La nuvola è un’opportunità che non ci si può permettere di non cogliere. Clausole su privacy, localizzazione dei dati e SLA i nodi da sciogliere
«Rimane solo il contratto dopo che non siamo più amici». Perché quando qualcosa va storto sul cloud sono dolori. Ne sanno qualcosa almeno una parte di coloro che lo scorso anno sono incappati nelle sanzioni comminate dal Garante, 850 procedimenti (578 nel 2012) per omessa o inidonea informativa, trattamento illecito dei dati, mancata adozione di misure di sicurezza e inosservanza dei provvedimenti dell’Autorità. Sanzioni che hanno fruttato alle casse dell’erario oltre quattro milioni di euro.
Meglio perciò avere ben chiari i rischi che si corrono. E procedere da subito con una prima verifica della conformità del progetto cloud alle norme di legge e alle proprie procedure interne, rischi compresi.
Le rivelazioni di Edward Snowden, l’ex informatico di CIA e NSA, potrebbero costare molto caro ai vendor che offrono servizi cloud. In uno studio redatto dall’Information Technology and Innovation Foundation, si stima che la fuga di notizie sui programmi di spionaggio dell’intelligence USA potrebbe avere ripercussioni negative sugli affari dei vendor di servizi cloud pari a circa 35 miliardi di dollari nei prossimi tre anni.
Tutti i vendor che offrono servizi di storage sono in grado di fornire anche la crittografia dei dati. Nondimeno, risulta molto difficile per i clienti ottenere delle garanzie stringenti sull’integrità dei dati immagazzinati sulla nuvola. Il cloud è un’opportunità che non ci si può permettere di non cogliere. Ma allo stesso tempo, solo in un clima di reciproca fiducia è possibile instaurare dei rapporti commerciali soddisfacenti per entrambi i contraenti, a partire da una contrattualistica che tenga conto delle legittime aspettative dei clienti.
Nel cloud in primo piano le esigenze del cliente
Ancora troppe le brutte sorprese. Almeno questo sembra essere il sentore che si percepisce ascoltando le aziende, PMI soprattutto, passate al cloud. Un esempio? Il fermo di un applicativo che blocca la produzione per quarantacinque minuti. Stima approssimativa del danno 40mila euro. Si riprende in mano il contratto e si scopre che il risarcimento previsto per un’interruzione del servizio più prolungata della soglia dichiarata è pari al valore del contratto di fornitura, meno di cinquemila euro all’anno. Dove si è sbagliato?
A parte qualche eccezione virtuosa, la maggioranza delle PMI continua a sottovalutare l’importanza di una corretta analisi preliminare delle condizioni contrattuali inserite nella corposa documentazione di cui spesso consta un accordo; e più di un dubbio rimane sulla verifica dell’effettiva aderenza tra clausole contrattuali ed esigenze. Diverso invece il discorso per le grandi aziende e in misura minore per le aziende di fascia enterprise (50/250 addetti) per le quali la domanda di servizi cloud nasce da esigenze più meditate, non ultima quale valida alternativa alle esigenze di ampliamento del data center aziendale. Invece una valutazione attenta delle proprie necessità serve proprio a identificare i vincoli dai quali non è possibile prescindere e la cui aderenza/corrispondenza alle esigenze aziendali deve trovare riscontro nelle condizioni contrattuali. Per esempio, quelli in materia di privacy da tradurre nell’impegno da parte del fornitore di applicare misure specifiche per il trattamento dei dati sensibili o di localizzazione dei dati personali; oppure di natura tecnica come l’integrazione del cloud con i sistemi IT esistenti, la disponibilità dei dati, decisiva per alcune realtà, spesso collegata alla loro portabilità su sistemi o presso fornitori diversi. Capita poi che siano gli stessi vendor a guidare le aziende informandole dei contenuti dei vincoli tecnici e legali; oppure a supportarle per mettere a punto una scala di priorità dei rischi da evitare, a partire da quelli di sicurezza. Ogni realtà ha specifiche esigenze. Così per qualcuno saranno più importanti le garanzie del fornitore in termini di sicurezza interna grazie alla presenza di un sistema avanzato di controlli e sanzioni; per altri invece sarà preferibile avvalersi di provider che impiegano modalità tracciabili di archiviazione, sistemi avanzati di cifratura per l’archiviazione e la comunicazione; chi riterrà più qualificante la disponibilità di certificazioni ISO oppure di procedure che consentano l’audit – anche delegabile a terzi – sull’adozione delle misure di sicurezza promesse. Per tutti la sicurezza rimane in cima alle preoccupazioni legate al cloud.
