Protesta delle 18 società europee contro la proposta di Bruxelles per la certificazione di sicurezza informatica per i servizi cloud (Eucs).
Lo riporta Reuters che riprende la lettera congiunta inviata da Deutsche Telekom, Orange, Airbus e altre 15 società (tra cui le italiane Tim e Aruba) alle autorità dei loro paesi e agli alti funzionari della Commissione in cui criticano la proposta di Bruxelles di omettere i requisiti di sovranità dei dati dall’etichetta Eucs.
La bozza del piano riguarda uno schema di certificazione (Eucs) per garantire la sicurezza informatica dei servizi cloud e aiutare i governi e le aziende del blocco a scegliere un fornitore sicuro e affidabile per la propria attività.
Come rileva Reuters, la nuova proposta elimina i cosiddetti requisiti di sovranità da una bozza precedente che obbligava i giganti tecnologici statunitensi (come Google, Amazon e Microsoft) a creare una joint venture o cooperare con una società con sede nell’Ue per archiviare ed elaborare i dati dei clienti nell’Ue al fine di qualificarsi per il livello più alto di Etichetta di cibersicurezza dell’Ue.
Il piano sarà discusso dagli esperti di sicurezza informatica dei 27 paesi dell’Ue il prossimo 15 aprile, il che potrebbe aprire la strada all’adozione da parte della Commissione europea in autunno, segnala ancora l’agenzia stampa.
COSA SI LEGGE NELLA LETTERA DELLE AZIENDE TECH EUROPEE
“L’Ue non deve abbandonare il suo obiettivo generale di promuovere la sovranità, un obiettivo tanto più rilevante in un contesto di incertezza geopolitica”, si legge nella lettera delle 18 aziende che invitano i paesi del blocco a respingere quest’ultima proposta di certificazione senza requisiti di sovranità.
“L’inclusione dei requisiti di controllo europeo e del quartier generale dell’Ue nello schema principale è necessaria per mitigare il rischio di accesso illegale ai dati sulla base di leggi straniere”, hanno affermato nella lettera visionata da Reuters.
I 18 FIRMATARI
Tra i firmatari della lettera congiunta ci sono Airbus, il gruppo energetico francese Edf, il fornitore francese di servizi cloud OVHcloud, le italiane Tim e Aruba, Ionos, Dassault Systemes Germania, Exoscale, la società tecnologica francese Capgemini, Eutelsat, A1, Deutsche Telekom, Gigas, OpenNebula Systems, Orange, Proximus, Sopra Steria e StackIT.
AL RIPARTO DAL CLOUD ACT USA E NON SOLO
Senza tali requisiti, i dati europei potrebbero essere accessibili ai governi stranieri sulla base delle loro leggi come il Cloud Act statunitense o la Chinese National intelligence law, hanno avvertito i firmatari.
COS’È IL CLOUD ACT USA
Il 23 marzo 2018, il Congresso degli Stati Uniti ha approvato il Clarifying Lawful Overseas Use of Data Act (Cloud Act), una legge che aggiorna il quadro giuridico per le richieste di applicazione della legge statunitense per i dati posseduti dai provider di servizi di telecomunicazione.
Il Cloud Act Usa consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligence di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dal posto dove questi dati si trovano; quindi anche se sono su server fuori dagli Usa.
L’APPELLO DELLE AZIENDE EUROPEE
Alla luce di ciò, le aziende europee hanno affermato che l’etichetta di sicurezza informatica dell’Ue dovrebbe seguire l’esempio della piattaforma europea di cloud computing Gaia-X creata per ridurre la dipendenza dell’UE dai giganti della Silicon Valley e che ha requisiti di sovranità.
Anche se lo schema di certificazione sarà volontario, è comunque destinato a guidare le autorità degli Stati membri nel prendere decisioni sui fornitori. “La mancanza di clausole di sovranità potrebbe anche ostacolare i nascenti fornitori di servizi cloud dell’Ue rispetto ai loro maggiori rivali statunitensi” si legge ancora nella lettera.
“L’eliminazione di tali requisiti dal sistema comprometterebbe seriamente la fattibilità delle soluzioni cloud sovrane in Europa, molte delle quali sono in fase di sviluppo o già disponibili sul mercato”, hanno concluso le società europee.
