Le potenzialità del Cloud Europeo: aprire le vele ai venti favorevoli o rimanere travolti dagli tsunami d’oltreoceano
«Il digitale sta plasmando l’ambiente in cui viviamo. Chi trascura il digitale è cieco alla realtà̀ di oggi». — L. Floridi
Come ha più volte ribadito la Commissione Europea, «l’innovazione guidata dei dati è un motore essenziale per la crescita e l’occupazione, in grado di accrescere la competitività̀ sul mercato globale. Alle giuste condizioni, permetterebbe all’economia europea dei dati di raddoppiare entro il 2020».
I dati costituiscono la spina dorsale dell’economia digitale. Per questo rilanciare il cloud in chiave europea appare con assoluta evidenza una priorità̀ strategica per sfruttare le opportunità̀ offerte dalla “nuvola” e avvicinarsi all’idea del Digital Single Market europeo (DSM). Il progetto è senza dubbio ambizioso, ma ad oggi l’unico in grado di instaurare un rapporto sostenibile (e redditizio) con le altre aree del mondo, dalla Cina all’America. Il ruolo dell’Unione Europea nella contesa digitale è ancora da decidere; piuttosto che subire i condizionamenti dell’una o dell’altra superpotenza, appare molto più̀ conveniente dimostrarsi il terzo grande protagonista. E in uno scenario internazionale, dove tutto è automatizzato e interconnesso, la competizione richiede consapevolezza digitale, mirata a spingere le nuove tendenze dall’IoT allo Smart Working.
Dal rapporto Gartner di febbraio arriva la conferma di un trend già ben noto agli addetti del settore: nei prossimi anni i servizi e le applicazioni in cloud cresceranno a un ritmo più intenso di ogni altra categoria. Si allineano anche risultati che ci riguardano più da vicino, come quelli raccolti da Deloitte nel report “Italia 4.0 — Siamo pronti?”
Il Cloud Computing, che il Working Party 29 definisce «a set of technologies that focus on the use of It applications, processing capability, storage and memory space», non è soltanto uno strumento tecnologico da inserire nei propri processi e asset di valore, ma una vera trasformazione culturale. La globalità̀ del fenomeno e le implicazioni in termini di digital transformation fanno presagire che il cambiamento non solo è in corso, ma proseguirà̀ sia riscontrando l’idoneità̀ dell’Europa, sia in caso di una sua inadeguatezza. Si tratta, dunque, di una scelta: conformarsi e competere in termini di Trust Services Provider, Infrastrutture Cloud, Architetture Hybrid Cloud e Multi-Cloud, Data Center, Enterprise, Cloud Computing e ora anche Edge Computing, oppure rimanere intrappolati nella continentale morsa di Cina e America. Una cosa è certa: i concorrenti di tutto il mondo non attenderanno un eventuale indugio dei loro contendenti europei per lanciarsi nella corsa al futuro.
I principali driver che incentivano l’adozione di tali sistemi complessi risiedono nell’esigenza di flessibilità̀ e mobilità di ogni organizzazione, in termini di capacità di calcolo e storage. Non ne sono certo escluse le amministrazioni pubbliche, le strutture sanitarie, della ricerca scientifica e dell’istruzione. Una tale prospettiva richiede skills adeguati ed un profondo cambiamento culturale rendendo palese la necessità di investire in formazione. Ma nel percorso verso la gestione di sistemi tecnologici multiformi si devono necessariamente affrontare anche le esigenze di sicurezza e compliance normativa degli ambienti digitali.
Quello della digitalizzazione è un itinerario remunerativo ma impegnativo. Non può̀ esistere il progetto di un Cloud Europeo, come di un Digital Single Market, che ignori i valori fondativi della stessa Unione. L’istanza di tutela della privacy è una della più incidenti, da considerare anche oltre i confini e in dimensioni extraterritoriali, dove valori e regole spesso divergono in modo significativo.
Il 12 marzo il Parlamento Europeo ha approvato un atto che ha raggiunto lo scopo di definire una procedura di certificazione condivisa per la sicurezza informatica. Si tratta solo del più recente tra i provvedimenti che compongono il quadro normativo europeo a sostegno del Digital Single Market. Tale determinazione si affianca al Regolamento (UE) 2018/1807 relativo ai dati non personali, al GDPR per i dati personali, alla direttiva NIS e all’imminente regolamento e Privacy — oltre agli Accordi e al Sistema di informazione Schengen, al Cloud Infrastructure Services Providers in Europe, alle politiche di Open Innovation, all’European Open Science Cloud e al Regolamento (UE) 2014/910 — per citarne solo alcuni. Strategia condivisa dalla Commissione, che ha infatti messo in luce i vantaggi di una European Data Economy in una Comunicazione dal titolo “Verso uno spazio comune europeo dei dati”, peraltro presentata il 25 maggio 2018. La coincidenza della data con quella dell’applicabilità̀ del GDPR ne rafforza la portata. Non ultimo, il Consiglio d’Europa ha finalmente palesato, con la dichiarazione del 13 febbraio 2019, la necessità di una ulteriore regolamentazione relativamente ai dati inferiti (ovvero derivati da trattamenti di data- analysis sui dati personali).
