Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi - Agenda Digitale

sicurezza

Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi

Molte PA europee, tra cui quelle italiane, hanno intrapreso il percorso della cosiddetta cloudificazione. Un processo che però espone i dati strategici alle possibili ingerenze di governi stranieri, Usa in primis. E questo nonostante le contromisure adottate a livello comunitario e da parte di alcuni Stati come la Francia

01 Giu 2021
Innocenzo Genna

giurista specializzato in diritto e policy europee del digitale

Man mano che l’utilizzo del cloud avanza, vari Stati europei, Italia inclusa, stanno predisponendo delle politiche nazionali in modo che questo processo si svolga sulla base di principi coerenti con gli interessi della collettività: sovranità digitale, autonomia tecnologica, sicurezza pubblica in primis.

Un tema di estrema importanza che sta ora emergendo, abbastanza trasversale agli interessi sopra citati, è quello della sicurezza dei dati della Pubblica Amministrazione (“PA”) gestiti in cloud. Infatti, qualora il cloud provider fosse extraeuropeo sorgerebbe il rischio di ingerenze da parte del governo che ha giurisdizione, o altri tipi di poteri giuridici, su detto operatore: tale governo potrebbe infatti chiedere al cloud provider l’accesso ai dati da esso gestiti per conto di clienti europei, compresi i dati strategici di una pubblica amministrazione di uno Stato della UE.

Verso il cloud nazionale: i nodi di sovranità tra Italia, Europa, Usa

Cloudificazione della PA e Cloud Act

Tale tema diventa particolarmente rilevante quando si inserisce in tensioni geopolitiche ormai radicate. È nota, infatti, la preoccupazione degli Stati europei nei confronti di operatori e tecnologie cinesi, sia per quanto riguarda la posizione di leadership raggiunta dalla Cina nei settori tecnologici avanzati, in particolare il 5G, sia per la vischiosità dei rapporti tra tali operatori ed il governo di Pechino. Tuttavia, per quanto riguarda il cloud, al momento il tema sembra riguardare prevalentemente i rapporti tra UE e USA, in quanto il mercato europeo del cloud è largamente dominato dagli operatori americani (Google, Amazon e Microsoft, i cosiddetti “GAM”), mentre i cloud provider cinesi (ad esempio Alibaba) sono scarsamente presenti. Inoltre, nel 2018 gli Stati Uniti hanno adottato una legislazione, il Cloud Act, che consente loro di avere accesso, a certe condizioni ed in base al warrant di un giudice, ai dati in possesso dei cloud provider americani quand’anche tali dati si trovino in server ubicati nella UE.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

Si tratta di una vera e propria applicazione extra-territoriale della normativa americana che, da un lato conferisce all’amministrazione americana un formidabile potere di sorveglianza a livello globale, dall’altro getta delle ombre sull’affidabilità dei GAM in Europa: qualora infatti sussista un concreto rischio di accesso delle agenzie americane ai dati gestiti da un cloud provider americano operante nella UE, un cliente europeo dovrebbe essere cauto nel far uso di tali servizi, soprattutto se i propri dati rivestano un carattere strategico. È il caso, peraltro, di molte pubbliche amministrazioni europee che hanno intrapreso il percorso della cosiddetta cloudificazione, tra le quali non fanno eccezione quelle italiane.

Le debolezze del connubio telco/cloud in Europa

In verità i GAM sono corsi al riparo già da tempo. Complice anche il dibattito sulla sovranità digitale, che ha spinto molti Stati europei verso posizioni protezioniste e sospettose verso gli USA, ed anche a causa delle sentenze europee Schrems 1 e 2, che hanno messo a rischio il trasferimento di dati personali dalle UE verso gli USA, i GAM hanno già da tempo iniziato un percorso di riorganizzazione del loro business in Europa: hanno aperto numerosi data center nella UE e intrapreso partnership con le maggiori telco locali (tra cui TIM, Telefonica, Vodafone, Orange), altri cloud provider (OVH in Francia) ma anche operatori di tipo diverso (ad esempio Leonardo e Fincantieri in Italia).

Tale riposizionamento ha sicuramente prodotto risultati commerciali positivi per i GAM, che hanno così continuato la conquista di vaste quote di mercato europeo grazie alla forza-vendita e al radicamento dei loro partner locali, permettendo peraltro di presentarsi come una sorta di cloud europeo, ed attenuando in tal modo i timori verso una presunta “colonizzazione” americana.

