In qualità di operatore cloud svizzero indipendente e lanciatore di allerta nella questione del «Cloud pubblico della Confederazione», ci troviamo spesso a dover affrontare preoccupazioni relative alla privacy, alla sicurezza e alla sovranità dei dati. Per dare risposte oggettive, siamo andati a incontrare Solange Ghernaouti, Prof. Dr. ed esperta internazionale di cybersicurezza presso l’Università di Losanna, Direttrice dello Swiss cybersecurity Advisory & Research Group, Presidente della Fondation SGH – Istituto di ricerca Cybermonde e Membro dell’Accademia svizzera di scienze tecniche, per porle le domande che riceviamo regolarmente da parte del nostro servizio di assistenza e tramite i nostri social network.

La sovranità dei dati e il monopolio dei giganti del Web sono sempre più al centro dell’attenzione dei media. Perché questo interesse crescente su tali questioni di natura tecnica?

Credo che in Svizzera, questo interesse sia legato alla decisione presa dalla Confederazione nella primavera del 2021 di scegliere cinque provider extra-europei per la realizzazione del progetto «Cloud pubblico della Confederazione». Come affermato con il comunicato del 10 novembre 2021 diffuso dalla Cancelleria federale, «Gli aggiudicatari sono quattro società americane Amazon Web Services EMEA SARL, IBM Schweiz AG, Microsoft Svizzera GmbH e Oracle Software (Switzerland) GmbH e una società cinese Alibaba.com (Europe) Limited» [1].

Queste stesse multinazionali fanno inoltre regolarmente notizia a causa degli incidenti di cybersicurezza di cui sono all’origine e talvolta anche vittime. Tutto ciò è comporta attacchi informatici a discapito dei loro clienti, autorità pubbliche incluse. Per citare solo alcuni esempi, pensiamo alle falle dei prodotti Microsoft [2] oppure al bug informatico Log4Shell [3]. Nello specifico, questa falla consente di effettuare attacchi ransomware. «Molte società, come Amazon Web Services, Google Cloud o ancora IBM, hanno tuttavia reagito pubblicamente riconoscendo che alcuni dei servizi da esse offerti agli utenti sono esposti a questa vulnerabilità e assicurando quindi di fare tutto il possibile per mettere a punto un «patch», un correttivo». [4]

Ed è anche impossibile ignorare le sanzioni inflitte dall’Unione Europea o da alcuni paesi europei contro i giganti del web (Google, Facebook) Amazon, …) [5] che dovrebbero spingerci a mettere in discussione le loro pratiche rispetto alle nostre esigenze di protezione dei dati.

È per altro vero che la realtà degli incidenti legati a difetti di progettazione, gestione e utilizzo o sicurezza degli ambienti digitali ha reso impossibile al grande pubblico e ai leader politici ed economici ignorare le conseguenze negative che il digitale genera quando i rischi non sono sotto controllo.

Penso anche che, a livello collettivo, abbiamo acquisito una certa maturità digitale e adesso capiamo che la trasformazione digitale della società non è solo una questione di natura tecnica, come evidenzia l’analisi svolta con il filosofo René Berger nel nostro libro del 2011 «Tecnocivilizzazione, per una filosofia digitale». [6]

Le implicazioni politiche, economiche, sociali e giuridiche della transizione digitale sono aspetti importanti. Adesso, sappiamo che le tecnologie digitali stanno modificando profondamente i nostri comportamenti, le nostre abitudini e i nostri modi di comunicare, lavorare, apprendere e persino di divertirci. Tutto questo influisce sul nostro rapporto con il mondo e con gli altri, sia a livello locale che internazionale. Il digitale investe tutte le nostre possibilità di «fare società».

Quali sono le sfide della sovranità digitale?

Per un paese, il ricorso a infrastrutture digitali basate su piattaforme di cloud computing straniere (Cloud) mette in discussione la capacità di assicurare la propria sovranità digitale e la propria indipendenza nei confronti degli operatori e dei loro Stati di provenienza. Essendo controllate da operatori super potenti, l’assenza di controllo sulle infrastrutture digitali necessarie al buon funzionamento di un paese, alla sua stabilità e alla sua economia, causa una dipendenza e, di fatto, una perdita di controllo dei propri territori digitali.

