Il termine “cloud computing” indica «un insieme di tecnologie e di modalità di fruizione di servizi informatici che favoriscono l’utilizzo e l’erogazione di software, la possibilità di conservare e di elaborare grandi quantità di informazioni via Internet».

In conformità al Regolamento (U.E.) n.2021/241, la Missione 1 dell’asse strategico “digitalizzazione e innovazione”, cioè il primo dei tre assi sui quali si poggia l’intero PNRR, prevede la migrazione al cloud delle Amministrazioni pubbliche centrali sul Polo Strategico Nazionale o su un cloud pubblico (investimento M1/C1/1.1. – “Infrastrutture digitali”) e di quelle locali verso infrastrutture cloud sicure (investimento M1/C1/1.2 – “Abilitazione e facilitazione migrazione al cloud”).

Ad esito dell’attività di controllo sulla gestione delle Amministrazioni pubbliche ex art. 3 c.4 l. 14 gennaio 1994 n.20 e art. 7 c.7 d.l. 31 maggio 2021, n. 77 convertito dalla l. 29 luglio 2021, n. 108, la Sezione centrale di controllo della Corte dei conti ha reso la deliberazione in epigrafe, approvando il rapporto avente ad oggetto l’attuazione dell’investimento relativo all’abilitazione e facilitazione della migrazione al cloud.

La pronuncia, dunque, assume profili di primaria rilevanza poiché ci offre una panoramica terza e imparziale sullo stato di effettiva attuazione del processo di migrazione al cloud delle Amministrazioni locali.

Dopo un breve inquadramento dell’investimento nei termini sopra riassunti, il Collegio delinea le coordinate normative di riferimento sia a livello sovranazionale sia nazionale, all’interno delle quali si deve svolgere il passaggio al cloud computing, e ammonisce circa i rischi derivanti da tale operazione. L’implementazione di tecnologie cloud costituisce una priorità sia nell’Agenda digitale europea che in quella italiana. Con riferimento alla prima, infatti, il cloud computing concorre al «rafforzamento del mercato unico digitale nell’ottica della promozione dello sviluppo economico degli Stati membri e del conseguimento di standards comparativamente elevati rispetto ai Paesi tecnologicamente più avanzati» (p. 22). La trasformazione digitale, di cui il cloud computing costituisce elemento essenziale, risulta infatti necessaria a garantire « “l’effettivo diritto delle persone alla portabilità dei dati”, nell’ampio quadro di spazi comuni europei di dati», così ponendosi tra le azioni funzionali a garantire il c.d. consumer welfare [fissato come obiettivo per il 2025 dalla “Nuova agenda dei consumatori. Rafforzare la resilienza dei consumatori per una ripresa sostenibile” (ibid.)]. Infine, sempre con riferimento al quadro normativo europeo, il cloud computing è parte integrante della Strategia industriale europea e della più generale azione di promozione di sviluppo tecnologico che deve svolgersi nel rispetto dei più alti standard di rispetto dei dati, cybersicurezza, portabilità e interoperabilità (p. 23).

Passando al contesto normativo italiano, invece, la Corte ne registra il pieno adeguamento a quello europeo con l’adozione della “Strategia Cloud Italia”, del Piano Triennale per l’Informatica nella Pubblica Amministrazione e del Regolamento in materia di cloud (Det. AgID n. 628/2021), i quali «integrano l’asse portante di una vera e propria “migration as a service”». Dalla Strategia italiana, infatti, la Corte enuclea un principio generale secondo il quale «la migrazione verso i servizi cloud de[ve] essere governata secondo un processo centralizzato, agevole e uniforme per l’intero comparto pubblico; cosa che presuppone che i piani di migrazione vengano definiti – con l’ausilio dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Dipartimento per la Trasformazione Digitale (DTD) – in accordo con il risultato della classificazione dei dati e dei servizi». Tale centralizzazione deve «combinarsi con l’effettiva responsabilizzazione del soggetto pubblico». La realizzazione di tale principio, insieme con il rispetto di una precisa scansione temporale in fasi articolate, dovrebbe condurre, nel periodo 2022-2025, le Amministrazioni locali a migrare verso sistemi cloud, intesi quali strumenti «di buona amministrazione, che, promuovendo l’efficacia, l’efficienza e l’economicità dell’azione amministrativa, attua[no] i fondamentali canoni costituzionali (articolo 97 Cost.) e unionali (articolo 41 Carta di Nizza-Strasburgo”)».

