Cloud e nuvole

di V. Frediani - Se l'Europa si sta muovendo, il nostro paese non è dotato di una normativa che abbracci tutti gli aspetti del cloud computing adottato su scala aziendale. Che garanzie legali cercare?

Roma – Cloud computing, parole ricorrenti ultimamente per chi opera nel settore informatico. Fornitori ad elencare vantaggi, potenziali clienti a volte scettici. E la parte legale? Tutta da chiarire. Partiamo da un concetto: la normativa è ovviamente disallineata rispetto alle esigenze che un modello di cloud computing può avere . Nel senso che la particolarità del servizio può avvicinarsi vagamente all’outsourcing ma non lo è, e genera sotto il profilo giuridico tutta una serie di questioni – per alcuni problematiche, ma in fondo cosa non lo è? – come minimo da focalizzare quando si intenda portare in cloud un po’ della nostra azienda.

Intanto gli attori coinvolti sono quasi sempre tre: il fornitore di servizi; il cliente amministratore, ovvero colui che seleziona e configura i servizi funzionali al cliente finale offrendo talvolta un valore aggiunto dato da software; e lui, il cliente finale, il fruitore diretto del cloud. I rapporti a tre per loro natura danno sempre un po’ da fare, ecco perché la contrattualistica nel cloud è fondamentale.
Premetto che sono consapevole come i contratti spesso proprio per i servizi cloud si prestino pochissimo a modifiche, considerando che sono in grande percentuale, gli standard che i fornitori internazionali di servizi di cloud utilizzano per vendere il prodotto. Ma perlomeno capiamo i punti di maggior vulnerabilità per poter scegliere avendo tutte la carte in tavola girate dalla parte giusta!

Disponibilità dei dati
Intanto il tema fondamentale è quello della disponibilità delle informazioni da gestire in cloud. Per disponibilità si deve intendere l’accessibilità ai dati, la loro reperibilità ed asportabilità qualora si renda necessario, secondo un piano idoneo a rispondere alle esigenze del cliente secondo la natura della propria attività. È ovvio che se da una parte il concetto di cloud è proprio basato sulla delocalizzazione dei dati, dall’altro occorre prevedere tutte le ipotesi secondo cui potremmo avere necessità di riportare su server locale i dati, da una ricognizione generale dei DB all’ interruzione dei rapporti stessi con il fornitore , per cui occorre verificare tempistiche e modalità di presa in carico definitiva ed esclusiva dei propri dati.

Legge da applicare
Secondariamente, serve determinare a priori la normativa nazionale da applicarsi in caso di contenzioso : quella clausola alla quale poco si pensa sulle ali dell’entusiasmo del nuovo servizio, ma della cui assenza ci si può amaramente pentire in caso di problemi. Nei rapporti B2B è sempre rimesso alla libera e congiunta scelta delle parti determinare se in caso di controversie si debba applicare la legge di un paese piuttosto che di un altro. Per molti sembrerà scontato che ogni interesse sia quello di indicare la legge italiana come unica applicabile, ma non è sempre è così. Molto può dipendere dall’oggetto del contratto, molto può dipendere da quanto sia “evoluta”, sotto il profilo del diritto informatico, la normativa vigente nel paese del fornitore. Indubbiamente, dal lato dei costi, fare una causa nel nostro paese ha i suoi vantaggi e quindi prevalentemente cerchiamo di esigere che il Foro applicabile sia quello italiano .

Sicurezza e privacy
Poi abbiamo le due grandi tematiche del cloud: sicurezza e privacy. La sicurezza può essere indice di valore aggiunto nel valutare il fornitore finale: sicurezza come protezione dei dati, piani di ripristino, dislocazione in paesi sicuri, non esposti a rischi che possano pregiudicare accessi. La privacy invece apre scenari sconfinati! Abbiamo voglia di abolire il DPS ! Le tematiche normative sono tutte lì ad aspettarci in caso di cloud, con una bella lista da spuntare.

Intanto: il cloud per sua natura comporta pressoché integralmente la dislocazione dei dati in paesi fuori dall’Italia, sia paesi europei che extraeuropei . La nostra normativa , il Codice Privacy, fa un distinguo tra i due casi: ” le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli stati membri dell’Unione Europea, fatta salva l’adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni “. Il legislatore ritiene garantita la normativa a tutela dei dati nel caso in cui gli stessi restino nel perimetro europeo, in quanto tutti i paesi appartenenti bene o male sono allineati alle regole comunitarie che garantiscono quel “minimo sindacale” di protezione indispensabile per il legislatore .

