Sicurezza delle infrastrutture cloud, l’impegno di IBM per la protezione dei dati e la compliance

di Stefano Rebattoni



La consultazione avviata nei giorni scorsi dalla Commissione Europea sull’EU Data Act, ha riportato al centro del dibattito pubblico temi chiave quali la sicurezza delle infrastrutture cloud e il rischio di esfiltrazione dei dati da parte di giurisdizioni straniere. Come IBM riteniamo utile condividere la nostra posizione in merito e portare un contributo di chiarezza alla discussione in corso.

IBM Europa e IBM Italia sono società autonome rispetto alla casa madre e operano, quindi, in base al diritto dell’Unione Europea e alle leggi nazionali dei paesi in cui operano, incluse le norme a tutela della protezione dei dati personali.

Non c’è quindi alcuna differenza tra le società IBM che operano in Europa e le altre società europee, e questo produce degli effetti chiari ed inequivocabili:

  1. Il governo degli Stati Uniti non ha alcune giurisdizione in tema di accesso ai dati depositati e custoditi in Europa dalle società IBM europee.
  2. Questa situazione non è modifcata né dal C.L.O.U.D. Act né da altre leggi.
  3. Le organizzazioni IBM in Europa non daranno seguito a richieste di accesso dati provenienti da paesi diversi da quello in cui opera l'affiliata IBM a meno che non si sia tenuti a farlo in forza di norme o ordini applicabili nel territorio nazionale

Da quando il C.L.O.U.D. Act è entrato in vigore nel marzo 2018, né IBM Corporation né alcuna delle società IBM operante sul suolo europeo, ha fornito dati cliente a terzi per effetto dell'applicazione di dette norme.

In tutte le sue organizzazioni nazionali, tra l’altro, IBM ha ricevuto una sola richiesta di accesso e ha ritenuto che essa non fosse coerente con i principi sull'accesso ai dati che la stessa IBM ha stabilito e comunicato ai propri clienti, né che fosse in altro modo coerente con norme di diritto nazionale o internazionali che risultassero applicabili. Per questi motivi IBM ha rifiutato di fornire i dati richiesti. Al contrario, ha insistito che il governo degli Stati Uniti contattasse direttamente il cliente o si attivasse attraverso il processo di mutua assistenza legale (MLAT) riconosciuto a livello internazionale. Questo risultato sarebbe stato lo stesso anche prima dell'approvazione del C.L.O.U.D. Act.

Occorre poi sottolineare un altro aspetto fondamentale: IBM è una società molto diversa dagli operatori cloud del mercato che gestiscono piattaforme consumer e che, per questo, raccolgono e controllano grandi volumi di dati degli utenti. IBM è un fornitore di servizi cloud per aziende pubbliche e private, nonchè per istituzioni anche governative e differisce, quindi, dagli operatori che, gestendo piattaforme consumer, raccolgono grandi volumi dati, che sono il vero obiettivo di analisi del C.L.O.U.D. Act.
Tutto ciò è confermato dal nostro ultimo rapporto sulla trasparenza: nel 2020, nessuna organizzazione IBM, tranne l’unico caso sopra descritto, ha ricevuto o fornito dati dei clienti diversi da quanto strettamente necessari per consentire eventualmente alle autorità di contattare direttamente i soggetti interessati.

L’eccezione di cui sopra, inoltre, non ha interessato nè il Cloud Act nè alcuna autorità negli Stati Uniti. Tale richiesta, come tutte le altre che IBM ha dovuto affrontare, è stata risolta nel pieno rispetto della legge locale. È per me motivo di orgoglio affermare che, mentre altri oggi stanno cominciando ad esaminare come migliorare il livello di sicurezza e tutela dei dati dei propri clienti, IBM ha da sempre lavorato per creare fiducia nell'ecosistema cloud europeo, dimostrando la propria indiscussa leadership nel proporre ed implementare meccanismi innovativi di protezione e sicurezza.

Grazie a IBM “Only EU” per l'archiviazione e l'elaborazione dei dati in Europa, alle tecnologie di crittografia "Keep Your Own Key" e di Confidential Computing, nonchè all’impegno profuso nei progetti europei (come l’EU Cloud Code of Conduct e GAIA-X), IBM continua a confermare il proprio impegno e leadership tecnologica per supportare la creazione di un cloud europeo sicuro ed affidabile, ispirato ai valori del nostro continente.

Per ulteriori approfondimenti:

Martin Jetter, IBM Chairman of Europe, Middle-East and Africa
https://www.ibm.com/policy/government-access-to-data/
Agnieszka Bruyere, VP Hybrid Cloud EMEA
Published a story on digital sovereignty and our EU-only service offering

16 giugno 2021

Stefano Rebattoni, Amministratore Delegato IBM Italia
@sterebattoni

Visit us on LinkedIn