Affrontare questi cruciali interrogativi del nostro tempo richiede in prima battuta una riflessione più profonda sul significato del termine progresso che non è certo operazione di poco conto.
Andando a ritroso di qualche decennio possono risultare illuminanti, a riguardo, le teorie di Robert Solow, premio Nobel per l’economia nel 1987, che vedeva nel progresso una variabile endogena: la crescita economica come dinamica interna alla comunità, quindi diretto prodotto di quest’ultima.
Questa visione dello sviluppo dell’efficienza produttiva convince nella misura in cui ci impone di rimanere ancorati al fatto che siamo sempre stati noi (umani), fin dal tempo della scoperta del fuoco, a progettare e a orientare gli obbiettivi del potenziamento tecnologico, pur obbligandoci a tener presente che, nell’era storica dell’iper-connessione, le scelte (anche politiche) di oggi incideranno enormemente, a fronte del rapido incalzare dell’innovazione, sul contesto economico, sociale e culturale di un futuro molto prossimo.
Le teorie di Solow suggeriscono un’interpretazione del progresso che bandisce ogni approccio rinunciatario e fatalista e ci assegna invece un ruolo proattivo nei confronti del cambiamento, spingendoci a trovare il giusto equilibrio tra gli attraenti vantaggi offerti dalla tecnologia – sempre più a portata di click – e gli insidiosi pericoli che comunemente ne caratterizzano l’utilizzo.
Cloud computing
Come dimostrano le ultime evoluzioni della transizione digitale in ambito Cloud Computing Service, fenomeno in crescita esponenziale in tutto il pianeta, gran parte di questi pericoli li troviamo mimetizzati nelle pieghe meno trasparenti e comprensibili delle offerte commerciali on line.
Il rapporto “virtuale” tra fornitore e utente è, infatti, completamente mutato rispetto a quello “reale” tra committente e sviluppatore/persona con un equilibrio tra i contraenti fortemente sbilanciato a favore del provider: l’offerta di servizio erogata dagli OTT (i cosiddetti OverTheTop, leader indiscussi del settore come Amazon, Microsoft e Google) viene proposta attraverso contratti standard point and click predisposti unilateralmente, destinati ad un pubblico internazionale – e per questo in lingua inglese – secondo schemi rigidi e del tutto spersonalizzati.
Non è più affatto un segreto che i vantaggi di flessibilità e di contenimento costi, tipici delle soluzioni in Cloud, vengano nell’attuale pratica commerciale remunerati in maniera indiretta con l’imposizione di alcuni rischi e/o oneri intrinsechi alla stessa fornitura del servizio che l’utente si trova costretto ad accettare passivamente “così com’è”. Dette prassi comportano forti ricadute in termini di trasparenza, equità e libertà negoziale, e, a ben vedere, allargando il campo di osservazione, anche potenziali ripercussioni sui futuri equilibri internazionali se pensiamo alle criticità relative alle norme contenute nel “Clarifying Lawful Overseas Use of Data (meglio conosciuto come Cloud Act) del 2020”, legge statunitense con efficacia extraterritoriale che consente alle autorità di acquisire dati dagli operatori di servizi Cloud a prescindere dal luogo dove sono situati i server.
Nuove istanze di tutela stanno oggi bussando alle porte ed anche il mondo giuridico è chiamato ad occuparsi delle possibili soluzioni per garantire uno progresso che non esondi, in nome del profitto, dai confini del diritto né dai valori cardine del vecchio continente.
L’escalation del cloud computing e i rischi conseguenti
Il fenomeno del Cloud Computing rappresenta in modo esemplare l’effetto disruption della trasformazione digitale. Il suo successo poggia principalmente sul crescente uso della rete internet e sulla diffusione capillare dei dispositivi mobili che permettono ai consumatori del web, nessuno escluso – privati, aziende, professionisti, PA – un accesso agevole, economico e costante alle risorse informatiche. La nascita di questo nuovo settore dell’ICT viene fatta risalire da Technology Review alla fine del 1996, quando, presso gli uffici fuori Houston della Compaq Computer, un piccolo gruppo di dirigenti tecnologici, dopo l’acquisto di Netscape primo web browser di successo, tracciava il futuro del business di Internet chiamandolo per la prima volta “cloud computing”.
