Per conformarsi a un ordine esecutivo del
presidente americano Donald Trump, nei mesi scorsi Microsoft ha sospeso
l’account email di Karim Khan, procuratore della Corte penale internazionale
che stava investigando su Israele per crimini di guerra. Per anni, scrive il New York Times,
Microsoft ha fornito servizi email al tribunale con sede a L’Aja, riconosciuto
da 125 paesi tra cui l’Italia (ma non da Stati Uniti, Israele, Cina, Russia e
altri).
All’improvviso, il colosso di
Redmond ha staccato la spina al magistrato per via dell’ordine esecutivo
firmato da Trump che impedisce alle aziende americane di fornirgli servizi:
secondo il successore di Biden, le azioni della Corte contro Netanyahu
“costituiscono una inusuale e straordinaria minaccia alla sicurezza nazionale e
alla politica estera degli Stati Uniti”. Così, di punto in bianco, il
procuratore non ha più potuto comunicare con i colleghi.
C’è stata una mediazione,
ricostruisce il New York Times: dopo una riunione tra Redmond e i vertici della
Corte si è deciso che la Cpi avrebbe potuto continuare a utilizzare i servizi
di Microsoft. Anche perché l’azienda, secondo la ricostruzione del quotidiano,
sarebbe stata fondamentale per la cybersecurity dell’organizzazione, finita nel
mirino degli hacker russi dopo l’inchiesta per i crimini di guerra in
Ucraina.
Il discorso, però, non vale per
Khan, il cui account resta bloccato: cittadini e aziende statunitensi rischiano
conseguenze serie – multe e persino l’arresto – se forniscono “supporto
finanziario, materiale e tecnologico” a chi viene identificato come pericoloso
per la sicurezza nazionale (spesso sulla base di ragionamenti dal sapore
politico). Insomma, in una paradossale inversione di ruoli, il procuratore è
diventato un criminale, trattato alla stregua di un nemico pubblico.
Le conseguenze non si sono fatte
attendere. Tre dipendenti con contezza della situazione hanno rivelato al
quotidiano newyorchese che alcuni membri dello staff della Corte si sarebbero
rivolti all’azienda svizzera Protonmail per poter continuare a lavorare in
sicurezza. Il giornale non chiarisce il perché della decisione, né se tra essi
vi sia lo stesso Khan. Una conferma al riguardo arriva dall’agenzia Associated Press.
Protonmail, contattata da Guerre di Rete, non ha commentato, spiegando di non
rivelare informazioni personali sui clienti per questioni di privacy e di
sicurezza.
Uno choc per le
cancellerie
Quello che conta è che la
situazione ha scioccato le cancellerie europee: quasi tutte – e il quasi
è un mero ossequio al dubbio giornalistico – impiegano software, servizi e
infrastrutture statunitensi per le proprie normali attività. Ma nel clima
pesante di questi mesi sono saltate le classiche e paludate convenzioni della
diplomazia: Trump negozia nelle cancellerie come farebbe con i colleghi
palazzinari, senza andare troppo per il sottile. Non è possibile, non lo è per
nessuno, prevedere la prossima mossa. Il punto è che correre ai ripari non è
semplice: sia perché uscire dalla “gabbia” creata dalle aziende, il
cosiddetto “vendor lock in”, richiede tempo, formazione, strategia; sia
perché esistono contratti in essere e la questione può diventare spinosa dal
punto di vista giuridico. Ma anche perché – ed è una questione centrale – al
momento le alternative, quando esistono, sono poco visibili.
La situazione è seria. Per dare
un’idea, l’Irish Council for Civil Liberties ha rivelato che
il parlamento europeo ha un contratto di fornitura di servizi cloud con Amazon.
L’accordo imporrebbe di utilizzare solo modelli linguistici di grandi
dimensioni “ospitati” su Amazon Web Services. Somo, ong olandese che si occupa
da cinquant’anni di monitorare l’attività delle multinazionali, ha rivelato in un recente
rapporto gli accordi capestro che le società di intelligenza
artificiale hanno dovuto sottoscrivere con Big Tech per sostenere i costi di
sviluppo dell’AI (comprese società europee come Mistral e Aleph Alpha). E
tutte le aziende di riferimento, da Microsoft ad Amazon a Oracle a Google a
Intel, sono statunitensi e possono quindi potenzialmente ricadere tra i
destinatari degli ordini esecutivi di Trump.
La difesa di Microsoft
Per riguadagnare fiducia e mercato
– i clienti governativi spostano cifre importanti anche per una Big Tech – nei
mesi scorsi Microsoft ha cercato di rassicurare i propri utenti europei.
