Ultime notizie

"Nuvola sovrana" o "lavaggio sovrano"? Un cavallo di Troia alle porte dell'Europa digitale.

AWS, Microsoft, Google: tutte hanno lanciato di recente le "nuvole sovrane". Ma la verità è che tutte le aziende statunitensi sono soggette alla legislazione statunitense sulla condivisione dei dati. Cerchiamo di capire se è sicuro utilizzare i cloud statunitensi o se si tratta solo di "lavaggio sovrano".

Sovereign clouds or sovereign washing? A Trojan Horse at Europe's digital gates.

L'ambizione dell'Europa per la sovranità digitale è più urgente che mai. Ma invece di sostenere servizi veramente europei e rispettosi della privacy, molte aziende europee e persino le autorità europee e locali si affidano ancora alla tecnologia statunitense e potrebbero considerare le nuove e scintillanti offerte di "cloud sovrano" come una soluzione utile. Ma cosa succede se il "cloud sovrano" è meno sicuro di quanto le aziende statunitensi vogliano farci credere? Facciamo un'immersione profonda nel "Microsoft Sovereign Cloud", nel "Sovereign Cloud di Google" e nel pubblicizzato "European Digital Sovereignty di Amazon Web Services" e vediamo se è sicuro utilizzarli come autorità o aziende europee.

“Sovereign washing”: la favola delle Big Tech statunitensi

Negli ultimi mesi, tutte le principali aziende tecnologiche statunitensi hanno lanciato “nuvole sovrane”, che si tratti di “Microsoft Sovereign Cloud”, di “Sovereign Cloud di Google” o di “European Digital Sovereignty di Amazon Web Services”: tutte promettono alle organizzazioni dell’UE di proteggere i loro dati e di aderire agli elevati standard europei di protezione dei dati.

Il loro messaggio sembra davvero convincente: “Archivieremo i vostri dati in Europa, seguiremo le vostre regole e porteremo posti di lavoro e infrastrutture”, ma quando sembra troppo bello per essere vero, di solito lo è. Infatti, la “nuvola sovrana” non è altro che un cavallo di Troia: anche se all’apparenza sembra buona, ha lo scopo di indurre le imprese e le autorità dell’UE a fidarsi dei servizi statunitensi per i loro dati.

Ma la verità è che questa non è sovranità. È marketing. Questo è lavaggio di sovranità .

Illusione di sovranità digitale

Partiamo dall’ovvio: il fatto che i vostri dati siano archiviati in Europa non significa che siano protetti dalle leggi europee. I fornitori di cloud statunitensi, anche quando operano da data center europei, sono soggetti alla giurisdizione degli Stati Uniti, in particolare attraverso leggi come il CLOUD Act e la FISA 702.

Ciò significa che, in base alle leggi statunitensi, aziende come Microsoft, Amazon e Google possono essere obbligate a fornire alle autorità statunitensi l’accesso ai dati di aziende e autorità europee, anche se i dati sono archiviati all’interno dell’UE e al di fuori degli Stati Uniti.

Certo, potrebbero creare un’entità legale europea separata o collaborare con un’azienda locale per una presunta “sovranità”. Ma finché la tecnologia, il codice sorgente, gli aggiornamenti dei servizi o i meccanismi di controllo restano in mani americane, l’Europa non ha una vera sovranità sui propri dati o sulla propria infrastruttura digitale.

Ci sono stati molti tentativi di consentire alle organizzazioni dell’UE di utilizzare le offerte cloud statunitensi in modo legalmente conforme, ma a causa delle leggi sulla sorveglianza degli Stati Uniti, nessuno di questi tentativi ha avuto successo fino ad oggi. Ad esempio, la sentenza Schrems II della Corte di giustizia europea ha annullato l’accordo Privacy Shield tra gli Stati Uniti e l’UE proprio perché le leggi sulla sorveglianza degli Stati Uniti sono incompatibili con i diritti di protezione dei dati dell’UE garantiti dal GDPR europeo. Le “offerte cloud sovrane” sono solo un altro tentativo di legalizzare le cloud statunitensi nell’UE.

