Article. What i write
La strategia Cloud Italia: un framework normativo per la trasformazione digitale della Pubblica Amministrazione
Pubblicato il 12 dicembre 2025
Questo articolo analizza il quadro normativo italiano in materia di cloud computing per la Pubblica Amministrazione, con un focus specifico sulla Strategia Cloud Italia e sul Regolamento per le infrastrutture digitali e i servizi cloud (art. 33-septies, D.L. 179/2012). L'analisi evidenzia come l'approccio italiano alla migrazione verso il cloud si basi su tre pilastri strategici: la classificazione dei dati e dei servizi, la qualificazione dei fornitori di servizi cloud e la creazione del Polo Strategico Nazionale (PSN). Il quadro normativo italiano rappresenta un modello innovativo di governance del cloud pubblico che riesce a conciliare le esigenze di innovazione tecnologica, la sicurezza nazionale e la conformità alle normative europee in materia di protezione dei dati.
Introduzione
La trasformazione digitale della Pubblica Amministrazione è un imperativo strategico per garantire servizi pubblici efficienti, accessibili e sicuri (Commissione europea, 2020). L'adozione del paradigma del cloud computing rappresenta un elemento abilitante fondamentale per questo processo, in quanto consente di ottenere scalabilità, flessibilità ed efficienza economica nella gestione delle risorse IT (Armbrust et al., 2010; Marston et al., 2011).
A livello europeo, la pandemia da COVID-19 ha notevolmente accelerato i processi di digitalizzazione, mettendo in luce l'importanza fondamentale delle infrastrutture digitali per garantire la continuità dei servizi essenziali (OCSE, 2020). L'Italia, con la Strategia Cloud Italia adottata a settembre 2021 e il successivo Regolamento attuativo del 2024, ha sviluppato un complesso quadro normativo per gestire la migrazione al cloud della PA, prestando particolare attenzione agli aspetti di sicurezza nazionale e di autonomia tecnologica.
Questo articolo si propone di analizzare criticamente tale framework, evidenziandone le caratteristiche innovative rispetto ad altre esperienze internazionali e discutendone le implicazioni per la governance delle infrastrutture digitali pubbliche.
Quadro teorico e normativo di riferimento
Il Cloud Computing: definizioni e modelli
Il cloud computing si configura come un paradigma di erogazione di risorse computazionali caratterizzato da cinque attributi essenziali: self-service on-demand, accesso ubiquitario alla rete, pooling delle risorse, rapidità di espansione e servizio misurabile (NIST, 2011). I modelli di servizio si articolano tradizionalmente in Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) e Software-as-a-Service (SaaS), mentre i modelli di distribuzione includono il cloud pubblico, privato, ibrido e multi-cloud (Mell e Grance, 2011).
Nel settore pubblico, l'adozione del cloud presenta peculiarità legate alla natura sensibile dei dati trattati, ai requisiti di conformità normativa e alle esigenze di continuità operativa dei servizi essenziali (Alhammadi et al., 2015; Nuseibeh, 2011).
Il contesto normativo europeo
Il quadro normativo europeo in materia di servizi digitali e protezione dei dati costituisce il fondamento giuridico delle politiche nazionali. Il Regolamento Generale sulla Protezione dei Dati (GDPR, Reg. UE 2016/679) stabilisce principi stringenti per il trattamento dei dati personali, prestando particolare attenzione ai trasferimenti extra UE (artt. 44-50). La Direttiva NIS (Dir. UE 2016/1148), successivamente sostituita dalla Direttiva NIS2 (Dir. UE 2022/2555), definisce gli obblighi di sicurezza cibernetica per gli operatori dei servizi essenziali e i fornitori di servizi digitali.
Il Regolamento sulla libera circolazione dei dati non personali (Reg. UE 2018/1807) mira a rimuovere le barriere alla portabilità dei dati, mentre il Cybersecurity Act (Reg. UE 2019/881) ha istituito un quadro europeo di certificazione della sicurezza informatica. L'iniziativa GAIA-X, lanciata nel 2020, mira a creare un ecosistema federato di servizi cloud europei basato su standard e principi comuni di interoperabilità (GAIA-X, 2021).
Sovranità digitale e autonomia strategica
Il concetto di sovranità digitale ha acquisito crescente rilevanza nel dibattito politico e accademico europeo, riferendosi alla capacità degli Stati di esercitare un controllo effettivo sulle proprie infrastrutture digitali e sui dati in esse trattati (Pohle e Thiel, 2020). La concentrazione del mercato del cloud computing nelle mani di pochi hyperscaler extraeuropei, per lo più statunitensi, pone questioni di dipendenza tecnologica e di potenziale asimmetria informativa (Commissione europea, 2021).
