Come linea guida, occorre sempre considerare che l'affidamento a terzi di un servizio o di una base di dati aumenta esponenzialmente i rischi di incidente informatico colposo o doloso, con conseguente possibilità di atti illeciti e perdite economiche. Prevenire il problema è sempre meno stressante e dispendioso del dover fare fronte a una situazione di emergenza.
Con il termine Cloud Computing si intende un insieme di tecnologie che permette di memorizzare ed elaborare dati tramite risorse hardware e software distribuite su una rete telematica.
Gli aspetti difficili da cogliere, per chi non ha dimestichezza con i termini dell'informatica, sono quelli che distinguono il servizio di Cloud Computing da quello di housing/hosting.
Dal punto di vista del cliente finale, non fa molta differenza utilizzare un programma e uno spazio di archiviazione presenti su un server remoto (occupandolo parzialmente, in caso di hosting; avendone l'intera disponibilità, in caso di housing) oppure su una serie di server distribuiti che operano insieme e creano un sistema diffuso (quel che rappresenta nella sostanza il Cloud Computing).
La differenza è invece sostanziale per chi, come le imprese, ha bisogno di aumentare (o di diminuire) la potenza disponibile in termini di calcolo, di velocità di elaborazione, di spazio di archiviazione, di connettività, sulla base delle esigenze del mercato e dei relativi cambiamenti nel tempo.
Solo il fruitore di un servizio di Cloud Computing può garantire ai propri clienti la scalabilità del sistema, cosa che non potrà mai fare chi dispone di un solo server o parte di esso (o che potrà fare con costi e difficoltà sensibilmente superiori).
Dal punto di vista contrattuale, appare evidente come le differenze siano sostanziali per la disciplina del rapporto e, soprattutto, come l'architettura distribuita, tipica del Cloud, sia un problema per il trattamento dei dati.
Chi acquista un servizio basato su un'architettura Cloud deve preoccuparsi di verificare non solo quali siano i costi al momento della sottoscrizione del contratto, ma anche quelli relativi alle modifiche hardware e software, poiché a ogni incremento di prestazioni corrisponde un aumento del canone da versare.
Al tempo stesso, la clausole relative alle misure di sicurezza e ai livelli di servizio sono quelle che garantiranno nel tempo le performance aziendali e la qualità nei confronti del cliente finale.
Cloud interno o esterno?
Per meglio analizzare i molteplici aspetti della questione, occorre innanzitutto considerare che il Cloud può essere interno o esterno all'organizzazione che deve utilizzarlo.
Nel primo caso, l'azienda può avere una struttura di elaborazione e archiviazione dei dati di cui ha il pieno controllo (non necessariamente la proprietà, perché anche il solo hardware con i relativi servizi di assistenza e manutenzione può essere noleggiato all'esterno), situazione che permette al dipartimento IT di installare e mantenere efficienti i programmi e gli archivi come se si trovassero su un server interno, ma con il vantaggio di non doversi preoccupare della gestione del data center.
La sicurezza informatica è in tal caso ripartita tra sicurezza fisica (delegata al gestore del data center) e sicurezza logica (gestita dall'infrastruttura IT), mentre le misure organizzative - tra cui il salvataggio e il ripristino dei dati e le procedure di disaster recovery - saranno concordate tra le parti.
Nel secondo caso, anche la piattaforma software potrà essere noleggiata insieme all'hardware. E il contratto dovrà, quindi, prevedere l'intera gestione delle misure di sicurezza, giacché l'azienda sarà completamente estranea al sistema informatico, che provvederà solo a utilizzare.
La scelta di esternalizzare completamente i sistemi determina l'ulteriore necessità di avvalersi di un fornitore di connettività eccellente e di una linea di backup, affinché sia possibile garantire in ogni caso l'accesso ai servizi ed evitare che l'azienda possa trovarsi nella condizione di non poter operare sui propri dati per una semplice mancanza di rete.
Il fornitore del servizio, dal canto suo, avrà un ruolo determinante nel garantire banda a sufficienza, piena operatività aziendale ed efficacia delle misure di protezione delle informazioni.
