I cloud provider grandi e piccoli promettono di difendere i loro clienti contro eventuali ingerenze USA. La realtà dei fatti è che questo è possibile solo fino a un certo punto
Autore: Francesco Pignatelli
La questione della sovranità digitale europea resta sempre di attualità. Non solo perché è un tema fondamentale di per sé ma anche, e per molti versi purtroppo, perché non mancano mai le notizie che ci fanno capire quanto il problema sia tutt'altro che risolto, nonostante l'ottimismo dei legislatori europei sulla forza delle norme che elaborano. E nonostante le dichiarazioni rassicuranti di chi gestisce la maggior parte dei nostri dati, ossia gli hyperscaler statunitensi.
AWS, Google, Microsoft e compagnia - ma in realtà contano questi tre, data la quota di mercato che controllano - hanno tutti in vario grado assicurato che tuteleranno sempre i dati e l'operatività delle aziende europee, anche nel malaugurato caso in cui le frizioni geopolitiche tra gli USA e l'Europa raggiungessero livelli tali da spingere Washington a bloccare o limitare l'accesso dell'Europa ai servizi erogati da aziende statunitensi.
Questi annunci fanno bene al mercato e sono stati in qualche caso seguiti da mosse strategiche certamente interessanti, particolarmente nel caso di Microsoft. Ma hanno sempre diplomaticamente evitato un punto critico: quanta forza hanno davvero gli hyperscaler nei confronti del loro Governo, quando vogliono opporsi a richieste di dati basate sulle leggi che già esistono (vedi il Cloud Act) e su quelle che Washington potrebbe in futuro inventarsi?
La risposta a questa domanda è molto meno immediata e rassicurante di quanto si pensi. E fa testo, ora, l'audizione al Senato francese di Anton Carniaux, Responsabile degli affari pubblici e legali di Microsoft Francia. Quello che Carniaux racconta vale non solo per la Francia ma per qualsiasi altra nazione europea, quindi vale la pena soppesarlo bene.
Le domande poste a Carniaux hanno riguardato in particolare le procedure legali collegate al Cloud Act, il quale in sostanza dà modo alle autorità statunitensi di accedere - con precise salvaguardie, certamente - ai dati archiviati in Europa, anche all'insaputa delle persone e delle aziende a cui quei dati fanno riferimento.
Lo scenario giuridico illustrato da Carniaux è solo in parte rassicurante. Microsoft si impegna contrattualmente a opporsi alle richieste delle Autorità USA "quando non sono fondate", secondo "un sistema molto rigoroso, avviato durante l'era Obama con azioni legali contro le richieste delle autorità". "Preciso - ha dichiarato il manager francese - che il Governo non può formulare richieste che non siano definite con precisione e con un ambito ristretto".
Secondo Carniaux "questo processo funziona molto bene, come dimostrano i rapporti sulla trasparenza che pubblichiamo due volte all'anno" e comunque "negli ultimi tre anni, nessuna richiesta in materia ha interessato un'azienda europea". Una posizione che anche altri provider hanno assunto, sottolineando sia la loro volontà di opporsi alle richieste di dati ritenute vaghe o ingiustificate, sia il fatto (impossibile da verificare, peraltro) che per ora nessuna azienda europea è stata coinvolta in nome del Cloud Act.
Ma tutto alla fine si gioca sul concetto di "richiesta fondata": se le Autorità USA ne presentano una corretta dal punto di vista giuridico, qualsiasi provider cloud o di servizi di comunicazione dati è obbligato a trasmettere i dati richiesti. Come ha dichiarato Carniaux: "Quando siamo obbligati a fornirli, li forniamo".
Da qui una domanda netta del relatore dell'audizione, Il Senatore Dany Wattebled: "Signor Carniaux, in qualità di direttore degli affari pubblici e legali, lei rappresenta Microsoft Francia presso i decisori pubblici. Può garantire alla nostra commissione, sotto giuramento, che i dati dei cittadini francesi affidati a Microsoft tramite l'Ugap [l'analogo francese della Consip - NdR] non saranno mai trasmessi, a seguito di un'ingiunzione del governo americano, senza l'esplicito consenso delle autorità francesi?". E una risposta altrettanto mirata di Carniaux: "No, non posso garantirlo, ma, ripeto, non è mai successo prima d'ora".
Volendo sintetizzare al massimo, quindi, le garanzie di sovranità dei dati che Microsoft ed altri provider offrono alle aziende e ai cittadini europei non possono essere assolute: sono ipotizzabili scenari in cui chiunque dovrà osservare il Cloud Act. E attenzione: il Cloud Act si applica a tutti i provider che operano negli Stati Uniti, indipendentemente dal fatto che vi abbiano sede o meno. Quindi, anche ai provider europei che hanno una sede legale negli USA.
Insomma, nonostante il gran parlare di sovranità dei dati, è davvero difficile sottrarsi una richiesta di dati "fondata" (qualunque cosa questo significhi, di volta in volta) secondo i principi del Cloud Act. E non è nemmeno così astruso ipotizzare che Washington possa mettere sul piatto ulteriori norme ancora meno rispettose della privacy: in queste settimane l'Amministrazione Trump ha dimostrato una certa "creatività" in questo campo. Tra l'altro seguendo una impostazione molto orientata alla deregulation, quando questa favorisce l'innovazione e la forza sul mercato delle aziende USA.
L'esempio più recente è l'AI Action Plan del 23 luglio scorso. Un corposo complesso di policy che, tra l'altro, per promuovere l'innovazione e l'adozione dell'AI provvede anche a - citiamo esplicitamente - "eliminare le normative federali onerose che ostacolano lo sviluppo e l'implementazione dell'AI" e a "richiedere il contributo del settore privato sulle norme da eliminare". E si sa quanto le aziende tecnologiche statunitensi siano più che propense a cestinare qualsiasi normativa che limiti la loro attività.