PNRR: una strategia per la digitalizzazione?
- 20 Dicembre 2021

PNRR: una strategia per la digitalizzazione?

Scritto da Piercosma Bisconti Lucidi

10 minuti di lettura

Questo contributo fa parte della sezione “Il PNRR in dettaglio visto dalla Next Generation” del numero 2/2021 di Pandora Rivista “Next Generation EU. Leggere il PNRR” – nata da una collaborazione con l’esperienza di “Next Generation Research”, un gruppo di giovani ricercatori e ricercatrici di diverse discipline della Scuola Superiore Sant’Anna e di altre Università. Per maggiori dettagli è possibile leggere l’introduzione a questa sezione, a cura di Francesca Coli e Alessandro Mario Amoroso, che presenta anche l’indice di tutti i 18 contributi di “Next Generation Research”.

Per ricevere il numero, e le altre riviste cartacee uscite, è possibile abbonarsi a Pandora Rivista per il 2021. Tutte le indicazioni si trovano a questo link.


D’ineluttabile ricorrenza sono i rapporti annuali sull’arretratezza dell’Italia nel campo della digitalizzazione, in particolare rispetto agli altri Paesi europei[1]. Al di là della valenza degli indici usati per queste valutazioni e dell’utilità delle classifiche, è innegabile che l’Italia abbia un problema di lunga data con l’implementazione delle tecnologie digitali, sia a livello di infrastruttura, sia nella diffusione di sistemi tecnologici d’avanguardia, nel pubblico e nel privato[2]. Questa condizione è causata sia da alcune condizioni strutturali del Paese quale per esempio la prevalenza della piccola e media impresa, generalmente meno incentivata della grande industria a implementare costose tecnologie, sia dalle carenze nella gestione e nelle direttive politiche di lungo termine. Gli esempi in quest’ultimo gruppo sarebbero molteplici: ci limitiamo a citare il fatto che in Italia è ancora completamente assente un polo per l’Artificial Intelligence (AI) mentre ad esempio la Francia ne fa un elemento strategico nazionale[3], in asse con la Germania.

La pandemia da Covid-19 ha sottolineato l’importanza strategica per il Paese di una maggiore digitalizzazione, specialmente per ridurre il digital divide che, con la didattica a distanza e lo smart working, ha fatto emergere differenze di classe anche nell’accesso ad internet[4]. Inoltre, è ormai chiaro che con uno sforzo di modernizzazione la maggior parte dei servizi della Pubblica Amministrazione (PA) potrebbero essere erogati per via telematica e automatizzati, snellendo sia i tempi sia i processi della PA. Malgrado tutto, sul versante di una pubblica amministrazione digitale, l’Italia era riuscita a portarsi avanti rispetto a molti Paesi europei con la creazione di un identity management system all’avanguardia, ovvero SPID. Nel rispetto del regolamento eIDAS dell’Unione Europea sui sistemi di identità digitale[5], SPID adotta protocolli e processi moderni anche all’interno dell’Unione, secondi forse solo allo sforzo senza precedenti del progetto e-Estonia[6].

Nelle prossime pagine, verranno analizzati brevemente i contenuti del Piano Nazionale di Ripresa e Resilienza (PNRR) in relazione alla Missione 1 «Digitalizzazione, Innovazione, Competitività, Cultura». Lo scopo di questo scritto è anzitutto valutare se gli obiettivi che il Piano si pone sono coerenti con le proposte di implementazione presenti; in secondo luogo discutere se queste linee di azione sono in grado di rendere il Paese un player di rilevanza internazionale sulle tecnologie digitali. L’analisi di questo contributo si concentra in particolare sulla digitalizzazione della PA con un breve accenno finale alla strategia complessiva sulla digitalizzazione, rimandando l’esame su industria e comparto turistico e culturale ai successivi contributi del presente volume

Una nota preliminare a qualsiasi commento di un progetto di così ampio respiro deve sottolineare come qualsiasi critica venga portata nel campo delle politiche pubbliche sconta il difetto del ‘benaltrismo’, atteggiamento per il quale sarebbe sempre più importante fare qualcos’altro al posto di quanto si sta facendo, o fare in generale molto di più. È per questo che l’obiettivo di questo scritto è di valutare le misure del Piano sulla base dei suoi stessi obiettivi desiderati, mantenendo saldo un principio di coerenza nell’analisi critica.