Il trend di potente escalation del settore e la sua economia multimiliardaria (secondo le proiezioni dell’IDC, International Data Corporation, la spesa mondiale per infrastrutture e servizi pubblici in- the-cloud dovrebbe raddoppiare nei prossimi cinque anni, passando da un tasso di esecuzione di 229 miliardi di dollari nel 2019 a quasi 500 miliardi di dollari entro il 2023) trova la sua ragione di essere, oltre che nella contingente necessità di distanziamento sociale causa pandemia, soprattutto in un’inclinazione caratterizzante l’impresa post-moderna, cioè un’attitudine che potremmo definire in chiave economica “edonistica” (un’attrazione a-critica verso soluzioni tecnologiche sempre più performanti per raggiungere il massimo profitto con il minimo sforzo trasferendo ogni possibile attività di business in ambiente virtuale o automatizzato). Osservando il mercato del Cloud (Public/Private/Hybrid/Multi), il concetto si sostanzia nella scelta di soluzioni poco impegnative quanto ad investimenti ed assai flessibili dal punto di vista operativo- gestionale, attingendo ad un’offerta tecnologica di semplice accesso direttamente sul web e ampiamente diversificata, per rimanere competitivi e allineati al supersonico incedere dell’innovazione.
Il mercato del Cloud Computing in Italia ha raggiunto il valore di 3,34 miliardi di euro indicatore in forte crescita a cui ha certamente contribuito la fase di emergenza sanitaria che ha fatto salire al 42% l’adozione del cloud nelle PMI da una media precedente anno su anno del 30% (fonte Report 2020 dell’Osservatorio della Trasformazione Digitale, Polimi).
L’emergenza ha inoltre spinto l’adozione dei servizi Software-as-a-Service (SaaS) che, crescendo del 46% sul 2019, rappresentano oggi la metà della spesa complessiva in Public & Hybrid Cloud, una crescita imposta dalla rapida adozione di servizi di Cloud Collaboration e gestione documentale su Cloud e dalla forte spinta sui servizi di e-Commerce. Seguono l’Infrastructure-as- a-Service (IaaS) che nel 2020 cuba per il 36% della spesa complessiva e il Platform-as-a-Service (PaaS) che rappresenta il 14% del totale degli investimenti. Tra tutti i modelli si preferiscono nel Bel Paese il Public & Hybrid Cloud (crescono del 30% raggiungendo complessivamente 2 miliardi) mentre l’11% delle grandi imprese italiane dichiara di non avere più un datacenter di proprietà.
Con il decollo delle tecnologie emergenti quali l’Intelligenza Artificiale, la Robotica, l’Internet of Things, il 5G, la Blockchain, anche l’ecosistema Cloud è chiamato a confrontarsi con l’etica e il diritto, considerato il fatto che l’evoluzione dei servizi offerti nel world wide web, con la loro massiva distribuzione, consumo e impiego, non può più prescindere da quei principi che sono pietre miliari del nostro ordinamento e della nostra cultura giuridica.
Cultura digitale e rispetto dei diritti
Il Cloud Computing in poco più che un ventennio è arrivato a comprendere tutto: dalla fornitura remota di risorse essenziali per l’elaborazione e l’archiviazione dei dati, alla fornitura di servizi aziendali e governativi complessi, alla logistica, alla sanità, all’istruzione, all’intrattenimento, fino ai sistemi di intelligenza artificiale, blockchain e molto altro.
