CLOUD Act e Co.: Quanto sono affidabili le offerte cloud statunitensi?

Amazon, Apple, Microsoft: questi sono solo tre esempi di fornitori di servizi cloud con sede negli Stati Uniti. Dominano il mercato e a volte vengono utilizzati senza pensarci troppo. E non c'è da meravigliarsi: sono spesso integrati direttamente in altri servizi, il che li rende particolarmente facili da usare. iCloud di Apple, ad esempio, funziona perfettamente con i dispositivi del produttore. Un altro motivo, soprattutto per gli operatori di siti Web e gli sviluppatori di offerte Web: un servizio cloud come Amazon Web Services ha alcuni strumenti utili da offrire. È conveniente poter gestire tutto in un unico posto con un solo account.

‍

Le aziende devono guardare più da vicino rispetto ai consumatori

Tuttavia, le aziende in particolare non possono utilizzare questi servizi senza esitazione. Ciò è particolarmente vero se raccolgono, elaborano e archiviano dati personali. Nel 2020, la Corte di giustizia europea (ECJ) ha nuovamente stabilito che la protezione dei dati negli Stati Uniti non è sufficiente per archiviare i dati sensibili degli europei in tali paesi. L'accordo «Privacy Shield» è quindi diventato invalido. Questo accordo aveva lo scopo di fornire un modo semplice per utilizzare i popolari servizi statunitensi nelle aziende.

Ad oggi non esiste un successore e quindi quasi nessuna base legalmente sicura. Anche se la Corte di giustizia fa riferimento all'accordo tra Stati Uniti e UE, gli avvocati vedono lo stesso problema per l'accordo separato con la Svizzera.

‍

Server mirati al di fuori degli Stati Uniti

Una possibile soluzione è affidarsi esclusivamente a server cloud con sede nell'UE o in Svizzera. Tutti i principali provider dispongono di data center in questo paese, se non altro per poter offrire prestazioni migliori.

Tuttavia, è qui che torna a concentrarsi l'US CLOUD Act: ciò significa che gli Stati Uniti si sono concessi unilateralmente il diritto di richiedere il rilascio di dati archiviati su server al di fuori degli Stati Uniti.

Secondo il Dipartimento di Giustizia degli Stati Uniti, ciò viene fatto con un «elevato livello di protezione dei diritti di tali cittadini». Ma è proprio questo che dubitano i critici. Il massimo funzionario tedesco per la protezione dei dati Ulrich Kelber, ad esempio, ha dichiarò che i dati della polizia non dovrebbero mai essere archiviati su servizi come Amazon. Il Garante europeo della protezione dei dati ha inoltre ha affrontato la questione in dettaglio. Tra le altre cose, ha criticato il fatto che le aziende abbiano troppo poca influenza sulle richieste basate sul CLOUD Act.

‍

Da dove viene il CLOUD Act?

Il punto di partenza di questa controversa legge statunitense è stata una disputa tra il Federal Bureau of Investigation (FBI) e Microsoft. La società si è rifiutata di consegnare i dati in quanto archiviati su un server in Irlanda.

Microsoft ha quindi sfruttato una scappatoia legale creata dai server center distribuiti a livello globale. Lo Stored Communications Act, approvato negli Stati Uniti nel 1986, non aveva ancora previsto che le informazioni potessero essere archiviate a livello globale.

I legislatori statunitensi hanno finalmente risposto con il «Clarifying Lawful Overseas Use of Data Act», o CLOUD Act in breve. I fornitori di servizi di comunicazione con sede negli Stati Uniti sono ora obbligati a memorizzare i dati sui propri server e a trasmetterli alle autorità di polizia statunitensi a determinate condizioni, indipendentemente dal fatto che siano archiviati negli Stati Uniti o meno.

‍

La via d'uscita «Accordo esecutivo»

Fornitori statunitensi con clienti in questo paese sono quindi in un dilemma legale. Da un lato, la legge nazionale li obbliga a divulgare dati che potrebbero non essere autorizzati a divulgare a causa delle normative locali sulla protezione dei dati.

Il CLOUD Act vede una via d'uscita attraverso «accordi esecutivi» tra gli Stati Uniti e altri paesi. Ciò consentirebbe di regolamentare l'accesso ai dati in modo più preciso e conferirebbe inoltre alle autorità preposte all'applicazione della legge del paese partner i corrispondenti diritti di richiedere informazioni archiviate negli Stati Uniti.

In quel momento, anche le aziende statunitensi avrebbero maggiore leva contro le richieste di dati dagli Stati Uniti che violano le leggi sulla protezione dei dati in questo paese. Secondo un'analisi dello studio legale MLL:

«Gli accordi esecutivi introducono quindi una sorta di protezione legale indiretta per le persone non statunitensi e hanno lo scopo di promuovere l'accettazione dell'approccio extraterritoriale del CLOUD Act».

L'Ufficio federale di giustizia svizzero di recente affrontato questo argomento in dettaglio. In tutto questo, la Svizzera non deve solo valutare i propri interessi con quelli degli Stati Uniti, ma anche mantenere un equilibrio con l'UE. Dopotutto, la Svizzera è considerata dall'UE un paese terzo con un «livello adeguato di protezione dei dati». Le aziende dell'UE possono quindi utilizzare i servizi svizzeri senza esitazioni. E la Confederazione svizzera non vuole rischiare questo status.

In definitiva, l'Ufficio federale non ha ancora raggiunto una valutazione definitiva. Piuttosto, il rapporto intende fornire una base di discussione.

‍

Spionaggio industriale e sorveglianza

Tuttavia, quando si tratta dell'uso dei servizi cloud statunitensi, non sono solo i dati personali a costituire un problema. Piuttosto, la misura in cui ci si può fidare di questi servizi è fondamentalmente messa in discussione. Dopo tutto, informatore Edward Snowden, tra gli altri, dichiarato nel 2014 che la National Security Agency (NSA) utilizza il suo accesso alle informazioni anche per lo spionaggio industriale. Le sue rivelazioni hanno anche rivelato ciò che solo i teorici della cospirazione avevano precedentemente sospettato: gli Stati Uniti monitorano sistematicamente il traffico Internet e archiviano questi dati su larga scala, anche se crittografati.

Ovviamente, la crittografia può essere un modo per proteggere i dati nel cloud. In genere non dovrebbe essere archiviato in testo normale, se non altro a causa di possibili attacchi di hacker. Il più alto tribunale amministrativo francese, il Conseil d'Etat , è giunto anche alla conclusione in una sentenza che ciò potrebbe essere sufficiente per utilizzare anche i servizi statunitensi per i dati personali.

Ma quanto siano sicure queste crittografie a lungo termine è a dir poco discutibile. Basti pensare al dibattito ricorrente sulle backdoor corrispondenti. Ciò che è ufficialmente destinato a essere utilizzato per l'antiterrorismo o la prevenzione della criminalità ne consentirebbe anche un uso improprio.

‍

Conclusione

Quanto siano realmente problematici il CLOUD Act e simili è quindi un dibattito che continua anche negli ambienti specializzati.

Tuttavia, rappresentano un problema fondamentale con le offerte degli Stati Uniti: provengono da un ambiente politico diverso rispetto ai concorrenti europei. È probabile che questo diventi un problema ancora e ancora in futuro. Ciò è particolarmente vero se le aziende vogliono utilizzarli per archiviare informazioni sensibili.

Anche le offerte cloud dalla Svizzera o in generale dallo Spazio economico europeo sono quindi un'alternativa da prendere in considerazione.

‍