Ma ogni volta che i dati personali vengono - o potrebbero essere - trasferiti in un Paese terzo come gli Stati Uniti, deve essere garantito un livello di protezione adeguato. Dal punto di vista dell’UE, questo è problematico a causa del Cloud Act e di alcuni rischi politici, che minano il livello di protezione dei dati richiesto.

Anche la Commissione europea teme che il suo utilizzo di Microsoft violi le leggi europee sulla protezione dei dati. La Commissione sta ora esaminando i fornitori di cloud europei per sostituire Microsoft Azure.

Il controllo promesso dai fornitori di cloud statunitensi è una pericolosa illusione.

Turn ON Privacy in one click.

La sfida legale è inutile

Anche le più solide salvaguardie tecniche non offrono una vera protezione. Sia attraverso l’accesso diretto che attraverso la cooperazione forzata di aziende partner, Microsoft, Google e Amazon possono essere costrette a consegnare i dati di aziende e autorità europee.

Il “Data Guardian” di Microsoft può creare un’apparenza di trasparenza, ma una volta che l’accesso è avvenuto, anche i registri più a prova di manomissione sono inutili: Si limitano a documentare un evento, ad esempio la consegna dei dati alle autorità statunitensi, che non può essere annullato.

Microsoft - che ha più da perdere in questa mossa europea per una maggiore sovranità digitale - sta anche facendo le promesse più audaci. Una di queste è che contesterà legalmente le richieste americane di cessione dei dati. Ma cosa significa in realtà? In realtà, è più simbolico che pratico. Queste azioni legali non impediscono realmente la consegna dei dati, perché anche quando si contesta una richiesta, Microsoft deve prima soddisfarla, quindi i dati sono già spariti. Il danno è già fatto. Nella maggior parte dei casi un’azione legale è assolutamente inutile.

Lavaggio sovrano

Queste soluzioni apparentemente sovrane non sono segni di indipendenza tecnica, ma piuttosto strategie di comunicazione perfettamente orchestrate. Sono progettate per creare fiducia laddove, in realtà, non esiste alcun controllo. Le aziende statunitensi non offrono una vera e propria sovranità digitale, quello che stanno facendo è solo un abile repackaging di un problema irrisolto, ed è molto simile al “privacy washing”.

E proprio come le affermazioni sulla “privacy” delle aziende tecnologiche statunitensi, la strategia del “sovereign washing” è esattamente la stessa:

  1. Fare mercato con forza - Marchiando il cloud americano come “conforme all’Europa”.
  2. Creare dipendenza - rendere le aziende e le autorità europee dipendenti dalle loro offerte cloud attraverso integrazioni e codice chiuso.
  3. Lobbying duro - inondare Bruxelles di lobby, influenza e superare la concorrenza europea in tutte le attività di lobbying.
  4. Saltate le tasse - I profitti tornano alla sede centrale statunitense e, grazie alle strategie di ottimizzazione fiscale, le aziende statunitensi pagano pochissime tasse nell’UE.

È una mossa intelligente. Ma non è nell’interesse dell’Europa.

Posizione, posizione, posizione

Ciò che è vero per gli acquirenti di case è vero anche per la sovranità digitale: è tutta una questione di posizione.

Sebbene i fornitori di cloud statunitensi continuino a dominare il mercato europeo, le aziende tecnologiche americane non possono garantire le promesse che fanno sulla sovranità digitale. Le offerte statunitensi possono ora indossare una bandiera europea sulla manica, ma l’etichetta di sovranità non è altro che un’etichetta: le aziende che offrono queste cosiddette “nuvole sovrane” continuano a essere soggette alle leggi e ai poteri di sorveglianza degli Stati Uniti, e questo non può essere cancellato. Quindi, sì, il CLOUD Act e il FISA 702 sono ancora applicabili, anche se il server si trova a Francoforte, Bruxelles o Parigi.

Se l’Europa vuole seriamente la sovranità digitale, deve superare l’illusione che tale controllo sia possibile con i servizi statunitensi. La vera sovranità può essere costruita solo su infrastrutture fornite da aziende europee, non soggette alla giurisdizione statunitense.

La sovranità non deriva da nuovi nomi di prodotti luccicanti come queste “nuvole sovrane”. Viene dal pieno controllo legale e tecnico. Tutto il resto non è altro che lavaggio sovrano.

Fate la scelta giusta: Scegliete l’Europa.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.