Parla l’ad Francesco Bonfiglio che giudica fondamentale per il ruolo dell’Europa la creazione di data space comuni
Anticipazioni su servizi Gaia X al summit di Parigi di novembre e primi servizi sul mercato a fine anno. A fare un punto è Francesco Bonfiglio, ceo dell’associazione Gaia-X, un progetto nato nel 2019 in Germania con l’obiettivo di creare un’infrastruttura federata di servizi cloud a livello europeo. Ora, a due anni dalla creazione dell’associazione no profit, i temi sul tappeto sono la sicurezza, e su questo fronte Gaia X si è allineata ai tre standard dettati dall’agenzia europea Enisa, e la creazione di data space europei, oggetto di molte critiche da parte di chi ha timori sulla condivisione dei dati. Sul primo fronte, spiega Bonfiglio a DigitEconomy.24 (report del Sole 24 Ore Radiocor e della Luiss Business School), «non credo che la polemica rispetto alla partecipazione di attori non europei, americani e asiatici, abbia senso di esistere. Noi ed Enisa stiamo definendo regole europee che garantiscono la sicurezza dei dati nazionali». Sul secondo «se pensiamo che l’Europa possa avere un ruolo nell’economia senza controllare le piattaforme dove si scambino i dati stiamo fallendo». Sulla base di queste premesse Gaia X si aprirà sempre più anche ai Paesi extra europei che vogliano condividere il set di regole dell’associazione. Bonfiglio volerà a breve in Qatar e si lavora a un hub statunitense, in Texas.
Rispetto al piano quinquennale lanciato l’anno scorso da Gaia X avete riscontrato ritardi, anche alla luce della mutata situazione geopolitica?
Il piano è rimasto invariato. Il 2021 è l’anno di costituzione dell’associazione e abbiamo ottenuto i risultati che volevamo, definendo le specifiche, l’architettura, le regole. Il secondo obiettivo era quello di definire le specifiche tecniche dei federation services, dei servizi che Gaia X si propone di realizzare in modo da implementare un modello distribuito alternativo a quello ipercentralizzato degli hyperscaler. Anche questo è stato fatto. Il terzo obiettivo è avviare un progetto di servizi completi da immettere sul mercato. Ci siano riusciti; l’anno scorso si è chiuso molto bene.
Che cosa vi aspettate per il 2022, riuscirete a centrare l’obiettivo di immettere sul mercato i primi servizi?
Il 2022 è l’anno dell’adoption. Quest’anno, dunque, l’ obiettivo è la definizione della compliance, ovvero di quei componenti software che messi assieme e “inscatolati” in un luogo virtuale possano far ottenere o meno un certificato di conformità riguardo a Gaia X. In quest’ambito siamo a metà del guado, ma stiamo procedendo secondo piani di marcia precisi. Nel 2022, inoltre, c’è un fenomeno interessante, difficile da gestire. Da una parte ci sono i membri di Gaia X che si sono riuniti in consorzi, come quello dell’automotive o dell’agrifood; in parallelo ci sono working group sui data space che stanno lavorando su settori importanti, ad esempio l’health care. Dopo la pandemia, infatti, ci sono la necessità e l’aspettativa di avere data space comuni, ad esempio, per i dati sanitari, mettendo assieme ricerca, ospedali, case farmaceutiche e Paesi diversi. I progetti stanno marciando, entro la fine dell’anno ci saranno i primi servizi.
Su quali tipi di servizi state lavorando?
Abbiamo varie categorie di servizi: la compliance che permette di validare la carta d’identità di un servizio digitale, verificando se un servizio è trusted o meno, se è verificabile, trasparente e controllabile. La label ci dice se il servizio è buono o cattivo, non è l’associazione a deciderlo ma un governo sovrano oppure un settore come quello dell’energia o delle banche. Si definiscono cioè etichette, un insieme di valori che devono essere soddisfatti. Noi, ad esempio, abbiamo definito una label Gaia X basata su un insieme di oltre 50 regole desunte da tutta la regolamentazione europea. Su questo punto vorrei soffermarmi: Gaia X, infatti, introduce una forte spinta all’automazione della regolamentazione in un mondo dove vengono prodotte migliaia di pagine di regole che devono essere facilmente traducibili, pena costituire un ostacolo per il mercato. Soprattutto per le pmi, che non possono permettersi di investire nella comprensione della regolamentazione. Bisogna, quindi, passare a un modello in cui le certificazioni possano essere verificate automaticamente da Gaia X. Mostreremo qualche anticipazione già al summit di Parigi di novembre prossimo.
Garantirete anche la sicurezza, fattore, alla luce del conflitto e nel contesto generale sempre più importante?
