L’elefante nella stanza: il rischio della dipendenza dai cloud americani

Dobbiamo parlare dell’elefante nella stanza e cominciare a dar voce a quei pensieri intrusivi che cerchiamo ogni volta di ricacciare nel territorio del subconscio onirico. La domanda delle cento pistole è: con il drastico e continuo allontanamento degli interessi della politica USA da quelli dell’Europa, quanto è cambiato il livello di rischio a cui siamo esposti per aver messo i nostri dati, le comunicazioni e i processi chiave di aziende e pubblica amministrazione nelle mani di multinazionali americane?

Nella valutazione dei rischi è sempre utile elencare tutte le possibili fonti di pericolo, qual è la probabilità che si manifestino e quanto gravi sarebbero le conseguenze. Esistono almeno tre livelli principali in questo caso, dal più probabile e più gestibile, al meno probabile e più catastrofico:

• Conformità normativa: i servizi cloud americani potrebbero a breve non essere più ritenuti conformi al GDPR;
• Riservatezza delle informazioni: informazioni sensibili di cittadini, imprese e pubblica amministrazione potrebbero finire nelle mani del Governo americano o di aziende concorrenti;
• Disponibilità di informazioni e servizi: dati, applicazioni e servizi di comunicazione potrebbero essere arbitrariamente resi inaccessibili, paralizzando completamente la nostra società.

Prima di addentrarci in un’analisi dei tre scenari, riassumiamo alcuni degli atti e degli eventi che ci hanno portato alla situazione in cui siamo, e in cui dobbiamo farci queste scomode domande.

Dal Patriot Act alla decapitazione del PCLOB

Dopo gli attentati dell’11 settembre, il Patriot Act ha conferito alle agenzie e forze di sicurezza americane un enorme potere di sorveglianza sul mondo digitale. Un potere di cui hanno abusato. Nel 2013, le rivelazioni di Edward Snowden sulle operazioni di sorveglianza di massa che i servizi di sicurezza americani operavano attraverso le aziende di informatica e telecomunicazioni ha messo in allarme aziende e governi di tutto il mondo, portando in evidenza come non mai il tema della sicurezza dei fornitori di servizi ICT stranieri.

Queste preoccupazioni hanno contribuito a stimolare una prima espansione internazionale dei data center per il cloud. L’idea era che – oltre ai vantaggi tecnologici della vicinanza con gli utenti dei servizi – la presenza dei dati sul territorio nazionale ne determinasse la tutela giuridica: la legge USA non poteva avere effetto su server posizionati all’estero. Tutti i cloud provider hanno spinto molto su questa leva per convincere aziende e governi a fidarsi di loro e diventarne clienti.

O almeno lo hanno fatto fino al 2018, quando la prima amministrazione Trump non ha varato il Cloud Act (Clarifying Lawful Overseas Use of Data Act). Il chiarimento citato nell’acronimo è il seguente: “non ci importa dove siano residenti i dati. Se sei un’azienda tecnologica americana, o anche un’azienda estera che ha una filiale americana, sei obbligata a consegnarci i dati dei tuoi clienti dietro semplice richiesta”. Il Cloud Act è anche una cosiddetta “legge bavaglio”: i provider destinatari di una richiesta di accesso ai dati, non possono dire di averla ricevuta. Solo il provider può fare ricorso contro la richiesta, non il destinatario finale. Il paese di residenza dei dati non contava più.

Per fare un esempio nel mondo fisico, è come se con un ipotetico “Room Act” gli Stati Uniti ordinassero alle catene di alberghi di lasciare che i propri agenti entrino liberamente nelle stanze degli ospiti per fare perquisizioni o piazzare microfoni. Questo indipendentemente da dove quell’albergo si trovi nel mondo e in deroga alle leggi e garanzie giuridiche locali. Una situazione che nessuno stato di diritto sarebbe disposto a tollerare.

