Il Pnrr (Piano nazionale di ripresa e resilienza) ha tra i suoi assi portanti la digitalizzazione della PA e questo implica anzitutto avere massima attenzione al tema della Governance del digitale pubblico.
Con i provvedimenti di legge degli ultimi mesi il Governo aveva iniziato a configurare un tema di governance dell’innovazione nella PA. Lo aveva delineato, apparentemente uscendo dal meccanismo delle cabine di regia o altre strutture che poco hanno funzionato negli anni scorsi, per traguardare un modello di governo che consenta di avere un coordinamento tra gli enti diversi della PA per adottare strategie comuni (o una sola) e organizzare le proprie attività affinché i sistemi informativi possano parlarsi. In tal senso sta aiutando la presenza del “Team Digitale” della Presidenza del Consiglio, che si è affiancato all’Agenzia per l’Italia Digitale (AgID) non solo nel coordinamento delle azioni a favore dello sviluppo del digitale nel Paese ma anche nelle azioni più tecniche, ha cercato di sbloccare situazioni annose (come l’Anpr o la Cie) cercando di richiamare in una visione unitaria le diverse amministrazioni.
Si cominciano a vedere i primi frutti anche se rimangono spesso in molte amministrazioni problemi che emergono in occasioni particolari, come i famigerati “click day”. In questi casi spesso accanto a ragioni tecniche reali dovute alla mole di transazioni da gestire in contemporanea emerge in modo ancora più evidente come il progressivo depauperamento delle competenze interne e una scarsa cultura della organizzazione manageriale dell’IT presente nella PA influiscano negativamente sull’output dei servizi erogati che richiedono una forte capacità di coordinamento a livello nazionale di enti pubblici nazionali e territoriali e di interazione con il resto delle parti sociali del Sistema Paese.
La direzione è quella giusta ma bisogna passare “dalle parole ai fatti” ovvero “dalle leggi ai servizi operativi in digitale” ma in “un digitale fruibile a tutti” dove i cittadini, in modo uniforme su tutto il territorio nazionale, possono districarsi tra le diverse tecnologie senza dover chiedere costantemente aiuto (il sito non funziona, il call center non risponde, lo Spid non mi permette di accedere, la firma digitale non è compatibile o mi si richiede il pdf con documento allegato, invio con la pec o con la mail, etc..).
Per fare il salto necessario nella digitalizzazione del Paese è necessario che si intervenga con una visione unitaria sul fronte della governance dei Processi, della Sicurezza e dei Dati.
La Legge 11 settembre 2020, n. 120 di conversione, con modificazioni, del decreto-legge 16 luglio 2020, n. 76, recante «Misure urgenti per la semplificazione e l’innovazione digitali» (Decreto Semplificazioni) introduce modifiche al codice dell’amministrazione digitale Cad- decreto legge 82/2005 per una più ampia diffusione degli strumenti di cittadinanza digitale e alla legge 241 sulla semplificazione dei procedimenti amministrativi, e il Dpcm 30 luglio 2020 – Regolamento in materia /90 di perimetro di sicurezza nazionale cibernetica, ai sensi dell’articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, pubblicato nella Gazzetta Ufficiale del 21 ottobre 2020, n. 131 che è entrato in vigore il 5 novembre 2020 – che ci pone all’avanguardia nel tema della sicurezza cibernetica, insieme agli altri precedenti provvedimenti in materia di digitalizzazione ci posizioniamo tra i Paese con legislazione più avanzata che ispirano altri Paesi, europei ed extra europei al rinnovamento tecnologico e la digitalizzazione.
Da un punto di vista più tecnico va osservato che manca un modello unitario necessario che integri questi tre fronti strategici e indispensabili.
Governance dei processi
Per quanto riguarda la governance dei processi il primo provvedimento introduce l’art. 13bis nel Cad e fa riferimento ad un “Codice di condotta Tecnologico” che sarà emanato dal Dipartimento della Presidenza del Consiglio entro il primo trimestre del 2021. L’articolo introduce l’idea che esistono una serie di indicazioni/prescrizioni sul “come” fare le cose e che l’AgID assuma un ruolo di ente che verifica l’operato delle singole amministrazioni pubbliche e nel caso applichi sanzioni.
