Il Piano Triennale per l’informatica nella Pubblica Amministrazione (Piano Triennale o Piano) è uno strumento essenziale per promuovere la trasformazione digitale del Paese e, in particolare, quella della Pubblica Amministrazione italiana, attraverso la declinazione della strategia in materia di digitalizzazione in indicazioni operative, quali obiettivi e risultati attesi, riconducibili all’azione amministrativa delle PA.
L’Agenzia per l’Italia digitale ha pubblicato lo scorso 12 febbraio la strategia al 2026 che attribuisce uno spazio più rilevante al Pnrr, oltre a fornire un quadro organico dei vari ambiti di cui si compone, tramite la collaborazione con i soggetti che esercitano competenze istituzionali e responsabilità sull’implementazione.
Il nuovo Piano 2024-2026 si inserisce nel più ampio contesto di riferimento definito dal programma strategico “Decennio Digitale 2030”, istituito dalla Decisione (UE) 2022/2481 del Parlamento Europeo e del Consiglio del 14 dicembre 2022, i cui obiettivi sono articolati in quattro dimensioni: competenze digitali, servizi pubblici digitali, digitalizzazione delle imprese e infrastrutture digitali sicure e sostenibili.
Principi guida della strategia sono il cloud first e security by design nello sviluppo e nell’erogazione dei servizi pubblici.
Il ruolo del cloud come volàno di sviluppo della PA
La Strategia Cloud risponde a tre sfide principali: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali. In coerenza con gli obiettivi del Pnrr, la strategia traccia un percorso per accompagnare le PA italiane nella migrazione dei dati e degli applicativi informatici verso un ambiente cloud sicuro.
Con il principio cloud first, si vuole guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. In particolare, le pubbliche amministrazioni, in fase di definizione di un nuovo progetto, e/o di sviluppo di nuovi servizi, in via prioritaria devono valutare l’adozione del paradigma cloud prima di qualsiasi altra tecnologia.
Le amministrazioni sono dunque obbligate ad effettuare una valutazione in merito all’adozione del cloud che rappresenta l’evoluzione tecnologica più dirompente degli ultimi anni e che sta trasformando radicalmente tutti i sistemi informativi della società a livello mondiale.
Nel caso di eventuale esito negativo, la valutazione dovrà essere motivata. L’adozione del paradigma cloud rappresenta, infatti, la chiave della trasformazione digitale abilitando una vera e propria rivoluzione del modo di pensare i processi di erogazione dei servizi della PA verso cittadini, professionisti ed imprese.
In questo contesto assume un ruolo centrale il Polo strategico nazionale dove sono obbligate a migrare tutte le PA italiane entro il 2026.
La roadmap della migrazione al cloud
Il Piano delinea la roadmap per la migrazione al cloud dei sistemi delle amministrazioni.
- Target 2024 – 4.083 amministrazioni migrate con infrastrutture e servizi cloud qualificati/adeguati e almeno 100 amministrazioni migrate con almeno un servizio verso il Psn. Nell’ultima relazione di attuazione del Pnrr, il governo ha però ridimensionato gli obiettivo: è sufficiente che le PA migrino almeno un servizio sul Psn;
- Target 2025 – Il 75% delle amministrazioni individuate nella legge di contabilità e finanza pubbluca del 2009 completano la realizzazione dei piani di migrazione trasmessi a Dipartimento per la Trasformazione digitale e Agid;
- Target 2026 – Il 100% delle completano la realizzazione dei piani di migrazione trasmessi a al Dipartimento e Agid.
Cybersecurity, roadmap e target per le PA
Per garantire lo sviluppo e il rafforzamento delle capacità cyber nazionali, con il Piano Nazionale di Ripresa e Resilienza e con i Fondi per l’attuazione e la gestione della Strategia nazionale di cybersicurezza sono state destinate significative risorse alla sicurezza cibernetica e alle misure per realizzare un percorso di miglioramento della postura di sicurezza del sistema Paese nel suo insieme e, in particolare, della Pubblica Amministrazione.
Gli obiettivi e i risultati attesi, definiti successivamente nel presente capitolo, sono in linea con specifici interventi realizzati dall’Agenzia per la cybersicurezza nazionale (Acn) in favore delle pubbliche amministrazioni per cui sono state individuate specifiche aree di miglioramento. In particolare, il riferimento è alla necessità di:
- prevedere dei modelli di gestione centralizzati della cybersicurezza, coerentemente con il ruolo trasversale associato;
- definire processi di gestione e mitigazione del rischio cyber, sia interni sia legati alla gestione delle terze parti di processi IT;
- promuovere attività legate al miglioramento della cultura cyber delle Amministrazioni.
All’interno di questo contesto, Agid metterà a disposizione della Pubblica Amministrazione una serie di piattaforme e di servizi, che verranno erogati tramite il proprio Cert, finalizzati alla conoscenza e al contrasto dei rischi cyber legati al patrimonio Ict della PA.
Obiettivi chiari e misurabili sulla cybersecurity
Nel Piano si stabiliscono obiettivi chiari e misurabili per cybersecurity: tra questi la distribuzione, a tutte le PA italiane, degli IoC (indicatori di compromissione) entro il 2026 e supporto alla formazione dei dipendenti con l’obiettivo di accrescere competenze e consapevolezza sulle minacce. Il piano delinea tre campi d’azione:
- iniziative di monitoraggio proattivo;
- strumenti per l’autovalutazione dei rischi cyber;
- programmi formativi destinati a rafforzare la cultura della cybersecurity all’interno delle PA.
