• Cloud, Normative, Sicurezza, Sistemi Operativi
• 12 Giugno 2025

Dal 1 agosto 2024 si applica il Regolamento per le infrastrutture digitali e per i servizi cloud per la Pubblica Amministrazione adottato dall’Agenzia per la cybersicurezza nazionale (ACN), con Decreto Direttoriale n. 21007/24 del 27 giugno 2024, d’intesa con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri.

Il Regolamento unico armonizza il quadro regolatorio vigente e definisce le misure tecnico-organizzative e le modalità di qualificazione e adeguamento di servizi e infrastrutture cloud, chiarendo in particolare:

• le modalità per la classificazione, per la migrazione e per la qualificazione dei servizi cloud, di cui la PA può approvvigionarsi ricorrendo al libero mercato;
• le misure e i requisiti per il raggiungimento dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA;
• le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud per la PA.

Il Regolamento norma anche l’utilizzo delle infrastrutture di housing e i servizi di prossimità (cosiddetti “edge computing”).

Di seguito analizzeremo quali sono gli impatti del Regolamento Cloud per la PA sulle infrastrutture digitali esistenti della Pubblica Amministrazione, con particolare attenzione alle pubbliche amministrazioni locali (individuate dall’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196) dove spesso vi sono Centri di Elaborazione Dati (CED), atti alla erogazione di servizi interni alle amministrazioni e servizi erogati esternamente dalle amministrazioni.

L’obbiettivo dell’articolo è fornire un’analisi del Regolamento Cloud per la PA e di comprendere quali adempimenti in materia di Infrastrutture digitali sono chiamate a rispettare le pubbliche amministrazioni locali che fanno uso di un proprio CED nel rispetto del Regolamento Cloud per la PA adottato da ACN e delle normative vigenti.

Evoluzione della normativa verso l’adozione del Regolamento Cloud per la PA da parte di ACN

In base all’Articolo 33-septies, comma 1-bis, del decreto-legge 18 ottobre 2012, n. 179 per garantire la qualità, la sicurezza, la scalabilità, l’efficienza energetica, la sostenibilità economica e la continuità operativa dei sistemi e dei servizi digitali le amministrazioni locali sono obbligate a migrare i loro Centri per l’elaborazione delle informazioni (CED) e i relativi sistemi informatici privi delle caratteristiche previste dal Regolamento Cloud per la PA, nel rispetto dei principi di efficienza, efficacia ed economicità dell’azione amministrativa.

Per quanto riguarda la definizione di CED è possibile fare rifermento all’Articolo 33-septies, comma 2, del decreto-legge 18 ottobre 2012, n. 179 che questo termine intende un sito che ospita uno o più sistemi informatici atti alla erogazione di servizi interni alle amministrazioni pubbliche e servizi erogati esternamente dalle amministrazioni pubbliche che al minimo comprende risorse di calcolo, apparati di rete per la connessione e sistemi di memorizzazione di massa.

La qualificazione delle infrastrutture digitali e dei servizi cloud per la Pubblica Amministrazione è di competenza dell’Agenzia per la cybersicurezza nazionale (ACN), che è subentrata all’Agenzia per l’Italia digitale (AGID) il 19 gennaio 2023 ai sensi dell’Articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221. Per una panoramica dell’evoluzione normativa che ha portato al regolamento adottato da ACN si veda la Figura 1.

Figura 1: Storico degli interventi regolatori abrogati dal “Regolamento Cloud per la PA”, d.dir. ACN n. 21007/24 del 27 giugno 2024.

In base all’Articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, il Regolamento Cloud per la PA adottato da ACN stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione, definisce le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione, individua i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni e le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione.

Classificazione dei dati e dei servizi digitali della pubblica amministrazione

L’Italia è tra i primi Paesi europei ad adottare un modello di classificazione di dati e servizi della PA rappresenta un passaggio fondamentale per il processo di migrazione delle PA italiane verso il cloud, previsto dalla Strategia Cloud Italia.

L’Articolo 3 del Regolamento Cloud per la PA impone alle pubbliche amministrazioni di predisporre e aggiornare un elenco dei propri dati e dei propri servizi digitali, comprensivo di tutti gli elementi necessari alla loro caratterizzazione ai fini della relativa classificazione nelle seguenti tre classi:

• ordinari: se la loro compromissione non determina i pregiudizi alla sicurezza nazionale e al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
• critici: se la loro compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
• strategici: se la loro compromissione può determinare un pregiudizio alla sicurezza nazionale.

La classificazione dei dati e dei servizi digitali da parte della pubblica amministrazione è di fondamentale importanza in quanto i servizi digitali non ancora classificati non possono essere resi disponibili agli utenti finali.

Le modalità, rese disponibili sulla piattaforma digitale, per la predisposizione e l’aggiornamento dell’elenco e della classificazione dei dati e dei servizi digitali, nonché per la trasmissione all’ACN, sono definite nell’Allegato 1 del Regolamento Cloud della PA, l’ACN aggiorna tali modalità, su base periodica, almeno una volta ogni due anni (a riguardo si veda anche l’Articolo 4 del Regolamento Cloud per la PA, la comunicazione Classificazione dati e servizi per avviare la migrazione al cloud della PA – ACN e la sezione del sito di ACN dedicata alla Qualificazione e adeguamento – ACN).