In particolare, il Codice di Condotta Tecnologico è previsto che sia in coerenza tra i requisiti nell’ambito della progettazione e realizzazione dei propri sistemi informatici e servizi digitali. Esso “disciplina le modalità di progettazione, sviluppo e implementazione dei progetti, sistemi e servizi digitali delle amministrazioni pubbliche, nel rispetto del principio di non discriminazione, dei diritti e delle libertà fondamentali delle persone e della disciplina in materia di perimetro nazionale di sicurezza cibernetica.”
L’articolo 13bis pone giustamente una serie di vincoli nella progettazione, nello sviluppo e nella realizzazione dei “progetti, sistemi e servizi digitali”.
La direzione è quella giusta ma sarebbe più utile non fermarsi ai servizi digitali prevedendo indicazioni precise anche per i servizi tout-court. In fondo la Pubblica amministrazione è un grande organismo che produce servizi per i cittadini, le imprese, le istituzioni che contribuiscono al benessere del Paese. Che differenza c’è tra digitali e non digitali? In particolare sarebbe utile non fermarsi alla sola progettazione ma spingersi a costruire una governance completa dell’intera catena dei servizi, definendo modalità, standard, metodi di erogazione e monitoraggio del servizio.
In questo senso sarebbe utile adottare Itil che già da anni molte amministrazioni usano in tutto o in parte ma che dovrebbe diventare la base per un “codice di condotta dei servizi della PA”. L’Itil mette al centro l’erogazione di un servizio e descrive best practices dalla sua progettazione al suo esercizio, alla misurazione dei livelli di servizio, il ciclo di vita del servizio, la gestione dei fornitori, il modello di costing, ecc. Itil è ormai il riferimento internazionale nella erogazione standardizzata dei servizi. Il modello che gli ha consentito di avere successo è “adotta e adatta” che non si presenta come un corposo elenco di prescrizioni ma come best practices che vanno adattate alla singola organizzazione e alle sue specificità. Cobit è un altro framework complementare ad Itil che ha una visione più ampia dell’organizzazione e mette a disposizione controlli (ovvero cosa controllare e come), descrizione di processi, maturity model che consentono di confrontare la propria organizzazione con le migliori pratiche, management guidelines e “tools”. Cobit nasce per aiutare le organizzazioni a focalizzare l’IT sugli obiettivi strategici e di business e nel mondo delle grandi enterprise e largamente adottato. Esistono poi standard e metodologie che raccolgono le migliori best practices per la sicurezza e la qualità del software come la corretta definizione delle architetture (come Togaf che si integra perfettamente con Itil e Cobit).
Potrebbe essere anche opportuno prendere a riferimento il nuovo standard internazionale ISO 56000 Innovation management pubblicato a febbraio 2020 rivolto alle organizzazioni che devono migliorare la propria capacità di gestire efficacemente le attività di innovazione verso i propri utenti, clienti e altre parti interessate al loro operato; organizzazioni e parti interessate che desiderano migliorare la comunicazione a partire dalla comprensione comune del vocabolario utilizzato nella gestione dell’innovazione.
La norma ISO 56000 è applicabile a tutti i tipi di organizzazioni (private, pubbliche e ONG) di qualsiasi dimensione, con un’attenzione particolare alle Pmi e per tutti i tipi di innovazione (prodotti, metodi, servizi, processi, organizzazione e business modelli nuovi o migliorati). Avviare l’applicazione di questo standard alle
pubbliche amministrazione potrebbe essere di traino per l’utilizzo nelle Pmi che partecipano alle gare pubbliche, aiutando lo sviluppo economico del Paese e la crescita di know-how.
