Se sempre più paesi continueranno a richiedore che i dati rimangano entro i propri confini, l’accesso al cloud diventerà più difficile e più costoso.
di Michael Rawding e Samm Sacks
Il cloud computing è in un momento critico. Milioni di aziende ora lo utilizzano per archiviare dati ed eseguire applicazioni e servizi in remoto, riducendo i costi e accelerando le operazioni. Ma una nuova minaccia è all’orizzonte e potrebbe azzerare tutti i vantaggi che il cloud computing ha comportato.
La “sovranità digitale” descrive i molti modi in cui i governi cercano di affermare un maggiore controllo sugli ambienti informatici su cui fanno affidamento le loro nazioni. È stata a lungo una preoccupazione nelle catene di approvvigionamento, che ha influenzato i tipi di hardware e software disponibili in un determinato mercato. Ora sta arrivando per il cloud.
I governi di tutto il mondo stanno adottando misure che richiedono alle aziende di ospitare infrastrutture e archiviare determinati tipi di dati nelle giurisdizioni locali. Alcuni richiedono anche alle aziende che operano all’interno dei loro confini di fornire al governo l’accesso ai dati e ai codici memorizzati nel cloud.
Questa tendenza, soprattutto se applicata unilateralmente, erode il modello fondamentale del cloud computing, che si basa sulla libera circolazione dei dati attraverso i confini. Un utente o un provider cloud dovrebbe essere in grado di distribuire qualsiasi applicazione o set di dati nel cloud in qualsiasi momento o luogo. E i clienti dovrebbero essere in grado di selezionare il provider che può soddisfare al meglio le loro esigenze.
Se si permette al principio della sovranità digitale ulteriori passi in avanti, i fornitori di servizi cloud saranno vincolati dagli interessi nazionali e i consumatori sosterranno costi significativi. Il potere sarà ulteriormente concentrato nelle mani di pochi grandi giocatori. E la frammentazione lungo le linee nazionali renderà più difficile per chiunque risolvere i problemi globali che si basano su una tecnologia interoperabile.
Basta pagare per partecipare
Sebbene i servizi cloud e basati su cloud siano teoricamente disponibili per qualsiasi azienda al mondo con accesso a Internet, la sovranità digitale rende sempre più difficile per le aziende di molti paesi sfruttare questa potente tecnologia. In Europa, la preoccupazione per il predominio dei fornitori di servizi cloud statunitensi e cinesi ha stimolato gli sforzi per creare un cloud europeo. Il progetto GAIA-X, per esempio, mira a indirizzare le aziende europee verso fornitori di cloud nazionali. Inoltre, misure come il GDPR, incentrato sulla governance dei dati, offrono un vantaggio ai fornitori europei che altrimenti potrebbero non essere competitivi.
La Cina richiede da tempo che nel paese l’infrastruttura cloud sia ospitata da aziende locali. In effetti, la legge cinese sulla sicurezza informatica impone che determinati dati vengano archiviati su server locali o sottoposti a una valutazione di sicurezza prima di essere esportati. Una legge sulla protezione delle informazioni personali, che è ancora allo stadio di bozza, fa un ulteriore passo avanti affermando che le norme cinesi sui dati possono essere applicate ovunque nel mondo se i dati in questione sono relativi a cittadini cinesi. Questa legge creerebbe anche una lista nera che proibisce a entità straniere di ricevere dati personali dalla Cina.
Ora gli Stati Uniti stanno iniziando a promuovere la propria versione della sovranità digitale. La Clean Network Initiative del Segretario di Stato Mike Pompeo proibisce alle aziende cloud cinesi di archiviare ed elaborare dati su cittadini e aziende statunitensi. E mentre l’amministrazione Biden probabilmente annullerà molte azioni intraprese sotto il presidente Trump, la prospettiva di costringere ByteDance a vendere TikTok a Oracle o a gestire le sue operazioni negli Stati Uniti attraverso un partner locale rimane sul tavolo.
