Per oltre 24 mesi lockdown e politiche di distanziamento sociale hanno imposto di lavorare fuori dal perimetro (e dai firewall) degli uffici, ma anche ora che le restrizioni si vanno allentando una quantità enorme di dati continua a essere generata da chi lavora da casa.

La rapida adozione di soluzioni erogate via cloud in modalità Software as a Service ha, di fatto, permesso di rispondere rapidamente alle necessità di chi lavora da remoto, ma ha anche registrato un’impennata degli attacchi ransomware rivolti non solo ai sistemi IT ma anche agli stessi servizi cloud.

Ne sanno qualcosa anche i Managed Service Provider chiamati ad affrontare sfide sempre più complesse e per le quali cambiare regolarmente le password, evitare di memorizzare chiavi di accesso non crittografate e mantenere aggiornato il software antivirus per i clienti è una strategia necessaria ma, di certo, non sufficiente.

Il motivo è semplice: non è più solo una questione di protezione dei dati e di disaster recovery. In un panorama in cui numerosi cloud provider si autopromuovono come “porti sicuri” per i dati dei loro clienti (salvo poi rispondere che sono responsabili della disponibilità dei dati, non del loro ripristino!), c’è da considerare anche il tema spesso ampiamente sottovalutato della “raggiungibilità giuridica” dei dati.

La nozione giuridica di “raggiungibilità” è un concetto che indica la possibilità per un soggetto di accedere e disporre, in maniera legittima, di dati memorizzati in un sistema cloud. In tal senso, la “raggiungibilità giuridica” dei dati riguarda sia l’utente originario titolare dei dati (e coloro che eventualmente acquistano determinati diritti nell’ambito del servizio cloud), sia quelle istituzioni governative o autorità pubbliche che, nell’esercizio delle proprie funzioni, potrebbero avere interesse ad accedere ai dati che si trovano in un cloud.

Infatti, una volta esternalizzati, i dati diventano “raggiungibili” in forza di un complesso coacervo di norme giuridiche provenienti da fonti diversificate – internazionali, europee e nazionali – e di disposizioni contrattuali, il cui peso complessivo e la cui articolazione dovrebbero influenzare pesantemente la scelta della strategia cloud degli MSP.

Proprio questi ultimi dovrebbero, infatti, essere i primi a porsi le domande giuste, e non limitarsi a considerare i soli aspetti tecnici o economici per valutare la scelta del sistema cloud sul quale ospitare i dati strategici dei propri clienti. Di fatto, quel che dovrebbero domandarsi è dove sono collocati fisicamente i server messi a disposizione dal provider in questione, ma anche avere ben chiaro qual è il sistema giuridico che sovrintende nel suo complesso il trattamento e l’accessibilità dei dati oggetto del contratto di cloud.

Capirete bene anche voi, a questo punto, che la nazionalità del fornitore cloud dovrebbe avere un suo peso specifico nella scelta, in quanto può comportare la giurisdizione di Paesi terzi e non europei che possono ritenersi autorizzati a intervenire sulle proprie aziende, anche con riferimento a dati di cittadini europei da esse custoditi in server localizzati in Europa. Al contrario, in un contesto puramente europeo, cioè con cloud provider e server all’interno della Ue, i dati di un cittadino o di una impresa europea appaiono sostanzialmente al sicuro grazie alle robuste garanzie fornite dalla legislazione dell’Unione, in primis il GDPR.

È una problematica che noi di Netalia conosciamo bene. Siamo un cloud provider italiano che adotta soluzioni tecnologiche best in class, garantendo la resilienza dei propri data center nonché elevate capacità di elaborazione e archiviazione, che confluiscono in SLA e allegati sulla sicurezza particolarmente sfidanti.