Assolutamente sì. Uno dei problemi fondamentali della sicurezza è la capacità di identificare chi eroga il servizio, chi lo gestisce, e la sua struttura. Poter ispezionare un servizio è uno degli obiettivi di Gaia X. Anche la sicurezza è fatta di regole. L’Enisa, ovvero la recente Agenzia europea per cybersecurity, sta lavorando su tre livelli di label: fondamentale, intermedio e alto. La scelta di Gaia X è stata quella di allinearci, prevedendo ugualmente tre livelli. C’è una grande discussione sul livello 3 di Enisa che è quello più stringente e alcuni operatori extra europei si stanno lamentando del set di regole considerandolo troppo restrittivo. In pratica si richiede che i servizi siano erogati in Europa da erogatori europei e che ne sia conosciuta la struttura, senza controlli da parte di aziende o giurisdizioni non europee. Torniamo cioè al problema del conflitto tra il Cloud act americano e il Gdpr. In questo contesto serve e servirà sempre di più un approccio reg tech, per rendere le regole semplici e applicabili da tutti e dare garanzia all’ utilizzatore delle tecnologie sulla loro affidabilità e conformità. In sintesi, quello che sta facendo Gaia X è, dunque, armonizzare un set di regole comuni, avere una tecnologia che le verifica, rendendo questo approccio aperto a chiunque voglia essere conforme.
Le regole scelte da Gaia X si armonizzano con i requisiti del bando per il Polo strategico nazionale italiano?
I principi sono gli stessi. Il Polo è una delle iniziative dei vari Stati membri per realizzare una piattaforma di servizi sicura che risponda a delle regole. Lo sforzo è di allineamento tra tutte le regole che l’Europa si dà anche attraverso Enisa. Trovo improbabile che una volta definito lo standard gli Stati membri non si adeguino.
C’è tuttavia la polemica, soprattutto in materia di cybersecurity, rispetto alla partecipazione a questi progetti di attori non europei
Non credo che la polemica rispetto alla partecipazione di attori non europei, americani e asiatici, abbia senso di esistere. Noi ed Enisa stiamo definendo regole europee che garantiscono la sicurezza dei dati nazionali. Credo che gli operatori dovranno solo fare la propria scelta, seguire le regole definite dall’Europa o no. Per me la seconda opzione non c’è perché in un mercato globale o si seguono le regole o non si lavora. Sono convinto che noi stiamo definendo regole del gioco in Europa a cui tutti quanti si adegueranno e che quello che stiamo facendo è utile anche fuori dall’Europa, interessante per Usa, Giappone, Corea.
Quali gli sviluppi prevedibili fuori dall’Europa?
In Gaia X abbiamo già molti membri non europei, abbiamo 17 hub di cui due non europei, in Giappone e Corea. A breve andrò a visitare diversi ministri in Qatar che hanno enorme interesse per quello che stiamo facendo. Sto, inoltre, avendo molte interlocuzioni con gli Usa ed è in uno stato avanzato il progetto di far partire il nuovo hub in Texas. Se trovassimo altre economie e Stati che vogliono portare al tavolo di Gaia X i loro progetti ben vengano.
Ci sono altre critiche anche sul fronte della creazione di data space comuni, non tutti sono d’accordo a condividere i propri dati anche per ragioni di sicurezza
La creazione di data space comuni è uno degli elementi portanti nel processo di digitalizzazione ed è fortemente voluto dalla Commissione europea. Se pensiamo che l’Europa possa continuare ad avere una catena del valore completamente chiusa tra i Paesi europei ci stiamo sbagliando, se pensiamo che l’Europa possa avere un ruolo nell’economia senza controllare le piattaforme dove si scambino i dati, stiamo fallendo. Quando creeremo reti che permettano di scambiare i dati è ovvio che queste catene del valore dovranno aprirsi ad altri Paesi, altrimenti tali catene si spezzano.
Che interesse dovrebbero avere gli hyperscaler americani a partecipare a Gaia X?
Gli Usa hanno proprie regole, ma si stanno muovendo molto rapidamente nel valutare quelle definite in Europa come il Gdpr. La California, ad esempio, sta valutando standard simili a quelli europei. Stanno capendo che il futuro dell’economia sarà fatto di infrastrutture economiche, di interconnessioni fisiche che siano affidabili per definizione. Noi stiamo creando un modello di riferimento che viene considerato non solo dall’Europa ma anche dagli altri Paesi come un antesignano. Vedo anch’io spesso polemiche da parte di chi non capisce il valore dei data space e si chiede il perché non ci si concentri sulla costruzione del cloud europeo. Questa è una mentalità che deve cambiare. Chi pensa che può stare sul mercato senza condividere i propri dati avrà grandi difficoltà a meno che non si chiami Google o Microsoft. Un progetto industriale di cloud europeo, invece, richiederebbe anni, ma se arrivasse un grande imprenditore e decidesse di investire trilioni di euro per un’infrastruttura cloud Gaia X compliant avrebbe le porte aperte. Per concludere credo che l’Europa abbia un grande bisogno di rebranding; c’è gente che dice che non sarà possibile colmare il gap tecnologico, e noi questo gap non lo abbiamo, oppure afferma che non sarà possibile colmare il gap di mercato, ma questo è colmabile per definizione perché altrimenti l’economia sarebbe stagnante. La regolamentazione cerca di rendere il mercato fair, ma non possiamo aspettarci che qualcuno risolva i nostri problemi e forse dovremmo smetterla di credere che la soluzione venga dagli altri. È quanto stiamo facendo con grande fatica e grande impegno.
17/6/2022