Regole standard
Efficienza per tutti?
La mancanza in materia di una normativa organica e affermata certo non aiuta. E neppure gli inciampi di una contrattualistica a dire di molti complessa, una specie di patchwork tra contratti molto diversi tra loro come quello di licenza d’uso del software e di “approvvigionamento hardware”, passando da quelli di manutenzione delle licenze e di implementazione, assistenza e manutenzione e talvolta anche di outsourcing. L’unica cosa che li accomuna tutti sono gli interessi delle parti. Diametralmente opposti. Da una parte le aziende che preferiscono richiamare in un unico contratto tutte le prestazioni concordate e privilegiano – soprattutto quando si tratta di contratti di implementazione o di appalto – contratti legati a obbligazioni di risultato; e dall’altra i cloud service provider (CSP) impegnati invece a frammentare le obbligazioni pattuite su più contratti, con una speciale predilezione per quelle che nel linguaggio giuridico si definiscono obbligazioni di mezzi, l’impegno cioè a garantire tutti i mezzi necessari in vista di un certo obiettivo, senza però la garanzia a priori del risultato. Gli effetti? La tendenza alla standardizzazione della contrattualistica, di regola poco negoziabile e di ostacolo alla personalizzazione dei servizi; uno schema pattizio connotato dalla forza contrattuale di chi propone l’accordo e in cui sono frequenti clausole vessatorie, intese a limitare la responsabilità del fornitore o le garanzie relative alla tipologia di servizio erogata. Il tutto solo in parte mitigato dall’arrivo di nuovi attori – operatori nazionali, integratori e fornitori di servizi propri, indipendenti dalla multinazionale sulla cui piattaforma si basano – che propongono contratti regolati dal diritto italiano. All’interno di uno schema pesantemente modellato dal fornitore, i margini di manovra entro i quali il cliente può muoversi vanno sfruttati appieno. In primo luogo sgomberando subito il campo dai dubbi di attribuzione della normativa applicabile al contratto e del giudice competente nel caso sorgano delle controversie. Per poi puntare decisamente al nodo più importante da sciogliere, l’applicazione delle normative in materia di sicurezza dei dati personali.
Traffico cloud inarrestabile
I numeri del traffico cloud li mette Cisco. Secondo la terza edizione annuale del Global Cloud Index (2012 – 2017), quello generato dalla nuvola su scala globale è passato dal 46% del totale dei data center nel 2012, corrispondente a 1,2 zettabyte annuali, al 69%, e si avvia a raggiungere nel 2017 l’equivalente di 5,3 zettabyte. Quest’anno poi – prevede ancora Cisco – complice la domanda sempre crescente di mobilità, assisteremo allo storico sorpasso del cloud quale fonte principale di elaborazione delle informazioni rispetto all’infrastruttura IT tradizionale. Gli USA si confermano l’area in cui maggiore è lo scambio di dati, seguiti a breve distanza dall’Asia Pacific e dall’Europa Occidentale. In questo quadro, il nostro paese è ancora in leggero ritardo rispetto ad altri Paesi UE. Ma non mancano i segnali di una più decisa adozione del modello cloud, la cui esplosione diventerà inarrestabile – almeno così auspicano gli osservatori più ottimisti – non appena saranno disponibili le connessioni in banda ultra larga simmetriche, quelle per intenderci in grado di garantire upload e download alla stessa velocità.
