Nelle istituzioni è in corso una battaglia tra schieramenti di cui, come spesso capita, a livello nazionale si sa praticamente nulla. Peccato che poi le scelte di Bruxelles impattino proprio sugli Stati membri. Se poi il rappresentanti degli stessi vanno contro la linea stessa del proprio governo, allora l’impatto negativo è certo. Ed è questo quanto accaduto due giorni fa in Lussemburgo in occasione del Consiglio Ue sulle telecomunicazioni, dove per l’Italia è intervenuto il vice capo della rappresentanza permanente, l’ambasciatore Stefano Verrecchia, che ha espresso pieno sostegno italiano alla posizione della Francia su un tema industriale e di sicurezza di grande importanza, come ha sottolineato criticamente il quotidiano La Verità in un articolo di Claudio Antonelli. Il tutto in assenza del ministro delle Imprese e del made in Italy, Adolfo Urso, in missione negli Usa, con il resto del governo impegnato nelle celebrazioni per la Festa della Repubblica e – più importante – in contrasto con le posizioni del Governo stesso.
LO SCONTRO SULLA BOZZA DELLA COMMISSIONE EUROPEA
Il tema in questione si chiama EUCS, acronimo di “schema europeo di certificazione della sicurezza informatica” con riferimento al cloud computing. La Commissione europea ha rilasciato, tramite l’agenzia europea per la cybersecurity ENISA, l’ultima bozza del nuovo EUCS. Questa è stata inviata ai membri del Gruppo europeo di certificazione della sicurezza informatica (ECCG) l’8 maggio e successivamente trapelata integralmente a Politico il 10 maggio.
Questo documento è al centro dello scontro tra due fazioni: la Francia contro la cosiddetta Dutch Coalition, composta principalmente da Paesi nordici e centro-orientali più orientati all’innovazione che al protezionismo francese. E’ uno scontro che va avanti da mesi, che ha visto l’ultima – per ora – puntata andare in onda in occasione della riunione dell’ECCG del 26 maggio. La cosa strana, almeno per lo standardizzato processo normatico UE – fanno notare addetti ai lavori che seguono il dossier – è che la Commissione non ha ancora chiesto un parere all’ECCG né ha avviato il processo di adozione dell’EUCS attraverso un atto di esecuzione, il che è improbabile che accada prima che la Commissione ottenga maggiore chiarezza sulle posizioni degli Stati membri. In questa fase quindi, le posizioni tenute dagli Stati in questa fase sono fondamentali
L’obiettivo generale dell’EUCS di unificare e armonizzare le best practices di sicurezza riducendo al contempo le barriere di mercato per le imprese è ottimo, ma manca completamente trasparenza nel processo negoziale e la mancata valutazione dell’impatto sul mercato dei requisiti di sovranità proposti. Secondo quanto trapelato, la bozza di schema impone requisiti non tecnici, tra cui una rigorosa proprietà straniera (non UE) per i fornitori cloud operanti in Europa e severi obblighi di localizzazione (ad esempio, quartier generale globale, dati e operazioni nell’UE), lasciando agli Stati membri la piena discrezionalità per decidere in che misura e quali carichi di lavoro e tipo di dati si applicano tali restrizioni discriminatorie. Solo che la descrizione di ciò che è considerato “dato di particolare sensibilità” nel caso della proposta francese è molto ampia (ad esempio, dati protetti dalla proprietà intellettuale) e porterà alla frammentazione del mercato interno, in quanto ogni Stato membro potrà scegliere qualsiasi categoria di quelli che sono considerati tali dati a livello nazionale. Un modello che peraltro andrebbe contro la classificazione costruita da ACN, l’agenzia della cybersecurity italiana, che ha anche proposto informalmente una soluzione di compromesso al momento respinta da Francia e Commissione. Sta infatti ormai emergendo in maniera chiara come sia una ben costruita azione di lobby del governo francese per imporre standard che fotografano i servizi delle principali società di cloud francesi.
Inoltre, mentre le condizioni di concorrenza per quanto riguarda i servizi IT sono in gran parte omogenee in tutto il mondo, un fornitore di servizi cloud standard, come le varie Microsoft, AWS e Google, che non hanno sede nell’UE, dovrebbe effettuare investimenti multimiliardari per costruire nuove infrastrutture, cambiare il proprio modello operativo, costruire joint-venture con terze parti e trasferire le proprie tecnologie – esattamente come avviene in Cina – e aumentare significativamente (si parla di oltre il 50%) i prezzi per aziende e pubbliche amministrazioni europee per recuperare i costi.
