del trattamento preposto dall’amministrazione titolare? Nessuna delle due opzioni
appare del tutto valida, il cloud provider sembra, infatti, configurarsi come una figura ibrida: in
qualità di “semplice” custode dei data base delle amministrazioni clienti, non può essere considerato
un titolare ma, allo stesso tempo, opera con un grado di autonomia incompatibile con il ruolo di
mero esecutore delle istruzioni impartire dalla PA titolare.

Il trasferimento dei dati all’estero

I dati personali inviati all’estero costituiscono, assieme alla filiera di responsabilità, il nucleo delle
criticità legali della nuvola. Con il cloud computing, si stanno portando mole di dati all’estero, spesso
in luoghi diversi e questo non è normalmente consentito. Servirebbe il consenso dei diretti
interessati, ma è una pratica difficilmente attuabile.
In realtà, per eseguire un trasferimento di dati all’estero, cioè in un Paese non appartenente
all’Unione europea, è possibile seguire, in base alla normativa vigente, una delle seguenti strade:

 Trasferimento di dati verso i soli Paesi che offrono garanzie adeguate: ad oggi si tratta solo di 31
Svizzera, Canada, Argentina, Isola di Guernsey, Isola di Man, Isola di Jersey, Isole Far Oer,
Andorra, USA (ma limitatamente alle imprese che aderiscono al c.d. Safe Harbor);
 Inserimento nel contratto delle clausole contrattuali standard approvate dalla Commissione
europea;
 Previsione di Binding Corporate Rules (applicabili tuttavia solo ai trasferimenti di dati
all’interno di gruppi di società);
 Consenso espresso dell’interessato, ai sensi dell’art. 43 del Codice.

Non tutte, però, le suddette vie sono percorribili nel caso del cloud computing, infatti – tra gli
strumenti ammessi dall’Unione Europea – l’unico che sembra adattarsi in modo adeguato alle
particolari esigenze della nuvola pare essere l’adozione del set di clausole contrattuali standard per il
trasferimento di dati personali a paesi terzi (descritte nelle decisioni della Commissione europea
2004/915/CE e 2010/87/UE).
Le altre modalità di trasferimento, invece, appaiono difficilmente adattabili alla cloud. Ad esempio, le
Binding Corporate Rules, cioè regole per i trasferimenti internazionali di dati infragruppo, non sono
applicabili per i trasferimenti che hanno luogo all'esterno di uno stesso gruppo societario. I principi
del Safe Harbor (il protocollo che regola i trasferimenti di dati verso gli Stati Uniti), oltre a valere solo
per le imprese statunitensi che vi aderiscono su base volontaria, non sono estensibili ad altri Pesi
extra Ue. Inoltre, nel giugno 2010, un’Autorità Garante europea (per la precisione quella tedesca) si è
espressa ritenendo le misure sancite dal Safe Harbor non idonee ad offrire adeguate garanzie di
protezione dei dati nel contesto dei servizi cloud.

Prospettive future e “riconquista del controllo”

In una recente comunicazione al Parlamento Europeo, intitolata A comprehensive approach on
personal data protection in the European Union, la Commissione Europea ha indicato il cloud
computing come un fenomeno con una portata innovativa tale da non rendere più ulteriormente
posticipabile una radicale revisione del quadro normativo comunitario in materia di privacy e
sicurezza dei dati. Questa è una prova di quanto sia sentita, a livello europeo, la necessità di
adeguare le regole e le categorie giuridiche ai nuovi modelli di condivisione e gestione delle
32
informazioni personali, in modo da sopperire ai limiti che l’impianto normativo attuale mostra di
fronte alla nuvola. Tale necessità, ovviamente, è avvertita anche a livello italiano:

«La direttiva Ue sulla privacy è ormai obsoleta, bisogna rivederla con un accordo
internazionale. E, nell'attesa, sarebbe opportuno che i fornitori "notificassero" (cioè
sottoponessero) i propri servizi cloud ai Garanti europei»
(Francesco Pizzetti, Presidente dell'Autorità Garante della Privacy italiana)

Francesco Pizzetti, sottolineando la necessità di un accordo internazionale, va dritto al nucleo della

questione: le norme oggi sono nazionali ed europee, ma il fenomeno è globale. I dati degli italiani
possono, nell’ambito dei servizi cloud, finire all’interno di computer sparsi per tutto il mondo. A
tutela degli interessati, valgono le norme del Paese dove sono presenti fisicamente i dati. Le Autorità
europee garanti della privacy sostengono quindi, per prima cosa, che l'utente ha il diritto alla
trasparenza, cioè a sapere dov'è il proprio dato, dove si trovano i relativi back-up e com'è protetto.
Queste, quindi, sono in sintesi le informazioni che una pubblica amministrazione, in qualità di titolare
del trattamento dei dati di cittadini e imprese, deve sempre conoscere, anche nel caso si affidi ad un
cloud provider.

