Data redundancy e sovranità digitale nella PA

La trasformazione digitale della Pubblica Amministrazione comporta la gestione di volumi crescenti di dati sensibili e mission-critical. In questo contesto, la data redundancy e la sovranità digitale emergono come pilastri fondamentali per i CIO e gli IT Manager pubblici. Garantire che i servizi rimangano operativi anche di fronte a guasti o attacchi – rispettando al contempo le stringenti normative europee in materia di dati – è oggi una sfida prioritaria. 

In questo articolo vedremo perché la data redundancy è cruciale per la PA, quali sono le sfide delle soluzioni tradizionali (tra backup legacy, vendor lock-in e compliance) e come Cubbit – una piattaforma di storage oggetti geo-distribuito – offre una soluzione innovativa per ottenere massima resilienza, controllo sui dati e piena sovranità digitale. 

Il ruolo della data redundancy nella PA

Nell’ambito pubblico, l’operatività continua dei servizi è essenziale: downtime o perdita di dati possono tradursi in disservizi ai cittadini e costi enormi. Per questo la data redundancy – ovvero mantenere copie multiple e aggiornate delle informazioni – è un elemento chiave di business continuity e disaster recovery.

Avere sistemi ridondati su più sedi o infrastrutture permette di superare guasti hardware, disastri naturali o blackout senza interrompere i servizi: se un datacenter va offline, i dati sono già disponibili altrove in tempo reale​.

La data redundancy è vitale anche come difesa contro i ransomware. Questi attacchi cifrano o distruggono i dati primari, mettendo in ginocchio gli enti che non possono più accedere ai propri archivi. Disporre di backup isolati e immutabili – copie di sicurezza non alterabili e conservate in infrastrutture separate – consente di ripristinare i sistemi senza pagare riscatti.

In altre parole, la data redundancy funge da rete di sicurezza: un attacco informatico può bloccare temporaneamente un sistema, ma non comprometterà la continuità operativa se esistono copie integerrime dei dati da cui ripartire. Anche NIS2, la nuova direttiva europea sulla sicurezza delle reti, insiste sulla resilienza: le organizzazioni pubbliche classificate come soggetti essenziali dovranno adottare misure che garantiscano continuità operativa e integrità dei dati, pena sanzioni fino a 10 milioni di euro.

Le sfide della PA nella gestione dei dati

Nonostante l’importanza della protezione dei dati, molte Pubbliche Amministrazioni si scontrano con limiti delle soluzioni di backup e storage tradizionali. Sistemi legacy on-premise come backup su nastro o storage centralizzati in un unico CED (Centro Elaborazione Dati) presentano punti singoli di guasto e piani di recupero lenti. Un incendio o un attacco riuscito al data center centrale potrebbe rendere inaccessibili sia i dati di produzione sia i backup, compromettendo servizi critici per settimane. Inoltre, l’espansione dei dati mette sotto stress i budget IT: mantenere infrastrutture proprietarie ridondate su più siti può risultare proibitivo in termini di costi e competenze necessarie.

Per colmare queste lacune, molte PA stanno valutando il cloud, ma qui emergono altre sfide. Affidarsi ai tradizionali cloud provider (spesso extra-UE) espone al vendor lock-in – ovvero la dipendenza tecnologica ed economica da un singolo fornitore​.

Un ulteriore aspetto critico sono i requisiti normativi e di sovranità dei dati. La PA gestisce spesso dati personali dei cittadini e informazioni sensibili di interesse nazionale. Il GDPR impone che i dati personali siano trattati con adeguate garanzie; utilizzare cloud extra-UE richiede pertanto misure supplementari per evitare accessi non autorizzati da parte di governi stranieri. In parallelo, la direttiva NIS2 e i regolamenti nazionali spingono per una maggiore residenza dei dati sul territorio e controllo diretto da parte degli enti pubblici.

