Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

KNOWLEDGE BASE

Knowledge Base

Vai al Video

Cloud: regole europee per gli operatori IT

Per chi fornisce servizi e infrastrutture Cloud è estremamente importante conoscere e tenersi aggiornati sulle norme e direttive emanate a livello europeo in materia, allo scopo di offrire il miglior servizio ed evitare di incorrere in problemi di vario genere, sia tecnici che legali.

In questo tutorial verrà delineato un quadro relativo alle regolamentazioni e direttive che interessano tutto il comparto Cloud a livello europeo, trattando tematiche di sicuro interesse sia per le PMI che per gli operatori di servizi IT e quindi System Integrator, MSP, CSP e Software House.

In tale scenario si colloca CISPE (https://cispe.cloud/) che è l'associazione che rappresenta i Cloud Infrastructure Service Providers (ossia tutti i fornitori di infrastrutture Cloud in Europa) e che riunisce 27 membri distribuiti in 14 Paesi con 108 servizi dichiarati; di questi membri, 25 sono Europei e PMI e, nota rilevante, 11 sono realtà italiane.

Banner

L’importanza del CISPE si evidenzia nell’aiuto ai provider Cloud e nel loro orientamento attraverso la relazione con le Istituzioni Europee (la Commissione Europea, il Parlamento Europeo e il Consiglio dell’Unione Europea) e con numerosi stakeholder internazionali, nonché tramite la relazione con il Codice di Condotta per i fornitori di servizi per le infrastrutture Cloud.

Lo statuto del CISPE pone due obiettivi principali: uno è quello di sostenere i fornitori di servizi e infrastrutture Cloud; l’altro è legato ai codici di condotta e autoregolamentazione degli aderenti. 

Il codice di condotta GDPR del CISPE

Andiamo nel dettaglio esaminando del codice di condotta CISPE legato appunto al GDPR, che va a definire le linee guida da seguire nella gestione e protezione dei dati personali nel campo dei fornitori di servizi infrastrutture Cloud; questo perché i clienti che desiderano utilizzare i servizi di cloud computing per l’elaborazione dei dati personali esigono che il trattamento svolto fatto in conformità con con le normative europee.

Il codice di condotta offre delle ulteriori linee guida rispetto a trattamento dei dati ed è dedicato principalmente ai fornitori IaaS, quindi Infrastructure as a Service.

Il tutto nasce perché il GDPR sotto certi aspetti è farraginoso e non è molto preciso nelle prescrizioni per gli operatori il lavoro del CISPE è stato finalizzato  a calare questa regolamentazione europea, che parla di tutela dei dati e di privacy dei dati e di tutta una classe di questioni, in un contesto specifico, stabilendo cosa devono fare e che cosa devono garantire i provider.

Questo è stata la ragione che ha spinto CISPE a redigere il codice di condotta.

Banner

D’altra parte, siccome il mondo dei fornitori di servizi e infrastrutture Cloud è molto specifico, è difficile poterlo spiegare sempre in modo corretto alle istituzioni e avere in risposta un codice di condotta che va a stabilire delle linee guida aiuta anche la comprensione all’interno delle varie istituzioni, di cosa sono esattamente servizi e infrastrutture forniti dai provider IaaS.

Il codice di condotta CISPE per la protezione dei dati ha anticipato l'applicazione del regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea.

Ma vediamo bene in cosa consiste questo codice:

  • fornisce un framework per conformarsi al GDPR;
  • esclude il riutilizzo dei dati dei clienti;
  • consente di elaborare e archiviare i dati esclusivamente in data center situati all’interno della UE;
  • identifica quali servizi di infrastruttura cloud sono adatti per l’elaborazione dei dati che desideri eseguire;
  • aiuta gli utenti dei ervizi a riprendere il controllo dei propri dati.