In attesa:
 degli interventi normativi comunitari (la Commissione Europea ha annunciato per l’estate
2011 la presentazione di una proposta di modifica della normativa privacy), volti a far si che i
dati dei cittadini europei vengano trattati secondo le regole europee, indipendentemente
dalla nazionalità dell’azienda o dalla posizione geografica del dato,
 e delle linee guida del Garante italiano in materia di cloud computing, annunciate al ForumPA
2011 dal Presidente Francesco Pizzetti e attese per l’estate di quest’anno,
un’amministrazione pubblica (e in generale un qualsiasi soggetto interessato ad adottare soluzioni
cloud) può decidere di non accedere in ritardo ai vantaggi offerti dalla nuvola e di riacquisire il
controllo dei dati, scegliendo accuratamente il fornitore cui affidarsi, cioè prestando particolare
attenzione alla definizione degli aspetti legati alle problematiche giuridiche più rilevanti. Questa è
anche l’idea dell’Avv. Ernesto Belisario2 che, in un suo recente articolo pubblicato su “LeggiOggi.it”,
ha addirittura delineato un’apposita check list, per la valutazione di un potenziale cloud provider, che 33
tenga conto di tutte le problematiche giuridiche più rilevanti.

2
Esperto di diritto delle nuove tecnologie, Docente presso l’Università degli Studi della Basilicata, autore di
numerose pubblicazioni sui temi del Diritto Amministrativo e dell’Information Technology Law nonché
consulente del Ministero per la Pubblica Amministrazione e Innovazione per le tematiche inerenti il Codice
dell’Amministrazione Digitale.
Check list per la valutazione di un fornitore di soluzioni cloud (estratta da “Cloud computing: quale legge
tra le nuvole?”, Avv. Ernesto Belisario, LeggiOggi.it, 18/Febbraio/2011)

a) l’importanza dei termini di servizio

Innanzitutto appare utile soffermarsi sulla natura del contratto di fornitura dei servizi di cloud per
affermare che si tratta di un contratto di appalto di servizi avente ad oggetto prestazioni continuate o
periodiche.
Nella prassi contrattuale, i fornitori hanno cercato di imporre (e ci sono riusciti) contratti-tipo in cui la
regola è rappresentata da clausole in cui il servizio viene fornito “as is”, senza alcuna garanzia di
raggiungere un certo livello di performance. Si tratta di disposizioni particolarmente critiche: cosa
succederebbe, ad esempio, se un avvocato non fosse in condizione di accedere all’agenda dei propri
impegni e delle proprie udienze per un lungo lasso di tempo?

Pertanto, dovranno preferirsi quei fornitori che, al contrario, si impegnino a garantire un livello minimo di
servizio misurabile in base a parametri oggettivi; specialmente gli utenti professionali dovranno prestare
grande importanza alla disponibilità costante dei servizi che evitino interruzioni nell’erogazione. In
proposito, è raccomandabile che vengano definiti parametri tecnici oggettivi e misurabili (tra cui “uptime”,
tempi di risposta, tempo di presa in carico dei servizi, ecc.); è altresì opportuno che l’atto con il quale le
parti esprimono il loro accordo in merito (c.d. SLA, Service Level Agreement) venga allegato al contratto.

Sul punto particolarmente importante dovrà essere la regolamentazione della responsabilità nel caso di
eventuali violazioni o incidenti, nella consapevolezza che nel nostro ordinamento – in base all’art. 1229
Codice Civile – è nullo qualsiasi patto diretto ad escludere o limitare preventivamente la responsabilità del
fornitore per dolo o colpa grave.
34

b) sicurezza dei dati e privacy

Tra le maggiori criticità del fenomeno cloud computing vi sono indubbiamente quelle rappresentate dalle
implicazioni in materia di riservatezza e sicurezza dei dati trattati dalle Amministrazioni.
Il problema della sicurezza è uno dei gangli principali di tutti i sistemi informativi ma, se possibile, è ancora
più importante per chi ne fa un uso professionale; alla luce di tali norme, sarà necessario ottenere dal
fornitore l’adozione dei migliori standard e delle misure di sicurezza idonee a proteggere la riservatezza,
disponibilità e integrità delle informazioni.

In materia di sicurezza, l’Amministrazione dovrà verificare che il fornitore rispetti gli obblighi di protezione
imposti dal Codice Privacy (D. Lgs. n. 196/2003); inoltre, bisognerà doverosamente verificare che
l’outsourcing non comporti il trasferimento dei dati in un Paese posto al di fuori dei confini della Comunità
Europea a causa dei limiti imposti dalla normativa vigente.
 (continua)

c) legge applicabile e foro competente

In assenza di una normativa che individui sempre chiaramente la legge applicabile, bisognerà verificare che il
fornitore indichi in quale Paese sono situati i server che ospitano i dati; per l’utente è importante sapere se
eventuali controversie potranno essere decise dal giudice italiano piuttosto che da un giudice straniero (con
l’ovvio aggravio di costi). La collocazione fisica del server è importante anche in relazione alla possibilità di
ottenere l’esecuzione dei provvedimenti ottenuti dal giudice italiano (senza bisogno di complessi
procedimenti) oltre che sotto il profilo dell’autonomia del fornitore rispetto all’ingerenza dei pubblici poteri
e al grado di democraticità di questi ultimi.

d) proprietà dei dati e dei contenuti

E’ importante, infine, verificare che la proprietà dei dati rimanga all’utente mediante apposite clausole di
riservatezza, salvaguardia e rivendicazione dei diritti di proprietà intellettuale. Dovranno essere quindi
indicate le procedure e le modalità per la restituzione, all’atto della cessazione del rapporto, dei dati e dei
documenti di titolarità degli utenti (ad esempio, degli atti redatti dall’avvocato nell’interesse dei propri
clienti).

