La PA digitale è al sicuro? Gli Enti si raccontano
La digitalizzazione della Pubblica Amministrazione Centrale e Locale è al centro delle diverse fonti di finanziamento previste dal PNRR. La gara per il Polo Strategico Nazionale, ovvero la progettazione, la realizzazione e la gestione dell'infrastruttura per l'erogazione dei servizi cloud per la PA, ha dimostrato che l'accelerazione del digitale, accelerata anche dalla recente pandemia, sta creando nuove condizioni per la migrazione al cloud di tutti gli enti pubblici e il rafforzamento dei data center pubblici. Inoltre, la pandemia ha portato a un ripensamento non solo dell'organizzazione del lavoro per i dipendenti pubblici, ma anche della fruizione dei servizi da parte dei cittadini. Smart Working, SPID, Pago PA e App IO sono diventati di uso comune per ampi settori della popolazione. L'aumento dei servizi digitali e dei dispositivi utilizzati richiede soluzioni performanti in materia di sicurezza informatica poiché la gestione dei dati sensibili per la PA è una priorità per garantire sempre la massima sicurezza.
La sicurezza è un tema estremamente importante ma di difficile soluzione, poiché non esiste una soluzione tecnologica che possa garantire la sicurezza al 100%. La ricerca della sicurezza è quindi un processo continuo che influisce sui processi lavorativi delle Pubbliche Amministrazioni.
Per discutere del tema della sicurezza nelle Pubbliche Amministrazioni e mettere a confronto le esperienze, la rivista Innovazione PA, insieme a Fortinet e Innovery, ha organizzato una tavola rotonda dal titolo "La Pubblica Amministrazione digitale e sicura: esperienze a confronto tra nuovi servizi digitali e modelli di cybersecurity emergenti" presso l'innovation district Kilometro Rosso a Bergamo. L'incontro, moderato da Valerio Imperatori, direttore editoriale di Innovazione PA, ha visto la partecipazione di sindaci di Comuni di media grandezza e altri esponenti della PA, alcuni provenienti dal mondo universitario e da altri enti.
L'obiettivo della tavola rotonda è stato quello di favorire la discussione e il confronto, per far emergere indicazioni utili per coloro che, all'interno della PA, stanno pianificando o si stanno occupando della messa in sicurezza e della protezione dei servizi digitali.
Di seguito le domande proposte durante il dibattito:
1) Com’è cambiata e sta cambiando la percezione della security nella vostra realtà?
2) Per dare connessione sicura a chi è connesso da remoto sono utilizzati tipicamente due differenti modalità: accesso a tutto o accesso a niente. Oggi, grazie all’approccio Zero Trust, è possibile la risposta per realizzare una rete privata virtuale (VPN) dove gli utenti connessi da remoto non hanno accesso all'intera porzione di una rete, si concede, invece, la connessione solo per le applicazioni che devono usare. In questo senso cosa stanno facendo le vostre organizzazioni?
3) Il cloud sta spingendo sempre più gli applicativi e i dati al di fuori del proprio data center. Come state affrontando la sicurezza sul cloud? E il tema della responsabilità condivisa?
Il Sindaco di Rho, Andrea Orlandi, ha raccontato dell'attacco hacker subito dal Comune il 1 aprile 2021, che ha causato un'interruzione dei sistemi a causa di un ransomware. Nonostante l'impatto abbia riguardato principalmente i documenti digitalizzati relativi alle pratiche edilizie cartacee, l'episodio ha spinto il Comune a rivedere la cultura organizzativa e ad investire sulla formazione dei propri dipendenti. Inoltre, ha messo in evidenza la necessità di rivedere la gestione delle risorse economiche e l'individuazione delle priorità, nonché di investire in strumenti di difesa più efficaci. Il Sindaco ha sottolineato l'importanza di considerare il tema della cybersecurity come parte del patrimonio pubblico, ma ha anche evidenziato le difficoltà legate alla privacy dei dati nella Pubblica Amministrazione.
Michela Palestra, Sindaca di Arese: il Comune non ha professionalità interne e si cerca di elaborare una visione strategica internamente, investendo sull'innovazione e sulla formazione del personale. Un problema è la mancanza di interoperabilità tra i diversi applicativi tecnologici, sia all'interno del Comune che nella relazione con enti amministrativi esterni. Il PNRR potrebbe essere un'opportunità, ma manca la possibilità di investire in modo strutturale. Inoltre, il Comune si confronta con la riduzione del personale e la difficoltà di investire in competenze. Sono stati fatti investimenti in progetti pilota sulla polizia locale e sui servizi scolastici, ma si deve ancora affrontare il problema dell'interoperabilità. Il Comune ha già lavorato sullo smart working e può appoggiarsi sulla fibra ottica della Città Metropolitana di Milano. Infine, sono necessarie attività indirizzate anche ai comuni più piccoli che rischiano di rimanere indietro nell'informatizzazione.
Il Sindaco di Varese, Davide Galimberti, si chiede se le Pubbliche Amministrazioni abbiano la cultura necessaria per affrontare le sfide derivanti dalla digitalizzazione. Mentre i Comuni e le province si concentrano principalmente sulla costruzione di infrastrutture, Galimberti afferma che la digitalizzazione e la cyber security dovrebbero essere maggiormente considerate. Anche in campo sanitario si parla molto di digitalizzazione, ma spesso mancano le competenze. Galimberti sottolinea l'importanza di una maggiore consapevolezza e di una migliore condivisione di tematiche, anche tra i cittadini. Inoltre, bisogna fare ancora molto per usare pienamente i dati di cui le Pubbliche Amministrazioni sono in possesso e per garantire l'interoperabilità tra i sistemi informatici dei Comuni. Galimberti sottolinea anche l'importanza della gestione dei dati in relazione alla sicurezza, poiché le PA dovranno gestire una serie di ulteriori dati sensibili in futuro. Infine, per essere competitivi e utilizzare bene gli investimenti del PNRR, servono formazione e aggiornamento costanti.
