Modelli globali di governance per la protezione e la sicurezza dei dati: la proposta Gaia-X
Dati come risorsa da proteggere e governare
Tutti gli analisti di mercato sono concordi nell’individuare, fra i principali trend di sviluppo, le tecnologie della Intelligenza Artificiale e del Cloud and Edge Computing.
In particolare negli ultimi mesi, ha avuto enorme enfasi la cosiddetta ‘intelligenza artificiale generativa’ per le sue grandissime potenzialità, a volte temute e a volte sottostimate.
Ma proviamo innanzitutto a definire meglio il contesto complessivo.
Cominciamo dalla Intelligenza Artificiale.
L’app ChatGPT, lanciata pochi mesi fa, è diventata l’app in più rapida crescita di tutti i tempi.
Più in generale, sono diventate estremamente significative le possibilità della Intelligenza Artificiale di elaborare, con algoritmi sempre più sofisticati, le grandi quantità di dati che oggi siamo in grado di raccogliere sulle diverse piattaforme digitali per supportare (e in molti casi provare a sostituire) l’essere umano nelle sue decisioni e nelle sue attività.
L’Intelligenza Artificiale è diventata anche oggetto di preoccupazione per la sua capacità di creare, a valle di adeguate fasi di ‘deep learning’, immagini e testi indistinguibili da quelli prodotti da esseri umani.
Il 12 giugno 2023 il segretario generale delle Nazioni Unite Antonio Guterres si è dichiarato d’accordo con la proposta avanzate da alcuni ‘top-manager’, molti dei quali provenienti da industrie impegnate nello sviluppo dell’Intelligenza Artificiale, per la creazione di un organismo internazionale di controllo dell’intelligenza artificiale in analogia alla Agenzia internazionale per l’energia atomica (AIEA).
Veniamo ora alla definizione dei nuovi paradigmi computazionali.
Con Cloud Computing si intende un’erogazione di servizi di archiviazione, di elaborazione o di trasmissione dati offerti, con una architettura distribuita e remota di risorse configurabili, da fornitori (Cloud Service Provider) a clienti (Cloud Service Customer) che ne facciano richiesta tramite rete Internet.
L‘Edge Computing è invece un modello di calcolo distribuito nel quale l’elaborazione dei dati avviene il più vicino possibile a dove i dati vengono generati, migliorando decisamente tempi e costi di trasmissione e la resilienza delle infrastrutture in caso di interruzione dei collegamenti.
L’elemento che accomuna la Intelligenza Artificiale e i nuovi paradigmi computazionali è la importanza che vengono ad assumere i dati prodotti, raccolti e gestiti dalle organizzazioni pubbliche e private e dalle comunità con cui noi ci relazioniamo nella nostra vita di tutti i giorni.
Se si è paragonata la Intelligenza Artificiale alla energia atomica possiamo certamente ritenere che la strategicità geo-politica dei giacimenti di dati sui sistemi di cloud and edge computing sia analoga a quella dei giacimenti di uranio.
Pertanto, se i dati sono il ‘carburante’ di questa trasformazione digitale, la necessità delle strutture sociali e organizzative di controllare il trattamento dei dati (personali e non) è pertanto diventata una priorità strategica.
Questo comporta che i cittadini e gli organismi amministrativi, economici e sociali debbano essere in grado di conoscere ‘quali’ siano i dati da proteggere, ‘chi’ possiede questi dati, quali siano le ‘condizioni di trattamento’(p.e. ‘utilizzo’, ‘durata di mantenimento’), ‘dove’ il dato è conservato e ‘come’ poterlo riutilizzare per una sua valorizzazione, anche economica.
La importanza strategica della ‘data sovereignty’ è confermata dalle numerose iniziative legislative che si stanno intraprendendo nei diversi quadranti geopolitici globali per mantenere ed estendere il controllo sui dati.
Come vedremo, si tratterà di approcci diversi alla governance dei dati, approcci che potranno essere analizzati e valutati sulla base delle priorità che ciascuno di essi attribuisce a tre dimensioni fondamentali:
- Rispetto dei diritti individuali e sociali
- Creazione di valore economico
- Strategie di controllo geo-politiche.