L’esame preventivo di questi aspetti da parte dell’utente è già oggi in grado di limitare molti dei principali
inconvenienti giuridici legati al cloud; in attesa di nuove leggi specifiche, che non sappiamo se e quando
arriveranno, bisogna puntare sulla consapevolezza del consumatore, dell’azienda, dell’amministrazione.

35

Inoltre, al fine di contenere i possibili rischi, appare necessaria un'accorta individuazione

dell'operatore al quale i dati saranno affidati, anche attraverso una valutazione della solidità
finanziaria del partner prescelto. È consigliabile, inoltre, per contenere il più possibile i rischi di lock-
in, prevedere delle clausole contrattuali che disciplinino i tempi e le modalità di migrazione delle basi
di dati da un fornitore ad un altro, con un’attenta indicazione degli obblighi gravanti sul cloud
provider al termine del rapporto.

In definitiva, in attesa di interventi che adattino la normativa esistente in materia di privacy alle sfide
che il mercato pone nel settore del cloud computing, le PA titolari possono comunque puntare a
riacquisire il controllo sui dati preferendo cloud provider:

 che siano disposti a negoziare le condizioni contrattuali del servizio;

 i cui data center siano in un Paese dell’UE;
 che offrano adeguate garanzie in termini patrimoniali, tecnici e di trasparenza;
cercando di negoziare (o comunque prestare attenzione nel caso in cui non sia possibile negoziare)
le clausole:

 relative alla titolarità dei dati;

 di data export;
 relative al rispetto della normativa privacy in relazione al trattamento dei dati;
 relative agli SLA;
 relative alle misure di sicurezza adottate nel trattamento dei dati;
 di audit;
 relative al back up e alla recovery dei dati;
 di responsabilità per la perdita o l’accesso non autorizzato ai dati;
 relative alla termination del contratto;
 relative a legge applicabile e foro competente.

Di contro, è possibile ipotizzare che per i provider diventino rilevanti fattori di competitività quali la
trasparenza, sia al momento della instaurazione della relazione contrattuale (ad esempio in merito
alla collocazione dei data center e alle strategie adottate per la tutela della privacy), sia nel corso del 36
rapporto (attraverso la tempestiva notifica di eventuali accessi abusivi), e l'offerta di adeguate
garanzie in termini di misure di sicurezza (eventualmente anche mediante certificazioni di enti
accreditati).

Tutto questo per dire che di fronte alla cloud, nonostante le attuali zone d’ombra normative:

«Non c’è da avere paura ma c’è d’avere consapevolezza»

(Francesco Pizzetti, Presidente dell'Autorità Garante della Privacy italiana)
Il cloud e il SPC – Intervista a DigitPA

In questo capitolo attraverso un’intervista al Dott. Daniele Tatti, Coordinatore del gruppo di lavoro
sul Cloud Computing di DigitPA, si vuole indagare la posizione dell’Ente nei confronti della “nuvola”,
prestando particolare attenzione alle azioni avviate per comprendere l’impatto del cloud sul Sistema
Pubblico di Connettività.

1. Si parla sempre più tra gli addetti ai lavori in ICT, di cloud computing. A suo avviso, quanto il
ricorso a soluzioni cloud può supportare il processo di realizzazione dell’Amministrazione Digitale
italiana? Quali ritiene siano, invece, i principali limiti ed ostacoli correlati all’impiego di questo
paradigma all’interno della realtà della Pubblica Amministrazione italiana?

Risposta
Da quello che è possibile comprendere oggi, i servizi cloud produrranno vantaggi generalizzati di
natura essenzialmente economica perché si basano su ottimizzazioni di carattere generale e su
larghissima scala. Altri possibili vantaggi, come la promozione di una maggiore razionalità delle
infrastrutture e delle applicazioni ICT, si intravvedono per le grandi organizzazioni, comprese
37
evidentemente le maggiori pubbliche amministrazioni.
Tenendo presenti la qualità, la semplicità e la raffinatezza dei servizi online sui quali si è basato lo
sviluppo del cloud computing (motori di ricerca, web mail, e-commerce, applicazioni
georeferenziate), ci si può attendere come ulteriore effetto la promozione di un migliore rapporto
tra utenti e fornitori di servizi online, di cui forse le pubbliche amministrazioni potrebbero
avvantaggiarsi più di altri soggetti. Le economie di scala tipiche del cloud sono state raggiunte
attraverso una sorta di co-ingegnerizzazione delle infrastrutture, dei dati e delle applicazioni
attorno all’utente finale. Questo fatto potrebbe suggerire di ripensare alcuni aspetti dell’ICT
pubblica in vista dell’ottenimento di vantaggi analoghi.
È certo verosimile che il contesto informativo, organizzativo e soprattutto legale della pubblica
amministrazione ponga ostacoli all’impiego dei servizi cloud, ma ritengo personalmente che le
opportunità siano nettamente superiori alle minacce e che quindi un atteggiamento pragmatico
possa dissipare molti dubbi, compresi quelli concernenti la sicurezza e la privacy nel cloud.
2. Qual è, a suo avviso, l’impatto della “nuvola” sull’insieme di servizi offerti dal SPC? Per ciascuno
dei modelli di servizi cloud (IaaS, PaaS e SaaS), quali sono le principali ipotesi di intervento che
ritiene possibili sia sull’infrastruttura ICT sia sui servizi (di back office e di front office) della PA?

