La commissione Ue prova a regalare la nuvola del Web ai cugini francesi

Nelle normative per il cloud introdotto il requisito di sovranità comunitaria che esclude gli Usa e lascia in partita solo Parigi.La commissione Ue si occupa delle nostre vite e per l’ennesima volta dimostra che, se si è nelle mani dei burocrati, dal bene può tranquillamente derivare il male. Da tre anni Bruxelles studia infatti uno standard globale di sicurezza cibernetica e un modello che tuteli i dati dei cittadini inseriti nelle grandi nuvole digitali che vanno sotto il nome di cloud. Un’idea di per sé non solo buona ma eccellente, peccato che il modello che la Commissione vorrebbe chiudere entro la primavera finirebbe con sballare l’intero mercato, limitare i prodotti e le tecnologie e - guarda caso - favorire un solo Paese: la Francia. Parliamo del sistema europeo di certificazione della cybersicurezza per i servizi cloud, alias Eucs. È bene dire innanzitutto che lo schema di certificazione non è una legge indipendente, ma un regolamento attuativo della legge sulla sicurezza informatica, cyber resilience act, sviluppato dall’agenzia europea per la sicurezza informatica Enisa. Il fatto di voler sviluppare una certificazione unica ed uniforme è una questione su cui tutti sono d’accordo: ciò che a molti non piace affatto, tuttavia, sono i cosiddetti requisiti di sovranità, in base ai quali i fornitori di servizi cloud che vogliono ottenere il più alto dei tre livelli di certificazione di sicurezza, non solo debbano avere sede nell’Ue, ma dovrebbero essere completamente indipendenti dalle leggi dei Paesi extracomunitari. Ciò escluderebbe i principali fornitori statunitensi (che da soli valgono il 75% del mercato) dalla certificazione al livello più alto. Da tempo c’è una certa resistenza a questa soluzione, ovviamente in primis da parte degli interessati. «I piani attuali», scriveva due giorni fa il quotidiano tedesco Tagesspiegel, «escluderebbero un gran numero di fornitori e questa carenza porterebbe in ultima analisi a una riduzione del livello di sicurezza informatica, ha avvertito lo scorso dicembre l’associazione di settore Ccia. Nell’associazione», prosegue il quotidiano, «sono rappresentate aziende come Apple, Google, Nord Security, Intel e Amazon». Il che di per sé non meraviglia affatto. Tutelerebbero semplicemente i loro interessi. Il Tagesspiegel pubblica però un secondo report, stavolta a firma dell’European Center for International Political Economy (Ecipe) e quindi un think tank indipendente. Da lì si evince che l’attuale proposta conferirebbe alla Commissione europea e alle autorità degli Stati membri il potere di escludere i fornitori stranieri dai mercati nazionali dei servizi cloud, «creando un pericoloso precedente per qualsiasi settore ad alta intensità di dati. Allo stesso tempo, i fornitori europei non sono attualmente in grado di fornire prodotti adeguati agli obiettivi e quindi facilitare un’ampia transizione», afferma sempre lo studio. La nuove norme di fatto finirebbero con il ritardare i significativi guadagni in termini di efficienza e sicurezza che invece i fornitori stranieri adesso sono in grado di offrire. «Un’esclusione generalizzata dei fornitori di cloud non appartenenti all’Ue», prosegue lo studio, «potrebbe inoltre compromettere l’obiettivo europeo di raggiungere un tasso di adozione del cloud del 75% per le aziende europee». Il documento si concentra anche sulle implicazioni per la sicurezza informatica, che non vanno sottovalutate e delle quali dovrà occuparsi anche il futuro direttore della nostra Acn, agenzia per la cyber security. In sostanza la localizzazione obbligatoria dei dati finirebbe con il ridurre l’efficacia del contrasto alla lotta hacker e interromperebbe anche la condivisione di informazioni tra Paesi alleati. In pratica, la localizzazione rigida dei dati priverebbe anche gli utenti locali e gli operatori cloud di importanti strategie di sicurezza dei dati, «come la creazione di capacità di archiviazione ed elaborazione dei dati in luoghi immuni da disastri naturali o protetti in caso di conflitto armato», si legge sempre nello studio. Infine c’è l’aspetto geopolitico e l’impatto sul mercato europeo. La norma finirebbe con il favorire le uniche aziende in grado di ottenere il livello più alto di certificazione. Si tratta di Ovh Cloud, Orange e le altre aziende satelliti che già da tempo operano assieme al governo di Emmanuel Macron per sviluppare un comitato strategico di settore. Questo elemento è ben chiaro ai tedeschi e non a caso il missile contro l’Eucs è partito da loro. «Lo schema di certificazione dovrebbe limitarsi ai contenuti tecnici», conclude il giornale tedesco, secondo cui le questioni politiche, in particolare i requisiti di sovranità, devono essere affrontate esclusivamente a livello politico». In questo spiraglio si sta infilando l’Italia che sembra specializzarsi nel modello triangolare. Cioè sfruttare le tensioni tra Francia e Germania. A quanto risulta alla Verità l’idea del governo sarebbe quella di proporre di applicare i requisiti di sovranità solo a un massimo di 5% dei dati presenti sulle nuvole cloud. L’intervento del nostro governo potrebbe riuscire anche a sbloccare lo stallo e l’atteggiamento di totale chiusura che la commissione ha mostrato fino ad ora. E finalmente si potrebbe sperimentare un nuovo schema a tre da quale trarre benefici per Roma.