Ciò potrebbe costituire un pericoloso precedente: il governo degli Stati Uniti rispecchierebbe e legittimerebbe le normative cinesi sul cloud, che richiedono ai fornitori stranieri di entrare nel mercato solo attraverso joint venture con aziende cinesi che possiedono quote di maggioranza. In Sud Africa, una linea guida del 2018 della South African Reserve Bank ha istituito un meccanismo di approvazione per le istituzioni che cercano di utilizzare il cloud computing, indicando che le autorità di vigilanza bancaria “non gradirebbero” che i dati fossero archiviati in modo da inibire loro l’accesso.
Se l’accordo TikTok/Oracle diventerà la norma, preparerà il terreno affinché più governi richiedano che i fornitori di tecnologia vendano una quota a un’entità locale, o operino attraverso una, in cambio dell’accesso al mercato. I sostenitori di questo approccio sostengono che un certo grado di sovranità dei dati è inevitabile e aggiungono che l’Internet globale funziona ancora nonostante queste regole e le aziende continuano a trarre profitto e innovare. Ma il fatto che alcune aziende continuino a prosperare in queste condizioni non è un argomento convincente per imporre queste misure.
Un cloud globale
La ricerca della sovranità digitale ha scatenato una corsa agli armamenti digitali che rallenta l’innovazione e non offre vantaggi significativi ai clienti. Aziende come Amazon e Microsoft potrebbero permettersi di continuare ad espandere le loro piattaforme di cloud computing in nuovi paesi, ma sono l’eccezione. Migliaia di piccole aziende che forniscono servizi cloud su queste piattaforme non hanno i mezzi finanziari o tecnologici per rendere i loro prodotti disponibili in ogni data center.
In Europa, per esempio, il progetto GAIA-X può solo rafforzare i grandi operatori storici. E in Cina, la stragrande maggioranza dei fornitori di software stranieri ha deciso di non rendere disponibili i propri servizi cloud perché gli ostacoli sono quasi insormontabili. Ciò crea un disservizio sia per i clienti cinesi sia per i fornitori di tecnologia stranieri, eliminando allo stesso tempo anche tutti i vantaggi economici e di sicurezza di un cloud globale.
Serve, invece, che i diversi paesi collaborino su standard comuni, accettando una serie di principi fondamentali per il cloud e le norme per l’accesso del governo ai dati archiviati al suo interno. L’OCSE, per esempio, potrebbe farlo basandosi sulle sue linee guida sulla privacy esistenti. Il suo Global Partnership on AI è un esempio di un’iniziativa in un’area tecnologica correlata che riunisce molte parti interessate a sviluppare iniziative politiche.
Come punto di partenza, la coalizione potrebbe concentrarsi su un sottoinsieme ristretto di flussi di dati commerciali e casi d’uso corrispondenti (come quelli che coinvolgono le informazioni sul personale aziendale interno o i contratti transfrontalieri). Riconoscere le preoccupazioni alla base della spinta alla sovranità digitale – che può includere sicurezza politica, sicurezza nazionale e competitività economica – potrebbe aiutare a gettare le basi per un tale accordo. Un approccio potrebbe essere quello di offrire incentivi a quelle aziende che partecipano a tale coalizione, ma senza bloccare i flussi di dati a quelle che non
aderiscono.
Infine, organizzazioni come Cloud Security Alliance e Cloud Native Computing Foundation possono aiutare a trovare modi per il settore privato di utilizzare il cloud computing a livello globale senza essere ostacolato dai capricci della sovranità digitale. Le regole che stabiliamo oggi per governare il cloud computing daranno forma a Internet per gli anni a venire.
Michael Rawding è il partner fondatore di GeoFusion ed ex presidente di Microsoft Asia. Samm Sacks è un esperto di politica informatica presso “New America” e senior fellow presso il Paul Tsai China Center della Yale Law School.
Immagine di: Ms Tech / Getty
(rp)
