Avevamo già parlato di “cloud” in passato evidenziando come all'interno della cornice tracciata da questo termine trovino collocazione alcuni dei problemi giuridici maggiormente in diffusione con i quali gli esperti di diritto dell'informatica debbono confrontarsi.
Ma che cosa è precisamente questo “cloud”? Come funziona dal punto di vista informatico? E quali sono, infine, i problemi di diritto che in concreto esso crea? Proveremo, in questo articolo, ad abbozzare una risposta a queste complicatissime domande, ovviamente senza pretese di esaustività.
Con il termine inglese cloud computing (traducibile in “nuvola informatica”) si indica un insieme di tecnologie che permettono al cliente, sfruttando un servizio offerto da un provider, di memorizzare, archiviare ed elaborare dati grazie all'utilizzo di risorse hardware e software distribuite in rete.
Un computer esegue programmi, nonché elabora, archivia e recupera dati, grazie alla sua componentistica hardware. Nel caso di computer collegati in rete locale, la possibilità di condividere dati può essere estesa ad altri computer e dispositivi remoti dislocati sulla stessa rete.
Sfruttando la tecnologia del cloud computing, gli utenti collegati ad un cloud provider possono accedere alle risorse software e ai dati, anche tramite un semplice internet browser. Possono, ad esempio, utilizzare software remoti non direttamente installati sul proprio computer e salvare dati su memorie di massa on-line predisposte dal provider stesso.
Il cloud computing, inoltre, può migliorare l’efficienza in contesti aziendali, consentendo, per esempio, un risparmio di costi in termini di hardware.
Se tali sono vantaggi offerti, essi non devono indurre a trascurare gli aspetti di sicurezza; in primo luogo, l’impresa deve potersi fidare di chi offre il servizio. La sicurezza relativa al cloud comporta una generazione di soluzioni garantite ed affidabili, che siano in grado di proteggere le informazioni che in esso circolano.
Per comprendere maggiormente il funzionamento del sistema occorre capire quali siano i soggetti, le figure coinvolte in un servizio di cloud computing. Esse sono le seguenti:
- Fornitore di servizi (cloud provider): colui che offre servizi come server virtuali, storage, ossia dispositivi dedicati alla memorizzazione di informazioni a livello elettronico nonché applicazioni complete, generalmente secondo un modello "pay-per-use".
- Cliente amministratore: colui che sceglie e configura, destinandoli alla fruizione del pubblico, i servizi offerti dal fornitore, generalmente garantendo un valore aggiunto, di solito individuato nelle applicazioni software.
- Cliente finale: colui che utilizza i servizi opportunamente configurati dal cliente amministratore.
L'architettura del cloud computing prevede quindi la predisposizione di uno o più server reali, generalmente in soluzioni ad alta affidabilità e fisicamente collocati presso il data center del fornitore del servizio, il quale mostra a livello output delle interfacce per elencare e gestire i propri servizi. Il cliente amministratore utilizza tali interfacce per personalizzare il servizio richiesto (ad esempio scegliendo di predisporre un server virtuale completo oppure solo “storage”) e per amministrarlo (configurazione, attivazione e disattivazione). Il cliente finale invece utilizza semplicemente, senza modificarlo, il servizio configurato dall’amministratore.
L’utilizzo dei sistemi di cloud computing, come abbiamo accennato all'inizio dell'articolo, ha comportato la nascita di una serie di problematiche, anche giuridiche.
In particolare le critiche di focalizzano sulla esposizione degli utenti ad una serie di rischi, i quali sono legati, dal punto di vista del diritto che qui interessa, principalmente alla tutela della privacy degli stessi, principalmente attraverso l'adozione di tecniche affidabili di sicurezza infromatica.
Utilizzare un servizio di cloud computing per memorizzare dati personali o sensibili, espone l'utente a potenziali problemi di violazione della privacy. Sempre più spesso i dati personali vengono memorizzati nelle server farms di aziende che spesso risiedono in uno stato diverso da quello dell'utente. Si pensi, per fare una ipotesi presentatasi in concreto, che una azienda come la telecom o la fiat sfrutti servizi di cloud computer per memorizzare i dati personali dei sui dipendenti, che sono migliaia.