La strategia dell’UE per il Mercato Unico Digitale è stata lanciata nel 2015 come parte del progetto Europa 2020, proseguendo l’obiettivo del programma di Lisbona, che vedeva nel futuro dell’Europa “l’economia basata sulla conoscenza più dinamica e competitiva del mondo entro il 2010”. Il DSM, a questo fine, si propone come un’area in cui le imprese e i consumatori hanno accesso illimitato a beni e servizi digitali in tutta l’Unione, con libera circolazione di dati e un ambiente che consenta sia la concorrenza che l’innovazione e dove l’economia digitale possa crescere più velocemente e creare un maggiore profitto economico.
Ponendosi questi obiettivi, è imperativo raggiungere quanto prima l’omogeneità̀ normativa ed eliminare le barriere che frammentano i mercati nazionali. Azioni mirate anche a contrastare le pesanti criticità̀ legate al cyberspionaggio, nonché́ le interferenze normative d’oltreoceano come il Cloud Act americano. Questi i due fronti di conflitto emersi dai colloqui all’importante conferenza europea sulle tecnologie e le telecomunicazioni, la MWC di Barcellona.
Se nel 2016 la Commissione Europea, con la Comunicazione intitolata “Iniziativa europea per il cloud computing — Costruire un’economia competitiva dei dati e della conoscenza dell’Europa” attribuiva allo sviluppo di un Cloud Europeo un ruolo prioritario, oggi GDPR e Regolamento in materia di libera circolazione dei dati non personali ne impongono una rinnovata attenzione. È infatti evidente la sua importanza strategica quale fattore di contrasto alle mire espansionistiche dei big player americani, cinesi e altri all’orizzonte, che stanno copiosamente cavalcando la nuova dimensione dell’hybrid e del multicloud.
Crescono le offerte sulla possibilità̀ di portare l’infrastruttura e i modelli operativi disponibili in qualsiasi datacenter,
permettendo di utilizzare l’hardware, le API e gli strumenti allo stesso modo nel cloud e on-premises. Aumentano gli approcci di continuità̀ tra ambienti diversi a supporto delle esigenze dei clienti: AWS, IBM (che nell’ottobre 2018 ha dato una scossa alle dinamiche competitive del mercato con l’acquisizione di Red Hat) Microsoft, Alibaba ma anche europei come Aruba (con i suoi recenti successi in Cina).
Per enti e aziende la scelta di adottare l’uno o l’altro cloud provider verte su due grandi argomentazioni. La prima è tecnologica, e può̀ essere di tipo qualitativo (su determinati provider alcuni workload “girano” meglio che su altri) o quantitativo (la necessità di spostare carichi di lavoro da un cloud all’altro per gestire i periodi più̀ intensi). La seconda è di business: difatti le business unit possono avere l’esigenza di utilizzare applicazioni fornite in cloud da uno specifico provider.
Di contro la privacy, incidendo direttamente sui principi e diritti fondamentali degli individui, è una disciplina business- critical per molti operatori europei che usufruiscono delle tecnologie del cloud. I titolari del trattamento dati sono spesso inconsapevoli dei disomogeni contesti normativi tipici di Paesi con diversi retaggi storici, politici e culturali, che dovranno necessariamente attenzionare nell’ottica dell’evoluzione e della trasformazione digitale in corso.
Il Gdpr è oggi un riferimento mondiale dal punto di vista normativo. Non a caso molti paesi nel mondo stanno attuando normative ispirate ai principi europei della privacy (è noto il CCPA in California), altri intraprendono la strada delle decisioni di adeguatezza europee (Giappone da ultimo, altri a breve tra cui Corea del sud). Si tratta di un movimento che continuerà̀ nel futuro prevedibile, orientando la strategia, gli obiettivi e i metodi di elaborazione dei dati personali. Tutto ciò̀ considerate anche le forti implicazioni sanzionatorie e di reputazione che ne derivano.