Le amministrazioni, in base all’Articolo 5 del Regolamento Cloud per la PA, sono tenute ad aggiornare l’elenco e la classificazione dei dati e dei servizi digitali e a trasmetterli all’ACN tramite la piattaforma digitale con le modalità indicate nell’nell’Allegato 1 del Regolamento Cloud della PA, almeno una volta ogni due anni o in presenza dei dati e dei servizi digitali ulteriori rispetto a quelli già oggetto di trasmissione e classificazione, nonché a seguito dell’aggiornamento delle modalità da parte di ACN. Quest’ultima fornisce riscontro circa la conformità dell’elenco e della classificazione dei dati e dei servizi digitali entro novanta giorni dalla sua ricezione salvo proroghe, come indicato nell’Articolo 5 del Regolamento Cloud per la PA.

Adeguamento delle infrastrutture digitali per le pubbliche amministrazioni ai livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità

La pubblica amministrazione, dopo aver classificato i propri dati e servizi digitali, ai sensi dell’Articolo 7 del Regolamento Cloud della PA, deve rispettare nelle infrastrutture digitali e nelle infrastrutture dei servizi cloud livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità definiti nell’Allegato 2 del Regolamento Cloud della PA.

In particolare, per trattare i dati e i servizi digitali classificati, quali:

• ordinari, le infrastrutture digitali per le pubbliche amministrazioni e le infrastrutture dei servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alla sezione 2 dell’Allegato 2;
• critici, le infrastrutture digitali per le pubbliche amministrazioni e le infrastrutture dei servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alle sezioni 2 e 3 dell’Allegato 2;
• strategici, le infrastrutture digitali per le pubbliche amministrazioni e le infrastrutture dei servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alle sezioni 2, 3 e 4 dell’Allegato 2.

Analogamente, ai sensi dell’Articolo 8 del Regolamento Cloud della PA, i servizi cloud per le pubbliche amministrazioni devono possedere le caratteristiche di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità definite nell’Allegato 3 del Regolamento Cloud della PA.

In particolare, per trattare i dati e i servizi digitali classificati, quali:

• ordinari, i servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alla sezione 2 dell’Allegato 3;
• critici, i servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alle sezioni 2 e 3 dell’Allegato 3;
• strategici, i servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alle sezioni 2, 3 e 4 dell’Allegato 3.

Migrazione dei dati e dei servizi digitali della pubblica amministrazione

Nel caso i Centri per l’Elaborazione delle Informazioni (CED) e i relativi sistemi informatici siano privi dei requisiti fissati dal Regolamento Cloud della PA, in base all’Articolo 33-septies, comma 1-bis, del decreto-legge 18 ottobre 2012, n. 179 e all’Articolo 9 del Regolamento Cloud della PA, le amministrazioni locali, nel rispetto dei principi di efficienza, efficacia ed economicità dell’azione amministrativa, devono migrare i loro Centri per l’Elaborazione delle Informazioni (CED) e i relativi sistemi informatici verso infrastrutture in possesso dei requisiti fissati dal Regolamento, in alternativa, possono migrare i propri servizi verso soluzioni cloud nel rispetto di quanto previsto dal Regolamento.

Per quanto riguarda le modalità per la predisposizione e aggiornamento del piano di migrazione dei dati e dei servizi digitali, come indicato nell’Articolo 10 del Regolamento Cloud della PA, occorre fare riferimento al modello adottato dal Dipartimento per la trasformazione digitale, d’intesa con l’ACN, reso disponibile sulla piattaforma digitale e tramite i canali di comunicazione del Dipartimento per la trasformazione digitale.

Come indicato nell’Articolo 11 del Regolamento Cloud della PA
i piani di migrazione tramessi dalle amministrazioni al Dipartimento per la trasformazione digitale e all’AgID, mediante la piattaforma dedicata messa a disposizione dallo stesso Dipartimento per la trasformazione digitale, saranno utilizzati anche ai fini della verifica degli obblighi previsti dall’Articolo 33-septies del decreto-legge 18 ottobre 2012, n. 179.

Le amministrazioni dovranno completare le attività previste dal piano di migrazione trasmesso entro il 30 giugno 2026.

Il Dipartimento per la trasformazione digitale, anche avvalendosi di AGID, riscontra la conformità dei piani di migrazione entro sessanta giorni dalla data della sua ricezione salvo proroghe. Nell’ambito delle attività di migrazione, le pubbliche amministrazioni possono trattare i propri dati e servizi con le infrastrutture ed i servizi cloud già in uso fino al completamento della migrazione, in caso di piano di migrazione convalidato e, comunque, non oltre il 30 giugno 2026.

