lbs
«Per la sicurezza della ‘Nuvola di Stato’ bastano tutele e garanzie nei contratti»
«Per la sicurezza della ‘Nuvola di Stato’ bastano tutele e garanzie nei contratti»
lbs

La posizione di Massimiliano Masnada, partner di Hogan Lovells, che assiste importanti cloud computing provider americani e internazionali

Masnada digit economy fb

L’applicazione o meno del Cloud Act americano alle aziende che si occuperanno della cosiddetta “Nuvola di Stato” è uno dei nodi da risolvere in vista dell’avvio della strategia nazionale sul cloud.  L’obiettivo è impedire cioè che giganti come Google o Microsoft siano costretti dalla legge americana del 2018 ad alzare il velo, in alcuni casi eccezionali, sui dati conservati nei propri server. Contrariamente a chi ritiene che sia fondamentale un accordo diplomatico tra Italia e Usa (vedi il giurista Innocenzo Genna su DigitEconomy del 9 settembre), Massimiliano Masnada, partner responsabile del team di Privacy e Cybersecurity di Hogan Lovells in Italia, che assiste importanti cloud computing provider americani e internazionali, spiega che bastano tutele tecniche e garanzie nei contratti. «Ci sono innanzitutto – spiega Masnada a DigitEconomy.24 (report del Sole 24 Ore e della Luiss Business School – due ordini di problemi principali: bisogna garantire la sicurezza del cloud italiano e c’è l’esigenza di mettere al riparo i dati dei cittadini rispetto a una possibile ulteriore attività di trasmissione non autorizzata a soggetti terzi. Bisogna a questo punto chiedersi: è in grado il cloud italiano di garantire gli stessi elevati standard di sicurezza dei grandi provider internazionali?»

Nel 2020 il costo degli attacchi è salito del 10% in Italia a 3 milioni di euro

I dati sugli attacchi informatici, prosegue il legale, sono su questo fronte emblematici e mostrano l’importanza di difendere la sicurezza degli italiani. «Nel 2020, a livello mondiale, secondo Clusit, (l’associazione italiana per la sicurezza informatica) il costo degli attacchi è stato di 3mila miliardi di euro, il 12% in più rispetto all’anno precedente, con 160 attacchi al mese. In Italia il costo è stato di 3 milioni di euro, con un incremento del 10 per cento. Di recente c’è poi stato il caso emblematico della Regione Lazio dove, per aver lasciato un programma aperto, sono stati rubati i dati dei cittadini». Dal punto di vista della sicurezza, insomma, «chi garantisce maggiormente la tutela sono coloro che hanno acquisito un’enorme esperienza in questa attività. In pratica, non si può cercare l’eccellenza nel solo ambito territoriale italiano se questa eccellenza non è facilmente rintracciabile».

Dare l’intera gestione del cloud a una multinazionale Usa può creare problemi

La soluzione? «Dare l’intera gestione del cloud a una multinazionale americana può creare problemi sia giuridici sia politici. In tal senso l’intervento del ministro Colao al meeting di Cernobbio è stato chiarissimo. Occorre, invece, riservare la gestione a un grande soggetto nazionale, accompagnandola però con accordi di fornitura o di partnership con i grandi provider che possano mettere a disposizione del provider italiano la loro grande esperienza e capacità. Per evitare la scalabilità a livello internazionale dei dati italiani possono essere predisposte tutele adeguate sia dal punto di vista tecnico, come le chiavi crittografiche, sia dal punto di vista contrattuale, ottenendo cioè la garanzia che i dati non vengano ulteriormente ceduti».

Le leggi esistenti sono sufficienti

In sostanza le leggi che ci sono, come ad esempio, «le previsioni del regolamento Ue 679 del 2016 in tema di trasferimento di dati extra-Ue e di per sé sufficienti, ma a livello regolamentare si possono creare ulteriori framework che impediscano l’accessibilità da parte di terzi». Il Cloud Act, chiarisce il legale, «si applica ai provider americani e, in generale, ad operatori sottoposti alla giurisdizione degli Stati Uniti che conservano all’interno del cloud di loro proprietà i dati da chiunque essi provengano. Nel momento in cui si creano cloud e warehouse data che fuoriescono dalla giurisdizione degli Usa si è già tutelati dall’applicazione del Cloud Act. Facciamo un esempio: se io compro una macchina italiana che ha componenti forniti da un gruppo straniero, la gestione dei componenti che fanno parte della macchina e dei dati è, in generale appannaggio solo del produttore e non anche del fornitore. La gestione del cloud nel suo complesso nonché delle chiavi crittografiche possono, cioè, essere gestite dall’Italia anche se fornite da un provider straniero. Ciò non significa che il provider abbia libero accesso ai dati».

No a preclusioni all’uso di applicativi solo perché forniti da un gruppo Usa

Tirando le somme, «da un punto di vista logico, e nell’interesse dei cittadini italiani, credo non si possano avere preclusioni all’uso di applicativi forniti da un terzo solo perché è americano. Quello che interessa di più ai cittadini è garantire che il cloud sia sicuro, in grado di mettere la Pa nelle condizioni di fornire in tempi rapidi i propri servizi. La materia è in divenire, ma interessa tutti, visto che il Pnrr prevede circa 900 milioni di euro per il cloud nazionale». In questo panorama, il Garante della privacy «sarà sicuramente – conclude Masnada -un interlocutore necessario e auspico che vi sia un atteggiamento non ideologico ma concreto, sulla base di quanto finora fatto rispetto alla gestione dei dati».

SFOGLIA IL REPORT COMPLETO

24/9/2021

Data pubblicazione
24 Settembre 2021
Categorie
DigitEconomy.24