Il Datagate ha messo a nudo la fragilità dei dati e delle informazioni depositate sui server Cloud delle aziende statunitensi che operano al di fuori dei confini USA. Anche se i dati sono conservati in data center europei, Washington può frugare senza problemi. Sulla privacy dei cittadini e delle aziende del vecchio continente – lo dimostrano le vicende di questi giorni - prevale il Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001), la legge antiterrorismo istituita dopo gli attentati dell'11 settembre 2001. Non importa che la Nuvola sia posizionata in un paese europeo. Per gli Stati Uniti il Cielo è comunque americano.
Non è questione di poco conto, né si può liquidare la questione facendo spallucce e affermando che, se non si ha nulla da nascondere ben vengano i controlli in cambio della nostra sicurezza. Qui non sono in ballo "soltanto" (si fa per dire) audio, video, fotografie, email, documenti, contatti, username e password dei privati cittadini. Con il pretesto della sicurezza, i servizi di intelligence statunitensi possono avere libero accesso ai dati sensibili di istituzioni, banche, aziende che usano il Cloud di qualsivoglia fornitore che abbia sede negli States.
Già nel 2011 il giornalista investigativo Zack Whittaker aveva tratteggiato uno scenario inquietante: "…università, imprese e organizzazioni che conservano grandi quantità di dati di studenti e cittadini nella 'nuvola europea', non sono protetti contro le leggi anti-terrorismo degli Stati Uniti, che vìolano le libertà dei cittadini non statunitensi".
Anche in Italia c'è chi da molto tempo cerca di aprici gli occhi. Addirittura nel 2010, quando il Cloud Computing era agli albori, il Garante italiano per la Protezione dei Dati Personali aveva lanciato un serio allarme:
"…Le imprese e gli operatori a cui il mercato offre questi nuovi servizi pensano soprattutto alla diminuzione di costi o alle opportunità di costante ammodernamento che queste tecnologie consentono, prestando scarsa attenzione al fatto che comportano la perdita del possesso fisico dei dati e dei programmi operativi che utilizzano. Di qui l'urgenza e l'importanza di un salto di qualità nella consapevolezza dei fenomeni".
La stessa Authority italiana ha pubblicato un opuscolo – indirizzato soprattutto al mondo delle imprese – dal titolo inequivocabile: Cloud computing: indicazioni per l'utilizzo consapevole dei servizi. Vi si legge, tra l'altro:
"…Sapere in quale Stato risiedono fisicamente i server sui quali vengono allocati i dati è determinate per stabilire la giurisdizione e la legge applicabile nel caso di controversie tra l'utente e il fornitore del servizio. La presenza fisica dei server in uno Stato comporterà per l'autorità giudiziaria nazionale, infatti, la possibilità di dare esecuzione ad ordini di esibizione, di accesso o di sequestro, ove sussistano i presupposti giuridici in base al singolo ordinamento nazionale.
Non è, quindi, indifferente per l'utente sapere se i propri dati si trovino in un server in Italia, in Europa o in un imprecisato Paese extraeuropeo. In ogni caso, l'utente, prima di inserire i dati nella nuvola informatica, dovrebbe assicurarsi che il trasferimento tra i diversi paesi in cui risiedono le cloud avvenga nel rispetto delle cautele previste a livello di Unione europea in materia di protezione dei dati personali, che esigono particolari garanzie in ordine all'adeguatezza del livello di tutela previsto dagli ordinamenti nazionali per tale tipo di informazioni ".
E ancora (pagina 15): "…È sempre opportuno che l'utente valuti accuratamente il tipo di servizio offerto anche verificando se i dati rimarranno nella disponibilità fisica dell'operatore proponente, oppure se questi svolga un ruolo di intermediario, ovvero offra un servizio progettato sulla base delle tecnologie messe a disposizione da un operatore terzo. Si pensi ad esempio a un applicativo in modalità cloud nel quale il fornitore del servizio finale (Software as a Service) offerto all'utente si avvalga di un servizio di stoccaggio dati acquisito da un terzo. In tal caso, saranno i sistemi fisici di quest'ultimo operatore che concretamente ospiteranno i dati immessi nella cloud dall'utente".
L'allarme è stato ribadito in questi giorni, dopo lo scandalo Datagate, dal nuovo Garante per la Privacy, Antonello Soro: "I controlli dei dati attraverso gli archivi dei grandi Internet provider sono più invasivi di quelli attraverso il traffico telefonico ed è 'inaccettabile' che siano 'al di fuori di qualunque indizio di reato'". "C'è sempre una ragione suprema per cui si rinuncia ai diritti, ma la privacy in Europa è un diritto fondamentale", ha aggiunto Soro.
Il rischio, dunque, è reale, ed è bene che ci siano consapevolezza e trasparenza. Su questa tema l'Unione Europea ha fatto sentire più volte la sua voce. A gennaio 2012 la UE ha varato la "Riforma della protezione dei dati" nel vecchio continente, perché "La protezione dei dati personali è un diritto fondamentale di tutti gli europei, eppure non sempre i cittadini sentono di avere il pieno controllo dei propri dati". Vi si legge che "Le norme UE si applicheranno anche ai dati personali trattati all'estero da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell'Unione".
Importante enunciazione di principio, perché gli eventi di questi giorni dimostrerebbero che l'intelligence statunitense va avanti per la sua strada senza curarsi di Bruxelles. D'altronde il Datagate potrebbe rivelarsi un boomerang per le più importanti aziende tecnologiche americane, come sottolinea Federico Guerrini sul quotidiano La Stampa: "…La consapevolezza di come privati cittadini e società, principalmente estere, vengano costantemente monitorate dalla National Security Agency tramite un 'accesso riservato' ai dati custoditi da società come Google, Facebook, Yahoo, Skype, Microsoft (poco importa in questo caso se tramite accesso diretto ai server o una procedura più mediata) rischia di innescare il boicottaggio dei servizi di queste stesse multinazionali.
Non solo da parte di singoli cittadini, preoccupati per la propria privacy, ma anche da parte di realtà commerciali e amministrazioni pubbliche, preoccupate che la "rete a strascico" della NSA trascini con sé, più o meno volutamente, anche segreti industriali, mail private, segreti intimi che potrebbero essere utilizzati per assicurarsi un indebito vantaggio competitivo".
Se il Cloud yankee ci mette a nudo, forse è il caso di prendere in considerazione le Nuvole europee.