Cloud federato tra Regioni: cosa cambia per la PA digitale

L’Italia sta sperimentando un cambio di paradigma nella gestione delle infrastrutture cloud della pubblica amministrazione. Dopo anni di frammentazione tra data center regionali spesso obsoleti e iniziative scollegate, emerge un modello di cloud federato tra Regioni che promette di coniugare autonomia territoriale e interoperabilità nazionale. Non è solo una questione tecnica: è una scommessa sulla capacità del sistema pubblico italiano di costruire un’architettura distribuita senza cadere nelle trappole della balcanizzazione digitale.

Dal Polo Strategico Nazionale alla federazione regionale

Il contesto è quello tracciato dalla Strategia Cloud Italia del 2021 e dal PNRR, che hanno destinato oltre 1,9 miliardi di euro alla migrazione cloud delle PA. Il Polo Strategico Nazionale (PSN), gestito dal consorzio che include Tim, Leonardo, CDP Equity e Sogei, rappresenta il livello centrale: un’infrastruttura classificata per ospitare dati strategici e critici. Ma il PSN non può e non deve essere l’unica risposta.

Le Regioni, titolari di competenze proprie su sanità, trasporti, ambiente e molto altro, gestiscono volumi di dati enormi che non sempre richiedono la classificazione più elevata. La soluzione che sta emergendo prevede infrastrutture cloud regionali certificate, interconnesse tra loro e con il PSN secondo standard comuni. È il principio della federazione: nodi autonomi che dialogano attraverso protocolli condivisi.

Architettura tecnica: come funziona un cloud federato

Un sistema cloud federato si basa su alcuni pilastri tecnici imprescindibili:

• Interoperabilità delle API: le piattaforme regionali devono esporre interfacce standardizzate, tipicamente basate su specifiche OpenAPI o su protocolli consolidati come quelli del progetto europeo Gaia-X.
• Identity federation: i sistemi di autenticazione devono riconoscersi reciprocamente, spesso attraverso protocolli come SAML 2.0 o OpenID Connect, integrati con SPID e CIE.
• Portabilità dei workload: container orchestrati con Kubernetes e formati standard come OCI permettono di spostare applicazioni tra cloud diversi senza lock-in.
• Data governance distribuita: cataloghi di metadati condivisi, policy di accesso coerenti e audit trail unificati.

Sul piano pratico, alcune Regioni stanno già sperimentando. La Lombardia con Aria S.p.A., l’Emilia-Romagna con Lepida, il Veneto e il Piemonte con CSI Piemonte dispongono di società in-house con competenze tecniche mature. L’obiettivo è costruire un layer di federazione che consenta, ad esempio, a un servizio sanitario regionale di accedere a dati ambientali di un’altra Regione senza duplicazioni e nel rispetto delle normative GDPR.

I vantaggi concreti della federazione

Il modello federato offre benefici che un approccio puramente centralizzato non può garantire:

• Resilienza: la distribuzione geografica riduce i single point of failure. Un incidente in un data center non compromette l’intero sistema.
• Sovranità dei dati: ogni Regione mantiene il controllo fisico e giuridico sulle proprie informazioni, aspetto cruciale per dati sanitari e sensibili.
• Scalabilità graduata: le Regioni possono evolvere le proprie infrastrutture secondo tempi e budget specifici, senza attendere decisioni centralizzate.
• Competenze locali: valorizza il know-how delle società in-house regionali, evitando la dipendenza totale da fornitori esterni.

C’è anche una dimensione economica. La federazione può abilitare economie di scala cooperative: acquisti congiunti di hardware, condivisione di servizi gestiti, sviluppo collaborativo di componenti software. Il modello ricorda, per certi versi, quanto accade nei consorzi universitari per il calcolo scientifico, come CINECA.

Le criticità da non sottovalutare

Sarebbe ingenuo ignorare i rischi. La federazione funziona solo se tutti i nodi rispettano standard rigorosi, e la storia della PA italiana suggerge cautela.

Il rischio principale è la federazione sulla carta: accordi formali senza vera interoperabilità tecnica, dove ogni Regione continua a operare in silos mascherati da cooperazione.

Altri punti critici includono:

• Governance complessa: chi decide gli standard? Chi arbitra i conflitti? La Conferenza Stato-Regioni non è nota per la rapidità decisionale.
• Disomogeneità delle competenze: non tutte le Regioni hanno una Lepida o un CSI Piemonte. Alcune dipendono da fornitori esterni con livelli di servizio variabili.
• Cybersecurity: una federazione amplia la superficie di attacco. Ogni nodo deve garantire standard di sicurezza elevati, e la catena è forte quanto il suo anello più debole.
• Costi di integrazione: costruire la federazione richiede investimenti in middleware, formazione, testing. I fondi PNRR ci sono, ma i tempi di spesa sono stretti.

C’è poi la questione del rapporto con gli hyperscaler. AWS, Microsoft Azure e Google Cloud offrono servizi managed che semplificano enormemente la gestione operativa. Alcune Regioni potrebbero essere tentate da soluzioni ibride che delegano parti critiche a questi provider, sollevando interrogativi sulla sovranità digitale che il cloud federato dovrebbe tutelare.

Il ruolo dell’Agenzia per la Cybersicurezza Nazionale

L’ACN ha un ruolo centrale nel definire i requisiti di sicurezza per i cloud della PA. La qualificazione dei servizi cloud, prima gestita da AgID, è ora competenza dell’Agenzia, che ha introdotto livelli di classificazione più stringenti. Per il cloud federato regionale, questo significa che ogni infrastruttura dovrà superare audit rigorosi prima di poter trattare dati critici.

La sfida è bilanciare sicurezza e operatività. Requisiti troppo rigidi rischiano di rallentare le Regioni meno attrezzate; standard troppo laschi comprometterebbero la fiducia nell’intero sistema.

Prospettive: verso un modello europeo?

Il cloud federato italiano si inserisce in un contesto europeo in evoluzione. Il progetto Gaia-X, pur tra difficoltà e critiche, ha definito principi di federazione che potrebbero diventare riferimenti. Il Data Act e il Data Governance Act europei spingono verso la portabilità e l’interoperabilità dei dati, creando un framework giuridico favorevole.

Se l’Italia riuscisse a far funzionare un cloud federato tra Regioni, potrebbe diventare un caso di studio per altri paesi con strutture amministrative decentrate. Germania, Spagna, Belgio affrontano sfide simili.

La prossima fase richiederà meno annunci e più implementazione concreta: proof of concept funzionanti, servizi reali migrati, metriche di performance pubbliche. Il cloud federato tra Regioni è un’idea tecnicamente valida. Trasformarla in infrastruttura operativa è la sfida dei prossimi tre anni.