Livelli di adeguamento delle infrastrutture digitali, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e qualificazione dei servizi cloud per le pubbliche amministrazioni

Per quanto riguarda i requisiti di adeguamento delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e la qualificazione dei servizi cloud per le pubbliche amministrazioni è possibile fare riferimento al CAPO V del Regolamento Cloud della PA che individua quattro livelli (AI1, AI2, AI3 e AI4) per le infrastrutture digitale per le pubbliche amministrazioni, quattro livelli (AC1, AC2, AC3 e AC4) per i servizi cloud erogati da un soggetto pubblico, da società in house o da società a controllo pubblico e quattro livelli (QC1, QC2, QC3 e QC4) per i servizi cloud erogati da fornitori diversi da un soggetto pubblico, da società in house o da società a controllo pubblico.

I livelli di adeguamento delle infrastrutture digitali e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni, come indicato nell’Articolo 12 del Regolamento Cloud della PA, sono descritti nell’Allegato 4 del Regolamento Cloud della PA:

• il livello 1 (AI1) deve rispettare i requisiti elencati nella sezione 6 dell’Allegato 4;
• il livello 2 (AI2) deve rispettare i requisiti elencati nella sezione 7 dell’Allegato 4;
• il livello 3 (AI3) deve rispettare i requisiti elencati nella sezione 8 dell’Allegato 4;
• il livello 4 (AI4) deve rispettare i requisiti elencati nella sezione 9 dell’Allegato 4.

I dati e i servizi digitali classificati quali:

• ordinari possono essere erogati tramite infrastrutture digitali o infrastrutture dei servizi cloud per le pubbliche amministrazioni accreditate nell’ambito delle tipologie AI1, AI2, AI3 o AI4;
• critici possono essere erogati tramite infrastrutture digitali o infrastrutture dei servizi cloud per le pubbliche amministrazioni accreditate nell’ambito delle tipologie AI2, AI3 o AI4;
• strategici possono essere erogati tramite infrastrutture digitali o infrastrutture dei servizi cloud per le pubbliche amministrazioni accreditate nell’ambito delle tipologie AI3 o AI4.

Come indicato nell’Articolo 13 e 14 del Regolamento Cloud della PA, a seguito delle attività di adeguamento, gli operatori di infrastrutture digitali e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni sottoscrivono e trasmettono all’ACN una relazione di conformità ai livelli minimi e ai requisiti, predisposta sulla base del modello reso disponibile sulla piattaforma digitale. Salvo motivata richiesta di non pubblicazione dell’operatore di infrastrutture digitali, soggetta alla valutazione dell’ACN, l’infrastruttura digitale per le pubbliche amministrazioni viene pubblicata nel Catalogo delle Infrastrutture digitali e dei Servizi cloud per le pubbliche amministrazioni, con l’indicazione “infrastruttura digitale adeguata”.

Il Catalogo delle Infrastrutture digitali e dei Servizi cloud, reso disponibile sulla piattaforma digitale, è quindi aggiornato dall’ACN entro trenta giorni dalla ricezione della relazione di conformità salvo necessità di richieste da parte di ACN di modifiche ed integrazioni della relazione che presenti carenze formali.

I livelli di adeguamento dei servizi cloud per le pubbliche amministrazioni erogati da un soggetto pubblico, da società in house o da società a controllo pubblico, come indicato nell’Articolo 15 del Regolamento Cloud della PA, sono descritti nell’Allegato 4 del Regolamento Cloud della PA:

• il livello 1 (AC1) deve rispettare i requisiti elencati nella sezione 2 dell’Allegato 4;
• il livello 2 (AC2) deve rispettare i requisiti elencati nella sezione 3 dell’Allegato 4;
• il livello 3 (AC3) deve rispettare i requisiti elencati nella sezione 4 dell’Allegato 4;
• il livello 4 (AC4) deve rispettare i requisiti elencati nella sezione 5 dell’Allegato 4.

I dati e i servizi digitali classificati quali:

• ordinari possono essere erogati tramite servizi cloud adeguati nell’ambito delle tipologie AC1, AC2, AC3 o AC4;
• critici possono essere erogati tramite servizi cloud adeguati nell’ambito delle tipologie AC2, AC3 o AC4;
• strategici possono essere erogati tramite servizi cloud adeguati nell’ambito delle tipologie AC3 o AC4.

Come indicato nell’Articolo 16 del Regolamento Cloud della PA, a seguito delle attività di adeguamento, fornitori dei servizi cloud per le pubbliche amministrazioni sottoscrivono e trasmettono all’ACN una relazione di conformità ai livelli minimi e ai requisiti, predisposta sulla base del modello reso disponibile sulla piattaforma digitale. Salvo motivata richiesta di non pubblicazione del fornitore di servizi cloud, soggetta alla valutazione dell’ACN, il servizio cloud per le pubbliche amministrazioni viene pubblicato nel catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l’indicazione “servizio cloud per le pubbliche amministrazioni adeguato“.

Il Catalogo delle Infrastrutture digitali e dei Servizi cloud, reso disponibile sulla piattaforma digitale, è quindi aggiornato dall’ACN entro trenta giorni dalla ricezione della relazione di conformità salvo necessità di richieste da parte di ACN di modifiche e integrazioni della relazione che presenti carenze formali.

