Il cloud computing e l’industria 4.0

1.     Cos’è il cloud computing?

Il cloud computing rappresenta il cuore della transizione al mondo digitale delle imprese ed è uno delle principali forze trainanti della quarta Rivoluzione Industriale.

Partendo da una definizione qualificata, Microsoft Azure qualifica il cloud come «la distribuzione di servizi di calcolo, quali server, risorse di archiviazione, database, rete, software, analisi e intelligenza artificiale, tramite Internet, per consentire innovazione rapida, risorse flessibili ed economie di scala». In sostanza, Il cloud computing è un servizio che consente agli utenti l’archiviazione, l’elaborazione e la trasmissione dei dati illimitata utilizzando strutture fisiche chiamate data center distribuiti e scalabili – si intende la capacità di adattamento delle risorse come la capacità di calcolo o storage – in base alle esigenze dell’utente, senza la necessità di investimenti aggiuntivi. L’espressione «nuvola informatica», che traduce letteralmente il termine inglese, rende l'idea di queste strutture centralizzate che mettono a disposizione degli utenti i servizi di calcolo, storage, rete, software con un sistema di pagamento che dipende esclusivamente dall’effettivo utilizzo.

Questo nuovo modello tecnologico, quindi, consente alle aziende di gestire, conservare ed elaborare i propri dati utilizzando infrastrutture esterne, senza la necessità di possederle ed amministrarle all’interno dell’organizzazione. Il cloud computing per queste ragioni è diventato un elemento essenziale nella trasformazione verso la digitalizzazione delle aziende perché garantisce, oltre all’efficienza, anche un ingente risparmio di energie e di denaro.

Secondo i dati Eurostat, nel 2023 il 42,5% delle imprese dell'UE ha acquistato servizi di cloud computing, principalmente per e-mail, archiviazione di file e software per ufficio. Confrontando questi dati con quelli rilevati nel 2021, la quota di imprese che utilizzano servizi di cloud computing nell'Unione Europea è aumentata di 4,2 punti percentuali.

Secondo tale analisi, l’utilizzo del cloud nel 2023 si aggira intorno al 77% tra le grandi aziende e il 42% tra le PMI.

Molte realtà hanno già implementato questa tecnologia, mentre altre stanno pianificando tale transizione per sfruttarne i numerosi vantaggi. Il cloud computing è una delle evoluzioni digitali più rilevanti degli ultimi decenni e i dati indicano che la sua diffusione continuerà a crescere nei prossimi anni, sia a livello nazionale che europeo, grazie all’adozione di programmi e strategie volti a promuoverne l’utilizzo (infra 4).

2.     Tipologie e vantaggi del Cloud Computing per le aziende

Le aziende scelgono il tipo di cloud in base alle loro specifiche esigenze operative.

Una delle soluzioni più diffuse è il cloud pubblico, il quale permette agli utenti di condividere l’infrastruttura fornita e gestita da un provider esterno. Questo modello garantisce scalabilità, costi contenuti e una gestione semplificata. Tuttavia, se un’azienda necessita di maggior controllo e sicurezza, un’opzione altrettanto valida è il cloud privato. In questo caso, le risorse sono dedicate a una sola azienda o utente, infatti questa è la soluzione ideale per gli enti che necessitano di maggiore privacy e personalizzazione. Il cloud ibrido invece che combina i vantaggi del cloud pubblico e privato e permette il trasferimento di dati tra i due ambienti per ottimizzare la gestione delle risorse e della sicurezza dell’intero sistema. Infine, l’ultima tipologia è il Multi-Cloud, il quale prevede l’utilizzo di più fornitori di servizi cloud, garantendo alle aziende di diversificare i servizi, aumentare la flessibilità e diminuire la dipendenza da un singolo provider.

Il contratto di servizio cloud non ha una disciplina specifica nel Codice civile, ma può essere ricondotto, a seconda delle caratteristiche, a contratti d’appalto (art. 1655 c.c.), prestazione d’opera (art. 2222 c.c.), somministrazione di servizi (art. 1559 c.c.) oppure ancora, a contratti atipici, ex art. 1322 c.c., come quello di licenza d'uso di software.

