Di recente stiamo assistendo ad una svolta repressiva del governo cinese nei confronti dei giganti tecnologici del paese.
Prima Alibaba, quindi Didi e ora si aggiungono altre società alla lista delle società del settore IT finite nel mirino di Pechino, vittime di questa nuova politica del cyber-controllo varata dal governo cinese e cementata da un plesso di norme sempre più rigido e comprensivo nel settore, che offre molteplici grimaldelli alle autorità amministrative per mettere nell’angolo le società tecnologiche, rendendo di fatto chiaro che i big data generati nel paese sono un asset governativo e non una proprietà privata.
Sembra infatti che sia passato il tempo in cui, in Cina, “arricchirsi è (era) glorioso” nelle parole di (o, meglio, attribuite a) Deng Xiaoping, o quantomeno è meglio farlo in settori che il governo non considera sensibili per evitare guai.
Le big tech ora fanno paura: così i Governi si organizzano, a Occidente e Oriente
Il caso Didi
È di domenica 4 luglio la notizia che l’app Didi (l’Uber cinese, con ben 380 milioni di iscritti) è stata rimossa dagli app store disponibili sui dispositivi iOS e Android in Cina.
La società, che nel 2016 ha acquisito la sussidiaria cinese di Uber (Uber China) dopo averla surclassata a livello commerciale per la sua conoscenza delle peculiarità del governo cinese (e per le difficoltà incontrate da Uber con le autorità locali), è stata poi costretta con provvedimento del 9 luglio a rimuovere dagli app store cinesi tutte le proprie app (che sono 25, inclusa appunto Uber China).
Questi provvedimenti originano da un’indagine della CAC – Cyberspace Administration of China (l’autorità di vigilanza in tema cybersecurity del paese, che risponde direttamente alla Central Cyberspace Affairs Commission, organo di vertice presieduto nientemeno che da Xi Jinping) relativa al rispetto delle direttive in tema di protezione dei dati personali di cui alla Cybersecurity Law in vigore dal 2017 nel paese e di cui alla normativa tecnica di dettaglio che da questa discende.
L’indagine, iniziata pochi giorni prima, ha spinto subito l’azienda a non accettare nuovi iscritti e quindi a bloccare la diffusione dei propri applicativi sui vari app store del paese, su ordine dell’autorità.
L’azienda ha quindi diffuso un comunicato stampa ringraziando la Cyberspace Administration per averla indirizzata verso una nuova valutazione dei rischi per la protezione dei dati degli utenti e impegnandosi ad una coscienziosa rivalutazione del problema.
Per contestualizzare l’indagine è opportuno riferire che all’inizio di giugno la società Didi Chuxing ha presentato richiesta per essere quotata alla borsa di New York, puntando al secondo miglior debutto per un’azienda cinese a Wall Street (dietro ad Alibaba).
Quindi il 30 giugno sono state aperte le negoziazioni del titolo di Didi e, pochi giorni dopo, è arrivata l’indagine della CAC che ha, naturalmente, raffreddato gli entusiasmi degli investitori.
Il caso Alibaba
Il caso Alibaba, che per primo ha reso evidente agli occhi del mondo la svolta repressiva dell’amministrazione cinese, è un po’ diverso da quello di Didi e si intreccia con la figura di Jack Ma, uomo simbolo dell’azienda e divenuto talmente popolare da risultare scomodo al governo di Pechino.
Poco dopo un discorso di Ma, critico verso il governo di Pechino, reo secondo il magnate di soffocare l’innovazione tecnologica del paese, l’amministrazione ha sospeso l’IPO di ANT Group, affiliata di Alibaba, e ha in seguito promosso una ristrutturazione aziendale (accettata di buon grado da Ma pur di ricucire i rapporti con le autorità).
Quindi lo scorso aprile l’Autorità antitrust cinese ha comminato una multa da ben 2,75 miliardi di dollari nei confronti di Alibaba, censurando la sua posizione di sostanziale monopolio nel settore del commercio online.