Ma la ripartizione di compiti tra GAM, da un lato, e partner europei, dall’altro, non fa venir meno i timori circa lo strapotere delle società americane. Benché non si possano fare generalizzazioni, l’impressione è che il connubio europei / GAM sia fortemente sbilanciato a favore dei secondi, che restano leader del software e della tecnologia, mentre i secondi contribuiscono prevalentemente con l’infrastruttura (data center e connettività), l’organizzazione commerciale ed i dati degli utenti europei. In altre parole, queste partnership tra europei (in particolare telco) e GAM, per quanto economicamente vantaggiose per entrambi, costituiscono un ennesimo esempio di resa dell’industria europea verso gli USA. Tali accordi sono stati concepiti sulla base di una ripartizione di compiti, che permette ad alcune grosse aziende europee di non essere escluse dal mercato del cloud, ma di fatto ponendosi nella scia dei GAM ed accettandone la subordinazione tecnologica. Senza con questo voler generalizzare, il sospetto è che alcune grandi aziende europee, non sentendosi in grado di recuperare il gap tecnologico che le separa dai GAM, preferiscano agire come loro rivenditori, piuttosto che investire in ricerca e sviluppo. Si tratta di una problematica enorme, che riguarda gli interessi di interi paesi e non semplicemente delle singole aziende: le infrastrutture cloud sono strategiche, e non avere il controllo delle relative tecnologie vuol dire relegarsi a un ruolo di subalternità nello scacchiere geo-politico.

Partnership telco/cloud e protezione dei dati strategici

In altre parole, molte delle partnership sopra richiamate sono state verosimilmente concluse per convenienze commerciali di medio-breve periodo, mentre non sappiamo quanto abbia contato l’esigenza di proteggere al meglio i dati degli europei dalle possibili ingerenze della giurisdizione americana. Per poter dire l’ultima parola su questo tema bisognerebbe leggere i relativi contratti.

Pertanto, il dibattito resta aperto e deve ancora essere oggetto di una adeguata analisi, soprattutto da parte di quei governi che vorrebbe conferire a tali partnership miste EU/US i dati strategici delle loro pubbliche amministrazioni. Da notare che la giornalista Giovanna Faggionato di “Domani”, in un articolo del 28 maggio 2021, ha pubblicato le risposte che sono state date, da alcuni operatori che fanno parte di importanti partnership miste nel cloud, in merito all’applicabilità del Cloud Act al business europeo. Si tratta di risposte vaghe ed elusive, il che ci conferma che tale punto deve essere ancora attentamente analizzato. Occorre pertanto ricordare, pur in maniera sintetica, come funziona il Cloud Act.

Come funziona il Cloud Act

Il Cloud Act consente alle agenzie americane, previo ordine di un giudice statunitense, di avere accesso a qualsiasi dato, personale e non, gestito da un cloud provider americano, ancorché custodito in server ubicati al di fuori degli USA, ad esempio in Europa. Tale normativa è infatti scaturita a seguito di una passata controversia tra l’amministrazione USA e la Microsoft, con quest’ultima che si opponeva alla consegna di dati custoditi nei loro server irlandesi. Il Cloud Act, intervenendo e risolvendo il conflitto pendente con Microsoft, ha attribuito alle agenzie americane un generalizzato potere extraterritoriale di sorveglianza, benché entro i limiti consentiti dalla legislazione e dalla giurisdizione americana.

Al momento il punto è capire quando questa applicazione extraterritoriale si configuri in concreto, tenendo conto che, in ultima analisi, è la stessa giurisdizione americana a valutare e decidere se i propri poteri all’estero possano essere esercitati o meno. Si tratta di un complesso problema giuridico che in questa sede si può solo sommariamente sintetizzare.

Il punto di partenza è quello di valutare se i dati gestiti dalla partnership UE-USA siano in qualche modo “controllabili” (anche congiuntamente al partner locale) dal cloud provider americano (uno dei GAM, o altra azienda americana), cioè se possano essere trattati, copiati, trasferiti e distrutti dallo stesso. Per tale valutazione avranno rilevanza anche elementi quali la cifratura dei dati ed il possesso delle chiavi crittografiche, ma tenendo conto che la cifratura normalmente non avviene in fase di elaborazione e trasmissione dei dati.