Prime iniziative negli Stati Uniti
Cominciamo con il descrivere cosa finora è accaduto nel quadrante statunitense.
Il 2 febbraio 2016 entrava in vigore il Privacy Shield UE-USA, accordo finalizzato alla regolamentazione degli scambi transatlantici di dati personali a fini commerciali tra l’UE e gli USA; il suo obiettivo era quello di consentire alle società statunitensi di ricevere più facilmente dati personali da entità dell’UE ai sensi delle leggi sulla privacy dell’UE.
Il Privacy Shield UE-USA andava a rimpiazzare il precedente accordo dell’ International Safe Harbor sviluppato fra il 1998 e il 2000, i cui principi erano stati dichiarati non validi dalla Corte di giustizia europea (CJEU) nell’ottobre 2015.
Tuttavia, il 16 luglio 2020 anche il Privacy Shield UE-USA veniva dichiarato non valido dalla Corte di giustizia europea (CJEU) con la sentenza ‘Schrems II’.
Nel frattempo, il 2 giugno 2018 il Congresso U.S. approvava il Clarifying Lawful Overseas Use of Data Act, or “CLOUD Act” con l’obiettivo di facilitare e accelerare, ai fini della sicurezza nazionale, l’accesso alle informazioni elettroniche detenute da fornitori globali con quartier generale negli Stati Uniti per alcuni tipi di indagine.
Il CLOUD Act, tuttora vigente, afferma esplicitamente che ad una società soggetta alla giurisdizione statunitense può essere richiesto di fornire i dati che la società controlla, indipendentemente da dove è memorizzato e in qualsiasi momento.
Infatti il Cloud Act afferma che ‘‘A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.’’.
Da quanto precede, si può certamente concludere le priorità nel quadrante statunitense siano quelle di garantire una libera circolazione di dati a supporto delle aziende ‘big tech’ assieme ad una grande attenzione alla necessità di poter permettere, a fini di sicurezza nazionale, alle agenzie governative l’accesso a tutti i dati in possesso di queste aziende.
Prime iniziative in Cina
Spostiamoci ora sul quadrante cinese.
Il primo giugno 2017 entrava in vigore la Cybersecurity Law of the People’s Republic of China per la cui attuazione veniva incaricata la Cyberspace Admininistration of China.
La Cyberspace Administration of China (CAC) è anche nota come Ufficio della Commissione Centrale per il Cyberspazio e riporta direttamente sia al Partito Comunista Cinese sia al Consiglio di Stato del Governo cinese.
Secondo l’articolo 5 di questa legge, lo Stato adotta le misure necessarie per vigilare, prevenire e far fronte ai rischi per la sicurezza della rete originati sia all’interno che all’esterno del territorio della Repubblica Popolare Cinese, protegge le infrastrutture informative essenziali da attacchi, intrusioni, interferenze e atti vandalici, sanziona i reati di rete secondo la legge, salvaguarda la sicurezza e mantiene il ‘buon ordine’ del cyber spazio.
Il 10 giugno 2021, durante la 29a sessione del Comitato permanente del XIII Congresso nazionale del popolo, veniva ufficialmente approvata la Data Security Law of the People’s Republic of China che entrava definitivamente in vigore il 1° settembre 2021.
Ai sensi dell’articolo 31 della Data Security Law, il trasferimento transfrontaliero di dati importanti raccolti e generati da operatori di infrastrutture di informazioni critiche all’interno della Cina è disciplinato dalla già citata Cybersecurity Law, in base alla quale i dati raccolti e generati da operatori di infrastrutture di informazioni critiche sono tenuti a essere immagazzinati obbligatoriamente nel territorio della Cina. Ogni volta che tali dati devono essere trasferiti all’estero, deve essere eseguita una valutazione di sicurezza.
Da questi riferimenti, si può certamente concludere che per il quadro legislativo cinese la priorità è quella del controllo geo-politico dell’immagazzinamento e del flusso dei dati con forte coinvolgimento delle strutture politiche in caso di trasferimenti ‘transfrontalieri’.
Prime iniziative in Europa
Vediamo adesso cosa è finora accaduto nella nostra cara Unione Europea.
Il 25 Maggio 2018 entrava in vigore la EU Regulation 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (in breve, GDPR).
