e-Gov

Cloud: attenzione a dove sono residenti i dati

Zack Whittaker, giornalista di ZDNet, ha rivelato una scoperta che se confermata potrebbe sconvolgere il mondo dei servizi di Cloud Computing proposti da aziende statunitensi. Il problema è che aziende come Microsoft ed Apple, con i loro servizi Azure e iCloud, hanno sede negli Stati Uniti e quindi devono rispettare le leggi locali che garantiscono alle autorità la libertà di frugare nei server. Il tutto in nome del Patrioct Act, la legge contro il terrorismo nata dopo gli attentati dell’undici settembre.

Il Cloud Computing presenta diversi benefici, ma anche alcuni rischi relativi alla privacy

Zack Whittaker cita come fonte l’amministratore delegato di Microsoft per la Gran Bretagna, Gordon Frazer. A Londra, durante la presentazione della suite Office 365 (Office sul Cloud Computing), Frazer ha risposto così.

Domanda: Microsoft può garantire che i dati memorizzati nei server europei non lascino mai l’Europa, anche in base a una richiesta formulata in forza del Patriot Act?

Risposta: poiché Microsoft è una società statunitense, con sede negli Stati Uniti, deve conformarsi alle leggi locali USA. Microsoft non può fornire tali garanzie. Né può farlo qualsiasi altra società statunitense.

E’ la prima volta che qualcuno ammette quanti molti sospettavano da tempo. Tutti i dati conservati o trasformati da un’azienda statunitense o controllata da un gruppo statunitense, sono vulnerabili alle intercettazioni e alle ispezione da parte delle autorità statunitensi.

Zack Whittaker stava indagando da tempo sui retroscena dei servizi cloud proposti dalle aziende americane.  Nello scorso aprile aveva tratteggiato uno scenario inquietante:  “…Di conseguenza, università, imprese e organizzazioni che conservano grandi quantità di dati di studenti e cittadini nella ‘nuvola europea’, non sono protetti contro le leggi anti-terrorismo degli Stati Uniti, che vìolano le libertà dei cittadini non statunitensi”.

Forse non dovremmo prendere sottogamba il consiglio di Amar Toor (Engadget): meglio tenere i nostri dati sensibili al sicuro, alla vecchia maniera, cioè dischi fissi e server nostrani.

Come comportarsi con legge anti-terrorismo statunitensi? – Clicca per ingrandire

AGGIORNAMENTO. L’Autorità Garante per la protezione dei dati personali, composta da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato, si è occupata più volte di Cloud Computing. Nell’ultima relazione annuale (a pagina 20) c’è scritto che: “…Le imprese e gli operatori a cui il mercato offre questi nuovi servizi pensano soprattutto alla diminuzione di costi o alle opportunità di costante ammodernamento che queste tecnologie consentono, prestando scarsa attenzione al fatto che comportano la perdita del possesso fisico dei dati e dei programmi operativi che utilizzano. Di qui l’urgenza e l’importanza di un salto di qualità nella consapevolezza dei fenomeni”.

Il Garante per la Privacy ha inoltre pubblicato un opuscolo â€“ Cloud computing: indicazioni per l’utilizzo consapevole dei servizi â€“ in cui si legge, tra l’altro (pagine 16, 17): “Sapere in quale Stato risiedono fisicamente i server sui quali vengono allocati i dati, è determinate per stabilire la giurisdizione e la legge applicabile nel caso di controversie tra l’utente e il fornitore del servizio. La presenza fisica dei server in uno Stato comporterà per l’autorità giudiziaria nazionale, infatti, la possibilità di dare esecuzione ad ordini di esibizione, di accesso o di sequestro, ove sussistano i presupposti giuridici in base al singolo ordinamento nazionale.

Non è, quindi, indifferente per l’utente sapere se i propri dati si trovino in un server in Italia, in Europa o in un imprecisato Paese extraeuropeo. In ogni caso, l’utente, prima di inserire i dati nella nuvola informatica, dovrebbe assicurarsi che il trasferimento tra i diversi paesi in cui risiedono le cloud avvenga nel rispetto delle cautele previste a livello di Unione Europea in materia di protezione dei dati personali, che esigono particolari garanzie in ordine all’adeguatezza del livello di tutela previsto dagli ordinamenti nazionali per tale tipo di informazioni”.

Anche il Garante per la Privacy interviene sulla questione – Clicca per ingrandire

E ancora (pagina 15): “…E’ sempre opportuno che l’utente valuti accuratamente il tipo di servizio offerto anche verificando se i dati rimarranno nella disponibilità fisica dell’operatore proponente, oppure se questi svolga un ruolo di intermediario, ovvero offra un servizio progettato sulla base delle tecnologie messe a disposizione da un operatore terzo. Si pensi ad esempio a un applicativo in modalità cloud nel quale il fornitore del servizio finale (Software as a Service) offerto all’utente si avvalga di un servizio di stoccaggio dati acquisito da un terzo. In tal caso, saranno i sistemi fisici di quest’ultimo operatore che concretamente ospiteranno i dati immessi nella cloud dall’utente”.

Insomma, chi va sulla Nuvola deve essere ben consapevole dei rischi, oggi amplificati dalle rivelazioni di Zack Whittaker. Si devono archiviare sul Cloud dati sanitari, genetici, reddituali, biometrici o segreti industriali, se c’è il pericolo che possanno essere messi a disposizione dei corpi di polizia e di spionaggio statunitensi?

ringraziamo Pino Bruno per la collaborazione