Questa è la sostanza del primo ed essenziale codice di condotta CISPE, redatto a garanzia della tutela dei dati, che detta le regole su come i provider gestiscono i dati dei loro clienti, quindi chi lo adotta si impegna a mantenere un certo tipo di standard che tra l'altro è definito sul sito istituzionale CISPE. Teoricamente ogni provider dovrebbe riportare questa informazione sul proprio sito web, ovvero se aderisce al codice di condotta.

Il codice di condotta SWIPO del CISPE

Esiste poi un altro codice di condotta, che è quello relativo allo SWIPO (SWItching and POrting tra i fornitori di servizi Cloud).

SWIPO è un gruppo di stakeholder facilitato dalla Commissione Europea, creato con lo scopo di favorire Codici di Condotta volontari per l’appropriata applicazione del Regolamento applicabile alla libera circolazione dei dati non personali nell’Unione Eropea (art. 6 - Portabilità dei Dati).

Nasce quindi dall’intento della commissione UE di mettere assieme le parti interessate nel settore Cloud per produrre un’autoregolamentazione finalizzata ad evitare il rischio di vendor lock-in e quindi favorire la portabilità dei dati da un Cloud a un altro quando un cliente decida di cambiare provider.

Esistono gruppi di lavoro sul Codice dei provider IaaS (CISPE ne è leader e principale collaboratore) e sul Codice dei fornitori SaaS, che regolamentano l’attività, rispettivamente, dei provider Cloud di infrastrutture e software fruiti a consumo.

CISPE è tra i fondatori dell’associazione SWIPO aisbl (CoreTech, Aruba, Irideos, Netalia sono i membri italiani).

Stakeholder francesi e tedesche (governi e altri player) lavorano per elaborare documenti pubblici, comprese le norme tecniche e politiche per dare vita ad un grande network sul cloud computing.

Il 4 giugno 2020 c'è stato l’annuncio pubblico e CISPE è tra i membri fondatori di GAIA-X (spiegheremo tra breve di cosa si tratta).

Il lavoro del CISPE è coinvolto in particolare nelle "Regole politiche" sull'infrastruttura, sia per quanto riguarda il Codice di protezione dei dati CISPE sia il Codice di reversibilità IAAS SWIPO.

Criticità nell’adottare il codice di condotta SWIPO

Va detto che mentre l’adesione al codice di condotta inerente alla gestione dei dati e in linea con il GDPR ha trovato tutti d’accordo, quella allo SWIPO non è stata massiccia, perché aderire allo SWIPO implica che un fornitore di servizi Cloud dovrà mettere in atto degli strumenti e in qualche modo dovrà anche mettere mano al codice, acquisire strumenti per dare la possibilità reale ai propri clienti di spostarsi da un provider all’altro (e fare quindi lo switch porting).

Tra l’altro lo sviluppo coinvolge sia la parte IaaS che la parte SaaS, ragion per cui si pone un problema, per comprendere il quale si può fare un esempio: se un provider che supporta CRM e servizi SaaS decide di adottare lo SWIPO, vuol dire che metterà a disposizione dei propri utenti la possibilità di fare un Export Dump di una struttura dati definita in un certo modo. Questo non vuol dire che si prendono i dati da un Cloud e li si sposta su un altro CRM o sul CRM della Microsoft, però il provider deve mettere il cliente in condizioni di non rimanere vincolato e “sotto ricatto” perché il giorno che se ne va da un provider deve perdere tutto. Non può neanche sperare che gli venga consegnata una struttura dati che disegna il database, però quantomeno un file XML, un JSON,  delle API o qualsiasi altra forma (anche un .csv) che in qualche modo di al cliente una sorta di dati strutturati per la migrazione.

Chiaro che questo espone a competitor poco corretti e sicuramente i provider sono poco avvezzi ad accettare qualcosa del genere, che potrebbe rivelare dettagli importanti della propria infrastruttura o comunque facilitare la perdita dei clienti ad opera di colossi del Cloud, che guarda-caso sono i primi a tirarsene fuori.

