Sotto il cappello della “cloud repatriation” si è soliti fare riferimento al ritorno dei dati on-premise, dopo una migrazione dei dati su cloud pubblico. Si tratta di un processo che secondo alcuni mostra diversi elementi di convenienza in termini di controllo di spesa e di sicurezza dei dati. E’ sufficiente fare una semplice ricerca, per scoprire che il rimpatrio dei dati non è supportato dalla letteratura scientifica. Per “repatriation” si intende infatti il fenomeno del rientro dei militari o dei capitali dall’estero e non sembra avere molto a che fare con il cloud pubblico e privato.
Tecnica di marketing
Siamo dunque di fronte ad un concetto di marketing che passa attraverso la tecnica del “mirroring”: si prendono le caratteristiche più importanti di un servizio e si ascrivono in maniera speculare ad un concorrente per promuoverlo. Se chiedessimo all’intelligenza artificiale di farci una disanima delle principali caratteristiche della “cloud repatriation”, con ogni probabilità ci troveremo di fronte al primo caso in cui ChatGPT non supera l’esame perché è difficile sussumere sotto la stessa fattispecie tutti gli elementi che la compongono e che hanno un valore individuale.
Questo perché l’esigenza di avere una strategia cloud e una strategia per la cyber sicurezza, unito al controllo dei costi ed a tecniche per mitigare il lock-in tecnologico non sembrano affatto caratteristiche precipue di un maggior valore dei dati on-prem. A tal proposito, potrebbe venirci in aiuto un intelligente elemento di valutazione proposto dalla professoressa americana Fiona Scott Morton, che è stata anche capo economista per un giorno dell’antitrust europea.
Aneddoto americano
La professoressa Scott Morton, a proposito di mercati digitali, ha fatto riferimento ad un simpatico aneddoto: se dovessimo cucinare una ricetta in cui il pollo viene inserito in un’anatra ed il tutto all’interno di un tacchino, scopriremmo che una volta uscita dal forno, la pietanza non saprebbe più di pollo, né di anatra e né di tacchino.
I risvolti di mercato della NIS2
Dunque ogni singolo elemento della repatriation, è un elemento di valore, ma ha una rilevanza autonoma e vale anche nella migrazione al cloud pubblico. Un’azienda che vuole porsi il tema della migrazione al cloud non può non dotarsi di una strategia per la cybersicurezza indipendentemente dagli obblighi delle direttive europee. A tal proposito la NIS2 a breve colpirà precipuamente aziende medie e grandi ma non solo: anche aziende che ancora non hanno raggiunto il limite dimensionale di 50 dipendenti e più di 250 milioni di euro di fatturato dovranno porsi il problema di qualificare i servizi e delle dovute certificazioni di sicurezza. Il punto è che obbligate o meno dalla regolamentazione, anche le piccole e medie imprese dovranno avere un piano per la cybersicurezza proprio perché è il mercato a richiederlo.
Se dovessimo fare un esempio, la pubblica amministrazione italiana ha da tempo classificato i dati e costretto i suoi fornitori a qualificare i servizi presso ACN. Questo significa che se un soggetto vuole continuare a offrire servizi alla pubblica amministrazione, dovrà necessariamente qualificare la propria offerta. Di conseguenza, anche nel settore privato accadrà che un soggetto inserito all’interno di una filiera strategica, dovrà certamente fornire ai propri clienti adeguate misure di sicurezza ma dovrà puoi andarle a pretendere anche dai suoi fornitori.
Filiere produttive
Il concetto di filiere produttive non è solamente legato a scenari geopolitici in cui ci ritroviamo a subire la scarsità di semiconduttori importati da pochi centri produttivi, piuttosto che le difficoltà di approvvigionamento di componentistica e terre rare. Il punto sulle filiere produttive – specialmente in settori strategici – ci porta a ritenere che anche le piccole e medie imprese qualora siano inquadrate in quel contesto, dovranno necessariamente dotarsi di un piano efficace per la cybersicurezza indipendentemente dall’aspetto dimensionale. Anzi, dal punto di vista della normativa settoriale ed intersettoriale, si accompagna questo processo con qualificazioni che rappresentano solo misure minime a cui poi si verranno ad aggiungere ulteriori adempimenti conseguenti e più specifici.
In sintesi
E allora ecco che anche le questioni di sicurezza non sembrano aspetti specifici della cloud repatriation ed a maggior ragione non lo sono i temi legati al controllo dei costi. Questo perché in un contesto iperinflattivo, non può esistere o non può sopravvivere un’azienda che non tenga conto del controllo costi anche dei servizi cloud di cui fruisce. Di conseguenza anche le misure anti-lock in possono essere inquadrabili in un controllo dei costi per evitare di accedere a servizi cloud di cui non si ha bisogno e che vengono offerti molto spesso dagli hyperscaler proprio per ingabbiare utenti all’interno di sistemi chiusi e proprietari. Uscire da questi walled garden è costoso e richiede tempo.
Di conseguenza la “cloud repatriation” è un concetto antiscientifico, e volutamente controcorrente rispetto al mondo che si sta orientando verso il principio della “cloud first”. Pur tuttavia ci ha offerto l’occasione per poter ribadire che anche le piccole e medie imprese dovranno inquadrare la fattispecie della migrazione in cloud e la qualificazione di servizi in un contesto di filiere strategiche, volto anche ad avere delle garanzie dai fornitori e non solo ad offrirle ai clienti, siano essi pubblici o privati.