Solo poco prima, con l’entrata in vigore del GDPR, Stati Uniti e Unione Europea avevano siglato un accordo chiamato Privacy Shield, che garantiva ai cittadini europei un livello di protezione dei dati che l’Europa ha ritenuto “di livello equivalente a quello europeo”. Nel luglio del 2020, con la celebre sentenza Schrems II, la Corte di Giustizia Europea ha stabilito che il Cloud Act invalidava le protezioni offerte dal Privacy Shield, e quindi i cloud americani non erano più conformi al GDPR. Tutto da rifare.

Per cercare di metterci una pezza, Governo americano – questa volta con l’amministrazione Biden – e Commissione Europea hanno lavorato al Transatlantic Data Privacy Framework (TDPF), che prevede la supervisione di un comitato, chiamato Privacy and Civil Liberties Oversight Board (PCLOB), che fa da organo di garanzia e punto di contatto anche nei confronti dei cittadini europei.

Ecco, tra le migliaia di licenziamenti nelle agenzie federali fatti dal suo insediamento, Trump ha incluso anche i tre membri Democratici del PCLOB, che si ritrova quindi senza il quorum minimo per poter funzionare. Il PCLOB è sempre stato una protezione più formale che reale, perché è uno di quei casi in cui il controllore e il controllato coincidono, ed era tenuto in piedi dalla fiducia reciproca tra le amministrazioni. Senza la foglia di fico del PCLOB, il trattato transatlantico sullo scambio dei dati è nudo.

Il rischio conformità: i cloud americani potrebbero non essere più conformi al GDPR

Secondo l’associazione per i diritti digitali Noyb, promotrice delle prime due cause che hanno portato alle sentenze Schrems I e II, l’incapacità di operare del PCLOB rende inefficace il Transatlantic Data Privacy Framework, e quindi si ritorna allo scenario precedente. Amazon, Apple, Google, Oracle, Microsoft e tutti gli altri cloud provider americani non offrirebbero più un livello di protezione dei dati equivalente a quello europeo, per cui non è possibile usarli per archiviare o gestire – anche indirettamente attraverso l’analisi del traffico web – dati personali di cittadini europei. Almeno, non senza un esplicito e ulteriore consenso.

Come evolverà questa situazione è difficile dirlo. Da un lato, Trump sembra determinato a smantellare qualsiasi organismo di controllo e tutela, come il PCLOB; dall’altro, le multinazionali tech – allineate come non mai alle politiche della Presidenza USA – hanno bisogno che il Trattato rimanga operativo per poter continuare a espandere il loro business in Europa, e potrebbero avere qualche leva di pressione in questo senso.

In ogni caso, la stessa Noyb sottolinea che il trattato non viene invalidato “de facto”, ma richiede il passo formale “de jure” della Commissione o la sentenza di un tribunale.

Anche nel caso in cui una Corte ribadisse l’esito della precedente sentenza, è difficile pensare che l’Europa possa ordinare la cessazione immediata del trasferimento dei dati, da un giorno con l’altro. Considerata l’entità di possibili sanzioni del GDPR, però, è bene cominciare a immaginare soluzioni alternative.

Il rischio riservatezza e i cloud “sovrani”

La possibilità che i propri dati riservati siano esposti a un governo straniero è inaccettabile per qualsiasi organizzazione – dagli stati centrali alle aziende che operano in settori critici, a quelle che fanno ricerca e sviluppo fino ai partiti politici e alle ONG.

Quanto è concreto il rischio? Pur non potendo rivelare di essere stati destinatari di una richiesta, molti provider pubblicano periodicamente dei report che indicano genericamente quante sono state le richieste di rimozione o accesso ricevute per i motivi più diversi. Spesso le richieste vengono contestate dai provider stessi, ma diverse vengono evase ogni anno da ciascun fornitore.

