Il cloud computing: luci, ombre e contraddizioni

di Alessandro Capezzuoli, funzionario ISTAT e responsabile
osservatorio dati professioni e competenze Aidr

Negli anni ‘50, George Brassens scrisse una canzone intitolata Le
gorille in cui, attraverso una brillante metafora, riuscì a descrivere
con ironia e lucidità un concetto molto caro ai filosofi già dai tempi
di Aristotele: la differenza tra idea e azione. Proprio come nella
canzone, anche nella vita quotidiana capita spesso di trovarsi in
situazioni contraddittorie nelle quali si manifesta palesemente
l’incapacità di passare dall’idea all’azione.Attraverso le parole si
possono compiere degli azzardi che in molti casi restano tali e non
vengono compiuti a causa di impossibilità oggettive o sottovalutazioni
di qualche tipo. Questa mancanza di coerenza il più delle volte crea
negli altri prima enormi aspettative e poi enormi delusioni. Per
affrontare con serenità la trasformazione digitale nel settore
pubblico, bisogna essere disposti a fare i conti con le aspettative
esagerate riposte nella tecnologia ed essere preparati alle enormi
delusioni conseguenti alla loro adozione (o non adozione). Tra le
innumerevoli anomalie digitali in cui si esercita l’incoerenza ci sono
sicuramente le questioni relative al cloud. Nel Piano Triennale per
l’Informatica, pubblicato dall’AGID e consultabile all’indirizzo
https://www.agid.gov.it/it/infrastrutture/cloud-pa, il cloud riveste
un ruolo talmente rilevante da prevedere una strategia di
qualificazione per le PA e un programma di razionalizzazione che
rispetti i seguenti principi:

● miglioramento dei livelli di servizio, accessibilità, usabilità e sicurezza;
● interoperabilità dei servizi nell’ambito del modello Cloud della PA;
● riduzione del rischio di «vendor lock-in», ossia creazione di un
rapporto di dipendenza col fornitore del servizio;
● riqualificazione dell’offerta, ampliamento e diversificazione del
mercato dei fornitori;
● resilienza, scalabilità, «reversibilità» e protezione dei dati;
● apertura del mercato alle Piccole e Medie Imprese (PMI).

L’adozione dell’infrastruttura cloud consente, infatti, – dichiara
l’AGID nel sito istituzionale – di migliorare l’efficienza operativa
dei sistemi ICT, di conseguire significative riduzioni di costi, di
rendere più semplice ed economico l’aggiornamento dei software, di
migliorare la sicurezza e la protezione dei dati e di velocizzare
l’erogazione dei servizi a cittadini e imprese.
Sulla carta, il ragionamento è ineccepibile e fornisce una linea
strategica da seguire per migliorare considerevolmente la
digitalizzazione (e l’organizzazione) del Paese. Dov’è, dunque, la
differenza tra la bontà dell’idea e l’applicabilità dell’azione? La
risposta non è banale ed è da ricercarsi nella concezione feudale e
autoreferenziale ancora imperanti in numerose PA. Innanzi tutto, vale
la pena precisare che la parola cloud, benché si presti molto bene al
qualunquismo tipico dei convegni, nasconde alcune insidie pericolose a
causa del suo significato ampio e generico a cui è necessario dare una
contestualizzazione.In Italia, esistono oltre 11.000 data center, e
più di 160.000 database il cui costo complessivo ammonta a circa due
miliardi di euro, a fronte dei 5,8 miliardi spesi nella per il settore
ICT pubblico. In termini pratici, questo si traduce in fiumi di
risorse spese, anche se sarebbe più corretto scrivere sperperate, in
appalti e subappalti, in consulenze e acquisti di prodotti, che
alimentano un mercato paludoso da cui i cittadini, gli azionisti di
maggioranza di quei fondi, hanno dei ritorni molto esigui. Gli
undicimila data center, a loro volta, erogano servizi pubblici in
cloud a 22.000 piccole istituzioni attraverso un “non sistema” privo
di governance e totalmente frammentato in termini di affidabilità e di
sicurezza. Parlare genericamente di servizi e di affidabilità, però,
non aiuta i lettori nella comprensione dell’articolo, quindi è
necessario precisare alcuni aspetti tecnici. Quando si parla di
servizi in cloud, in generale si fa riferimento a una piramide
suddivisa in tre parti “Infrastruttura, piattaforma e software”.

