Parla Francesco Bonfiglio, amministratore delegato dell’associazione Gaia-X, a DigitEconomy.24, report Il Sole 24 Ore e Luiss Business School, dopo la presentazione della strategia nazionale per il cloud
Gaia-X, associazione per il cloud europeo a cui l’Italia partecipa, esprime preoccupazioni per l’apertura potenziale, nel progetto di Polo strategico nazionale, alle tecnologie degli hyperscaler americani come Google, Microsoft, Amazon. Tecnologie, spiega l’amministratore delegato Francesco Bonfiglio a DigitEconomy.24 (report del Sole 24 Ore e della Luiss Business School) che «sono intrinsecamente impossibilitate a garantire l’immunità da giurisdizioni non sovrane, in particolare dall’applicazione del Cloud Act», normativa che consente ai tribunali Usa di richiedere in alcuni casi i dati gestiti dai provider americani anche in altri Paesi. Per tutelare la sicurezza dei dati, Bonfiglio chiede, quindi, che nei requisiti del partenariato per la realizzazione del polo siano specificati trasparenza, sovranità e l’interoperabilità dei dati. Gaia-X, a cui al momento partecipano 53 aziende italiane, in questo contesto può essere lo standard di riferimento condiviso.
Come giudica il consorzio Gaia-X l’impianto della strategia di governo italiano sul cloud nazionale?
Da quello che ho letto e sentito finora credo che l’aspetto positivo sia la volontà del Governo di creare un’infrastruttura sicura, strutturata per livelli, in funzione della criticità del dato. È un progetto che ha senso. Inoltre ho letto che deve essere basato sulle tecnologie migliori esistenti sul mercato. I punti di partenza sono dunque correttissimi. Mi convince meno l’apertura potenziale a tecnologie che sono intrinsecamente impossibilitate a garantire l’immunità da giurisdizioni non sovrane, in particolare dall’applicazione del Cloud Act americano. Inoltre tali tecnologie proprietarie non danno, soprattutto nel contesto specifico che sostanzialmente è un re-platforming (cioè uno spostamento di applicazioni da una piattaforma a un’altra), un valore aggiunto maggiore rispetto a quelle aperte, commerciali o open source.
Il ministro Colao ha parlato di sistemi di sicurezza diversi a seconda della sensibilità del dato. Nonostante ciò, si corrono ancora rischi?
È necessario comprendere meglio i meccanismi di sicurezza da attuare. In teoria l’obiettivo è avere dati sicuri, gestiti a seconda del livello di sensibilità, in pratica tuttavia non si comprende appieno come l’agenzia per la Cybersicurezza realizzerà questi principi. Il progetto Gaia-X ha un fine preciso che è quello di realizzare infrastrutture dati trasparenti e sovrane, ovvero offrendo la completa visibilità delle caratteristiche dei servizi offerti e il loro controllo. Non vedo come qualunque cloud nazionale, ovvero che gestisce i nostri dati più preziosi, possa prescindere da offrire tali garanzie, ma per il momento non ho riscontro della loro esistenza nella scelta impostata dal Governo. Nei requisiti della gara o del partenariato secondo me bisognerebbe dunque porre l’accento sul rispetto di tre parole chiave: trasparenza, sovranità e interoperabilità dei dati.
Come potrebbe contribuire Gaia-X?
Gaia-X ha un obiettivo dichiarato di abilitare la creazione di data-space (spazi dove si possono condividere in modo sicuro dati di diversi attori, privati o pubblici, per creare servizi basati sui dati) attraverso la creazione di una infrastruttura cloud europea sicura, trasparente, interoperabile e sovrana che risponde a regole comuni in tutta Europa. Il layer infrastrutturale di Gaia-X è dunque il progetto più importante, non solo in Europa, per definire concretamente come raggiungere questi elementi di garanzia e dovrebbe essere preso a riferimento.
Se il polo strategico nazionale è deputato a raccogliere i dati più importanti del Paese, deve quindi rispondere ai requisiti di trasparenza e sovranità attraverso un modello definito e condiviso da tutti gli attori che lo realizzeranno. Se non quello di Gaia-X, qual è il modello attraverso il quale ottenere queste garanzie?
Certamente ne serve uno di riferimento e altrettanto certamente non potrà essere quello di uno specifico fornitore. Sono certo, dunque, che Gaia-X possa essere un elemento costituente della soluzione.
Questo vuol dire che al polo strategico non potrebbero contribuire gli hyperscaler americani?