La sentenza "Schrems II" della Corte di Giustizia dell'Unione Europea (causa C-311/18) ha messo in luce l'incompatibilità tra il CLOUD Act statunitense e i requisiti di protezione dei dati europei, rendendo ancora più impellente la necessità di sviluppare alternative cloud europee o soggette alla giurisdizione europea.
La strategia Cloud Italia: architettura e principi
Le Tre Direttrici Strategiche
La Strategia Cloud Italia si articola lungo tre direttrici fondamentali, ciascuna finalizzata ad affrontare specifiche criticità del processo di migrazione.
Classificazione dei Dati e dei Servizi
Il framework italiano introduce un sistema di classificazione tripartita basato sull'impatto potenziale derivante dalla compromissione di dati e servizi in termini di confidenzialità, integrità e disponibilità. Le tre classi identificate sono:
• Ordinari: dati e servizi la cui compromissione non determina pregiudizi significativi per il benessere economico e sociale del Paese;
• Critici: dati e servizi la cui compromissione può determinare pregiudizi al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico;
• Strategici: dati e servizi la cui compromissione può determinare pregiudizi alla sicurezza nazionale.
Tale approccio riflette una logica risk-based coerente con i principi del GDPR e della Direttiva NIS2, consentendo una differenziazione proporzionata delle misure di sicurezza richieste. I dati e servizi soggetti agli obblighi del Perimetro di Sicurezza Nazionale Cibernetica (PSNC, L. 133/2019) sono automaticamente classificati come strategici.
Qualificazione dei Servizi Cloud
Il processo di qualificazione si configura come un meccanismo di certificazione ex-ante volto a verificare che i servizi cloud per la PA possiedano caratteristiche di qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità adeguate alla classificazione dei dati trattati.
Il Regolamento del 2024 definisce quattro livelli di qualificazione (QC1-QC4) per i servizi cloud privati e quattro livelli di adeguamento (AC1-AC4) per i servizi cloud pubblici, con requisiti progressivamente più stringenti. Per ogni livello sono specificati:
• Caratteristiche tecniche minime basate sul Framework Nazionale per la Cybersecurity e la Data Protection (FNCS);
• Certificazioni richieste (es. ISO 27001, ISO 22301, CSA STAR);
• Requisiti di localizzazione dei dati e delle infrastrutture;
• Service Level Agreement (SLA) minimi garantiti.
La qualificazione ha validità massima di 36 mesi ed è soggetta a monitoraggio continuo da parte dell'Agenzia per la Cybersicurezza Nazionale (ACN).
Il Polo Strategico Nazionale
Il PSN rappresenta un'infrastruttura cloud nazionale promossa dalla Presidenza del Consiglio, destinata a ospitare dati e servizi critici e strategici. Le caratteristiche distintive del PSN includono:
• Localizzazione geografica sul territorio nazionale con ridondanza distribuita;
• Gestione operativa affidata a fornitori qualificati sotto vigilanza pubblica;
• Indipendenza da fornitori extra-UE per quanto riguarda controllo e gestione;
• Capacità di offrire servizi IaaS, PaaS e modelli ibridi/privati.
Il PSN si configura come soluzione sovrana alternativa ai cloud pubblici qualificati per le amministrazioni centrali e le principali amministrazioni locali.
Livelli Minimi e Requisiti Tecnici
Il Regolamento definisce livelli minimi articolati secondo le funzioni del NIST Cybersecurity Framework (Identify, Protect, Detect, Respond, Recover), con specificazioni dettagliate per:
Infrastrutture digitali: requisiti di affidabilità (availability sup. 99,6%), capacità elaborativa, risparmio energetico (PUE ≤1,5), sicurezza fisica (conformità ANSI/TIA-942 o equivalenti) e sicurezza logica.
Servizi cloud: requisiti di interoperabilità (API REST/SOAP documentate), portabilità (formati aperti non proprietari), performance (self-provisioning, elasticità), qualità (supporto 24/7, SLA trasparenti) e sicurezza (conformità OWASP, cifratura, logging centralizzato).
Per i dati critici e strategici sono richiesti ulteriori controlli, tra cui:
• Meccanismi Bring Your Own Key (BYOK) o Hold Your Own Key (HYOK);
• Segregazione delle reti e degli ambienti;
• Penetration testing e vulnerability assessment periodici;
• Disaster recovery con RTO/RPO progressivamente ridotti (da 48h per ordinari a 24h per strategici).
Analisi Critica del Framework
Innovazioni e Punti di Forza
Il framework italiano presenta diversi elementi innovativi rispetto ad approcci adottati in altri contesti nazionali.