Il GDPR nasceva con l’obiettivo di garantire ad ogni persona naturale (‘data subject’) alcuni diritti fondamentali circa i propri dati personali e sulle loro modalità di trattamento ovvero:
- Diritto di accesso;
- Diritto alla rettifica;
- Diritto alla cancellazione (“diritto all’oblio”);
- Diritto alla limitazione del trattamento.
Il titolare e il responsabile del trattamento dei dati personali hanno il dovere di garantire misure tecniche e organizzative appropriate al fine di garantire un livello di sicurezza del trattamento adeguato al livello di rischio.
Questo atto normativo testimoniava della attenzione al rispetto dei diritti individuali che la Unione Europea considerava prioritari nel trattamento dei dati personali.
Il 18 dicembre dello stesso anno entrava in vigore la EU Regulation 2018/1807 on a framework for the free flow of non-personal data in the European Union (in breve, FFnPD).
Questo regolamento mirava ad abbattere gli ostacoli alla libera circolazione dei dati non personali all’interno dell’UE, promuovendo così l’economia europea dei dati e lo sviluppo di tecnologie emergenti come i servizi cloud, l’IoT, il 5G, l’intelligenza artificiale
Esso era pertanto la testimonianza del fatto che un ulteriore obiettivo della Unione Europea era quello di cogliere le opportunità della emergente economia dei dati incoraggiando e facilitando la creazione di un ‘level playing field’ che permettesse anche agli operatori europei di competere nel mercato dei servizi digitali nel quale era predominante il ruolo di operatori extra-europei.
Infatti, al fine di aumentare il livello di ‘trust’ del mercato nella adozione di servizi cloud e di contrastare i rischi di ‘lock-in provider’, l’articolo 6 di questo regolamento (“Porting of Data”) incoraggiava lo sviluppo e l’adozione di codici di condotta che, una volta sottoscritti dai fornitori di servizi cloud, dessero ai clienti il diritto di riprendersi i propri dati sia in caso di cambio di fornitore sia in caso di ritorno su infrastrutture ‘on premise’.
Il 26 novembre 2019 il gruppo SWIPO (Switching cloud service provider and Porting Data), facilitato dalla Commissione Europea e composto da fornitori e utilizzatori di servizi cloud, presentava alla Commissione Europea due Codici di Condotta (per IaaS e per SaaS) per la rendere possibile la attuazione dell’Articolo 6 precedentemente ricordato.
Successivamente la associazione no-profit SWIPO AISBL ( www.swipo.eu ), fondata nel maggio 2020 da Cloud Service Providers e Cloud Service Customers, assumeva, in continuità alle attività del Gruppo, la missione di:
- Manutenere e sviluppare questi codici di Condotta;
- Raccogliere le dichiarazioni di adesione ai codici stessi da parte dei Providers.
A queste prime due iniziative legislative, si affiancava il 27 giugno 2019, come manifestazione della attenzione al tema della sicurezza dei dati la EU Regulation 2019/881 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification (in breve, Cybersecurity Act)
Questa legge rafforzava il ruolo dell’Agenzia dell’UE per la sicurezza informatica (ENISA) e istituiva nella UE un quadro di certificazione della sicurezza informatica per prodotti, servizi e processi ICT.
Le aziende operanti nell’UE avrebbero potuto trarre vantaggio dal dover certificare i propri prodotti, processi e servizi ICT in uno dei qualsiasi paesi della UE e vedere i propri certificati riconosciuti in tutti i paesi della Unione stessa.
In particolare, per ogni schema di certificazione europeo veniva richiesto di specificare:
- le categorie di prodotti, servizi e processi coperti;
- i requisiti di sicurezza informatica, specificando standard o specifiche tecniche;
- la modalità di valutazione (autovalutazione, di terze parti, …);
- Il livello di garanzia offerto ( base, sostanziale, elevato) per informare gli utenti del livello di copertura di rischio di sicurezza informatica che un prodotto, servizio o processo poteva garantire.
Lo sviluppo del quadro normativo europeo riceveva ulteriore slancio il 19 febbraio 2020 con la definizione Strategia Europea dei dati da parte della Commissione Von der Leyen che fissava l’obiettivo prioritario della ‘sovranità digitale europea’.