L’asimmetria di potere tra gli operatori che forniscono servizi «Cloud» e coloro che li utilizzano è tale da causare un assoggettamento alle regole imposte dai soggetti più forti. Questo aspetto potrebbe essere identificato come una messa sotto tutela digitale. Questo stato di cose contribuisce a facilitare le azioni di intelligence economica, ma anche lo spionaggio e la sorveglianza digitale. Tutto questo indebolisce le azioni di un paese in ambito economico, politico, diplomatico, militare e culturale rafforzando al tempo stesso il potere degli operatori dominanti. Questi ultimi «si nutrono» delle attività digitali dei loro clienti. Infatti, sanno sfruttare l’acquisizione di dati e metadati autorizzata dalle modalità operative del digitale e dal quadro contrattuale dell’accettazione delle condizioni generali di utilizzo dei loro servizi. Il loro sviluppo, il loro potere e le loro capacità finanziarie dimostrano che i giganti della Rete hanno capito come trarre vantaggi dai loro modelli di business basati sullo sfruttamento dei dati per ottenere vantaggi competitivi, conquistare una posizione egemonica ed essere in crescita permanente per aumentare la loro offerta di servizi (compresi quelli basati sull’intelligenza artificiale).

Potrebbe essere giunto il momento di uscire dal loop «continuo a dare potere agli operatori egemonici poiché mi sono fatto convincere che non potrei farne a meno, affido loro i miei dati senza garanzia che non saranno utilizzati a mia insaputa per altri scopi o violati, utilizzo sempre di più i loro servizi e sono sempre più dipendente».

È un circolo vizioso da spezzare per sviluppare l’economia e un know-how locale, fare spazio a nuove pratiche e adottare modelli digitali responsabili.

È un problema scegliere provider come Microsoft, Google o Amazon AWS riconosciuti a livello mondiale?

Non è tanto la questione che siano riconosciuti a livello mondiale l’aspetto più problematico, quanto il fatto che si tratta di operatori egemonici extra-europei [7]. Le multinazionali del digitale godono di una portata e di una posizione monopolistica uniche. Sono in grado di esercitare pressioni sui prezzi in un mercato sotto il loro controllo e di sponsorizzare o abbassare i prezzi per vincere le gare d’appalto, ma anche di aumentarli dopo avere fidelizzato il cliente, come ad esempio nel caso del software Office 365 di Microsoft largamente utilizzato sia nel settore pubblico che in quello imprenditoriale) [8]. Sono sempre più capaci di proporre un’ampia gamma di servizi di offerte integrate in ecosistemi chiusi che costituisce un ulteriore argomento di persuasione.

Tutto ciò fa pensare che le offerte «Cloud» sembrano molto competitive. Tuttavia, nascondono spesso costi indiretti. Ciò riguarda in particolar modo i costi di migrazione o i servizi di sicurezza aggiuntivi, che risultano poi indispensabili ma senza essere mai stati né preannunciati, né inclusi nell’offerta iniziale e che a lungo termine incidono pesantemente sul conto.

Una volta ostaggi di una soluzione Cloud, la dipendenza può generare dei problemi di sostenibilità e di costi, in quanto i provider possono modificare i termini di utilizzo e aumentare i prezzi a loro piacimento. Come possiamo essere sicuri nel lungo termine della stabilità dell’ambiente, della disponibilità dei dati e del loro trattamento? Tornare indietro o migrare ad altre piattaforme è generalmente difficile, se non impossibile. Le scelte «cloud» sono infatti irreversibili poiché troppo costose e tecnicamente troppo complesse. Di fatto, questo scoraggia o impedisce il passaggio alla concorrenza. Spesso è impossibile, se non al prezzo di costi aggiuntivi esorbitanti, sapere cosa succede ai dati e al loro trattamento affidato a una piattaforma. Quando è quasi impossibile effettuare controlli e audit indipendenti, come si fa ad avere fiducia nell’integrità e nella riservatezza dei dati e del loro trattamento?