Sotto il profilo dei rischi, invece, la Corte condivide l’analisi svolta nella “Strategia Cloud Italia” che richiede di raggiungere un’autonomia tecnologica, che consenta il controllo delle infrastrutture digitali del cloud impiegate, nonché di rispettare le disposizioni del GDPR nell’attuazione dell’investimento per due differenti ordini di ragioni. Innanzitutto, perché è necessario, fin dalla progettazione (c.d. privacy by design), perseguire i principi di sicurezza e tutela della vita privata, in modo che sia garantito un trattamento dei dati personali in modo lecito, corretto e trasparente nei confronti dell’interessato; in secondo luogo, poi, perché l’investimento deve «essere altresì compatibile con la cosiddetta “data sovereignty”, il potere del governo di controllare i beni pubblici digitali, e in definitiva con la dovuta salvaguardia della segretezza delle informazioni che sottendano essenziali interessi dello Stato».

La Corte si sofferma poi sulle risorse finanziarie (1.000.000.000,00 €, d.m. Economia e Finanze del 6.8.2021, modificato da ultimo con il d.m. 23.11.2021) assegnate alla Presidenza del Consiglio dei Ministri, quale amministrazione titolare dell’intervento, e sulle risorse umane «funzionali alla corretta attuazione dell’intervento» organizzate in una struttura che prevede un Capo dipartimento, un Ufficio per l’indirizzo tecnologico, un Ufficio per la gestione amministrativa e un’Unità di missione progetti per il PNRR. Presso il Dipartimento è stato creato un “Transformation office”, al quale si affianca un team centrale dedito ai contenuti delle misure tecniche. Queste sono poi implementate dalle Amministrazioni locali, con l’ausilio di teams territoriali (sette in totale), cui sono stati assegnati 256 esperti, i cui incarichi sono stati già ammessi al visto e alla registrazione da parte della Corte.

Al momento non si registrano ritardi sul cronoprogramma che prevede il completamento della migrazione a sistemi cloud certificati per il 30.9.2026.

Dal contraddittorio instauratosi tra Sezione di controllo e Presidenza del consiglio dei ministri, è emerso, poi, che sono stati aggiudicati tutti i bandi pubblici per l’abilitazione al cloud delle Amministrazioni pubbliche locali (milestone M1C1-125 prevista per il 31.3.2023), per un totale di 735.030.461,00 € di finanziamento a favore di comuni e scuole.

La Corte afferma che l’attuazione dell’investimento in parola, appuntandosi nel «supporto alle Amministrazioni locali nel trasferimento alla “nuvola” virtuale», costituisce uno scopo-mezzo dello scopo-fine di accelerare «quella trasformazione digitale che alimenta, insieme ai principi di efficacia, efficienza ed economicità, il canone di buona amministrazione di cui all’articolo 41 della Carte di Nizza-Strasburgo».

Alla luce di tale considerazione, la Corte raccomanda il costante monitoraggio da parte del Dipartimento per garantire un’attuazione dell’intervento coerente con gli obiettivi del PNRR. La costante osservazione, infatti, è precondizione per l’eventuale avvio di processi di autocorrezione. La Corte consiglia altresì un esame puntuale circa l’adeguatezza delle risorse finanziarie impiegate, «anche allo scopo di prevenire il rischio di un ipotetico sovradimensionamento (che, allo stato, non è dato escludere vista la significativa consistenza dei fondi […]». Altrettanto essenziale, secondo il Collegio, è il «costante e continuo raccordo interno ai soggetti coinvolti (il Dipartimento per la trasformazione digitale l’ACN, l’AgID, etc.) e tra gli stessi e gli organi preposti al controllo» per garantire il «rafforzamento dei presidi a tutela della sicurezza dei dati» e «l’imprescindibile simmetria informativa» tra Amministrazione titolare dell’intervento e gli organi di controllo.