Il riaccendersi delle polemiche sul potere di ispezione virtualmente illimitato che le norme di sicurezza attribuiscono ai dati dei provider USA anche se detenuti in Europa e i segnali dalla Germania sul “pay as you eat” anche sulle reti fisse, propongono nuovi interrogativi sulla “nuvola”
Che cosa chiedono le aziende per accedere ai servizi cloud, un trend che rappresenta una chiara progressione ma non ancora una corsa? Sostanzialmente tre cose: velocità, sicurezza, costi. In altre parole, occorre che la velocità di accesso ai servizi non faccia rimpiangere il computer sotto il tavolo o di cinque piani di sotto, che le economie di scala permettano di realizzare risparmi apprezzabili e che la sicurezza sia proporzionale allo scopo insito nella qualità dei dati. Se il tram arriva in ritardo – con buona pace dei rimborsi da tre euro promessi ora dall’azienda di trasporti torinese oltre il quarto d’ora d’attesa – se vi sfilano il portafogli e pagate quanto il taxi, la prossima volta prendete l’auto. Una serie di fatti nelle ultime settimane fa capire che il giardino del cloud non è sempre fiorito e che non tutte le aiuole sono uguali.
I dati degli altri
La “bomba”, non troppo sorprendente, è stata quella delle rilevazioni sulle politiche intrusive della NSA, la National Security Agency USA che, sulla base del Patriot Act della fine del 2011, dopo l’attacco alle Torri Gemelle, ha fortemente aumentato il monitoraggio sulle comunicazioni. Barack Obama, che anche per questo motivo non ha potuto calcare troppo la mano in tema di cyberspionaggio nei confronti del suo collega cinese Xi Jinping, a Washington i primi di giugno, ha detto due cose: «Non si può garantire il 100% di sicurezza e di privacy» e «Le telefonate non sono state spiate». Il quesito oggi – però – non è se a essere spiate, interrogate, correlate siano le telefonate ma le e-mail, le conversazioni dei social network, gli archivi dei data base. Del resto, già da qualche anno si moltiplicano i segnali secondo cui la NSA sta fronteggiando l’enorme crescita dei dati online con nuove tecniche. Insomma: nel moderno (contro) spionaggio serve sempre meno intercettare le conversazioni con cuffia alle orecchie e registratori. La nuova arma è quella del data mining. Il programma “Prism” avrebbe rovistato con potenti strumenti di analisi negli archivi di tutti i maggiori provider, anche se puntuali sono arrivate le smentite di Facebook e Google. Le recenti rivelazioni gettano benzina su una frontiera che del tutto nuova non è: quella della sicurezza del cloud. Il Patriot Act non è una rivoluzione normativa: piuttosto, fornisce un quadro esteso a una serie di misure per lo più già in essere e ne estende la portata, con una serie di altri strumenti correlati, come il Fisa nel 2008. Una delle conseguenze è la possibilità per le autorità di sicurezza Usa di compiere ispezioni, anche senza autorizzazioni del tribunale, sugli archivi dei fornitori di servizi online. Ciò che ha fatto più scalpore è che questo potere si estende anche ai dati detenuti da provider Usa al di fuori dei confini, mentre sono esclusi quelli dei provider non Usa, salvo i dati da questi detenuti sul suolo americano.
L’estraterritorialità dei controlli Usa
In altre parole: sono accessibili dalle autorità di sicurezza Usa – senza che vi sia nemmeno obbligo di comunicazione – i dati che le aziende italiane o europee, o i cittadini, hanno sui server di Amazon, Google, Microsoft. A proposito di quest’ultima, un’ammissione in tal senso è venuta due anni fa da Gordon Frazer, il direttore della filiale britannica di Microsoft, in occasione del lancio di Office 365, che ha ammesso: «Non possiamo garantire dell’informazione gli interessati, ma nemmeno gli altri possono farlo». Il “Rapporto sulla Trasparenza” che Google pubblica ogni sei mesi indica un progressivo aumento delle richieste da parte di autorità giudiziarie o di sicurezza (in linea anche con l’aumento di utenti e traffico). Nel secondo semestre del 2012 erano state 21.389, con una crescita di circa duemila casi (su base semestrale) da un anno all’altro. Quelle relative agli Usa sono state 8.438. Per l’Italia, i valori sono circa un decimo degli Usa (circa 800), per la Germania un quinto. E se negli Usa, vengono forniti dati nel 90% delle richieste, nei maggiori paesi europei siamo attorno al 50%. Chi affida i dati a un fornitore esterno – soprattutto se si tratta di un’azienda che già è tenuta a una serie di norme sulla sicurezza, la compliance e il rispetto della privacy imposti dalle normative sempre più stringenti del proprio paese – può avere comprensibili preoccupazioni. Nel 2011, il governo olandese escludeva “in linea di principio” per motivi di questo genere contratti cloud con provider statunitensi. A sua volta, la BAE Systems, il gigante aeronautico britannico, è stata dissuasa dai suoi legali per gli stessi motivi dall’adozione di Office 365. Ma come stanno gli “altri”? Se la vigilanza Usa ha un concetto esteso di “estraterritorialità”, quella europea – almeno a casa propria – non fa molti sconti.