I livelli di adeguamento dei servizi cloud per le pubbliche amministrazioni erogati da fornitori diversi da soggetti pubblici, società in house o società a controllo pubblico, come indicato nell’Articolo 17 del Regolamento Cloud della PA, sono descritti nell’Allegato 4 del Regolamento Cloud della PA:

• il livello 1 (QC1) deve rispettare i requisiti elencati nella sezione 2 dell’Allegato 4;
• il livello 2 (QC2) deve rispettare i requisiti elencati nella sezione 3 dell’Allegato 4;
• il livello 3 (QC3) deve rispettare i requisiti elencati nella sezione 4 dell’Allegato 4;
• il livello 4 (QC4) deve rispettare i requisiti elencati nella sezione 5 dell’Allegato 4.

I dati e i servizi digitali classificati quali:

• ordinari possono essere erogati tramite servizi cloud accreditati nell’ambito delle tipologie QC1, QC2, QC3 o QC4;
• critici possono essere erogati tramite servizi cloud accreditati nell’ambito delle tipologie QC2, QC3 o QC4;
• strategici possono essere erogati tramite servizi cloud accreditati nell’ambito delle tipologie QC3 o QC4.

A seguito delle attività di adeguamento, in base all’Articolo 18 del Regolamento Cloud della PA, i fornitori diversi da soggetti pubblici, società in house o società a controllo pubblico sottoscrivono e trasmettono telematicamente le domande di qualificazione e quelle di promozione con le informazioni necessarie, la documentazione a corredo, laddove richiesto, e le modalità indicate sulla piattaforma digitale.

Come indicato nell’Articolo 19 del Regolamento Cloud della PA entro sessanta giorni, salvo proroghe, dalla ricezione di una domanda di qualificazione da parte di un soggetto richiedente, l’ACN verifica la conformità ai requisiti previsti per i livelli di qualificazione e ai livelli minimi in relazione alla tipologia di qualificazione richiesta. Al termine della verifica di conformità, l’ACN comunica, entro quindici giorni, al soggetto richiedente il rigetto, il rilascio con condizioni motivate o il rilascio senza condizioni della qualificazione del servizio cloud.

La qualificazione ha una durata massima pari a trentasei mesi. L’ACN pubblica il servizio cloud per le pubbliche amministrazioni nel Catalogo delle Infrastrutture digitali e dei Servizi cloud per le pubbliche amministrazioni, con l’indicazione “servizio cloud per le pubbliche amministrazioni qualificato con condizioni” oppure “servizio cloud per le pubbliche amministrazioni qualificato“. Il catalogo, reso disponibile sulla piattaforma digitale, è aggiornato dall’ACN entro quindici giorni dal termine della verifica di conformità. Tenuto conto dei termini di conclusione del procedimento di qualifica, ove sia necessario rinnovare la qualificazione di un servizio cloud, le relative istanze sono presentate novanta giorni prima della scadenza della stessa qualifica secondo le medesime modalità previste nel presente nell’Articolo 19 del Regolamento Cloud della PA. L’ACN, in questo caso, potrà autorizzare il soggetto richiedente ad operare in continuità fino alla data di conclusione del procedimento di rinnovo. Il soggetto richiedente informa di tale periodo di transizione e del procedimento in corso i soggetti con i quali intende stipulare contratti connessi all’applicazione del Regolamento Cloud della PA.

Per semplicità si veda la Figura 3 in cui sono descritte graficamente le correlazioni tra la classificazione dei dati e servizi digitali e i livelli di adeguamento per le infrastrutture digitali e i servizi cloud suddividendo tra fornitori/operatori pubblici e privati.

Figura 2: Classificazione dei dati e i servizi digitali e livelli di adeguamento per le infrastrutture e i servizi cloud.

Monitoraggio delle infrastrutture digitali, delle infrastrutture dei servizi cloud e dei servizi cloud per le pubbliche amministrazioni

Successivamente all’adeguamento o al rilascio delle qualifiche, l’ACN, ai sensi dell’Articolo 20 del Regolamento Cloud della PA, può effettuare verifiche per accertare il possesso e il mantenimento dei requisiti. Nel caso dovessero emergere profili relativi al mancato rispetto dei requisiti prescritti l’ACN richiede, prima dell’avvio delle procedure di revoca, all’operatore di infrastrutture digitali o al fornitore di servizi cloud di garantire il rispetto dei requisiti previsti dal Regolamento Cloud della PA entro quarantacinque giorni dalla stessa richiesta a meno di specifiche esigenze per le quali sia necessario prevedere un termine diverso. A seguito della richiesta e fino al positivo accertamento, da parte dell’ACN, dell’avvenuto adempimento della stessa, l’operatore di infrastrutture digitali o il fornitore di servizi cloud ha l’obbligo di comunicare, ai soggetti con i quali ha già in essere o con i quali intende stipulare contratti connessi all’applicazione del Regolamento Cloud della PA, di essere sottoposto a verifica da parte dell’ACN. Durante il periodo di verifica l’operatore garantisce comunque la continuità delle prestazioni previste dai contratti in essere.