LA PREOCCUPAZIONE DEL MONDO FINANZIARIO
C’è molta preoccupazione nel settore finanziario europeo in merito ai requisiti di sovranità. Le istituzioni e le associazioni finanziarie dell’UE ritengono che i requisiti di sovranità in EUCS, limitando la scelta tecnologica, danneggeranno la resilienza e la sicurezza informatica delle soluzioni digitali e cloud e i requisiti di sovranità in EUCS sono in contraddizione con le recenti adottato il Digital Operational Resilience Act (DORA). Scelte che rischiano seriamente di impattare sugli investimenti esteri in Europa e ridurre l’accesso alle migliori tecnologie – dall’intelligenza artificiale ai big data – da parte degli utilizzatori europei, con impatto ancor maggiore sui Paesi medio piccoli.
In pratica tutte le negoziazioni sull’EUCS si stanno svolgendo a porte chiuse, nonostante uno studio recente condotto dallo European Center for Political Economy (ECIPE) abbia già ben illustrato gli effetti nefasti sull’economia degli Stati europei dei requisiti che la Francia vorrebbe imporre, mettendo a rischio l’integrità del mercato unico e anche la sua cyber resilience. Si metterebbero così in pericolo gli obiettivi europei sul digitale per il 2030. per questo molte organizzazioni europee e globali hanno già sollevato le proprie preoccupazioni sull’ultima bozza di EUCS: dalla European clearing houses al settore finanziario, per non dire delle confederazioni tedesca e dell’Europa centro-orientale, oltre a associazioni giapponesi, britanniche, Nord e Sudamericane.
LA FRANCIA VUOLE IMPORRE IL PROPRIO MODELLO AL CLOUD EUROPEO?
Che l’EUCS sia un tentativo del governo francese e della Commissione di imporre uno schema francese esistente (che andrebbe a vantaggio quasi unicamente dei fornitori di servizi cloud francesi) ad altri Stati membri dell’UE è ormai un fatto, confermato dallo stesso ministro francese del digitale Jean-Noël Barrot, che ha parlato ha parlato dell’EUCS all’Assemblea Nazionale francese [VIDEO] e ciò che ha detto è estremamente rivelatore. Secondo Barrot i Paesi europei devono conformarsi al modello francese. Barrot dice esplicitamente: l’ultima bozza EUCS è un copia-incolla di SecNumCloud (l’equivalente dell’EUCS in Francia), nulla è cambiato e nulla dovrebbe cambiare. La retorica e il tono del ministro Barrot sono bellici (“battaglia”, “è fondamentale vincere la nostra causa”, ecc.) e il ministro arriva a dire che La Francia è pronta ad incolpare l’Europa se l’EUCS finale non rifletterà lo schema francese esistente. Ultimo ma non meno importante, Barrot afferma che il governo francese sostiene l’estensione dei requisiti di immunità ben oltre gli appalti, alle infrastrutture critiche e ad altri ampi settori dell’economia. Tuttavia, e questa è la parte rivelatrice, ammette che non lo stanno ancora facendo per questioni di immagine, in quanto fornirebbe argomenti ai governi europei che si oppongono.
Parole che rappresentano la prova documentata delle vere aspirazioni della Francia, che non vede l’EUCS come uno standard tecnico per migliorare la sicurezza informatica europea, ma piuttosto come uno strumento politico per imporre il protezionismo industriale francese ad altri Stati membri dell’UE attraverso la porta di servizio.Inoltre, sempre due giorni fa, il governo francese ha emesso una circolare, specificando quando dovrebbero essere applicati i requisiti di immunità al cloud per gli appalti pubblici e i cosiddetti “dati sensibili” nell’ambito del programma francese SecNumCloud. A leggerla, si scopre che il linguaggio usato è identico a quella dell’ultima bozza EUCS, quindi questa è un’ulteriore conferma che la Francia ha sempre tenuto la penna di Bruxelles nella stesura dell’EUCS.
COSA PENSA L’AMBASCIATORE VERRECCHIA
La posizione pubblica dell’ambasciatore Verrecchia a Lussemburgo è stata sorprendente. In particolare si pensa che il PSN, il cloud nazionale italiano gestito dal consorzio guidato da Tim insieme a Cdp, Leonardo e Sogei, è basato proprio sulle tecnologie USA che la Francia vorrebbe espellere dal continente. Da capire come sia possibile che un rappresentante italiano voti andando contro le indicazioni del Governo e gli interessi del proprio Paese. Con il governo – il sottosegretario alla presidenza del Consiglio con delega alla Sicurezza, Alfredo Mantovano, e il ministro Urso – che, a questo punto, non potrà esimersi dall’intervenire pubblicamente – come auspicano molti addetti ai lavori -, inevitabilmente supportando le posizioni dell’ACN, che altrimenti rischierebbe di venire screditata a livello europeo.
Articoli correlati
De-escalation in corso fra Israele e Iran? Analisi e commenti
La sbandata di Cybertruck: cosa è successo al fuoristrada di Tesla
Ecco la carica degli abbonati di Netflix (celata dall’anno prossimo)
Cosa non va con Tsmc