I giganti della tecnologia stanno costruendo datacenter in Svizzera e in Europa. Ciò è sufficiente per assicurare il controllo dei dati alle aziende e alle istituzioni pubbliche?

Il problema critico è quello delle pratiche giuridiche in uso nei paesi stranieri di queste multinazionali. Pensiamo ad esempio all’esistenza di leggi extraterritoriali che autorizzano le loro autorità ad accedere ai dati raccolti in qualsiasi parte del mondo, anche sui server ubicati in Svizzera. La nazionalità del provider di servizi e dello sviluppatore dei software che trattano i dati è ancora più importante della collocazione geografica dei server. L’argomento con il quale si giustifica che la sicurezza è dovuta al fatto che i server sono ubicati in Svizzera è spesso una mossa di marketing e pubblicitaria. Induce un infondato senso di sicurezza. Le leggi extra-territoriali come quelle Foreign Intelligence Surveillance Atc (FISA) (1978), PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) (2001), Cloud Act (2018) americane, si applicano ai fornitori di software (Microsoft, Amazon, Oracle, Google, …) che archiviano e trattano i dati ubicati in Svizzera. Essere un partner o un intermediario svizzero o europeo di piattaforme americane o cinesi non è quindi di per sé sufficiente a realizzare la cybersovranità.

Sul versante europeo, il progetto Gaia-X [9] riunisce operatori internazionali provenienti da varie aziende del settore, istituti di ricerca, associazioni, amministrazioni pubbliche e dal mondo politico per definire un’infrastruttura digitale globale (un cloud di cloud interconnessi secondo gli standard definiti dal consorzio (standard Gaia-X) compatibile con la nozione di sovranità europea. Questo progetto sta sollevando numerose sfide, sta avanzando ma resta molto critico. Il peso degli hyperscaler cinesi e americani (Huawei, Alibaba, Amazon e Microsoft) sulle decisioni del consiglio di amministrazione desta preoccupazioni. Nel novembre 2021, Scaleway, uno dei 22 membri fondatori del progetto, ha quindi annunciato il suo ritiro dal progetto.

«Si è venuto a formare uno squilibrio strutturale (…) all’interno delle sedi di lavoro di GAIA-X. Sussiste pertanto il rischio che certi orientamenti servano gli interessi degli operatori già dominanti anziché riflettere i bisogni, le attese e le sfide dei vari fornitori di tecnologie europei. Constatiamo che le stesse cause riproducono gli stessi effetti in numerose organizzazioni simili. Gli interessi dei grandi operatori sono regolarmente tutelati a discapito delle organizzazioni meno importanti i cui orientamenti, innovativi ma alternativi, sono spesso emarginati». Yann Lechelle, CEO di Scaleway [10]

Parliamo anche delle etichette «Cloud di fiducia» [11]. Esse non garantiscono la sovranità digitale quando si applicano a provider stranieri. Infatti, essere conformi a un’etichetta non significa avere il controllo totale dell’infrastruttura. Nonostante la crittografia dei dati, l’etichetta non tutela contro le capacità di decriptazione di coloro che controllano le infrastrutture e delle autorità statali a cui fanno capo. Il rischio giuridico, come quello tecnologico, non è quindi sotto controllo.

I riferimenti alle etichette o alle certificazioni non garantiscono né la qualità della responsabilità digitale delle entità che le rivendicano, né il reale livello di sicurezza e fiducia dei prodotti che ne beneficiano. A questo riguardo, lo studio di Ethos del gennaio 2022 sulla responsabilità digitale delle imprese digitali quotate in Svizzera [12] è interessante in quanto mette in luce il basso livello di trasparenza delle imprese in materia di responsabilità digitale, un ambito che riguarda anche il settore della protezione dei dati. La pseudo-trasparenza dei processi di certificazione e di assegnazione delle etichette è un freno alla fiducia in queste ultime. Chi definisce le norme di sicurezza alle quali i prodotti devono essere conformi? Chi certifica l’indipendenza e l’affidabilità degli operatori che rilasciano le etichette? Chi controlla il controllore? Che fiducia riporre nell’ente di certificazione, nel controllore? Il problema della fiducia è rinviato, non risolto.

