Dare continuità nell’erogazione dei servizi informatici forniti ai cittadini da parte di Lepida. A chiederlo, con un’interpellanza, è Valentina Castaldini (Forza Italia) che vuole sapere “quali siano le classificazioni AgID aggiornate dei datacenter di Lepida, se sussistano rischi per la continuità dei servizi erogati ai cittadini tramite Lepida e se sussistano rischi per la sicurezza dei dati privati e sensibili dei cittadini gestiti dalle pubbliche amministrazioni attraverso i servizi forniti da Lepida”. A risponderle in Aula è stata l’assessora Paola Salomoni (Agenda digitale).
La Regione, ricorda la consigliera, è socio di maggioranza di Lepida ScpA, “società partecipata da oltre 440 Enti che fornisce soluzioni ICT a favore di cittadini, imprese e pubblica amministrazione, con una linea di alta specializzazione nei settori della sanità, dell’assistenza sociale, dei servizi degli enti locali alla persona e dei servizi socio sanitari: nell’ultimo anno si sono succeduti diversi incidenti che hanno comportato la non disponibilità di servizi per i cittadini” ha scandito la consigliera.
“Nel 2019 sono stati effettuati il censimento del patrimonio ICT delle Pubbliche Amministrazioni e la classificazione delle infrastrutture idonee all’uso da parte dei Poli Strategici. I datacenter in uso alla P.A. sono stati suddivisi in tre classi e nei datacenter che non rientrano tra quelli candidabili a PSN non è possibile effettuare investimenti. Il 10 febbraio 2020 AgID ha comunicato che il censimento della classificazione dei datacenter di Lepida aveva fornito i seguenti risultati: il datacenter di Ferrara è risultato candidabile a PSN, il datacenter di Parma è risultato gruppo A, il datacenter di Ravenna è risultato gruppo A, il datacenter di Modena non era ancora stato completato e non è stato valutato”.
La Strategia cloud Italia, ha spiegato la capogruppo azzurra, “dà gli indirizzi strategici per portare nel cloud la pubblica amministrazione per arrivare ad avere autonomia tecnologica, controllo dei dati e aumentare la resilienza dei sistemi digitali. Entro il 2023 Lepida doveva uniformarsi ai requisiti minimi, poi prorogato a giungo 2024”.
L’assessora Salomoni ha risposto che “con il Piano 2024 si ridefiniscono i data center e 3 sono nel gruppo A. La competenza è dell’Agenzia per la cybersicurezza nazionale. Sono stati inviati i dati ed è stata inserita anche Modena. Entro il 18 gennaio i 4 data center sono stati presentati per la classificazione alla Cibersicurezza nazionale e Lepida ha sottoscritto la conformità ai requisiti richiesti. Lepida opera in modalità Ias (non gestita) ed è dipendente dalle applicazioni delle pubbliche amministrazioni che devono sfruttare la componente Ias di Lepida, ma devono costruire applicativi che garantiscano il servizio. Non è solo Lepida che garantisce la continuità, ma questo dipende anche da un software a livello nazionale. E se non funziona, non funzionano nemmeno i nostri servizi. La Regione ha chiesto a Lepida lo spostamento in business continuity e che sia resiliente”. Infine, la Regione “ha messo in campo diverse iniziative per la sicurezza, ne cito tre: l’istituzione di una struttura nazionale per la sicurezza di rete, piattaforme e sistemi e in 2 mesi hanno aderito 100 enti e alcune Asl; la Reg partecipa all’Agenzia per la Cybersicurezza nazionale; è stato firmato, nel luglio 2023, un accordo tra Regione, Lepida e polizia di Stato firmato che è un altro tassello per aumentare la sicurezza”.
Valentina Castaldini ha replicato: “Credo che il data center di Lepida abbia bisogno di una verifica successiva perché non mi risulta che sia mai stato classificato. Serve attenzione, e una riflessione politica, verso questa nuova frontiera che attira malintenzionati”.
(Gianfranco Salvatori)