La pandemia ci ha offerto un’indiscutibile dimostrazione della scalabilità e della resilienza globale del Cloud Computing Service, per aver concesso a miliardi di lavoratori e studenti in tutto il mondo di poter procedere nelle attività a distanza con l’accesso da remoto agli ecosistemi professionali e scolastici virtuali. Tuttavia, questa impressionante escalation, da un lato senz’altro salvifica in condizioni di emergenza, ha altresì offerto l’occasione di riflettere sull’incontrastato gigantismo dei provider internazionali, dando corso a varie iniziative di verifica e contrasto delle prassi commerciali da questi veicolate, purtroppo dense di disparità e disallineamenti rispetto ai principi di civil law e ai valori dell’Unione, facendo progressivamente emergere il bisogno di nuove forme di tutela della libertà negoziale del digital consumer, a cui oggi è di fatto preclusa un’equa distribuzione del rischio contrattuale.
Come scrisse il sociologo statunitense Robert Park negli anni ‘20 in “La Città” raccontando dei cambiamenti sociali al tramonto dell’ecosistema rurale e all’alba dell’urbanizzazione, nei momenti in cui il progresso compie svolte epocali, come quella che ci sta traghettando dalla cultura analogica a quella digitale, è richiesto non solo un aggiornamento dei modelli organizzativi e quindi delle competenze, ma anche la maturazione di nuove architetture valoriali e regolatorie che tengano conto dei rinnovati equilibri di contesto. La sfida su questo fronte oggi è senz’altro più ardua in quanto l’allineamento intorno a principi di regolamentazione condivisa è pesantemente messo in discussione dalla caduta dei confini territoriali che il concetto globalizzazione ben evidenzia nella sua portata: la competizione sul mercato digitale non ha perimetri definiti e per questo va giocata con regole nuove rispetto al passato.
Queste regole, se vogliamo perseguire gli obbiettivi di un’Europa nume tutelare dei diritti fondamentali della persona, è ormai ampiamente condiviso che debbano diventare embeded, ovvero essere parte integrante della tecnologia fin dalla sua progettazione e a maggior ragione quando questa si sostanzia in una specifica offerta di servizi, come nel caso del Cloud Computing.
In concreto, è innegabile che le modalità di acquisto disintermediato, l’apparente facilità di negoziazione attraverso i famosi contratti per adesione stipulati on line e la pressoché istantanea operatività delle applicazioni, abbiano avvolto in una nube di fumo per circa un ventennio i molti rischi che questo innovativo ecosistema, figlio della Digital Economy e della società liquida, stava preordinando sia ai danni del consumatore (Client, Business o PA) che nel contesto geopolitico.
E tutto ciò è dipeso principalmente dalle caratteristiche negoziali di un mercato, quello della rete, inizialmente non regolamentato, in cui gli operatori non erano soggetti a norme definite dalle autorità ma solo a quelle dettate dalla concorrenza: il fattore tempo ha giocato senz’altro a favore dell’innovazione e dei suoi pionieri.
Ma se il principale beneficio del Cloud è proprio la capacità di reagire più rapidamente al cambiamento, perché consente di gestire meglio i picchi di lavoro, con maggiore controllo di costi e sicurezza informatica, l’intensificarsi delle transazioni e della complessità dei sistemi hanno fatto recentemente registrare, sia a livello nazionale che comunitario, il susseguirsi di una serie di “reazioni di contrasto” all’indiscutibile gigantismo dei provider più noti a difesa dei diritti e della posizione contrattuale degli utenti.
Cloud nel mirino dell’Antitrust
Dentro al termine “Cloud Computing” sappiamo nascondersi una moltitudine aggregata di tecnologie, che non è possibile identificare con una definizione univoca e universalmente accettata. Non esiste, infatti, alcuna specifica normativa o disciplina che ne regoli la fruizione: la molteplicità delle applicazioni, la diversità delle funzioni e la varietà dei soggetti che interagiscono con questa tecnologia hanno reso fino ad oggi impraticabile un inquadramento giuridico unitario del contratto di servizi cloud (si pensi che la relazione del National Institutes of Standards and Technology, incaricato dal governo statunitense di elaborare una definizione di Cloud Computing, inizia la sua relazione avvertendo che “il cloud computing può significare cose diverse per persone diverse” a riprova della multiformità del fenomeno).