Nelle prossime sezioni saranno discusse le misure del Piano per quanto concerne la modernizzazione della pubblica amministrazione e sarà riservato un breve commento finale sulle componenti riguardanti la modernizzazione industriale. Prima di tutto però si riportano di seguito le cifre del piano. M1 impiega complessivamente 40,29 miliardi, suddivisi in tre componenti: 9,72 miliardi per la digitalizzazione della PA; 23,89 miliardi per il sistema produttivo; 6,68 miliardi invece sono destinati al turismo e cultura 4.0. Con l’integrazione del fondo complementare si aggiungono per la PA 1,20 miliardi (totale 10,95); per l’industria 5,88 (30,98); per cultura 4.0 1,46 miliardi (8,13). Le risorse complessive quindi, tra PNRR, fondo REACT-EU e il fondo complementare, ammontano complessivamente per la prima missione «Digitalizzazione, Innovazione, Competitività e Cultura» a 50,07 miliardi di euro.

 

Principali direttrici d’innovazione per la PA

Lo sforzo senza precedenti che tali cifre promettono si articola in alcune direttrici principali, ossia gli «investimenti», che precisano gli scopi di ogni componente. I fondamentali ambiti di intervento per la PA sono due: digitalizzazione e modernizzazione. Per quanto concerne la digitalizzazione, a fare da guida sono i principi di cloud first e once only: il primo sottolinea la necessità di trasferire in cloud sia l’archiviazione sia il processamento dei dati; il secondo invece richiede che il cittadino non debba reinserire, in ogni ramo della PA, sempre gli stessi dati, diminuendo così sia la ridondanza e la replicazione dei dati sia migliorando la user-experience. A questi due principi si affiancano due strategie di implementazione: la prima è la centralizzazione dei servizi, dei processi e dello storage di dati della PA nel Polo Strategico Nazionale, imponente infrastruttura che fornirà il servizio cloud. La seconda è la volontà di rendere tutte le banche dati della PA interoperabili tramite la Piattaforma Nazionale Dati, che dovrebbe fornire una serie di API (Application Programming Interface) adatte allo scopo. Trasversalmente a questi interventi vi è l’investimento 1.5 (620 milioni) che mira a innalzare drasticamente il livello di cybersecurity della Nazione, attraverso la creazione del Perimetro di Difesa Nazionale Cibernetica.

Sul tema della modernizzazione della PA, due sono gli obiettivi principali: da un lato razionalizzare l’acquisto e la gestione delle risorse di Information and Communication Technology (ICT) della pubblica amministrazione, con la creazione di un portale di acquisti ed una task force. Quest’ultima nasce con l’obiettivo di «re-ingegnerizzare e semplificare le procedure, rivedendole in ottica digitale»[7]. Inoltre gli investimenti 2.1, 2.3 e le riforme 2.1 e 2.3 vanno nella direzione di una profonda revisione dei criteri di reclutamento e promozione dei dipendenti della PA, promuovendo l’acquisizione di competenze digitali.

La più importante riforma, conditio sine qua non di tutte le altre, è certamente il trasferimento in cloud del 75% della Pubblica Amministrazione entro 2026 (1.3). Nel PNRR, sono evidenziate due possibilità per le PA: la prima è migrare nel Polo Strategico Nazionale, la seconda è invece trasferire i dati su un cloud public di un operatore di mercato certificato. È presumibile ovviamente che questi operatori di mercato includeranno per lo meno (ma non esclusivamente) gli attuali provider di SPID, come ad esempio Poste Italiane, Tim, Infocert ecc… Quella che si verrà a configurare, considerando inoltre l’intenzione di rendere interoperabili le banche dati di ogni PA (1.3), sarà una rete federata di host dei dati delle pubbliche amministrazioni. Certamente, in molti ambienti come quello degli Identity Management Systems (IdMS), le reti federate e i sistemi decentrati sono al momento le soluzioni preferite. Muoversi in questa direzione sembrerebbe quindi perfettamente in linea con quelle che sono le attuali raccomandazioni e best practice evidenziate dalla ricerca[8].