Risposta
È difficile prevedere quale impatto avrà il cloud sui servizi offerti da SPC. Non è forse un caso che il
gruppo di lavoro avviato di recente da DigitPA si rivolge soprattutto all’esterno (industria,
università, ricerca, amministrazioni) per raccogliere raccomandazioni e consolidare orientamenti.
Ritengo che solo in un secondo momento sarà possibile mettere a punto architetture e interventi
di livello infrastrutturale. Non dimentichiamo inoltre che alcuni Paesi e la stessa Unione europea
hanno avviato da poco strategie cloud di ampio respiro di cui può essere consigliabile esaminare i
primi passi che, in almeno un caso (UK), hanno già comportato dei ripensamenti strategici.

3. Lei considera l’attuale quadro normativo in materia di SPC adatto ad affrontare il fenomeno della
“nuvola”? Oppure pensa che siano opportune delle azioni volte a favorire l’aggiornamento della
normativa, al fine di supportare l’evoluzione dei sistemi informativi della PA verso modelli basati 38
su tecnologie del cloud computing? In tal caso, quali interventi ritiene prioritari?

Risposta
Tenendo presente la risposta alla precedente domanda, mi sembra che il quadro normativo
potrebbe evolvere in modo indipendente da SPC per promuovere la diffusione dei servizi cloud nel
nostro Paese. Pur non essendo un esperto in materia, ritengo non improbabile che
l’implementazione di politiche di sicurezza adeguate potrebbe suggerire innovazioni normative
già a livello europeo. La mia opinione personale è che, tra gli interventi prioritari, migliori regole
di gestione delle identità digitali, condivise a livello europeo, potrebbero concorrere ad innescare
una rapida diffusione del cloud nella pubblica amministrazione e in definitiva un forte sviluppo dei
servizi online.
4. Infine, nell’agenda di lavoro di DigitPA è prevista la redazione di linee guida per la
determinazione delle più idonee soluzioni tecniche da implementare per la diffusione dei modelli
e delle tecnologie del cloud computing nelle PA?

Risposta
Come ho ricordato prima, DigitPA ha recentemente avviato un gruppo di lavoro abbastanza
esteso che raccoglie quasi un centinaio di rappresentanti di industria, ricerca, università e
amministrazioni per promuovere l’adozione dei servizi cloud nella pubblica amministrazione.
L’approccio è relativamente aperto: più che indicare soluzioni tecniche specifiche vogliamo
produrre e condividere un documento di linee-guida che mostri concretamente i vantaggi e gli
ostacoli rappresentati dal cloud nei suoi diversi aspetti: infrastrutture, servizi, contratti, sicurezza
eccetera. In autunno contiamo di sottoporre a revisione pubblica il documento pubblicandolo sul
sito di DigitPA per poi presentarlo entro l’anno.

39
Cloud e sicurezza

Dal punto di vista della sicurezza dei dati che viaggiano verso la nuvola ed in essa risiedono, è
possibile individuare tre tipologie di rischi. Si ha a che fare, infatti, con i rischi connessi all’accesso dei
dati da parte di criminali informatici ma anche da parte dello stesso provider o di suoi eventuali
dipendenti infedeli. Un’idea di come evolva, con il cloud, la situazione di fronte a tale tipo di rischi si
può rapidamente ottenere leggendo una recente affermazione in merito espressa da Jonathan
Zittrain, Professore di Legge all’Harvard Law School e co-fondatore del Berkman Center for Internet &
Society (Harvard University):

«Before, the bad guys usually needed to get their hands on people’s computers to see
their secrets; in today’s cloud all you need is a password»
(Jonathan Zittrain)

Inoltre, non sono da trascurare I rischi connessi alla conservazione dei dati: una PA che sceglie una
soluzione cloud deve, ad esempio, domandarsi in che modo poter garantire che i dati siano sempre 40
recuperabili e che non vengano corrotti, e come assicurarsi in caso di fallimento del cloud provider.
Infine, è necessario tenere in considerazione anche i rischi collegati alla cancellazione dei dati.
Alcune norme prevedono la cancellazione di determinate categorie di dati una volta decorso un certo
periodo di tempo dalla loro raccolta e, in altri casi, il titolare stesso potrebbe avere interesse a
cancellare in modo definitivo, per ragioni diverse, alcune informazioni. Per una PA titolare del
trattamento, nelle suddette situazioni, permane la difficoltà di accertarsi che i dati che deve o vuole
cancellare non siano più effettivamente reperibili.
Asset
Identificazione dell’asset per la distribuzione su cloud

Semplificando le cose, le attività supportate dal Cloud ricadono in due grandi contenitori generali:

