Sovranità digitale e innovazione tecnologica sono i principi di base, rimangono alcuni dubbi sulla sicurezza dei dati.
“Abbiamo deciso di creare un cloud unico per la PA con giurisdizione italiana e con l’accesso alle migliori tecnologie internazionali, perché sappiamo tutti che le migliori tecnologie non sono italiane”.
Con questa frase, il ministro per l’innovazione tecnologica e la transizione digitale Vittorio Colao ha riassunto quella che sarà la strategia italiana per il cloud pubblico. Durante il primo incontro di Italian.tech, il nuovo hub di tecnologia del gruppo GEDI, il ministro ha anche detto apertamente che il nostro paese seguirà il modello francese, ovvero sovranità digitale e protezione dall’intrusione delle big tech e dei governi di altri paesi.
Perché questo fervore per il cloud? Perché questa preoccupazione per le grandi multinazionali della tecnologia? E cosa c’entrano il Cloud Act americano, Gaia-X e il GDPR? In questo post, facciamo chiarezza sul futuro del cloud italiano e sulle difficoltà della migrazione online della Pubblica Amministrazione.
Il cloud italiano e il Polo Strategico Nazionale
Con il nome di Polo Strategico Nazionale, il ministero dell’innovazione ha definito quella che sarà l’infrastruttura cloud che ospiterà i dati della PA. Bisogna ricordare che in Italia, la Pubblica Amministrazione online si appoggia a circa 1250 data center, ovvero aziende che si occupano dell’archiviazione e gestione dei dati. In questa rete finisce il 30% del budget italiano per l’ICT, praticamente una tragedia dal punto di vista economico e organizzativo.
Per questo motivo, è stato lanciato un piano di razionalizzazione del patrimonio ICT, ovvero un filtro dei data center attuali per individuare quelli che saranno i partner affidabili per il futuro. Entro il 2022, afferma il Ministro, verrà costituito il Polo Strategico Nazionale e sarà reso operativo. Ma come funzionerà? Con quali tecnologie e seguendo le leggi di quali paesi?
L’Italia si appoggia a 1250 data center, che assorbono il 30% del budget per l’ICT.
Sovranità digitale sui dati e il Cloud Act
Colao ha detto chiaramente che i dati resteranno in Italia affinché la giurisdizione sia quella italiana, e qui iniziano gli equivoci e le incomprensioni. Per legge, i dati sono soggetti alle normative del paese in cui sono archiviati fisicamente, ovvero dove si trova il data center in cui sono ospitati.
Tuttavia, nel 2018 gli Stati Uniti hanno approvato una legge chiamata Cloud Act (qui, spiegato bene), con cui hanno diritto ad acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere da dove questi dati si trovano, quindi anche se sono su un server fuori dagli Usa. L’unica condizione è che questi operatori siano sottoposti alla giurisdizione degli Stati Uniti oppure che si tratti di società europee con una filiale negli USA o che semplicemente operino nel loro paese.
In pratica, il Cloud Act apre le porte al controllo completo dei dati ospitati sui server di Google, Amazon, Microsoft e altri player statunitensi, anche quando i dati appartengono a utenti europei, se la Pubblica Amministrazione si appoggia a queste aziende. Il problema, a questo punto, è trovare un quadro giuridico che consenta all’Italia di sfruttare le tecnologie delle big tech americane senza permettere agli USA di accedere a tutti i nostri dati personali.
L’esempio francese e il contesto europeo
Colao ha ripetuto che l’Italia seguirà la strategia francese, ovvero mantenere i dati sotto la giurisdizione italiana, ma come abbiamo visto questo obiettivo si scontra con il Cloud Act americano e nel mezzo ci si mette anche il GDPR, ovvero il Regolamento generale per la protezione dei dati.
Ecco allora che una soluzione possibile è allearsi con altri paesi dell’UE e dare vita a una rete europea per il Cloud, che per ora è incarnata dall’iniziativa francotedesca di GAIA-X. Questa associazione internazionale senza scopo di lucro è stata fondata nel 2020 per promuovere la creazione di un’infrastruttura di dati tutta europea e la relativa sovranità digitale per gli utenti degli stati membri.
Il cloud non è solo hardware, ma soprattutto software
Tutti questi problemi nascono da ciò che Colao ha giustamente ricordato nella sua intervista: “sappiamo tutti che le migliori tecnologie non sono italiane.” Per far funzionare un cloud grande come l’Italia (o addirittura come l’UE) non bastano i data center, ma servono appunto le tecnologie in possesso delle grandi multinazionali come Amazon o Google. Acquistare i servizi di queste aziende o stringere una partnership con loro comporta una serie di questioni giuridiche e di sicurezza della privacy.
In alternativa, ma più a lungo termine, le iniziative come GAIA-X e le strategie nazionali dei principali paesi potrebbero dare lo slancio verso la creazione di aziende europee, per gestire internamente anche la parte software.
“Sappiamo tutti che le migliori tecnologie non sono italiane.”
Vittorio Colao, Ministro per l’innovazione digitale
E la sicurezza informatica dell’utente finale?
La sicurezza del cittadino dipenderà dai sistemi di cybersecurity dei data center, dallo SPID (che per adesso prevede l’autenticazione a 2 o più fattori tramite OTP e hardware) e infine dalle abitudini di sicurezza informatica personali.
Per questo motivo, indipendentemente da come si evolveranno i sistemi di identità digitale e il cloud a livello italiano ed europeo, ti proponiamo 5 consigli di cybersicurezza per l’utilizzo dei servizi pubblici:
- Crea password sicure.
- Utilizza l’autenticazione a 2 fattori per la firma digitale e i servizi online della PA.
- Quando accedi a SPID, fallo dalla rete Wi-Fi di casa o con i dati mobili del telefono, mai da reti Wi-Fi pubbliche o condivise.
- Fai molta attenzione a email e SMS di phishing. Potresti ricevere messaggi fraudolenti da hacker che impersonano la PA, in cui ti viene chiesto di scaricare un allegato o fare il login su un sito per comunicare dei dati personali.
- Installa un buon antivirus su PC e telefono per proteggere i tuoi dispositivi e i dati che ospitano.
Il cloud è una delle nuove frontiere su cui si sta spostando il braccio di ferro tra le varie potenze del mondo. Mentre il nostro paese e l’Europa si danno da fare per creare un ambiente sicuro e controllato, la cosa migliore che possiamo fare è perfezionare i nostri sistemi di cybersicurezza personali. Segui i nostri consigli, continua a informarti e vedrai che la digitalizzazione non sarà un fastidio, ma una grande opportunità per semplificarti la vita.
Buona navigazione e buona preparazione alla PA sul cloud!