Revoca della qualifica e dichiarazione di inadeguatezza

Nel caso di inadempimento da parte dell’operatore di infrastrutture digitali o del fornitore di servizi cloud del rispetto dei requisiti previsti dal Regolamento Cloud della PA, l’ACN, ai sensi dell’Articolo 21 del Regolamento Cloud della PA, dispone la revoca della qualificazione oppure dichiara l’inadeguatezza dell’infrastruttura digitale per le pubbliche amministrazioni, dell’infrastruttura per i servizi cloud per le pubbliche amministrazioni o del servizio cloud per le pubbliche amministrazioni. Contestualmente alla revoca o alla dichiarazione di inadeguatezza, l’ACN contrassegna l’infrastruttura digitale per le pubbliche amministrazioni, l’infrastruttura per i servizi cloud per le pubbliche amministrazioni o il servizio cloud per le pubbliche amministrazioni pubblicata sul catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l’indicazione “infrastruttura/servizio inadeguato” oppure “qualificazione revocata“. I provvedimenti di revoca e le dichiarazioni di inadeguatezza sono anche pubblicati sulla piattaforma digitale.

L’operatore di infrastrutture digitali e il fornitore di servizi cloud, a seguito della revoca o della dichiarazione di inadeguatezza devono:

• informare, senza ritardo, dell’intervenuta revoca o dichiarazione di inadeguatezza le eventuali amministrazioni clienti;
• supportare le eventuali amministrazioni clienti nelle attività di migrazione verso altro operatore di infrastruttura digitale o fornitore di servizi cloud, scelto dalla medesima amministrazione cliente, garantendo un’agevole esportazione dei dati e fornendo la piena collaborazione per l’instaurazione dei flussi di comunicazione e migrazione verso l’infrastruttura del nuovo fornitore, per il trasferimento automatico dei dati e dei servizi previsti;
• eliminare definitivamente, all’esito della positiva migrazione, tutti i dati dell’amministrazione eventualmente memorizzati o ancora nella propria disponibilità.

Le amministrazioni, in caso di intervenuta revoca o dichiarazione di inadeguatezza, possono continuare a fruire del servizio revocato per un periodo massimo di sei mesi decorrenti dalla data di revoca o dalla dichiarazione di inadeguatezza, eventualmente prorogabili.

Sintetizzando si può affermare che Il Regolamento Cloud della PA, introduce quindi la differenziazione tra:

• la qualifica dei servizi cloud erogati da fornitori privati, che prevede una verifica di conformità ex-ante a cui fa seguito la pubblicazione della relativa scheda sul catalogo ACN;
• l’adeguamento delle infrastrutture (a prescindere dalla natura del soggetto responsabile) e dei servizi erogati da operatori pubblici, basata sulla dichiarazione di conformità inviata ad ACN rispetto ai requisiti previsti.

In entrambi i casi, è prevista una fase di monitoraggio ex-post nel periodo di validità della qualifica e dell’adeguamento (36 mesi), grazie alla quale ACN può verificare il mantenimento dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione.

Per uno schema riassuntivo dei processi di adeguamento e qualifica si veda la Figura 4.

Figura 3: Processi di Adeguamento e Qualifica di Infrastrutture digitali e Servizi cloud.

Mancato rispetto del Regolamento Cloud della PA

Come indicato nell’Articolo 23 del Regolamento Cloud della PA, l’ACN, in tutti i casi in cui rilevi il mancato rispetto, da parte delle Amministrazioni, delle previsioni del Regolamento, segnala la violazione riscontrata all’Agenzia per l’Italia digitale (AgID) in applicazione dell’Articolo 33-septies, comma 4-quinquies, del decreto-legge 18 ottobre 2012, n. 179.

La violazione degli obblighi previsti dall’Articolo 33-septies, comma 4-quinquies, del decreto-legge 18 ottobre 2012, n. 179 viene quindi accertata dall’AgID ed è punita ai sensi dell’Articolo 18-bis del decreto legislativo 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale).

Riassumendo si può quindi dire che il mancato rispetto del Regolamento Cloud della PA viene rilevato da ACN che segnala le violazioni ad AgID, la quale provvede a punire le violazioni in base a quanto previsto nel Codice dell’amministrazione digitale procedendo ai sensi dell’Articolo 18-bis del decreto legislativo 7 marzo 2005, n. 82:

• l’AgID procede alla contestazione nei confronti del trasgressore, assegnandogli un termine perentorio per inviare scritti difensivi e documentazione e per chiedere di essere sentito;
• L’AgID accertate le violazioni contestate, assegna al trasgressore un congruo termine perentorio, proporzionato rispetto al tipo e alla gravità della violazione, per conformare la condotta agli obblighi previsti dalla normativa vigente, segnalando le violazioni all’ufficio competente per i procedimenti disciplinari di ciascuna amministrazione, nonché ai competenti organismi indipendenti di valutazione;
• l’AgID pubblica le segnalazioni su apposita area del proprio sito internet istituzionale;
  