1. Dati
2. Applicazioni / Funzioni / Processi

Con il cloud computing i dati e le applicazioni non hanno bisogno di risiedere nella stessa location, e
possiamo perfino spostare solo parti di funzioni nel Cloud. Per esempio, è possibile ospitare le
applicazioni e i dati nel nostro Centro Elaborazione Dati, pur dando in outsourcing una parte delle sue
funzionalità al cloud utilizzando una “Platform as a Service”.
Il primo passo nella valutazione di rischio per il cloud è quello di determinare esattamente quali
dati o funzioni devono essere considerati per il Cloud. Ciò dovrebbe includere una analisi dell’ utilizzo
dell’asset per scopi di contabilizzazione. Spesso dati e volumi di transazioni sono superiori a quanto
ipotizzato in una prima analisi.

Valutazione dell’asset
Il passo successivo è quello di determinare quanto sono importanti per l’organizzazione i dati o le 41

funzioni. Non è necessario eseguire una valutazione dettagliata a meno che l’ organizzazione non
abbia già ha un processo predefinito, ma c’è bisogno almeno di una valutazione approssimativa di
quanto un asset sia sensibile e quanto importante sia una applicazione / funzione / processo.

Per ciascun asset, ci si devono porre le seguenti domande:

1. Come possiamo essere danneggiati se l'asset diventasse largamente pubblico e

ampiamente distribuito?
2. Come possiamo essere danneggiati se un dipendente del Cloud Provider accedesse
all’asset?
3. Come possiamo essere danneggiati se il processo o la funzione venissero
manipolati da un estraneo?
4. Come possiamo essere danneggiati se il processo o la funzione fallisse a fornire i
risultati attesi?
5. Come possiamo essere danneggiati se le informazioni / dati fossero
inaspettatamente cambiati?
6. Come possiamo essere danneggiati se l’asset non fosse disponibile per un periodo
di tempo?
In sostanza stiamo valutando la riservatezza, l'integrità e requisiti di disponibilità per l’asset e come
questi fattori possano essere rilevanti se tutto o parte dell’asset è gestito nel Cloud. L’assessment è
molto simile alla valutazione di un potenziale progetto di outsourcing, tranne che con il cloud
computing abbiamo una gamma più ampia di opzioni di implementazione, inclusi i modelli interni.

Mappatura dell’asset ai modelli potenziali di diffusione del Cloud

42
Il prossimo passo è quello di determinare i modelli di implementazione di cui siamo confidenti. Prima
di iniziare a guardare a potenziali provider, dovremmo sapere se siamo in grado di accettare i rischi
impliciti ai vari modelli di implementazione: privati, pubblici, comunità o ibridi; e scenari di
hosting: interni, esterni, o combinati.
Per l'asset, determinare se si è disposti ad accettare le seguenti opzioni:

1. Pubblico.
2. Privato, interno/locale.
3. Privato, esterno (comprese le infrastrutture dedicate o condivise).
4. Comunità; tenendo conto della locazione di hosting, del potenziale provider di servizi, e
dell’identificazione di altri membri della comunità.
5. Ibrido. Per valutare in modo efficace una potenziale distribuzione ibrida, è necessario
avere in mente almeno una architettura approssimativa di dove risiedono le componenti, le
funzioni e i dati.

In questa fase si dovrebbe avere una buona idea del livello di confidenza per la transizione al cloud,
quali modelli di implementazione devono essere utilizzati e le località per soddisfare le esigenze di
sicurezza e minimizzazione del rischio.
Valutazione dei potenziali modelli di servizio e dei provider
In questa fase occorre focalizzarsi sul compito di controllo che si avrà per ciascun livello di SPI per
implementare la gestione del rischio. Se si sta valutando un'offerta specifica, a questo punto si
potrebbe passare ad una valutazione più dettagliata del rischio. L’attenzione deve focalizzarsi
sul grado di controllo necessario per implementare la riduzione del rischio nei diversi livelli SPI. Se si
hanno già requisiti specifici (ad esempio, gestione di dati regolamentati), tali requisiti possono essere
inclusi nella valutazione.

Disegnare il potenziale flusso di dati

Se si sta valutando una opzione specifica di distribuzione, occorre tracciare il flusso di dati tra
l’organizzazione, il servizio di Cloud, e qualsiasi nodo cliente/altri. Mentre la maggior parte di questi
passaggi sono di alto livello, prima di prendere una decisione finale è assolutamente essenziale
capire se, e come, i dati possono muoversi dentro e fuori dal Cloud.
Se si deve decidere su una particolare offerta, è opportuno delineare il flusso di dati grezzi
per ogni opzione, e mapparlo su una lista di accettabilità. Questo per assicurare che, per prendere le
decisioni finali, occorre essere in grado di identificare i punti di esposizione al rischio.

43
I rischi ENISA e la CSA guidance

La European Network and Information Security Agency (ENISA) e la Cloud Security Alliance (CSA)
hanno analizzato rischi e controlli di sicurezza nell’adozione del Cloud Computing, arrivando a
individuare 35 rischi.