Approccio sistematico e risk-based: La classificazione tripartita consente una differenziazione proporzionata delle misure di sicurezza, evitando sia sovra-regolamentazione per dati a basso rischio sia sotto-protezione per dati sensibili. Tale approccio è coerente con i principi di accountability e privacy by design del GDPR.
Integrazione multi-livello: Il Regolamento coordina efficacemente diversi livelli di governance (nazionale, settoriale, organizzativa), integrando obblighi derivanti dal PSNC, dalla Direttiva NIS e dal GDPR in un framework coerente.
Catena di qualificazione: Il concetto di "catena di qualificazione cloud" (par. 2.2, Allegato 4) garantisce che ogni livello di servizio (IaaS, PaaS, SaaS) sia supportato da infrastrutture adeguatamente qualificate, riducendo rischi di security by obscurity.
Bilanciamento tra sovranità e innovazione: La strategia non preclude l'utilizzo di hyperscaler internazionali per dati ordinari, ma richiede garanzie crescenti di controllo e localizzazione per dati critici e strategici, cercando di bilanciare esigenze di innovazione tecnologica e sicurezza nazionale.
Criticità e Sfide Implementative
Nonostante gli elementi positivi, il framework presenta alcune criticità che meritano attenzione.
Complessità amministrativa: L'articolazione dei requisiti su quattro livelli per servizi e infrastrutture, con specifiche tecniche dettagliate, genera complessità che può costituire barriera all'ingresso per operatori di dimensioni ridotte, con potenziali effetti di concentrazione del mercato.
Tensione tra localizzazione e efficienza: I requisiti di localizzazione dei dati e delle infrastrutture in UE (o in Italia per strategici) possono comportare trade-off con efficienza economica e prestazioni tecniche, specialmente per servizi globali come Content Delivery Network.
Rigidità temporale: La validità massima di 36 mesi per qualificazioni e certificazioni, pur garantendo aggiornamento, implica oneri procedurali ricorrenti per fornitori e PA. L'evoluzione rapida delle tecnologie cloud potrebbe rendere obsoleti alcuni requisiti tecnici prima della loro revisione.
Definizione dei confini: La distinzione tra "metadata relativi all'amministrazione" e "metadata relativi al funzionamento" (rilevante per i vincoli di localizzazione) può risultare ambigua in contesti applicativi complessi, generando incertezza interpretativa.
Dipendenza tecnologica residua: Anche per il PSN, l'utilizzo di tecnologie cloud "su licenza" da hyperscaler (opzione prevista dalla Strategia) mantiene forme di dipendenza tecnologica, pur trasferendo controllo operativo.
Confronto con Esperienze Internazionali
L'approccio italiano presenta affinità con modelli adottati in altri contesti:
Regno Unito: Il G-Cloud framework britannico, operativo dal 2012, ha anticipato la logica di qualificazione ex-ante e marketplace centralizzato (Digital Marketplace), ma con minore enfasi su requisiti di sovranità (Government Digital Service, 2021).
Germania: La strategia cloud federale tedesca privilegia modelli di federazione (GAIA-X) e certificazioni europee, con minore ricorso a infrastrutture nazionali dedicate rispetto all'approccio italiano (BMI, 2022).
Francia: Il programma "Cloud de confiance" francese presenta analogie significative con la strategia italiana, includendo requisiti di localizzazione e controllo nazionale per dati sensibili, con la qualifica SecNumCloud dell'ANSSI (ANSSI, 2021).
Stati Uniti: Il FedRAMP (Federal Risk and Authorization Management Program) si concentra su standardizzazione dei processi di security authorization, ma senza requisiti di sovranità digitale data la posizione dominante di fornitori statunitensi (FedRAMP, 2022).
Implicazioni per la Governance Digitale
Equilibrio tra Sicurezza e Innovazione
Il framework italiano riflette una tensione fondamentale nelle politiche digitali pubbliche: la necessità di bilanciare requisiti di sicurezza, protezione dati e sovranità con l'esigenza di accedere a tecnologie innovative e competitive offerte da operatori globali.
La soluzione adottata – differenziazione per livelli di sensibilità dei dati – appare pragmatica, ma richiede capacità amministrative significative per:
• Classificare correttamente dati e servizi;
• Selezionare fornitori qualificati appropriati;
• Gestire migrazioni tecnicamente complesse;
• Monitorare compliance continuativa.
Tali capacità non sono uniformemente distribuite tra le amministrazioni italiane, suggerendo la necessità di investimenti in competenze digitali interne alla PA (Mergel et al., 2019).
