Un pacchetto da 750 miliardi di euro. Questa la risposta dell’Unione Europea all’emergenza sanitaria, un programma di sovvenzioni e politiche denominate Next Generation EU (NGEU), il cui fiore all’occhiello è rappresentato dal Dispositivo per la Ripresa e la Resilienza (Recovery and Resilience Facility, RRF), che avrà una durata complessiva di sei anni, dal 2021 al 2026, e una portata di 672,5 miliardi di euro di cui 312,5 destinati a sovvenzioni ed i restanti 360 miliardi a prestiti a tassi agevolati.

Si tratta di un intervento senza precedenti, così come senza precedenti è stata la crisi economico-sanitaria che ha colpito il pianeta negli ultimi 18 mesi.

Gli assi portanti della ripresa

Tre gli assi strategici portanti del Piano, concordati e condivisi a livello europeo: digitalizzazione e innovazione , transizione ecologica e inclusione sociale ; attorno a questi punti prendono forma e si sviluppano sei missioni individuate come prioritarie per la ripresa e la crescita dei paesi dell’Unione: digitalizzazione, innovazione, competitività, cultura e turismo; rivoluzione verde e transizione ecologica; infrastrutture per una mobilità sostenibile; istruzione e ricerca; inclusione e coesione; salute.

Tralasciando gli ultimi due temi, non certo per ordine di importanza, quanto per area di competenza di chi scrive, ci concentreremo sugli aspetti di digitalizzazione e innovazione.

Evoluzione digitale: verso la transizione 4.0

 La transizione digitale, a cui dovrà essere destinato almeno il 20% della spesa complessiva per investimenti e riforme, si pone come obiettivo il miglioramento e l’accrescimento delle prestazioni digitali – avanzamento che dovrà necessariamente essere supportato da un investimento di ampia portata in termini di connettività e tecnologie, oltre che da un quadro normativo snello ed efficace, in grado di accelerarne l’implementazione.

Protagoniste di questo processo evolutivo dovranno essere in primis le Pubbliche Amministrazioni , con particolare priorità per Sanità ed Istruzione che, nei 18 mesi di pandemia, hanno rivelato l’incalzante necessità di una revisione e di un importante aggiornamento dei processi e delle applicazioni per consentire un’interazione con i cittadini sempre più veloce e “user-friendly”. Trasformazione digitale che al contempo dovrà includere e investire capillarmente le aziende , non solo quelle di grandi dimensioni o multinazionali – sicuramente più inclini agli investimenti e ad accogliere i nuovi paradigmi – ma soprattutto le medio, piccole e micro-imprese che compongono e nutrono il tessuto economico del Paese.

Come si legge nel PNRR, “l’Italia si posiziona oggi al 25esimo posto in Europa come livello di digitalizzazione (DESI 2020), a causa di vari fattori che includono sia la limitata diffusione di competenze digitali, sia la bassa adozione di tecnologie avanzate, ad esempio le tecnologie cloud. Al tempo stesso, l’Italia ha visto un calo della produttività nell’ultimo ventennio, a fronte della crescita registrata nel resto d’Europa. Uno dei fattori che limitano la crescita di produttività è il basso livello di investimenti in digitalizzazione e innovazione, soprattutto da parte delle piccole e medie imprese che costituiscono la maggior parte del nostro tessuto produttivo (EC Country Report Italy)”.

Gli investimenti previsti sarebbero dunque adeguati a compiere un decisivo passo in avanti nel percorso di crescita consentendo un approccio su vari fronti e una strategia di interventi condivisa. In tali investimenti dovranno essere inclusi, e valutati come impattanti, tutti quegli adeguamenti normativi che dovranno accompagnare la tecnologia: si pensi a tutta la parte contrattuale che dovrà caratterizzare la gestione dei rapporti tra le parti, piuttosto che la tematica privacy laddove si accrescano gli strumenti di interazione con i cittadini e l’accessibilità alle informazioni attraverso l’identificazione degli stessi. Ciò comporterà sicuramente una necessaria formazione del personale che dovrà intraprendere queste operazioni al fine di renderle compliance alla normativa vigente, sia a livello nazionale che europeo.

L’approccio cloud first passa per il rafforzamento della cybersecurity

Non si può parlare di digitalizzazione e innovazione senza affrontare il tema della cybersecurity , soprattutto quando la trasformazione digitale preannunciata dal Piano segue un approccio “cloud first”. Un tema questo che apre uno scenario quantomai vasto e variegato dando il via a una serie di ulteriori attività strettamente correlate, quali: il consolidamento e la razionalizzazione dei datacenter, la valutazione e selezione di fornitori in grado di rispondere a precisi criteri di adeguatezza, la programmazione di investimenti sul piano della interoperabilità dei sistemi che dovranno dialogare tra loro e consentire al cittadino la massima fruibilità, giusto per citarne alcune.

Tutti aspetti, quelli appena descritti, che richiedono un consolidamento delle misure di sicurezza cibernetiche , innanzitutto mettendo in pratica quanto previsto dal “Perimetro di Sicurezza Nazionale Cibernetica”.

Gli investimenti sul piano della sicurezza informatica si articolano in quattro aree di intervento. Nel testo del PNRR si legge “in primo luogo, sono rafforzati i presidi di front-line per la gestione degli alert e degli eventi a rischio intercettatati verso la PA e le imprese di interesse nazionale. In secondo luogo, sono costruite o rese più solide le capacità tecniche di valutazione e audit continuo della sicurezza degli apparati elettronici e delle applicazioni utilizzate per l’erogazione di servizi critici da parte di soggetti che esercitano una funzione essenziale. Inoltre, si investe nell’immissione di nuovo personale sia nelle aree di pubblica sicurezza e polizia giudiziaria dedicate alla prevenzione e investigazione del crimine informatico diretto contro singoli cittadini, sia in quelle dei comparti preposti a difendere il paese da minacce cibernetiche. Infine, sono irrobustiti gli asset e le unità cyber incaricate della protezione della sicurezza nazionale e della risposta alle minacce cyber”.

Il tema degli audit evidenzia come la tematica del controllo del fornitore sul fronte dell’allocazione dei dati assuma un valore centrale, sino ad oggi sottovalutato e normativamente violato nonostante le previsioni di cui all’art. 28 del GDPR che prevede espressamente l’obbligo per i titolari del trattamento (e quindi chi utilizza soluzioni cloud dove in modo massivo o incidentale sono sussistenti i dati personali) di controllare periodicamente la conformità del fornitore-responsabile e dei suoi sub-fornitori/sub-responsabili circa le misure organizzative e di sicurezza adottate.

Possiamo dunque dire che la digitalizzazione dovrà svilupparsi prendendo in analisi tutti gli aspetti normativi vigenti non potendo realizzarsi senza una valutazione preventiva degli impatti legali e senza una successiva adesione a tali obblighi.

08/09/2021