Ad oggi il mondo del cloud privato occidentale è governato da 4 aziende: Microsoft, Google, Amazon (con Aws), IBM a cui si aggiunge in ascesa (ma con una forte base in Cina) Alibaba. La presenza di cloud privati potrebbe inibire lo sviluppo di cloud pubbliche. L'Europa punta su Gaia-X ma... potrà diventare il nuovo OPEC della ricchezza digitale?

Il concetto di cloud, in ambito digitale, è ormai termine comune. Senza dilungarci troppo parliamo di grandi edifici pieni di server (computer come quelli di casa, ma configurati per svolgere specifiche operazioni). Questi server ospitano flussi di dati. Questi dati, una volta valorizzati, offrono l’opportunità a enti pubblici (agenzie governative dal patrimonio alla sicurezza) o privati (dalle piccole aziende sino ad Amazon) di offrire servizi e, per estensione, prodotti.

La valorizzazione dei dati può avere come unico fine il benessere del cittadino (servizi medici digitali, sicurezza, burocrazia) oppure il vantaggio di aziende private (vendita di prodotti, servizi).

Ad oggi, il mondo del cloud privato occidentale (da intendersi come modello di erogazione di servizi IT gestito da aziende private che offrono servizi cloud ad altri privati o enti pubblici) è governato da 4 aziende: Microsoft, Google, Amazon (con Aws), IBM a cui si aggiunge in ascesa (ma con una forte base in Cina) Alibaba.

Il grave rischio che corre un Governo (o un aggregato di Governi come la UE) è che la presenza di cloud privati (sempre da intendersi come modelli di servizi IT erogati da aziende private) inibisca lo sviluppo di cloud pubbliche, o meglio dire, a governance pubblica. Già oggi si può osservare come vi sia un differente approccio tra la situazione nella gestione dei dati del cittadino europeo rispetto, per esempio, all’Asia.

I termini User, Derived e System sono distinzioni che è bene chiarire subito per non creare confusione.

• Per User data si intendono i dati che l’utente crea: mail, documenti di design, etc..
• Per Derived data ci si riferisce ai dati che il fornitore di servizi cloud “estrapola” dalle azioni del consumatore: quale documento o software è utilizzato più spesso dall’utente, e di conseguenza che deve avere una latenza (tempo di reazione in cui si rende disponibile il servizio) più basso etc..
• Per System data ci si riferisce ai dati che il fornitore di servizi crea/acquisisce dai suoi stessi sistemi, in modo da poter migliorare il suo servizio: una specifica ora di punta in cui i server di Berlino hanno una richiesta di energia, un’ area dove avvengono più attacchi pirata etc..

Le due mappe sopra indicano come due aree ben distanti tra loro operano e interagiscono con questi dati.

In questo scenario si assiste a una “colonizzazione” da parte di aziende private (non sempre con comportamento “fair”), non europee (non sottoposte a tutte le regolamentazioni europee, specialmente sul tema dati dei cittadini, si veda il caso Facebook EU), del panorama dati europei. Si potrebbe dire lo stesso di Alibaba e la Cina. Vero è che Alibaba è un azienda privata e opera in Cina, tuttavia, oltre ad avere sede in Cina, è una azienda che ha forti compenetrazioni da parte del governo cinese. Il fatto che, non meno di 3 anni, fa il suo fondatore sia stato educatamente invitato a cedere la posizione di Ceo, ad un uomo vicino al partito, fa comprendere come Alibaba non rappresenti un “rischio” per il governo cinese.

Il tema è molto differente se osserviamo il panorama europeo. Ancor più differente, per non dire preoccupante, se consideriamo una recente evoluzione del diritto digitale americano. Il Cloud Act, una parte della legislazione adottata nel 2018 in USA, da diritto alle agenzie di intelligence americane di accedere, in certe situazione, ai dati ospitati dalle società di cloud americane, a prescindere dove essi siano ospitati se in patria o in territori stranieri. Di fatto questa legge apre il via alla possibilità, non cosi remota, che le agenzie d’intelligence americane per, poniamo, interessi nazionali (un concetto altamente dibattuto e dai confini molto granulari) possano accedere a dati più o meno sensibili di cittadini europei o relative aziende per cui lavorano.