E questo avveniva nel quadro del Framework Transatlantico, con il PCLOB in funzione, in un clima in cui le relazioni tra Stati Uniti ed Europa erano molto più distese e negli Stati Uniti vigeva un sistema di controlli ed equilibri di potere (checks and balances). Non in una situazione in cui un Elon Musk si prende i privilegi di Admin sui sistemi informativi delle agenzie federali e i suoi stagisti scaricano dati sul proprio laptop o li pubblicano su GitHub.

Per rassicurare i clienti più grandi e strategici, già da tempo i provider americani hanno messo in campo una serie di soluzioni per circoscrivere la giurisdizione del cloud e che vanno genericamente sotto il nome di Cloud Sovrano. Si tratta di misure tecniche, giuridiche e organizzative tra loro molto diverse per il livello di protezione che offrono, e non sempre è facile inquadrarne correttamente le caratteristiche.

Ecco alcune delle principali caratteristiche:

• Residenza dei dati: il provider assicura che i dati dei clienti vengono trattati unicamente in uno specifico territorio o data center, senza scambi con l’esterno. Come abbiamo detto, questa misura non offre alcuna protezione contro le richieste fatte in base al Cloud Act.
• Chiavi crittografiche private: il provider consente l’uso di chiavi crittografiche gestite esternamente rispetto al proprio cloud e sotto il diretto controllo del cliente. Questo tipo di protezione presuppone che il governo USA non sia in grado di “rompere” la crittografia, cosa non scontata, e non copre necessariamente anche il traffico in ingresso e in uscita dall’infrastruttura (per esempio, gli indirizzi degli utenti che visitano un sito).
• Entità giuridica indipendente: il provider crea un’entità giuridica separata dalla casa madre per gestire l’infrastruttura cloud in un certo territorio. Questa azienda indipendente non sarebbe sottoposta alla giurisdizione del Cloud Act, almeno fino a prova – giudiziaria – contraria.
• Data center “air gapped”: il provider fornisce un’infrastruttura, installata on-prem o in un data center selezionato dal cliente – scollegata dal resto del proprio cloud. Il cliente controlla tutto il traffico in ingresso e in uscita. Gli aggiornamenti software possono essere applicati lanciandoli da un supporto fisico, senza download.
• Personale fuori dalla giurisdizione USA: oltre alla separazione fisica dell’infrastruttura e a quella giuridica, alcuni provider restringono l’accesso ai data center al solo personale residente sul territorio, in modo che nemmeno sistemisti, manutentori e sviluppatori siano soggetti in qualche modo alla legge americana. In altri casi, il personale è direttamente dipendente da un partner terzo, un system integrator locale.

Questi criteri possono essere applicati, a seconda dei casi, sia all’infrastruttura, sia al Software-as-a-Service, ma è chiaro che i sistemi più robusti sono a disposizione solo di organizzazioni che possono permettersi investimenti molto consistenti.

Per tutta la pubblica amministrazione, il Polo Strategico Nazionale si fa carico di selezionare e validare questo tipo di soluzioni per adottarle in modo centralizzato, offrendo poi il servizio “pacchettizzato” alle amministrazioni locali. Va riportato che diverse voci, soprattutto tra i provider locali, hanno criticato la gara con cui è stato costituito e la scelta di introdurre nel PSN anche cloud stranieri.

Solo poche aziende però hanno dimensioni tali da potersi permettere le soluzioni di cloud privato più avanzate e robuste. Ai piccoli non resta che fidarsi della crittografia oppure optare per un cloud provider italiano o europeo, a patto che soddisfi i requisiti tecnici, organizzativi e finanziari.

Se per quanto riguarda l’Infrastructure-as-a-Service molti cloud provider europei hanno offerte senz’altro competitive con quelle degli hyperscaler americani, lo stesso non si può dire per i servizi PaaS e SaaS. Piattaforme per big data, servizi di analytics, database, modelli di intelligenza artificiale e altri servizi simili sono entrati solo di recente nei cataloghi dei provider europei più grandi, e in numero e varietà molto inferiori rispetto alla concorrenza americana.