Infatti, tale Strategia, partendo dal riconoscere che le tecnologie digitali stavano trasformando l’economia e, più in generale, la società civile e che i dati raccolti e gestiti in questa trasformazione globale sarebbero stati, in misura sempre più crescente, ospitati su piattaforme di cloud-computing i cui ‘provider’ predominanti erano in gran parte extra-europei e su emergenti sistemi di edge-computing la cui importanza sarebbe stata sempre più rilevante con lo sviluppo dell’Internet of Things, fissava i seguenti obiettivi:
- Definire le modalità e i processi con le quali i dati sono raccolti e utilizzati tutelando in primo luogo gli interessi della persona, in conformità con i valori, i diritti fondamentali e le regole europee;
- Costruire un solido quadro giuridico dell’UE – in termini di protezione dei dati, diritti fondamentali e sicurezza;
- Cogliere i vantaggi di un migliore utilizzo dei dati, sia ai fini di una maggiore produttività e competitività dei mercati sia per l’ottenimento di miglioramenti in termini di salute e benessere per i cittadini, di ambiente, di trasparenza nella governance di servizi pubblici sempre più efficienti;
- Raggiungere, in definitiva, la “sovranità digitale” intesa come capacità dell’Europa di agire in modo indipendente nel mondo digitale al fine di fornire ai cittadini europei la possibilità di completo controllo sui dati memorizzati ed elaborati sulle piattaforme di cloud ed edge computing, potendo decidere chi dovesse accedere a questi dati e quali fossero i processi e le modalità per estrarne ‘valore economico’.
Nella stessa Strategia Europea dei Dati venivano definiti 9 Common European Data Spaces in settori strategici e in domini di pubblico interesse (manifattura, green deal, mobilità, salute, finanza, energia, agricoltura, pubblica amministrazione, competenze) la cui importanza avrebbe visto convergere su di essi forti investimenti.
Vediamo ora rapidamente quali sono stati alcuni dei passi fondamentali per l’attuazione di questa strategia.
Una delle prime azioni chiave per la implementazione della strategia è stata il finanziamento di un High Impact project on common European data spaces per la definizione di una architettura di condivisione dei dati (inclusi standard, migliori pratiche, strumenti) e relativi meccanismi di governance, finalizzato alla realizzazione di una federazione europea di infrastrutture cloud affidabili e ad alta efficienza energetica.
Una seconda, fondamentale linea di azione è stata la definizione di un robusto quadro giuridico per la Unione Europea.
Alcune delle principali proposte legislative della Commissione europea sono:
- Data Governance Act (DGA): entrato in vigore il 23/6/2022, mira a facilitare la condivisione dei dati stabilendo: (a) le condizioni per il riutilizzo, all’interno dell’Unione, di determinate categorie di dati detenuti da enti pubblici; (b) un quadro di notifica e controllo per la fornitura di servizi di condivisione dei dati; (c) un quadro per la registrazione volontaria delle entità che raccolgono e trattano dati messi a disposizione per scopi altruistici;
- Digital Markets Act (DMA): entrato in vigore il 2/5/2023, intende garantire un maggiore grado di concorrenza nei mercati digitali europei, impedendo alle grandi aziende di abusare della loro posizione dominante così consentendo a nuovi operatori di entrare nel mercato. Questo regolamento si rivolge alle più grandi piattaforme digitali operanti nell’Unione Europea che vengono individuati come “Gatekeeper” per la loro ‘dominante’ posizione di mercato in alcuni settori digitali ed individuati sulla base di criteri predefiniti (numero di utenti, fatturato, capitalizzazione). Per questi particolari operatori viene definito un elenco di obblighi e, in caso di inadempienza, vengono definiti meccanismi sanzionatori, comprese multe fino al 10% del fatturato globale annuo che salgono al 20% in caso di violazioni ripetute. Il 6/9/2023 sono stati individuati i primi sei gatekeepers (Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft) cui sono stati concessi 6 mesi per il pieno allineamento al DMA;