In tal senso quindi, la scelta della Unione di attivare un progetto, nome in codice Gaia-X, per far si che i cittadini europei possano vedere i loro dati “protetti” e residenti su suolo europeo, da infrastrutture proprietarie europee. Il tema appare semplice, la sua applicazione operativa piuttosto complessa.

Il consorzio, creato per supportare questo progetto ha una predominanza franco tedesca. Questo perché i maggiori produttori che hanno esperienza in questo settore provengono da queste due nazioni. Se infatti osserviamo di cosa sono composti i server possiamo notare che, in alcune aree, vi è presenza di brand europei.

Ovviamente non sfugge la massiccia presenza di brand americani e una presenza cinese.

Allo stato attuale dello scenario cosi presentato è improbabile che Gaia-X possa “staccare la spina” ai fornitori di cloud privati (in particolare americani). Questo perché oltre all’impossibilità di migrare i dati (quindi spostarli digitalmente, un poco come si fa con una penna USB) in modo efficace, esiste anche un tema politico ed economico. Dalla presenza di un folto esercito di lobbysti di questi gruppi a Bruxelles (e in tutte le capitali europee) al peso specifico che, nello scenario peggiore, lo stesso governo usa potrebbe applicare sulle scelte europee (il caso di adozione o meno delle tecnologie Huawei, quando si parla di 5g, è emblematico). 

Egualmente è improbabile che questo consorzio possa spostare investimenti significativi verso fornitori europei. Questo andrebbe a creare uno scenario di discriminazione e il tutto avrebbe una forte valenza legale in sede di tribunali.

Lo scenario più plausibile, quanto meno a breve termine, è di permettere ad aziende e consumatori di poter muovere i propri dati con maggior facilità.

Esiste però un aspetto piuttosto criticabile di questo progetto.

Se esso nasce sulla base della sovranità digitale (che implica, come menzionato il caso del Cloud Act, anche aspetti legali) quanto questa sovranità possa essere fatta valere dal legislatore europeo su aziende private la cui sede centrale esiste fuori dai confini europei. Ben lontano dall’escludere fornitori non europei, il progetto Gaia-X ha, sin dall’inizio, incluso la loro operatività in ogni fase, da Amazon-Aws in poi. Ovviamente i fornitori di cloud non se lo sono fatto chiedere due volte. La loro presenza mina tuttavia alla base il concetto stesso di sovranità. Sul tema si è di recente espresso anche Cedric Prevost di Orange Cloud (gruppo Francese) che ha dibattuto quanto sia veramente una sovranità digitale e quanto sia solo un operazione di facciata.

Alle preoccupazioni per le reazioni di Microsoft e Amazon AWS, che di fatto sono i principali player nel Cloud europeo, si aggiungono quelle generate dalle aziende cinesi che, come visto, svolgono anche ruolo di fornitori di parti per creare le stesse server farm (che poi ospitano i cloud).

Stante questi rischi (oltre che tecnologici, politici ed economici) il progetto Gaia-X ha solo due alternative pratiche. Adottare pratiche e tecnologie fortemente europee (al rischio di escludere di fatto in parte o totalmente fornitori esterni, un percorso che, tuttavia, può richiedere diversi anni). L’alternativa è divenire un bel progetto dal punto di vista mediatico, avere delle presenze europee (un poco per salvare la faccia, un poco per fare business) ma di fatto essere poco più che una dichiarazione di intenti; lasciando di fatto (come oggi succede) campo libero a fornitori stranieri che possono utilizzare e valorizzare i dati dei cittadini, istituzioni, e aziende europee, a loro vantaggio.

Se consideriamo che non meno di 4 anni fa l’Economist descriveva i big data come il petrolio del futuro, noi europei rischiamo di essere come gli arabi dei primi tempi… farci rubare il nostro oro digitale senza riceverne poco più che spiccioli… Gli arabi e altri stati produttori, hanno creato l’OPEC, per contrastare questo scenario. Mi domando se Gaia-x possa diventare il nuovo OPEC della ricchezza digitale.