• le violazioni accertate dall’AgID rilevano ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili e comportano responsabilità dirigenziale e disciplinare; ai sensi degli Articoli 21e 55 del decreto legislativo 30 marzo 2001, n. 165;
• in caso di mancata ottemperanza alla richiesta di dati, documenti o informazioni oppure di trasmissione di informazioni o dati parziali o non veritieri oppure se la Pubblica Amministrazione non ottempera all’obbligo di conformare la condotta nei termini stabiliti, l’AgID irroga la sanzione amministrativa pecuniaria nel minimo di euro 10.000 e nel massimo di euro 100.000;
• i proventi delle sanzioni sono versati in apposito capitolo di entrata del bilancio dello Stato per essere riassegnati allo stato di previsione della spesa del Ministero dell’economia e delle finanze a favore per il 50 per cento dell’AgID;
• contestualmente all’irrogazione della sanzione l’AgID segnala la violazione alla struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la transizione digitale che, ricevuta la segnalazione, diffida ulteriormente il soggetto responsabile a conformare la propria condotta agli obblighi previsti dalla disciplina vigente entro un congruo termine perentorio, proporzionato al tipo e alla gravità della violazione, avvisandolo che, in caso di inottemperanza, potranno essere esercitati i poteri sostitutivi del Presidente del Consiglio dei ministri o del Ministro delegato. Decorso inutilmente il termine, il Presidente del Consiglio dei ministri o il Ministro delegato per l’innovazione tecnologica e la transizione digitale, valutata la gravità della violazione, può nominare un commissario ad acta incaricato di provvedere in sostituzione;
• l’AgID, con proprio regolamento, disciplina le procedure di contestazione, accertamento, segnalazione e irrogazione delle sanzioni per le violazioni.

Impatti sui Centri di Elaborazione Dati esistenti delle pubbliche amministrazioni locali del Regolamento Cloud per la PA

Dopo questa lunga, ma necessaria analisi del Regolamento Cloud della PA adottato da ACN vediamo quali sono gli adempimenti a carico di una pubblica amministrazione locale che utilizza un proprio Centro di Elaborazione Dati (CED) per l’erogazione di servizi interni ed esterni all’amministrazione. Ovvero analizzeremo quali sono, di fatto, gli impatti del Regolamento Cloud per la PA sulle infrastrutture digitali esistenti.

Classificazione dei dati e dei servizi digitali

Il primo passo è la classificazione dei dati e dei servizi digitali della pubblica amministrazione e per quanto riguarda i dati e servizi digitali delle PA locali, in linea di massima, possono essere classificati come Ordinari. Infatti, normalmente, la compromissione di dati e servizi gestiti da una pubblica amministrazione locale non provoca l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del paese o per la sicurezza nazionale.

Per quanto riguarda il servizio il servizio di videosorveglianza erogato da alcune PA locali, fonte spesso di alcuni dubbi sul suo inquadramento,
è classificabile come ordinario. Per comprendere il motivo della classificazione come ordinario è possibile fare riferimento al Articolo 1 del decreto-legge 20 febbraio 2017, n. 14 (convertito in legge n.48 del 18 aprile 2017) in cui ritroviamo, tra le altre, le seguenti disposizioni:

• ai sensi dell’Articolo 1 del decreto-legge 20 febbraio 2017, n. 14, si intende per sicurezza integrata l’insieme degli interventi assicurati dallo Stato, dalle Regioni, dalle Province autonome di Trento e Bolzano e dagli enti locali, nonché da altri soggetti istituzionali, al fine di concorrere, ciascuno nell’ambito delle proprie competenze e responsabilità, alla promozione e all’attuazione di un sistema unitario e integrato di sicurezza per il benessere delle comunità territoriali;
• a sensi dell’Articolo 2 del decreto-legge 20 febbraio 2017, n. 14, le competenze in materia di ordine pubblico sono esclusive dello Stato;
• a sensi dell’Articolo 2 del decreto-legge 20 febbraio 2017, n. 14, si intende per sicurezza urbana il bene pubblico che afferisce alla vivibilità e al decoro delle città, da perseguire anche attraverso interventi di riqualificazione e recupero delle aree o dei siti degradati, l’eliminazione dei fattori di marginalità e di esclusione sociale, la prevenzione della criminalità, in particolare di tipo predatorio, la promozione della cultura del rispetto della legalità e l’affermazione di più elevati livelli di coesione sociale e convivenza civile, cui concorrono prioritariamente, anche con interventi integrati, lo Stato, le Regioni e Province autonome di Trento e di Bolzano e gli enti locali, nel rispetto delle rispettive competenze e funzioni;
• ai sensi dell’Articolo 5 del decreto-legge 20 febbraio 2017, n. 14, vengono sottoscritti tra il prefetto ed il sindaco i patti per la sicurezza urbana che, tra i vari obbiettivi, possono prevedere l’installazione di sistemi di videosorveglianza.