44

Figura 6 - Principali rischi: per l'elenco completo si rimanda al documento “Cloud Computing - Benefits, risks and
recommendations for information security” (ENISA, nov. 2009)

I dodici domini che compongono il resto delle aree di attenzione della guida per il Cloud
Computing hanno lo scopo di indirizzare i “punti dolenti” sia per la sicurezza strategica che tattica
all'interno di un ambiente Cloud, e possono essere applicati a qualsiasi combinazione di servizi di
cloud computing e implementazione del modello.

I domini sono suddivisi in due grandi categorie: Governance e Tecnologia . I domini di Governance
sono ampi e indirizzano problemi di tipo strategico e politico in un ambiente di cloud computing,
mentre i domini tecnologici sono più focalizzati su problemi tattici di sicurezza e implementazione
all'interno dell'architettura:
Domini di Governance

Dominio La guida CSA ha a che fare con …..

Governance and La capacità di un’organizzazione di governare e misurare il rischio di impresa introdotto
Enterprise Risk dal Cloud Computing. Argomenti quali violazione di accordi, capacità per organizzazioni
Management di utenti di valutare adeguatamente il rischio di un fornitore di Cloud, la responsabilità
di proteggere dati sensibili quando sia l’utente che il provider possono essere in
difetto, e come confini internazionali possono influenzare questi problemi.

Legale Potenziali problemi legali nell’uso del Cloud Computing e requisiti di protezione per le
informazioni e sistemi informatici, violazione delle leggi sulla divulgazione dei
dati, requisiti normativi,requisiti di privacy, leggi internazionali, etc.
Conformità Mantenere e dimostrare la conformità relativa alle policy di sicurezza interna e alla
normativa vigente.
Gestione del ciclo di L'identificazione e il controllo dei dati nel Cloud, come pure controlli di compensazione
vita dei dati che possono essere usati per gestire la perdita di controllo fisico durante lo
spostamento di dati. Altri elementi sono la responsabilità della riservatezza, integrità e
disponibilità dei dati.
Portabilità e La capacita di spostare dati/servizi da un provider ad un altro, oppure di riportarli
Interoperabilità interamente indietro in-house. Argomenti connessi alla interoperabilità tra provider.

Domini tecnologici

45
Traditional Security, Come il Cloud Computing influenza i processi operazionali e le
Business Continuity procedure attualmente in uso per implementare la sicurezza, la continuità di
and business, e il disaster recovery. Esame dei possibili rischi di Cloud Computing allo
Disaster Recovery scopo di minimizzare rischio aziendale con il migliore modello di
gestione. Identificazione dove il Cloud Computing può aiutare a diminuire rischi per la
sicurezza, o può comportare aumenti di rischi in altre aree.
Data Center Valutazione dell'architettura di un provider di data center.
Operations
Incident Response, Rilevazione propria e adeguata di incidenti, risposta, notifica e rimedio.
Notification and Questo implica attivare tutti gli elementi che dovrebbero essere in atto sia a
Remediation livello provider che utenti per permettere la corretta gestione dei problemi e della
comunicazione.
Application Security Prevedere la sicurezza del software applicativo in esecuzione o in fase di sviluppo nel
Cloud.
Encryption and Key Identificazione dell'uso più appropriato di encryption e di una gestione scalabile delle
Management chiavi. Identificazione dei problemi che sorgono per la protezione dell’accesso
alle risorse e per la protezione dei dati.
Identity and Access Gestione delle identità e sfruttamento dei directory services per fornire il
Management controllo degli accessi. Assessment sulla capacità di una organizzazione per condurre
una Identity e Access Management (IAM) basata su Cloud
Virtualizzazione Problemi di sicurezza che circondano l'utilizzo della tecnologia di virtualizzazione nel
Cloud Computing.
L’approccio alla gestione della sicurezza dovrebbe quindi seguire il percorso seguente:

Figura 7 - Gestione della sicurezza

Il Cloud Computing e il nuovo CAD

46
Il Nuovo Codice dell’Amministrazione Digitale, entrato in vigore il 25 gennaio 2011, ha introdotto
importanti e innovative disposizioni in merito alla sicurezza dei dati e dei sistemi, alla continuità
operativa, al disaster recovery.

In primo luogo è utile descrivere brevemente le nozioni di continuità operativa e di disaster

recovery.

Continuità operativa: riguarda l’insieme dei metodi e degli strumenti finalizzati ad assicurare la
continuità dei servizi istituzionali, anche in presenza di eventi indesiderati,che possono causare
un’interruzione prolungata dei sistemi informatici.

Le soluzioni per garantire la continuità dei servizi si riferiscono a tutte le componenti del “ciclo del
servizio” (tecnologia, risorse umane, ecc..). La continuità operativa considera i mezzi tecnici impiegati
nei procedimenti amministrativi come strumenti per l’erogazione dei servizi ed estende la sua sfera
di interesse alle tematiche più generali di natura organizzativa.
Disaster recovery: insieme di misure tecnologiche atte a ripristinare i sistemi, i dati e le infrastrutture
necessarie all’erogazione di servizi a fronte di gravi emergenze.

In merito a questi due concetti, l’art. 50bis del Codice chiarisce che:
Comma 1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale
caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni
predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili
per il servizio e il ritorno alla normale operatività.

