l'analisi

La localizzazione dei dati della PA in Italia ed il requisito di sovranità del cloud extra europeo. ll caso di Microsoft Azure in UK

di |

La localizzazione del dato sta diventando sempre di più un "false friend". Solamente ieri, Microsoft ha ammesso agli organi di polizia scozzesi che non può garantire che i dati sensibili delle forze dell'ordine rimangano nel Regno Unito.

La localizzazione del dato sta diventando sempre di più un “false friend“. Solamente ieri, Microsoft ha ammesso agli organi di polizia scozzesi che non può garantire che i dati sensibili delle forze dell’ordine rimangano nel Regno Unito.

Può sembrare che processare i dati nei confini territoriali dello Stato sia una garanzia assoluta di sovranità. Purtroppo non è così, intanto perchè banalmente non sempre accade. Ed il caso inglese è emblematico. Ma comunque c’è sempre un dato fattuale che non possiamo più far finta di non vedere. L’operatore cloud extraeuropeo spesso si processa i dati in casa: la sua.

Nella migliore delle ipotesi, tiene fermi i dati degli utenti inattivi, ma gli altri li porta fuori e sono proprio quelli in elaborazione. 

Capisco che ai giornalisti inglesi interessa solo una cosa: che ci siano prove che Microsoft abbia mentito o che magari non abbia rispettato gli impegni contrattuali. Ma come spesso accade, il tema rilevante è un altro: anzitutto la debolezza dei patti contrattuali in termini di garanzie assolute di sicurezza.

Si chiamano “pledge”, in inglese ma ormai anche ad noi. E soprattutto si conferma quanto ormai sapevamo, ovvero che i dati che affidiamo ad una PA che si avvale di servizi cloud extraeuropei, non vengono più processati nel Paese, ma vengono trasmessi e processati negli States.

Quindi di quale sovranità stiamo parlando quando reclamiamo la localizzazione dei dati nei confini UE? Lo capiamo facilmente seguendo il filo conduttore che ha portato al rinnovo dell’accordo di data flow UE/US.

In attesa del prossimo ricorso del famosissimo Avv. Schrems, le aziende americane che forniscono servizi online non rientrano tutte de plano nell’accordo di data flow, ma prima devono auto-certificarsi come aderenti ai principi europei del GDPR e poi entrano in un elenco tenuto dall’Antitrust statunitense, la FTC. 

E’ questo in soldoni il procedimento che sta a monte data-flow e che poi è alla base del nuovo data-privacy-framework. Sul fatto che l’ordine esecutivo del Presidente Biden abbia recentemente imposto ai fornitori di servizi cloud americani di fornire i dati dei clienti stranieri abbiamo già scritto ampiamente in passato QUI.

Poi non possiamo non ricordare che durante la rovente estate 2023 l’Autorità Italiana per la Cybersicurezza ha aperto la trasferibilità dei dati della PA negli USA, senza limiti se non per i dati “strategici”. Il tema fu oggetto di un’interrogazione parlamentare da parte dei Senatori Irto e Nicita, i quali reclamavano che così si stava ” liberalizzando de facto la pratica di trasferimento del 95% dei dati che la PA detiene in cloud in tutti i Paesi del mondo e rendendo compatibile la qualificazione in Italia come Cloud Service Provider di entità giuridiche extra UE, anche se sottoposte a vincoli normativi che impongono il trasferimento dei dati da Paesi UE verso i Paesi non UE a prescindere dall’autorizzazione delle autorità locali o dei proprietari dei dati stessi.

Gli interroganti, ma non solo loro, sono rimasti in attesa di Godot. Forse perché non c’è una risposta da dare. O forse perchè non ce n’è una sola. Quando un Paese come l’Italia affida i dati critici ad operatori esteri in partnership con operatori locali, deve valutare che potrebbe perderne il controllo. Per sempre. 

Il vantaggio apparente che il dato sia localizzato nel territorio italiano, non potrà mai soddisfare, da solo, il requisito di sovranità per i dati strategici della PA.

E questo, a maggior ragione, nel rinnovato panorama geopolitico che stiamo vivendo, in quanto i dati crittografati potrebbero non essere più disponibili o accessibili. E’ un tema di grande impatto nella discussione a Bruxelles, ed è sostanzialmente la causa del mancato accordo sul nuovo Schema Europeo di Cybersicurezza (cd. EUCS).

Si vuole far passare la sicurezza servizi cloud come un centro di costo per lo Stato, invece all’opposto è una perdita di fatturato per i GAFAM che dominano il coud globale, qualora venissero esclusi dalla gestione dei dati strategici. La Francia ce l’ha chiarissimo, speriamo che anche l’Italia maturi questa consapevolezza. 

Leggi le altre notizie sull’home page di Key4biz