Ho letto con attenzione l’intervista rilasciata questa mattina dal ministro Vittorio Colao a La Stampa di Torino. Condivido molte delle cose dette dal ministro, ma dissento profondamente da alcuni punti relativi al cloud e alla protezione dei dati dei cittadini italiani che vorrei qui evidenziare.
Colao, il Cloud e la Cybersicurezza
Il ministro Vittorio Colao dice che: “…i cyberattacchi di questi giorni ci spiegano perché è importante il Cloud: se c’è un attacco, c’è un back-up fatto la sera prima”.
Ma questa non è una novità introdotta dal cloud, i cui punti di vantaggio risiedono in altro. Infatti qualunque sistema di custodia dei dati, in epoca pre-cloud, ha sempre potuto disporre di back-up fatto non solo la sera prima, ma magari un’ora prima. Ridurre il cloud ad una convenienza di sicurezza è, se mi è permesso, una banalizzazione che danneggia la percezione che del Cloud si ha. Il Cloud consente infatti di disporre di prestazioni di custodia e, ancor di più, di elaborazione dei dati in forme avanzate, sempre più dotate di intelligenza artificiale e con un risparmio di costi senza precedenti (dal momento che sull’uso non pesano i costi fissi).
E allora non si comprende l’enfasi sulla cybersicurezza, come attrattiva principale verso il Cloud, se non con la convinzione, molto presente in Italia, che il problema principale del cloud sia quello della sicurezza e non quello della protezione degli usi indebiti dei dati (sono due cose non sempre sovrapponibili). Facciamo un esempio semplice semplice. Nessuno può dire che i dati contenuti in sistemi di Google o di Amazon o Facebook o di altre grandi Corporation statunitensi che lucrano sui dati siano in apparati poco difesi. Anzi. I dati da esse raccolti sono custoditi in sistemi a prova di bomba, dove difficilmente può entrare il malintenzionato, hacker solitario o squadra al servizio di una nazione nemica che sia. Eppure questo non vuol dire che quei dati siano al sicuro. Infatti sono custoditi negli apparati di alcuni tra i più acclarati violatori seriali di norme sulla protezione dei dati personali. E in effetti, non vi è migliore cassaforte dove custodire i gioielli di quella di Arsenio Lupin.
Il Cloud la protezione dei dati e la sovranità del Paese
Il ministro Colao affronta quindi il tema della geopolitica della tecnologia. A proposito del 5G, il giornale chiede se siano superati o meno i timori su Huawei e la Cina. Il ministro Colao specifica che: “…Il caso non riguarda solo il 5G, ma tutto il mondo dei dati distribuiti e non è specifico di Huawei. Poi c’è il tema geopolitico e dobbiamo capire se vogliamo avere una quota così grossa delle forniture da un solo Paese. Credo che l’esperienza del gas qualcosa ci abbia insegnato. Possiamo dipendere per il 50% della tecnologia dalla Cina?”.
Qui viene da chiedersi se lo stesso metro si applica alle forniture che provengono dagli USA, un paese che esercita già un controllo senza precedenti sui dati dei cittadini e dei consumatori italiani, come su quelli di mezzo mondo.
“Al primo anno di università – prosegue Colao – un professore della Bocconi mi ha spiegato che non bisogna dipendere per più del 30% da un solo fornitore…per questo abbiamo rivisto la normativa sulla Golden Power…”.
Viene da chiedersi se questo principio valga anche per lo schema concorsuale con cui il governo vuole assegnare i fondi del PNRR per il cloud della PA, ovvero per i dati della Pubblica Amministrazione italiana che possiede i dati di tutti i cittadini italiani.
Colao sottolinea che per il cloud “…vogliamo avviare un dialogo con le società di mercato che ci faranno vedere i loro investimenti e chi sono i fornitori, avremo la visione di un quadro d’insieme e capiremo se un fornitore arriva al 60%…”. Qui emergono ulteriori quesiti. Perché i soggetti titolari potrebbero quindi non possedere le tecnologie e doverle comprare da altri fornitori. A noi risulta che il probabile vincitore della gara Cloud per la PA dovrebbe essere la cordata Cassa Depositi e Prestiti, Sogei, Leonardo, TIM, una cordata i cui primi tre soggetti non fanno cloud e il quarto (TIM) lo fa per interposta azienda, tramite Google. In questo caso come faremo a sapere se le forniture di Google saranno inferiori o meno al 60%. Come misureremo questo valore? Il 60% di cosa? Dell’investimento complessivo? E se le applicazioni più insidiose che possono esporre a rischio i dati ricadono nel 40% rimanente? La Golden Power ha un campo di applicazione quantitativo o entra nel dettaglio della insidiosità di un singolo elemento del pacchetto offerto dal fornitore. In ambito Cloud ovvero un settore che rischia di mettere i dati della nazione in mano ad altri, questi aspetti sono più che rilevanti.
E in quel caso che farà il governo? Il ministro Vittorio Colao fuga i dubbi: “… In quel caso interverremo e diremo no. Non vogliamo dipendere troppo da alcuni Stati, non vogliamo rischiare su alcuni nodi strategici e così proteggiamo le imprese italiane…”. Eppure ministro Colao in tutta la procedura relativa all’aggiudicazione della gara sul Cloud della PA, tuttora in corso, abbiamo visto francamente poche attenzioni verso le imprese italiane.
In Italia vi è un grappolo consistente di piccole imprese che fanno cloud. Lo fanno seriamente e di buon livello. I soldi del PNRR potevano essere una buona occasione per sostenere loro e, allo stesso tempo, le università italiane che fanno ricerca sul cloud. Non si è fatto nulla di tutto ciò. Le imprese italiane, comprese le società in-house delle regioni (che pure hanno complessivamente 15-16.000 dipendenti) sono state anch’esse ignorate, mentre si è dato un enorme spazio ad una società come TIM, che opera in Italia ed è a guida estera, pur sapendo che non dispone di proprio cloud e che ha ceduto armi e baracche al cloud di Google, con un accordo strategico ben sbandierato dalla stessa Google.
Qualcuno ha detto che per fare il cloud occorre disporre della tecnologia. Anche il ministro Colao un anno fa, a cavallo della scorsa primavera, ha ripetutamente denunciato il ritardo tecnologico dell’Italia e quindi, questo era il sillogismo, da qui l’obbligo di rivolgersi all’estero. Al contrario, la tecnologia oggi è una commodity. Si compra sul mercato e viene integrata in sistemi costruiti ad hoc.
Del resto, caro ministro Colao, nessun operatore di telecomunicazioni, nazionale o internazionale, possiede tecnologie strategiche nel settore della telefonia fissa o mobile, eppure questa mancanza non impedisce ad un operatore di telecomunicazioni di fornire un servizio di prima classe ai propri utenti e connotato da sicurezza e tutela dei dati.
Temo che, una volta chiuse le operazioni della gara cloud per la PA, tuttora in corso, ci renderemo conto di aver perso una bella occasione per usare un investimento (che non si ripresenterà) per sostenere le imprese italiane, aiutare le università italiane impegnate nella ricerca sul settore, esser certi della tutela e protezione dei dati dei cittadini italiani.