Il contratto invece è, di norma, lo strumento formale a disposizione delle parti per regolare le rispettive obbligazioni sulla base di precise formule negoziali che, secondo i principi di civil law, trovano la loro genesi nei codici di legge. Come accennato, tuttavia, il consumatore digitale di servizi in Cloud per ottenere il rispetto dei suoi diritti, in assenza di disciplina specifica, non potrà purtroppo che regolarsi sulle disposizioni del contratto che ha sottoscritto, preordinatamente “costruito” dal service provider e dunque ben difficilmente riuscirà, in caso di controversia, a ricevere idonea protezione a causa della marcata asimmetria tra le posizioni dei contraenti.
Com’è noto, tutto ciò sta determinando un fenomeno di progressiva privatizzazione della disciplina della contrattualistica on line, oggi di fatto dettata dai giganti del web: sono proprio le Big Tech (con esclusivi obiettivi di profitto) a stabilire le modalità di accesso al servizio, i termini di fruizione, le policy di utilizzo dei dati, ma anche le condizioni per la risoluzione dell’accordo, i principi di responsabilità e tetti risarcitori, forti del nebuloso contesto normativo, della scarsa awareness dell’utenza sui propri diritti e della crescente “indispensabilità informatica” in un mercato affamato di digitalizzazione.
Alla base di questa progressiva asimmetria sta certamente l’uso e l’abuso di clausole cosiddette unfair e vessatorie, poco trasparenti e comprensibili, politiche commerciali molto disinvolte frutto di una scarsa attenzione ai diritti dei consumatori (sul punto si attende il recepimento della Direttiva di modifica (UE) 2019/2161 sui diritti del consumatore che diventerà legge nei Paesi dell’Unione entro il 28 novembre 2021, con l’obbligo di applicazione a partire dal 28 maggio 2022).
Recentemente, tuttavia, questo sconsolante scenario, sta per fortuna registrando significativi segnali di controtendenza a diversi livelli (politici, giurisprudenziali, regolatori) che denotano un cambio di approccio rispetto al fenomeno Cloud Computing e allo strapotere dei provider internazionali.
Dopo Facebook e Whatsapp alcuni Big Player del Cloud Computing, a seguito di un indagine conoscitiva partita nel maggio del 2017, sono finiti di recente sotto la lente dell’Antitrust con l’avvio di sei procedimenti istruttori nei confronti di Google (per la piattaforma Google Drive), di Apple (per il servizio ICloud) e di Dropbox (per il servizio omonimo) in merito a presunte pratiche commerciali scorrette e violazioni della Direttiva sui diritti dei consumatori nonché per presunte clausole vessatorie incluse nelle condizioni contrattuali (ma si contano anche le altre inchieste per sospetto abuso di posizione dominante (Google) in varie parti del mondo, le ultime in Francia e Germania).
In particolare, nel nostro Paese, le istruttorie per pratiche scorrette nei confronti di Google e Apple riguardano «la mancata o inadeguata indicazione, in sede di presentazione del servizio, dell’attività di raccolta e utilizzo a fini commerciali dei dati forniti dall’utente e il possibile indebito condizionamento nei confronti dei consumatori» che, per utilizzare il servizio di Cloud storage, non consentirebbero al fruitore di esprimere il necessario consenso alla raccolta e all’utilizzo a fini commerciali delle informazioni che lo riguardano.
Le stesse contestazioni erano state, come detto, inizialmente mosse anche a Dropbox, a cui si imputavano condotte illegittime in ordine alle procedure per recedere dal contratto, per esercitare il diritto di ripensamento e per consentire l’agevole ricorso a meccanismi extra- giudiziali di conciliazione delle controversie. Il procedimento in questione si è però già concluso con provvedimento n. 29649 in data 27.4.21 che ha ritenuto idonee a sanare i possibili profili di illegittimità delle condotte contestate le proposte di modifica dei Termini di Servizio avanzate da Dropbox (per maggiore approfondimento si rimanda al sito di AGCM).