Sicuramente l’opera delle istituzioni europee è stata mirata a un ragionamento sullo sviluppo dell’economia dei dati e pur non avendo partorito norme obbligatorie come il GDPR, ha avuto un ruolo di facilitazione dell’autoregolamentazione che, nel caso specifico, ha portato alla costituzione dell’organizzazione SWIPO che implementerà il relativo codice di condotta all’interno delle realtà aderenti.

CISPE non è casualmente a Bruxelles, ma vi si trova per avere un contatto diretto con le istituzioni europee e con le presidenze di commissione istituite semestralmente, nell’ottica di un confronto continuo; è riconosciuto dalle istituzioni europee anche in altri lavori (per esempio GAIA-X) e la sua partecipazione è richiesta dai Governi dalle istituzioni europee in virtù delle competenze in materia e della capacità di spiegare ai non tecnici quello che è il mondo delle Infrastrutture Cloud in in Europa.

Il progetto GAIA-X

Si può considerare l'ennesimo passo politico di ragionamento europeo su quello che avviene all’interno del mondo del cloud computing in Europa. Nasce nel 2019 da una riflessione, fatta dai Ministeri dello sviluppo economico tedesco e francese, sulla necessità di avere un network europeo del Cloud Computing. Da lì il ragionamento si sta estendendo ad altri membri, Italia compresa, tanto che Aruba sta facendo la sua parte.

Stakeholder francesi e tedesche (tra le aziende coinvolte c’è OVH per la Francia e Atos per la Germania) insieme a enti pubblici stanno attualmente elaborando una prima serie di documenti pubblici, comprese le norme tecniche e politiche per dare vita ad un grande network sul Cloud Computing con l’obiettivo neanche tanto velato di contrapporsi un po’ al predominio dei Big Player americani.

Questo perché strategicamente l’Europa non vuole soccombere a causa della cosiddetta tecnological sovranity ossia la supremazia tecnologica di altri continenti, ma desidera che in ambito europeo vi sia una presenza importante di aziende europee nel Cloud, sia per averne il controllo, sia per acquisire importanza a livello mondiale, invece di comprare essenzialmente tecnologia Cloud da realtà extraeuropee come ad esempio Microsoft, Alibaba, Google.

Il 4 giugno 2020 il CISPE ha ufficialmente annunciato di essere tra i membri fondatori di GAIA-X, progetto nel quale si creeranno le condizioni di partecipazione di nuove organizzazioni, in particolare provenienti da una più ampia serie di Stati membri (Italia, Spagna, Paesi Bassi, Finlandia, ecc.). Il lavoro del CISPE è coinvolto in particolare nelle “Regole politiche” sull'infrastruttura, sia per quanto riguarda il Codice di protezione dei dati CISPE, sia il Codice di reversibilità IaaS SWIPO.

GAIA-X è un gruppo di discussione costituito come associazione di cui fanno parte sia istituzioni (quindi governi) che aziende private e in esso CISPE gioca un ruolo fondamentale perché porta l’esperienza di lavori come il Codice di Condotta CISPE e del lavoro fatto su SWIPO, cui si aggiunge l’impegno su tante altre direttive che andremo a vedere.

Regolamento sui contenuti terroristici on-line

Ora ci spostiamo dal mondo dei codici a quello dei regolamenti e delle direttive per spiegare un ramo della legislazione europea che CISPE ha seguito e che è il Regolamento sui contenuti terroristici on-line: si tratta di un’importante direttiva riguardante i provider e mirata ad evitare che contenuti a scopo terroristico non finiscano on-line e che ci si trovano vengano tolti quanto prima possibile.

