Il problema è noto, ormai da tempo. Se ne parla continuamente e l’ultima –ennesima– riflessione alla questione arriva da un articolo su ForumPA, a firma Michela Stentella, ad evidenziare come l’attuazione del PNRR –Piano Nazionale Ripresa e Resilienza– sia messa a rischio anche dalla mancanza di adeguate competenze digitali nella Pubblica Amministrazione italiana.
A sollevare il problema è la Corte dei Conti, attraverso la sua relazione sullo stato di attuazione del PNRR pubblicata in data 6 novembre 2023, che evidenzia in modo piuttosto chiaro già nella sintesi i punti critici (neretto del sottoscritto):
Il secondo approfondimento tematico della Sezione II si incentra sul percorso di digitalizzazione della Pubblica amministrazione italiana, stimolato dalle misure del PNRR, ma che dovrà necessariamente essere accompagnato dal rafforzamento delle dotazioni di personale caratterizzato da elevate competenze tecniche. Emerge, al riguardo, come la PA italiana risulti in grave ritardo, rispetto agli altri Paesi europei, nella dotazione di personale specializzato in ambito digitale: per portare il peso nell’occupazione della PA delle figure qualificate come “scientists and engineers” agli standard medi europei occorrerebbe aumentarne il numero di ben 65.000 occupati. Il PNRR non rappresenta una rottura, rispetto alle strategie di digitalizzazione degli ultimi anni, ma un’accelerazione dei processi, da cui discenderanno impatti importanti dal punto di vista dei fabbisogni occupazionali espressi dalle amministrazioni. Il recupero dei ritardi attraverso l’incremento del personale specializzato rappresenta una sfida difficile, soprattutto alla luce delle difficoltà riscontrate nell’ultimo biennio dall’attività concorsuale per il reperimento di profili professionali tecnici o particolarmente specializzati.
Chi volesse approfondire la questione, alla quale è dedicato un intero capitolo della relazione “PNRR E COMPETENZE DIGITALI NELLA PA”, troverà interessanti dati e cifre tra cui, dove al punto 25, quella degli investimenti in cybersecurity relative alla “Componente 1 della Missione 1 (Digitalizzazione della PA)“:
Al quinto investimento (1.5 Cybersecurity) sono assegnate risorse per 623 milioni e prevede il rafforzamento delle difese cyber, potenziando le capacità di monitoraggio e gestione delle minacce, interconnettendo PA, imprese e fornitori di tecnologia e favorendo sinergie. Si intendono potenziare i presidi di front-line, così come le capacità tecniche di valutazione e certificazione tecnologica della sicurezza dei sistemi elettronici e delle applicazioni per i servizi critici ed essenziali; ulteriori interventi sono a potenziare il personale dedicato alla prevenzione e all’investigazione dei crimini informatici, per la protezione della sicurezza nazionale e dei dati.
Almeno nelle premesse e nelle intenzioni, ci siamo. Anche se guardando al Piano Triennale per l’Informatica nella PA dell’AgID, triennio 2022-2024 (l’ultimo aggiornamento al momento disponibile), il capitolo 6 dedicato alla sicurezza informatica è di solamente 4 pagine, di cui gli obiettivi attesi -solo 3- mi sembrano abbastanza debolucci:
Sul ruolo degli RTD, destinatari dei questionari di self-assesment utilizzati come indicatori per “l’incremento di Cyber Security Awareness“, temo siano ancora valide le osservazioni della ampiamente già citata “Relazione della commissione parlamentare d’inchiesta sulla digitalizzazione e l’innovazione della PA“, che purtroppo evidenzia come il ruolo dell’RTD, sicuramente importante e critico in ogni PA che vuole quantomeno adeguarsi al contesto digitale attuale, sia spesso assegnato al dirigente di turno senza verificarne né le adeguate competente né l’effettiva capacità di assolvere un ruolo così importante. Giusto per completezza, è il Codice dell’Amministrazione Digitale (“CAD”), all’art. 17, a definire l’ampio spettro di competenze di cui il Responsabile della Transizione Digitale è investito, tra cui, al comma 1 punto “c”: “indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettività, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1;”.
Non posso a questo punto esimermi dal sottolineare che proprio il CAD sembra voler contribuire alla preoccupante stortura sottolineata dalla già citata Commissione di Inchiesta Parlamentare del 2021 in quanto, invece di sottolineare con forza il ruolo critico di una figura così importante per la strategia digitale dell’Ente, come il comma 1-ter evidenzia specificando che “Il responsabile dell’ufficio di cui al comma 1 è dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali” (anche se a mio parere una figura simile è difficile da trovare), al comma 1-sexies pare abbandonare al destino della PA la gestione nel modo meno peggiore possibile: “Nel rispetto della propria autonomia organizzativa, le pubbliche amministrazioni diverse dalle amministrazioni dello Stato individuano l’ufficio per il digitale di cui al comma 1 tra quelli di livello dirigenziale oppure, ove ne siano privi, individuano un responsabile per il digitale tra le proprie posizioni apicali. In assenza del vertice politico, il responsabile dell’ufficio per il digitale di cui al comma 1 risponde direttamente a quello amministrativo dell’ente.“.
Il tutto senza neppure un cenno alla dotazione organica di un Ente pubblico in ambito ICT, che chiaramente rappresenta il braccio operativo per il funzionamento dei sistemi digitali, dalla stampante alla postazione di lavoro alle piattaforme PAAS, SAAS, IAAS ormai onnipresenti. Oltre, chiaramente, a dover gestire anche gli aspetti relativi alla sicurezza informatica anche in una doverosa ottica di suddivisione delle responsabilità (il controllore non può essere il controllato e viceversa).
Qui si torna, pertanto, al punto iniziale di questo mio articolo in cui, se da un lato mancano le competenze ICT nelle PA, dall’altro anche il legislatore non pare aver dato particolare peso alla questione affrontandolo sia sul lato recruitment che stipendiale. L’unico Ente che pare aver preso maggiore consapevolezza del problema è l’ACN, Agenzia Cybersicurezza Nazionale, che sotto la direzione del Prof. Baldoni dichiarò pubblicamente come “Nella PA purtroppo ci sono stipendi troppo bassi e poca meritocrazia […] Per questo puntiamo su tre punti fondameli. Primo: offrendogli un programma di formazione continua e di alto livello. Secondo: creando una struttura dove le competenze siano il motore. Terzo: con stipendi che, ringraziando il legislatore, sono i più alti possibile nel settore pubblico. Sono equiparati a quelli di Bankitalia”.
Eppure, oltre ad ACN, non ho notizia di altre PA che abbiano adeguato il loro motore ICT a questo nuovo paradigma. Per poi accorgersi, quando si verificano attacchi informatici ai danni delle infrastrutture, con interruzione del servizio, danni reputazionali, sanzioni del Garante della Privacy (come accaduto di recente all’ASL3 Napoli Sud) per inadempienze, che il Re è nudo. Con il rischio, ulteriore, di vedersi sfumare i preziosi contributi del PNRR che potrebbero seriamente fare la differenza.