Tribunale canadese chiede accesso ai dati in Europa della francese Ovh: i rischi per la sicurezza e la beffa per il cloud sovrano
Commenti
Nel nome della sicurezza nazionale, un tribunale canadese ha chiesto l’accesso a dati conservati su server in Francia e Regno Unito, minando la “sovranità” sui dati europei. Il Gdpr (General data protection regulation) limita fortemente il trasferimento delle informazioni verso Paesi extra Ue. Il motivo della richiesta delle autorità dell’Ontario? La multinazionale Ovh cloud ha una filiale nel Paese della foglia d’acero, dunque secondo gli inquirenti la richiesta è legittima, anche se le informazioni sono conservate all’estero. Ma il criterio rischia di incrinare l’affidabilità del cloud europeo, minacciando l’ultimo baluardo sulla sicurezza delle informazioni nella “nuvola”: data center installati nei confini nazionali, amministrati da aziende autoctone.
100 organizzazioni europee invocano il cloud “sovrano”
Dal ritorno di Trump alla Casa Bianca, con le tensioni crescenti Usa-Ue, in Europa molti esperti invocano a gran voce un cloud autoctono, “a prova” di ingerenze americane. A marzo 2025 quasi 100 organizzazioni (incluso il gigante della difesa Airbus) hanno sottoscritto l’appello per un fondo sovrano tecnologico in grado di sfuggire all’occhio dello “Zio Sam”. In virtù del Cloud act, le aziende americane sono obbligate a garantire l’accesso alle agenzie di sicurezza a stelle e strisce, purché fornite di un mandato giudiziario, anche se i server sono fuori dai confini. Problema: tra i clienti di Google, Amazon e Microsoft (dominatori del mercato Ue) ci sono governi, pubbliche amministrazioni, aziende strategiche. Anche per questo Ovh ha firmato l’appello sul “Cloud sovrano” europeo. Sul suo sito, l’azienda francese con sede a Roubaix si descrive come campione della “sovranità”, ovvero la “capacità di proteggere i dati da eventuali interferenze (soprattutto straniere)”. Il merito, secondo Ovh, è delle severe leggi del Vecchio Continente: “La conformità alla normativa europea, che limita le possibilità di trasferimento di dati personali al di fuori dell’Unione Europea, costituisce una garanzia di sovranità dei dati”. Una garanzia in bilico, dopo la richiesta della corte canadese.
Il caso: il tribunale canadese chiede accesso ai dati in Europa
Secondo il principio giuridico invocato dal tribunale, basta aprire una filiale all’estero per ricadere sotto la giurisdizione delle autorità locali, con tanti saluti alla riservatezza garantita dalle regole europee. Potenzialmente, una falla enorme: nel cloud si archiviano anche informazioni strategiche per la sicurezza di un Paese. Del resto è nel nome della sicurezza, che un giudice canadese ha reclamato informazioni al colosso tecnologico francese.
Il caso è stato ricostruito dalla testata The Register. Nell’aprile 2024 la polizia canadese ha chiesto i dati degli abbonati e degli account collegati a quattro indirizzi IP sui server Ovh in Francia, Regno Unito e Australia. Il giudice ha sottolineato l’urgenza delle indagini per la sicurezza nazionale. Anche per questo, forse, ha rinunciato alla rogatoria internazionale, la via prevista dai trattati per la collaborazione giudiziaria tra Francia e Canada. “Per la rogatoria internazionale ci vogliono circa 6 mesi, il tempo sufficiente per far sparire le prove durante un’indagine per crimini digitali”, dice a ilfattoquotidiano.it Michele Colajanni, docente di informatica all’Università di Bologna. Secondo lui, gli inquirenti cercano di affrettare i tempi mentre la rogatoria “è uno strumento del ‘900”.
Il dilemma di Ovh: oltraggio alla Corte in Canada, multa e reclusione in Francia
Il risultato è il vicolo cieco della società: la legge francese punisce la condivisione di dati al di fuori dei trattati ufficiali, con la reclusione e multe da decine di migliaia di euro; d’altra parte, disobbedire all’ordine delle autorità canadesi comporterebbe l’accusa di oltraggio alla corte. Eppure, il 25 settembre il giudice Heather Perkins-McVey ha confermato l’ordine d’accesso, bocciando la richiesta di revoca del provvedimento depositata da Ovh. Il magistrato ha ribadito la priorità di garantire la sicurezza e fissato la scadenza per consegnare i dati al al 27 ottobre. La filiale canadese ha presentato ricorso con una domanda di judicial review (revisione giudiziaria), un istituto tipico dei paesi privi di Costituzioni scritte. Dall’esito del caso può dipendere il destino dell’industria del cloud in Europa.
Cloud autoctono e sovrano: fine di un illusione?
Per Ovh, la sconfitta sarebbe è una beffa. Ad agosto un suo rappresentante legale aveva gioito per l’ammissione, da parte di Microsoft, di “non poter garantire” la sovranità dei dati. Il 18 giugno, durante un’audizione in Parlamento sulle dipendenze dell’industria digitale europea, Anton Carniaux (direttore degli affari pubblici e legali di Microsoft Francia) ha ammesso di non poter sottrarsi ai vincoli del cloud act. Alla domanda se fosse stato obbligato a trasmettere i dati, ecco la sua risposta: “Certamente, rispettando la procedura. Ma questo non ha avuto ripercussioni su nessuna azienda europea, né su nessun ente pubblico, da quando pubblichiamo questi rapporti sulla trasparenza”. Tanto è bastato per l’esultanza di Viegas Dos Reis, Chief Legal Officer di Ovh. con la testata The Register: “Non è una sorpresa, lo sapevamo già, finalmente hanno detto la verità!”. Ora a rallegrarsi potrebbero essere gli uomini di Redmond. Mentre l’Ue si interroga sulla sua sovranità tecnologica: “Il Gdpr vuole tutelare i dati degli europei ovunque siano, ma nessuna sa come imporre nostre regole agli altri Paesi”, ammette Colajanni. “L’Ue dice: ‘i principi e le regole devono governare la tecnologia’. In teoria sì, ma se le leggi non funzionano?”.
