Le Telco, i cloud provider e le grandi realtà europei si espongono contro un "alleggerimento" dei requisiti dello EU Cloud Certification Scheme
Una quindicina di grandi imprese e operatori di telecomunicazioni e cloud provider europei, tra cui anche Telecom Italia e Aruba, hanno sottoscritto un documento che si oppone ad un alleggerimento della futura legislazione europea sulla affidabilità dei servizi cloud. Un alleggerimento che, a loro dire, permetterebbe agli hyperscaler globali di avere troppo controllo sui servizi europei di cloud computing altamente "sensibili". Tra le realtà che hanno sottoscritto il messaggio all'Unione Europea ci sono operatori come Deutsche Telekom, Orange, OVHcloud, Exoscale, Ionos. Ma anche importanti aziende di altri settori non-IT come Airbus, EDF, Capgemini, Eutelsat.
La questione - riporta Reuters - è legata alle condizioni che un operatore cloud deve soddisfare per poter erogare servizi cloud che gestiscono dati sensibili e comunque importanti dal punto di vista della privacy come della sovranità nazionale. Si tratta più precisamente del cosiddetto EU Cloud Certification Scheme, che l'agenzia europea per la cibersicurezza - Enisa - deve ancora finalizzare.
Già da tempo si sa che nella definizione della bozza finale dell'EUCS si stanno scontrando due campi opposti: chi vorrebbe un mercato cloud più aperto agli operatori globali e chi prferisce una impostazione più protezionista. La bozza che sta circolando in questi giorni sembrerebbe essere stata "alleggerita" per andare incontro al primo campo, cosa che ha suscitato la reazione delle aziende e degli operatori europei.
La versione "forte" dell'EUCS impone ad un operatore non-UE - se vuole offrire servizi cloud critici nella UE - di creare una entità europea completamente scollegata dalla casa madre. Deve cioè esserci la garanzia che le decisioni prese dalla entità europea saranno indipendenti e non influenzate dagli interessi non-UE della casa madre. In alternativa, un hyperscaler globale può operare attraverso partnership o joint venture con realtà locali.
Sembra che l'EUCS sia stato modificato in modo da indebolire questi requisiti obbligatori di sovranità, aprendo maggiormente il campo agli hyperscaler globali (specie statunitensi). I quali - secondo le indiscrezioni - non dovrebbero necessariamente creare una entità UE del tutto separata: basterebbe dimostrare di aver messo in atto misure tecniche, organizzative e legali tali da impedire alle società extra-UE collegate al cloud provider di esercitare un'influenza decisiva nelle decisioni locali. Specie, ovviamente, quelle legate alla gestione delle informazioni.
I requisiti di sovranità - spiegano ora le aziende che hanno sottoscritto il documento - non vanno eliminati perché sono necessari a "mitigare il rischio di accesso illecito ai dati sulla base di leggi straniere". Rimuoverli, inoltre, "comprometterebbe seriamente la sostenibilità [commerciale] delle soluzioni cloud sovrane in Europa, molte delle quali sono in fase di sviluppo o già disponibili sul mercato".