Fuori dai confini europei, invece, ” Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all’Unione europea è consentito quando: a) l’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; b) è necessario per l’esecuzione di obblighi derivanti da un contratto c) è necessario per la salvaguardia di un interesse pubblico d) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo e) è necessario ai fini dello svolgimento delle investigazioni difensive f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi g) è necessario per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni ” (con la nuova modifica normativa quest’ultimo punto è caduto considerato che la definizione di interessato è limitata alla persona fisica).

E qui si apre un mondo. Il trasferimento dei dati nei paesi cosiddetti sicuri comporta comunque l’onere del Titolare (quindi del cliente che acquisisce i servizi) di garantire – anche attraverso la garanzia contrattuale del fornitore – il rispetto delle misure di sicurezza basilari per la nostra normativa (sistemi di autorizzazione per gli accessi, ripristino dati, adozione sistemi antintrusione ecc.) mentre la disciplina cui si fa riferimento a livello internazionale (delineata nei rapporti con gli Stati Uniti) è quella dei cosiddetti principi di approdo sicuro , il Safe Harbor. Principi logici ma impegnativi: non solo l’obbligo di informazione nei confronti degli interessati i cui dati andranno in cloud, ma anche l’obbligo di prendere il loro consenso, di protezione “da perdita ed abusi nonché da accesso, rivelazione, alterazione e distruzione non autorizzati”, diritto degli interessati di “accedere alle informazioni personali che li riguardano in possesso di una data organizzazione, ed altresì poterle correggere, emendare o cancellare” (ovviamente tramite il cliente).
È inoltre indubbiamente gravoso far rispettare al fornitore i principi di approdo sicuro se già a monte non li ha riconosciuti nei contratti di servizi che disciplineranno i rapporti.

Poi abbiamo il famigerato provvedimento in materia di amministratore di sistema : e questo, privacy o non privacy, dovrebbe interessarci non poco. Avere i dati in cloud può voler dire esporre il proprio know-how, il cuore del proprio business, quindi occorre avere garanzie sui profili e le modalità di accesso affinché non si verifichino abusi, in particolare in materia di concorrenza sleale o che configurino comportamenti commerciali scorretti. A fronte della sostanza dovremo comunque verificare l’inserimento di una clausola contrattuale che riconosca sussistente un sistema di logging degli ADS che storicizzi gli interventi e dia modo in caso di necessità di operare un monitoraggio .

Niente allarmismi: tutti noi abbiamo usufruito fino ad oggi del cloud in un modo o nell’altro: Facebook, LinkedIn, Twitter, la posta elettronica stessa. Bisogna insomma capire quanto e cosa possiamo portare in cloud. L’analisi giuridica spesso deve stare a monte dell’acquisizione dei servizi ed essere messa sulla bilancia rispetto alla selezione del patrimonio aziendale che intendiamo portare in cloud . Il livello di affidabilità del fornitore e del cliente amministratore è ovviamente fondamentale, la sussistenza di certificazione che garantisca determinati processi applicati ai dati in cloud può essere strumento di valutazione rispetto ai servizi promossi dal fornitore, come del resto l’aver già previsto a priori l’attenzione alla normativa italiana rilasciando documenti funzionali ad eventuali controlli della Guardia di Finanza in materia di privacy, piuttosto che l’inserimento di clausole contrattuali inerenti la cessazione dei servizi con un piano di trasferimento dati chiaro, è sintomo di particolare sensibilità agli aspetti contrattuali.

Purtroppo il legislatore italiano non è al passo con lo sviluppo di questi servizi (invece il Garante in materia di privacy ha pubblicato alcune osservazioni , ma non è il legislatore ed alcune precisazioni poco spostano le questioni rilevanti), mentre la Commissione Europea sta portando avanti una riforma radicale della privacy che, oltre alle semplificazioni dagli oneri burocratici, sta analizzando tutti gli aspetti connessi al cloud in modo da avere una disciplina uniforme a livello di paesi europei, con la possibilità di raccordi alla disciplina internazionale . Nel frattempo, senza snaturare il senso del cloud, porsi qualche domanda e cercare un po’ di risposte nel fornitore può perlomeno servire a mettere sul piatto tutti gli aspetti, vantaggi e non, di un servizio destinato certamente a sempre maggiori utilizzi.