In Italia, il Regolamento Cloud per la PA (AgID) classifica i dati in strategici, critici o ordinari e richiede livelli crescenti di sicurezza e affidabilità per i servizi cloud che li gestiscono​. Ad esempio, dati strategici o critici richiedono cloud con elevati standard di protezione e spesso con sede dei dati in territorio nazionale o UE. Inoltre, per offrire servizi cloud alla PA, un fornitore deve ottenere la qualificazione AgID/ACN, soddisfacendo rigorosi criteri di sicurezza, privacy e performance​.

I cloud pubblici generalisti non sempre offrono garanzie di sovranità digitale (ad esempio rispetto al Cloud Act statunitense). Ne deriva che la PA si trova dinanzi a un dilemma: come sfruttare i vantaggi del cloud senza incorrere in lock-in o violazioni normative?

Cubbit come soluzione per la data redundancy

Di fronte a queste sfide, Cubbit si propone come una soluzione innovativa per il cloud storage della PA, progettata per massimizzare la data redundancy e il controllo sui dati. Si tratta di un cloud oggetti geo-distribuito privato, 100% compatibile con S3, che sfrutta nodi di storage dislocati su più sedi. A differenza del cloud tradizionale centralizzato in pochi data center, Cubbit elimina il single point of failure distribuendo i file su molteplici nodi: ogni file caricato viene cifrato, frammentato e replicato su server situati in varie location. In questo modo, nessun nodo contiene mai il file completo, ma solo porzioni crittografate mescolate con quelle di altri utenti. Questo approccio garantisce una data redundancy intrinseca: un intruso che accedesse a un singolo nodo non otterrebbe che un puzzle impossibile da decifrare.

Sul piano della resilienza, la perdita di uno o più nodi non compromette l’integrità dei dati: il file può sempre essere riassemblato dai frammenti sugli altri nodi, garantendo continuità del servizio anche in caso di disastro locale o attacco mirato​. La stessa durabilità raggiunge livelli elevatissimi – fino a 15 9. Ciò equivale a una probabilità di perdita dati di 1 su 1 milione di miliardi, ossia un rischio 10.000 volte inferiore rispetto agli standard di settore​. In altre parole, la tecnologia di Cubbit implementa la data redundancy by design, fornendo uno storage iper-resiliente, immune dal downtime di intere strutture​.

Un elemento distintivo di Cubbit è la capacità di assicurare la sovranità completa dei dati. La piattaforma permette infatti di geo-delimitare lo storage, ovvero di definire esattamente l’area geografica (nazione o persino città) entro cui risiederanno i dati​. Questo significa che una PA può garantire che tutti i propri documenti siano conservati all’interno del territorio nazionale o comunque in UE, evitando trasferimenti verso giurisdizioni extra-europee. La geo-distribuzione nazionale offre un duplice vantaggio: da un lato aiuta a soddisfare i requisiti di conformità a GDPR, NIS2 e alle policy locali sulla residenza dei dati, dall’altro fornisce pieno controllo operativo e legale sul patrimonio informativo dell’ente​.

Cubbit, essendo una soluzione cloud made in EU, non è soggetta a leggi come il Cloud Act USA che potrebbero imporre accessi ai dati su server esteri​. Di conseguenza, scegliere Cubbit significa ridurre la dipendenza da provider extra-UE e scongiurare rischi di ingerenza straniera. Va notato inoltre che Cubbit ha ottenuto la qualificazione cloud da parte dell’ACN (ex AgID) ed è presente nel catalogo MePA per la PA​, a riprova del suo rispetto degli standard pubblici. In termini di certificazioni, la piattaforma è conforme a ISO 9001:2015, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 20000-1:2018 e ISO 22301:2019, assicurando che la compliance non richieda compromessi sulle funzionalità. In breve, Cubbit offre un cloud sovrano dove l’ente pubblico mantiene il controllo end-to-end sui propri dati – sapendo sempre dove si trovano e chi vi può accedere – e può così rispondere ai principi di autonomia digitale promossi a livello europeo. Non a caso, sono oltre 400 le organizzazioni che utilizzano la sua infrastruttura, fra cui Aeroporto di Bologna, ASL CN1 Cuneo e Regione Sicilia.