Divise tra la voglia di cloud e il timore di non saperne gestire i costi, le aziende hanno leggermente ridotto il ritmo di crescita delle loro spese per questa tecnologia. Nulla di allarmante per un mercato che resta in ottima salute e al centro di molte strategie di crescita. Proprio per questo motivo, merita attenzione il dialogo tra Stati Uniti e Unione Europea sulla sicurezza dei servizi cloud, sempre più indispensabili, in qualsiasi contesto si operi.
Il quadro EUCS che non quadra
Tutto è nato quando il sistema europeo di certificazione della cybersicurezza per i servizi cloud (EUCS) ha cercato di creare un framework di certificazione a livello europeo per i servizi IT. Tra i vari “paletti”, ha inserito dei requisiti di “sovranità” molto chiari e piuttosto rigidi. Tra le righe c’è infatti l’obbligo, per i fornitori di cloud, di ospitare i servizi per i clienti dell’UE su infrastrutture situate al suo interno. Gli si aggiunge anche quello di dimostrare la loro “immunità” dalle autorità di polizia straniere che potrebbero richiedere l’accesso ai dati.
A dar voce alle più forti critiche è stato il Centro Europeo di Economia Politica Internazionale (ECIPE), stilando un rapporto completo dedicato. Il suo titolo è “Building Resilience? The Cybersecurity, Economic & Trade Impacts of Cloud Immunity Requirements” e il suo contenuto è un esplicito invito rivolto all’Agenzia europea per la sicurezza informatica (ENISA) e la Commissione europea ad abbandonare i requisiti di immunità previsti dall’EUCS.
Se così non accadesse, secondo l’ente ci sarebbero conseguenze negative anche per l’Europa stessa. Potrebbero aumentare i rischi di cybersecurity , lato utenti, che non sarebbero forse nemmeno in grado di gestire una migrazione su larga scala verso il cloud. Le nuove norme, inoltre, potrebbero rendere tutti i processi legati al cloud più lenti e complessi, causando ritardi su guadagni di efficienza e sicurezza.
Si nota che il rapporto cerca di affrontare la questione con un approccio Europa-centrico, ma la verità è che è stato commissionato da dei lobbisti statunitensi della Computer & Communications Industry Association (CCIA).
Sovranità del cloud UE: “vorrei ma (ancora) non posso”
Tra le varie critiche elencate in questo documento, compare infatti anche quella relativa al rischio di discriminazione, a priori, nei confronti dei big statunitensi del cloud. Secondo gli autori si tratterebbe di “discriminazione by design”: player come Amazon, Google e Microsoft si ritroverebbero a non poter più fare affari in Europa.
Peggio per loro, o per noi? Questa ipotesi potrebbe non essere conveniente neanche per l’Europa stessa che rischierebbe di andare incontro a misure di ritorsione. Una potrebbe riguardare un aumento delle tariffe, partendo dal presupposto che una disposizione di immunità vieterebbe di fatto i servizi dei tre maggiori fornitori di cloud per un valore di 2,9 miliardi di dollari. In alternativa, si potrebbero vedere applicate delle restrizioni “speculari” alle esportazioni di servizi dell’UE verso gli Stati Uniti.
In un modo o nell’altro, si aprirebbe un vero e proprio scontro tra i due blocchi e non è l’Europa quella che potrebbe avrebbe la meglio. Pur con tutti gli sforzi elargiti per diventare tecnologicamente autonomi, oggi non lo siamo ancora. Nel rapporto ECIPE, per esempio, si avanzano dubbi sul fatto che i fornitori europei possano essere attualmente in grado di gestire l’obiettivo dell’UE di un tasso di adozione del cloud del 75% per le imprese. Potrebbero essere dubbi fondati, visto che le aziende statunitensi servono attualmente più del 75% del mercato dell’UE, con i tre grandi fornitori di cloud che da soli rappresentano il 72%.
È una situazione in cui andrebbe trovato un ragionevole compromesso. All’Europa conviene fare il primo passo, oltretutto, prima che i big del cloud si organizzino per aggirare la norma. Alcune lo stanno facendo, come per esempio Microsoft, per questo tacciata di pratiche anticoncorrenziali. Queste consisterebbero nell’introduzione di un “Confine dei dati” dell’UE che le permette di offrire maggiori capacità di “sovranità dei dati” agli utenti dell’UE.