Nella migliore delle ipotesi, un’etichetta può fornire una certa rassicurazione come un’assicurazione che è bene avere ma che non impedisce il verificarsi di un sinistro, né garantisce che sarà effettivamente coperto secondo le condizioni e le specifiche clausole inerenti.

L’autoregolamentazione è una pratica molto diffusa. In questo settore, come in altri, non è raro che siano gli stessi operatori a definire le regole del gioco che meglio difendono i loro interessi, a convalidarle (con il beneplacito di certi membri della comunità scientifica e politica) e a promuoverle.

Come si spiega che la Confederazione e numerose autorità pubbliche in Europa optino per infrastrutture cloud extra-europee?

Questi operatori egemonici ben conosciuti beneficiano di attività di lobbying [13] e di marketing molto efficaci.

Per alcuni, scegliere le loro soluzioni è anche un modo per «proteggersi» in caso di fallimento (“abbiamo preso gli operatori più importanti”). Come non cedere al canto delle sirene della facilità (“tutti li scelgono”) e a quello di un’offerta integrata a priori, meno costosa nel breve termine? Altri ancora potrebbero erroneamente credere che esternalizzare la propria infrastruttura IT sulle piattaforme dei giganti del digitale (di cui è il lavoro), significhi allo stesso tempo esternalizzare le proprie responsabilità.

Vi è anche la questione del prezzo, spesso imbattibile al momento delle gare d’appalto. Giustificare la scelta di un cloud cinese o americano a causa del prezzo è un perfetto non senso. Nel lungo termine, il prezzo da pagare per l’assoggettamento a questi operatori e la dipendenza da soluzioni proprietarie (chiuse) è quello di non avere più possibilità di scelta e dover onorare le fatture dei prezzi imposti. In una situazione di dipendenza, i margini di negoziazione sono molto ridotti.

Quali sono le conseguenze? Come è possibile tutto ciò?

È sorprendente che non si tenga sufficientemente conto della realtà economica e politica di queste multinazionali i cui obiettivi sono generare profitti e sfruttare i dati. La difesa dei loro interessi è compatibile con la difesa degli interessi della Svizzera o dell’Europa?

I politici e le autorità pubbliche tengono veramente conto delle implicazioni geopolitiche, economiche e sociali (presenti e future) prima di fare scelte digitali vincolanti, persino irreversibili?

È forse possibile che certi decisori non capiscano le implicazioni strategiche della sovranità digitale? È forse possibile che non abbiano ancora capito che il digitale destabilizza le prerogative del digitale di uno Stato e compete con il suo potere pubblico?

È forse possibile che non siano ancora sufficientemente consapevoli delle loro responsabilità o non abbiamo del tutto compreso che il loro ruolo è anche quello di dare l’esempio alle imprese scegliendo operatori e soluzioni compatibili con gli interessi svizzeri ed europei?

Fortunatamente, numerose iniziative parlamentati dimostrano il contrario e denotano una crescente presa di coscienza. Il Parlamento svizzero sembra essere ad esempio sempre più preoccupato per le questioni legate alla sovranità e alla cybersicurezza [14]. Speriamo che le risposte fornite siano all’altezza dei problemi e delle sfide che la Svizzera deve affrontare.

Per un paese, scegliere operatori stranieri per assicurare la disponibilità del Cloud Computing significa rafforzare la propria cyber-inferiorità e consolidare la cyber-supremazia delle multinazionali tecnologiche alle quali il nostro sistema formativo fornisce una mano d’opera di qualità. Ricorrere all’uso di infrastrutture e software locali, gestiti da provider svizzeri o europei, consente anche di usufruire di formazione finanziata con denaro pubblico, sviluppare, mantenere e valorizzare in Svizzera e in Europa il know-how e le competenze. Ciò contribuisce a preservare i posti di lavoro e l’occupabilità, nonché a evitare la fuga dei cervelli. Molto spesso, queste multinazionali beneficiano inoltre direttamente e indirettamente di un sostegno finanziario pubblico e di una fiscalità agevolata.

