Si parla sempre più spesso di sovranità dei dati e, più in generale, di sovranità tecnologica, per identificare il controllo che una determinata organizzazione, pubblica o privata, ha nei confronti degli asset digitali che impiega nel proprio business.
Quello che appare, ed in gran parte lo è, un problema limitato alla giurisdizione degli stati nazionali, assume una serie di implicazioni che finiscono per coinvolgere tutti coloro che si vedono impegnati nella trasformazione digitale, tra cui anche le PMI.
Nel 2022, conoscere dove sono ubicati e come vengono gestiti i sistemi hardware e software che controllano i nostri dati non è più soltanto una curiosità da nerd, ma un aspetto sempre più rilevante per garantire la sicurezza e la conformità normativa delle attività che coinvolgono i dati digitali, la principale fonte di ricchezza dell’era digitale.
Per riflettere su questo argomento, analizziamo alcuni aspetti evidenti che posizionano lo scenario europeo in un contesto di evidente fragilità tecnologica, che finisce per gravare sulle realtà economiche che si vedono soggette a responsabilità sempre più stringenti in materia di protezione dei dati.
Servizi e infrastrutture IT: un enorme potere in mano a pochi. Ecco cosa significa sovranità tecnologica e sovranità dei dati
Internet e il cloud computing sono con ogni probabilità i due principali abilitatori tecnologici della trasformazione digitale. I nostri dati viaggiano in rete ed utilizzano sempre più spesso servizi e soluzioni forniti su un cloud pubblico. I cloud service provider utilizzati anche in Europa sono in gran parte americani e tre colossi come Amazon (AWS), Microsoft (Azure) e Google (Google Cloud) da sole totalizzano quasi il 70% dell’intero mercato.
Il traffico dei dati sulla rete è in gran parte osservato da Google, che controlla oltre il 90% del volume totale delle ricerche. Grazie alla propria egemonia nei sistemi operativi mobile, Google e Apple forniscono quasi il 95% dei account di posta elettronica e quasi il 90% dei browser utilizzati per la navigazione e l’accesso da remoto alle applicazioni in cloud.
La stessa Microsoft continua a dominare la scena dei sistemi operativi per sistemi desktop e server, totalizzando oltre il 90% delle installazioni, in un contesto in cui l’unica eccezione è rappresentata dall’universo delle tecnologie legate a Linux.
Lo scenario non appare troppo più confortante se entriamo nel merito delle infrastrutture di telecomunicazione, laddove a farla da padrona sono ancora una volta i colossi americani ed asiatici, come Cisco, ZTE e Huawei, anche se le due storiche realtà scandinave, Nokia ed Ericsson, si posizionano, soprattutto sul mercato europeo, con numeri importanti.
In altri termini, i nostri dati sono in mano a realtà in gran parte extra europee, che li acquisiscono e li analizzano in un contesto extra UE, laddove insiste una legislazione in materia di dati differente dalla nostra. Per citare un esempio pratico, citiamo il caso di Google Analytics, da sempre nel mirino dei Garanti per la Privacy del vecchio continente.
Sovranità dei dati. La vicenda di Google Analytics: i dati fuori dallo spazio economico europeo
Google Analytics è un servizio di tracciamento e analisi dei dati molto utilizzato soprattutto da chi si occupa di digital marketing, per conoscere gli aspetti qualitativi e qualitativi del traffico sui siti internet. Google lo offre gratuitamente a chiunque disponga di un account Gmail e vanta un’implementazione e una visibilità capillare, considerando che Big G gode di una posizione dominante sia nei sistemi browser web che nei motori di ricerca.
I problemi relativi alla privacy che Google Analytics comporta per la realtà europea sono da tempo al centro di un acceso dibattito, finora lungi dall’aver prodotto conclusioni convincenti.
Da un lato, Google analizza il traffico dei dati sui propri server, collocati in gran parte in territorio americano, dove vige ovviamente la giurisdizione del governo americano. Sulla base del Cloud Act, gli Stati Uniti possono ottenere dalle loro aziende i dati per analisi relative alle attività di intelligence e sicurezza nazionale, e non ci sono di fatto limiti all’utilizzo che intendono farne. Tale disposizione è in totale contrasto con la normativa europea sulla conservazione e sul trattamento dei dati, nota come GDPR.
A livello di privacy, la stessa Google viene puntualmente accusata di scarsa trasparenza circa l’impiego dei dati acquisiti dai propri utenti. Anche quando i dati vengono anonimizzati prima della loro raccolta, Big G dispone di una quantità di informazioni in grado di ricontestualizzare i dati e riferirli senza alcun problema all’identità originaria.
La scorsa primavera sono stati presentati vari esposti ai garanti della privacy nazionali, per evidenziare come molte aziende private violassero i termini di tracciamento dei dati previsti dal GDPR.
Sulla base di uno di questi esposti, con il provvedimento del 9 giugno 2022, il GDPD (Garante per la Protezione dei Dati Personali) ha intimato alla società di Caffeina, di individuare misure alternative a Google Analytics, creando un precedente che estende a tutte le realtà italiane la stessa condizione.