Il problema di questa regolamentazione è innanzitutto come si definiscono le regole di ingaggio e di attuazione. Per esempio stabilire come fanno i provider che forniscono un’infrastruttura IaaS e che magari non hanno assolutamente accesso alla macchina di hosting di un sito che pubblica contenuti terroristici, a identificare la minaccia e ad intervenire nei tempi che chiedeva la Commissione Europea. Tempi quantificabili in un massimo di 48 ore, ma non da un’eventuale segnalazione, bensì dalla pubblicazione dei contenuti; questo significa, per un provider, poter monitorare i contenuti pubblicati e sapere quali sono contenuti a sfondo terroristico, cioè un’operazione impossibile da fare e che forse può essere accelerata dall’utilizzo massiccio di automazioni.

A complicare le cose c’è il fatto che ci si muove in un sistema di 27 paesi membri e quindi poi bisogna andare a definire quando e in che lingua arriva l’ordine di rimuovere un certo tipo di contenuto, perché un grande provider con una struttura capace di operare h24 può provare a reagire nei tempi, ma un piccolo provider difficilmente ci riuscirebbe.

Peraltro si pone il problema di chi decide la legittimità e si accolla gli oneri della rimozione di un contenuto, nonché di quale forma di comunicazione è da ritenersi attendibile e valida: per esempio se arriva da uno Stato europeo che non ha una forma di posta elettronica certificata come la PEC (che esiste solo in Italia) come va considerata? Con che modalità si deve fare la comunicazione? Chi decide se una comunicazione è legittima?

Un ulteriore problema che si riallaccia a questo discorso è cosa va ritenuto contenuto terroristico, ossia cosa incita al terrorismo o lo legittima; per esempio, parlare di un terrorista o di un attacco terroristico all’interno di un blog come viene considerato? Un contenuto che in qualche modo dà notorietà e voce al terrorismo o un qualcosa che rientra nel diritto all’informazione?

Banner

Cose del genere sono state al centro di discussioni e incontri pubblici nel Parlamento Europeo con parlamentari e con ONG, che in qualche modo erano interessati da questo regolamento; ad esempio l’Organizzazione dei giornalisti nei paesi di guerra rischiava di essere colpita da questo regolamento e quindi ipoteticamente i propri contenuti potevano essere tolti dal web, pur non trattandosi di un’organizzazione terroristica ma offrendo semplicemente un servizio di informazione su quello che vivono tutti i giorni.

Il lavoro congiunto degli organismi europei ha portato a formulare la proposta di Regolamento che previene la disseminazione di contenuti terroristici online pubblicato dalla Commissione a Settembre 2018; ecco cosa prevede la proposta della Commissione:

  • definisce il contenuto terroristico;
  • stabilisce gli obblighi gravanti sui gestori dei servizi di hosting;
  • stabilisce che gli ordini di rimozione debbano provenire da Autorità competenti negli Stati membri;
  • stabilisce gli elementi minimi per i rinvii ad adempiere;
  • impone ai fornitori di servizi di hosting, se del caso, di adottare misure proattive commisurate al livello di rischio e di rimuovere materiale terroristico dai loro servizi, compreso l'impiego di strumenti di rilevamento automatizzato;
  • prevede la conservazione trattamento del contenuto rimosso;
  • stanzia risorse per le autorità competenti in collaborazione con Europol;
  • crea dei punti di contatto;
  • estende l’imposizione ai servizi di hosting anche fuori dall’Unione Europea;
  • prevede sanzioni per gli inadempienti.

CISPE è d’accordo con l’obiettivo del Regolamento ma ritiene che per assicurare la corretta applicazione si devono identificare i giusti target e, nello specifico, bisogna esonerare i provider IaaS perché non hanno accesso diretto al contenuto.

Riguardo all’impiego di strumenti di rilevamento automatizzato dei contenuti, si tratta di qualcosa di molto lontano e non sempre certo, che peraltro prevede algoritmi molto sofisticati (spesso accessibili solo ai Big Player) e la discesa in campo dell’Intelligenza Artificiale o quantomeno risorse computazionali enormi, giacché si tratterebbe di creare modelli matematici di analisi dei testi e delle immagini, che dovrebbero operare con estrema rapidità.

