Il cloud pubblico italiano sta nascendo attraverso partnership strategiche coi colossi americani e con tra le altre cose in vigore una legge, il Cloud Act del 2018, che dà possibilità alle autorità americane di accedere per motivi di sicurezza ai dati trattati da BigTech.

Candidati

Il ministro per l’Innovazione digitale, Vittorio Colao, vuole creare il cloud unico per la pubblica amministrazione entro il 2022. Una impresa enorme in un paese come l’Italia, arretrato sul digitale e con la maggioranza dei servizi attuali che non sono adeguati agli standard di sicurezza. Al centro del progetto c’è il polo strategico nazionale, quello che gestirà «gli asset tecnologici in grado di abilitare i servizi più sensibili del paese»: infrastrutture tecnologiche e dei dati di amministrazioni che vanno dal ministero dell’Interno alla giustizia fino alle amministrazioni comunali.

Sono tre i grandi gruppi che si candidano ad avere un ruolo nel progetto: il 26 maggio Leonardo e Microsoft hanno firmato un memorandum of understanding, per «la protezione cibernetica dei dati e dei servizi per gli asset strategici del paese». Una intesa in cui il colosso dell’elettronica militare può sfruttare le competenze in cybersecurity, mentre Microsoft, con la sua piattaforma Azure, mette la tecnologia per il trattamento dei dati.

Poi ci sono Fincantieri e Amazon che hanno annunciato una collaborazione il 13 maggio, sempre per supportare il piano «Italia Digitale 2026, parte del Pnrr». La collaborazione, si legge nella nota delle due società, vedrà «un’integrazione tra le capacità del Gruppo Fincantieri nei settori della difesa, dell’elettronica, della sistemistica avanzata, dell’information technology e della cybersecurity, con l’esperienza di Amazon Web Services nel supportare istituzioni, grandi aziende, pmi e start-up, attraverso il cloud computing».

Tim già a marzo 2020 aveva firmato una partnership strategica con Google: il primo cliente è la banca Intesa San Paolo. La partnership anche in questo caso sul fronte del know how è sbilanciata verso Google, Tim avrà il controllo della rete infrastrutturale e dei data center. Tutti gli accordi guardano sia al grande progetto del cloud per la pubblica amministrazione, ma anche alle aziende «in un contesto – dice il comunicato di Tim e Google – in cui le tecnologie innovative quali Cloud, 5G, Internet of Things (IoT) e intelligenza artificiale (Ai) assumeranno un ruolo centrale per la competitività delle aziende e lo sviluppo complessivo del sistema Paese». E quindi in cui il controllo digitale dei processi industriali è fondamentale.

Contratti e Cloud Act

I contratti tra titolare del cloud e il provider sono sbilanciati verso il provider, come spiega una recente ricerca sul tema degli esperti di regolamentazione digitale Innocenzo Genna e Eugenio Prosperetti. Ma a questo si aggiunge una regolamentazione internazionale complessa. Il regolamento europeo sulla privacy tutela i dati personali, ma non quelli aziendali come i brevetti. Mentre il Cloud Act americano prevede la giurisdizione anche extra territoriale sui cloud provider delle aziende statunitensi, indipendentemente da dove si trovino i server. La legge, su cui il Congresso americano mantiene l’ultima parola, prevede la possibilità di poter fare ricorso a un giudice, americano, contro la richiesta. Il Cloud Act prevale anche sugli accordi di mutua assistenza legale stretti tra due stati.

Le tre aziende

Le tre aziende italiane interpellate sulla sicurezza delle loro partnership hanno dato tre risposte differenti. Tim ha dichiarato che la sua partnership con Google non è sottoposta al Cloud Act, perché si basa sulla «sovranità tecnologica». Fincantieri ci ha riportato alla policy globale di Amazon che ammette il perimetro extra territoriale del Cloud Act ma spiega che le richieste della autorità a cui Amazon dà risposta sono casi limitati. Microsoft, invece, rivendica che il Cloud Act statunitense «ha introdotto più trasparenza e nuove importanti garanzie, in materia di ottenimento di dati e metadati digitali da parte delle autorità competenti presso i fornitori di servizi della società dell’informazione americani, tra i quali i cloud service provider».

L’esempio francese

«Per capire chi ha la giurisdizione bisogna leggere i contratti», dice Genna, «e capire criteri che intende imporre il governo. In Francia per esempio hanno creato delle policy per cui i provider devono essere europei e possono utilizzare la tecnologia americana solo su licenza». Il ministro dell’Economia Bruno Le Maire ha chiamato questo sistema cloud de confiance, cloud di fiducia. Colao ha detto che «il controllo del cloud sarà italiano in data center italiani», ma senza aggiungere altro.

Quello che è certo è che per ogni tipologia di dati e di livello di “sensibilità” l’esecutivo ha in mente di definire alcuni standard. Eppure la questione è delicatissima. Non sarebbe la prima volta che l’Ue affida i dati sensibili delle sue istituzioni ad aziende straniere: nel luglio del 2020 il garante europeo per la protezione dei dati personali è arrivato alla conclusione che i dati delle istituzioni europee, affidati a Microsoft, erano trattati in maniera non trasparente.
 

Il ministero dell’Innovazione digitale non ci ha ancora risposto su come pensa di tutelare i dati strategici italiani. Ma è nato a fine aprile un comitato consultivo per la Pa digitale, che vede come co-coordinatrice Roberta Cocco, venti anni in Microsoft, già assessore alla Trasformazione digitale e servizi civici di Milano, comune che nel 2016 ha affidato per gara tutti i suoi servizi cloud sempre a Microsoft Azure.
 

Questo articolo è stato aggiornato alle 11.22 del 28 maggio per specificare che il Cloud Act prevale anche sugli accordi di mutua assistenza legale stretti tra due stati

© Riproduzione riservata