 

Cybersecurity e il Perimetro Nazionale di Difesa Cibernetica

L’investimento 1.5 riguarda il tema, definito di centrale importanza nell’introduzione della M1, della sicurezza cibernetica (620 milioni), l’Italia sembra trovarsi in una situazione di grave arretratezza. Sembra, da quanto è previsto dall’investimento 1.5, che in Italia non sia stata ancora recepita l’importanza delle difese cibernetiche, ormai quasi sullo stesso livello di importanza della difesa militare. Un alto numero di cyber attacchi, che sono aumentati sensibilmente durante la pandemia, colpisce le strutture critiche del Paese: il 24% delle strutture ospedaliere è stato attaccato specialmente da ransomware[9] dall’inizio della pandemia, che criptano i dati e chiedono un riscatto per averli indietro. Tutto questo considerando che, da un’analisi AGID citata nel PNRR[10], il 95% dei data center pubblici oggi presenta gravi deficienze negli standard minimi di sicurezza. In tale situazione è plausibile che una parte consistente degli attacchi cyber non sia semplicemente rilevato, non rientrando neppure nel conteggio.

Ma il problema della cybersecurity non si limita solamente ai ransomware o alle possibili violazioni della privacy dei cittadini dovute ai continui breach nei data center pubblici. Ormai da anni un certo livello di conflitto freddo, sotterraneo, tra Stati si gioca proprio sul campo della cybersecurity. Per portare un esempio è sufficiente il riferimento al più recente, sofisticatissimo, attacco ai danni dell’intera pubblica amministrazione USA (ivi compresi Pentagono, Dipartimento della Difesa, agenzie di intelligence ecc…). Questo attacco, di tipo supply-chain, ha preso di mira Orion, un software per la gestione dell’infrastruttura IT (switch, router ecc) distribuito da SolarWind, un’azienda di software USA. Senza voler entrare nei tecnicismi di questo tipo di attacco, che aveva già preso di mira la rete ucraina qualche anno fa[11], stupisce che gli addetti alla cybersecurity della difesa USA non abbiano individuato l’aggiornamento software malevolo di Orion, nonostante questo fosse dentro praticamente tutta l’infrastruttura IT della amministrazione pubblica USA da otto mesi. Questo significa che per lungo tempo mesi i responsabili di questo attacco hanno avuto libero accesso al punto nevralgico dell’universo digitale della PA USA, ovvero l’infrastruttura di rete.

 Di fronte a questo livello di pericolo che ha colpito una nazione all’avanguardia sulla cybersecurity come gli USA, il PNRR italiano decide di implementare il solo Perimetro Nazionale di Difesa Cibernetica (Perimetro). Questo non è di fatto altro che l’implementazione della direttiva NIS (Network and Information Security) europea[12]. La direttiva NIS è a sua volta un sistema basilare di incident report and management. La creazione del Perimetro implica essenzialmente che vengano identificati una serie di soggetti, pubblici e privati, considerati di importanza critica per il Paese. Questi vengono incaricati di adottare le strategie di prevenzione degli attacchi informatici che vengono descritte all’allegato B del DPCM del 14 aprile 2021, n. 81[13]. Inoltre, devono avvisare entro un certo tempo il Dipartimento delle informazioni per la sicurezza (DIS) nel caso si rendano conto di aver subito un attacco, pena una sanzione. Ciò che più lascia perplessi è la totale assenza, in tutta l’implementazione del Perimetro, di riferimenti alle strategie proattive di difesa, come ad esempio gli algoritmi di cybersecurity basati su Machine Learning in grado di contrastare efficacemente i malware e gli exploit zero-day[14], che ad oggi ammontano al 75% degli attacchi informatici[15], dato certamente più alto se si tratta di attacchi contro infrastrutture pubbliche critiche.

