Il “cloud de confiance”: un’occasione mancata per il cloud computing europeo?

Il Governo francese ha recentemente presentato la strategia nazionale “cloud de confiance”, che mira a sviluppare soluzioni di cloud computing sicure ed affidabili, a beneficio di pubbliche amministrazioni ed imprese francesi. Oltre alla creazione dell’etichetta “trusted cloud” ed alla implementazione di tale tecnologia a livello pubblico, uno dei pilastri della strategia consiste nella promozione di partnership con i colossi del cloud statunitensi. Come i cloud players europei hanno evidenziato, il “cloud de confiance” rischia di rappresentare una vera e propria occasione mancata per lo sviluppo “in chiave europea” di tale infrastruttura tecnologica.

 

Lo scorso maggio il Governo francese ha presentato la strategia nazionalecloud de confiance”, che si pone come obiettivo quello di implementare la robustezza e l’affidabilità delle soluzioni di cloud computing  utilizzate da imprese e pubbliche amministrazioni francesi (sul cloud computing e sulle principali implicazioni in tema di sicurezza e di privacy in questo Osservatorio se ne è parlato QUI).

Definitivamente archiviato l’originario progetto di creare “cloud sovrano” integralmente made in France, la nuova strategia del Governo francese prende le mosse dal riconoscimento della superiore maturità tecnologica raggiunta dagli Stati Uniti e dall’intenzione di utilizzare le soluzioni di cloud computing dei cd. “GAFAM”, “piegandole”, al contempo, alla regolamentazione europea e francese in materia di tutela della privacy. Il dichiarato obiettivo del Governo francese è, quindi, duplice: da un lato, lavorare con i players esistenti e, dall’altro, garantire un elevato livello di protezione per i cittadini e le pubbliche amministrazioni.

Tre sono i pilastri su cui poggia l’archiettura del cloud de confiance. In primo luogo, viene prevista la creazione del cd. trusted cloud, vale a dire un’etichetta da attribuire alle società che hanno il proprio server in Francia e che si impegnano a rispettare i più elevati standard di protezione dei dati. Il rilascio di tale etichetta – che va ad integrare l’esistente etichetta SecNumCloud – è affidato all’Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI), cui è assegnato il compito di verificare che le applicazioni delle aziende soddisfino i criteri di sicurezza prefissati.

Secondo pilastro della strategia nazionale consiste nell’implementazione di partnership con alcuni dei principali colossi esistenti – tra cui Microsoft, OVHcloud e Google –, con l’obiettivo di assicurare che l’utilizzo delle relative tecnologie avvenga all’interno di un ecosistema sicuro e privacy-oriented.

Terzo punto della strategia consiste nell’implementazione del cloud per il servizio pubblico, nell’ottica di creare servizi pubblici digitali più agili, economici ed interattivi. Nelle intenzioni del Ministro della Trasformazione e dei servizi pubblici, il cloud digitale dovrà diventare la soluzione di archiviazione predefinita per tutti i progetti governativi, tramite il suo cloud interno o tramite l’utilizzo di un trusted cloud.

Su queste basi, lo scorso ottobre la società aerospaziale Thalès ha concluso un accordo con Google al fine di creare, entro l’anno 2023, un cloud de confiance al servizio di aziende private ed istituzioni pubbliche francesi, utilizzando reti ed infrastrutture rigorosamente situate in Francia. Il ruolo del colosso americano – che sarà socio di minoranza della costituenda società – sarà principalmente quello di supportare Thalès nel processo di migrazione dei dati sensibili nonché di fornire ai clienti le funzionalità per possedere e controllare le proprie chiavi di crittografia. Nonostante le rassicurazioni di Thalès sul fatto che l’infrastruttura sia «pensata in Francia e per la Francia» e che la joint venture con Google sarà assoggettata alla normativa di protezione europea e francese, non è chiaro se Google avrà accesso – in tutto o in parte – ai dati raccolti sul cloud. Si tratta di una questione tutt’altro che marginale, considerato che lo statunitense Clarifyng Lawful Overseas Use Data (cd. “Cloud Act”) consente – rispetto agli operatori sottoposti alla giurisdizione USA – alle forze dell’ordine ed alle agenzie di intelligence statunitensi di acquisire dati informatici raccolti dagli operatori di cloud computing indipendentemente dal luogo in cui sono situati i server.

La strategia francese per il cloud ha già sollevato molte critiche per la sua ambivalenza di fondo. Per molti cloud player francesi l’iniziativa è emblematica della sostanziale mancanza di fiducia dello Stato nei confronti delle aziende tecnologiche francesi, alle quali vengono preferiti i più “maturi” i colossi americani. Si è anche evidenziato che la strategia nazionale riposi su una contraddittorietà di fondo tra l’insistito richiamo al cloud di Stato e la dipendenza, di fatto, da tecnologie straniere, alle quali viene offerta una corsia preferenziale di penetrazione in Francia.

Numerosi sono i timori avanzati anche in relazione alla effettività della riservatezza dei dati raccolti. Il fatto che le infrastrutture siano francesi e che i cloud de confiance siano sottoposti alla normativa di protezione euro-unitaria non sembra costituire una garanzia sufficiente ad assicurare l’affidabilità della struttura. Ciò soprattutto in quanto, a livello tecnico, sarà estremamente complesso monitorare il transito dei dati: senza padroneggiare il codice sorgente – che è la vera e propria materia prima del cloud – la stessa capacità di controllo sul sistema risulta, in realtà, molto limitata.

Più in generale, dall’alleanza che lo Stato francese ha siglato con i giganti del “GAFAM” emerge una scarsa fiducia rispetto al potenziale tecnologico francese ed europeo in questa materia. Eppure, come molti players hanno contribuito a mettere in luce, il gap tecnologico che separa l’Europa dagli USA non è affatto abissale. Se adeguatamente sostenuta a livello normativo ed economico, questa tecnologia potrebbe essere sviluppata anche a livello europeo, declinandola maggiormente in linea con il sistema assiologico europeo.

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale