riflessioni

Digilawyer. Quale sarà il futuro dei processori Intel, Amd e Arm con l’ingresso del GDPR?

di Gianluca Pomante, Avvocato Cassazionista – esperto d’informatica e comunicazione |

A breve si dovrà decidere se tali processori sono conformi al GDPR e se i produttori che li venderanno ugualmente, dopo il 25 maggio, dovranno rispondere di eventuali data breach.

La rubrica DigiLawyer, ovvero riflessioni sul “diritto e il rovescio” di Internet fra nuove potenzialità e storture della rete, a cura di Gianluca Pomante, Avvocato Cassazionista esperto di informatica e comunicazione. Per consultare gli articoli precedenti clicca qui.

Mentre i produttori di hardware e di software cercano la miglior soluzione alle vulnerabilità chiamate Spectre e Meltdown, che affliggono i processori Intel, Amd e Arm costruiti negli ultimi vent’anni (il problema non riguarda i processori della classe 486 e precedenti), gli utenti si interrogano sul futuro dei sistemi che stanno utilizzando, non solo per i problemi di sicurezza individuati (per i quali sono già disponibili alcune soluzioni e certamente ne saranno rilasciate altre nelle prossime settimane) ma per l’annunciata perdita di prestazioni (tra il 20 ed il 30%) che metterà fuori gioco tutti gli apparati che le aziende avrebbero mantenuto in funzione ancora per un anno o due e che dovranno invece sostituire quasi immediatamente per il drastico calo di prestazioni che li renderà inutilizzabili.

Forti perplessità, inoltre, avranno i responsabili degli investimenti per i nuovi acquisti, che saranno ugualmente caratterizzati dagli stessi problemi, dato che i produttori non sono certo intenzionati a distruggere le scorte che hanno in magazzino e quindi è plausibile che saranno immessi sul mercato prodotti che, rispetto alle attese, avranno prestazioni peggiorate del 20/30%. Anche i nuovi processori, inoltre, per essere resi sicuri, dovranno abbandonare la tecnica progettuale dell’elaborazione speculativa e ragionevolmente ridurre le prestazioni fino a quando l’evoluzione non sarà tale da compensarle.

Infine, dato che la vulnerabilità deriva da un errore progettuale relativo alle tecniche di ottimizzazione studiate per aumentare le performance dei dispositivi, meglio note come “esecuzione speculativa”, non c’è alcuna certezza che le attuali soluzioni non possano essere aggirate da nuove tecniche di aggressione..

Il 25 maggio, inoltre, entrerà in vigore il nuovo Regolamento Europeo sul trattamento dei dati personali (GDPR 679/2016) che introduce il concetto di data protection by design e, surrettiziamente, una responsabilità dei produttori per l’hardware ed il software immesso sul mercato. Come si comporterà l’Autorità Garante rispetto al rischio che le vulnerabilità (hardware) note e non eliminabili senza la sostituzione del processore, possano essere sfruttate nuovamente con tecniche oggi non ancora conosciute?

Nella sostanza è stata certificata l’insicurezza strutturale dei processori basati sulle tecniche di elaborazione speculativa e, pertanto, al di là del crollo delle prestazioni che seguirà l’introduzione di soluzioni software sui vecchi processori, si dovrà decidere se tali processori sono conformi al GDPR e se i produttori che li venderanno ugualmente, dopo il 25 maggio, dovranno rispondere di eventuali data breach, almeno sotto il profilo risarcitorio, qualora nuovi attacchi basati su tali vulnerabilità dovessero essere portati a termine nonostante le patch (le toppe) introdotte. La soluzione sarà probabilmente politica, perché quella economica metterebbe in ginocchio il mercato europeo.