Avv. Valentina Frediani
www.consulentelegaleinformatico.it

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Nome e cognome scrive:
    MegaLOL @ "PC-zombificati"
    Bellissimo. Quando ho letto nella frase le parole "PC-zombificati" mi è venuta una risata di quelle proprio grosse....Gli articoli che riescono perfino a fare ridere sono grandiosi. Ben scritto/fatto, Maruccia.
  • malcom scrive:
    Tanto per cambiare...
    Una botnet? Una delle tante...Brindiamo tutti alla sicurezza di Uindovs!!!!![img]http://images.pictureshunt.com/pics/a/alcohol_fail-14160.jpg[/img]
  • malcom scrive:
    Tanto per cambiare...
    Una botnet? Una delle tante...Brindiamo tutti alla sicurezza di Uindovs!!!!![img]http://images.pictureshunt.com/pics/a/alcohol_fail-14160.jpg[/img]
    • panda rossa scrive:
      Re: Tanto per cambiare...
      - Scritto da: malcom
      Una botnet? Una delle tante...



      Brindiamo tutti alla sicurezza di Uindovs!!!!!Ma non solo!Dichiarano che non possono neppure sverminare, perche' l'unico modo per eliminarla e' arrestare gli autori.Attendiamo Fiber che dall'alto della sua competenza ci spieghera' che windows e' sicuro, UAC, CAZ & MAZ.
      • nome e cognome scrive:
        Re: Tanto per cambiare...

        Attendiamo Fiber che dall'alto della sua
        competenza ci spieghera' che windows e' sicuro,
        UAC, CAZ &
        MAZ.Mah vedi, un conto è ragionare con le centinaia come si fa in genere su linux, un conto con i miliardi come si fa su windows.Un 1% di linari idioti vuol dire una macchina: la trovi, la stacchi, su windows la stessa percentuale di idiozia vuol dire milioni di macchine. Hai visto come viene trapanato a ripetizione il tuo caro linux quando finisce su "milioni" di dispositivi.... no? Chiedi a guggle che sta spendendo milioni per sverminare i cellularini. Bouncer, bouncer... ma linux è sicuro.
        • panda rossa scrive:
          Re: Tanto per cambiare...
          - Scritto da: nome e cognome

          Attendiamo Fiber che dall'alto della sua

          competenza ci spieghera' che windows e'
          sicuro,

          UAC, CAZ &

          MAZ.

          Mah vedi, un conto è ragionare con le centinaia
          come si fa in genere su linux, un conto con i
          miliardi come si fa su
          windows.
          Un 1% di linari idioti vuol dire una macchina: la
          trovi, la stacchi, su windows la stessa
          percentuale di idiozia vuol dire milioni di
          macchine.Stai dicendo che il sistema operativo non ha responsabilita'?Tutta colpa dell'utonto?
          Hai visto come viene trapanato a ripetizione il
          tuo caro linux quando finisce su "milioni" di
          dispositivi.... no? No, non ho visto.Ho visto solo tentativi isolati, ma ancora nessuna botnet basata su android.
          Chiedi a guggle che sta
          spendendo milioni per sverminare i cellularini.
          Bouncer, bouncer... ma linux è
          sicuro.A parita' di utente, linux e' piu' sicuro.Questo e' innegabile.
          • nome e cognome scrive:
            Re: Tanto per cambiare...

            Stai dicendo che il sistema operativo non ha
            responsabilita'?
            Tutta colpa dell'utonto?In questi casi si. Una botnet è sempre fatta di macchine non aggiornate, generalmente poco controllate ed in genere senza un vero proprietario (macchine condivise nelle università, internet cafe, hotel, etc)
            No, non ho visto.Remove "fette di salame"
            Ho visto solo tentativi isolati, ma ancora
            nessuna botnet basata su
            android.Non è detto che il malware abbia come solo scopo la creazione di una botnet. Su un cellulare è molto più conveniente cercare di rubare dati personali, magari informazioni di pagamento.
            A parita' di utente, linux e' piu' sicuro.
            Questo e' innegabile.E' innegabile? E cosa lo renderebbe più sicuro?
          • panda rossa scrive:
            Re: Tanto per cambiare...
            - Scritto da: nome e cognome

            Stai dicendo che il sistema operativo non ha

            responsabilita'?

            Tutta colpa dell'utonto?