Sul fronte “Cloud”, collocalizzazione dei data center, backup e archiviazione rappresentano la più ampia area di rischio per la privacy: le organizzazioni dispongono di backup di grandi volumi di dati personali e non — ubicati ed interconessi potenzialmente ovunque — che sono sia sensibili che vulnerabili, troppo spesso senza adeguati presidi. Poiché́ la sensibilità̀ è una caratteristica piuttosto costante dei dati personali e la vulnerabilità̀ è probabilmente equivalente, il volume determina il livello di pericolo e rappresenta oggi la più ampia area di rischi per i cittadini.
Marchionne definiva l’innovazione come la “possibilità̀ di fare”. L’innovazione, oggi, fa utilizzo del cloud. Nel cloud circolano grandi quantità̀ di dati. I dati sono associati a individui e know-how aziendali, da parte dei quali è richiesta fiducia. Da qui l’esigenza di meccanismi di valutazione continua del rischio da parte dei singoli operatori, compresi gli approcci etici e valoriali legati alle nuove tecnologie ed applicazioni.
Ogni scenario richiederà̀ un approccio diverso per abilitare la sicurezza e, infine, garantire la privacy. Il GDPR inteso in maniera coincisa, come un sistema normativo guidato dai principi di sicurezza, trasparenza e liceità̀ dei trattamenti, contribuisce allo sviluppo di una tale strategia di gestione.
Dagli abissi alle nuvole
“Le persone pensano che i dati siano nel cloud, ma non lo sono”, ha detto al NYT Jayne Stowell, ovvero il supervisore assunto da Google per la costruzione dei progetti di collegamento tramite cavi sottomarini tra gli Stati Uniti ed il Cile, “sono nell’Oceano”. Internet è costituito da minuscoli frammenti di codice che si muovono a velocità esorbitanti grazie alla fibra ottica, in tutto il mondo immerso. Miglia e miglia di cavi sottomarini di fibre di vetro avvolti in involucri di rame e pelle protettiva che legano tra loro i continenti, creando un intreccio di lunghi fili sottili disposti sul fondo dell’oceano. La linfa dell’economia 4.0 scorre in canali fisici e tangibili, ed è esposta ai fenomeni e ai pericoli nelle profondità̀. Ad esempio l’arcipelago Tonga, a gennaio di quest’ anno, è rimasto senza internet a causa delle rottura di uno di questi cavi. L’Australia invece e’ recentemente intervenuta per impedire al gigante tecnologico cinese Huawei la costruzione di un cavo che collega l’Australia alle Isole Salomone, per timore che avrebbe dato al governo cinese un punto di ingresso nelle sue reti. Parliamo di una scacchiera planetaria multidimensionale molto complessa, destinata ad aumentare in misura proporzionale allo sviluppo del cloud computing.
Sviluppi di infrastrutture critiche di tipo multicloud in settori complessi: le BIOBANCHE
«Se legge e territorialità̀ oggi sono scollati, titolarità̀ ed uso lo sono ugualmente». — L. Floridi
L’idea alla base della costruzione del Cloud Europeo è molto legata all’obiettivo di sviluppare il cosiddetto European Open Science Cloud: una federazione paneuropa su base volontaria a governance mista (ministri, stakeholder e scienziati), in grado di fornire a milioni di ricercatori e di professionisti un ambiente virtuale sicuro per l’archiviazione, la condivisione e il riutilizzo dei dati a livello interdisciplinare. Non a caso la comunicazione della Commissione Europea del 2016 era intitolata “Iniziativa europea per il cloud computing — Costruire un’economia competitiva dei dati e della conoscenza dell’Europa”
Settori di vitale importanza come healthcare, ricerca scientifica e formazione, sono sempre più̀ orientati verso l’adozione di cloud ibridi. Ma all’entusiasmo tecnologico non sempre si affiancano consapevolezza e compliance normativa, o attenzione per la sicurezza dei dati sensibili degli individui.
Questa tendenza rende essenziale il progetto di un cloud europeo condiviso, specialmente in ambito scientifico e della medicina di precisione, dove le biobanche moderne stanno passando da strategie basate sui campioni a strategie basate sui dati.
Le biobanche sono infrastrutture che svolgono un servizio fondamentale nello sviluppo della medicina di precisione. Raccolgono e forniscono campioni di alta qualità̀ (sangue, tessuti, liquidi…) pronti per la ricerca. Ovviamente insieme ai dati clinici associati. Gli ultimi due decenni hanno visto una crescita sostenuta di questi impianti asserviti alla scienza medica. Oggi esistono in quasi tutti i paesi. Molte biobanche e reti di biobanche sono state create in Canada, Regno Unito, Stati Uniti, Cina, Estonia, Corea del Sud, Finlandia, Danimarca, Svezia e molti altri.
Spesso l’approccio dei “big data” nel biobanking è impegnativo a causa degli elevati costi in termini di tempo e risorse tecnologiche. Da qui l’esigenza delle “biobanche virtuali”, che hanno iniziato a formarsi con la collaborazione delle istituzioni e grazie a sforzi distribuiti geograficamente. Una delle principali infrastrutture di ricerca europea per biobanking è la BBMRI-ERIC.
Dato che le informazioni sono prodotte a ritmi elevati, è necessario che i database in cloud raccolgano informazioni genomiche secondo esigenze di velocità e quantità, oltre che di sicurezza e disaster recovery. Le biobanche di ricerca clinica sono pesantemente influenzate dalle normative privacy, poiché trattano, immagazzinano e distribuiscono materiale biologico umano, insieme ai dati associati, inclusi quelli genetici e sanitari, che sono caratterizzati da fattori di sensibilità altissimi. Inoltre, forniscono spesso materiale e informazioni per l’ampia condivisione di scopi di ricerca. Mentre un certo numero di paesi ha sistemi regolatori di protezione dei dati ritenuti equivalenti dalla Commissione Europea (attraverso decisioni di adeguatezza o altre condizioni legittimanti), altri partecipano a collaborazioni internazionali con paesi europei senza adeguate garanzie. Sono in corso numerosi sforzi da parte delle comunità europee di biobanking per rispondere ai gap; tra questi lo sviluppo di certificazioni e codici di condotta. Il superamento di tali sfide — prima fra tutte quella dell’European Open Scienze Cloud — sarà fondamentale per garantire che possano proseguire importanti ricerche nel campo medico. Nell’ambito delle sperimentazioni cliniche merita evidenziare che EDPB ha recentemente emanato un complesso e controverso parere.
CONCLUSIONI
Non mancano le resistenze degli Stati membri in materia di localizzazione di banche dati (personali e non), di interconnessione fra di esse ma anche in materia di interoperabilità dei dati, di gestione dei nuovi “diritti tecnologici” (tra cui cancellazione e portabilità) e tutela della proprietà intellettuale. Le Linee Guida EDPS del 16 Marzo 2018, spingendo uteriormente in favore di una rapida quanto opportuna realizzazione del sistema Cloud interamente
europeo, offrono indicazioni precise ed utili a chiariere molti dei suddetti punti. L’ambizione incidente sulle informazioni non solo personali e la loro interazione con l’azione governativa, oltre che la supremazia tecnologica, suona come un campanello d’allarme per l’Europa che dovrà ancor più accelerare la propria offerta sovrana nel settore dei dati.
Le “minaccie” percepite in Europa, in maniera non sempre consapevole, derivanti dalla guerra fredda tra Cina e USA, incidenti sull’uso del cloud proveniente da CSP americani, contribuiscono a minare il paradigma europeo declinato sia in termini protezione della privacy che di libera circolazione dei dati. In tale contesto l’American Cloud Act del 2018, ma anche la legge cinese sull’intelligence del 2017, aumentano la pressione: se da un lato gli Stati membri ritengono non sufficiente l’attuale reazione europea, dalla proposta di regolamento sulle prove elettroniche a quella dei negoziati con gli Stati Uniti su un accordo UE-USA, dall’altro i fornitori di servizi cloud europei (specie quelli d’oltralpe) utilizzano con successo il Cloud Act e il GDPR nei loro “tiri di vendita”.
Se vogliono cavalcare l’onda (o per meglio dire: la “nuvola”) della rivoluzione digitale, istituzioni ed operatori politici ed economici non possono ignorare la strategia europea del Digital Single Market.
Il DSM è il vento capace di favorire l’ascesa delle aziende e degli enti di ricerca, ma richiede vele robuste (competenze tecnologiche) e capacità di orientarle e dirigerle (compliance normativa ed interpretazioni flessibili). Nel Mercato Unico non c’è spazio per le restrizioni territoriali. L’economia europea deve svilupparsi libera dalle interferenze dei big player americani e cinesi, e tra le sue priorità è da inserire quella dell’uniformità del trattamento dati. La ricerca, la conoscenza e la sicurezza sono aree vitali, che non possono permettersi di restare indietro. Il contesto digitale mondiale non è clemente con chi non sa maneggiare la risorsa più importante che ha a disposizione: il tempo. Vergognosa è la scelta dell’indugio, ma ancora più vergognosa quella della fretta e dell’inadeguatezza. Nel prossimo futuro si confermano le parole del passato: come scriveva Seneca, «Non exiguum temporis habemus, sed multum perdidimus». Grandi risorse, giunte nelle mani di un cattivo padrone, si dissipano e vengono perse. Qualora invece siano affidate ad un amministratore competente, crescono e plasmano il mondo.