Ne consegue che le PA locali hanno competenza in materia di sicurezza urbana o integrata e che l’installazione di sistemi di videosorveglianza viene inquadrato al più nell’ambito della sicurezza integrata, mentre le competenze in materia di ordine pubblico sono esclusive dello Stato. Questo implica che la videosorveglianza erogata da una PA locale non può essere classificata come critica perché tale classificazione è dedicata, tra le altre, alle funzioni di sicurezza pubblica che sono di competenza, come visto precedentemente, dello Stato.

Ai fini della classificazione, le PA potranno usufruire di un apposito modello semplificato, disponibile online sulla piattaforma PA digitale 2026 del Dipartimento per la Trasformazione Digitale, che li supporterà nella classificazione dei propri dati e servizi. Le modalità per la predisposizione, l’aggiornamento dell’elenco e della classificazione dei dati e dei servizi digitali e per la trasmissione all’ACN, sono definite nell’Allegato 1 del Regolamento Cloud della PA.

Le PA sono tenute ad aggiornare l’elenco e la classificazione dei dati e dei servizi digitali e a trasmetterli all’ACN tramite la piattaforma digitale con le modalità indicate nell’nell’Allegato 1 del Regolamento Cloud della PA, almeno una volta ogni due anni o in presenza dei dati e dei servizi digitali ulteriori rispetto a quelli già oggetto di trasmissione e classificazione, nonché a seguito dell’aggiornamento delle modalità da parte di ACN.

Occorre tenere presente che, ai sensi dell’Articolo 3 del Regolamento Cloud per la PA, i servizi digitali non ancora classificati non possono essere resi disponibili agli utenti finali.

Modalità di adeguamento dei Centri di Elaborazione Dati esistenti delle pubbliche amministrazioni locali al Regolamento Cloud per la PA

In base a quanto visto precedentemente una PA locale per adeguare un proprio Centro di Elaborazione Dati ai requisiti al Regolamento Cloud per la PA ha diverse opzioni che non sono esclusive tra loro, ovvero la PA può adottare opzioni divere per dati e dei servizi digitali.

Scendendo nel dettaglio la PA locale può adeguare un proprio Centro di Elaborazione Dati tramite i seguenti approcci:

• adeguamento della propria infrastrutture digitale , ai sensi dell’Articolo 7 del Regolamento Cloud della PA, ai livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità nel rispetto requisiti definiti nell’Allegato 2 del Regolamento Cloud della PA, ovvero dal momento che i dati e servizi digitali delle PA locali, in linea di massima, possono essere classificati come Ordinari occorre rispettare i livelli minimi di cui alla sezione 2 dell’Allegato 2;
• migrazione dei proprio Centro per l’elaborazione delle informazioni (CED) e dei relativi sistemi informatici, ai sensi dell’Articolo 12 del Regolamento Cloud della PA, verso infrastrutture erogate da un soggetto pubblico, da società in house o da società a controllo pubblico in possesso dei requisiti fissati dal Regolamento Cloud della PA e presenti
  sul Catalogo delle Infrastrutture digitali e dei Servizi cloud (salvo motivata richiesta di non pubblicazione approvata da ACN), ovvero dal momento che i dati e servizi digitali delle PA locali, in linea di massima, possono essere classificati come Ordinari tali infrastrutture devono rispettare almeno i requisiti del livello AI1 elencati nella sezione 6 dell’Allegato 4;
• migrazione dei proprio Centro per l’elaborazione delle informazioni (CED) e dei relativi sistemi informatici, ai sensi dell’Articolo 15 del Regolamento Cloud della PA, verso infrastrutture erogate da fornitori diversi da un soggetto pubblico, da società in house o da società a controllo pubblico in possesso dei requisiti fissati dal Regolamento Cloud della PA e presenti
  sul Catalogo delle Infrastrutture digitali e dei Servizi cloud (salvo motivata richiesta di non pubblicazione approvata da ACN), ovvero dal momento che i dati e servizi digitali delle PA locali, in linea di massima, possono essere classificati come Ordinari tali infrastrutture devono rispettare almeno i requisiti del livello AC1 elencati nella sezione 2 dell’Allegato 4;
• migrare i propri servizi digitali, ai sensi dell’Articolo 17 del Regolamento Cloud della PA, verso soluzioni cloud erogate da fornitori diversi da soggetti pubblici, società in house o società a controllo pubblico in possesso dei requisiti fissati dal Regolamento Cloud della PA e presenti
  sul Catalogo delle Infrastrutture digitali e dei Servizi cloud, ovvero dal momento che i dati e servizi digitali delle PA locali, in linea di massima, possono essere classificati come Ordinari tali soluzioni cloud devono rispettare almeno i requisiti del livello QC1 elencati nella sezione 2 dell’Allegato 4.

Per uno schema riassuntivo delle opzioni disponibili per l’adeguamento e la migrazione delle infrastrutture e dei servizi della PA si veda la si veda la Figura 4.

Figura 4:Adeguamento e migrazione delle infrastrutture e servizi della PA.