Il presidente Brad Smith a fine
aprile ha schierato l’azienda a fianco
di Bruxelles: “Oggi ci impegniamo solennemente”, ha detto in una
conferenza del think tank Atlantic Council. “Se in futuro un qualsiasi governo,
in qualsiasi parte del mondo, dovesse emettere un ordine che intenda obbligare
Microsoft a sospendere o cessare le operazioni e l’assistenza per
l’Europa, faremo ricorso al tribunale. Percorreremo ogni via legale per opporci
a un simile ordine”. Non solo: se le cause fossero, alla fine, perse, “i nostri
partner europei avrebbero accesso al nostro codice sorgente di cui
conserviamo una copia in un repository sicuro in Svizzera”, paese
neutrale per antonomasia.
Chi sta già lasciando
le Big Tech
Ma c’è qualcuno che, nonostante
tutto, sta già lasciando le Big Tech?
Due città danesi (Copenhagen
e Aarhus) starebbero abbandonando Microsoft per il timore di finire tra le
braccia di un monopolista. Il parlamento olandese, dal canto proprio, nelle
scorse settimane ha approvato alcune mozioni per spingere il governo a non fare
più affidamento sulla tecnologia cloud statunitense. Il timore è il
cosiddetto vendor lock in, cioè la politica commerciale alla base
della creazione degli ecosistemi in stile Apple: tutto griffato, tutto dello
stesso brand, o dentro o fuori. Chi usa un certo elaboratore di
testi avrà, così, la strada spianata se sceglierà di impiegare anche il foglio
di calcolo e l’applicazione di videoconferenze della stessa società; andrà,
invece, incontro a parecchie (e strategicamente posizionate) difficoltà nel caso
dovesse decidere di avvalersi dei servizi di un’azienda concorrente. Ricordate
i tempi in cui cambiare operatore di cellulare richiedeva di accollarsi il
rischio di restare settimane senza telefono? Funziona esattamente allo stesso
modo: uscire non è facile, perché l’obiettivo è proprio complicare la vita a
chi decide di farlo.
Ma in questo caso la posta in gioco
è molto più alta, perché non parliamo di singoli, per quanto importanti come i
giudici di una corte internazionale, ma di intere amministrazioni. Lo US CLOUD Act firmato da Trump
nel corso del primo mandato consente alle forze dell’ordine di imporre alle
società tech di fornire accesso ai dati custoditi nella “nuvola” per investigare
crimini particolarmente gravi: difficile mettersi al riparo.
Dall’altra parte, a un esame anche
basilare di cybersecurity molti politici sarebbero bocciati: un’indagine della Corte dei
conti olandese ha scoperto che molti ministri del governo hanno
usato cloud di Google, Microsoft, Amazon senza essere consapevoli dei rischi
potenziali. E non c’è ragione per pensare che altrove vada meglio. Italia
compresa.
Qualcosa sta cambiando?
Guerre di rete ha chiesto ad alcuni
soggetti direttamente coinvolti se la copertura mediatica degli ultimi anni
abbia alzato il livello di consapevolezza del pubblico e delle aziende sul
tema.
“Negli ultimi dieci anni aziende e
consumatori hanno cominciato a cambiare”, afferma al telefono Alexander Sander,
policy consultant della Free software foundation. “Il problema è sbarazzarsi
del vendor lock in, che significa essere ostaggio dell’ecosistema del
fornitore: oggi è difficile passare da un prodotto all’altro, tutto funziona
bene e facilmente solo se si utilizzano servizi di una sola azienda. Lo si è
visto chiaramente nel periodo pandemico, quando la gente cercava disperatamente
servizi di videoconferenza e tendeva a scegliere quelli dell’azienda con cui
già lavorava: oggi vale anche per l’intelligenza artificiale, che devi pagare
anche se non ti interessa, non ne hai bisogno o semplicemente preferisci usare
quella di un’altra società”. Questo, prosegue l’esperto, “significa che alla
fine costruisci una relazione con un solo marchio: migrare è complicato e
costoso. Non solo: molti dei servizi commercializzati in Europa, lo vediamo,
non rispettano le norme continentali dal punto di vista della privacy e della
cybersecurity: il Patriot Act non rispecchia le nostre normative, e quindi –
nel caso di un’azienda Usa che vende servizi in Europa – i servizi segreti
possono avere accesso ai file”.
Sander suggerisce di usare software
open source, “il cui codice sorgente è pubblico e in cui si possono anche
cercare eventuali backdoor: se le individui puoi sistemarle tu stesso, o
incaricare qualcun altro di fare le modifiche del caso. Con il software delle
grandi multinazionali del tech, invece, devi scrivere all’azienda, che a
propria volta ti risponderà se può o meno mettere mano al codice”. E, come
visto, oltre alle decisioni di business conta anche il clima politico.