- Digital Services Act (DSA): in vigore dal 17/2/2024 ha l’obiettivo di migliorare la moderazione dei contenuti sulle piattaforme di social media per evitare la pubblicazione di contenuti illegali. Le aziende sono tenute a rimuovere questi contenuti illegali una volta segnalati dai ‘trusted flaggers’, nuova figura individuata dalla normativa con l’obiettivo di monitorare i contenuti pubblicati sulle diverse piattaforme. Il DSA chiede inoltre alle piattaforme di rendere trasparente alle autorità di regolamentazione il funzionamento degli algoritmi impiegati per rimuovere i contenuti illegali e per la individuazione dei potenziali clienti da parte degli inserzionisti. Molte delle sue disposizioni si applicano solo alle cosiddette ‘very large platforms’ (piattaforme che hanno più di 45 milioni di utenti nell’Unione Europea). Un primo elenco di queste realtà è stato pubblicato il 25/4/2023. Le aziende che non rispettano i nuovi obblighi rischiano sanzioni fino al 6% sul fatturato;
- Data Act: approvato il 13/12/23 dal Parlamento Europeo entrerà in vigore nella seconda metà del 2025 e definirà norme armonizzate:
- per rendere disponibili, in modo gratuito, agli utilizzatori di prodotti ‘connessi’ e dei relativi servizi (si pensi alla Internet of Things) i dati generati nell’utilizzo di questi prodotti e servizi;
- per rendere disponibili, laddove sussistano esigenze eccezionali e/o pubblico interesse, i dati da parte dei detentori (‘data holders’) alle amministrazioni pubbliche nazionali, alla Commissione Europea, alla Banca Centrale Europea e, in generale, alle strutture organizzative della Unione Europea;
- per facilitare, fino a renderlo gratuito, il trasporto dei dati tra diversi fornitori di servizi cloud (in altri termini, diventa obbligo legislativo il diritto al porting dei dati finora garantito dalla adesione volontaria dei fornitori ai codici di condotta SWIPO che così confermano il loro valore);
- per introdurre salvaguardie contro l’accesso illecito da parte di terze parti a dati non personali (si pensi agli accessi ai dati ispirati dal CLOUD Act);
- per sviluppare standard per la interoperabilità per l’accesso, il trasferimento e l’utilizzo dei dati.
Si presenta pertanto come un importante atto normativo per la definizione di un ‘level playing field’ per lo sviluppo di una economia dei dati europea in quanto:
- Metterà a disposizione in modo gratuito i dati agli utilizzatori di servizi IoT;
- Faciliterà lo scambio dei dati nelle relazioni B2B garantendo alle PMI, quando richiedano dati, costi di compensazione ridotti;
- Impedisce che i ‘gatekeeper’ che godono di una posizione predominante sul mercato possano svolgere il ruolo di terze parti e pertanto non potranno effettuare azioni di incentivo commerciale per avere i dati a disposizione;
- Renderà gradualmente gratuiti i costi di cambio di fornitore nei servizi cloud riducendo il rischio ‘provider lock-in’;
- Punterà a ridurre il rischio CLOUD ACT per l’accesso ai dati nella UE;
- Supporterà gli sforzi per la crescita della interoperabilità fra data spaces favorendo la nascita di crescenti opportunità per lo sviluppo di business innovativi.
Artificial Intelligence Act: è l’atto normativo proposto dalla Commissione Europea il 21 aprile del 2021 per la regolamentazione della Intelligenza Artificiale. Il 2 febbraio del 2024 è stata approvata dal COREPER la versione consolidata del testo che dovrebbe essere approvata definitivamente nell’aprile del 2024. Questa legge fissa regole armonizzate per lo sviluppo, l’immissione sul mercato e l’utilizzo di sistemi di IA nell’Unione seguendo un approccio proporzionato basato sul rischio. Talune pratiche di IA particolarmente dannose sono assolutamente vietate in quanto in contrasto con i valori dell’Unione; sono, inoltre, proposte restrizioni e tutele specifiche in relazione a determinati usi dei sistemi di identificazione biometrica remota a fini di attività di contrasto. La proposta stabilisce infine una metodologia per la valutazione dei rischi al fine di definire i sistemi di IA “ad alto rischio” ovvero che pongono rischi significativi per la salute e la sicurezza o per i diritti fondamentali delle persone. Tali sistemi ad alto rischio dovranno essere adeguatamente pubblicizzati in un apposito database. Per eventuali violazioni delle norme sono previste sanzioni fino a 35 milioni di euro o al 7% del fatturato annuo (scegliendo fra il più alto fra i due importi).