Se al socio americano della partnership USA/UE fosse riconosciuto una sorte di controllo sui dati gestiti in cloud, è presumibile che scatterà l’applicabilità del Cloud Act con tutte le conseguenze che possiamo immaginare. È difficile stabilire fin d’ora e preventivamente quale sia il “controllo” rilevante ai sensi della normativa USA, essendo gli Stati Uniti un paese di common law, quindi basato prevalentemente su una casistica ex post. Quando il Cloud Act è stato adottato, l’ipotesi principale da regolare era quella monolitica del cloud provider statunitense con server all’estero. Ma ora, con il fiorire in Europa di una pluralità di partnership che possono ripartire diversamente i compiti dell’operatore UE e di quello US, l’analisi si fa più complicata. La prassi statunitense in tema di accesso ai dati (in particolare quella sul pre-trial discovery for cross border civil litigation) ci induce a pensare che tale controllo sussista ogni qualvolta il partner americano abbia legalmente il diritto di accedere ai dati in cloud (anche solo di copiarli). Se fosse vero, si potrebbe pensare che un robusto ed attento framework contrattuale possa efficacemente proteggere i dati europei gestiti in cloud dalle partnership miste. Tuttavia, il fatto che sia il giudice americano a decidere, in ultima analisi, sulla propria giurisdizione, e che possa persino decidere di far prevalere la normativa USA su quella europea (ad esempio in tema di trasferimento dei dati personali), ci induce ad essere molto cauti. In altre parole, anche se i soci della partnership mista negoziassero dei termini contrattuali espressamente indirizzati a scongiurare l’applicabilità del Cloud Act, non sappiamo se tali pattuizioni private possano essere rese opponibili alla giurisdizione americana, che sarà sempre l’ultima a decidere.

I dati strategici

Il rischio di applicazione extraterritoriale del Cloud Act diventa particolarmente inquietante per gli europei allorquando i dati immessi in cloud abbiano importanza strategica. Questo può avvenire per dati aziendali ed industriali, così come per le informazioni della PA.

La Francia si è resa conto del problema ed ha proposto un modello di cloud nazionale in base al quale i dati della PA potranno essere gestiti solo da operatori cloud europei (cioè con controllo azionario UE, e quindi ad esclusione delle filiali di vendita dei gruppi esteri) e con data center in Europa. Inoltre, nel caso di tecnologie o software stranieri, questi potranno essere forniti o licenziati all’operatore cloud europeo, che però dovrà avere il pieno controllo dei dati (il c.d. “cloud de confiance). Gli operatori stranieri, quindi, non potranno gestire ed avere il controllo dei dati pubblici, altrimenti, almeno nel caso degli americani, le agenzie USA potrebbero avervi accesso in virtù del Cloud Act. Non è ancora chiaro, però, come i francesi intendano garantire l’inapplicabilità del Cloud Act atteso che, come detto in precedenza, è la giurisdizione americana ad avere l’ultima parola in merito. Il modello francese prevede una sorta di certificazione e, nell’attesa di saperne di più, è verosimile che saranno certificati i cloud provider europei che dimostreranno di essere totalmente in controllo dei dati che essi gestiscono, potendosi escludere un qualsiasi potere, di fatto o diritto, dell’operatore americano.

Ma sarà sufficiente un semplice accordo di licenza di software e/o di tecnologia per scongiurare l’applicazione del Cloud Act ai dati europei, come sembrano pensare i francesi? Anche qui, il tema deve ancora essere sviscerato. È vero che un accordo di licenza può disciplinare dettagliatamente diritti e poteri delle parti contraenti. Tuttavia, quando si tratta di software proprietario, è difficile, se non addirittura impossibile, sapere cosa fa esattamente il licenziante: se, in altre parole, possa avere accesso ai dati all’insaputa del cliente/licenziatario. Questa debolezza del sistema potrebbe essere sfruttata dalle giurisdizioni americane per accedere comunque ai dati europei. L’unico modo per cautelarsi potrebbe essere quello di avere un software open source oppure di aderire ai futuri standard di Gaia-X, nella misura in cui tali soluzioni possano conferire sufficiente trasparenza.

Il caso italiano

L’Italia sembra andare nella direzione del modello francese, benché il Ministro dell’Innovazione Colao non abbia ancora specificato come. Di certo c’è solo che alcuni dati della PA (classificati come “sensibili”, e cioè strategici) dovrebbero essere gestiti da un Polo Strategico Nazionale con data center ubicati in Italia.