L’impulso dell’unione per un nuovo modello di erogazione del servizio
In attesa di conoscere l’esito di tutti i procedimenti sopra citati, appaiono altrettanto significative le novità che vanno in direzione garantista rispetto ai diritti fondamentali, come quella recentemente messa a segno dal CISPE (Cloud Infrastructure Service Providers in Europe), l’associazione dei fornitori di servizi di infrastruttura Cloud con sedi globali in 14 Stati membri, che ha sviluppato il primo codice di condotta GDPR compliance per incoraggiare la conservazione e il trattamento dei dati personali esclusivamente in Europa. Il lavoro corale, approvato nelle scorse settimane dal Comitato Europeo per la Protezione dei Dati (EDPB), rappresenta il primo codice paneuropeo specifico per i provider di servizi di infrastrutture as a service in cloud (Iaas) e affronta il delicato tema delle responsabilità del fornitore rispetto agli obblighi di conservazione, processamento e utilizzo dei dati dell’utente, con esclusione di trattamenti a scopi commerciali, di marketing o pubblicitari che esulino dalla mera fornitura del servizio. Rispettando il decalogo elaborato dal CISPE, i provider certificati si impegnano a garantire all’utente la scelta di opzioni esplicite per selezionare servizi che consentono di conservare i dati solo interamente allo Spazio economico dell’Unione, anche in ossequio al recente Regolamento Europeo 2018/1807 sui dati non personali, che mira a promuovere una corretta regolamentazione al libero flusso dei dati nel perimetro dell’EU e ad alimentare un’economia dei dati più competitiva nell’ambito del Single Digital Market. A garanzia della serietà dei controlli, la verifica della conformità al codice CISPE è assegnata a revisori esterni indipendenti e accreditati dall’autorità competente per la protezione dei dati: proprio in qualità di organismi di controllo questi revisori esterni rafforzeranno il livello di garanzia fornito dai servizi certificati.
Anche se i fornitori europei sono ancora parecchio lontani dall’efficientismo americano e molta strada resta da fare in termini di equità e trasparenza, sia le indagini menzionate, che il neo- approvato codice CISPE così come la recente sentenza della Cassazione n. 14381/21 del 25 maggio scorso (principio di piena trasparenza dei processi algoritmici e consenso dell’utente libero, specifico, consapevole, informato e univoco), vanno interpretati come passi importanti e simbolici con cui si comincia a mettere in discussione l’onnipotenza dei noti operatori internazionali e le loro prassi commerciali, in nome di uno sviluppo tecnologico che l’Europa è determinata a guidare e non a subire passivamente.
La riprova che il vento sta cambiando sul fronte Cloud Computing (sebbene la rivoluzione sia ancora da venire…) lo si può desumere anche dalle due recenti indagini annunciate il 27 maggio scorso e condotte dall’EDPS, European Data Protection Supervisor, che hanno per oggetto l’una l’erogazione di servizi cloud alle istituzioni europee da parte di AWS e Microsoft e l’altra l’utilizzo di Microsoft 365 in ambito EU, indagini che mirano specificamente a monitorare i trasferimenti dei dati personali effettuati dalle Istituzioni Europee verso Paesi Terzi, secondo i principi sanciti dalla sentenza Schrems II e dal GDPR.
Altra recente iniziativa degna di rilievo, datata 4 giugno, sempre da parte della Commissione Europea, è stata l’adozione di due set di clausole contrattuali standard (Standard Contractual Clauses, SCC) finalizzate a garantire un elevato livello di protezione in tutti i casi in cui i dati degli interessati europei siano trattati fuori dai confini dell’Unione, al fine di scongiurare il pericolo di un controllo indiscriminato e illegittimo sugli stessi e il rischio di attività di vera e propria sorveglianza da parte di agenzie di intelligence straniere.
Da ultimo, anche l’accelerazione del governo sul Cloud Nazionale, con il progetto di realizzazione di un polo strategico sul quale far confluire tutti i dati della Pubblica Amministrazione oggi gestiti e conservati per il 90% circa in sistemi dichiarati non sicuri, depone per una presa di coscienza della rilevanza del tema Cloud anche a tutela del bene pubblico e dei diritti dei cittadini, nella certezza che dalla razionalizzazione e centralizzazione del patrimonio informativo della PA non potranno che derivare maggior efficienza e nuove funzionalità a tutto vantaggio sia del sistema che dell’utenza.