Sulla base di questa suddivisione, l’erogazione dei servizi viene
classificata con uno schema rappresentato dalla tabella sottostante.

La prima colonna, interamente azzurra, rappresenta il flusso della
gestione tradizionale dell’ICT di un’organizzazione. Le celle di
colore blu identificano i servizi cloud a cui è possibile fare
ricorso. L’ultima colonna rappresenta il flusso di una gestione
dell’IT totalmente in cloud. Gli acronimi a cui si fa riferimento
nello schema, IaaS, PaaS e SaaS, descrivono differenti tipologie di
cloud.

Una soluzione IaaS (Infrastructure as a Service) prevede la gestione
esterna dell’infrastruttura (i server fisici, la rete, la
virtualizzazione, lo storage dati, etc). L’utente può gestire i
sistemi operativi, le applicazioni e il middleware attraverso delle
API, demandando al fornitore le questioni riguardanti l’hardware, la
connettività, i disservizi, gli adeguamenti tecnologici e la
risoluzione dei problemi.
La tipologia PaaS (Platform as a Service) include, oltre
all’infrastruttura, un ulteriore livello di software applicativo
costituito da piattaforme di sviluppo o di solution stack. Questa
soluzione fornisce un ambiente adatto agli sviluppatori e ai
programmatori, che possono avere a disposizione piattaforme e
strumenti di condivisione in cloud, come previsto dalla metodologie
DevOps, senza l’onere della gestione dell’infrastruttura. Infine, la
soluzione SaaS (Software as a Service) fornisce agli utenti una o più
applicazioni software “pronte all’uso”, che si possono utilizzare
attraverso dashboards, API o interfacce web. In questo caso, gli oneri
di gestione si limitano alle attività generiche di manutenzione quali
possono essere gli aggiornamenti software o la correzione dei bug. A
completare questo scenario, ci sono le proprietà intrinseche dei
cloud, che possono essere pubblici, privati o ibridi. Tralasciando
l’approfondimento di quest’ultimo aspetto, che introdurrebbe un
ulteriore grado di complessità, è bene soffermarsi su quali siano i
reali fabbisogni di una PA, anche in funzione delle dimensioni, delle
risorse umane e dei processi interni all’organizzazione. È evidente
che non esiste una soluzione in assoluto migliore delle altre, ma
esiste una soluzione che si adatta meglio alle diverse realtà
organizzative. Ci sono PA che non hanno risorse umane in grado di
gestire le infrastrutture, e quindi devono per forza orientarsi sulla
scelta di servizi SaaS, e PA che hanno personale diversificato con
differenti capacità di garantire un certo livello di affidabilità
nell’erogazione dei servizi. Ovviamente, l’adozione di una soluzione
non ne esclude altre: si possono scegliere cloud diversi per esigenze
diverse. Per esempio, si può scegliere un servizio SaaS per gestire la
posta elettronica e un cloud PaaS per gestire lo sviluppo software.
Come molto spesso accade, però, i problemi non riguardano quasi mai la
tecnologia ma la sua applicazione in quei contesti lavorativi troppo
ingessati da regole sociali non scritte che privilegiano il
clientelismo e i favoritismi. In un recente rapporto dell’AGID
riguardante il patrimonio ICT di 990 PA emerge che il 35,4% degli enti
non intende ricorrere all’utilizzo del cloud computing, il 22,2% lo
prevede e il 42,4% utilizza un qualche tipo di servizio. I servizi
cloud più utilizzati sono quelli di tipo privato (40,2%) e le
tipologie prevalenti sono SaaS (49,1%) e IaaS (34,8%). I servizi
software maggiormente richiesti riguardano la posta elettronica,
l’hosting, la gestione documentale, l’archiviazione dei file, il
protocollo Informatico e la gestione del personale (paghe e presenze).
Nonostante gli evidenti vantaggi in termini di affidabilità, di
scalabilità, di sicurezza e di risparmio economico, e nonostante i