Infrastrutture e agenda digitale: la scintilla che il mercato aspetta
Mercato in crescita dopo la crisi. Anche grazie all’arrivo di nuovi operatori. Qualcosa sta cambiando negli scenari italiani del cloud. A cominciare dalla struttura dell’offerta. Arrivano nuovi operatori che sulla scia del cambiamento in atto nella domanda di mercato rimodulano i propri modelli di business e virano decise verso il cloud. Vendor ICT tradizionali, distributori compresi, aggiornano il proprio portafoglio servizi: realtà di piccole e medie dimensioni, forti di una presenza regionale o locale, si affiancano a player affermati; chi opera nella gestione delle infrastrutture, così come chi offre applicazioni, rimodula l’offerta verso i cloud services infrastrutturali; software house con applicazioni di proprietà, cloud solution provider per storia e tipologia di offerta, cambiano pelle proponendo i menu tipici dei cloud service provider, investendo in infrastrutture e piattaforme. Non solo. Cresce il peso dei partner di canale, in sinergia con i cloud service provider; oppure limitandosi alla sola attività di rivendita si propongono al mercato come CSP, con il vantaggio di non doversi accollare l’onere di cospicui investimenti sostenuti da altri concorrenti; smentendo così coi fatti l’opinione diffusa che vuole le terze parti le vittime sacrificali del ciclone cloud; degno di nota infine il fenomeno dei cloud broker, consulenti indipendenti che collaborano con l’IT alla ricerca di soluzioni ritagliate sulle esigenze specifiche della clientela. Nelle ultime settimane stanno prendendo forma almeno altre due novità. La prima riguarda l’annoso problema della banda larga e del ritardo infrastrutturale del nostro Paese. Già in novembre, Telecom aggiornando il piano industriale 2014-2016, aveva annunciato una nuova tranche di investimenti pari a 3,4 miliardi, nelle reti di nuova generazione, specialmente nel segmento del fisso. Ebbene Telecom fa sapere che punta ad accelerare la copertura della rete NGN, con l’obiettivo di arrivare al 40% nel 2015 e a superare il 50% nel 2016. E anche Fastweb, grazie a un accordo stipulato proprio con Telecom Italia, ha avviato un piano per portare la fibra a 3,5 milioni di nuove abitazioni in aggiunta ai circa 2 milioni che saranno coperti entro il 2014.
La seconda novità invece arriva dal fronte istituzionale, con il nuovo governo deciso a imporre una forte accelerazione in tema di Agenda Digitale. Segnali positivi in tal senso arrivano dall’obbligatorietà della fatturazione elettronica che almeno secondo gli ideatori del progetto, dovrebbe dare un nuovo impulso alla digitalizzazione del settore pubblico. Con ricadute positive anche sul cloud. Il presidente del Consiglio, Matteo Renzi, al riguardo si è tenuto la delega all’attuazione del digitale, in sé una piccola ma promettente garanzia. Almeno per chi riesce a vederla. Insieme il superamento del ritardo sugli obiettivi UE 2020 in tema di Agenda Digitale Europea e il reloading della seconda fase di investimenti in diffusione e velocità dei collegamenti in banda larga, potrebbero segnare quel cambio di marcia da più parti auspicato per rendere inarrestabile anche in Italia l’esplosione del cloud.
Localizzazione dei dati
La cessione a terzi dei dati personali, condizione per l’adesione a un contratto cloud, apre una voragine di potenziali criticità; in primo luogo per lo scarso potere di controllo dell’azienda nei confronti del provider, al quale invece nessun ostacolo di natura tecnologica impedisce di spostare e replicare all’infinito i dati del cliente. Limiti imposti però dalla normativa che in relazione al trasferimento – anche temporaneo – dei dati personali fuori dall’Unione europea autorizza l’operazione solo in quei paesi che sotto il profilo del rispetto della privacy offrono adeguate garanzie. E qui arriviamo al secondo ostacolo. La legge impone che sia il cliente a verificare l’efficacia delle garanzie offerte dal paese di destinazione, prescrivendo che siano paragonabili a quelle interne all’UE. Con ciò fingendo di non vedere la sostanziale debolezza degli strumenti in mano al cliente per ottemperare all’obbligo di controllo. Anche i pronunciamenti del Garante sul tema non lasciano adito ai dubbi. «Le modalità di utilizzo e conservazione dei dati personali sul cloud dovranno sempre essere monitorati dal cliente; e in caso di violazioni commesse dal fornitore, anche il titolare sarà chiamato a rispondere dell’eventuale illecito». Nessuno può sottrarsi a questo vincolo, neppure le realtà più piccole. E neppure è possibile addurre come scusa l’impossibilità di mettersi in contatto con i responsabili del servizio cloud e di negoziare clausole contrattuali o modalità di controllo dei dati più flessibili. «Il cliente di servizi cloud, infatti, può sempre rivolgersi ad altri fornitori che offrono maggiori garanzie» – avverte il Garante. Perciò il cliente alla sottoscrizione del contratto autorizza il trasferimento dei dati; in cambio riceve la lista dei paesi entro i quali il CSP avrà la facoltà di trasferire i dati lungo tutto il periodo di validità del contratto. Poiché la legge stabilisce che al cliente/titolare spetta anche il controllo dell’intera filiera degli incaricati del trattamento la stessa procedura, la stessa autorizzazione, dovrà essere ottenuta anche nei casi in cui il CSP si avvalga delle prestazioni di subfornitori. Perciò il contratto tra fornitore e subfornitore dovrà essere redatto attribuendo al cliente specifici diritti e azioni in relazione ai dati trattati dal secondo. Meccanismo anche questo tutt’altro che fluido. Reso solo più snello dalla decisione presa dalle Autorità Garanti dei paesi UE, riunite nel gruppo di lavoro ex articolo 29, di dare il via libera all’entrata in vigore dal primo gennaio 2013 delle cosiddette Binding Corporate Rules (BCR), un insieme di regole interne di condotta soggette al controllo preventivo di un’authority nazionale che – una volta approvate – allineano il livello di protezione a quello degli standard europei. Purtroppo questa misura ideata per rendere meno sbilanciata l’asimmetria tra le forze contrattuali, rimane per ora solo un mero strumento facoltativo, fondato sulla volontà di una parte di cedere parte del proprio potere contrattuale. Quando questa strada non è percorribile, l’unica soluzione è di rimboccarsi le maniche e procedere alla verifica di tutte le clausole contrattuali. Meglio se con un legale accanto.
