L’Europa si appresta a emanare, dopo quello per la certificazione cyber dei prodotti ICT, un analogo schema di certificazione per la cyber security dei servizi Cloud (EUCS, “European Cybersecurity Certification Scheme for Cloud Services”) presentato a settembre dall’ENISA.

C’è preoccupazione, però, sul fatto che garantire condizioni di parità in termini di regole sulla certificazione della sicurezza informatica per i fornitori di servizi cloud nell’Unione Europea, aumentandone il livello di sicurezza informatica in tutti gli Stati membri, potrebbe avere un impatto negativo sul PIL dei 27 Paesi.

Per l’Italia, in particolare, l’adozione delle nuove regole sulla sicurezza dei servizi cloud potrebbe costare fino a 65,1 miliardi di euro.

L’allarme è stato lanciato dall’ECIPE, il Centro Europeo per l’economia politica internazionale, che ha pubblicato l’Occasional Paper N. 04/2023 intitolato “The Economic Impacts of the Proposed EUCS Exclusionary Requirements Estimates for EU Member States” redatto a cura del direttore e di un dirigente del Centro, entrambi con pregresse esperienze di lavoro in Asia.

Sistema UE di certificazione della cyber security: come adeguarsi al nuovo mercato digitale

Il nuovo schema di certificazione cyber dei servizi cloud

Come dicevamo, l’Europa ha appena emanato lo schema europeo per la certificazione cyber di prodotti dell’ICT e si accinge ora a emanare un analogo schema di certificazione per il cloud.

Quest’ultimo, decisamente più simile alla famiglia ISO 27000 visto che per il cloud si parla di processo, più che di prodotto, ha comunque una forte connotazione “protezionista” per i livelli alti di sicurezza, ossia per quei servizi e prodotti che trattano dati, servizi o utenti critici.

L’ultima bozza presentata nel settembre 2023 contiene misure by design per prevenire l’uso di produttori e vendor non europei nei servizi cloud erogati in Europa e passibili di livelli alti di verifica di sicurezza nello schema certificativo.

Ricordiamo che gli schemi sono strutturai in livelli: sostanziale e alto. Questa postura certificativa sembra permanere non solo nello schema generale proposto recentemente, ma anche in tutti gli altri schemi su cui sta lavorando ENISA.

Certificazione cyber dei servizi cloud: è allarme per il PIL dei Paesi UE

L’occasional paper di ECIPE argomenta possibili perdite nei PIL nazionali europei a causa di queste restrizioni legate alle proprietà extra europee di produzione ICT e alle restrizioni sulle localizzazioni delle case madri produttrici, sullo staff e sulla geolocalizzazione dei dati.

In effetti, la bozza di schema EUCS indica, per i quattro livelli di certificazione, l’obbligo alla territorialità europea dell’immagazzinamento dei dati, per esempio, nonché l’europeità degli headquarter, dello staff con accesso ai dati e della proprietà di maggioranza.

Gli scenari di rischio

Il paper ECIPE identifica tre scenari di tipo “what if” per valutare gli impatti sui PIL nazionali europei di queste scelte che potremmo definire salvaguardanti l’“europeità” rispetto a scelte di globalizzazione libera.

Corre l’obbligo di chiedersi quanto le pregresse esperienze degli autori, in particolare di uno di essi in Cina presso un distaccamento di una multinazionale, non incidano nel punto di vista allarmista che l’articolo esprime.

Corre anche l’obbligo di ragionare sugli scenari proposti in modo completo, ossia guardando il fenomeno a partire dai suoi trigger di innesco e non solo dal punto di vista delle aziende che dovrebbero investire in Europa per vendere i loro prodotti.

Il trigger di innesco di un servizio cloud è legato a scelte di immagazzinamento centralizzato dei dati, ma anche di digitalizzazione, condivisione e riuso dei dati stessi. Esso prescinde dal fatto che l’offerta sia disponibile perché determina l’offerta stessa, nel senso che la decisione strategica di optare per soluzioni cloud può venire prima della disponibilità del servizio.

La scelta di optare per un cloud a livello nazionale, soprattutto da parte della PA, comporta l’orientamento del Paese verso la creazione di soluzioni tecnologiche adeguate alle esigenze. Soluzioni tecnologiche che possono essere basate su iniziative nazionali o europee: l’avanguardia tecnologica è frutto di investimenti, di ricerca, di impostazioni industriali e politiche che l’Europa sta cercando di intraprendere e che possono attirare e sfruttare capitali esteri non tanto per usare prodotti high tech, ma molto più per rilanciare capacità produttive endogenerate.

Globalizzazione vs europeità nel cloud europeo: pro e contro

Il pericolo di disinvestimento internazionale da parte di attori dell’ICT è oggettivo, ma potrebbe essere compensato, se opportunamente gestita la politica economica, da investimenti internazionali su iniziative europee e, ovviamente, anche italiane di high tech innovativa che possa rispondere alle esigenze del mercato interno con una postura “di prossimità”, europeista insomma, invece di una postura globalizzata.

L’Italia ha già intrapreso questo cammino con la creazione del Polo strategico nazionale e sta certamente al passo con i tempi nelle iniziative della cosiddetta “clouderizzazione” del Paese con soluzioni nazionali.

La globalizzazione e la nazionalizzazione (che sia livello italiano o europeo), come tutte le politiche, sono entrambe soluzioni che presentano vantaggi e svantaggi. Saper discernere il momento per optare verso l’una o l’altra determina la capacità di sopravvivenza delle civiltà o il loro collasso, esattamente come è avvenuto nel 1177 a.C. con il collasso delle civiltà dell’età del bronzo.

@RIPRODUZIONE RISERVATA