Conclusioni
Proprio come teorizzava Solow, se il progresso è espressione endogena della società in cui viene generato, sembra ci si stia finalmente muovendo per ottenere il rispetto di quei principi fondamentali che appartengono al nostro palinsesto culturale e regolatorio, ove concetti come trasparenza, equità e, soprattutto, libertà negoziale non possono che essere opportunamente salvaguardati anche quando si tratti di mercati in piena fase di espansione e di matrice internazionale come è quello della tecnologia as-a-service.
Come è accaduto quando la società agricola ha lasciato il posto a quella industriale e l’orientamento economico dominante si spostò dall’agricoltura verso l’industria, così la società post-industriale, che chiamiamo dell’informazione, si sta sviluppando progressivamente attraverso lo sfruttamento di servizi sempre più virtualizzati e standardizzati, e questo passaggio, perché sia vincente, necessita di competenze trasversali (tecnica e diritto in primis).
La gran parte delle aziende nel mondo sta delineando il suo futuro basandosi sul Cloud Computing, indipendentemente dall’adozione dello smart working in pianta stabile (visto che i servizi e le infrastrutture Cloud possono essere implementate anche sui classici luoghi di lavoro) e gli ultimi trend internazionali fanno prevedere un contesto economico sempre più connesso e integrato, dove questa tecnologia costituirà le fondamenta per il funzionamento di qualsiasi applicativo, sistema o risorsa informatica della gestione aziendale.
Di contro l’utenza, specie quella rappresentata dalle PMI italiane, appare in generale ancora molto disorientata e inconsapevole rispetto alle reali potenzialità del fenomeno Cloud ed anche ben poco “attrezzata” per affrontare con adeguato mindset i blocchi di condizioni contrattuali suddivise in format di matrice Common Law, predisposte (in lingua inglese, disseminate di termini tecnici e link), ben ponderatamente dai potenti del web.
Per la realizzazione di un nuovo modello di servizio, oltre alle iniziative di stampo internazionale (le condizioni contrattuali dell’UNCITRAL, United Nations Commission on International Trade Law), a quelle regolatorie di matrice comunitaria (il Codice di condotta CISPE e le SCC) e a quelle politico-strutturali del nostro Paese (polo strategico per il Cloud Nazionale), occorre lavorare altrettanto convintamente sulla consapevolezza del mercato, promuovendo una cultura digitale improntata ad equità e trasparenza a tutti i livelli.
Nella pratica commerciale, specie se si tratta di impresa, i consumatori andrebbero guidati ad abbandonare la tendenza alla scelta del fornitore di servizi Cloud in base alla mera performance tecnica, in favore di un approccio proattivo alla negoziazione che tenga in debito conto tutti i risvolti pregiudizievoli delle obbligazioni assunte con la sottoscrizione del contratto (es. ubicazione dell’hosting e sovranità dei dati, SLA e crediti di servizio, trattamento dei dati e policy di sicurezza, variazione del servizio in corso di esercizio, cessazione e assistenza alla cessazione, diritti di proprietà intellettuale, indennità per violazione, garanzie e assicurazioni, limitazioni di responsabilità, conformità a leggi e giurisdizione, diritti di controllo, ecc.) ovvero tutti quei significativi rischi che ci si accolla automaticamente se non si valuta con informata ponderazione il potenziale impatto delle molte clausole unfair di cui sono infarciti (ab origine) i contratti di Cloud Computing, specie quelli dei più noti provider internazionali.
Su tutti questi temi, sono certa, si susseguiranno confronti che domineranno per i prossimi anni sia il dibattito politico che quello tecnico-giuridico, come è inevitabile avvenga quando una rivoluzione epocale ridelinea i parametri di riferimento della società e del mercato.