Le big tech Usa e le società cinesi e russe fornitrici di cloud stanno esultando. Ovviamente. Dal primo agosto scorso possono trasferire al di fuori dell’UE i dati ordinari e critici che gestiscono per le Pubbliche Amministrazioni senza più l’obbligo di informare né l’Agenzia per la Cybersicurezza Nazionale (ACN) né la stessa PA. E senza più la necessità di ottenere l’autorizzazione dalla Pubblica Amministrazione titolare dei dati.
È questo l’effetto più importante del decreto direttoriale, del 28 luglio scorso, del direttore generale dell’Agenzia per la Cybersicurezza Nazionale, Bruno Frattasi, d’intesa con il Dipartimento per la trasformazione digitale.
L’autorizzazione resta solo per i dati strategici, che si riferiscono ai servizi la cui compromissione può avere un impatto sulla sicurezza nazionale. I dati strategici sono super tutelati dalla normativa sul perimetro di sicurezza nazionale cibernetica.
Per capire meglio la portata di questa partita per l’Italia, è fondamentale spiegare che:
- per dati critici si intendono, secondo la classificazione della stessa ACN, servizi la cui compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese.
- E i dati ordinari: sono servizi la cui compromissione non provochi un pregiudizio per il benessere economico e sociale del Paese.
Quindi, da ora porte più aperte a cloud service provider extra-UE per gestire dati utili ad erogare servizi pubblici essenziali per noi cittadini. E qualora queste società non UE, che erogano il servizio cloud, per motivi geopolitici dovessero decidere di “chiudere i rubinetti dei nostri dati critici”, può venire meno l’erogazione di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese!
Contro chi minacciava di “chiuderci il rubinetto del gas” in quest’ultimo anno e mezzo l’Italia ha risposto, giustamente, con un’efficace strategia di sovranità energetica.
Le domande di Cybersecurity Italia
- Perché questa scelta di sdoganare del tutto anche i dati critici? Se sono stati denominati così un motivo ci sarà.
- Quali sono le garanzie sulle chiavi crittografiche generate dal cloud service provider?
- Ci possiamo permettere questo alto rischio per l’Italia nell’affidarli anche a cloud provider extra-UE?
- Prima di questa “mossa” tutti gli stakeholder sono stati ascoltati? Come il Garante Privacy?
- L’Autorità per la protezione dei dati personali esprimerà un parere su questo? Il suo parere andava chiesto in modo preventivo?
- Qualcuno dirà “ancora con questa fisima della privacy per i dati trasferiti in Usa dopo l’accordo Stati Uniti-Ue attraverso il Data Privacy Framework? Questo nuovo “Privacy Shield” riguarda i dati personali di noi consumatori e utenti delle piattaforme web. E non i dati in possesso alle organizzazioni pubbliche, come le PA italiane. Perché allora questa decisione?
- Allora la tanto richiesta sovranità digitale italiane e europea come viene garantita con il cloud per le PA?
Se si considera che in Italia, dall’ultimo censimento realizzato dalla stessa ACN sui dati trattati da oltre 20mila PA italiane, i dati critici sono il 12% e quelli ordinari l’80%, significa che nelle mani di società cloud extra UE può finire il 92% dei dati delle Pubbliche Amministrazioni!