CLOUD Act e Co.: quanto sono affidabili le offerte cloud statunitensi?

Amazon, Apple, Microsoft: sono solo tre esempi di fornitori di servizi cloud con sede negli Stati Uniti. Dominano il mercato e a volte vengono utilizzati senza pensarci troppo. E non c'è da stupirsi: spesso sono direttamente integrati in altri servizi, il che li rende particolarmente facili da usare. L'iCloud di Apple, ad esempio, funziona perfettamente con i dispositivi del produttore. Un altro motivo, soprattutto per i gestori di siti web e gli sviluppatori di offerte web: Un servizio cloud come Amazon Web Services ha molti strumenti utili da offrire. È comodo poter gestire tutto in un unico posto con un unico account.

‍

Le aziende devono guardare più da vicino dei consumatori

Tuttavia, le aziende in particolare non possono utilizzare questi servizi senza esitazione. Ciò è particolarmente vero se raccolgono, elaborano e archiviano dati personali. Nel 2020, la Corte di giustizia europea ha nuovamente stabilito che la protezione dei dati negli Stati Uniti non è sufficiente per memorizzare i dati sensibili degli europei. L'accordo "Privacy Shield" è quindi diventato nullo. Questo accordo aveva lo scopo di fornire un modo semplice per utilizzare i servizi statunitensi più diffusi nelle aziende.

Ad oggi, non esiste un successore e quindi non c'è quasi nessuna base giuridicamente sicura. Anche se la Corte di giustizia europea fa riferimento all'accordo tra gli Stati Uniti e l'UE, gli avvocati vedono il problema anche per l'accordo separato con la Svizzera.

‍

Server mirati al di fuori degli Stati Uniti

Una possibile soluzione è quella di affidarsi esclusivamente a server cloud basati nell'UE o in Svizzera. Tutti i principali provider hanno centri dati in questo Paese, anche solo per poter offrire prestazioni migliori.

Tuttavia, è qui che torna in gioco il CLOUD Act statunitense: Ciò significa che gli Stati Uniti si sono dati unilateralmente il diritto di richiedere il rilascio di dati memorizzati su server al di fuori degli Stati Uniti.

Secondo il Dipartimento di Giustizia degli Stati Uniti, ciò avviene con un "alto livello di protezione dei diritti di questi cittadini" [originale: ensuring a high level of protection of those citizens' rights]. Ma è proprio questo il dubbio dei critici. L'alto funzionario tedesco per la protezione dei dati Ulrich Kelber, ad esempio, ha dichiarato che i dati della polizia non dovrebbero mai essere conservati su servizi come Amazon. Anche il Garante europeo della protezione dei dati ha affrontato la questione in modo approfondito. Tra le altre cose, ha criticato il fatto che le aziende hanno troppo poco potere contro le richieste basate sulla legge CLOUD.

‍

Da dove nasce la legge CLOUD?

Il punto di partenza di questa controversa legge statunitense è stata una controversia tra il Federal Bureau of Investigation (FBI) e Microsoft. L'azienda si è rifiutata di consegnare i dati che erano conservati su un server in Irlanda.

Microsoft ha così sfruttato una lacuna legale creata dai centri server distribuiti a livello globale. Lo Stored Communications Act, approvato negli Stati Uniti nel 1986, non aveva ancora previsto che le informazioni potessero essere archiviate a livello globale.

I legislatori statunitensi hanno finalmente risposto con il "Clarifying Lawful Overseas Use of Data Act", in breve CLOUD Act. I fornitori di servizi di comunicazione con sede negli Stati Uniti sono ora obbligati a conservare i dati sui loro server e a consegnarli alle autorità statunitensi preposte all'applicazione della legge a determinate condizioni, indipendentemente dal fatto che siano conservati o meno negli Stati Uniti.

‍

Accordo esecutivo" come via d'uscita

I fornitori statunitensi con clienti in questo Paese si trovano quindi in un dilemma legale. Da un lato, la legge nazionale li obbliga a divulgare dati che potrebbero non essere autorizzati a divulgare a causa delle normative locali sulla protezione dei dati.

Il CLOUD Act prevede una via d'uscita attraverso accordi esecutivi tra gli Stati Uniti e altri Paesi. Ciò consentirebbe di regolamentare in modo più preciso l'accesso ai dati e di conferire alle autorità di polizia del Paese partner i diritti corrispondenti per richiedere le informazioni archiviate negli Stati Uniti.

In quel momento, le aziende statunitensi avrebbero anche una mano più forte contro le richieste di dati provenienti dagli Stati Uniti che violano le leggi sulla protezione dei dati in questo Paese. Un'analisi dello studio legale MLL afferma quanto segue:

"Gli accordi esecutivi introducono quindi una sorta di protezione giuridica indiretta per le persone non statunitensi e mirano a promuovere l'accettazione dell'approccio extraterritoriale del CLOUD Act".

L'Ufficio federale di giustizia ha recentemente analizzato in dettaglio questo aspetto. In tutto questo, la Svizzera non deve solo soppesare i propri interessi rispetto a quelli degli Stati Uniti, ma anche mantenere un equilibrio con l'UE. Dopo tutto, la Svizzera è considerata dall'UE un Paese terzo con un "livello adeguato di protezione dei dati". Le aziende dell'UE possono quindi utilizzare i servizi svizzeri senza esitazioni. La Confederazione non vuole mettere a rischio questo status.

In definitiva, l'Ufficio federale non ha ancora espresso un giudizio definitivo. Il rapporto intende piuttosto fornire una base di discussione.

‍

Spionaggio e sorveglianza industriale

Tuttavia, quando si tratta di utilizzare i servizi cloud statunitensi, il problema non riguarda solo i dati personali. Piuttosto, la misura in cui questi servizi possono essere affidabili è fondamentalmente messa in discussione. Dopo tutto, il whistleblower Edward Snowden, tra gli altri, ha dichiarato nel 2014 che la National Security Agency (NSA) utilizza il suo accesso alle informazioni anche per lo spionaggio industriale. Le sue rivelazioni hanno anche rivelato ciò che solo i teorici della cospirazione avevano sospettato in precedenza: Gli Stati Uniti monitorano sistematicamente il traffico Internet e archiviano questi dati su larga scala, anche se criptati.

Naturalmente, la crittografia può essere un modo per proteggere i dati nel cloud. In genere non dovrebbero essere memorizzati in chiaro, se non altro a causa di possibili attacchi di hacker. Anche il più alto tribunale amministrativo francese, il Conseil d'Etat , è giunto alla conclusione in una sentenza che questo può essere sufficiente per utilizzare i servizi statunitensi anche per i dati personali.

Ma la sicurezza di queste crittografie a lungo termine è quantomeno discutibile. Basti pensare al ricorrente dibattito sulle corrispondenti backdoor. Ciò che ufficialmente è destinato a essere utilizzato per la difesa dal terrorismo o dalla criminalità, permetterebbe anche un uso improprio.

‍

Parole di chiusura

Quanto siano realmente problematici il CLOUD Act e simili è quindi un dibattito che continua anche negli ambienti specializzati.

Tuttavia, essi simboleggiano un problema fondamentale delle offerte provenienti dagli Stati Uniti: provengono da un ambiente politico diverso da quello dei concorrenti europei. È probabile che questo problema si ripresenti in futuro. Ciò è particolarmente vero se le aziende vogliono utilizzarli per archiviare informazioni sensibili.

Le offerte cloud dalla Svizzera o in generale dallo Spazio Economico Europeo sono quindi un'alternativa da considerare.