Così l’Unione europea può diventare un gigante dei diritti digitali

Giovanna Faggionato
04/04/2018

Rendere pubblico un algoritmo non basta, a controllarlo devono essere i cittadini. Dal caso Facebook al nuovo regolamento sulla privacy: parla Cunietti di Enter, l'azienda che ha portato l'open source nel cuore di Bruxelles. 

Così l’Unione europea può diventare un gigante dei diritti digitali

da Bruxelles

La felpa da geek informatico, con la bandiera italiana ed europea cucita sulla spalla, questa volta l'ha lasciata nell'armadio. Lo spirito però sembra piuttosto intatto: «A me ci sono voluti due giorni», sorride Mariano Cunietti, chief tecnology officer di Enter, l'unica impresa italiana accreditata per fornire servizi cloud a 52 istituzioni europee, soprattutto l'unica che lo fa utilizzando un sistema open source, guidando un consorzio tutto europeo, la CloudTeamAlliance, che è un piccolo Davide che tenta l'impresa contro Golia come Amazon, Microsoft o Ibm. «Era il 2009, ho visto che si trattava di un esercizio di puro voyeurismo e dopo 48 ore mi sono cancellato da Facebook. Per mesi però ho continuato a ricevere messaggi da amici a cui ero sempre visibile. Il mio profilo era formalmente disattivato, ma in realtà esistevo ancora come entità. Per scomparire del tutto sono serviti due anni».

«È SUCCESSO QUEL CHE DOVEVA SUCCEDERE». Al tavolino laccato di un caffè italiano affacciato alla rotonda dove si guardano in faccia l'un l'altro il quartier generale della Commissione europea, la sede del Consiglio e il palazzo che ospita gli uffici della macchina diplomatica Ue, il menù della conversazione con il manager dell'information technology è dettato dalla cronaca dei quotidiani: la tempesta che sta facendo crollare l'impero di Zuckerberg in Borsa, il caso di Grindr, l'ennesima conferma arrivata in pochi anni del grande suq globale dei nostri dati personali, l'attivismo dei leader – i progetti di Emmanuel Macron di fare della Francia il nuovo hub della ricerca sull'intelligenza artificiale e quelli di Angela Merkel sull'industria dei dati – le possibilità dell'Unione europea, così dipendente dalla tecnologia made in Usa, di proporre davvero un modello differente. Perché a sentire Cunietti nella vicenda di Facebook non c'è nulla che è andato storto: «La verità è che è successo quello che doveva succedere, è andata esattamente come doveva andare secondo quel sistema di business. I problemi nascono sempre quando siamo stupidi al punto da delegare a qualcun altro gli strumenti e i processi che ci riguardano».

DOMANDA. La commissaria europea alla giustizia Vera Jourova ha chiesto a Facebook di chiarire se nel caso di Cambridge Analytica siano stati coinvolti cittadini europei: cosa ne pensa?
RISPOSTA.
Penso che il Safe Harbour, cioè l'accordo che fino alla fine del 2015 regolamentava il modo in cui oltre 4.500 aziende americane potevano esportare e gestire i dati dei cittadini, non era tanto Safe. Era più una Pearl Harbour.

D. Quell'accordo si basava su una autocertificazione che le aziende presentavano dicendo di rispettare le norme Ue del 1995. Ed è stato abbattuto da due persone: l'attivista Maximilien Schrems è riuscito, grazie alle rivelazioni di Edward Snowden, a sconfiggere sia Facebook sia le istituzioni europee in tribunale. A questo punto però abbiamo negoziato con gli Usa un'altra intesa ora in vigore: il Privacy Shield, ma per l'Ue gli Usa ancora non offrono abbastanza garanzie contro sorveglianza di massa e abusi.
R.
Il Privacy Shield è stato adottato nel 2016 solo qualche mese dopo che la Corte di giustizia Ue aveva invalidato l’accordo precedente: è chiaro che si è trattato di una foglia di fico da mettere su una situazione di illegalità, una pezza per coprire una situazione delicata che coinvolgeva migliaia di società americane. Come si fa altrimenti in così poco tempo ad affrontare una materia così complessa?

D. Materia di cui ora sembrano tutti consapevoli: come giudica questa campagna contro Facebook? Non le sembra estemporanea?
R.
In ogni caso è una campagna da condividere. Vede, c'è una sicurezza apparente e una reale. Quella apparente è data da quello che si vede: le camionette della polizia, i badge, gli uomini delle security dappertutto. L’altra, quella reale, deriva da chi ha il controllo degli strumenti, e chi detiene il controllo degli strumenti ha il controllo delle informazioni. In Facebook il prodotto sono le informazioni, sei tu: questo è esattamente il suo business.