La legislazione in materia deve tenere conto degli aspetti tecnici e questi possono essere portati all’attenzione dei competenti organi dell’UE dagli operatori e da realtà come il CISPE, che li raggruppa; una legislazione non attuabile sarebbe inutile e creerebbe solo il caos, con ricorsi all’Autorità Giudiziaria, che già in Italia è soverchiata dai procedimenti aperti.

Ad onor del vero c’è già la possibilità di intervenire ad esempio per i contenuti pedopornografici, cioè esiste già una modalità operativa con la quale l’Europol interviene sui provider e quello che va definito sono i tempi e le modalità di contatto.

Simile è il discorso riguardante l’identificazione e rimozione di contenuti che comunque violano la Legge e in quest’ottica rientrano siti di e-commerce che operano scorrettamente e che sono oggetto del Digital Service Act, ossia della riforma dell’e-commerce directive.

In generale, stabilito che uno dei problemi che affliggono Internet è la sicurezza, sarebbe più corretto parlare di temi di sicurezza ad ampio spettro, quindi non solo contenuti terroristici, pedopornografici ecc. in quanto esiste anche il phishing e a volte per bloccare un virus basta bloccare un dominio o un IP che fa da Command Controller che sta in un altro Paese e bisogna stabilire regole per bloccare quell’indirizzo. C’è anche il discorso sugli attacchi DDOS che oggi sono davvero invasivi, giacché un attacco DDOS è come fosse un attacco terroristico, perché con esso è possibile bloccare un Governo, le istituzioni, anche le comunicazioni di un intero Paese.

L’iniziativa GreenCloud

La Commissione Europea è interessata all’ambito del Green Cloud come è stato menzionato in

alcune delle strategie pubblicate tra Febbraio e Marzo 2020 (Strategia Europea sui Dati, La

Strategia Industriale e la Comunicazione sulla Trasformazione Digitale) e nel Green New Deal; la sua intenzione è riflettere e valutare, insieme al mondo dell’industria, su quali sono i passi che si

possono muovere per avere un Cloud più green.

Questo perché lo sviluppo di Internet e dei servizi Cloud, della fruzione di contenuti on-line e la crescente e rapida diffusione dei Data Center sta ponendo prepotentemente il problema dell’impatto energetico che essi determinano, giacché consumano enomri quantità di elettricità e sviluppano molto calore, che fortunatamente con attente strategie può essere riutilizzato nell’ambito di soluzioni di energy harvesting.

Nell’ambito della cooperazione a tale progetto, CISPE ha istituito una task force interna che sta elaborando materiale a riguardo, così da contribuire alla soluzione.

Uno degli aspetti cruciali della strategia Green riguarda l'efficientamento energetico lato Data Center e un altro coinvolge l’approvvigionamento di energia elettrica da fonti rinnovabili.

Digital Service Act

Concludiamo riprendendo il discorso sulla revisione della direttiva e-commerce e quindi sul Digital Service Act, che di fatto è la revisione della Direttiva e-commerce del 2000.

Si prevede che si concentrerà principalmente sulla responsabilità della piattaforma, sulla moderazione dei contenuti e sull'aggiornamento delle regole per i servizi digitali nell’UE e anche qui CISPE mira all’esclusione dei provider IaaS dallo scopo della Direttiva, sempre per il solito concetto che non possono avere il controllo dei contenuti ospitati dall’infrastruttura.

L’idea di base del Digital Service Act è quella che ciò che è illegale offline sia illegale on-line; chiaro che questo concetto, trasferito alle infrastrutture, si apre a mille sfaccettature e interpretazioni, perché poi bisogna definire chi viene coinvolto da questa direttiva, quali sono le regole di ingaggio e via di seguito. 

Si potrebbe poi estendere il concetto non soltanto ai contenuti ma anche alle condotte dei siti di e-commerce, consentendo di bloccare non solo i contenuti (oggetti o servizi in vendita, descrizioni) ma anche l’attività di chi viola regole europee del consumatore o della libera concorrenza.

 

Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft