Sfatiamo un luogo comune. Non è la PA la madre di tutte le resistenze al cambiamento: il “frenatore by design” è diffuso anche nell’impresa privata. Una realtà del resto messa in luce anche dall’ultimo rapporto Istat sulla produttività, che sottolinea il basso livello di digitalizzazione delle società italiane. “La trasformazione digitale del sistema imprese italiano non è ancora avvenuta: anche le grandi aziende che si occupano di Ict non sempre brillano per prontezza di fronte all’innovazione”. Lo dice a CorCom Michele Melchionda, Direzione generale dei sistemi informativi automatizzati (Centro unico dei servizi) della Corte dei Conti, componente della giuria dei Digital360 Awards. Ecco come l’istituto ha superato gli ostacoli sulla strada dell’innovazione. E del “modello Estonia” che potrebbe essere importato.
Dottor Melchionda, che ruolo vede per la Corte dei Conti nella digital transformation delle strutture pubbliche italiane?
Un ruolo da pionieri: abbiamo sempre cavalcato l’innovazione come fatto strutturale ponendoci dunque come apripista. Siamo tra le pochissime amministrazioni che negli ultimi anni hanno completamente dismesso i propri data center all’interno di un processo di collaborazione e condivisione con le altre organizzazioni pubbliche. Che abbiamo fatto di veramente innovativo? Non ci siamo proposti come provider di servizi per terzi, ma abbiamo invece basato il nostro progetto sul presupposto essenziale che le PA tornino a fare PA (e che di infrastrutture Ict se ne occupi chi ha questo come scopo istituzionale). Abbiamo quindi cercato di svolgere un ruolo di “facilitatore” costruendo la nostra credibilità su fatti oggettivi ed espansione continua della nostra rete di collaborazioni istituzionali (Avvocatura dello Stato, Lepida, La Sapienza, Team digitale, Comune di Torino, …), prima fra tutte quella con il nostro partner, Sogei, che ha reso possibile il nostro progetto con grande disponibilità ed apertura. Insieme stiamo costruendo un percorso molto equilibrato rispettando i rispettivi ruoli: Corte dei conti governa le proprie scelte e Sogei nella veste di partner tecnico ci aiuta nel portare a terra i progetti e nelle attività di gestione.
Come avete proceduto?
In pochi anni abbiamo chiuso i data center di Cnel, Avvocatura dello Stato, della Corte, trasportando tutto presso i data center Sogei. Questo è stato possibile grazie ad una parallela trasformazione in modalità cloud pubblico di oltre il 50% delle nostre infrastrutture. Ad oggi la maggior parte dei nostri sistemi e il nostro Disaster Recovery sono posizionati in cloud, con un livello elevatissimo di condivisione con le amministrazioni associate, che oltre alle infrastrutture include anche alcune applicazioni. Parallelamente al processo di trasformazione abbiamo realizzato, grazie alla costante collaborazione con il team di Diego Piacentini, una sorte di framework, un percorso che abbiamo messo a disposizione delle altre amministrazioni. Si tratta in realtà di un modello, quello della condivisione di esperienza, che consente alle amministrazioni di abbattere in maniera clamorosa i tempi e i rischi connessi ai processi di innovazione.
Fare da apripista comporta qualche rischio?
Ci sono gli ostacoli tipici di chi si avventura su strade non battute: per esempio nessuna modalità di procurement consolidata o almeno già utilizzata per ottenere un’abilitazione semplificata ai servizi cloud. Abbiamo dovuto costruire da zero i modelli amministrativi per la stipula delle convenzioni, compresa l’individuazione degli strumenti necessari per effettuare rimborsi e condivisioni di risorse: può sembrare incredibile ma realizzare quello che avviene normalmente tra organizzazioni private è estremamente complesso fra pubbliche amministrazioni. In pratica abbiamo spesso dovuto aprire nuovi sentieri liberando la strada col machete, incontrando ostacoli di ogni tipo da quelli fisiologici di natura culturale e di resistenza al cambiamento fino alla difficoltà di muoversi in una complessa ragnatela di norme, regolamenti e linee guida. La resistenza al cambiamento è una presenza costante non solo nelle PA: il resistente by design si annida dappertutto: tra i provider, dentro le strutture di stakeholder a vario livello, non ne risultano a volte escluse nemmeno le aziende del settore Ict. Si fa una fatica enorme a farsi seguire in qualsiasi percorso di cambiamento, e il numero di interlocutori arpionati al mantenimento della propria comfort zone è altissimo. Lo abbiamo verificato in tutti passaggi innovativi che abbiamo affrontato, quando abbiamo introdotto i servizi cloud o quando abbiamo cominciato a progettare servizi che utilizzavano la blockchain: tecnologie relegate spesso ad ambiti sperimentali su scala ridotta anche quando ci si trova di fronte a soluzioni mature e disponibili per una loro immediata applicazione. Noi siamo convinti che molte delle tecnologie e delle soluzioni as a Service rappresentano occasioni d’oro per guadagnare il tempo perso.
Occasioni d’oro per la PA italiana, ma non solo…
Può apparire paradossale ma in certi casi arrivare leggermente in ritardo può rappresentare una chance. Si parla spesso dell’Estonia come del Paese che potendo partire da zero ed essendo una realtà molto piccola abbia avuto vita facile ad attuare un passaggio immediato al top della tecnologia disponibile in quel momento. Chi l’ha realizzata quella trasformazione dice che una dimensione maggiore del Paese li avrebbe aiutati e non penalizzati: potendo contare su più ampie economie di scala. Noi pensiamo che abbiano ragione e che grazie alle soluzioni tecnologiche disponibile l’”opzione Estonia” è un’opzione per tutti: uno switch-off switch-on può essere progettato anche in paesi complessi come il nostro senza migrazioni costosissime e in tempi accettabili. Purtroppo le organizzazioni pubbliche, e non solo, spesso preferiscono non “saltare i passaggi”, dismettere i vecchi sistemi è un percorso difficilissimo ed ostacolato da tutti da chi quei sistemi li aveva realizzati a chi semplicemente li utilizza.