Comma 2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle

soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza
almeno annuale il Parlamento.

Comma 3. A tali fini, le pubbliche amministrazioni definiscono:

a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le
procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il
piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e 47
contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del
piano di continuità operativa a cadenza biennale
b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa
di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il
funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti
alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati
personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia
dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei
piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il
Ministro per la pubblica amministrazione e l’innovazione.

Comma 4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e
dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA.
L’art. 51 al comma 1 annuncia successive regole tecniche per la sicurezza dei dati, dei sistemi e delle
infrastrutture delle pubbliche amministrazioni definendo inoltre i compiti, anche ispettivi, di DigitPA
in tema di sicurezza (comma 1-bis).I tre punti salienti sono riassumibili in:

 È obbligo di ciascuna amministrazione far sì che i documenti informatici siano custoditi e

controllati in modo da ridurre al minimo i rischi di distruzione, perdita o accesso non
autorizzato o non consentito o non conforme (art.51, comma 2).
 Le procedure per la gestione della continuità operativa possono essere affidate anche a
soggetti esterni, purché accreditati → Conservatori accreditati da DigitPA
 Entro 15 mesi dall’entrata in vigore del Codice, le Pubbliche Amministrazioni
dovranno predisporre appositi piani di emergenza idonei ad assicurare, in caso di eventi disa
strosi,la continuità delle operazioni indispensabili a fornire i servizi e il ritorno alla normale o
peratività.

Il sistema della sicurezza dei dati prevede la partecipazione di diversi soggetti istituzionali, ciascuno
con compiti specifici all’interno del disegno complessivo, sintetizzati nello schema.

48

Il Sistema della sicurezza dei dati: le competenze dei soggetti coinvolti

Livello istituzionale
Presidenza del Consiglio dei
Ministri o ministro per la
Pubblica Amministrazione e
l’Innovazione
DigitPA
Pubbliche Amministrazioni
Competenze
Emana decreti contenenti le regole tecniche per assicurare, rispetto a dati,
sistemi ed infrastrutture:
 Esattezza
 Disponibilità
 Accessibilità
 Integrità
 Riservatezza
 Raccorda iniziative di prevenzione e gestione degli incidenti di
sicurezza informatici
 Promuove intese con strutture omologhe all’estero
 Segnala al ministro il mancato rispetto delle regole tecniche da
parte delle Pubbliche Amministrazioni
Custodiscono e controllano i documenti informatici in modo da ridurre al
minimo i rischi di:
 Distruzione
 Perdita
 Accesso non autorizzato
 Accesso non conforme
Conclusioni

Il Cloud Computing comporta dei chiari benefici, il primo dei quali a livello economico attuando il
passaggio dalla spesa “a investimento” alla spesa “per operations”. Abbiamo poi visto come il Cloud
permetta una maggiore efficienza in termini di immediatezza e disponibilità oltre che di facilità di
utilizzo. Il tutto avviene grazie alla scalabilità, concetto chiave di tutta la nuvola.

Esattamente come i benefici, i rischi dipendono dal modello di Cloud Computing adottato: come per
ogni area di sicurezza, le organizzazioni dovrebbero adottare un approccio risk-based prima
di passare al cloud valutando attentamente e selezionando le opportune opzioni di sicurezza.
Il Cloud Computing è un ambiente non necessariamente più o meno sicuro di altri ambienti di Data
Center Provider. Come per ogni tecnologia, il Cloud Computing crea nuovi rischi e nuove opportunità.
In alcuni casi il passaggio al Cloud offre l'opportunità di ridefinire l’architettura di vecchie
applicazioni e infrastrutture per soddisfare o superare nuovi requisiti di sicurezza. Altre volte il
rischio di spostare dati sensibili e applicazioni su una nuova infrastruttura può superare i limiti di
tolleranza del cliente. Le Pubbliche Amministrazioni italiane devono necessariamente tenere conto
delle indicazioni date dal Nuovo Codice dell’Amministrazione Digitale, predisponendo i piani di 49

emergenza e scegliendo se la gestione della continuità operativa e del disaster recovery venga
mantenuta in-house oppure affidata ai Conservatori Accreditati.
Per quanto riguarda i modelli di deployment, il Private Cloud è ad oggi il modello più diffuso poiché
prevede che le infrastrutture siano di proprietà di una sola organizzazione e che la condivisione delle
risorse possa avvenire solo all’interno dell’organizzazione stessa, garantendo la sicurezza sul
trattamento dei dati (che viaggiano su una rete chiusa all’esterno, accessibile solo da LAN aziendale).
Come visto dall’esperienza di Boeing Company, stiamo assistendo ad una migrazione dal Private al
modello ibrido che, a tendere, con tutta probabilità diventerà il modello più utilizzato.