desiderata del fu Team Digitale, che ambiva a ridurre i data center a
pochi poli nazionali, le resistenze della PA all’adozione di soluzioni
cloud computing sono ancora molte. In molti casi, l’esigenza di avere
un data center in house è giustificata, in parte, da questioni legate
alla specificità di alcuni processi e al rispetto della normativa
sulla privacy (normativa di cui moriremo, prima o poi…), che incute
agli amministratore degli enti una paura folle di incorrere in
possibili sanzioni da parte del Garante e li induce ad applicare
misure che sfidano la ragione e rendono difficile condurre qualsiasi
tipo di attività lavorativa . C’è da dire, però, che queste situazioni
sono spesso circoscritte ad alcuni processi interni ben definiti e che
difficilmente rappresentano esigenze “strutturali” di mantenimento,
per esempio, della gestione di un servizio di posta elettronica. Le
cause della resistenza al cloud sono numerose, ma una di esse è ben
identificabile ed è riconducibile all’esercizio del potere conseguente
alla gestione delle risorse economiche stanziate per l’IT. Non bisogna
dimenticare che le risorse economiche non sono di chi le gestisce, ma
dei cittadini che le finanziano: a loro bisogna rendere conto delle
spese e dei risultati. I dati prodotti dalle istituzioni non sono di
chi li produce, ma appartengono alla comunità: tra l’idea di open data
e l’applicazione dell’open data, però, c’è di mezzo il senso della
proprietà privata dei dati, che ostacola ogni forma di condivisione.
C’è di mezzo la paura che i dati possano essere usati per far emergere
verità diverse da quelle prestabilite o che possano portare un qualche
tipo di profitto a chi ne fa un uso differente. L’idea di rendere
pubblici i dati attraverso un cloud accessibile è condivisa da tutti…
purché resti un’idea. I servizi erogati non godono di un destino
diverso: spesso sono finalizzati alle carriere del personale e la loro
suddivisione o frammentazione alimenta conflitti interni e
delimitazioni di aree di competenza che penalizzano fortemente il
benessere collettivo. È innegabile che l’IT sia diventata centrale in
tutte le attività svolte nella PA e che l’interruzione di un servizio
informatico si ripercuota quasi sempre sull’erogazione di un servizio
pubblico o sull’interruzione di un processo produttivo… specialmente
quando il processo è vincolato a sovrastrutture di marxiana memoria.
In questo scenario, il ruolo del manager IT riveste un ruolo
fondamentale: non bastano competenze e capacità organizzative, bisogna
reprimere la tentazione di cedere al delirio di onnipotenza, agli
scarichi di responsabilità, alle questioni personali con i dirigenti
delle altre aree produttive, agli interessi personali e ai
clientelismi a diversi livelli. La differenza tra idea e azione, nel
caso della trasformazione digitale, non c’entra nulla con le questioni
tecnologiche o con la scelta di un cloud IaaS piuttosto che PaaS, ma è
più che altro subordinata alla cultura lavorativa. C’entra con la
dignità, con la coscienza e col senso di responsabilità dei
lavoratori: tutte questioni strettamente collegate a un problema
culturale che tende a confondere, a tutti i livelli, il senso del
dovere col senso del potere. In ogni PA esistono picchi di eccellenza
ed esempi virtuosissimi di professionalità e responsabilità, che non a
caso provengono da quei lavoratori intellettualmente liberi, curiosi e
indipendenti, quei lavoratori che, in silenzio, fanno funzionare le
cose e che spesso affrontano condizioni lavorative deprimenti e
raggiungono i risultati non tanto “grazie” all’amministrazione che li
rappresenta, ma “nonostante” l’amministrazione che rappresentano”. Non
sarà il cloud a salvare la Pubblica Amministrazione, saranno i lavoratori.

Rispondi