L’occhio indiscreto dell’America sulla Nuvola europea
3 Luglio 2011 Pubblicato da Pino Bruno
AGGIORNAMENTO. Nessun giornale italiano ha dato peso alla clamorosa rivelazione di Zack Whittaker, giornalista investigativo di ZDNet, che – se confermata – potrebbe gettare una luce sinistra sui servizi di Cloud Computing proposti dai colossi statunitensi del mondo digitale. Poiché le aziende (Microsoft con Azure, Apple con iCloud, eccetera) hanno sede negli Stati Uniti, anche se i dati sono conservati in data center europei, le autorità americane potrebbero entrare a frugare nei server senza problemi. Insomma, sulla privacy dei cittadini (e delle aziende) del vecchio continente prevale il Patriot Act, la legge anti- terrorismo istituita dopo gli attentati dell’11 settembre 2001. Non importa che la Nuvola sia posizionata in un paese europeo. Per gli Stati Uniti il cielo è comunque americano.
Zack Whittaker cita come fonte l’amministratore delegato di Microsoft per la Gran Bretagna, Gordon Frazer. A Londra, durante la presentazione della suite Office 365 (Office sul Cloud Computing), Frazer ha risposto così.
Domanda: Microsoft può garantire che i dati memorizzati nei server europei non lascino mai l’Europa, anche in base a una richiesta formulata in forza del Patriot Act?
Risposta: poiché Microsoft è una società statunitense, con sede negli Stati Uniti, deve conformarsi alle leggi locali USA. Microsoft non può fornire tali garanzie. Né può farlo qualsiasi altra società statunitense.
E’ la prima volta che qualcuno ammette quanti molti sospettavano da tempo. Tutti i dati conservati o trasformati da un’azienda statunitense o controllata da un gruppo statunitense, sono vulnerabili alle intercettazioni e alle ispezione da parte delle autorità statunitensi.
Zack Whittaker stava indagando da tempo sui retroscena dei servizi cloud proposti dalle aziende americane. Nello scorso aprile aveva tratteggiato uno scenario inquietante: “…Di conseguenza, università, imprese e organizzazioni che conservano grandi quantità di dati di studenti e cittadini nella ‘nuvola europea’, non sono protetti contro le leggi anti-terrorismo degli Stati Uniti, che vìolano le libertà dei cittadini non statunitensi”.
Forse non dovremmo prendere sottogamba il consiglio di Amar Toor (Engadget): meglio tenere i nostri dati sensibili al sicuro, alla vecchia maniera, cioè dischi fissi e server nostrani.
AGGIORNAMENTO. L’Autorità Garante per la protezione dei dati personali, composta da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato, si è occupata più volte di Cloud Computing. Nell’ultima relazione annuale (a pagina 20) c’è scritto che : “…Le imprese e gli operatori a cui il mercato offre questi nuovi servizi pensano soprattutto alla diminuzione di costi o alle opportunità di costante ammodernamento che queste tecnologie consentono, prestando scarsa attenzione al fatto che comportano la perdita del possesso fisico dei dati e dei programmi operativi che utilizzano. Di qui l’urgenza e l’importanza di un salto di qualità nella consapevolezza dei fenomeni“.
Il Garante per la Privacy ha inoltre pubblicato un opuscolo – Cloud computing: indicazioni per l’utilizzo consapevole dei servizi – in cui si legge, tra l’altro (pagine 16, 17): ” Sapere in quale Stato risiedono fisicamente i server sui quali vengono allocati i dati, è determinate per stabilire la giurisdizione e la legge applicabile nel caso di controversie tra l’utente e il fornitore del servizio. La presenza fisica dei server in uno Stato comporterà per l’autorità giudiziaria nazionale, infatti, la possibilità di dare esecuzione ad ordini di esibizione, di accesso o di sequestro, ove sussistano i presupposti giuridici in base al singolo ordinamento nazionale.
Non è, quindi, indifferente per l’utente sapere se i propri dati si trovino in un server in Italia, in Europa o in un imprecisato Paese extraeuropeo. In ogni caso, l’utente, prima di inserire i dati nella nuvola informatica, dovrebbe assicurarsi che il trasferimento tra i diversi paesi in cui risiedono le cloud avvenga nel rispetto delle cautele previste a livello di Unione europea in materia di protezione dei dati personali, che esigono particolari garanzie in ordine all’adeguatezza del livello di tutela previsto dagli ordinamenti nazionali per tale tipo di informazioni“.
E ancora (pagina 15): “…E’ sempre opportuno che l’utente valuti accuratamente il tipo di servizio offerto anche verificando se i dati rimarranno nella disponibilità fisica dell’operatore proponente, oppure se questi svolga un ruolo di intermediario, ovvero offra un servizio progettato sulla base delle tecnologie messe a disposizione da un operatore terzo. Si pensi ad esempio a un applicativo in modalità cloud nel quale il fornitore del servizio finale (Software as a Service) offerto all’utente si avvalga di un servizio di stoccaggio dati acquisito da un terzo. In tal caso, saranno i sistemi fisici di quest’ultimo operatore che concretamente ospiteranno i dati immessi nella cloud dall’utente“.
Insomma, chi va sulla Nuvola deve essere ben consapevole dei rischi, oggi amplificati dalle rivelazioni di Zack Whittaker. Si devono archiviare sul Cloud dati sanitari, genetici, reddituali, biometrici o segreti industriali, se c’è il pericolo che possano essere messi a disposizione dei corpi di polizia e di spionaggio statunitensi?
Fonti: ZDNet, Engadget, Garante per la Protezione dei dati personali.