Contemporaneamente l’Autorità antitrust ha avviato indagini anche nei confronti di Meituan, gigante del food delivery, e di ByteDance, la società che gestisce TikTok.
L’8 luglio scorso, inoltre, sia Alibaba, che Didi, che Tencent, sono state sanzionate per 500.000 Yuan (pari a circa 65.000 €, il massimo previsto dalla normativa) dall’Autorità antitrust del paese per alcune operazioni di fusione non adeguatamente approvate
E le aziende straniere?
Questa evoluzione normativa e regolatoria non coinvolge unicamente le aziende cinesi. Pechino fa molto sul serio quanto alla localizzazione dei dati anche con le aziende straniere e in questo senso è significativo vedere che Tesla lo scorso maggio ha annunciato di aver iniziato a localizzare i dati delle sue vetture vendute sul mercato cinese in data center cinesi e di avere in programma di costruire nuovi data center nella Repubblica Popolare per garantire che i dati generati dalle Tesla cinesi non escano dai confini del paese.
La decisione segue una serie di notizie secondo cui l’esercito cinese avrebbe diffuso comunicati interni vietando l’accesso alle Tesla (con le loro telecamere a bordo) ai complessi militari e vietando agli ufficiali cinesi di utilizzarle (in quanto i dati relativi agli spostamenti delle vetture Tesla potrebbero essere utilizzati per spiare i cittadini cinesi).
Del resto, anche Apple, nel 2017, si era impegnata a conservare i dati dei proprietari di iPhone cinesi nel paese.
La normativa privacy cinese, infatti, prescrive la conservazione dei dati all’interno della Cina salve limitate eccezioni e questo ha costretto molte aziende tech straniere a rivedere le proprie strategie nel paese. Il timore, ovviamente, è che dalla localizzazione dei dati nel paese il passo sia breve per una richiesta (irrinunciabile) di accesso ai dati stessi.
E le aziende straniere sono finite di nuovo nel mirino quando, nel dicembre 2020, la CAC ha eliminato 105 app dagli app store disponibili in Cina, tra cui molte app di fornitori stranieri, come Tripadvisor, con lo scopo dichiarato di “ripulire l’internet cinese”.
È invece la protezione dei dati personali che ha spinto la CAC a un nuovo giro di vite sugli app store lo scorso maggio, di cui hanno fatto le spese app come Bing e Linkedin (che all’inizio del 2021 ha annunciato che non avrebbe più accettato nuovi iscritti e di avere in programma una revisione della propria compliance sperando di evitare la stretta) e Duoyin (l’app cinese omologa di TikTok e sempre di proprietà di ByteDance), fissando termini stretti per dimostrare di trattare i dati in conformità alla normativa cinese.
La strategia cinese è quindi variegata nell’intervento regolatorio e repressivo del governo, passando dalla normativa in tema di protezione dei dati, a quella antitrust, al semplice obiettivo di “ripulire” internet.
La normativa cinese
Il primo gennaio 2017 è entrata in vigore in Cina la Cybersecurity Law, una disciplina complessa e completa in tema di protezione e sicurezza dei dati (qui il riferimento è a qualsiasi tipologia di dati, anche non riferiti a persone fisiche).
La disciplina introduce numerosi “obblighi di cooperazione” in capo ai fornitori di servizi nel settore IT ed in favore delle autorità governative e, all’art. 37, prescrive la localizzazione dei dati all’interno della Cina quando il fornitore di servizi è straniero.
La Cybersecurity Law è poi integrata da numerosi Guobiao (normative tecniche di settore paragonabili in certa misura a delle norme ISO, vincolanti o raccomandate a seconda dei casi) ed è stata recentemente affiancata da due significativi approdi normativi, che aumentano le “frecce” all’arco delle Autorità governative nel rapporto con i colossi tech, già oggi impari a favore delle prime.