I servizi si suddividono in tre categorie: Saas (Software as a service); Paas (Platform as a service) e Iaas (Infrastructure as a service). Il primo prevede un’attività per cui è il fornitore che rende il software accessibile tramite internet, e la responsabilità della sua gestione rimane a lui in capo.

Il secondo prevede la fornitura all’utilizzatore di una piattaforma per sviluppare, distribuire e gestire applicazioni. Il fornitore gestisce server, storage e virtualizzazione, mentre il cliente è responsabile dello sviluppo. Infine, l’IaaS offre risorse virtuali come server e archiviazione e l'utente è comunque responsabile della gestione delle applicazioni.

Il cloud computing grazie alla sua struttura possiede numerosi vantaggi: in primo luogo, offre una grande flessibilità operativa, rapidità di accesso e la disponibilità continua; infatti, consente all’utente utilizzatore un accesso rapido ai servizi digitali. In secondo luogo, permette alle aziende di usufruire del servizio di adattamento della capacità di archiviazione, calcolo del cloud e pagamento in base alle loro necessità al fine di ottimizzare le risorse e garantire alle aziende un significativo risparmio.

Il cloud ha dato un impulso significativo al processo di globalizzazione, favorendo la collaborazione senza confini geografici grazie alla distribuzione dei server in diverse parti del mondo, garantendo così un flusso continuo di informazioni.

Sussistono, però, anche alcuni svantaggi all’utilizzo del cloud computing, primo tra tutti la dipendenza dalla connessione internet dei servizi offerti. Inoltre, si possono verificare problemi con riguardo alla sicurezza e alla privacy se non vengono applicate politiche di protezione dei dati adeguate.

3.     Tutela della segretezza e la conservazione dei dati

Poiché i contatti di fornitura cloud sono generalmente predisposti unilateralmente dai provider, è fondamentale che vengano valutate attentamente le clausole, in modo da evitare sbilanciamenti di potere a favore del fornitore.

Per adempiere alla necessità di sicurezze interna ed esterna, vengono forniti dai provider cloud dei sistemi specializzati al fine di prevenire possibili attacchi informatici, malfunzionamenti o perdita di dati. Alcuni strumenti sono i backup automatici o la strategia del disaster recovery, le quali sono delle procedure create per permettere alle aziende di recuperare i dati dopo un evento imprevisto e pericoloso per la salvaguardia dei dati, come ad esempio un guasto tecnico.

In particolare, il GDPR (General Data Protection Regulation) richiede ai titolari del servizio specifici doveri di sicurezza e idonea base giuridica per il trasferimento dei dati personali. Il titolare, al fine di rispettare il principio di accountability, deve conformarsi alle normative sulla tutela della privacy, previste dal GDPR ma anche dalla normativa nazionale e ai pareri delle Autorità competenti. Tuttavia, il fornitore, oltre ad adempiere a tali doveri, deve essere in grado anche di dimostrare di averli adempiuti correttamente: gli è richiesto sempre di assumere un comportamento proattivo nel rispetto delle normative. I cloud providers adottano la crittografia end-to-end per proteggere i dati durante il loro trasferimento e archiviazione. In questo processo, i dati vengono criptati prima di lasciare il dispositivo dell'utente e possono essere decrittati solo dal destinatario autorizzato, senza che il provider del servizio abbia accesso ai contenuti. Tuttavia, la crittografia end-to-end non implica una zero knowledge, poiché alcuni provider potrebbero comunque avere accesso alle chiavi di decrittazione o ai metadati, permettendo loro di visualizzare determinate informazioni. È quindi essenziale che vengano adottate misure rigorose di sicurezza per evitare che i dati possano essere visualizzati da chi non dovrebbe avere accesso, rispettando il principio di privacy e protezione dei dati personali.

Gli atti considerati più rilevanti che compongono il contratto stipulato con il fornitore del servizio di cloud computing troviamo le condizioni generali; Acceptable Use Policy il cui acronimo è AUP, l’informativa sulla privacy e infine il Service Level Agreement denominato SLA.