Sostenibilità Economica e Mercato
I requisiti di qualificazione comportano costi di compliance per i fornitori, potenzialmente trasferiti alle PA clienti. La sostenibilità economica della strategia dipenderà da:
• Economie di scala realizzabili tramite consolidamento (es. PSN per amministrazioni centrali);
• Competizione efficace tra fornitori qualificati;
• Capacità del PSN di offrire servizi competitivi rispetto ad alternative private.
Il Regolamento prevede marketplace digitale e trasparenza sui costi (requisiti QU.PR-01, QU.PR-02), che potrebbero favorire efficienza, ma l'assenza di studi di impatto economico ex-ante rappresenta una lacuna conoscitiva.
Autonomia Strategica Europea
La strategia italiana si inserisce in un più ampio dibattito europeo sull'autonomia strategica digitale. Il coordinamento con iniziative europee (GAIA-X, schemi di certificazione EU, Data Governance Act) è esplicitamente previsto ma richiederà armonizzazione continua.
Il rischio di frammentazione nazionale del mercato cloud europeo, con proliferazione di requisiti divergenti, potrebbe ostacolare lo sviluppo di campioni europei capaci di competere globalmente. Un maggiore coordinamento a livello UE su standard e criteri di qualificazione appare auspicabile (European Commission, 2022).
Conclusioni e prospettive
La Strategia Cloud Italia e il relativo Regolamento attuativo costituiscono un quadro normativo complesso e tecnicamente avanzato per la migrazione al cloud della Pubblica Amministrazione. L'approccio risk-based, la differenziazione per livelli di sensibilità e l'attenzione alla sovranità digitale rappresentano elementi innovativi nel panorama europeo.
Tuttavia, il successo della strategia dipenderà dalla capacità di affrontare le seguenti sfide significative dal punto di vista dell'implementazione: sviluppare competenze digitali nella PA, garantire la sostenibilità economica del PSN, assicurare l'interoperabilità con gli ecosistemi europei e trovare un equilibrio tra sicurezza e innovazione.
Ricerche future dovrebbero esaminare empiricamente:
• l'efficacia dei processi di classificazione e qualificazione;
• l'impatto economico sui costi IT delle amministrazioni;
• il livello di adozione effettiva e le barriere residue;
• la competitività del PSN rispetto ad alternative qualificate;
• l'evoluzione delle minacce cibernetiche e l'adeguatezza dei requisiti tecnici.
La trasformazione digitale della PA italiana è un processo complesso e di lunga durata. Il framework qui analizzato costituisce una solida base normativa la cui efficacia effettiva dipenderà dall'implementazione operativa, dall'impegno politico continuo e dalla capacità di adattamento a un contesto tecnologico in rapida evoluzione.
Bibliografia
Alhammadi, A., Stanier, C., & Eardley, A. (2015). The determinants of cloud computing adoption in Saudi Arabia. Computer Science & Information Technology, 55-67.
ANSSI (2021). Référentiel d'exigences applicables aux prestataires de services d'informatique en nuage SecNumCloud. Agence Nationale de la Sécurité des Systèmes d'Information.
Armbrust, M., Fox, A., Griffith, R., et al. (2010). A view of cloud computing. Communications of the ACM, 53(4), 50-58.
BMI (2022). Digital-Strategie Deutschland. Bundesministerium des Innern und für Heimat.
European Commission (2020). Communication on Shaping Europe's digital future. COM(2020) 67 final.
European Commission (2021). 2030 Digital Compass: The European way for the Digital Decade. COM(2021) 118 final.
European Commission (2022). European Declaration on Digital Rights and Principles. C(2022) 27 final.
FedRAMP (2022). FedRAMP Authorization Process Guide. General Services Administration.
GAIA-X (2021). GAIA-X Policy Rules Document. GAIA-X European Association for Data and Cloud AISBL.
Government Digital Service (2021). G-Cloud 13 guidance. UK Cabinet Office.
Marston, S., Li, Z., Bandyopadhyay, S., Zhang, J., & Ghalsasi, A. (2011). Cloud computing—The business perspective. Decision Support Systems, 51(1), 176-189.
Mell, P., & Grance, T. (2011). The NIST definition of cloud computing. NIST Special Publication 800-145.
Mergel, I., Edelmann, N., & Haug, N. (2019). Defining digital transformation: Results from expert interviews. Government Information Quarterly, 36(4), 101385.
Nuseibeh, H. (2011). Adoption of cloud computing in organizations. AMCIS 2011 Proceedings, Paper 37.
OECD (2020). Digital Government Index: 2019 results. OECD Public Governance Policy Papers, No. 03.
Pohle, J., & Thiel, T. (2020). Digital sovereignty. Internet Policy Review, 9(4), 1-19.