Un’analisi a freddo sul caso OVH fa emergere qualche dubbio sui fatti e soprattutto palesa in modo pesante le mancanze dell’Europa e l’attuale inefficacia del suo piano per la sovranità digitale denominato Gaia-X.
L’incendio
Sono passati pochi giorni dall’incendio dei data center OVH di Strasburgo riportato a tempo record dalla nostra testata. Da subito sono state feroci le accuse alla società, ritenuta rea di aver realizzato dei data center modulari a container e di non aver promosso un backup automatico dei sistemi ospitati. Ma c’è ancora molto da dire.
Sovranità digitale
Con sovranità digitale si fa riferimento alla facoltà di disporre direttamente dei propri dati con adeguati livelli di protezione e riservatezza. Obiettivo che era facile ottenere prima dell’avvento del cloud (ciascuno disponeva di hardware proprio), mentre oggi è molto più complesso. E ciò in conseguenza del fatto che con il cloud i dati sono memorizzati “da qualche parte” a cura di terzi.
Cloud nel futuro
Per motivi economici opporsi a questo trend non è facile e infatti molte basi dati e applicazioni critiche stanno migrando verso il cloud, monopolio di fatto di poche grandi aziende statunitensi.
OVH, un provider low cost
Iniziamo con una breve difesa di OVH. L’azienda è definita un provider low cost. In realtà non era un segreto che lo fosse: addirittura la cosa fu ripetuta più volte durante un servizio della tv francese TF1 andato in onda nel 2014.
(In)consapevolezza del low cost?
Non sappiamo però se gli utenti finali, che spesso acquistano i servizi di OVH tramite terze parti o provider di servizi verticali, beneficiassero di questo prezzo “low” o fossero in alcun modo informati del fatto.
Erano davvero container?
Molte analisi fatte dalla stampa e riprese anche dalla nostra testata puntano il dito sul fatto che il data center incriminato fosse costituito da container. Questi sarebbero meno protetti in caso di incendio rispetto ad una tradizionale struttura in calcestruzzo.
Le immagini
Eppure le immagini del palazzo al divampare dell’incendio suggeriscono che non si sia sviluppato nei container, bensì nell’edificio a fianco, una ex fabbrica ArcelorMittal riconvertita (sembra anche con qualche struttura interna in legno). In ogni caso i container durante l’incendio non appaiono affatto toccati dalle fiamme.
Una struttura comunque sofisticata
La società viene riportata ad un’immagine di serietà e competenza anche in virtù di un’altra considerazione: i server, tutti prodotti in-house, erano raffreddati con un sistema innovativo ad acqua. Inoltre il concetto “data center in container” è proposto anche da altre aziende non proprio secondarie, quali Google e Microsoft.
Lo spionaggio della NSA
In che modo questa vicenda può essere ricondotta al fallimento dell’Europa sulla strada per una sovranità digitale?
Da tempo il presidente francese Emmanuel Macron ha indicato nel possesso fisico dei dati messi in cloud dalle aziende europee un obiettivo imprescindibile. Questione strategica: basti pensare alla possibilità comprovata da parte della NSA statunitense di spiare i dati in transito tra i data center americani. Per non parlare del fatto che questi sono comunque sottoposti ad eventuali subpoena (richieste di produzione di dati anche riservati) da parte della magistratura statunitense.
Una prima risposta
La prima risposta a questi dubbi da parte dei grandi fornitori cloud è stata di creare data center in Europa. Per questi Amazon (AWS) e Microsoft (Azure) forniscono anche numerose cerfiticazioni di conformità – a volte con audit di terze parti – riguardanti perfino l’adesione alle regole GDPR.
Tutto risolto?
No, perché nel 2018 il Congresso degli Stati Uniti d’America ha reso legge il “Clarifying Lawful Overseas Use of Data Act” (appellativo spiritosamente costruito per dar luogo all’acronimo CLOUDa).
Ingerenza federale
Tramite questa legge le agenzie federali possono obbligare le società USA (tramite mandati o citazioni) a fornire al governo tutti i dati eventualmente richiesti. Comprese le informazioni appartenenti a entità estere ed ospitate in territorio esterno agli Stati Uniti.
Sovranità informatica
Gli europei possono dunque legiferare come preferiscono, ma per le società americane prevale la legge americana ed i dati nei server cloud di Amazon, Google Oracle e IBM ospitati in Europa non sono al sicuro.
Gaia-X: un progetto per la sovranità digitale
Per risolvere il problema la Germania e la Francia hanno promosso un’iniziativa denominata Gaia-X. Obiettivo, come recita la home page del progetto, è quello di “creare un’infrastruttura sicura e federata che assicuri i più alti standard di sovranità digitale promuovendo nel contempo l’innovazione”.
Quando e cosa l’organizzazione partorirà resta da vedere. L’impressione è però quella di trovarsi di fronte a un classico progetto europeo, molto ambizioso e assai burocratico.
Le riserve su Gaia-X
Innanzitutto il concept stesso non è chiaro: leggendone la home page troviamo un lungo elenco di ottime proposizioni. Con frasi quali “open digital ecosystem” o “federated data infrastructure that connects centralised and decentralised infrastructures in order to turn them into homogeneus, user-friendly systems”.
Pochi – ci sembra – i riferimenti concreti alle tecnologie supportate (esempio: ci saranno server Oracle? Oppure solo tecnologie di pubblico dominio, quali Postgres?).
Capacità di competizione
Viene da porsi inoltre qualche interrogativo sulla capacità di competere da parte di una giovane struttura di fatto creata da un comitato e su stimolo della politica (si veda il grafico precedente sull’entità degli investimenti necessari per divenire un cloud provider).
OVH e gli investimenti per la sovranità digitale
Torniamo ad OVH e agli investimenti per finanziare la sovranità digitale. Gaia-X è per ora un progetto ed ha un budget di 10 miliardi di euro (presi dalle tasse dei contribuenti).
OVH è invece una struttura già avviata, che si è fatta largo combattendo dall’Europa contro i giganti statunitensi e con capitali propri. Per crescere ulteriormente voleva far riferimento alle borse europee, operazione attualmente in stand-by come abbiamo riportato la settimana scorsa.
Un’opinione che pesa: Frédéric Filloux
Il professore di giornalismo e fondatore di Deepnews.ai Frédéric Filloux è sceso in campo osservando come la scelta dello Stato Francese di non aiutare questa società appaia molto grave, soprattutto alla luce del dirigismo innato e radicato della nazione. Sarebbe stato infatti facile – afferma – imporre alla Banque Publique d’investissement (equivalente francese della Cassa Depositi e Prestiti) di entrarne nel capitale, affiancandosi al contempo al fondatore nelle scelte strategiche (magari consigliandogli strutture meno low-cost).
L’alternativa di Macron
In alternativa Macron avrebbe potuto far sì che un’altra grande azienda che fa riferimento allo Stato, la ex France Telecom (Orange, 23% statale) utilizzasse i servizi di OVH divenendone anche partner tecnologico e finanziario.
Entrambe le scelte avrebbero potuto rafforzare una realtà già leader, fornendo alle aziende europee una reale possibilità di sfuggire al rischio dei cloud statunitensi. E forse a questo lungo black-out. (M.H.B per NL)