Tutte le incognite che restano sul cloud pubblico italiano

Poco meno di due settimane fa questo giornale ha chiesto al ministero dell’Innovazione digitale che misure sarebbero state prese per proteggere i dati sensibili dell’amministrazione pubblica italiana dal Cloud Act americano, che estende la giurisdizione statunitense anche ai dati gestiti dai cloud service provider americani all’estero. Non ricevendo una risposta ne abbiamo scritto sul giornale interpellando anche le aziende, o meglio le partnership aziendali, Fincantieri-Amazon, Leonardo-Microsoft e Tim-Google, che si sono candidate per il polo strategico nazionale. Il rischio dapprima negato ora invece è stato riconosciuto pubblicamente e gli interrogativi che abbiamo sollevato restano. Per ovviare al rischio si stanno valutando diverse strade. «Si lavora a obblighi specifici in materia di cifratura dei dati e possesso delle chiavi crittografiche per evitare che l’eventuale accesso ai dati si tramuti in copia, trasferimento o cancellazione delle informazioni», scrive Il Sole 24 Ore. «Non si escludono, se ne emergerà la necessità eventuali interventi normativi». Si sa che il governo sta lavorando alacremente sulla messa in sicurezza della rete-groviera dei cloud pubblici, come spiegato chiaramente e da tempo nel Piano nazionale di ripresa e resilienza, e a una tassonomia dei dati per dividerli in ultrasensibili, sensibili e ordinari e che i gestori dovrebbero rispettare determinate condizioni in base alla classificazione dei dati. Ma il problema delle garanzie è molto più ampio. Per dare una idea del livello di conflitto delle giurisdizioni basta ricordare che attualmente la Corte Ue ha bocciato tutti i meccanismi di trasferimento dei dati personali dei cittadini europei negli Stati Uniti. La Commissione europea dopo aver strenuamente difeso meccanismi come il Safe Harbor americano e il Privacy Shield, ha visto i giudici europei bocciare entrambi, e ora sta attendendo pazientemente che da Washington arrivi una nuova legge, attesa per l’estate. Ma questo vale per i dati personali che sono sottoposti al regolamento europeo per la privacy, non certo per i dati degli enti o delle aziende europee che oltre a popolare i vari marketplace made in Usa o in Cina, possono avere a che fare con il cloud delle pubbliche amministrazioni italiane. Licenze ed elaborazione A questo si aggiungono molte questioni di dettaglio, ma che di dettaglio non sono affatto e anzi, come noto, sono comodo rifugio per il diavolo. Prima di tutto, la crittografia non può essere applicata se i dati devono essere elaborati, cioè se la tecnologia a cui ci affidiamo non è semplicemente un cloud per tenere in sicurezza i dati, ma un cloud computing. Questo significa, solo per fare un esempio, che se, come previsto dal Pnrr, il ministero della Salute deve diventare un centro di analisi dei dati sanitari a scopi di prevenzione, su quei dati, la crittografia non si può applicare. Il governo propone la soluzione delle licenze, sul modello adottato in Francia, un paese che però al contrario dell’Italia vanta più aziende del settore dotate di tecnologia, mentre quelle italiane si stanno di fatto riconvertendo ad hoc. Colao aveva già detto che il governo andava nella direzione francese, ma le aziende da noi interpellate non hanno mai citato il nodo licenze. In ogni caso senza altri interventi a decidere sui cloud provider, ricorda l’esperto di regolamentazione delle telecomunicazioni Innocenzo Genna, resta il giudice americano a decidere. Ci sarebbe poi la soluzione del software e dei formati aperti (open source) che è quella sostenuta dalla legge e dalle diverse circolari applicative del codice dell’amministrazione digitale. È stata la via scelta dal governo britannico, anche se ha bisogno di tempo per essere implementata. Italo Vignoli, portavoce del progetto Libreoffice a livello internazionale, membro del board of directors di Open Source Initiative (Osi) dice: «I dati sono una risorsa fondamentale, e il fatto che vengano gestiti da aziende che hanno un interesse commerciale diretto nei loro confronti in quanto fonte di fatturato non offre nessun tipo di garanzia ai legittimi proprietari dei dati stessi, che nel caso di un paese sono i cittadini».