Sono giorni decisi per “disegnare” il cloud nazionale dei dati strategici e sensibili della Pubblica amministrazione ed evitare che possano finire nelle mani delle big tech con il reale rischio di una sorveglianza di massa, come andremo a spiegare.
Cloud nazionale, gli attori in campo (ad oggi)
Nelle ultime ore sembra prender piede un diverso schema di gioco centrato su una cordata pubblico-privata per dar vita alla “nuvola” nazionale. Cassa Depositi e Prestiti (CDP)-Sogei, i due soggetti pubblici per realizzare il cloud computing della Pa e Leonardo e TIM (dietro cui sarebbe diluita in modo silente la presenza di Google), le due aziende private, come partner tecnologici.
“Siamo intensamente coinvolti, stiamo dialogando su più fronti, sia con l’operatore nazionale di telecomunicazioni che con Cdp. Stiamo valutando come cooperare su questo fronte, siamo assolutamente certi che come Leonardo possiamo dare un significativo valore aggiunto nella componente di servizio”, ha detto Alessandro Profumo, l’amministratore delegato del gruppo Leonardo, in audizione alla Camera.
I problemi di sorveglianza di massa e di desertificazione tecnologica con i dati alle aziende Usa
Non sappiamo come evolverà il quadro e quali saranno le possibili soluzioni. È noto che nel PNRR sono stati previsti 900 milioni per la realizzazione di una infrastruttura di Cloud per le Pubbliche Amministrazioni italiane centrali e locali, dove si potranno far migrare i dati di oltre 60 milioni di italiani.
Se i dati dovessero finire nel cloud di società statunitensi ecco i gravi problemi sia dal punto di vista della protezione dei dati sia per quanto riguarda l’indipendenza tecnologica.
Le leggi Usa che obbligano le loro aziende che operano all’estero a cedere i dati dei loro clienti
Negli Stati Uniti sono in vigore tre leggi, il Cloud Act, FISA 702 e EO 12333, che obbligano le aziende statunitensi che operano all’estero a cedere i dati dei loro clienti ai servizi Usa.
Il Cloud Act (Clarifying Lawful Overseas Use of Data Act) ha riformato la precedente normativa per dare più poteri di accesso ai dati “posseduti, gestiti o controllati” da servizi di comunicazione elettronica soggetti all’ordinamento USA. È la normativa che ha posto per prima l’attenzione degli studiosi sul tema della raggiungibilità giuridica del dato. La novità è che consente a un giudice USA, in caso di indagini su un reato, di emettere un ordine di accesso a dati che ritiene rilevanti, anche se i dati sono di titolarità di cittadini stranieri. È da sapere però che l’ordine sarà automaticamente eseguito senza potersi opporre solo se il proprio Stato abbia stipulato appositi accordi con gli USA per la sua attuazione.
Invece EO 12333 è un “executive order”. Praticamente, sottopone tutte le attività di intelligence, anche interne a quelle della CIA (esterne) e permette la raccolta indiscriminata di informazioni dai provider, sia riguardo ad americani sia a stranieri.
Ma maggior rischio per la sorveglianza di massa dei nostri dati è la FISA (Foreign Intelligence Surveillance Act), con la sua sezione 702.
È la legge antiterrorismo che autorizza la raccolta di qualsiasi comunicazione elettronica attraverso il computer o il telefono nei confronti di qualsiasi cittadino straniero fuori dagli Stati Uniti. Senza un mandato del giudice.
Parliamo di:
- nominativi di chi parla al telefono.
- il testo delle email.
- la cronologia di navigazione sul web con la motivazione dell’antiterrorismo.
La sorveglianza di massa consentita dalla FISA 702
Ai sensi della FISA 702, i “fornitori di servizi di comunicazione elettronica” statunitensi (come Google, Amazon, Apple, Microsoft, Facebook, Google e Yahoo), possono essere obbligati a concedere alle autorità di sicurezza statunitensi l’accesso ai dati personali di “persone non statunitensi”, definite come chiunque non sia cittadino statunitense o residente permanente negli Stati Uniti. Gli ordini di sorveglianza previsti da questa legge non devono essere specifici per un singolo obiettivo, ma consentono piuttosto un intero programma di sorveglianza a tappeto come PRISM o Upstream. Non esiste un’approvazione giudiziaria individualizzata per le persone non statunitensi. La FISA 702 consente anche la sorveglianza per scopi piuttosto ampi, come “informazioni che … si riferiscono a … la condotta degli affari esteri degli Stati Uniti”.
Con il cloud nazionale si vorrebbe creare una sorveglianza di massa dell’intelligence statunitense sui dati di noi cittadini italiani?
Allora come proteggere i dati del futuro Polo Strategico Nazionale?
La strategia francese, troppo decantata, prevede le licenze. Ossia la Francia ha previsto che le tecnologie USA in materia di Cloud possano essere utilizzate su licenza dalle imprese francesi ed europee. Ma le licenze delle Big Tech sono proprietarie e grazie ai loro software possono, potenzialmente, mettere sempre le mani sui dati.
Una soluzione arriva dal presidente di Leonardo:
“Meccanismo di protezione del dato tramite un algoritmo di cifratura certificato“
“Il transito dei dati aziendali sensibili verso i cloud o altre infrastrutture è un elemento di criticità: la rete internet non garantisce che un dato digitale, che ha origine e destinazione in Italia, durante il transito non sconfini”, ha messo in guardia il presidente di Leonardo, Luciano Carta. “Sarebbe importante”, ha consigliato Carta, “prevedere un meccanismo di protezione del dato tramite un algoritmo di cifratura certificato dall’Autorità nazionale per la sicurezza che gestisce e distribuisce le chiavi di protezione”.
Se si perde la capacità di cloud computing…
Infine, nel disegnare il cloud nazionale non è sufficiente pensare solo alla privacy e alla cybersecurity by design e by default. Se la capacità di cloud computing passa completamente nelle mani di Google e/o altri Big Tech, l’Italia perderà il controllo sull’economia del Paese. Avremo una “desertificazione tecnologica”, come ha avvertito Antonio Baldassarra.
