Le operazioni di maquillage non sono realizzate solo da agenzie di comunicazioni. Ma anche da alcuni parlamentari che sostengono il ministro Vittorio Colao nella strategia cloud per la pubblica amministrazione. Ieri, l’Aula della Camera ha approvato la mozione della maggioranza (a cui il governo, con Assuntela Messina, sottosegretaria del ministero per l’Innovazione tecnologica, ha dato parere positivo), che impegna il Governo su obblighi già previsti per legge.
I motivi della mozione-‘trucco’
Un’operazione parlamentare, quindi, per mostrare all’opinione pubblica che ora grazie alla mozione il governo “alzerà il livello di attenzione”, “garantirà l’autonomia tecnologica e la sicurezza dei dati e il controllo su cloud provider extra-Ue, qualora i dati e servizi critici del futuro Polo Strategico Nazionale (PSN) dovessero finire nel cloud di Google. Il PSN sarà la nuova un’infrastruttura nazionale per l’erogazione di servizi Cloud: la ‘cassaforte’ che conterrà i dati e servizi critici e strategici del nostro Paese, ossia di tutte le amministrazioni centrali (circa 200), delle Aziende Sanitarie Locali (ASL) e delle principali amministrazioni locali (Regioni, città metropolitane, Comuni con più di 250 mila abitanti).
La mozione non eviterà che i dati e servizi critici e strategici finiscano nel cloud di Google
Il governo potrà anche alzare l’attenzione, ma la mozione non evita che questi dati possano finire nel cloud di una società extra-europea, ossia Google, di cui si serve TIM, dopo l’accordo del 2020.
E TIM è la mandataria della cordata con CDP Equity, Leonardo e Sogei il cui progetto per la gestione del PSN è stato selezionata dal Dipartimento per la trasformazione digitale ed ora sarà messo a gara.
E ancora, grazie alla mozione sarà “trasparente” la gara di assegnazione. Ma il Governo avrebbe potuto dar vita a una gara non trasparente?
L’Agenzia cyber già impegnata su crittografia con chiavi gestite in Italia
Inoltre, la mozione impegna il governo a far sì che il Polo strategico nazionale “sia sottoposto a vigilanza pubblica“, in particolare “sotto il controllo dell’Agenzia per la cybersicurezza nazionale per quanto concerne le modalità di trattamento e localizzazione dei dati strategici e la gestione di chiavi e strumenti di crittografia per dati”.
Tutto come già previsto dalle norme vigenti. Il Polo Strategico Nazionale, in quanto un asset chiave del Paese, sarà disciplinato secondo le regole del Perimetro di sicurezza nazionale cibernetica. E già durante la conferenza stampa di lancio della strategia cloud Italia, Roberto Baldoni, direttore dell’Agenzia cyber annunciò: la sicurezza dei dati nel cloud nazionale? “Con 2 livelli di crittografia, chiavi e localizzazione in Italia”.
Nel dettaglio, Baldoni ha detto:
“Agiremo su 2 fronti. La crittografia con due livelli, in base all’importanza dell’informazione che dobbiamo proteggere, con chiavi che verranno gestite in Italia”, ha affermato Baldoni. “Questo”, ha spiegato, “riduce il rischio che un terzo soggetto possa vedere i dati in chiaro, non lo annulla completamente, perché ancora non abbiamo inventato una crittografia omomorfica computazionale, così c’è un processore nel mondo che vede quel dato”.
Qui l’ammissione che un rischio c’è sempre. Ripetiamo quanto detto da Baldoni: “C’è un processore nel mondo che vede quel dato”.
“Però”, ha assicurato, “è molto più difficile per l’avversario sia fare incetta di dati sia effettuare l’estrazione del valore”.
Sul fronte della crittografia Baldoni ha poi annunciato già a settembre 2021 “l’algoritmo di crittografia nazionale”. Ma non sarà una soluzione immediata. “Ci darà delle garanzie in più, ma il suo sviluppo sarà graduale: non sarà un on-off, sarà pronta quando avremo un ecosistema in grado di gestirla, altrimenti può rivelarsi una vulnerabilità”, ha detto Baldoni.
Infine, il secondo fronte previsto dal Governo per garantire maggiore sicurezza, data protection e la raggiungibilità giuridica dei dati nel cloud nazionale sarà la “Localizzazione dei dati in Italia, come quelli strategici”, ha detto il dg dell’Agenzia cyber nazionale, “la cui manomissione può avere un impatto sulla sicurezza nazionale. Questi tipi di dati saranno in server localizzati in Italia”. “Qui”, ha concluso Roberto Baldoni, “avverrà un doppio livello di sicurezza, perché permetterà sia un livello ispettivo sia di inviare la polizia postale, in caso di incidenti e problematiche importanti”.
Ecco come far spiare i dati degli asset strategici del nostro Paese e di noi cittadini agli Stati Uniti
Ma la collocazione fisica dei server non attenua le cogenze derivanti dalla nazionalità del cloud provider.
Per cui, tutte queste future soluzioni tecnologiche, però, non impedirebbero a Google, qualora dovesse essere il suo cloud ad ospitare i dati del Polo Strategico Nazionale con l’aggiudicazione della gara a TIM-Cdp-Leonardo-Sogei, di trasmettere questi stessi dati, preziosi per l’Italia, alle agenzie di Intelligence americane come prevedono tre leggi USA: il Cloud Act, ‘FISA 702’ e ‘EO 12333‘. Queste ultime due possono obbligare Google al trasferimento dei dati degli italiani, mantenendo, addirittura, segreta l’attività. Ecco come far spiare i dati degli asset strategici del nostro Paese e di noi cittadini agli Stati Uniti.
Per approfondire:
Scarica il PDF della mozione