Per quanto riguarda, nello specifico, la distribuzione degli indicatori di compromissione, il piano stabilisce i seguenti target:
- Target 2024 al 30% delle PA.
- Target 2025: distribuzione degli IoC al 60% delle PA.
- Target 2026: distribuzione degli IoC al 100% delle PA.
Gli IoC, si legge nel Piano, sono “strumenti vitali per l’identificazione precoce di potenziali minacce”, che aiutano le PA ad adottare misure preventive e reattive tempestivamente. E, dunque, un monitoraggio costante può rappresentare un’azione chiave per alzare le difese delle amministrazioni.
L’obiettivo RA7.6.2 prevede inoltre “la fornitura di strumenti funzionali all’esecuzione dei piani di autovalutazione dei sistemi esposti”, resi disponibili sul sito Cert-Agid: questi strumenti metteranno gli enti nelle condizioni di valutare in autonomia il proprio livello di sicurezza e identificare eventuali vulnerabilità.
Infine l’obiettivo RA7.6.3 che punta a fornire un supporto formativo/informativo alle PA, e segnatamente ai cd Responsabili per la Transizione Digitale per aumentare il livello di consapevolezza sulle minacce cyber.
Intelligenza artificiale, la PA verso la svolta 4.0
Per la prima volta, il Piano affronta il tema dell’Intelligenza Artificiale, fornendo indicazioni e principi generali che dovranno essere adottati dalle amministrazioni e declinati in fase di applicazione, tenendo in considerazione lo scenario in rapida evoluzione.
Principi generali per l’utilizzo dell’AI nella PA
Nel Piano si riportano alcuni principi generali che dovranno essere adottati dalle pubbliche amministrazioni e declinati in fase di applicazione tenendo in considerazione lo scenario in veloce evoluzione.
- Miglioramento dei servizi e riduzione dei costi. Le pubbliche amministrazioni concentrano l’investimento in tecnologie di intelligenza artificiale nell’automazione dei compiti ripetitivi connessi ai servizi istituzionali obbligatori e al funzionamento dell’apparato amministrativo. Il conseguente recupero di risorse è destinato al miglioramento della qualità dei servizi anche mediante meccanismi di proattività.
- Analisi del rischio. Le amministrazioni pubbliche analizzano i rischi associati all’impiego di sistemi di intelligenza artificiale per assicurare che tali sistemi non provochino violazioni dei diritti fondamentali della persona o altri danni rilevanti. Le pubbliche amministrazioni adottano la classificazione dei sistemi di IA secondo le categorie di rischio definite dall’AI Act europeo.
- Trasparenza, responsabilità e informazione. Le pubbliche amministrazioni pongono particolare attenzione alla trasparenza e alla interpretabilità dei modelli di intelligenza artificiale al fine di garantire la responsabilità e rendere conto delle decisioni adottate con il supporto di tecnologie di intelligenza artificiale. Le amministrazioni pubbliche forniscono informazioni adeguate agli utenti al fine di consentire loro di prendere decisioni informate riguardo all’utilizzo dei servizi che sfruttano l’intelligenza artificiale
- Inclusività e accessibilità. Le pubbliche amministrazioni sono consapevoli delle responsabilità e delle implicazioni etiche associate all’uso delle tecnologie di intelligenza artificiale. Le pubbliche amministrazioni assicurano che le tecnologie utilizzate rispettino i principi di equità, trasparenza e non discriminazione.
- Privacy e sicurezza. Le pubbliche amministrazioni adottano elevati standard di sicurezza e protezione della privacy per garantire che i dati dei cittadini siano gestiti in modo sicuro e responsabile. In particolare, le amministrazioni garantiscono la conformità dei propri sistemi di IA con la normativa vigente in materia di protezione dei dati personali e di sicurezza
- Formazione e sviluppo delle competenze. Le pubbliche amministrazioni investono nella formazione e nello sviluppo delle competenze necessarie per gestire e applicare l’intelligenza artificiale in modo efficace nell’ambito dei servizi pubblici.
- Standardizzazione. Le pubbliche amministrazioni tengono in considerazione, durante le fasi di sviluppo o acquisizione di soluzioni basate sull’intelligenza artificiale, le attività di normazione tecnica in corso a livello internazionale e a livello europeo da CEN e CENELEC con particolare riferimento ai requisiti definiti dall’AI Act.
- Sostenibilità. Le pubbliche amministrazioni valutano attentamente gli impatti ambientali ed energetici legati all’adozione di tecnologie di intelligenza artificiale e adottando soluzioni sostenibili dal punto di vista ambientale.
- Foundation Models (Sistemi IA “ad alto impatto”). Le pubbliche amministrazioni, prima di adottare foundation models “ad alto impatto”, si assicurano che essi adottino adeguate misure di trasparenza che chiariscono l’attribuzione delle responsabilità e dei ruoli, in particolare dei fornitori e degli utenti del sistema di IA.
- Dati. Le pubbliche amministrazioni, che acquistano servizi di intelligenza artificiale tramite API, valutano con attenzione le modalità e le condizioni con le quali il fornitore del servizio gestisce di dati forniti dall’amministrazione con particolare riferimento alla proprietà dei dati e alla conformità con la normativa vigente in materia di protezione dei dati e privacy.