Questa scelta però non pone i dati italiani al riparo dalle incursioni delle agenzie americane, almeno finché non verranno specificati i limiti al coinvolgimento degli operatori americani. In effetti, si parla di affidare il Polo Strategico Nazionale a un consorzio da scegliersi con gara pubblica, ma tra i possibili pretendenti svetta sempre la presenza dei giganti USA: Microsoft (con Leonardo), Amazon (con Fincantieri) e Google (con TIM). Per scongiurare l’applicabilità del Cloud Act, lo Stato italiano dovrebbe quindi verificare che nessun operatore americano abbia effettivo “controllo” ed accesso ai dati della PA, come specificato supra. Al momento però non sappiamo se i consorzi in questione saranno strutturati in modo da difendersi efficacemente dalle ingerenze americane: per saperlo bisognerebbe leggere i contratti.

È perciò auspicabile che il bando di gara per la scelta del cloud provider che gestirà il Polo Strategico Nazionale preveda, in modo chiaro, che il soggetto aggiudicatario operi in modo da evitare l’applicazione del Cloud Act americano ai dati italiani. Per raggiungere efficacemente tale scopo, è opportuno che lo Stato italiano sancisca dei requisiti da incorporare nel bando, mentre non dovrebbero essere sufficienti delle semplici garanzie, obbligazioni o altre manifestazioni di creatività giuridica da parte dei contraenti del consorzio, atteso che tali espedienti giuridici potrebbero non essere opponibili alle giurisdizioni americane.

Il progetto Gaia-X

Ci si è chiesti se l’integrazione dei cloud europei nel progetto GAIA-X potrà in qualche modo ridurre i rischi di ingerenze delle agenzie straniere sulla base del Cloud Act. Il discorso è complesso. Gaia-X è un progetto che attualmente mira alla creazione di regole tecniche e standard comuni per gli operatori cloud che operano in Europa, in modo da garantire, trasparentemente, un trattamento dei dati in linea con la normativa ed i valori europei. Gli operatori cloud americani vi potranno accedere se accetteranno questo set di regole, ed infatti i GAM così come altre aziende americane già partecipano ai relativi working group, pur restando esclusi dalla governance. Ma l’assunzione degli standard di GAIA-X non impedirà l’applicazione di giurisdizioni straniere, se queste si basano su di un regime di extraterritorialità (come quello americano).

Tuttavia, il procedere dei lavori di GAIA-X può contribuire ad una migliore protezione dei dati europei. Infatti, le regole e gli standard che ne conseguiranno permetteranno di valutare, in maniera trasparente, come i dati vengono trattati dai cloud provider. Ciò faciliterà le valutazioni di governi ed imprese volte a capire se i propri dati immessi in cloud siano o meno attaccabili con il Cloud Act. Grazie a questa maggiore informazione, i clienti avranno elementi aggiuntivi per selezionare il cloud provider così come per negoziarne il modello e le relazioni contrattuali.

Conclusioni

Il cammino dell’Italia per una politica cloud nazionale è ancora lungo e non scevro da potenziali incomprensioni. Le partnership con gli operatori globali (soprattutto americani) non vanno ostacolate, ma lo Stato dovrà fare attenzione a ruoli e responsabilità nei vari consorzi: chi ha il controllo dei dati, e chi no; chi è il cloud provider vero e proprio, e chi invece si limita a gestire i data center e la forza commerciale. Da questi distinguo derivano le risposte fondamentali in tema di difesa dei dati nazionali e, in ultima analisi, di sovranità digitale.

Il Cloud Act americano rischia quindi di diventare un problema rilevante per gli Stati europei che volessero affidare i propri dati, in particolare quelli della PA, ad un cloud provider statunitense. Ma il problema è più ampio e travalica la questione dei provider USA, in quanto programmi di sorveglianza esistono in varie parti del mondo. Mentre le politiche nazionali sul cloud devono svilupparsi e cautelarsi tenendo conto dei rischi per la sovranità digitale attualmente esistenti, gli Stati europei dovrebbero considerare passi diplomatici, in particolar modo verso gli USA, in modo da creare un framework comune che eviti la frammentazione dei mercati digitali.

WHITEPAPER
Rete, sicurezza e digital workplace: un nuovo modello per il lavoro agile
Networking
Network Security
@RIPRODUZIONE RISERVATA

Articolo 1 di 3