Cosa si dovrebbe fare nell’interesse delle imprese locali e dei cittadini?

Se in Svizzera e in Europa si decide di affidarsi a software e a un’offerta di servizi locale e indipendente dai GAMAM & Cie, allora sarà necessario scegliere gli operatori che si muovono in questa direzione. Coloro che hanno integrato nella loro strategia commerciale la volontà di sviluppare alternative affidabili. Se vogliamo tenerli in vita e consentire loro di continuare a svilupparsi, dobbiamo farli lavorare e scegliere, se possibile, tutte o parte delle loro soluzioni.

Se nell’ambito di una gara d’appalto vengono di fatto esclusi gli operatori locali, è evidente che restano solo le soluzioni chiavi in mano dei GAMAM & Cie, che sono attraenti in quanto immediatamente disponibili, «user friendly» e supportate da lobby e marketing internazionale.

È di fondamentale importanza che le gare d’appalto, in particolar modo quelle indette da Stati e istituzioni pubbliche, siano coerenti dal punto di vista della sovranità e che esprimano esigenze eque.

I bandi di gara non devono pertanto stabilire condizioni alle quali possono rispondere soltanto multinazionali americane o cinesi (o limitare questo raggio a parti limitate e giustificate). È necessario assicurare la proporzionalità tra le esigenze fissate e i reali bisogni da soddisfare, il che richiede una chiara definizione di questi ultimi. Nel caso del concorso «Cloud pubblico della Confederazione» in Svizzera e di Gaia-X, è stato fatto? Chi ha convalidato?

C’è bisogno di una volontà politica chiara e intenzionata a sviluppare e sostenere la cybersovranità. È particolarmente importante che il settore pubblico sia di esempio evitando di ricorrere ai GAMAM, soprattutto nei settori della sanità, dell’istruzione o della difesa, per esempio.

Il settore pubblico può inoltre sostenere iniziative rivolte al settore privato e ai privati per sensibilizzare sulle sfide legate alla sovranità digitale e far conoscere le alternative locali o europee. La formazione di partnership pubblico-privato (PPP) possono essere interessanti a condizione che gli effetti positivi siano equamente ripartiti tra pubblico e privato. In questo tipo di collaborazione, non è raro che il settore pubblico si faccia carico di tutti i rischi e quello privato goda di tutti i benefici.

Anche i finanziamenti pubblici, in particolare nel settore dell’istruzione, della ricerca e dello sviluppo economico locale (ad es. il finanziamento delle start-up) dovrebbero essere esplicitamente e principalmente riservati agli attori impegnati nello sviluppo della sovranità digitale del paese. Dovrebbero esserci incentivi e controlli efficaci per garantire un uso corretto del denaro pubblico. Altrimenti, potrebbero esservi delle contropartite come ad esempio la restituzione del denaro pubblico in caso di acquisizione di una start-up da parte di una multinazionale extra-europea o laddove la loro valutazione e redditività siano ampiamente assicurate.

È assolutamente necessario uno sforzo politico, poiché è soltanto a partire da una forte decisione politica che sarà possibile collaborare con tutti gli attori interessati per realizzare un ecosistema locale con tutti gli attori economici.

Quando si tratta di cloud, sono la sicurezza e l’approccio sovrano che devono guidare gli investimenti, non l’economia. Con i giusti investimenti, le imprese e i talenti esistenti in Svizzera e in Europa, sarebbero pienamente in grado di sviluppare in tempi rapidi soluzioni informatiche competitive e affidabili. Voler riunire gli operatori coinvolti attorno a una roadmap e supportare l’ecosistema digitale locale è una decisione politica e strategica.

Oggi, la sovranità tecnologica condiziona tutte le altre forme di sovranità. Se lo Stato non è nella condizione di avere il controllo sulla sovranità digitale e sui dati, come può esserlo il cittadino?

