IFI: Data Localization nuova frontiera del protezionismo economico
Ifi Advisory, nella persona di Lorenzo Romani, Open Source Intelligence Analyst, Unità Integrity Due Diligence, approfondisce il tema “Data Localization: nuova frontiera del protezionismo economico. Le pressioni politiche sul controllo dei dati fra sicurezza delle infrastrutture fisiche e controllo democratico”.
La contrapposizione fra retorica globalista e propaganda sovranista è la vera cifra del presente. Le categorie tradizionali della politica sembrano oramai incapaci di comprendere la complessità e di dare risposte. Gli eventi degli ultimi anni, dalla Brexit passando per il trionfo di Donald Trump, ma anche la crescita a macchia d’olio di un’opposizione largamente condivisa e contraria al libero scambio, hanno ribaltato l’agenda della politica nazionale e delle relazioni internazionali. Lo storico accordo fra Stati Uniti ed Iran e trattati di libero scambio arrivati quasi a tagliare la linea del traguardo sono stati le prime vittime sacrificali di una “nuova” visione del mondo. A farne le spese è stato in prima battuta il commercio internazionale nella sua dimensione materiale e finanziaria. In prospettiva potremmo aggiungere all’elenco anche il mercato delle informazioni e dei dati, considerati a torto o a ragione il petrolio del futuro.
Una delle molteplici facce della postmodernità è indubbiamente quella che da molti anni non si chiama più “new economy” semplicemente perchè la “nuova economia” è oggi la struttura genetica del capitalismo digitale. La libera circolazione dei dati e delle informazioni a livello mondiale ha ampiamente sopravanzato gli attriti che ancora oggi pongono limitazioni alla circolazione di lavoratori e risorse finanziarie. In questo senso, l’utopia liberoscambista si è, di fatto, pienamente realizzata nell’ultimo decennio con lo sviluppo di infrastrutture finalizzate all’archiviazione e trasmissione di dati sempre più evolute e sempre meno costose. Con il “cloud” – tecnologia che consente di archiviare dati a costi ridotti su server distribuiti a livello globale – lo “storage” gratuito (o a costi limitatissimi) su piattaforme non proprietarie è accessibile a tutti, individui e imprese.
Non è tuttavia certo che una nuova forma di data-protezionismo non possa incrinare, nei prossimi anni, gli equilibri di un sistema tecnologico ed economico che fino ad oggi ha goduto di una pressoché totale libertà. Quella che gli esperti chiamano “data localization” o “data residency” è una tendenza di cui si sente parlare sempre più spesso ed è il risultato di precise scelte normative – quindi politiche – che tendono a spostare il terreno di scontro dalla dimensione militare-geopolitica a quella cybernetica, legata al controllo dei dati. Quando entrano in gioco i principi della data localization l’operatività dei servizi deputati alla creazione, archiviazione e trasmissione dei dati viene destabilizzata perché si pongono dei paletti a ciascuna fase dei processi, mentre specifici standard vengono imposti alle infrastrutture fisiche che ospitano il dato.
Si possono citare, ad esempio, alcune indiscrezioni di stampa secondo cui la Sebi (Securities and Exchange Board of India) potrebbe presto emanare nuove linee guida per definire come e dove le aziende straniere dovrebbero memorizzare i dati relativi a soggetti indiani. Nel contesto di una guerra immateriale (data war), l’ente regolatore di Nuova Delhi teme che l’accesso alle informazioni relative a cittadini ed aziende possa essere interrotto, portando ad una sorta di black-out cibernetico. Sempre in India, la Reserve Bank (RBI) ha emanato, lo scorso aprile, una direttiva iper-restrittiva, prevedendo che i provider di servizi e-pay (es: PayPal) debbano conservare i dati transattivi degli utenti unicamente in India, senza poterli memorizzare altrove.
Mentre le declinazioni dei principi di data localization sono virtualmente infinite e, ovviamente, frutto di scelte politiche, è evidente che qualsiasi principio regolamentatore che limiti le scelte industriali dei giganti ICT può comportare nel breve periodo un aumento di costi. Dovuto, ad esempio, alla necessità di duplicare i datacenter, pur di non essere tagliati fuori dal mercato locale, in quei Paesi che scelgono di implementare requisiti particolarmente stringenti.
In questo scenario l’Unione Europea, con la recente entrata in vigore del GDPR, si situa in una posizione intermedia. Erroneamente, alcuni commentatori ritengono che il GDPR contenga principi di data localization, mentre in realtà il moloch regolamentatore non entra propriamente nel merito della localizzazione geografica del dato, “limitandosi” piuttosto a definire organicamente quali debbano essere le modalità di trattamento e i diritti degli utenti europei sulle informazioni che li riguardano.
Nel mondo della cybersecurity, l’opinione sulla data localization è piuttosto condivisa. Elevare barriere geografiche all’archiviazione dei dati potrebbe avere conseguenze nefaste, in primo luogo in termini di sicurezza. Un Paese che tenga all’interno dei propri confini tutti i dati ritenuti strategici, impedendone la duplicazione o anche solo il back-up altrove, sarebbe esposto a perdite incommensurabili qualora un attacco fisico alle infrastrutture eliminasse fisicamente, o compromettese, le informazioni. Queste ultime, con le tecnologie attuali, possono essere distribuite su una rete globale e quindi molto meno vulnerabile. Anche attacchi informatici “DDOS”, che mirano quindi a interrompere le comunicazioni senza danneggiare fisicamente i server (che vengono “semplicemente” sovraccaricati), sono più facilmente eseguibili se il “bersaglio” è circoscritto ad una ben definita rete informatica agevolmente localizzabile.
Allo stesso tempo non sembra così destituito di fondamento il sospetto che l’adozione di stringenti principi di data-protezionismo, soprattutto se adottati da governi non propriamente ispirati da principi liberal-democratici, possa costituire un tentativo di controllo strategico sui propri cittadini.
di Lorenzo Romani
Open Source Intelligence Analyst, Unità Integrity Due Diligence di IFI Advisory