Anche in questo caso la contrattualistica assume estrema rilevanza nella scelta del partner tecnologico cui rivolgersi, poiché se è vero che ormai la maggior parte delle multinazionali dell'informatica offre soluzioni di Cloud Computing, è altrettanto facile imbattersi in contratti che lasciano poco spazio alla gestione delle responsabilità e delle penali.
Tre tipologie di accordi commerciali
Si possono normalmente trovare sul mercato tre tipologie di accordi commerciali:
- IAS – Infrastructure as Service
- SAS – Software as Service
- PAS – Platform as Service
Nella prima ipotesi, il fornitore del servizio offre gli strumenti hardware e software di base (spazi di memoria, gestione dei processori, sistemi operativi ecc.) che l'utente finale può utilizzare per installare le proprie applicazioni o per incrementare le performance del proprio sistema di elaborazione dati aziendale.
E' evidente che l'intera gestione delle misure di sicurezza, del backup, del piano di recupero e ripartenza in caso di disastro devono essere garantite dall'azienda stessa. Nell'ipotesi di Software come Servizio, il fornitore non offre solo la piattaforma hardware ma anche software di largo consumo come pacchetti di office automation, client di posta elettronica, file server, rubrica contatti e calendario eventi (ne sono un tipico esempio i servizi di Google Apps e Apple iCloud).
In questo caso, le misure di sicurezza e di backup e ripristino sono solo parzialmente demandate al fornitore, poiché tra le clausole contrattuali è previsto normalmente l'onere, a carico del cliente, di fare una copia di backup dei dati e di creare un sistema di credenziali che garantisca l'accesso ai soli soggetti autorizzati.
Quando viene presa a noleggio l'intera piattaforma di servizi, il fornitore offre soluzioni di sviluppo hardware e software personalizzate per il cliente, che delega integralmente la gestione del sistema a terzi ma sulla base di proprie direttive ben precise.
Ovviamente è la gestione dei dati che pone le principali problematiche di sicurezza, anche e soprattutto perché nell'utilizzo di un servizio di Cloud Computing non si ha mai la certezza dell'effettivo posizionamento fisico degli stessi.
Multinazionali come Google, Amazon e la stessa Telecom non hanno tutti i server collocati nel territorio ove operano, anzi, gran parte delle risorse hardware sono posizionate in paesi che, pur garantendo un'adeguata infrastruttura tecnologica e di rete, offrono maggiori incentivi di natura finanziaria e fiscale.
Può quindi accadere che i dati del cliente italiano siano effettivamente collocati in Cina e negli Stati Uniti, in violazione del divieto di esportazione senza consenso, di cui all'art. 28 del D.Lgs. 196/2003.
I diritti del cliente
In attesa di una disciplina europea che dovrebbe intervenire entro il 2015, le Autorità Garanti hanno trovato una soluzione temporanea, imponendo alle multinazionali l'adozione di Corporate Rules in grado di garantire ai dati personali trattati le stesse misure di sicurezza dell'Unione Europea.
Ciò comporta la necessità di adeguare la contrattualistica con i fornitori di tecnologie (che spesso non sono europei), designando ciascuno di essi responsabile esterno del trattamento con specifici compiti cui adempiere, che devono riflettersi nella sottoscrizione di apposite clausole contrattuali.
Clausole che dovranno poi essere trasferite al cliente finale nella modulistica che dovrà sottoscrivere per autorizzare l'azienda a trattare i suoi dati e che comporteranno un obbligo di adeguata informazione da parte di quest'ultima.
A solo titolo d'esempio, occorre ricordare che il cliente ha sempre diritto di conoscere quali siano i dati che lo riguardano in possesso della pubblica amministrazione o dell'impresa, per quale motivo siano raccolti e come siano elaborati.
Può esigerne la cancellazione dagli archivi nel momento in cui la finalità per cui sono stati raccolti si è esaurita.
Operazioni che l'azienda che opera attraverso un sistema Cloud deve poter garantire e che impongono un completo controllo sulle attività del fornitore e dei sub-fornitori di cui quest'ultimo potrebbe avvalersi per erogare parte dei suoi servizi.
