La trasformazione digitale che sta investendo il nostro ecosistema sociale e industriale, a livello nazionale e internazionale, vede la tecnologia dei sistemi e delle infrastrutture cloud come uno dei fattori determinanti per la sua realizzazione.
Una corretta adozione del cloud è una priorità per qualsiasi azienda che decida di adeguare i suoi sistemi di trattamento delle informazioni e dei dati per raggiungere la scalabilità e la flessibilità che qualsiasi business richiede.
In buona sostanza, i servizi cloud stanno diventando i pilastri fondamentali su cui si appoggerà e svilupperà la trasformazione digitale delle nostre aziende e, più in generale, di tutta la nostra società.
La recente esperienza della pandemia ha dimostrato che le aziende che avevano già un processo di trasformazione digitale basato sul cloud hanno potuto meglio adattarsi al nuovo, difficile contesto organizzativo che tutti abbiamo dovuto fronteggiare.
Infatti, ad esempio, la adozione e l’attivazione di processi di smart-working è stata certamente più agevole per le aziende che avevano già avviato il percorso di evoluzione verso il cloud.
Questa trasformazione renderà, nel futuro, le nostre aziende sempre più data driven companies; i dati, sia quelli trasferiti sul cloud che quelli che continuamente si genereranno nella interazione con il cloud, sono e saranno il carburante su cui costruire business sempre più innovativi.
Nonostante tutto ciò, permangono tutta una serie di preoccupazioni che in qualche modo frenano l’adozione del cloud da parte delle aziende.
Diversi studi mostrano che queste preoccupazioni riguardano sostanzialmente il tema della sicurezza dei dati e quello della perdita del controllo su di essi.
Già alla fine del 2017, la Commissione Europea, nel lanciare il Regolamento per la libera circolazione dei dati non-personali 2018/1807 con l’obiettivo di facilitare il movimento ed il trasferimento dei dati all’interno della Unione Europea come fattore di sviluppo del Digital Single Market europeo, incoraggiava con l’Articolo 6 di questo Regolamento la nascita di iniziative di self-regulation che, con il coinvolgimento di tutti gli stakeholders, sviluppassero codici di condotta per permettere il data porting fra i diversi fornitori di servizi cloud.
Nelle intenzioni della Commissione queste iniziative dovevano garantire la data portability fra diversi Service Cloud Provider, proteggendo i dati delle aziende utilizzatrici di servizi cloud dal rischio di provider lock-in, così da raggiungere l’obiettivo strategico della proprietà dei dati ed il controllo su di essi.
Ma cosa è la data portability?
Secondo la NIST Special Publication 500-332, la data portability viene definita come “la capacità del cliente di spostare dati e applicazioni attraverso diversi ambient cloud a basso costo e con la minima interruzione dei servizi”.
E’ opportuno evidenziare che il perimetro della data portability non include solamente i dati trasferiti sulle piattaforme cloud ma anche i cosiddetti derived data che, secondo ISO/IEC 17788:2014, appartengono alla classe di data objects che sono sotto il controllo del fornitore e che sono il risultato della interazione del cliente con il servizio cloud.
L’importanza di questi derived data o co-generated data crescerà sempre di più, parallelamente alla crescita dell’integrazione fra servizi cloud e edge computing.
A febbraio del 2018, la Commissione Europea, nello spirito del citato Articolo 6 del Regolamento per la Libera Circolazione dei dati, incoraggiava la formazione dello SWIPO Working Group (del quale ho avuto l’onore di essere uno dei co-chairs) per la stesura di codici di condotta per garantire la portabilità dei dati dei servizi IaaS e SaaS.
Tale Working Group era aperto alla partecipazione di tutti i principali stakeholders del mercato cloud (Providers e Customers di grandi e piccole dimensioni) al fine di raccogliere e conciliare le idee e le esigenze di tutti gli attori coinvolti.
In tal modo la Commissione Europea proponeva un soft approach chiedendo ai diversi stakeholders di impegnarsi ad un processo di auto-regolamentazione per arrivare, nel modo più fluido possibile, alla data del maggio 2020 alla piena operatività di questi codici di condotta.
Da febbraio 2018 a novembre 2019 il Working Group ha svolto le sue attività mediante conference call periodiche e incontri face-to-face ospitati dalle organizzazioni partecipanti nelle diverse capitali europee. Tali incontri sono stati aperti da sessioni pubbliche che hanno visto la partecipazione degli organismi istituzionali dei paesi che hanno ospitato i diversi incontri; in questo modo si è contribuito ad aumentare la attenzione e la consapevolezza sul tema Libera Circolazione dei dati nell’ambito del Digital Single Market Europeo.
Sono state così prodotte le prime versioni dei codici di condotta per i servizi SaaS e IaaS che sono state consegnate alla Commissione Europea nella High Level Conference on Data Economy ad Helsinki il 26 novembre 2019 e che hanno sancito alcuni punti molto importanti in relazione al tema del data porting fra i diversi Cloud Service Providers.
Ad esempio, il primo punto del codice di condotta per sistemi SaaS chiede esplicitamente che i Cloud Service Providers debbano sempre avere un processo di data export/import esplicito e strutturato da mettere a disposizione dei Cloud Service Customers, fornendo tutte le informazioni utili per la sua attuazione in modo da ridurre in modo significativo il rischio di lock-in.
E’ questo un principio fondamentale che chiede alle aziende fornitrici di servizi cloud e aderenti ai codici di condotta SWIPO di garantire ai propri clienti l’azzeramento del rischio di lock-in provider.
Il 19/2/2020 veniva sottolineate la importanza della iniziativa SWIPO nella comunicazione della nuova Strategia Europea dei Dati da parte della appena insediata Commissione Europea guidata da Ursula von der Leyen.
Il 26 maggio 2020 è stata infine costituita la SWIPO (Switching Cloud Providers and Porting Data) AISBL, (www.swipo.eu) associazione multi-stakeholders no-profit di diritto belga la cui missione è “to develop and maintain voluntary Codes of Conduct in support of Article 6 Porting of Data of the Free Flow on Non Personal Data Regulation (EU) 2018/1807″.
Nella prima Assemblea Generale si è anche provveduto alla formazione dell’Executive Board della nuova Legal Entity nel quale chi scrive è stato eletto come rappresentante dei SaaS customers.
Uno dei principi fondativi della Governance della associazione SWIPO è quello di garantire il balance of interests fra i diversi stakeholders (providers e customers) del mercato dei servizi cloud.
A tal fine, a partire dall’Executive Board e in tutti gli organi decisionali della associazione, sono previsti meccanismi che garantiscano una presenza bilanciata di providers e customers.
Va sottolineato che la presenza dei customers è fortemente incoraggiata e, per questo motivo, si è convenuto che la partecipazione alla associazione sia gratuita (il fee di adesione è per loro nullo).
Tutti i documenti di Governance, i codici di condotta, le modalità di adesione, le dichiarazioni di adesione da parte dei providers sono disponibili nel già citato sito www.swipo.eu.
Ma come funzionano questi codici di condotta?
Innanzitutto, un Cloud Provider che intenda dichiarare la sua adesione a questi codici di condotta dovrà pubblicare un Transparency Statement nel quale riporti tutte le informazioni necessarie ad un potenziale Cloud Customer per valutare ed effettuare eventuali operazioni di data porting per effettuare il provider switching.
Queste informazioni sono finalizzate a prevenire il rischio di vendor lock-in fornendo ai customers la descrizione del processo da intraprendere qualora debbano spostare i loro dati di business fra diversi cloud providers.
E’ infatti estremamente importante che all’atto della sottoscrizione di un contratto di un servizio cloud si presti attenzione a tutta una serie di aspetti relativi alla fase di migrazione dei dati quali, ad esempio,
Nel Transparency Statement si forniscono pertanto tutte le informazioni necessarie nella fase precontrattuale per valutare tutti gli aspetti da affrontare qualora si dovesse successivamente decidere di trasferire i dati ad un altro fornitore (o a riportare in dati su infrastrutture on-premise).
Vale la pena sottolineare che queste informazioni sono fornite volontariamente dai Provider che aderiscono ai codici di condotta e hanno lo scopo primario di fornire un documento che raccolga tutti gli elementi che possono essere utili per la valutazione del rischio lock-in.
Ad ulteriore garanzia dei Customers, la associazione SWIPO ha costituito un Complaints Secretariat che ha l’obiettivo di gestire eventuali reclami e contestazioni da parte di Customers che, avendo adottato un servizio cloud dichiarato aderente ai codici SWIPO, rilevino che nella realtà dei fatti il Provider non si stia attenendo, completamente o in parte, ai codici stessi.
Concludendo questa breve sintesi sul funzionamento dei codici di condotta SWIPO, possiamo affermare che essi costituiscono un efficace strumento per raggiungere la trasparenza sui termini contrattuali sulla data portability all’atto della stipula di contratti su servizi cloud.
Tornando alla questione più generale della data portability, possiamo certamente convenire che la natura strategica di questo tema è confermata da importanti iniziative legislative europee quali il Digital Markets Act e il Data Act che mirano a ridurre sempre di più le barriere che impediscono lo spostamento di dati fra diverse piattaforme al fine di contribuire allo sviluppo della economia digitale europea, sempre nel pieno rispetto dei principi e valori della Unione.
Vale inoltre sottolineare la importanza della data portability quando si affronta il tema della resilienza delle supply chain digitali, tema la cui importanza sta crescendo nel contesto dell’attuale scenario geo-politico.
Sarà difficile considerare resiliente una supply chain se essa non risolve il problema della data portability e, quindi, del vendor lock-in.
A tale proposito può essere interessante ricordare che Gaia-X, associazione europea per la definizione di una architettura aperta e federata per il cloud e l’edge computing al cui Board chi scrive ha l’onore di partecipare, nel proporre il suo framework per definire i criteri di labeling dei servizi che faranno parte del suo eco-sistema digitale, ha indicato, come si può riscontrare accedendo al link sotto riportato, i codici di condotta SWIPO come i riferimenti da seguire per la data portability.
https://www.gaia-x.eu/sites/default/files/2022-04/Gaia-X%20labelling%20criteria%20v22.04_Final.pdf
Come considerazione conclusiva di questa sintetica nota sui codici di condotta SWIPO e sulla data portability, può essere opportuno formulare l’auspicio che la strategicità geo-politica ed economica del tema spinga sempre di più verso un approccio di data portabilty by-design nella progettazione dei nuovi servizi cloud and edge computing.
Infatti, solo il considerare la data-portability come un requisito progettuale dei nuovi servizi potrà garantire che il valore dei dati delle aziende sia sempre più protetto e garantito nella trasformazione digitale che nei prossimi anni segnerà sempre di più lo sviluppo economico e sociale delle nostre società.
Articolo a cura di Aniello Gentile
I Big Data stanno cambiando le regole del commercio online. Finalmente le aziende possono comprendere…
Dal punto di vista tecnico-operativo, le indagini di digital forensics vengono svolte utilizzando specifici strumenti…
Nell’ambito dell’email security esistono diversi protocolli volti a garantire l'autenticità, l'integrità e la riservatezza delle…
Nel panorama della sicurezza informatica, la minaccia di attacchi fisici tramite dispositivi USB malevoli è…
Come per tutti i problemi complessi con cause molteplici, non esiste una soluzione per il…
In un mondo sempre più connesso e digitalizzato, le innovazioni tecnologiche stanno cambiando radicalmente il…