Cogliere le opportunità sistemiche per la pubblica amministrazione e per il paese Da quanto è possibile comprendere in un quadro in rapida evoluzione, l’adozione dei servizi cloud, per loro natura basati su ottimizzazioni di carattere generale e su larghissima scala, sarà in grado di produrre risparmi economici diretti in tutti i settori economici. A livello macroeconomico, numerosi e autorevoli studi indicano i possibili benefici economici, anche in termini di aumento del PIL, che l’adozione del modello cloud può portare a livello nazionale e regionale (cfr. ad esempio [ETR09], [ARP11]). Per le grandi organizzazioni, compresa evidentemente la pubblica amministrazione, è possibile intravedere anche ulteriori vantaggi indiretti derivanti, ad esempio, dalla forte spinta verso la razionalizzazione delle infrastrutture ICT e degli asset informativi che il ricorso al cloud presuppone. Valutare tutti i costi della migrazione al cloud A livello di singola pubblica amministrazione, è possibile valutare l’impatto che l’adozione di soluzioni cloud comporta attraverso modelli quantitativi (cfr. ad esempio [AVE11], [VMW11], [MSI11]) che descrivono analiticamente costi e benefici delle diverse soluzioni e consentono un confronto delle diverse alternative di investimento in base all’analisi del TCO (Total Cost of Ownership), dell’IRR (Internal Rate of Return) e del ROI (Return on Investment). L’orizzonte temporale da considerare, qualunque sia il modello adottato, dovrà essere di medio-lungo periodo per evitare il rischio di un’analisi influenzata dai costi di migrazione previsti nelle fasi iniziali di un progetto di cloud computing, costi che sono invece assenti nei progetti che mantengono invariati i processi, le applicazioni e le tecnologie. Le diverse soluzioni dovrebbero essere comparate sulla base di tutte le tipologie di costi stimabili (in conto capitale, operativi, di opportunità). Raccomandazioni dettagliate relative ai percorsi di adozione sono già disponibili (cfr. ad esempio [NISTCON11]). In sintesi, si raccomanda di prevedere almeno le seguente azioni: Condurre un assessment del proprio sistema informativo (processi, applicazioni, infrastrutture) attraverso società indipendenti Analizzare la mappa dei processi, delle applicazioni, degli ambienti elaborativi, dei costi relativi di conduzione e manutenzione per individuare le parti candidate al cambiamento; Scegliere un modello quantitativo per la valutazione delle alternative di investimento; Utilizzare metriche e benchmark condivisi per la misura delle caratteristiche dei sistemi hardware, software, dei servizi e per il confronto dei costi associati alle diverse componenti Svolgere le prime esperienze cloud su applicazioni non mission critical Adottare alcuni accorgimenti per superare l’incompletezza del quadro normativo In via generale, il contratto di fornitura di servizi cloud sembra rientrare nella categoria dell’appalto di servizi disciplinato dall’art. 1655 del Codice civile [BEL11]. Tuttavia non esistono disposizioni nazionali o comunitarie specifiche che disciplinino i contratti relativi a servizi cloud. Gli strumenti contrattuali attualmente in uso appartengono alla categoria di contratti “per adesione”, sostanzialmente non negoziabili e talvolta non coerenti con le disposizioni sugli 47 appalti pubblici. Risulta perciò opportuno richiamare le previsioni del D. Lgs. 39/1993, del D. Lgs. 163/2006, del D. Lgs. 177/2009 e del D.P.R. 207/2010. In termini generali, a causa della prevalenza degli aspetti tecnologici, l’aggiudicazione dovrebbe essere a favore dell’offerta economicamente più vantaggiosa e la determinazione dell’importo a base di gara dovrà basarsi su una completa analisi dei costi della soluzione cloud. Nei casi previsti, per gli aspetti innovativi dei servizi cloud, la richiesta del parere di congruità da parte di DigitPA dovrebbe sempre essere accompagnata da uno studio di fattibilità [CNI06]. I diversi requisiti possono essere utilmente raggruppati in un documento - Cloud Service Level Agreement - che definisca e specifichi, tra l’altro, le parti contrattuali, l’oggetto della fornitura, i livelli di servizio (SLA), i trattamenti effettuati sui dati personali e la conformità alla normativa privacy applicabile (Privacy Level Agreement - PLA), la portabilità e interoperabilità dei servizi erogati, le eventuali penali e le verifiche di conformità.