            In questi casi si. Una botnet è sempre fatta di
            macchine non aggiornate, generalmente poco
            controllate ed in genere senza un vero
            proprietario (macchine condivise nelle
            università, internet cafe, hotel,
            etc)Una botnet e' sempre fata da macchine WINDOWS connesse in rete.Se poi come caratteristica intrinseca di windows connesso in rete e' quella di non aggiornarsi, non e' colpa dell'utonto.

            No, non ho visto.

            Remove "fette di salame"fette di salame not found.

            A parita' di utente, linux e' piu' sicuro.

            Questo e' innegabile.

            E' innegabile? E cosa lo renderebbe più sicuro?L'architettura.
          • nome e cognome scrive:
            Re: Tanto per cambiare...

            Una botnet e' sempre fata da macchine WINDOWS
            connesse in
            rete.Una botnet è fatta di macchine vulnerabili e poco controllate. Se il rapporto tra tali macchine con so windows e altri è di 100.000.000:1 è ovvio che le botnet che risaltano sono quelle con windows.
            Se poi come caratteristica intrinseca di windows
            connesso in rete e' quella di non aggiornarsi,
            non e' colpa
            dell'utonto.Volendo windows si aggiornerebbe anche da solo, ma visto che torniamo al discorso macchine poco controllate va da solo che è colpa dell'utente.
            L'architettura.Ovvero? Quella che settimana scorsa permetteva un privilege escalation?
          • panda rossa scrive:
            Re: Tanto per cambiare...
            - Scritto da: nome e cognome

            Una botnet e' sempre fata da macchine WINDOWS

            connesse in

            rete.

            Una botnet è fatta di macchine vulnerabili e poco
            controllate.con WINDOWS.
            Se il rapporto tra tali macchine con
            so windows e altri è di 100.000.000:1 è ovvio che
            le botnet che risaltano sono quelle con windows.Se tu andassi a contare le macchine always on, che sono quelle preferite per le botnet, vedresti che il rapporto e' ben diverso.

            Se poi come caratteristica intrinseca di
            windows

            connesso in rete e' quella di non
            aggiornarsi,

            non e' colpa

            dell'utonto.

            Volendo windows si aggiornerebbe anche da solo,
            ma visto che torniamo al discorso macchine poco
            controllate va da solo che è colpa dell'utente.E siccome all'utente viene proposto esclusivamente windows preinstallato, la colpa passa a chi, con abuso di posizione dominante e coercizioni di stampo mafioso, propone all'utente solo windows preinstallato.L'utente, in quanto non in grado di intendere ne' di volere, non puo' essere accusato di nulla. La colpa e' solo di WINDOWS.


            L'architettura.

            Ovvero? Quella che settimana scorsa permetteva un
            privilege escalation?Esatto! Quella che ha consentito al malware di intaccare lo 0% di tutto l'installato unix, grazie a questa previlege escalation.
          • collione scrive:
            Re: Tanto per cambiare...
            - Scritto da: panda rossa
            L'utente, in quanto non in grado di intendere ne'
            di volere, non puo' essere accusato di nulla. La
            colpa e' solo di
            WINDOWS.
            su questo punto, aldilà del preinstallato, io comunque non me la prenderei mai con l'utentealla fin fine siamo noi informatici che parliamo sempre di pc facili, software che fa tutto lui, computer come tostapane e poi ci lamentiamo?ovviamente la critica è rivolta pure ad android, che non ha uno straccio di controllo serio sulla pubblicazione delle app nel marketma il discorso windows è ovviamente molto più grave, soprattutto perché molto malware s'installa da solo sfruttando vulnerabilità che proprio non dovrebbero esserciricordiamo la falla nelle icone? cioè, gente che spinge .net e poi non è in grado di sfruttarlo per scrivere un angine grafico sicuro per windows?è questa incuria che fa di ms un baracconeriguardo la vulnerabilità su linux, è inutile rispondergli, visto che non riesce nemmeno a fare la differenza tra una vulnerabilità sfruttabile solo da chi ha acXXXXX alla macchina e una sfruttabile da un russo comodamente seduto nella sua poltrona nella sua megavilla sul Volga
          • panda rossa scrive:
            Re: Tanto per cambiare...
            - Scritto da: collione
            - Scritto da: panda rossa


            L'utente, in quanto non in grado di
            intendere
            ne'

            di volere, non puo' essere accusato di
            nulla.
            La

            colpa e' solo di

            WINDOWS.