Governance della Sicurezza
Per quanto riguarda la governance della sicurezza il perimetro di sicurezza nazionale cibernetico” interviene sull’aspetto della sicurezza cyber oggi sempre più rilevante e importante. In questo ambito si procede individuando per ora tutte le organizzazioni che svolgono una attività essenziale per la vista dello Stato e gli si chiede di trasmettere l’inventario dei beni Ict coinvolti nella erogazione dei servizi essenziali, di fare una analisi di impatto e dei rischi a cui possono incorrere e di adottare le indicazioni degli standard e delle best practices in termini di sicurezza nonché prescrizioni che dovessero essere diramate. La cosa interessante è che ogni amministrazione coinvolta dovrà a sua volta analizzare i soggetti esterni e i fornitori per comprendere gli impatti che potrebbe avere se un anello della catena del servizio essenziale erogato venisse meno e quali possono essere le contromisure. Questo significa coinvolgere ben presto la catena dei fornitori e subappaltatori, l’indotto di imprese che lavorano con questi enti pubblici. Anche su questo l’adozione di best practices e standard è una necessità per far fronte alla complessità di governo della sicurezza.
Tuttavia, quando si parla di sicurezza si dovrebbe andare oltre ai beni Ict e avere una mappa delle applicazioni, dei dati, dei processi, dei servizi e delle persone. Costruire una mappatura completa che aiuti a valutare i rischi e gli impatti, a prevedere le contromisure attive e passive. In un mondo nel quale un virus ransomware può essere attivato facilmente attraverso il phishing e blocca interi servizi critici è necessario intervenire con un approccio olistico al tema, sempre di più la social engineering gioca un ruolo rilevante in attacchi dietro i quali ci sono organizzazioni complesse e non di rado governative, la sicurezza informatica ha perso i connotati di una sicurezza tecnologica per diventare sempre di più sicurezza tout-court. L’attacco a Solarwind, che a Dicembre ha colpito le organizzazioni governative Usa, Microsoft e molte altre grandi aziende (perfino aziende specializzate sulla sicurezza informatica), ci deve dare la dimensione del problema e l’urgenza di occuparcene. Il lavoro intorno al “Perimetro di sicurezza cibernetico” è importante e ben fatto tuttavia la Pubblica Amministrazione è chiamata tutta ad un cambio di passo, la direzione intrapresa è giusta l’accelerazione e la forza hanno bisogno di una maggiore incisività e rapidità.
Governance dei dati
Infine c’è l’aspetto ancora più complesso per gli aspetti non solo informatici ma anche di natura semantica, giuridica ed archivistica del tema della governance dei dati.
Su questo fronte c’è molto da fare, i dati sono sempre più importanti nell’erogazione dei servizi e questo anno di pandemia ci ha dimostrato quanto sarebbe stato importante possedere dati per fare un tracciamento accurato (che ci avrebbe permesso di uscire di casa più liberamente o di controllare meglio l’epidemia), poter gestire i dati dell’Inps e degli altri enti preposti al sostegno economico in modo più integrato, quanto siano importanti ed oggetto di attacchi hacker i dati sanitari e della nostra ricerca.
È importante che su questo si costruisca un modello di governance dei dati, si possono prendere a riferimento le linee guida esistenti per il trattamento del dato, per la sua conservazione, la pubblicazione, l’interoperabilità. In particolare è necessario fare attenzione al tema della “qualità del dato” e della sua validazione sia semantica che tecnica, è certo necessario tenere conto di quanto è ancora giovane questa disciplina e di come evolve velocemente anche in relazione alla gestione dei big data e degli sviluppi dell’intelligenza artificiale che è in grado di mettere in correlazione tra loro dati strutturati e non strutturati, video e voce.
La Pubblica Amministrazione ha uno sconfinato numero di dati dispersi in migliaia di luoghi diversi, costruito con criteri diversi. Qui l’attenzione deve essere massima sulla validazione delle informazioni, la qualità del dato, la sua disponibilità e la sua tempestività. Quante volte in questo ultimo anno abbiamo potuto vedere come l’inefficienza nell’utilizzo dei dati ha comportato disagi. Dal click day per i buoni mobilità, ai ritardi
nell’erogazione dei sussidi e dei ristori della prima fase della pandemia. Una Pubblica Amministrazione che è in grado di avere dati efficienti significa decisioni più tempestive e che rispondono alle esigenze di cittadini e imprese, significa velocizzare la burocrazia ma, soprattutto, costruire i presupposti di una amministrazione trasparente che è focalizzata alla erogazione dei servizi senza dover chiedere informazioni che già possiede a chi ha diritto a quei servizi.