D. Voi avete venduto alle istituzioni Ue un modello completamente differente, direi opposto: un servizio cloud open source.
R
. L'approccio open source è quello della sicurezza attraverso la trasparenza, quello diffuso oggi è invece una sicurezza basata sull'opacità. Ed è un approccio che si paga, perché i problemi di sicurezza provocano i crolli in Borsa: è successo a Yahoo! ed Equifax in passato, a Zuckerberg oggi.

D. Come fanno a conciliarsi sicurezza e trasparenza?
R
. Prendiamo il programma di cloud open source che utilizziamo noi: oggi chiunque può andare in Rete su GitHub, una sorta di deposito di software, una Wikipedia del codice sorgente, e guardare i tubi dove passano le informazioni che gli affidi. Le persone che guardano i tubi possono trovare le vulnerabilità del sistema e aiutare a ripararle. Ovviamente anche i malintenzionati possono farlo, ma statisticamente quelli che sono in grado di trovarle sono cresciuti negli ambienti dell’open source. E poi c'è un ottimo lavoro che sta portando avanti la task force del Centre for european policy studies al Parlamento europeo sulla trasparenza nella rivelazione di vulnerabilità software, c’è bisogno di definire nuove regole anche sul piano normativo e penale su come si affrontano i singoli casi.

D. I governi hanno però delle difficoltà oggettive nell’utilizzare l’open source, cioè infrastrutture visibili, date le informazoni sensibili che trattano.
R.
Certo, per alcune tipologie di informazioni è difficile. Ma in Italia il team per la trasformazione digitale ci sta provando con i programmi per la pubblica amministrazione. Non siamo ultimi in questo. L’Estonia adotta soluzioni open source, persino nel sistema di voto, dal 1995. E noi siamo accreditati per la gestione del cloud pubblico delle istituzioni e delle agenzie Ue con un sistema open source, anche se ovviamente in un bando che riguarda informazioni non sensibili. Per intenderci, non include la gestione dei dati giudiziari dell’Europol.

D. Perché dovrebbe essere un sistema migliore per il cittadino?
R.
Potenzialmente ogni persona abile o curiosa potrebbe osservare il meccanismo che gestisce i suoi dati e proporre miglioramenti. È come dire: ho la possibilità di osservare come funziona la procedura per distribuire le carta di identità, osservo che ci mettono due settimane e trovo un sistema più semplice perché venga fornita in un giorno. Il punto non è dunque semplicemente il concetto di apertura, ma di comunità collaborativa. Se vogliamo anche Google è open source, ma non c’è la possibilità che ognuno porti dentro al sistema il suo contributo.

D. Quindi non si tratta solo di abbracciare l'apertura dei dati, della necessità di «rendere pubblici gli algoritmi» come propone Macron che intanto però ha siglato un patto con Ibm per il trattamento dei dati sanitari "anonimizzati" dei francesi. Il punto è sempre chi ne detiene il controllo?
R.
Esatto. Nel caso del nostro cloud, Open Stark, si tratta di un software controllato da una fondazione non profit a cui lavorano tra gli 80 e i 90 mila sviluppatori nel mondo provenienti da 130 Paesi. Che fanno scelte di programmazione e design in base all’esigenza degli utenti.

D. Anche le grandi multinazionali fanno scelte in base alle esigenze degli utenti, non si può non riconoscere che abbiano battuto la concorrenza offline in tanti settori proprio per la centralità che hanno dato all'utente.
R. Per Amazon però ogni scelta è business. I grandi player americani ci vedono tutti come consumatori e rispettano i nostri diritti in quanto consumatori. Se l’Europa ci vuole vedere come cittadini, vuole trattare i nostri diritti digitali in quanto cittadini, deve scegliere un altro modello.

D. Per differenziarsi dagli Usa ed essere coerente con la propria concezione dei rapporti tra diritti di cittadinanza e diritti dei consumatori, l'Ue dovrebbe abbracciare quella che si può definire una "economia sociale di mercato" dei dati?
R.
Economia sociale di mercato mi sembra un'altra definizione di open data. Bisogna, però, ricordare che la dimensione pubblica ha il suo limite nella privacy, un concetto molto più profondo di quello a cui tendiamo a pensare. L’idea di privacy nacque nell’800 e la formulazione originale è: il diritto di essere lasciato solo. Un diritto che va di pari passo con la consapevolezza che non tutto quello che fa l’individuo è accettato dalla collettività.