Mentre le condizioni generali delineano e definiscono i termini e le condizioni contrattuali di base tra il fornitore del servizio e il suo cliente (stabilendo diritto ed obblighi reciproci), tra di essi ci sono i termini di pagamento; la durata del contratto e le modalità di risoluzione del contratto.

La policy di utilizzo regola invece l’uso dei servizi da parte dell’utente, specificando le azioni vietate, per esempio, con riguardo alla violazione di diritti d’autore o le attività che possano compromettere la sicurezza e l’affidabilità dei sistemi del provider.

Il service level agreement definisce i livelli di servizio attesi dal provider, includendo alcuni parametri, tra cui la disponibilità, la performance, la risposta ai problemi e i tempi di risoluzione, con eventuali penali se tali requisiti non vengono rispettati.  Ognuna di queste clausole sopra elencate è fondamentale per garantire chiarezza e protezione per entrambe le parti contrattuali, stabilendo aspettative e responsabilità precise in merito ai servizi forniti.

Infine, per garantire la protezione dei dati personali, è necessario definire degli accordi di protezione dei dati denominati DPA ossia Data Protection Agreements.

In linea con gli obiettivi nazionali ed internazionali dev’essere sempre assicurato sempre uno standard elevato di due diligence, con tale termine si intende un'attenta verifica preliminare sul fornitore dei servizi, per assicurarsi che i dati dell’utente siano protetti in modo adeguato e puntuale prima della firma del contratto. Questo processo serve a valutare la sicurezza, l’affidabilità, la conformità normativa e le performance del provider, in modo da ridurre i rischi e garantire un servizio all’altezza delle esigenze aziendali e personalizzate in base alla tipologia di azienda con cui il fornitore Cloud si confronta.

In caso di server che sono localizzati in un territorio extra-europeo, devono essere rispettate anche le basi giuridiche per il trasferimento dei dati all’estero. È compito della Commissione Europea valutare che il paese extra-unione garantisca una protezione adeguata dei dati e prevedere dei contratti standard che obbligano il fornitore estero a rispettare regole precise sulla protezione dei dati. Inoltre, possono sussistere delle politiche interne adottate da multinazionali per trasferire dati tra le proprie sedi in diversi Paesi, garantendo comunque la protezione prevista dal GDPR.

4.     Le strategie adottate dall’Unione Europea per incentivare l’utilizzo del Cloud

L’Unione Europea nel corso degli ultimi anni ha adottato diverse strategie al fine di promuovere l’uso sicuro e corretto dei servizi cloud garantendo la protezione dei dati e allo stesso tempo mantenendo la competitività delle imprese europee rispetto a quelle mondiali.

Tra i principali provvedimenti, il Regolamento dell’Unione Europea 2016/679 sulla protezione dei dati, il GDPR, il quale impone normative particolarmente severe per la protezione delle informazioni personali. Una seconda normativa è la Direttiva NIS, oggi aggiornata alla NIS2 (Direttiva UE 2022/2555), entrata in vigore per rafforzare ulteriormente la sicurezza informatica e ampliare la platea di soggetti coinvolti, inclusi i grandi fornitori di cloud. Tale progetto prevede il rafforzamento della sicurezza delle reti e dei sistemi informativi, e in questa macrocategoria vengono incusi anche i fornitori dei servizi di cloud.

Al fine di incentivare lo sviluppo delle nuove tecnologie, l’Unione nel 2016 ha dato vita all’iniziativa europea per il cloud computing. Tale progetto aveva la finalità di favorire l’accesso alle infrastrutture cloud per fare ricerca, ma anche per favorire l’utilizzo del cloud nell’ambito dell’industria e delle amministrazioni pubbliche. Tale progetto oggi si collega al più ampio progetto Digital Europe Programme (2021-2027), che stanzia fondi per infrastrutture digitali, inclusi i servizi cloud sovrani e di nuova generazione.

Questo è stato poi affiancato dalla strategia europea in materia di dati, che vuole creare degli spazi comuni per la conservazione dei dati e sostiene la condivisione sicura intersettoriale delle informazioni.

Una delle iniziative più rilevanti è GAIA-X, un progetto di origine franco-tedesca che ha preso il via nel 2019, sostenuto da diversi stati membri dell’Unione, che mira a sviluppare un ecosistema cloud europeo sicuro, trasparente e interconnesso, riducendo la dipendenza da fornitori non europei come gli Stati Uniti o la Cina e garantendo la sovranità digitale dei dati dentro i confini europei. 

Parallelamente, il Regolamento dell’Unione n. 2022/2065, noto come DSA (Digital Services Act), è una legge che disciplina le piattaforme digitali e le relative responsabilità, garantendo trasparenza e sicurezza nell'uso dei servizi online, compresi quelli cloud. Il DSA si concentra sulla protezione degli utenti e impone maggiori responsabilità ai fornitori di servizi cloud nella gestione dei dati e delle informazioni. Approvato nel 2022, il DSA è entrato ufficialmente in vigore il 16 novembre 2022, con l’applicazione completa per tutte le piattaforme a partire dal 17 febbraio 2024.

Insieme al DMA (Digital Markets Act), anch’esso approvato nel 2022 ed entrato in vigore il 1° novembre 2022, con piena applicazione dal 6 marzo 2024, i due regolamenti mirano a regolamentare i giganti digitali per promuovere la concorrenza, prevenire situazioni di monopolio e garantire un ecosistema digitale più equo e sicuro, anche nell’ambito del cloud computing.

Il progetto DOME, che corrisponde a Digital Open Marketplace Ecosystem 4.0, contribuisce alla strategia di cloud computing dell'UE, favorendo la gestione e lo scambio sicuro dei dati tra le aziende europee, e rafforzando ulteriormente l'infrastruttura di cloud europea; intende fornire un portale unico di accesso a servizi affidabili, facilitando l'incontro tra fornitori e consumatori, in un ambiente di fiducia. Il fine è creare un ecosistema federato per i servizi cloud, unendo vari attori e promuovendo l'adozione di queste tecnologie tramite un mercato comune.

Queste iniziative sono espressione lampante dell’impegno dell'UE a creare un'infrastruttura cloud solida, competitiva e conforme alle normative sulla protezione dei dati e sulla sicurezza informatica.

5.     Conclusione

Il cloud computing ha modificato nel profondo il panorama tecnologico sia nella nostra quotidianità ma anche a livello aziendale, offrendo a queste ultime una maggiore flessibilità, risparmio ed efficienza. Guardando al futuro, è prevedibile una continua espansione in questa direzione da parte dell’Unione Europea. Tuttavia, in parallelo alla crescita, si dovranno implementare di pari passo la normativa e la tecnologia a tutela della sicurezza informatica che richiedono delle misure sempre più all’avanguardia, rimanendo delle questioni del tutto centrali. In questo contesto sarà compito anche delle aziende adottare delle strategie per tutelare le informazioni sensibili in loro possesso in modo da sfruttare al massimo il potenziale di questo innovativo e rivoluzionario strumento.

Bibliografia

1.     https://azure.microsoft.com/it-it/resources/cloud-computing-dictionary/what-is-cloud-computing#:~:text=Il%20cloud%20computing%20%C3%A8%20la,flessibili%20ed%20economie%20di%20scala.

2.     https://www.altalex.com/documents/news/2022/04/01/cloud-data-protection-scelta-cloud-provider#p2

3.     https://bi-rex.it/cloud-computing-vantaggi/

4.     https://www.repubblica.it/economia/affari-e-finanza/2018/02/26/news/avvocati_banche_dati_e_software_la_stretta_via_della_digitalizzazione-189771063/ 

5.     https://www.altalex.com/documents/news/2018/05/10/cloud-computing-e-non-disclosure-agreement

6.     digital-strategy.ec.europa.eu

7.     https://laprevidenzaforense.it/rubriche/avvocatura/il-contratto-di-cloud-computing-uno-strumento-per-l-avvocato-40/#/

8.     https://www.gaiax-italia.eu/cosa-facciamo

9.     https://digital-strategy.ec.europa.eu/en/policies/cloud-computing

10.  https://cordis.europa.eu/project/id/953163/it

11.  https://digital-strategy.ec.europa.eu/en/activities/digital-programme