“Nel dibattito in corso sull’European Cybersecurity Certification scheme for Cloud Users (Eucs), in discussione a Bruxelles, dobbiamo guardare in faccia la realtà e agire in base a quella che è la situazione attuale: in Europa, e in Italia a maggior ragione, ad oggi non è possibile gestire in completa autonomia i servizi cloud, dobbiamo affidarci anche ai grandi fornitori stranieri”. Lo afferma in una nota Paola Generali, presidente di Assintel, esprimendo la posizione dell’associazione di Confcommercio sul dibattito in corso riguardo all’etichetta Eucs per la cybersicurezza del cloud europeo.
Il gap europeo
“Fintanto che la realtà sarà questa e non riusciremo a livello europeo a colmare tale gap, spostiamo allora il dibattito: invece di concentrarci su chi detiene i nostri dati, puntiamo l’attenzione su come sia possibile utilizzarli e cerchiamo di trovare le migliori tutele tecnologiche e normative – prosegue Generali – Soprattutto per i dati di tipo strategico a livello nazionale, che devono assolutamente restare sul territorio del Paese membro e per i quali ritengo debba essere garantita l’immunità”.
L’appello a Bruxelles: normare l’utilizzo dei dati
“L’Unione europea – aggiunge la presidente di Assintel – è stata molto efficiente e puntuale in questi anni nel normare le tematiche relative alla protezione dei dati e alla cybersecurity, la strategia in questo senso è ampia e particolareggiata, a partire dal Gdpr fino ad arrivare ad AI Act, Data Act, Nis2, Dora eccetera. Lanciamo allora un appello a Bruxelles: partendo dal presupposto che è praticamente impossibile allineare le norme con la velocità dell’evolversi della tecnologia, prevediamo, all’interno dei vari regolamenti e direttive, disposizioni precise che normino l’utilizzo dei nostri dati da parte dei fornitori di servizi cloud. E stabiliamo criteri stringenti, severi e frequenti di verifica e monitoraggio – conclude – a tutela degli interessi europei e dei Paesi membri, sia che tali servizi vengano offerti da player extra UE, sia che vengano offerti da player europei”.
Il dibattito sulla sovranità
In una lettera inviata a Bruxelles ad aprile 18 grandi aziende fornitori e utenti cloud europei avevano invitato gli Stati membri “a prendersi il tempo necessario per tenere pienamente conto delle implicazioni di una potenziale rimozione delle disposizioni sulla sovranità dal corpo principale del sistema Eucs”, sostenendo la necessità di includere l’obbligo per i fornitori stranieri di servizi cloud (come Aws, Google e Microsoft) di aderire a specifici requisiti di cybersicurezza, tra cui l’indipendenza da leggi extra-Ue. “L’Ue non deve abbandonare il suo obiettivo generale di promuovere la sovranità, un obiettivo tanto più rilevante in un contesto di incertezza geopolitica”, scrivevano A1, Airbus, Aruba, Capgemini, Dassault Systemes, Deutsche Telekom, Edf, Exoscale, Gigas, Ionos, OpenNebula Systems, Orange, Ovhcloud, Proximus, Eutelsat group, Sopra Steria, StackIT, Tim.
La posizione della Digital Sme Alliance
Posizione simile quella resa pubblica a metà settembre dalla Digital Sme Alliance, l’associazione che riunisce le Pmi digitali del Vecchio continente, che in un appello sottolinea la necessità di includere i cosiddetti criteri di “immunità” o “sovranità” nell’European Cybersecurity Certification scheme for Cloud Users (Eucs), ponendoli come requisiti armonizzati per proteggere gli utenti del cloud e i dati sensibili europei dagli accessi illegali.
Digital Sme ritiene che l’inclusione di disposizioni armonizzate per la sicurezza informatica e la sovranità dei dati contribuirà all’armonizzazione dei mercati dell’Ue. “Altrimenti, se la responsabilità ricade sui responsabili degli appalti a livello nazionale, la frammentazione diventa inevitabile – si legge nell’appello – Inoltre, l’Eucs dovrebbe integrare altri atti legislativi dell’Ue, come il Data Act, per garantire l’armonizzazione dei principi giuridici dell’Ue e non creare regimi giuridici complementari. Questo aspetto avrebbe un impatto particolare sulle pmi: con un sistema armonizzato di certificazione informatica dell’Ue, esse saranno in grado di accedere ai servizi cloud garantendo il massimo livello di protezione dei loro dati in linea con la legislazione e i principi dell’Ue. Va riconosciuto che la sovranità dei dati e la prevenzione dell’accesso illegale ai dati europei dovrebbero essere uno degli obiettivi principali di tutti i programmi di sicurezza informatica relativi ai dati”.