E infine, ricordiamo anche la questione dei diritti umani che è al centro delle preoccupazioni degli sviluppi digitali dell’intelligenza artificiale (diritto alla privacy, alla protezione dei dati, all’integrità digitale, alla reputazione elettronica, all’accesso al digitale, alla disconnessione, a non essere sotto monitoraggio computerizzato, …). La sovranità è anche la capacità di fare rispettare le leggi in una data area. Solo la sovranità digitale può contribuire a definire le leggi e a farle rispettare in ambito digitale.

Scopri altro

Riferimenti

[1] https://www.bk.admin.ch/bk/fr/home/documentation/communiques.msg-id-85828.html

[2] Informazioni disponibili anche sul sito del Centro nazionale per la cibersicurezza (NCSC) riguardanti le «Falle di sicurezza di Microsoft Exchange Server»: https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/exchange-server.html

[3] A dicembre del 2021 l’editore Apache ha segnalato una falla di sicurezza riguardante il componente del software di logging Log4J (ampiamente utilizzato da numerose applicazioni scritte con il linguaggio Java/J2EE) che consentiva ai malintenzionati di assumere il controllo dei sistemi da remoto.

[4] https://www.lemonde.fr/pixels/article/2021/12/14/la-faille-log4shell-laisse-entrevoir-quelques-semaines-agitees-previennent-les-experts-en-securite-informatique_6106028_4408996.html

[5] Cfr. il sito della Commissione nazionale (francese) dell’informatica e delle libertà (CNIL).

[6] René Berger, Solange Ghernaouti «Tecnocivilizzazione, per una filosofia del digitale». Focus Science, Presses polytechniques et universitaires romandes (2011).

[7] Si tratta in particolar modo dei GAMAM (Google, Apple, Meta (Facebook), Amazon, Microsoft (USA)) e di BATX (Baidu, Alibaba, Tencent, Xiaomi (Cina)).

[8] https://www.ictjournal.ch/news/2021-08-23/microsoft-va-augmenter-les-prix-doffice-365-pour-les-entreprises & https://www.lemondeinformatique.fr/actualites/lire-microsoft-prevoit-d-augmenter-discretement-le-prix-d-office-365-84269.html

[9] https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html

[10] https://blog.scaleway.com/fr/une-veritable-offre-multi-cloud-en-reponse-aux-promesses-non-tenues/ 

[11] Riferimento SecNumCloud dell’ANSSI (Agenzia nazionale per la sicurezza dei sistemi informativi) ed etichetta ESCloud ad esempio. https://www.ssi.gouv.fr/actualite/secnumcloud-evolue-et-passe-a-lheure-du-rgpd/https://www.ssi.gouv.fr/actualite/escloud-un-label-franco-allemand-pour-les-services-informatique-en-nuage-de-confiance/

[12] https://ethosfund.ch/fr/news/ethos-publie-sa-premiere-etude-sur-la-responsabilite-numerique-des-entreprises-suisses

Report «The lobby network: big tech’s of influence in the EU” Corporate Europe Observatory and LobbyControl e.V. Brussels and Cologne (agosto 2021). https://corporateeurope.org/sites/default/files/2021-08/The%20lobby%20network%20-%20Big%20Tech%27s%20web%20of%20influence%20in%20the%20EU.pdf

[13] Come i Gafam spendono milioni in attività di lobbying per influire su Bruxelles 31/08/2021. https://www.france24.com/fr/éco-tech/20210831-comment-les-gafam-dépensent-des-millions-en-lobbying-pour-influencer-bruxelles

In generale, osservando i loghi degli sponsor di eventi, meeting, convegni, pubblicazioni, … è possibile farsi un’idea di chi siano beneficiari degli interessi difesi. Come non porsi la questione, come fa la rivista l’Usine Digitale, in un articolo del 2 dicembre 2021 dal titolo «Alibaba, sponsor del CIO per le Olimpiadi del 2024, solleva preoccupazioni sulla protezione dei dati»? https://www.usine-digitale.fr/article/alibaba-sponsor-du-cio-pour-les-jo-2024-suscite-des-inquietudes-sur-la-protection-des-donnees.N1165642

[14] Solo per fare alcuni esempi: