Cloud computing: la disattenzione può mandare in fumo la sicurezza dei dati
Nella notte tra il 9 e il 10 marzo si è verificato un grave incendio nel data center di Strasburgo di OVH, una società francese leader in Europa nel settore del cloud computing. Questo incidente ha causato la perdita di numerosi server, con al loro interno un’infinità di dati, anch’essi irrimediabilmente persi. Numerosi servizi quali siti web, servizi e-mail o per la fatturazione online sono risultati irraggiungibili per giorni, nei casi peggiori sono stati persi definitivamente i dati degli utenti.
Queste situazioni, oltre agli evidenti danni materiali e a quelli di immagine, sono anche sanzionabili ai sensi della vigente normativa in materia di protezione dei dati personali, prima fra tutti il Regolamento Europeo 679/2016 GDPR. Le società che adottano servizi di cloud computing devono quindi tutelarsi anche da possibili perdite dati da parte del cloud provider.
Per prevenire situazioni come questa è necessario innanzitutto eseguire regolarmente copie di backup anche dei dati in cloud, seguendo le comuni regole quali il cosiddetto “3-2-1”, ossia conservare tre copie dei dati, su due differenti storage di backup, con una copia mantenuta off-site; è inoltre fondamentale predisporre un piano di disaster recovery che preveda questa casistica.
Tuttavia, riveste un ruolo cruciale la scelta del cloud provider a cui si affideranno i propri dati. La scelta del cloud provider dovrà essere fatta valutando la solidità dell’azienda, la qualità tecnologica dei servizi, il tipo di supporto tecnico amministrativo offerto e, soprattutto, il contratto adottato.
Ad oggi non esiste nell’ordinamento italiano una regolamentazione specifica applicabile a questo tipo di servizi. Si può tuttavia considerare un contratto atipico, dove il nucleo della disciplina è fornito dall’art. 1677 c.c.: “se l’appalto ha per oggetto prestazioni continuative o periodiche di servizi, si osservano, in quanto compatibili, le norme di questo capo e quelle relative al contratto di somministrazione”.
Gli aspetti chiave da considerare per strutturare correttamente un rapporto di cloud computing devono innanzitutto prevedere una chiara definizione dell’oggetto della prestazione e della valutazione dell’adempimento e quindi un’obbligazione di risultato per il prestatore di servizi. Diventa quindi molto importante l’individuazione dell’oggetto del contratto in termini di descrizione delle prestazioni dovute. Esistono infatti diverse tipologie di servizi cloud, comunemente identificate con gli acronimi SAAS (software as a service, che consente agli utenti di connettersi ad app basate sul cloud tramite internet), PAAS (platform as a service, ambienti di sviluppo che permettono di creare, testare e gestire servizi software) ed IAAS (infrastructure as a service, infrastruttura di calcolo subito disponibile per qualunque utilizzo che viene gestita tramite internet).
Definito il servizio erogato, al fine di poter correttamente individuare l’esatto adempimento, risulta molto importate stabilire con precisione i parametri chiave (basati sui KPI - Key Performance Indicators), che definiscono il corretto funzionamento di ciascuna delle prestazioni in oggetto nel contratto e che sono soggette di misurazione e valutazione ed il livello minimo obbligatorio (basato sui SLA - Service Level Agreements), da raggiungere per ciascuno dei parametri misurabili al fine di una corretta valutazione e della eventuale individuazione di responsabilità per inadempimento.
Dovranno essere inoltre presenti le opportune dichiarazioni e rappresentazioni relative alla sicurezza dei dati, quali la presenza di eventuali diritti di controllo con accesso e verifica delle strutture, obblighi in materia di policy e formazione del personale e la presenza di eventuali certificazioni o codici di condotta internazionali.
Altro aspetto fondamentale sono le garanzie offerte e le responsabilità, ivi incluse dichiarazioni riguardanti l’assetto patrimoniale di cui dispone il prestatore di servizi e l’obbligo al mantenimento di tale solidità patrimoniale, oltre che la presenza di contratti di assicurazione o di eventuali garanzie per il caso di inadempimento. Tenendo conto che il contratto di cloud computing viene inquadrato, come già detto, tra i contratti atipici con obbligo di risultato, in caso di inadempimento contrattuale per dolo o colpa grave, al prestatore di servizi potrebbero essere imputate violazioni di diritti della proprietà intellettuale, violazioni in materia di protezione dei dati personali, violazioni di sicurezza informatica che possono anche portare a data-breach a fini di protezione dei dati personali. Solitamente, per tutelarsi, il prestatore inserisce una serie di esclusioni di responsabilità per ipotesi del tipo: assenza di collegamenti, difetti di interoperabilità con i sistemi del cliente, utilizzo da parte di terzi, violazione dei codici di accesso, danni indiretti o subiti da terzi.
Ulteriore elemento di cruciale importanza sono le necessarie clausole riguardanti la protezione dei dati personali, che dovranno includere elementi quali aspetti di Information Security e Data Protection, una verifica a fini di valutazione preliminare e formale accettazione da parte dell’utente, la presenza di certificazioni internazionali che possano confermare il raggiungimento di determinati livelli di affidabilità e sicurezza, l’adesione a codici di condotta standard che possano garantire il rispetto dei requisiti e dei criteri di diligenza accordati.
All’interno di un contratto di cloud computing l’aspetto più importante, dal punto di vista della protezione dei dati personali, consiste sicuramente nell’individuazione e definizione del “ruolo privacy” del prestatore di servizi. Nel caso poi si richieda la necessità di trasferire dati al di fuori dell’Unione Europea, risulterà fondamentale una valutazione circa il livello de protezione del Paese di destinazione, con lo scopo di decidere l’eventuale adozione di uno strumento giuridico adeguato, al fine di governare lo scambio di dati personali tra utilizzatore e prestatore di servizi.
È quindi necessario valutare con cura le misure adottate per proteggere le informazioni che si stanno affidando al provider, rilevando la presenza, ad esempio, di crittografia dei dati, misure di sicurezza logica (verifiche e autorizzazioni agli accessi), misure di sicurezza fisica, misure anti-malware, misure di protezione contro accessi non consentiti, backup dei dati e delle informazioni e piani di business continuity, nonché di recupero dei dati in caso di incidenti informatici.
Per concludere, c’è da dire che nella pratica comune si osserva spesso l’adozione, da parte di vari cloud provider, di formulari o contratti predefiniti, quindi non soggetti ad una contrattazione da parte dell’utilizzatore che può solo decidere di accettare o non accettare il servizio proposto. Anche in questi casi è però consigliabile leggere e valutare bene tutti gli elementi presenti, in quanto generalmente sbilanciati nelle tutele nei confronti del provider, che potrebbero pertanto costituire un fattore di rischio considerevole per l’utilizzatore.