D. Per l’Ue la privacy è già un diritto fondamentale. E il 25 maggio entrerà in vigore il regolamento generale sulla protezione dei dati (Gdpr) che prevede un maggiore controllo da parte degli utenti e multe fino al 4% del fatturato per le aziende che lo violano. È il passo in avanti che ci si attendeva?
R.
Certamente con questo regolamento avremo un miglioramento netto. Finora sicurezza e privacy sono state intese separatamente, nelle nuove norme vanno finalmente di pari passo.

D. Si spieghi meglio.
R.
Nella versione precedente c'era una check list per cui l’azienda doveva rispondere a un elenco di obblighi formali. Si chiedevano cose come «fai l’aggiornamento dell’anti virus almeno ogni 12 mesi». Ora la sicurezza è stata finalmente innestata nei processi, il focus è sull’impianto del modo in cui si trattano i dati. Si dice all’azienda: tu conosci le tue procedure, tu devi fare la valutazione del rischio e quando vengo a farti i controlli vedo che misure hai preso per far fronte al problema. Tutto sta nella presa di responsabilità.

D. Gli analisti dicono che l’impatto della normativa andrà ben oltre i confini europei, che il Gdpr diventerà la normativa di riferimento a livello globale: concorda?
R.
Sì, l'ambizione è davvero spostare gli equilibri del controllo a livello globale. L’Europa su questo è un gigante, io me la ricordo Viviane Reading (ex commissaria al Digitale, ndr) dire a una platea di manager di Facebook, Google, Amazon & Co.: «Volete giocare nel nostro campo? Allora giocate alle nostre regole».

D. Ok, ma cosa cambia concretamente per questi colossi?
R.
Che dovranno di fatto sdoppiare la gestione dei dati, perché quelli dei cittadini europei restano qui, nel senso virtuale, ovviamente: sono sottoposti alla nostra giurisdizione e non possono essere trattati insieme agli altri.

[mupvideo idp=”5756167101001″ vid=””]

D. E le società europee? L'Ue impone nuove regole agli Usa, ma sarà anche in grado di essere davvero competitiva come vorrebbero Macron che punta sull’intelligenza artificiale e Merkel che punta sull’industria dei dati?
R. Io credo che l’Europa possa farcela e anche in brevissimo tempo.

D. E come?
R.
Il punto di partenza è che l’Europa non esprime molte imprese globali, ma non è nemmeno vero che l’innovazione sia solo nella Silicon Valley: là hanno capitali e capacità di packaging e marketing. Ma le competenze sono spesso europee. Quindi non ci sono da fare piani quinquennali, ma regole chiare e semplici. E mettere fine a quella che è una sorta di schizofrenia.

D, Cosa intende?
R.
Che mentre sui principi l’Ue va nella direzione giusta, nell’esecuzione ci sono mille problemi, tra cui la burocrazia e gli interessi di chi dall’esterno cerca di condizionare le decisioni sotto la nostra sovranità.

D. Ogni riferimento a quello che succede nelle attività di lobbying a Bruxelles è puramente casuale?
R. ​Diciamo che ci sono grandi imprese che presso le istituzioni europee hanno messo le tende e stiamo parlando di player che non sono solo i leader di questo mercato, ma le prime dieci società al mondo. E poi ci sono aziende come la nostra: siamo 75 in tutto, dove solo 18 si occupano del cloud mentre siamo la sola impresa europea assieme alla britannica British Telecom e Atos (Siemens, ndr) a essersi accreditata come fornitore per le agenzie dell'Ue.

D. Si è accreditata anche Telecom Sparkle…
R.
Che però è in cordata con Amazon, di cui rivende i servizi.

D. Ma allora si può davvero essere ottimisti?
R.
Non solo si può, si deve. Io ho una figlia di sei anni, pago ogni anno Wikipedia perché abbia una formazione libera, e sto lavorando perché, qualora un bullo volesse malauguratamente mettere un filmino di mia figlia in Rete, il mio Stato sia già intervenuto per garantirle il diritto alla privacy, cioè il diritto di stare da sola. Per riportare il controllo ai cittadini, e quindi a lei.