Contratti cloud-UE: un timido inizio

La sempre maggior diffusione dei servizi cloud è ormai un fatto.

Ugualmente affermata è la mancanza di garanzie sufficienti in tema di sicurezza per gli acquirenti dei servizi cloud, in particolare di software as a service (SaaS).

I contratti SaaS  che hanno all´interno termini ambigui per ciò che riguarda la gestione della confidenzialità dei dati, l´integrità e il recupero in caso di incidenti informatici sono numerosi. Questo comporta l´insoddisfazione tra gli utilizzatori e rende inoltre difficile per chi usa e rivende servizi conoscere la propria posizione di rischio e farla valere presso gli enti di controllo.

Come minimo, i contratti SaaS dovrebbero assicurare l´effettuazione di un controllo annuale sulla sicurezza, le certificazioni di terze parti e un’opzione di decadenza nel caso di problemi di sicurezza che il provider non riesce a risolvere. In aggiunta è ragionevole per i clienti ottenere dal provider informazioni che riguardano le analisi sulla sicurezza.

In attesa che questo accada, gli utenti non dovrebbero fidarsi troppo degli SLA (Service Level Agreement) che riguardano security e recovery. A prescindere dai termini, gli utilizzatori hanno bisogno che i dati siano protetti, o comunque recuperabili in caso di incidente. I provider dovrebbero essere obbligati per contratto a rispondere a queste aspettative.

La mancanza di risarcimenti significativi in caso di perdite di sicurezza o di dati è un chiaro segnale di come sia primario il bisogno di una precisa regolamentazione.

In questo clima si colloca il tentativo dell’Unione di imporre limiti e regole ad un settore tanto in espansione. Infatti una task force UE inizierà una ricerca sulle (possibili) condizioni contrattuali in modo da rendere i contratti maggiormente affidabili ed equi.

Ruolo centrale nelle attività del team sarà rivestito dall’introduzione di forme di tutela della sicurezza e della privacy che non potranno venire meno nel rapporto di fornitura dei nuovi servizi, tutto questo integrando le recenti evoluzioni (se in tal modo possono esser chiamate, vista la scarsità di risultati) in materia di protezione dei dati personali. Obiettivo: la creazione di un’unica regolamentazione in ambito europeo che permetta di creare  un mercato unico per i servizi cloud e digitali.

Il team sarà costituito da esperti, fornitori, consumatori, esponenti del mondo accademico e giuristi, i quali  lavoreranno alla definizione di clausole contrattuali che, per il momento, saranno suggerite su base facoltativa con la prospettiva, dopo le necessarie verifiche, di diventare obblighi di legge.

La creazione di clausole standard dovrebbe contribuire alla diminuzione di molte preoccupazioni dei consumatori e delle imprese in modo da riavvicinare questi ultimi all’acquisto dei servizi cloud.

I lavori del team inizieranno nella seconda metà di novembre, le indicazioni saranno probabilmente pubblicate entro la primavera del 2014.

Viviane Reding, il commissario Ue, ha ribadito che la Commissione intende creare le condizioni per lo sviluppo del mercato cloud computing, visto che, secondo le previsioni UE, la tecnologia potrebbe creare 2,5 milioni di nuovi posti di lavoro in Europa ed accrescere dell’1% circa all’anno il Pil degli stati membri.

Evidenti quindi le intenzioni  degli organi legislativi UE. Sorge tuttavia spontaneo domandarsi se saranno sufficienti i mezzi adottati per raggiungere l’obiettivo. Oppure un semplice team “misto” sta a significare una non perfetta comprensione delle necessità del mercato?