L’Europa si prepara a blindare la sicurezza dei servizi cloud forniti dalle big tech imponendo un requisito fondamentale per ottenere il bollino di provider “sicuro” certificato dall’Ue: entrare in una joint venture con un’azienda europea in cui il provider extra-Ue avrà la quota di minoranza. Lo scrive Reuters in base a un documento dell’Enisa, l’agenzia europea per la cybersecurity, visionato in via informale.
Le regole non riguardano, ovviamente, solo i grandi fornitori statunitensi – Amazon tramite Aws, Alphabet tramite Google Cloud e Microsoft con il suo prodotto Azure – ma tutti quelli che non hanno sede nell’Unione europea. Il “bollino” Ue come cloud provider sarà necessario in quanto fornire un servizio cloud comporta la gestione di grandi quantità di dati, spesso sensibili o strategici.
La politica del cloud sovrano è stata recentemente ribadita dal Cybersecurity act. L’ultima bozza di proposta dell’Enisa riguarda il sistema di certificazione dell’Ue (Eucs) che ha l’obiettivo di garantire la sicurezza informatica dei servizi cloud. La normativa inciderà su come i governi e le aziende dell’Unione selezionano un fornitore.
La stretta sulle big tech
Il Cybersecurity certification scheme for cloud services (Eucs) è il primo sistema di certificazione per i fornitori cloud ai sensi della legge sulla sicurezza informatica dell’Ue. È stato fortemente voluto dalla Commissione europea, che ha incaricato l’Enisa della redazione dei criteri. Questi requisiti di sovranità hanno lo scopo di impedire che i dati dell’Ue finiscano nelle mani di giurisdizioni straniere, in particolare imponendo la localizzazione dei data center in Europa e l’immunità dalle leggi non-Ue.
Secondo la bozza del documento Ue visionato da Reuters, le big tech dovranno anche garantire che i loro dipendenti che accedono ai dati nel cloud siano sottoposti a specifici controlli e lavorino in uno dei 27 Paesi dell’Unione.
Inoltre, il servizio cloud deve essere gestito ed erogato dall’Ue e i tutti i dati dei clienti del servizio cloud devono essere archiviati e elaborati in Ue. Infine, le leggi dell’Unione hanno la precedenza su quelle non-Ue per tutto ciò che riguarda il fornitore cloud.
Tutela per i valori e i dati europei
“I servizi cloud certificati sono gestiti solo da società con sede nell’Ue, senza che nessuna entità al di fuori dell’Ue abbia un controllo effettivo sul Csp (fornitore di servizi cloud), per mitigare il rischio di poteri interferenti non-Ue che compromettano i regolamenti, le norme e i valori dell’Ue”, si legge nel documento. “Le imprese la cui sede legale o direzione generale non sono stabilite in uno Stato membro dell’Ue non possono, direttamente o indirettamente, in via esclusiva o congiuntamente, esercitare il controllo effettivo positivo o negativo del Csp richiedente la certificazione di un servizio cloud”.
Il documento afferma che le regole più severe si applicheranno ai dati personali e non personali di particolare sensibilità la cui violazione potrebbe avere un impatto negativo sull’ordine pubblico, la sicurezza pubblica, la vita o la salute umana o la protezione della proprietà intellettuale.
I due fronti del cloud sovrano
La politica europea del cloud sovrano non causa solo malumori tra le big tech americane. Anche l’Unione europea si trova divisa: il sistema di certificazione per i servizi cloud Eucs trova il suo fronte del no in un gruppo di 11 Paesi membri. Le motivazioni, ma anche le possibili soluzioni, sono contenute nel joint non-paper “Perspective on Cloud certification and data sovereignty under the Cybersecurity Act” firmato da Danimarca, Estonia, Finlandia, Grecia, Irlanda, Lettonia, Lituania, Polonia, Slovacchia, Svezia e Paesi Bassi.
Sul fronte opposto ci sono Francia, Italia e Spagna, che sostengono fortemente la linea del commissario Ue Thierry Breton sulla sovranità tecnologica. Nelle ultime settimane le due parti opposte hanno cercato un potenziale compromesso. Il documento congiunto è stato sviluppato in questo contesto, in quanto stabilisce sei scenari per stimolare il feedback degli altri Stati membri.
Il non-paper è un documento informale o non ufficiale che viene fatto circolare in maniera ufficiosa a scopo esplorativo, per tastare il terreno su potenziali accordi senza che chi lo presenta debba pronunciarsi ufficialmente sulle questioni in discussione.