Il cloud provider, in caso di comportamento scorretto o malevolo, potrebbe accedere ai dati personali di migliaia di soggetti (che hanno un valore economico enorme) per eseguire ricerche di mercato e profilazione degli utenti. Con i collegamenti wireless, il rischio aumenta e si è maggiormente esposti a casi di pirateria informatica, a causa della minore sicurezza offerta dalle reti senza fili. In presenza di atti illeciti, come appropriazione indebita o illegale di dati personali, il danno potrebbe essere molto grave per l'utente, con difficoltà di raggiungere soluzioni giuridiche e/o rimborsi, se il fornitore risiede in uno stato diverso da quello dell'utente.
Da un punto di vista giuridico il “furto di dati” determina una violazione della riservatezza tutelabile da parte del soggetto che ha subito la violazione, ma qui sorge il primo più rilevante problema: quale sarà la legge applicabile? Se il server è collocato, ad esempio, a San Francisco mentre il soggetto “violato” è un dipendente italiano della Fiat, si applicherà la legge statunitense o italiana? Il processo andrà instaurato in Italia o in California? Ovviamente non è questa la sede per rispondere a queste domande, basti pensare che esse hanno creato notevoli incertezze tra gli interpreti e hanno evidenziato grandi lacune nei meccanismi di tutela (del resto questa è una tendenza continua del diritto di fronte alle nuove tecnologie che abbiamo sottolineato in altri post, basti pensare, per esempio, alla difficoltà di tutelare la proprietà “dematerializzata” applicando le regole classiche del codice civile).
Un secondo problema, collegato strettamente al primo, è quello della possibilità che i provider installino i propri server in Paesi che abbiano leggi più favorevoli (anche in ipotesi delle suddette violazioni) e che si scateni quindi, anche in questo settore della disciplina, una “battaglia tra ordinamenti” per assicurarsi la presenza di imprese fornitrici che porti gli Stati a non introdurre discipline severamente repressive del fenomeno per ottenere in cambio la ricchezza creata dalla attività imprenditoriale.
Non a caso da questo punto di vista l'unica strada per attenuare tali tendenze ed arginare i problemi delineati è l'armonizzazione delle legislazioni, infatti se le leggi applicabili alla violazioni sono sostanzialmente omogenee (soprattutto nel delineare le fattispecie e le sanzioni), da un lato, importa di meno che, nel caso concreto, si ricorra a quella italiana piuttosto che a quella americana e, dall'altro, non si porrebbe il tema della presenza di leggi “più o meno favorevoli” essendo esse uguali.
A questo riguardo l'unico strumento pensabile a tal fine (l'armonizzazione) sembra essere la concertazione internazionale fra Stati sfociante in appositi trattati internazionali vincolanti per essi.
Se pare molto difficile che ciò si realizzi nel breve periodo a livello mondiale, giova invece sottolineare che l'Unione Europea si è invece già messa da tempo al lavoro verso l'emanazione di una seconda direttiva (rispetto alla precedente) sulla tutela della privacy per vincolare gli Stati Membri alla adozione di una disciplina uniforme su questi problemi.
Stefano Sacchi
Avevamo, come ricordato all'inizio, parlato di "cloud" già in passato occupandoci principalmente del problema dei "furti di identità" in un articolo che potete trovare QUI
Per il precedente articolo di Stefano che spiega cosa sia la sicurezza informatica e perché sia importante oggigiorno potete invece leggere: Cosa si intende per sicurezza e standard di sicurezza informatica?
Se vi è piaciuto l'articolo non dimenticate di aderire gratuitamente al feed di Leggendoci per rimanere sempre aggiornati sul nostro blog!
Indietro alla pagina Forse non sapevate che
Nessun commento:
Posta un commento