Cominciamo con una costatazione empirica difficile da smentire, e chi promette di poterlo fare, non la racconta giusta: la security non costa meno di cifre a 5 zeri per anno, almeno in fase di implementazione, anche per la microimpresa. In proporzioni differenti a seconda del business di riferimento e delle dimensioni dall’organizzazione, i costi da sostenere riguardano gli apparati hardware e di networking, licenze di software, eventuali servizi in cloud ma soprattutto la consulenza e la formazione per generare competenze adeguate.
Dovrebbe essere ormai chiaro che non può coesistere l’impiego di strumenti informatici senza un modello di security, indipendentemente dal fatto che sia a maglia più o meno larga. E dovrebbe essere altrettanto chiaro che di questo passo, se non si accelera un po’ e non si prende bene la mira sull’obiettivo, il traguardo 2020 verrà mancato di tanto. In questo contesto, mentre voci autorevoli parlano di siti web per tutte le attività commerciali (grandi o piccole), di commercio elettronico e di strumenti di fabbricazione digitale, facendo però riferimenti troppo deboli a requisiti strategici fondamentali per qualsiasi imprenditore, come la qualità, la sicurezza delle informazioni e la continuità degli affari, la piccola imprenditoria si trova a fare i conti con un disagevole binomio: da un lato vede collocati sul mercato modelli e servizi low-cost di security e dall’altro iperspecialisti seri ma che emettono iperfatture.
Si chiede all’imprenditore di estendersi sui mercati esteri, gli si chiede di farlo in modo sicuro, sfruttando le grandi promesse delle tecnologie di informazione e comunicazione. Non potrà quindi non apprezzare i vantaggi del cloud, pensando che un’azienda specializzata probabilmente potrà garantire prestazioni e sicurezza migliori di ciò che lui riuscirebbe a fare in casa con un capitale limitato. Forse proprio attraverso l’esternalizzazione, sempre ben presidiata però, riuscirà a guadagnare qualche spiccio da reinvestire in competenze. Ma proprio quando crede di aver risolto il rompicapo, tutta la faccenda si complica ulteriormente.
In questa occasione prenderemo in considerazione due dei fattori – anche se in realtà sono molti di più – che determinano l’effettiva difficoltà nel valutare la scelta del cloud. E sono entrambi correlati agli aspetti di compliance: il primo riguarda le indicazioni e prescrizioni fornite dal Garante per la Privacy circa la circolazione di dati sensibili fuori dei paesi della comunità economica europea, il secondo la difficoltà di determinare geograficamente eventuali reati di natura informatica e conseguentemente le relative competenze giuridiche.
In recepimento alla direttiva europea 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, nel sito web garanteprivacy.it si legge che il trasferimento di dati personali da paesi appartenenti all’UE verso Paesi “terzi” […] è vietato. Inoltre si apprende che la Commissione europea può stabilire […]che il livello di protezione offerto in un determinato Paese è adeguato. La maggior parte dei servizi cloud di ottimo rapporto qualità prezzo vedono le strutture principali allocate negli USA. Ecco che da questo punto in poi la ricerca diventa più complicata, poiché è necessario, posto il fatto che molte delle aziende sono assoggettate alla Federal Trade Commission (per la zona USA Safe Harbor ad esempio), accertarsi che il provider scelto risulti certificato secondo il framework di riferimento (dal sito http://www.export.gov/safeharbor/index.asp) garantendo così un livello di sicurezza adeguato al nostro standard nazionale.
Per ciò che concerne la localizzazione geografica di eventuali reati di natura informatica, se tradizionalmente il legislatore ci ha abituato a far riferimento al posizionamento fisico dei server attraverso i quali viene erogato un determinato servizio, una sentenza della corte di cassazione delle sezioni unite (la 17325 del 24 aprile 2015) mescola nuovamente le carte in tavola, sostenendo che il reato è commesso nel luogo ove vengono inserite o “rotte” le credenziali di accesso ad un sistema.
Certo è che con questi presupposti quella che sembrava la strada della salvezza – il cloud – diviene il lungo percorso di un viaggio della speranza. Oramai in ambito ICT sta diventando sempre più difficile ragionare in termini geografici e le mille rotte percorse dalle informazioni, letteralmente alla velocità della luce e difficilissime da monitorare, rendono l’approccio attuale totalmente desueto.
Non è solitamente professionale augurare in bocca al lupo, perché evidenzia una certa incapacità di controllo e un forte dominio del caso, ma in questo momento mi sembra che sia proprio l’unico augurio da rivolgere a coloro che si confrontano con questi aspetti.