Un problema di sovranità dei dati, nelle applicazioni concrete, non rimane vincolato alle questioni tra stati o alle sorti delle grandi realtà enterprise. Ormai riguarda praticamente tutti. La legge non ammette ignoranza, per cui anche le PMI dovranno stare sempre più attente a quanto accade sui loro siti internet.
Il caso di Google Analytics rappresenta soltanto uno dei moltissimi casi di sovranità tecnologica attualmente in atto. Un altro aspetto è ad esempio relativo alla sicurezza informatica, come ci conferma il famoso “Decreto Kaspersky”, emanato sull’onda emotiva del conflitto russo-ucraino, che ha palesato con evidente ritardo i rischi relativi alle possibili ingerenze di uno stato avversario nei confronti di un’azienda che fornisce servizi fondamentali come i sistemi di sicurezza informatica.
Anche in questo caso, gli Stati Uniti si erano mossi già con cinque anni di anticipo rispetto alla maggior parte dei paesi europei. L’evidente svantaggio tecnologico e il costante ritardo con cui la Commissione Europea riesce e rendere esecutivi nei paesi membri i pur nobili intenti in materia legislativa, genera una condizione di costante disagio per le aziende nella protezione dei dati.
La normativa NIS2 e le PMI: responsabilità sulla sicurezza dei dati estesa all’intera supply chain
Attualmente, la normativa comunitaria sulla sicurezza dei dati (NIS) coinvolge organizzazioni impegnate nei servizi fondamentali e nelle infrastrutture critiche, un contesto in cui figurano soggetti statali e grandi organizzazioni a livello enterprise. Le cose, tuttavia, sono destinate a cambiare.
Attualmente la Commissione Europea è al lavoro sulla Direttiva NIS2, che introdurrà ulteriori disposizioni, mirate e rendere sempre più sicuro l’ecosistema dei dati su cui si basa il nostro intero sistema socio-economico.
L’ambito di applicabilità della norma verrà esteso e soprattutto verranno ampliati i confini della responsabilità, andando a coinvolgere non soltanto i soggetti affidatari dei servizi fondamentali e delle infrastrutture critiche, ma anche tutti i fornitori coinvolti nelle supply chain, tra cui figurano moltissime PMI.
Per inciso, citando un possibile esempio, se si verificasse un incidente di sicurezza informatica sui sistemi di una banca, e le indagini rilevassero come gli attaccanti abbiano sfruttato una vulnerabilità dei sistemi di un suo fornitore, quest’ultimo potrebbe essere direttamente chiamato a risponderne, direttamente o comunque indirettamente, non soltanto dalle parti lese, ma anche in termini di una violazione amministrativa, con il rischio di vedersi assoggettata una pesante sanzione economica.
A ciò si aggiunge il pesante danno reputazionale che un incidente di sicurezza informatico ormai comporta quando interviene un data breach, a maggior ragione nel caso in cui una delle aziende coinvolte dovesse rivelarsi non conforme alle normative vigenti, per via di un evidente problema di sovranità tecnologica, magari del tutto ignorato in buona fede.
In qualsiasi situazione e contesto di business, l’attenzione nei confronti della sovranità tecnologica, così come nell’effettiva efficacia dei propri sistemi IT, dovrà costituire un fattore di massima allerta, diventando una vera e propria prassi abitudinale.
Le possibili soluzioni: investire nella sicurezza informatica e conservare i dati on-premise e in cloud privato
I casi di problemi causati o complicati da questioni di sovranità tecnologica sono potenzialmente infiniti e molto spesso le aziende ignorano, in totale buona fede, gli aspetti relativi all’hardware e al software da loro utilizzato, soprattutto quando si affidano ai servizi in cloud pubblico.
Tuttavia, il cloud stesso, offre notevoli opzioni per garantire alle aziende un maggior controllo dei dati trattati, proprio a partire dalla loro conservazione.
In molti casi, le condizioni normative e gli accordi contrattuali con i clienti non prevedono l’uscita dei dati dal perimetro aziendale, obbligando a conservarli sui tradizionali sistemi di storage on-premise. In questi casi, esistono tuttavia applicazioni cloud native che consentono di gestire, con la visione unificata e centralizzata tipica del multicloud, anche i dati in locale, accedendo da remoto ai sistemi di controllo, a tutti gli effetti utilizzando un SaaS.
Questo modello di disponibilità prevede quindi la conservazione dei dati in locale e la flessibilità della gestione in cloud. Vantaggi simili sono ottenibili mediante al ricorso di servizi in cloud privato. Non potendo sfruttare in maniera analoga le economie di scala dei grandi provider, si tratta ovviamente di soluzioni IT meno convenienti rispetto al cloud pubblico, se analizzate dal punto di vista puramente economico.
Quando gli obiettivi da raggiungere e le condizioni relative al trattamento dei dati lo comportano, la conservazione dei dati on-premise e in cloud privato può risultare un ottimo compromesso nel dare maggiori assicurazioni dal punto di vista della sovranità del contesto informatico, assicurando pertanto il soddisfacimento di quelle “misure tecniche ed organizzative” espressamente richieste dalla normativa GDPR.
Per approfondimenti suggeriamo la lettura dell’articolo “Cybersecurity: cosa devono fare le aziende nei prossimi tre anni?“