Bisogna quindi sperare che la neonata Agenzia per la Cybersicurezza Nazionale (ACN) porti decisamente su un altro livello le ambizioni nazionali in materia di sicurezza informatica, in modo da rendere l’Italia un Paese in grado di mantenere un livello accettabile di sicurezza interna in quella che si configura, di anno in anno, sempre più come una guerra informatica a bassa intensità.

 

AI, Robotica e trasferimento tecnologico

In connessione con quanto discusso sulla cybersecurity, stupisce la totale assenza nel Piano di una strategia italiana per l’Intelligenza Artificiale. Su tale aspetto, il PNRR italiano non regge il confronto con quello, ad esempio, francese, nel quale sotto il concetto di «sovranità tecnologica» viene proposta una strategia unificata che passa dall’AI a servizio della sicurezza cibernetica al quantum computing, con obiettivi ed esempi di progetto di gran lunga più chiarificatori di quelli che troviamo nel PNRR italiano. Il Paese ha probabilmente già perso l’occasione di divenire un player rilevante a livello internazionale nei temi di Intelligenza Artificiale, nonostante la ricerca italiana sia di ottima qualità. Il già citato asse franco-tedesco per una strategia europea sull’AI è stato costituito senza l’Italia e, nell’ottica di un’Europa sempre più unificata, è in qualche modo necessario che gli Stati membri si ritaglino delle aree di competenza specifica, per non disperdere le energie dell’Unione e non farsi concorrenza interna. Nonostante questo ragionamento, è incomprensibile come nel PNRR l’AI abbia un ruolo completamente marginale: non solo non è destinataria di un investimento mirato, ma viene in generale citata sempre come elemento accessorio di non meglio specificate «tecnologie innovative». Che questa assenza non sia affatto ‘strategica’ e voluta, è reso palese dalla totale assenza anche di qualunque riferimento a qualsivoglia altra tecnologia d’avanguardia in cui l’Italia eccelle dal punto di vista della ricerca: ad esempio quantum computing (citato una volta nel piano italiano, 11 in quello francese) e la robotica industriale.

In ultimo, una riflessione generale su M1: sembra essere completamente mancata l’occasione per ritagliare all’Italia uno spazio di player internazionale d’eccellenza in un qualsiasi campo tecnologico di avanguardia. Nella modernizzazione della PA si sono discusse proposte di fondamentale importanza per risollevare la PA, ma nessuna di quelle sembra essere breakthrough: da nessuna parte si legge ad esempio una indicazione di self-sovereign digital identity, come EBSI sta tentando di costruire in Europa, non c’è una formula d’avanguardia come il progetto di cittadinanza digitale e-Estonia. Non che fossero necessarie queste due misure, come nessun’altra in particolare, ma la sensazione è che con 50,07 miliardi di euro fosse possibile portare il Paese verso una condizione di eccellenza in alcuni aspetti strategici. Dal punto di vista della ricerca, non sembra che ci sia un campo in cui si è deciso di puntare con forza, per diventarne leader. La forte orizzontalità delle misure di digitalizzazione suggerisce che il Piano pecca di indirizzo strategico, fatta eccezione per l’investimento sulle tecnologie satellitari, da solo non sufficiente a costruire una strategia competitiva per il Paese nel contesto internazionale dell’innovazione.

Sul sistema produttivo, inoltre, non è chiaro quali siano i criteri che guidano il processo di modernizzazione a cui le imprese sono chiamate ad adeguarsi. L’unico indirizzo chiaro è presente nell’investimento 2, quello che riguarda il contributo statale agli acquisti di dispositivi utili all’industria 4.0. Questo è l’allegato A alla legge n.232 del 2016 dove sono elencati un numero pressoché infinito di dispositivi sì tecnologici (dai cavi usb ai bracci robotici), ma che certamente non contribuiscono a far diventare l’Italia un Paese con punte di eccellenza industriali. Per quanto concerne il digitale, sembra insomma mancare una visione d’insieme, una strategia che collochi il Paese in un qualche rapporto non solo con il panorama europeo d’innovazione tecnologica, ma anche in un’ottica mondiale.