Che strategie sulla attività istituzionali della Corte?
Ci stiamo concentrando sulla costruzione di sistemi completamente riprogettati secondo gli approcci più attuali con un’attenzione maniacale alla qualità dei servizi messi a disposizione di chi li dovrà utilizzare. Avendo portato a termine una sostanziale revisione architetturale delle nostre infrastrutture ora possiamo progettare nuove soluzioni applicative realmente orientate agli utenti, mobile first e cloud first. Nel corso del 2018 saranno rilasciati GIUDICO, il sistema informativo per la digitalizzazione del processo contabile e SILEA, sistema disegnato sulle esigenze delle funzioni svolte dalla Corte dei conti nell’ambito del controllo di legittimità. Entrambi sono basati su tecnologia Cloud PaaS e in alcune specifiche funzionalità faranno uso anche di Distributed Ledger Tecnology per semplificare il colloquio tra pubbliche amministrazioni ed aumentarne il livello di trasparenza. Su questi progetti abbiamo messo in campo tutta l’esperienza maturata in questi anni ed abbiamo cercato di sfruttare al meglio tutte le collaborazioni con altre organizzazioni pubbliche. Abbiamo attinto a piene mani dai suggerimenti di desgners.it e developers.it ed abbiamo messo in campo tutte le capacità acquisite dal nostro comitato architetture. Sono state consegnate ai nostri partner architetture applicative di riferimento e le relative pipeline di sviluppo basate sui modelli DevOps. Speriamo davvero che i risultati siano pari alle nostre aspettative e che la nostra capacità di adattamento ai cambiamenti, che ovviamente sarà necessario adottare, sia nettamente migliorata e velocizzata rispetto al passato.
Come aggirare la “resistenza all’innovazione”?
Armarsi di pazienza e tenere presente che la resistenza al cambiamento è un fatto fisiologico inevitabile. Non è un’eventualità che può verificarsi ma è un passaggio che sarà necessario affrontare e che, quindi, non può e non deve sorprenderci. Bisognerà quindi lavorare per convincere della bontà dei progetti che si stanno portando avanti e ridurre al minimo le azioni di “forza”, preferendo la condivisione all’imposizione. Puntare sulla più ampia condivisione possibile dei processi di cambiamento che si stanno adottando con gli effettivi destinatari dei servizi che si stanno realizzando. Stanare ed isolare le nuove forme di resistenza tipiche degli ambiti Ict, i nuovi burocrati digitali, quelli che hanno sostituito la semplice resistenza al cambiamento con una più sofisticata resistenza al cambiamento di questa o quella applicazione, piuttosto che di questa o quella tecnologia. Una resistenza al cambiamento per certi versi più difficile da superare perché arricchita, rispetta a quella classica, da uno strato di competenza tecnica che rende a volte il superamento di sistemi applicativi obsoleti una missione quasi impossibile. Sul superamento di questa resistenza competenza e collaborazione sono fondamentali. Una delle nostre più grandi soddisfazioni è che in Corte dei Conti la scelta fra l’adozione di una soluzione classica o innovativa non l’hanno fatta i tecnici ma i magistrati.
Come vi state muovendo sul fronte security?
Con grande umiltà ed attenzione cercando di occuparcene fin dalla progettazione delle applicazioni. Abbiamo lavorato sulla consapevolezza e sulla conoscenza dei rischi oltre che sulla condivisione più ampia possibile. Essere consapevoli che i rischi si possono ridurre e non eliminare è il primo fondamentale livello di consapevolezza da raggiungere per mettere le basi di un corretto approccio alla cyber security. L’attualità dei temi connessi al Gdpr ha sicuramente contribuito a dare ulteriore centralità e giusta attenzione a questi temi. Abbiamo seguito da anni la linea ispirata da Roberto Baldoni con il Framework nazionale di cyber security realizzato dal suo team cercando di ridurre il più possibile la superfice d’attacco unendo le forze con tutti i nostri partner sia pubblici che di mercato.
Data governance, che strategie in campo?
Abbiamo avviato da qualche anno la mappatura del patrimonio informativo focalizzando la ricerca sulla visione strategica istituzionale. È un lavoro ancora in progress ma ha raggiunto un importante livello di maturità e un elevato livello di attenzione da parte dei nostri vertici istituzionali. Testimonianza oggettiva di tale attenzione e livello di maturità il diretto coinvolgimento dei magistrati della Corte nella realizzazione di tale mappatura. In corso le attività di individuazione della responsabilità e proprietà dei dati, ruoli e competenze dei soggetti, standard per l’acquisizione e la convalida dei dati, regole di accesso, utilizzo e conservazione. Si stanno inoltre analizzando i principali processi che intervengono sulla raccolta, trasformazione ed aggiornamento dei dati, sull’applicazione di policy e standard, sull’analisi, pulizia e protezione dei dati. Su questo tema sono stati realizzati appositi documenti contenenti linee guida e informazioni sul ciclo di vita dei dati e sui principali processi connessi, curandone la massima diffusione sia ai singoli utenti che ai gruppi di lavoro dedicati allo sviluppo di applicazioni. Penso che la crescente centralità ed attenzione sui temi della data governance sia un confortante indicatore di maturità, perché finalmente ci si concentri sul vero patrimonio da salvaguardare e preservare: i dati che trattiamo e non le tecnologie che utilizziamo. Ci possiamo riuscire. Ci riusciremo.