Metriche e SLA
L’altro fattore che frena gli entusiasmi nei confronti della nuvola è lo spinoso capitolo della misurazione delle prestazioni da parte del CSP e dell’eventuale quantificazione del risarcimento. Come sappiamo, il Codice Civile stabilisce a carico del debitore che non esegue esattamente la prestazione dovuta il risarcimento del danno; a meno che questi non provi che l’inadempimento o il ritardo siano stati determinati dall’impossibilità di effettuare la prestazione per una causa non imputabile allo stesso fornitore (art. 1218). In un contratto complesso come quello di fornitura di servizi cloud, però, non è sempre agevole stabilire con esattezza i contenuti delle prestazioni dovute da chi eroga il servizio; in particolare quando si tratta di misure di sicurezza per proteggere i dati dai pericoli di perdita, cancellazione accidentale, accessi abusivi e altro ancora. Minacce la cui consapevolezza, come sottolinea Micaela Raimondi, cloud marketing manager di HP (www.hp.com/it) in Italia, è l’elemento chiave per ridisegnare i processi di sicurezza.
«Un’adozione di successo di servizi cloud deve passare da un’analisi puntuale dei rischi in termini di sicurezza dei dispositivi di accesso client, sicurezza e disponibilità dell’infrastruttura cloud-enabler, estensione del modello di Identity and Access Management ai servizi cloud-based e di gestione della sicurezza e della conformità nel cloud».
è vero, come ci dice Andrea Carmignani, security services sales manager di IBM Italia (www.ibm.com/it), che in ambito SaaS la responsabilità di buona parte degli aspetti di sicurezza è demandata al fornitore. «è lui a occuparsi della messa in opera e della gestione degli aspetti infrastrutturali, middleware e applicativi. Ma spetta indubbiamente al cliente occuparsi della sicurezza dei processi operativi e anche di tutti quegli aspetti di sicurezza che consentono ai propri utenti di utilizzare gli ambienti applicativi messi a disposizione dal fornitore, quali ad esempio politiche e procedure per l’utilizzo corretto delle risorse informative, la gestione del ciclo di vita delle utenze, dei relativi profili di abilitazione e delle credenziali di identificazione e autenticazione, il controllo sull’operato degli utenti». Ma il cliente quali strumenti ha per verificare l’efficacia delle misure di sicurezza adottate dal provider? Per esempio tutti i CSP che propongono servizi di storage sono in grado di offrire anche la crittografia dei dati. Ma questo non significa che l’integrità dei dati sulla nuvola sia automaticamente garantita. Neppure per contratto. «Nel caso in cui le chiavi di un servizio di crittografia siano in mano al provider del servizio stesso, questa garanzia è poco gestibile» – fa notare Gastone Nencini, country manager di Trend Micro Italia (www.trendmicro.it).
«Gli aspetti che riguardano il trasferimento al provider delle responsabilità, dovrebbero essere definiti, ma spesso non è così, perché nonostante i modelli standard non c’è ancora una normativa precisa che copre questi aspetti. Chi sottoscrive contratti di IaaS o di SaaS dovrebbe assolutamente definire nel contratto sia i servizi di SLA sia le penali in caso di mancato rispetto di questi servizi». Tuttavia per il cliente risulta quantomeno problematico ottenere delle garanzie stringenti circa l’integrità dei dati immagazzinati sulla nuvola. «Per ovviare a questa criticità – continua Nencini – Trend Micro ha addirittura affidato la gestione delle chiavi di crittografia a una terza parte, che non ha accesso ai dati e si occupa solo di fornire le chiavi».
