Come siamo messi? Sono successi due fatti durante queste settimane che danno la misura della delicatezza della fase in cui siamo, dove i temi del rispetto delle normative, della privacy, della sovranità digitale in Europa sembrano vacillare colpiti dall’arroganza d’oltreoceano. E lo dico amareggiata dalle ultime notizie (come se non bastassero mai per farsi un’idea della deriva verso la quale stiamo scivolando).
Primo fatto. Cloudflare, l’azienda americana di servizi di cybersecurity e di gestione del traffico online, ha minacciato di lasciare l’Italia a seguito di una multa da 14 milioni di euro data dall’Agcom, l’Agenzia italiana garante per le telecomunicazioni, per la mancata collaborazione richiesta dal Piracy Shield, il sistema automatico di rilevamento e oscuramento dei siti che trasmettono illegalmente le partite del campionato di calcio Serie A. Ma come? L’azienda americana viene multata da un organo di vigilanza del governo italiano per comportamento illecito e come reazione l’azienda americana, offesa – che sa di essere in una posizione dominante di forza perché i suoi servizi sono alla base del funzionamento di migliaia di siti sul territorio nazionale (Inno3 incluso) – piuttosto che analizzare il proprio operato minaccia di andarsene, esponendo ai rischi di attacchi cyber e DDoS moltissimi portali? Parole del Ceo, Matthew Prince, che oltre a valutare di spostare i server dall’Italia e di sospendere qualsiasi investimento futuro, minaccia di interrompere i servizi di cybersicurezza pro bono destinati alle Olimpiadi Milano-Cortina alle porte (un ricatto nel ricatto?).
Che sia una infrastruttura capillare quella dei Cloudflare lo si era toccato con mano anche mesi fa, quando i disservizi alla rete avevano creato una sorta di paralisi digitale alle infrastrutture di comunicazione rendendo irraggiungibili siti, causando danni a servizi e ad attività produttive, trasporti, comunicazioni per intere giornate.
Ora, non entro nel merito delle migliorie apportabili al sistema Piracy Shield che rischia di oscurare anche siti che nulla hanno a che fare con la pirateria (era successo a Google Drive) ma mi spaventa l’arroganza del ricatto della multinazionale americana, che ci ricorda ancora una volta quanto le nostre infrastrutture siano dipendenti da aziende private statunitensi che pensano di fare il bello e il cattivo tempo.
Ma come è possibile che si pensi che la sovranità digitale sia ricattabile? Anche se le infrastrutture digitali sono ormai globali (il market share di Aws, Microsoft, Google ce lo ricordano ogni giorno) e non arginabili, il fattaccio Cloudflare è l’ennesimo segnale che l’Europa deve ridurre al più presto la propria dipendenza dagli Usa e insistere nel far capire che i servizi critici non possono essere merce di ricatto, oggetto di negoziazione tra multinazionali con posizioni dominanti e stati sovrani democratici. Possiamo ancora accettare queste minacce? Siamo seri.
Secondo fatto. Un tribunale canadese ha ordinato a OvhCloud – cloud provider francese con sede a Roubaix soggetto alla leggi europee in tema di protezione dei dati – di consegnare i dati di clienti archiviati nei propri data center in Europa senza passare attraverso i tradizionali canali di cooperazione internazionale (per un’indagine penale che riguarda dati di abbonati e account associati a indirizzi IP ospitati su infrastrutture OvhCloud in Francia, Regno Unito e Australia). Una “scorciatoia” resa possibile, secondo il tribunale dell’Ontario, dalla presenza sul territorio canadese della controllata Hebergement Ovh Inc, che opera come entità canadese indipendente senza accesso ai dati della casa madre.
Qual è il punto? Mentre il Cloud Act Usa esercita un controllo basato sulla nazionalità del provider (vincolando le aziende americane ovunque operino), la richiesta canadese introduce un nuovo criterio per cui la semplice operatività in Canada di un provider europeo diventerebbe sufficiente per sottomettere l’intera infrastruttura europea alla giurisdizione canadese. Per questo, in pochi giorni, il caso OvhCloud ha acceso un nuovo dibattito sul concetto di sovranità digitale.
Non interessa più dove i dati risiedono ma quale giurisdizione ha potere su quei dati. In questo modo la localizzazione fisica dei server non sarebbe più garanzia di protezione e la sovranità non sarebbe più legata al paese in cui i dati sono archiviati.
Un passaggio decisivo che supera il concetto territoriale cardine per l’Unione europea e abbraccia modalità più flessibili spinto da stati extra UE come la richiesta canadese mostra.
Due fatti tutt’altro che di cronaca, che rimarcano quanto in tempi di infrastrutture pervasive, region data center potenti, intelligenze artificiali allenate sui dati, i temi della sovranità digitale e dell’indipendenza tecnologica non siano sinonimi di “isolamento” ma di capacità di autodeterminare il proprio futuro. Il dibattito su controllo dei dati, indipendenza tecnologia senza rischio di lock-in, autonomia infrastrutturale, normative ha nuovi elementi per accendere discussioni animate.
© RIPRODUZIONE RISERVATA