Il primo settembre 2021 entrerà in vigore la nuova Data Security Law, interessante perché tradisce la prospettiva del governo cinese in questo settore e propone infatti una “classificazione” dei dati raccolti dal settore privato sulla base della loro importanza in relazione agli interessi dello stato.
Questa nuova norma introduce inoltre disposizioni (vaghe e quindi verosimilmente utilizzabili ad ampio spettro dalle autorità) che impongono una compliance anche sull’aspetto sociale ed etico della raccolta dati.
Altro importante tassello dell’evoluzione normativa cinese nel settore della cybersecurity è la Personal Information Protection Law, una normativa modellata sul GDPR nostrano che però non si spinge ad un’applicazione rivolta al settore pubblico e si limita a proporre stringenti limiti circa il trattamento dati da parte delle aziende private
Se il fatto che il GDPR faccia scuola spingendo altre nazioni ad implementare un modello di tutela elevata, la preoccupazione è che questa normativa nel caso cinese non sia che uno strumento di controllo da parte dell’autorità pubblica dell’essenziale settore tecnologico nazionale.
I motivi della stretta cinese
Le ipotesi alla base di queste iniziative amministrative e di questa stretta normativa sono più d’una.
Secondo molti il Governo cinese vuole evitare che dal settore imprenditoriale nascano figure che possano ottenere un consenso politico, magari presentandosi come gatekeeper di strumenti a cui il potere non può accedere con facilità.
Difficile quindi immaginare uno Steve Jobs o un Bill Gates cinese che riesca a raggiungere la fama e al contempo a districarsi nella complessa situazione politica della Repubblica Popolare in un settore cruciale come quello tecnologico.
Se un problema è l’emersione di leader forti, altro problema è quello dell’azienda tecnologica in sé, che può creare un centro di potere alternativo e che potenzialmente potrebbe sfuggire a Pechino, abituando magari i cittadini cinesi a trasferire i loro dati all’estero dove potrebbero più facilmente sfuggire al controllo governativo.
Quel che è certo è che il governo cinese si muove con la solita raffinata e implacabile intelligenza, cavalcando l’onda di un sentimento popolare come quello che spinge per una maggior tutela dei dati personali, minacciati dalle leggerezze dei giganti tech che monetizzano sulle nostre informazioni, per giustificare politiche di controllo.
Il governo cinese ottiene così, riaffermando il suo controllo sui colossi dell’IT, anche un altro, essenziale, obiettivo, quello di smarcarsi dal controllo dei contenuti, ovvero la censura vera e propria di cui si occupa Pechino fin dagli albori della rete, censura che è impopolare e dispendiosa e che conviene ora “privatizzare” e porre a carico dei gestori delle piattaforme, consapevoli, questi ultimi, che se non rispettano le regole potranno essere controllati ed incorre in sanzioni fulminee e gravose.
Inoltre, con queste prese di posizione forti il governo cinese intende riaffermare che i big data delle aziende cinesi (e di quelle straniere che operano in Cina) non sono un patrimonio privato che una società può considerare proprio, ma sono degli asset strategici nazionali e come tali devono essere messi a disposizione del governo.
Le recenti mosse del governo cinese sembrano poi comprendere anche una presa di posizione nei confronti degli USA.
I rapporti fra i due stati non si sono distesi dopo l’elezione di Biden alla casa bianca e la direzione del controllo cinese verso aziende statunitensi o che fanno affari con gli statunitensi sembra voler lanciare un segnale all’avversario d’oltreoceano: non sono solo gli Stati Uniti che possono aver paura di ingerenze da parte delle aziende cinesi, ma il meccanismo può essere anche inverso, con la Repubblica Popolare che, giustificandosi anch’essa con il timore di ingerenze da parte dell’avversario dall’altra parte del Pacifico, finisce per danneggiare le aziende USA.
Del resto, la Repubblica Popolare ha sottolineato, nell’ultimo piano quinquennale, l’obiettivo di non dipendere più da tecnologie straniere, intendendo quindi marginalizzare l’influenza USA nel proprio mercato IT interno.
