- La localizzazione dei server in Italia non è sufficiente per eludere le interferenze delle giurisdizioni e dell’intelligence americana.
- La crittografia con chiavi in Italia è un rimedio parziale, poiché opera solo nella fase di storage dei dati, non dell’elaborazione
- L’unica opzione veramente sicura è quella del cosiddetto cloud privato, cioè l’utilizzo di data center inhouse, con l’esclusione completa degli hyperscaler americani
Il governo italiano ha recentemente presentato la strategia Cloud Italia, cioè l’insieme dei principi applicabili alla cosiddetta Casa italiana dei dati, una fausta espressione con cui si vuole indicare l’organizzazione in cui confluiranno il cloud della Pubblica amministrazione ed il Polo di sicurezza nazionale.
Restano, però, senza risposta una serie di dettagli fondamentali circa la sicurezza di tale casa ed in particolare del suo contenuto e cioè i dati degli italiani. È ormai noto il tema dell’aggredibilità dei dati europei da parte di giurisdizioni e autorità di intelligence statunitensi in virtù delle legislazioni extraterritoriali d’oltreoceano, vale a dire il Cloud Act e il Fisa 702.
Nessun progresso
Ci si aspettava qualche concreta rassicurazione dal governo italiano, ma purtroppo non vi è stato, rispetto al dibattito in corso, nessun progresso sostanziale: il governo punta molto sulla localizzazione dei dati in Italia, condizione necessaria ma non sufficiente per mettere al sicuro i dati nazionali dalle giurisdizioni estere, ma allo stesso tempo appare piuttosto aperto sul coinvolgimento degli hyperscaler americani, la cui tecnologia è stata ripetutamente lodata durante la conferenza stampa di presentazione della strategia Cloud.
Ma è proprio la nazionalità di certi cloud provider a innescare il potere d’intervento di giudici e servizi segreti americani, anche quando i dati siano custoditi in server fuori dagli Usa, e cioè in Italia.
Per ovviare a questo problema l’esecutivo sembra puntare molto sullo strumento della crittografia con chiavi in Italia, cioè una situazione per cui solo il governo, o chi per lui, sarebbe in grado di decrittare i dati nei server. L’idea è che un cloud provider statunitense potrebbe al massimo consegnare alle proprie autorità solo dei dati indecifrabili. Tutto bene fino a qui, salvo constatare – come onestamente ammesso proprio nel corso della stessa conferenza stampa – che non siamo in presenza di un rimedio sicuro al cento per cento.
In effetti, la cifratura opera solo quando i dati sono depositati nei server, ma non quando gli stessi dati sono elaborati per fornire un servizio (il che capita continuamente).
Il 90 per cento non basta
In tale caso, i dati devono essere elaborati “in chiaro”, poiché la possibilità di elaborare dati cifrati è al momento un’attività sperimentale e non standard. Ne consegue che al momento dell’elaborazione lo scudo della crittografia verrebbe meno, ed addio sicurezza dei dati.
Ma per il governo non si tratterebbe di un grave vulnus, semmai di una lieve riduzione di sicurezza: in conferenza stampa è stato infatti evocato il caso di un computer, situato chissà dove, che accidentalmente potrebbe avere accesso ai dati temporaneamente non cifrati, insomma una bella sfortuna. Ma non è così: il caso tipico di cui ci dobbiamo preoccupare è invece quello dello stesso cloud provider americano ingaggiato dal governo italiano, al quale il giudice o l’intelligence Usa potrebbero ordinare di farsi consegnare i dati custoditi nei server italiani: non appena tali dati si trovino in chiaro (e chi meglio del cloud provider può saperlo) esso sarebbe obbligato a far una snapshot della macchina, una fotografia di quello che c’è dentro.
Insomma, la sicurezza giuridica (a differenza di quella tecnologica) deve ambire al 100 per cento, altrimenti serve a poco: è come uno scafo perfetto ma con un’unica falla, che basta per affondare.
Tallone d’Achille
Tutto questo accade mentre la cordata attualmente data per vincente, che fa perno su Tim e Cdp, si presenta come italianissima, ma non sembra esserlo la sua tecnologia.
Tim di fatto lavora con Google e anche una semplice fornitura di tecnologia Usa, se permettesse di telegestire i server da remoto, potrebbe essere considerata dal giudice americano come presupposto di applicazione del Cloud Act, o dall’intelligence Usa (in base al Fisa 702) come una discreta e comoda porta d’ingresso: quindi il problema è lungi dall’essere risolto.
Se questi nodi non verranno sciolti, l’unica opzione veramente praticabile, tra le varie indicate dal governo, sarà quella del cosiddetto cloud privato, cioè l’utilizzo di data center in gestione da parte dello stato oppure di operatori totalmente nazionali ed europei, con l’esclusione completa, diretta o indiretta, degli hyperscaler americani.
Una soluzione un po’ autarchica ma la sola che può garantire al cento per cento la sicurezza giuridica dei dati strategici della pubblica amministrazione italiana.
© Riproduzione riservata