C’è un altro tema, rimarca Sander:
“Un conto è negoziare con un paese come l’Italia o la Spagna, un conto è quando
al tavolo si siede una piccola azienda”. In questo caso le tutele sono rasenti
lo zero. C’è un’azienda che fa peggio delle altre, chiediamo, in termini
di rispetto dei diritti digitali? “In realtà, credo sia più un problema di
modello di business. Dobbiamo crearci delle alternative. E penso che Stati e
governi dovrebbero avere un ruolo nello stimolare i mercati in questo senso.
L’Europa si è mossa bene con il Digital markets act: qui non ci mancano tanto
le idee, quanto l’implementazione. E poi bisogna educare cittadini e
consumatori a comprendere come funzionano certi modelli di business”.
Qualche passo in avanti si comincia
a vedere: in Francia c’è il progetto La Suite numerique, che offre una serie
completa di servizi digitali sotto la bandiera del governo di Parigi. In
Germania c’è Open Desk di ZenDis,
il Centro per la sovranità digitale di Berlino fondato nel 2022 come società a
responsabilità limitata di proprietà del governo federale. Anche qui, c’è tutto
il necessario per una pubblica amministrazione. La strada, però, è ancora
lunga.
La versione di
Protonmail
E poi ci sono i privati. Protonmail
(lo abbiamo già incontrato poco sopra) è un servizio email sicuro nato nel 2014
da scienziati che si sono incontrati al Cern di Ginevra. “Lo abbiamo creato per
fornire una risposta alla crescente domanda di sicurezza e privacy nella posta elettronica,
e anche perché ci siamo resi conto che internet non stava più lavorando
nell’interesse degli utenti”, dice a Guerre di Rete Anant Vijay Singh, head of
product della società elvetica. “L’email non rappresenta solo uno strumento di
comunicazione importante, ma anche la nostra identità online. Noi assicuriamo
all’utente di avere il pieno controllo sui propri dati: li criptiamo, per
cui nemmeno noi possiamo analizzare, monetizzare o accedere a informazioni
personali. È così che siamo diventati attraenti per chi è stanco di società che
sfruttano i dati personali per farci soldi, spesso senza il consenso degli
utenti”. Singh afferma che l’azienda si basa solo sugli abbonamenti: il
servizio di base è gratuito, gli upgrade a pagamento. “Il maggiore azionista è
la Proton Foundation, che è una non profit, il che significa che quando
pensiamo a un prodotto mettiamo davanti le persone, e non i soldi. E questo in
definitiva porta a un’esperienza utente migliore”.
Il manager conferma che qualcosa si
muove. “Negli anni scorsi abbiamo visto che la gente ha cominciato a rifiutare
il capitalismo della sorveglianza e a cercare alternative più sicure e
rispettose della privacy: nel 2023 abbiamo superato i 100 milioni di account, e
questa tendenza ha accelerato negli ultimi mesi su entrambe le sponde
dell’Atlantico”.
Proton, assicura Singh, opera sotto
la legge svizzera, “che sulla privacy è tra le più stringenti al mondo. Ma le
normative cambiano, e se non bastassero c’è sempre la matematica [cioè la
crittografia, ndr] a difendere gli utenti”. “Inoltre tutti i nostri prodotti
sono open source e sottoposti a regolari verifiche sulla sicurezza da terze
parti indipendenti”. I dati sono conservati in Svizzera, ma alcune porzioni,
prosegue, anche in Germania e Norvegia. Singh non nasconde che la Rete ha
tradito le aspettative dei creatori. “Per anni i giganti del web l’hanno
plasmata sulla base dei propri interessi e la natura centralizzata di molti
servizi ha esacerbato i problemi: grandi società controllano enormi quantità di
dati. Anche la sorveglianza governativa ha giocato un ruolo nell’erodere la
fiducia: le rivelazioni sui programmi di sorveglianza di massa hanno mostrato
quanto sia grande il potere degli esecutivi nel monitorare le attività online”.
Ma la gente “è sempre più consapevole che alternative esistono, e vuole
acquistare ‘europeo’, perché conscia della eccessiva dipendenza da servizi
americani”.
L’alternativa elvetica a
WeTransfer
C’è un altro servizio, sempre
basato in Svizzera, che sta spopolando da qualche tempo e tra i clienti vanta
molti grossi nomi corporate. Si chiama Swiss Transfer ed è l’alternativa al
notissimo WeTransfer, nato olandese e recentemente comprato dall’italiana
Bending Spoons. Infomaniak è la società madre. “Abbiamo creato Swiss Transfer
innanzitutto per testare su larga scala la nostra infrastruttura basata su
OpenStack Swift”, dice a Guerre di Rete Thomas Jacobsen, a capo della
comunicazione e del marketing. “Offrire un servizio free e utile al pubblico
è un modo per dimostrare l’affidabilità e la robustezza delle nostre
soluzioni. Ma, al di là dell’aspetto tecnico, è anche un modo per aumentare la
consapevolezza di cosa sia Infomaniak senza fare affidamento sui tradizionali
canali promozionali, come Facebook, Instagram, Google e Linkedin, che
richiedono grossi budget per acquisire visibilità. Abbiamo preferito creare un
tool che parla da sé, rispetta la privacy, non traccia e offre un valore
quotidiano all’utente. E funziona. Milioni di persone usano Swiss Transfer,
spesso senza sapere che dietro ci siamo noi. Direi, anzi, che è ironico: in
alcuni paesi il brand è più conosciuto della società che ci sta dietro. Ma lo
consideriamo un successo”.