Giacomo Angeloni, Assessore del Comune di Bergamo e presidente di Bergamo Smart City, parla dei cambiamenti che hanno interessato l'utilizzo dell'informatica nel comune di Bergamo. Egli afferma che grazie alla tecnologia cloud computing, il servizio del CED (Centro Elaborazione Dati) all'interno del comune è diventato superfluo, e che sono necessarie competenze differenti in rapporto alla gestione di un servizio. Inoltre, egli sostiene che le città e le province dovrebbero collaborare per far fronte comune su queste tematiche e condividere le risorse. Angeloni sottolinea anche che la digitalizzazione ha portato a grandi cambiamenti negli ultimi anni, e che gli amministratori pubblici dovrebbero fare un esercizio di confronto quotidiano per rendersi conto dei progressi fatti. In particolare, egli cita come esempio l'istituzione dell'ANPR, l'Anagrafe Nazionale della Popolazione Residente, che ha eliminato la necessità per i comuni di detenere le proprie anagrafi. Angeloni ritiene che il PNRR (Piano Nazionale di Ripresa e Resilienza) sia un'occasione unica per valorizzare l'innovazione e la sicurezza informatica, ma sottolinea anche la mancanza di agevolazioni sulle assunzioni e la limitazione della quota massima di dipendenti dell'ente. Infine, Angeloni propone la collaborazione tra i comuni come una risposta vincente per rimettere in linea un'Italia che procede a due velocità sui temi informatici.
Il Sindaco di Seregno, Alberto Rossi, parla delle sfide che le città di medie dimensioni come la sua devono affrontare nel campo dell'innovazione tecnologica e della formazione continua per il personale pubblico. Sottolinea l'importanza di trovare un equilibrio tra esternalizzazione e internalizzazione dei servizi pubblici, e di aggiornare le persone che hanno lavorato per anni in un comune, ma che devono ora adeguarsi a molte trasformazioni burocratiche e normative. Il sindaco sottolinea anche l'importanza di fare cultura per aiutare le persone a capire che, grazie alle innovazioni, lavoreranno meglio e di sensibilizzare sul tema della sicurezza per contrastare potenziali attacchi hacker. Rossi crede che la collaborazione tra comuni sia fondamentale per creare valore aggiunto e che la formazione continua in area tecnologica sia un fattore chiave per far fronte ai lavoratori del futuro. A tal fine, il comune di Seregno ha recentemente aperto un ITS in collaborazione con la Fondazione Rizzoli per formare specialisti sul cloud e la cyber security.
Michela Pilot, Direttore generale, Università di Bergamo nominata direttore generale dell'Università degli Studi di Bergamo dal 1° marzo 2020, a inizio lockdown, dice che è interessante notare come la transizione al lavoro a distanza abbia richiesto un rapido adeguamento delle infrastrutture tecnologiche dell'università e come la sicurezza dei dati sia stata una priorità in questo processo. È importante che il personale dell'università sia adeguatamente formato e informato sui protocolli di sicurezza dei dati per garantire la protezione delle informazioni sensibili. È anche interessante notare come la risoluzione di queste problematiche richieda un approccio multi-livello e la cooperazione tra diverse aree dell'organizzazione. Infine, è un problema comune nella pubblica amministrazione la difficoltà di attrarre e mantenere personale altamente qualificato a causa di una retribuzione non competitiva rispetto al settore privato. Speriamo che la situazione possa migliorare in futuro.
Graziella Dilli, responsabile ai Sistemi Informativi e Transizione Digitale - Arpa Lombardia
La digitalizzazione ha comportato la revisione dei processi e il cambiamento del modo di operare, richiedendo la formazione e l'affiancamento degli utenti, nonché la crescita delle competenze interne. La digitalizzazione ha consentito alla struttura di affrontare la pandemia senza interrompere le attività e di passare al lavoro da remoto per tutti i dipendenti in modo indolore, grazie all'infrastruttura tecnologica predisposta e alla digitalizzazione dei processi. Il percorso di digitalizzazione è in costante evoluzione e prevede la migrazione in cloud di tutti i servizi, con particolare attenzione alla sicurezza e alla formazione del personale. Infine, l'accesso alle risorse del PNNR faciliterà la realizzazione di importanti progetti.
Giuseppe Vaciago, Avvocato e docente di data ethics e data protection del Politecnico di Torino, sostiene che, nel contesto attuale, la cybersecurity e la compliance sono esigenze sempre più importanti per garantire un uso sicuro dei servizi digitali. Tuttavia, il tema del trasferimento dei dati verso gli Stati Uniti, a seguito del caso Schrems, aggiunge ulteriore complessità quando si parla di cloud, vincolando l'utilizzo di fornitori che rispettino la normativa europea. Vaciago sottolinea anche l'importanza della formazione culturale e tecnologica per affrontare le sfide della sicurezza informatica, soprattutto nelle PA, e la necessità di sensibilizzare i cittadini sui rischi della rete con corsi di cyber security anche a livello familiare. Infine, Vaciago evidenzia l'importanza dei dati sintetici come strumento tecnologico di grande importanza per garantire la sicurezza informatica e per utilizzare i dati in modo anonimo per scopi scientifici e statistici.