In conclusione, per quanto concerne la digitalizzazione e modernizzazione della PA, il Piano compie degli importanti passi avanti, seppur senza portare alcuna innovazione particolarmente rilevante rispetto alla condizione degli altri Stati membri. In generale, M1 sembra avere come obiettivo di trascinare l’Italia fuori da una condizione ormai endemica di ritardo nell’innovazione digitale, spingendo un poco da ogni parte per far avanzare il Paese. Un indirizzo più strategico e meno orizzontale delle misure avrebbe però avuto il pregio di porre il Paese in una condizione di leadership in alcuni campi dell’innovazione digitale. La speranza è che, nella messa in pratica del Piano, si riescano a trovare delle nicchie su cui costruire la futura competitività tecnologica della nazione. Ad esempio l’ambito della robotica vede l’Italia in una posizione di eccellenza internazionale della ricerca; investimenti mirati in questo ambito potrebbero ritagliare per il Paese una posizione rilevante nel panorama europeo.


[1] Indice di digitalizzazione dell’economia e della società (DESI) 2020.

[2] V. Balocco, Agenda digitale: Italia sulla buona strada, ma ancora indietro, «Corriere Comunicazioni», 17 Dicembre 2020.

[3] A. Aresu, Il progetto di Macron per l’intelligenza artificiale francese, «Limesonline», 5 aprile 2018.

[4] D. Selva, Divari digitali e disuguaglianze in Italia prima e durante il Covid-19, «Culture e Studi del Sociale», 5(2) (2020), pp. 463-483.

[5] Regulation (EU) no 910/2014 on electronic identification and trust services for electronic transactions in the internal market.

[6] M. Goede, E-Estonia: The e-government cases of Estonia, Singapore, and Curaҫao, «Archives of Business Research», 7(2) (2019).

[7] Piano Nazionale di Ripresa e Resilienza, p. 97.

[8] D. W. Chadwick, Federated identity management, in A. Aldini, G. Barthe e R. Gorrieri (a cura di), Foundations of security analysis and design V, pp. 96-120, Springer, Berlino 2009.

[9] Il ransomware è un tipo di malware che blocca l’accesso ai sistemi o ai file personali degli utenti e chiede il pagamento di un riscatto per renderli nuovamente accessibili.

[10] PNRR, p. 92.

[11] M. B. Bagnoli, Attacco hacker colpisce società in tutto il mondo, «Ansa», 28 giugno 2017.

[12] Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

[13] Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza.

[14] Sono attacchi informatici zero day in quanto non ancora stati mai usati, e quindi il loro codice non presente all’interno dei database antivirus.

[15] A. Longo, Made in Italy sotto scacco: gli attacchi informatici prendono di mira le filiere, «Il Sole 24 Ore», 9 marzo 2021.

Scritto da
Piercosma Bisconti Lucidi

Dottorando in Filosofia Politica alla Scuola Superiore Sant’Anna di Pisa, studia le implicazioni socio-culturali di AI e Robotica, con un particolare interesse per le tecnologie relazionali e la robotica sociale. È inoltre ricercatore per progetti scientifici Horizon al CyberethicsLab.

Pandora Rivista esiste grazie a te. Sostienila

Se pensi che questo e altri articoli di Pandora Rivista affrontino argomenti interessanti e propongano approfondimenti di qualità, forse potresti pensare di sostenere il nostro progetto, che esiste grazie ai suoi lettori e ai giovani redattori che lo animano. Il modo più semplice è abbonarsi alla rivista cartacea e ai contenuti online Pandora+, ma puoi anche fare una donazione a supporto del progetto. Grazie!

Abbonati ora

Seguici