Garante della privacy: sì al cloud, ma con cautela

Il termine cloud computing è entrato ormai nel gergo comune della Rete: nuove infrastrutture basate su tale paradigma nascono con frequenza crescente, allargando giorno dopo giorno il panorama dei servizi cloud. Tale approccio nella gestione dei dati e della loro elaborazione sta dunque rapidamente permeando le attività informatiche di privati cittadini ed enti pubblici: in entrambi i casi, spiega il Garante per la Protezione dei Dati Personali in un documento dedicato proprio al cloud computing, bisogna essere consapevoli dei pro e dei contro della nuvola.

Affidare la propria infrastruttura ad una società che offre servizi cloud, infatti, significa concederle la gestione delle informazione e dei dati che si vuole trasferire nella nuvola: una gestione sia dal punto di vista dell’accesso ai file, essendo direttamente controllabili dai provider, sia dal punto di vista della rispettiva collocazione fisica all’interno dei server, grazie alla possibilità da parte dei fornitori di trasferirli ove ritenuto più opportuno in base alle esigenze della società. A tutto ciò, poi, si aggiunge la condivisione delle medesime risorse hardware da parte di più utenti, con tutti i rischi del caso in termini di sicurezza.

Migrare nella nuvola, d’altro canto, significa per una società una drastica riduzione dei costi di gestione delle risorse, sia in termini di acquisto che di manutenzione: il più delle volte i canoni proposti dalle società operanti nel cloud computing si tengono ampiamente al di sotto dei prezzi che tradizionalmente accompagnano l’acquisto delle medesime apparecchiature hardware, con la possibilità di ottenere nuovi servizi e nuove risorse senza dover metter mano ai server ma semplicemente richiedendoli al proprio gestore. Manutenzione, backup dei file, ottimizzazione dell’infrastruttura ed altri aspetti che di norma caratterizzano la gestione di un sistema informatico locale vengono dunque meno nel momento in cui si strizza l’occhio al cloud, relegando tali compiti ad una società esterna.

In un simile contesto, un ruolo di fondamentale importanza è quello giocato dalla Rete: la fruizione dei servizi cloud è infatti fortemente legata alla connettività di coloro che ne usufruiscono e la qualità della connessione si riflette direttamente su quella del servizio, che si tratti di gestione dei file in remoto o di web-app localizzate sui server del provider. In questo modo Internet «diviene la porta di accesso alle risorse elaborative e di stoccaggio di fornitori di servizi remoti», con questi ultimi chiamati a garantire un livello di sicurezza tale da poter assicurare la riservatezza delle informazioni archiviate nel cloud e la robustezza dell’intera infrastruttura.

Inviando un file nella nuvola, continua il Garante, se ne perde l’esclusivo controllo e la relativa riservatezza risulta essere legata a doppio nodo alle garanzie fornite dal provider. Quest’ultimo potrebbe poi non essere direttamente responsabile delle risorse fisiche messe a disposizione, ma dipendere da ulteriori fornitori di servizi: passando attraverso una siffatta catena significa in molti casi venire a conoscenza solo dell’ultimo anello, senza avere a disposizione i termini di utilizzo e le politiche di gestione degli altri componenti. L’accesso ai dati potrebbe dunque essere consentito a società esterne senza che l’utente ne sia al corrente, con chiari rischi per la riservatezza degli stessi. Altro aspetto importante è la localizzazione fisica dei dati: salvando le informazioni in una specifica nazione significa sottostare alle leggi ivi vigenti, le quali si ripercuotono inevitabilmente sui clienti.

I rischi che si presentano nell’utilizzo del cloud computing sono dunque numerosi, ma allo stesso tempo i vantaggi risultano essere indiscutibili: per questo motivo il Garante per la Privacy non boccia a priori tale paradigma, ma ne benedice un uso consapevole. Prima di inviare i file nella nuvola v’è dunque da valutarne la tipologia ed i rischi che un loro caricamento sui server remoti possa arrecare in termini di riservatezza: qualora non sia strettamente necessario ricorrere al cloud, quindi, è preferibile adottare soluzioni locali. Ogni accordo con un provider deve inoltre essere preceduto da un’attenta valutazione dell’affidabilità dello stesso, assicurandosi inoltre la garanzia di poter accedere ai propri file in qualunque momento in caso di necessità. Come in ogni contratto, poi, v’è da porre particolare attenzione alle clausole previste dagli stessi, che in alcuni casi possono riservare spiacevoli sorprese per gli utenti finali.