Assolutamente no, Gaia-X sta creando un layer che permette di controllare tutti i servizi che vengono offerti allo stesso modo. È una questione di equità e, di nuovo, di trasparenza. Un fornitore cloud italiano, così come uno americano, possono teoricamente offrire i servizi in chiave Gaia-X se decidono di esporli attraverso un formato di descrizione comune. Il secondo elemento necessario è l’apertura alla ispezionabilità delle caratteristiche dichiarate in questo descrittore. I componenti che Gaia-X sta sviluppando permetteranno di leggere le caratteristiche del servizio, verificarne la veridicità e tenerne traccia in un registro immutabile e incorruttibile. Le caratteristiche potranno poi essere riscontrate attraverso delle etichette che dimostrano il livello di conformità senza doversi fidare di dichiarazioni scritte e senza dover ispezionare la tecnologia dall’interno. Ma, anche al di là del progetto Gaia-X, ribadisco che è fondamentale fare riferimento a servizi ispezionabili, verificabili secondo un descrittore comune, garantendo l’interoperabilità per qualunque cloud che si possa definire ‘sovrano’. Le tecnologie utilizzabili a quel punto sono tutte senza esclusioni. Tuttavia, al momento, nessuna delle tecnologie Hyperscaler, basate su architetture chiuse e proprietarie, può offrire questo tipo di trasparenza e controllabilità. In conclusione, il polo strategico nazionale si basa fondamentalmente, in questa prima fase che durerà ben cinque anni, sulla scelta di un nuovo layer infrastrutturale, va dunque trovato uno standard, che sia quello di Gaia-X o altri che però al momento però non esistono.
Il modello scelto dalla Francia dà sufficienti garanzie di sicurezza?
È un modello che si basa su doppia chiave crittografica, è come se si consentisse di usare casa propria, consegnando le chiavi, ma tenendone una copia. Per un hyperscaler, le cui architetture sono state pensate per essere chiuse, fortemente uniformate e interconesse tra di loro per poter ottimizzare i servizi a valore aggiunto (monitoraggio, sicurezza, provisioning, etc.) proporre un modello disconnesso e sganciato dal cloud centrale è un ossimoro o una chimera. A livello tecnologico si potrebbero verificare due scenari. Nel primo caso si potrebbe creare una copia locale, ma questa non funzionerà come quella della casa madre perché non agganciata ai servizi centrali, non aggiornata, non monitorata e messa in sicurezza dai controlli centralizzati. Insomma, una architettura destinata all’obsolescenza. Nel secondo caso – che è peggiore – si creerebbe una realtà apparentemente a controllo pubblico locale, ma di fatto agganciata a quella centrale per beneficiare di tutte le caratteristiche di quest’ultima. Il titolare dunque risulterebbe una sorta di prestanome: si è trovato un escamotage al Cloud Act? No, perché di fatto il vero proprietario rimane l’hyperscaler americano. Si è risolta la questione dal punto di vista giuridico, forse, ma non da quello tecnologico. Anche per queste ragioni i player del consorzio Gaia-X sono preoccupati, e proporranno l’uso di Gaia-X. Non ho dubbi che il Governo accetterà questo tipo di consiglio.
Come risolvere, infine, l’eventualità della partecipazione degli hyperscaler alla luce del Cloud Act americano?
Ci aspettiamo che tutti gli operatori di mercato, compresi gli americani, si adatteranno alle esigenze che la comunità europea sta esprimendo attraverso un progetto come Gaia-X, ma più in generale dalla diffusa domanda di trusted platforms. Peraltro, Google, come Microsoft e Amazon, sono tra i partecipanti al nostro progetto. È necessario, come suddetto, focalizzarsi non sulla tecnologia ma sull’apertura, trasparenza e ispezionabilità dei servizi offerti. A livello pratico poi, l’unica soluzione per essere totalmente immuni dal Cloud Act oggi, è avere una soluzione totalmente basata su tecnologie aperte, non proprietarie, localizzata in siti e governata da operatori che rispondano alle giurisdizioni italiana ed europea. Da sempre le infrastrutture dati più sicure al mondo, dalla difesa allo spazio, alla ricerca, risiedono su infrastrutture totalmente proprietarie e cloud completamente aperti e basati su standard di sicurezza e trasparenza elevati. Il Cloud Act verrà risolto, spero, e dunque potremo muovere i nostri dati più liberamente, ma è importante partire col piede giusto e dunque assicurarci il completo controllo dei servizi che saranno alla base del Psn e dunque dei nostri dati più sensibili.
10/9/2021