Secondo una recente ricerca effettuata a livello mondiale, l’Italia risulta essere leggermente in
vantaggio rispetto al resto del mondo riguardo l’adozione di queste tecnologie. Il 54% delle aziende
italiane sta implementando la virtualizzazione di server contro il 45% delle aziende globali. Per
quanto riguarda le cloud ibrido/private, si registra un 48% delle aziende italiane contro il 35%
globale. In Italia, la virtualizzazione dei server è molto diffusa (84%) e ben il 77% delle aziende sta
considerando l’adozione di cloud ibrido/privato.
Emerge poi come i responsabili IT e gli executive non siano allineati sulle potenzialità
Secondo i risultati della ricerca, il 30% dei CEO (Chief Executive Officer) che sta implementando cloud
ibride/private è meno che “abbastanza aperto” nel trasferire applicazioni business-critical verso
questo tipo di ambienti. Molte preoccupazioni relative all’utilizzo della virtualizzazione e del cloud
ibrido riguardano l’affidabilità (88%), la sicurezza (79%) e le performance (81%). Questi risultati
dimostrano che una migliore comunicazione tra lo staff IT e i soggetti coinvolti nei processi
decisionali permetterebbe a ciascuno di essere sincronizzato rispetto all’analisi di rischi/benefici
offerti dal Cloud Computing.
Lo staff IT infatti potrebbe sfatare o avallare le preoccupazioni del management che, dal canto suo,
con una comprensione reale delle potenzialità, avrà più propensione ad approvare le richieste di
risorse.

E la PA?

Netics ha effettuato una survey specifica, intervistando una ventina di dirigenti e responsabili dei
50
sistemi informativi di enti della PA e di Aziende Sanitarie e Ospedaliere, con l’obiettivo di
rappresentare il “sentiment” rispetto al tema del Cloud.
Prevale nettamente un “elevato interesse”, accompagnato da “preoccupazioni rispetto al quadro
normativo”: in assenza di regole precise, si preferisce “stare alla finestra”. Anche se praticamente
tutti gli intervistati concordano sul fatto che il Cloud rappresenti un formidabile alleato nella
quotidiana ricerca della razionalizzazione e del contenimento dei costi.
Prevalgono le riserve rispetto alla natura del Cloud Service Provider “ideale” per la PA e la Sanità, ma
la maggioranza degli intervistati ipotizza un possibile dualismo (e si ritorna al concetto di “cloud
ibrido”) dove applicazioni e dati “non core” possono tranquillamente essere affidati a provider
pubblici (prevalentemente gli operatori di TLC e gli “Over the Top”), mentre tutte le componenti
“sensibili” dovrebbero convergere su provider rigorosamente di proprietà pubblica.

Il Cloud rappresenta un’ottima soluzione anche (e, forse, “soprattutto”) per gli enti di piccole e
piccolissime dimensioni (i piccoli Comuni, ma anche le Scuole): realtà che oggi scontano costi di
infrastruttura modesti in termini assoluti, ma sicuramente sproporzionati al contesto specifico.
Le ICT “in-house”, soprattutto quelle che fungono da “Centro Tecnico SPC”, possono giocare un ruolo
determinante in questa “rivoluzione potenziale”: soprattutto se saranno capaci di adottare un
approccio orientato alla realizzazione di cataloghi di servizi “on the cloud” aperti al partenariato
pubblico-privato.

La “cloud revolution” potrebbe rappresentare l’occasione per accelerare il processo di diffusione

dell’innovazione tecnologica nella PA e nella Sanità italiana, generando economie di scala e –
soprattutto – favorendo la riduzione della frammentazione delle soluzioni e una contestuale
soluzione al problema della poca interoperabilità dei sistemi informativi pubblici.

La tecnologia è già ampiamente disponibile; è ragionevole pensare che nel giro di pochi mesi anche il
problema normativo venga risolto. La sfida si gioca tutta quanta sulla capacità del mercato di
costruire modelli di business robusti e sostenibili, ma anche sulla capacità di tutti i soggetti coinvolti
(a partire dalla domanda) di ragionare e agire in termini di “sistema”.

51
Bibliografia

 CSA, 2009, Security Guidance for Critical Areas of Focus in Cloud Computing V2.1

 ENISA, 2009, Cloud Computing: Benefits, risks and recommendations for information security

 Symantec, 2011, Virtualization and Evolution to the Cloud Survey

 DECRETO LEGISLATIVO 30 dicembre 2010 , n. 235: Modifiche ed integrazioni al decreto

legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, a norma
dell'articolo 33 della legge 18 giugno 2009, n. 69

 GSA, 2010, Cloud Computing in the Federal Sector

 GSA, 2009, Cloud Computing Discussion: CIO Council Initiative

 GSA, 2011, Federal Cloud Computing Strategy

 DECRETO LEGISLATIVO 30 giugno 2003, n. 196: Codice in materia di protezione dei dati
personali

52
Disclaimer

Government on the Cloud: Introduzione al Cloud Computing per la Pubblica Amministrazione

Riferimento: CCF/11/011/NT
Versione doc: definitiva
Data rilascio: 27/06/2011

© Netics 2011

Le informazioni contenute nel presente documento sono di

proprietà congiunta Netics e Oracle Italia.
E’ vietata la riproduzione totale o parziale di questo documento
in assenza di un’autorizzazione preventiva da richiedere a Netics srl.

53

Netics srl
Amministrazione e sede operativa
Via Onorato Vigliani, 123
10127 Torino
Telefono 011 3828344
Telefax 011 3801803

info@netics.it
http://www.netics.it