Da ultimo, l'azienda deve potersi garantire l'esportazione dei dati verso altra piattaforma, poiché tra le clausole contrattuali potrebbe non esservene una che stabilisce la memorizzazione dei dati in formato “aperto”.
In tal caso, la conversione potrebbe risultare costosa e non garantire il pieno recupero delle informazioni, come invece sarebbe possibile prevedendo contrattualmente l'obbligo di utilizzare un tracciato dati “aperto”.
Dal punto di vista della protezione verso terzi, occorre non dimenticare che, se la centralizzazione su un server aziendale espone maggiormente i dati all'attacco di concorrenti sleali o spie industriali, l'utilizzo di un Cloud rende più elevato il rischio di una sottrazione dei dati accidentale, operata da soggetti che non cercano espressamente di dati di quell'azienda ma, in generale, grandi database da utilizzare per finalità commerciali.
Il rovescio della medaglia in tema di sicurezza, pertanto, è la cifratura dei dati, il cui algoritmo dev'essere concordato contrattualmente per la stessa ragione per cui è necessario che siano memorizzati in un formato aperto, con tracciati record noti.
La riconversione in chiaro per la portabilità su altro sistema di elaborazione potrebbe non essere scontata.
Che cosa dice il Garante della Privacy
Il Garante Privacy italiano ha stilato, in proposito, un decalogo che potrebbe aiutare gli utenti a operare scelte consapevoli.
Il primo passo da compiere è quello di verificare l'affidabilità del fornitore, sia sotto il profilo organizzativo e societario, valutandone la solidità finanziaria e l'esperienza, non solo in senso generale, ma in riferimento allo specifico settore in cui il cliente intende operare.
Non è detto, infatti, che una società di informatica che opera con successo nel settore dell'edilizia sia ugualmente affidabile nella gestione dei dati di uno studio di ingegneria.
E' opportuno privilegiare i servizi che garantiscono la portabilità dei dati verso altre piattaforme, adottando standard aperti, sia per evitare di sostenere spese supplementari che per veder ridurre il proprio potere contrattuale in fase di rinnovo del servizio.
Nel contratto devono essere specificate le clausole che garantiscono comunque una copia dei dati sempre disponibile per l'attivazione in tempi brevi di un nuovo sistema, per evitare che un eventuale incidente informatico abbia ripercussioni non solo sull'attività dell'azienda ma anche su quella dei clienti che ad essa si sono affidati.
Anche la selezione dei dati da affidare alla “nuvola” è importante per evitare incidenti informatici.
E' sempre opportuno che i dati sensibili non siano affidati a terzi. Così come è opportuno concordare chiaramente con il fornitore se egli opera in qualità di semplice intermediario (utilizzando, quindi, dei sub-fornitori anche solo per parte dei servizi erogati) o se mantiene il pieno controllo sulla piattaforma e sugli archivi.
Una clausola che prelude a quella relativa alla materiale collocazione dei dati, per i quali si può chiedere che non escano dal territorio europeo o che, quantomeno, siano collocati su sistemi localizzati in paesi che garantiscono un livello di protezione analogo o superiore a quello europeo.
Gli accordi devono essere ben chiari anche per gli obblighi di rinnovo del servizio: eventuali clausole di recesso, penali in caso di incidente informatico che comporti inattività o perdita dei dati, detenzione degli stessi al termine del rapporto (alcune aziende si riservano il diritto di mantenere una copia dei dati per scopi statistici, altre addirittura per farne un uso commerciale), formazione del personale e misure di sicurezza.
Occorre sempre considerare, come linea guida, che l'affidamento a terzi di un servizio o di una base di dati aumenta esponenzialmente i rischi connessi a un incidente informatico colposo o doloso, con conseguente possibilità di atti illeciti e perdite economiche. Prevenire il problema in modo adeguato sarà sempre meno stressante e dispendioso del dover fare fronte a una situazione di emergenza.
Gianluca Pomante
Avvocato
Esperto di crimine informatico