L’Europa non scherza sulla sicurezza
Le cronache di un paio d’anni fa raccontavano di una Viviane Reding, già combattiva commissaria UE per l’Agenda Digitale, poco felice nel vedere agitare in chiave marketing la clava della privacy contro i fornitori di cloud americani, consapevole che anche in Europa non si scherza. Le norme antiterrorismo francesi sono considerate ancora più dure di quelle di Obama (che le ereditò da Bush). In Germania, in casi motivati, la Polizia Criminale (BKA) può anche nascostamente inserire dei “virus federali” nei computer da tenere sotto controllo. Un’indagine condotta in una decina di paesi (tra i quali non figura l’Italia) dallo studio legale Hogan Lovells indica che tra Europa, Giappone e Australia, quasi tutti i maggiori paesi hanno norme non troppo diverse dal Patriot Act, benché (ma almeno) valide solo “in casa”. Che fare dunque? Chiaramente, la direttiva Ue vecchia di 18 anni che prevedeva la possibilità di trasferire dati personali in altri paesi, purché fosse applicabile un regime giuridico comparabile – oggi – appare del tutto inadeguata. In attesa che venga rivista la normativa sulla privacy, l’unica strada per le aziende che vorranno una reale sicurezza potrà essere solo quella di una impegnativa crittografia “on rest” dei dati prima di inviarli sul cloud? Inapplicabile. Una maggiore chiarezza da parte dei provider, comunque non sarebbe una cattiva idea, per quanto non risolutiva, ma anche le aziende-utenti potrebbero cominciare a mettere nero su bianco le loro domande.
“Pay as you eat” sulla rete?
L’altro tema caldo è quello del costo delle prestazioni. In Italia, per la prima volta al mondo, si pensa allo scorporo della rete dell’operatore incumbent, con l’augurio che questa operazione possa catalizzare interesse e risorse per lo sviluppo della banda larga e non generi – com’è concretamente possibile – ulteriori ritardi. Dalla Germania arriva invece un segnale semplice semplice: se la rete è un valore per chi la usa, deve averne anche per chi la realizza. Nello stesso tempo in cui otteneva dall’Authority federale il via libera alla superbanda sul rame (VDSL2 + vectoring), purché non discriminatoria verso la concorrenza, Deutsche Telekom annunciava un cambio di indirizzo per i nuovi contratti di accesso Internet. La tendenza sarà prevedibilmente generalizzata man mano la rete evolverà. Si pagherà la rete fissa in funzione non solo della velocità, ma anche della quantità di dati scambiati. Fine del “flat” insomma, come sul mobile: del resto, maggiore è la velocità, maggiore è anche il consumo. Si tratta di valori oggi più che ragionevoli, perché si parte dai 75 GB mensili per i contratti a 16 Mbit/s, 200 Giga per quelli da 50 Mbit/s e via a salire. In prospettiva, se il movimento dati sul cloud diverrà comunque una variabile economicamente significativa – se cioè si pagherà “a consumo” non solo chi fornisce le infrastrutture di calcolo e storage, i programmi, la manutenzione, ma anche chi fornisce la comunicazione – si troverà un modo più diretto per finanziare le nuove reti. La notizia potrà non piacere ai paladini della net neutrality – i quali dovrebbero pure riconoscere che è ragionevole che il pedaggio di un tir in autostrada sia superiore a quello di uno scooter – e non piacerà nemmeno agli OTT, ma tornare a dare un valore alle reti, è un segno di realismo. In fondo, è vero che sulle strade, per lo più, si circola gratis, ma questo succede perché sulle auto c’è una tassazione che permette di realizzarle, con tanto d’interesse.