Oppure, come suggerisce Donato Antonangeli, regional director di CTERA Networks (www.ctera.com) «i clienti dovrebbero accertarsi di essere in possesso delle chiavi crittografiche, che queste non siano condivise con altri clienti e che il personale del service provider non possa osservare i dati. Inoltre, per assicurare l’integrità dei dati è meglio che questi siano conservati in un reale ambiente multi-tenant capace di mantenere la completa separazione dei dati di un cliente da quelli di un altro».
Quando si trasferiscono dati o applicazioni verso il cloud, le aziende dovrebbero comportarsi esattamente come quando eseguono il deployment di sistemi interni, con la complicazione aggiuntiva legata alla sicurezza che in parte viene garantita da un provider esterno. Altrettanto importante è quello che le aziende stesse possono fare per mantenere al sicuro i propri dati. «Qui non si tratta solo di cifrare i dati quando risiedono nel cloud – spiega Donato Antonangeli – ma crittografarli prima che lascino i loro sistemi e nel corso della loro trasmissione». L’equazione costi/rischi che sarebbe opportuno che fosse integrata nel prezzo del servizio. Quindi sulla carta il cliente cercherà sempre di privilegiare quei fornitori disposti a impegnarsi contrattualmente a raggiungere un livello minimo di servizio calcolabile sulla base di parametri tecnici oggettivi e misurabili quali uptime, tempi di risposta, tempi di presa in carico dei servizi formalizzati nell’accordo sul livello di servizio allegato al contratto, «la cartina di tornasole dell’impegno di risorse e competenze in campo» secondo la definizione di Antonio Baldassarra, Ceo di Seeweb (www.seeweb.it) per il quale «metodo di calcolo (mensile, annuale) e determinazione della penale possono fare la differenza». Il cloud è un’opportunità che non ci si può permettere di non cogliere. Solo in un clima di reciproca fiducia però è possibile instaurare rapporti commerciali soddisfacenti per entrambi i contraenti; a partire da una contrattualistica che tenga conto delle legittime aspettative dei clienti. Il problema però è che in relazione ai livelli di servizio quali uptime/downtime, disponibilità di servizio e tempi di risposta, in Italia non esiste una norma che obbliga i CSP a formalizzare i Service level agreement all’interno del contratto, che come rileva Alessandro Peruzzo, amministratore unico di Panda Security Italia (www.pandasecurity.com/italy) – «deve essere integrato con un documento in cui si formalizzino quegli SLA negoziati dal cliente il cui soddisfacimento garantisce una disponibilità accettabile del servizio. Tale documento deve perfezionare l’accessibilità ai dati anche per scopi forensi secondo la normativa italiana, come raccomandato dal Garante, in quanto la piattaforma è delocalizzata su server fisici che potrebbero essere siti anche in un paese extra-CE, con implicazioni sulla giurisdizione applicabile in caso di contenzioso».
Per tutte queste ragioni, spesso le SLA mancano di garanzie assolute di continuità e prevedono risarcimenti modesti qualora si verifichi un danno. Certo il cliente ha sempre la possibilità di riuscire a impegnare contrattualmente il fornitore a misure tecniche definite e aggiornate. In realtà, salvo pochi casi, riesce al massimo a ottenere l’indicazione di livelli di servizio “tendenziali” per delimitare l’oggetto del contratto di servizi cloud. Le condizioni di base per consentire a soggetti pubblici e privati di beneficiare appieno dei vantaggi competitivi offerti dal cloud senza l’esposizione ai rischi rilevanti lasciata dal vuoto del quadro normativo in materia tardano però ad arrivare. Al cliente interessa acquistare un pacchetto di servizi sicuro dal punto di vista del funzionamento e dei rischi legali; riuscire cioè a dettagliare le modalità di esecuzione del servizio ottenendo le garanzie più idonee in tema di sicurezza e privacy. L’ambiguità invece finisce per penalizzare anche gli stessi CSP come indirettamente ci conferma Alberto Degradi, Infrastructure leader di Cisco Italy (www.cisco.com/web/IT) quando afferma che la possibilità di sviluppare garanzie sui livelli di servizio rimane uno dei principali fattori di successo per i provider di servizi cloud.
«ll miglioramento della sicurezza e della gestione dei rischi rientra tra i tre principali fattori trainanti nell’adozione del cloud tanto nei mercati emergenti quanto in quelli industrializzati. I problemi di sicurezza sono al primo posto tra i fattori che inibiscono l’adozione del cloud».