Concludendo questa rapida sintesi di alcune iniziative del quadro normativo europeo, possiamo certamente affermare che, rispetto agli altri quadri normativi, esso considera prioritario l’obiettivo di conciliare, nello sviluppo della ‘data economy’, il rispetto dei diritti individuali e sociali con la creazione di valore economico e con le considerazioni derivanti da fattori geo-politici.
Gaia-X: una prima iniziativa industriale per lo sviluppo della Strategia
L’iniziativa Gaia-X è stata avviata nel febbraio 2020 (parallelamente alla definizione della Strategia Europea) su proposta franco-tedesca e ha visto nei mesi immediatamente successivi il coinvolgimento di quasi tutti i paesi europei (e non solo) nella fondazione di una AISBL (società no-profit di diritto belga) che si è posta l’obiettivo di rendere ‘operativa’ questa strategia.
Obiettivo fondamentale di Gaia-X è la valorizzazione del patrimonio dei dati che, con lo sviluppo e la adozione servizi di cloud computing ed edge computing, verrà a costituirsi nella Unione Europea affinchè la ‘ricchezza’ che da tali dati si potrà estrarre vada principalmente a beneficio dei suoi cittadini europei nel pieno rispetto dei valori comuni europei.
In questo approccio allo sviluppo della ‘data economy’ europea, Gaia-X attribuisce molta importanza al ruolo della ‘domanda’ dei servizi digitali (e quindi alle necessità degli utilizzatori) e dei ‘data owner’ che sulle piattaforme digitali allocano i propri dati.
A tal fine Gaia-X propone lo sviluppo di un ecosistema digitale che, sulla base di regole definite e condivise dai diversi stakeholder, sia in grado di garantire adeguati livelli di ‘trust’ e sicurezza garantendo la piena adesione alle normative europee.
In questo ecosistema saranno naturalmente ospitati anche, ma non solo, i Data Spaces individuati come strategici dalla Commissione Europea.
Concretamente Gaia-X propone una architettura aperta e federata di sistemi ‘cloud’ e ‘edge’ che, costituita da hub nazionali interconnessi e basata su standard comuni,’ best practices’, strumenti e meccanismi di governance, garantisca per i dati e i servizi ivi ospitati:
- PORTABILITÀ
- INTEROPERABILITÀ
- TRASPARENZA CONTRATTUALE
- CYBERSECURITY
- INTERCONNETTIVITÀ
Elemento fondamentale del modello concettuale su cui si fonda Gaia-X è la definizione del concetto di Asset che si associa sia a strutture fisiche (i Nodi ovvero tutte le entità dotate di capacità computazionali e le Interconnessioni fra i nodi) sia a strutture logiche (i Dati organizzati in ‘data spaces’ secondo la Strategia europea dei dati e il Software rigorosamente basato su tecnologie ‘open source’).
Vi è pertanto, nella visione di Gaia-X, il riconoscimento dei ‘Dati’ come uno degli Asset fondamentali.
Molto schematicamente la architettura di Gaia-X può essere quindi vista come la interazione di due ecosistemi: le infrastrutture e i dati.
Questi due ecosistemi vengono interconnessi mediante i cosiddetti Federation services (Identity and Trust, Federated Catalogue, Sovereign Data Exchange and Compliance) che, sviluppati con logiche open source, costituiscono il collante di quella struttura federata di hub interconnessi e allineata ‘by-design’ al quadro normativo europeo cui abbiamo fatto precedentemente riferimento.
Gaia-X ha inoltre definito delle Policy Rules ed un sistema di Label che serviranno a garantire adeguati livelli di ‘trust’ dei servizi offerti, con criteri crescenti di ‘assurance’ per rispondere ai diversi livelli di rischio.
In altre parole, un utilizzatore di servizi digitali potrà scegliere, mediante la lettura della Label associata a ciascun servizio, ciò di cui ha bisogno avendo piena e trasparente consapevolezza di quanto i servizi a catalogo mettono a disposizione, in termini di sicurezza, portabilità, interoperabilità.