            su questo punto, aldilà del preinstallato, io
            comunque non me la prenderei mai con
            l'utenteBe', insomma, quando l'utente non legge, io me la prendo eccome.
            alla fin fine siamo noi informatici che parliamo
            sempre di pc facili, software che fa tutto lui,
            computer come tostapane e poi ci
            lamentiamo?Pc facili, ok; software che fa tutto lui, ok; computer come tostapane MAI.Il computer DEVE ESSERE PROGRAMMABILE.Altrimenti e' un tostapane e non lo chiamiamo piu' computer.
            ovviamente la critica è rivolta pure ad android,
            che non ha uno straccio di controllo serio sulla
            pubblicazione delle app nel marketE ci mancherebbe altro.La liberta' di poterci mettere quello che si vuole, deve esserci.Se non sei in grado non lo fai.Ma non e' il blocco la soluzione.
            ma il discorso windows è ovviamente molto più
            grave, soprattutto perché molto malware
            s'installa da solo sfruttando vulnerabilità che
            proprio non dovrebbero esserciDevi spiegarlo ai fanboys questo.Se noi informatici lo chiamiamo "colapasta" c'e' piu' di una buona ragione.
            ricordiamo la falla nelle icone? cioè, gente che
            spinge .net e poi non è in grado di sfruttarlo
            per scrivere un angine grafico sicuro per
            windows?Possiamo ricordare anche la falla sulle porte chiuse se per quello.La cosa triste e' che la prossima falla, quella che verra' scoperta nei prossimi giorni, sara' talmente ridicola da surclassare tutte le precedenti. (considerazione sempre valida, senza scadenza)
            è questa incuria che fa di ms un baraccone

            riguardo la vulnerabilità su linux, è inutile
            rispondergli, visto che non riesce nemmeno a fare
            la differenza tra una vulnerabilità sfruttabile
            solo da chi ha acXXXXX alla macchina e una
            sfruttabile da un russo comodamente seduto nella
            sua poltrona nella sua megavilla sul
            VolgaCome tutti i winari, per cui server=client.
        • Darwin scrive:
          Re: Tanto per cambiare...
          - Scritto da: nome e cognome
          Mah vedi, un conto è ragionare con le centinaia
          come si fa in genere su linux, un conto con i
          miliardi come si fa su
          windows.

          Un 1% di linari idioti vuol dire una macchina: la
          trovi, la stacchi, su windows la stessa
          percentuale di idiozia vuol dire milioni di
          macchine.[img]http://www.marotochi.it/immagini/comico/windows%20firewall.jpg[/img]
          Hai visto come viene trapanato a ripetizione il
          tuo caro linux quando finisce su "milioni" di
          dispositivi.... no?Non l'hanno trapanato nemmeno una volta.Al massimo ci puoi trovare malware. Botnet? Nessuna.
          Chiedi a guggle che sta
          spendendo milioni per sverminare i cellularini.Almeno lei si da da fare.Una azienda di Redmond ti fa comprare la nuova versione dell'OS assicurandoti che è sicuro, quando così non è.-----------------------------------------------------------Modificato dall' autore il 06 febbraio 2012 16.08-----------------------------------------------------------
          • tucumcari scrive:
            Re: Tanto per cambiare...
            Modificato dall' autore il 06 febbraio 2012 16.08
            --------------------------------------------------(rotfl)(rotfl)Applausi a scena aperta al genio che ha fatto l'immagine!Sintesi e ironia nella giusta misura!
        • collione scrive:
          Re: Tanto per cambiare...
          sarebbe bello vederti dare una risposta simile a questo qui http://punto-informatico.it/b.aspx?i=3425206&m=3425760#p3425760ma non penso lo farai, sei troppo fanboy
        • collione scrive:
          Re: Tanto per cambiare...
          - Scritto da: nome e cognome
          Hai visto come viene trapanato a ripetizione il
          tuo caro linux quando finisce su "milioni" di
          dispositivi.... no? Chiedi a guggle che staah ecco, e io che volevo farti replicare all'altro tizio, ma mi sa che l'atro sei tula differenza tra trojan e worm/virus vedo che non ti è affatto chiarafa nienteGET THE FACTS (rotfl)
      • Darwin scrive:
        Re: Tanto per cambiare...
        ASLR+UAC+Antivirus....Una vera botte di ferro (rotfl) (rotfl)
        • tucumcari scrive:
          Re: Tanto per cambiare...
          - Scritto da: Darwin
          ASLR+UAC+Antivirus....

          Una vera botte di ferro (rotfl) (rotfl)Come diceva Attilio Regolo!(rotfl)(rotfl)
Chiudi i commenti