Il dl 76/2020 sulla semplificazione dedica un intero Capitolo, il capitolo III – articoli 33, 34 e 35, sulla “strategia di gestione del patrimonio informativo per fini istituzionali” che delinea ulteriori provvedimenti oltre quelli già previsti dal Cad sull’utilizzo dei dati pubblici e sulla loro pubblicazione. In particolare, esso definisce delle semplificazioni all’utilizzo della Piattaforma Digitale Nazionale Dati che favoriscono l’interoperabilità dei dati pubblici e che dovrebbero favorire la costituzione del modello di governance dei dati. L’auspicio è quello che tali direttive siano rese operative in tempi brevi e che la cultura del dato si integri con quanto previsto dal Gdpr sulla tutela dei dati personali.
Da poco le organizzazioni stanno prendendo coscienza del valore anche economico del dato. Nei documenti di strategia governativa spesso viene citato questo ambito ma è necessario anche qui costruire una solida capacità manageriale che possa guidare la realizzazione e gestione tecnologica.
La tecnologia è ormai così complessa e così pervasiva nelle nostre vite che essere un bravo tecnologo o possedere l’ultimo ritrovato del momento è condizione utile ma non sufficiente per poter progettare, costruire ed erogare servizi. È ancora più necessaria la capacità di vedere i servizi nella loro interezza.
In questo contesto va inquadrata la definizione del profilo professionale e delle sue competenze e il supporto formativo alla figura del Responsabile alla transizione digitale e alla figura di esperto prevista dal comma 3 dell’art 32 del decreto semplificazione che dovrebbe supportare il processo di trasformazione digitale le amministrazioni e a quella analoga dell’Innovation Digital Manager previsto per le PMI dal Ministero dello sviluppo economico nel quadro degli incentivi ad impresa 4.0.
Conclusioni
I servizi tecnologici sono sempre più servizi tout-court, i processi si avviano ad essere sempre più automatizzati, i dati sono sempre più numerosi, diffusi, non strutturati e le operazioni a cui possono essere sottoposti non sono più solo transazionali ma di analisi, classificazione, estrapolazione e predittive. La pandemia ci ha anche messo di fronte a come la tecnologia sia fondamentale per la nostra vita e il benessere generale, a partire dalla vita sociale, l’economia, il lavoro. Gran parte di questa tecnologia è già presente e siamo dipendenti da essa. Non possiamo lasciare che non sia governata attraverso strumenti manageriali, pratiche e regole (e vincoli etici) che da una parte consentano di garantire servizi sempre più efficaci ed efficienti, di qualità a cittadini e imprese e dall’altra di rimanere focalizzata agli obiettivi e alle indicazioni fissate dal Parlamento quale organo di espressione della volontà democratica.
Costruire un modello di governance di processi, dati e sicurezza implica costruire un modello che consenta a tutta la PA di parlare la stessa lingua, di adottare le medesime best practices, di poter controllare meglio l’operato dei fornitori e del proprio personale, di rispettare i vincoli etici che sono sempre più necessari.
Questo non solo ha un risvolto positivo in termini di erogazione dei servizi della PA ma avrebbe un enorme ritorno positivo sulla catena di fornitura e sull’indotto della PA che avrebbe modo di apprendere esso stesso come fornire servizi di qualità, progettare, costruire al meglio la tecnologia e di mettere questa conoscenza a disposizione del mercato delle aziende private superando quella strana dicotomia per cui chi opera nella PA non opera nel privato, come se fossero mondi diversi (oggi lo sono). Se non cominciamo a mettere insieme questi mondi in una cultura comune avremo sempre un privato che si lamenta dell’inefficienza dello stato e uno stato che guarda con distacco le semplificazioni “facili” del piccolo imprenditore. I progetti di modernizzazione e digitalizzazione della Pubblica Amministrazione previsti nel Pnrr sono una occasione importante per dare una svolta su questo fronte, non devono limitarsi solo a digitalizzare l’esistente ma un’occasione per ripensarlo, reingegnerizzarlo e trasformarlo.
Bene che il Presidente incaricato Draghi abbia messo in cima all’agenda il tema della riforma della PA, non si può non partire ripensando la governance cogliendo ciò che di buono si è fatto e facendo il salto necessario alla sua trasformazione.