Per accelerare lo sviluppo e la offerta di servizi ‘Gaia-X compliant’ la fondazione Gaia-X AISBL ha proposto ed ha contribuito alla definizione delle Gaia-X Digital Clearing Houses.
Si tratta in particolare di aziende che si candidano per offrire risorse computazionali ed ambienti elaborativi dove si possa verificare, con la governance di Gaia-X AISBL, il rispetto delle regole di Gaia-X per i servizi digitali che si candidano a diventare parte dell’ecosistema Gaia-X.
In questo modo, con lo sviluppo della proposta architetturale di Gaia-X e con il ruolo delle Clearing Houses, si renderà disponibile, a livello europeo e non solo, un ecosistema digitale in cui potrà prosperare una ‘data economy’ in grado di assicurare sovranità, trasparenza, apertura, interoperabilità e portabilità dei dati.
Articolo a cura di Aniello Gentile
Dopo la laurea con lode in Ingegneria Elettronica nel 1980 presso l'Università Federico II di Napoli, Aniello Gentile ha svolto attività di ricerca presso il Centro di Ricerca Olivetti per Tecnologie Meccaniche e Automazione (RTM) di Vico Canavese (TO).
Nel 1981 ha iniziato la sua attività in Enel nell'area dello sviluppo ICT dove ha gestito progetti di telecomunicazione e automazione, anche con l'impiego di tecnologie di Artificial Intelligence per il controllo ‘unattended’ delle sale calcolo.
Dal 1990 ha occupato ruoli direzionali nel settore delle Operations ICT di Enel, dove è stato responsabile della gestione dei Data Center, del Release Management, dell’End User Support.
Dal 2014 al maggio 2023 è stato direttore nella unità Global Cyber Security di Enel contribuendo a tutte le principali iniziative dell’area tra le quali la progettazione di un nuovo Framework di Cybersecurity e la definizione della metodologia Cyber Risk Analysis.
Da maggio 2023 svolge attvità indipendente di supporto consulenziale sui temi della economia dei dati e della cybersecurity.
Nel corso della sua carriera ha partecipato e contributo a numerose organizzazioni e manifestazioni internazionali.
È stato presidente e relatore in numerosi convegni ed eventi internazionali sulla Cyber Security e su Infrastrutture critiche (IBM Interconnect 2016, PowerGen 2017, SeltaChallenge 2017, I-COM Public Conferenza 2018, Electrify Europe2018).
Nel gennaio 2018 è entrato a far parte del Consiglio Direttivo della Sezione Information Technology di Unindustria Lazio.
Da aprile 2018 a maggio 2020 è stato uno dei ‘co-chairs’ del Working Group SWIPO (SWItching provider and POrting of data), organizzato dalla Commissione europea con l'obiettivo di sviluppare codici di condotta per facilitare il ‘porting’ dei dati tra diversi Service Cloud Provider al fine di ridurre i rischi di ‘lock-in provider’.
Nel giugno 2018 è entrato a far parte del gruppo di lavoro del World Economic Forum per "Systems of Cyber Resilience: Electricity".
Da maggio 2020 al maggio 2023 è stato membro dell’Executive Board di SWIPO AISBL, associazione ‘no-profit’ fondata per sviluppare, mantenere e favorire l'adozione di tali codici di condotta nel mercato dei servizi cloud.
Nel giugno del 2021 è stato eletto per la prima volta nel Board of Directors dell’associazione europea Gaia-X, l'iniziativa europea che mira a definizione di un'infrastruttura cloud federata allineata ai valori della strategia europea dei dati. Tale mandato è stato successivamente rinnovato nella Assemblea Generale del giugno 2023.
Nell'agosto 2022 è entrato a far parte del Gruppo Tecnico di Confindustria “Digitale per la competitività del sistema industriale”.
Dal dicembre 2022 fa parte della commissione Data Center e Cloud dell’Ordine Ingegneri di Roma e Provincia.
Da marzo 2023 è Consigliere di Confindustria Servizi lnnovativi e Tecnologici (CSIT) , dove ha la delega per le politiche europee per lo sviluppo dei servizi innovativi.