Per quanto poco probabile sia la futura necessità di staccarsi dai cloud provider americani, vale la pena fare una mappatura dei servizi europei alternativi, valutare i fornitori e tenere un piano di contingenza nel cassetto.

Rischio disponibilità dei servizi: l’ipotesi fine-di-mondo

Tocca quindi parlare dell’ipotesi più improbabile e irrealistica. Che succederebbe se l’Unione Europea diventasse oggetto non solo di dazi, ma di vere e proprie sanzioni come quelle applicate ai paesi considerati ostili? Se, cioè, alle aziende americane fosse impedito di fare affare con noi, e venissero obbligate a sospendere account cloud per infrastrutture e servizi, strumenti di comunicazione e aggiornamenti software?

Se questo accadesse anche solo per un breve periodo, magari giusto il tempo per metterci pressione e farci accettare – per dire – l’annessione della Groenlandia, la nostra società sarebbe in ginocchio e non potremmo nemmeno scriverne un post piccato su Facebook.

Improbabile e irrealistico. Come improbabile e irrealistica avremmo ritenuto fino a poche settimane fa la richiesta/minaccia del Presidente USA fatta alla Danimarca nel suo discorso a camere riunite (“Otterremo la Groenlandia, in un modo o nell’altro”).

Seppure in forma più circoscritta, un caso simile è già avvenuto sul territorio europeo. Aveva come destinatario la Russia, ma vittime collaterali sono stati cittadini e aziende Olandesi. Le sanzioni varate nel 2022 contro la Russia dal Governo USA hanno colpito anche la banca olandese ATB, di proprietà del gruppo russo Alfa Group. A Microsoft è stato ordinato di bloccare tutti i servizi della banca, che non potendo più operare è fallita. Fin qui, questo rientra tra gli obiettivi delle sanzioni. Il problema vero è sorto dopo, quando i tribunali olandesi hanno chiesto a Microsoft di fornire documenti ed email della banca in modo da poterne gestire la procedura fallimentare, risarcendo creditori e correntisti. Microsoft Olanda ha a quel punto dichiarato di non poterlo fare, perché la sanzione era gestita da Microsoft USA, che però a sua volta rifiutava di rispondere alle rogatorie olandesi. L’impasse si è trascinata per mesi, risolvendosi solo dopo crescenti pressioni giudiziarie e diplomatiche.

Per quanto sia una possibilità remota, la possibilità che sanzioni USA blocchino l’operatività dei servizi digitali europei pone un rischio esistenziale. Un rischio che non può essere ignorato, ma che non ha una soluzione immediata. Da un lato, una migrazione dei servizi critici centrali verso diverse infrastrutture e servizi richiederebbe probabilmente anni. Ammesso che ci siano fornitori locali comparabili per offerta, capacità computazionale, supporto e solidità organizzativa.

A differenza da Russia e Cina, che hanno costruito un proprio ecosistema di servizi digitali alternativi a quelli americani – dai motori di ricerca ai social network, passando per cloud e messaggistica – aziende più piccole e consumatori si troverebbero privati di servizi diventati essenziali per la comunicazione, l’informazione e il commercio. Le alternative europee – che pure esistono – difficilmente sarebbero in grado di assorbire da un giorno all’altro un aumento esponenziale del loro traffico.

La chiave qui è “da un giorno all’altro”. Indipendentemente da come vadano le cose nelle prossime settimane, forse dovremmo cominciare davvero a staccare piano piano il nostro cordone ombelicale digitale da una mamma che giorno dopo giorno sta diventando sempre più matrigna. Cominciare a scegliere – a partire da quelli per uso personale – servizi europei e farne crescere l’ecosistema. Anche a costo di pagare qualche euro al mese di abbonamento invece di avere un servizio che è sì comodo e gratuito, ma che impone anche una pesante ipoteca sul nostro futuro.