E’ bene precisare che la PA deve scegliere l’opzione per l’adeguamento e/o la migrazione della propria infrastruttura e dei servizi digitali rispettando i
principi di efficienza, efficacia ed economicità dell’azione amministrativa, previsti dall’Articolo 33-septies, comma 1-bis, del decreto-legge 18 ottobre 2012, n. 179, privilegiando quindi l’opzione più opportuna.

Una volta stabilito come intende adeguare e/o migrare la propria infrastruttura e dei servizi la PA deve predisporre il
piano di migrazione dei dati e dei servizi digitali, come indicato nell’Articolo 10 del Regolamento Cloud della PA, facendo riferimento al modello adottato dal Dipartimento per la trasformazione digitale reso disponibile sulla piattaforma digitale e tramite i canali di comunicazione del Dipartimento per la trasformazione digitale.

Tempistiche da rispettare per l’adeguamento dei Centri di Elaborazione Dati esistenti delle pubbliche amministrazioni locali al Regolamento Cloud per la PA

Le amministrazioni dovranno completare le attività previste dal piano di migrazione trasmesso entro il 30 giugno 2026.

Nell’ambito delle attività di migrazione, le pubbliche amministrazioni possono trattare i propri dati e servizi con le infrastrutture ed i servizi cloud già in uso fino al completamento della migrazione, in caso di piano di migrazione convalidato e, comunque, non oltre il 30 giugno 2026.

Gestione della revoca della qualifica e delle dichiarazioni di inadeguatezza

Nel caso di inadempimento da parte dell’operatore di infrastrutture digitali o del fornitore di servizi cloud del rispetto dei requisiti previsti dal Regolamento Cloud della PA, l’ACN, ai sensi dell’Articolo 21 del Regolamento Cloud della PA, dispone la revoca della qualificazione oppure dichiara l’inadeguatezza dell’infrastruttura digitale, dell’infrastruttura per i servizi cloud per le pubbliche amministrazioni o del servizio cloud.

La PA, in caso di intervenuta revoca o dichiarazione di inadeguatezza, può continuare a fruire del servizio revocato per un periodo massimo di sei mesi decorrenti dalla data di revoca o dalla dichiarazione di inadeguatezza, eventualmente prorogabili.

La PA dovrà essere informata, senza ritardo, dell’intervenuta revoca o dichiarazione di inadeguatezza dall’operatore di infrastrutture digitali e il fornitore di servizi cloud che dovrà anche supportare la PA nelle attività di migrazione verso altro operatore di infrastruttura digitale o fornitore di servizi cloud, scelto dalla PA stessa ed eliminare definitivamente, al completamento della migrazione, tutti i dati della PA memorizzati.

Conclusioni

Il Regolamento Cloud della PA ha l’obbiettivo di definire, armonizzandole in un unico quadro normativo, le misure minime che le infrastrutture come i data center e i servizi cloud devono rispettare per supportare i servizi pubblici. Inoltre, il provvedimento descrive come classificare i dati e i servizi digitali, rappresentando, a seconda del livello di importanza e sensibilità delle informazioni, una guida per le Pubbliche Amministrazioni nella individuazione delle soluzioni cloud da acquisire.

Come dichiarato dal Direttore Generale dell’ACN, Bruno Frattasi, la migrazione al cloud è di per sé una misura organizzativa e tecnica che favorisce una maggiore protezione e sicurezza dei dati che potrà offrire, con l’utilizzo delle tecnologie più avanzate, quali ad esempio l’Intelligenza artificiale, opportunità straordinarie per lo sviluppo digitale del paese.

Sebbene le PA locali che si trovano a dover adeguare un proprio CED possano ritenere gravosa tale attività occorre tenere presente che già nel 2013 l’AgID con la pubblicazione delle Linee Guida per la razionalizzazione dei CED della PA faceva le seguenti considerazioni che sono tutt’ora valide:

“Un piano di razionalizzazione delle infrastrutture IT della Pubblica Amministrazione (PA) implica una visione di lungo periodo, importanti investimenti e un coordinamento che tenga conto delle varie realtà presenti sul territorio; sebbene si tratti di un percorso articolato e non del tutto agevole, i benefici che ne derivano garantiscono un ritorno non solo economico. Semplificare e razionalizzare l’architettura delle infrastrutture IT permette, infatti, di:

1. creare ambienti più sicuri e affidabili;
   
2. tenere sotto controllo con maggiore facilità i costi dell’IT (minori asset da gestire);
   
3. contenere i costi di manutenzione e gestione, inclusi quelli relativi alla componente energetica;
   
4. agevolare l’adozione di soluzioni SOA (Service Oriented Architecture);
   
5. dimensionare in modo più rapido e flessibile le risorse software e hardware per far fronte ad esigenze non prevedibili o non continuative;
   
6. prendere decisioni più consapevoli e pro futuro nella scelta di apparati IT e di software;
   
7. standardizzare l’hardware, le applicazioni software e le modalità stesse di gestione dell’ICT;
   
8. facilitare la cooperazione applicativa tra Amministrazioni.”
   

“La necessità di razionalizzare i CED della PA non deve quindi essere messa in discussione, ma deve essere considerata come un’opportunità da cogliere e da cui non essere esclusi.”