Le informazioni, spiega Jacobsen,
sono custodite in data center proprietari in Svizzera, protetti dalla legge
elvetica. “E dal momento che lavoriamo con l’Europa, ci conformiamo al
Gdpr”.
Il modello di business è
particolare. “Infomaniak è una società svizzera indipendente, posseduta dai
propri stessi dipendenti: oggi gli azionisti sono circa trenta. Questa
autonomia assicura indipendenza, e il rispetto dei nostri valori: protezione
della privacy, sostenibilità ambientale e supporto per l’economia locale. Tutto
è prodotto e sviluppato in Svizzera: i nostri team sono qui, sia quello di
sviluppo che il customer care, il che ci dà il controllo totale su tutta la
catena del valore, senza intermediari. Significa trasparenza, massima
reattività e alta confidenzialità dei dati del cliente, che non verranno mai
usati per altri fini se non quello di fornire i servizi richiesti”.
Chiediamo: ma siete davvero sicuri
di essere in grado di sostituire i prodotti delle grandi multinazionali? “Sì. È
sbagliato pensare che solo le Big Tech possano soddisfare le esigenze di grandi
organizzazioni: lavoriamo già con oltre tremila media company tra cui radio e
televisioni, ma anche banche centrali, università, governi locali e anche
infrastrutture critiche”.
Jacobsen sa che uno dei colli di
bottiglia è la paura delle difficoltà nella migrazione, e parla di supporto personalizzato
24/7 . “La nostra filosofia è semplice: ci guadagnamo da vivere solo con i
nostri clienti, non con i loro dati. Non li vendiamo e i servizi gratuiti sono
interamente finanziati da quelli a pagamento: può sembrare strano, ma paghiamo
tutti i nostri stipendi in Svizzera, e nonostante ciò spesso riusciamo a
offrire prezzi più competitivi. E funziona da trent’anni”. I dipendenti sono
trecento, in crescita: “Ma siamo per la biodiversità digitale: il mondo ha
bisogno di alternative locali dovunque”. Jacobsen va oltre: “I dati sono le
materie prime dell’intelligenza artificiale e un asset strategico, ma l’Europa
continua a spendere milioni di euro di soldi pubblici in soluzioni proprietarie
come quelle di Microsoft, Amazon o Google senza reali benefici locali [sul tema
lavora anche la campagna Public money, public code,
ndr]. Queste piattaforme portano i profitti in America, creano posti di lavoro
lì e aumentano la nostra dipendenza. Ma c’è di più: Big Tech investe un sacco
di soldi per portare via i nostri migliori ingegneri e ricercatori, spesso
formati con denaro pubblico. Per esempio, Meta ha recentemente assunto tre
ricercatori dell’ufficio di Zurigo di OpenAI con offerte che a quanto pare hanno
raggiunto i cento milioni di dollari. Nel frattempo, quando si presenta una
necessità tecnologica negli Stati Uniti, il governo federale non esita ad
aprire linee di credito eccezionali per supportare i player locali con
contratti da miliardi di dollari, come nel caso di Palantir, OpenAI o cloud
provider come Oracle. E l’Europa? Che sta facendo? Firma contratti con società
straniere, anche se esistono alternative forti vicino a casa: noi in Svizzera,
ma anche Scaleway e OvhCloud in Francia, Aruba in Italia o Hetzner in
Germania”.
Se davvero conquisteremo la
biodiversità digitale, lo scopriremo nei prossimi anni. Certo, per cambiare
rotta, ci vuole coraggio. E, come dice ancora Sanders, tempo. “C’è un movimento
verso il software libero più o meno in tutti i paesi. Dieci anni fa era molto
più difficile. Oggi governi e amministrazioni stanno cercando di cambiare passo
dopo passo per uscire da questo vendor lock in, e non solo per i pc
desktop: si stanno rendendo conto che si tratta anche delle infrastrutture,
come i server.Il processo non è immediato, un’amministrazione non dice
all’improvviso: voglio passare al software libero. Ma piuttosto, quando si pone
la necessità di acquistare un servizio, comincia a considerare le alternative”.
Del resto, se ci sono voluti trent’anni per arrivare fin qui, è difficile
immaginare che si possa invertire la rotta dall’oggi al domani.
