Download
Condividi
Mathias Brenner
CTO of Sherpany

CLOUD Act: Perché i server svizzeri sono l'opzione più sicura per la protezione dei dati sensibili

A partire dal 2001, per effetto del Patriot Act, le aziende americane sono tenute a divulgare tutti i dati, propri e di terzi, su richiesta delle autorità statunitensi. Con il CLOUD Act del 2018, le autorità governative americane hanno ora ottenuto l'accesso anche ai dati memorizzati da tali aziende su server stranieri.


A questo riguardo, ha recentemente fatto notizia l’acquisizione della società tedesca Brainloop da parte del fornitore di software americano Diligent ("Una società americana acquista il database Dax", Die Welt1), poichè l’azienda teutonica perde così la sua sovranità in materia di protezione dei dati2, con un rilevante impatto sul mercato internazionale. Molte aziende europee si affidano infatti al fornitore tedesco Brainloop, storicamente basato a Monaco di Baviera, per la gestione e lo scambio di informazioni sensibili a livello di Consiglio di Amministrazione e di top-management. Queste società, tra le quali si registra circa il 70% delle quotate sull’indice DAX di Francoforte, affrontano ora un rilevante rischio di violazione della privacy: il potenziale accesso a dati confidenziali e strategici da parte delle autorità americane.

Questa acquisizione potrebbe creare quindi una situazione delicata in Europa. Secondo un sondaggio EY del 2018 sulla digitalizzazione dei CdA, circa la metà dei Consigli di Amministrazione europei discute regolarmente argomenti relativi alla sicurezza informatica, e in particolare alla fuoriuscita, alla protezione e alla sovranità dei dati. Alla luce di questa recente acquisizione, diventa dunque ancora più importante valutare con attenzione le nuove struttura di proprietà e le sfide di sicurezza associate a un mondo cibernetico in cui le società americane rischiano di regnare sovrane.

Infatti, sebbene Brainloop indichi che i dati dei propri clienti sono salvati esclusivamente in centri dati situati in Germania o in Svizzera, gli adeguamenti organizzativi e legali derivanti dall'annunciata acquisizione di Brainloop da parte di Diligent non sono ancora noti. È chiaro però che le autorità americane possono ora utilizzare i diritti garantiti loro dal CLOUD Act per accedere ai server stranieri, e quindi ai relativi dati.

In questo senso, tutti i principali fornitori di servizi cloud, ovvero Amazon, Google e Microsoft con Azure, sono sempre più fonte di preoccupazione a diversi livelli, in termini di sicurezza e privacy dei dati. Anche gestendo centri dati al di fuori degli Stati Uniti, la domanda ora è: quali fornitori hanno un reale controllo sui dati e chi vi ha accesso utilizzando la propria struttura proprietaria?

I recenti procedimenti giudiziari intentati contro Microsoft mostrano gli sforzi delle autorità americane per ottenere l'accesso e il controllo dei dati di fornitori di servizi cloud. Sebbene Microsoft abbia annunciato una vittoria parziale nell'aprile 2018, recentemente, è in corso un nuovo processo nell'ambito di questo nuovo regolamento3

Per le aziende europee, che devono rispettare il GDPR (Regolamento generale sulla protezione dei dati), la nuova legislazione americana solleva poi ulteriori problemi di conformità. Il CLOUD Act, che obbliga le aziende americane a fornire l'accesso ai propri dati anche se le leggi straniere locali lo proibiscono, crea un conflitto internazionale di applicabilità legale. Gli effetti di questa disputa legale sono ancora difficili da valutare al momento, ma non devono assolutamente essere ignorati, poiché rischiano di lasciare pericolosi vuoti legislativi, con un relativo alto rischio di sicurezza.

La legge svizzera afferma addirittura che l'esternalizzazione dei dati all'estero comporta un aumento dei rischi e delle spese aggiuntive. Ad esempio, l'outsourcing per banche e assicuratori è regolato in dettaglio dalla FINMA (l'Autorità federale di vigilanza sui mercati finanziari). I dati possono essere trasferiti all'estero solo se la compagnia può garantire espressamente che la propria compagnia di revisione e la FINMA possano esercitare e far valere i propri diritti di ispezione e di esecuzione4.

Come azienda svizzera, Sherpany fornisce esclusivamente servizi di cloud hosting in centri dati altamente protetti sul territorio svizzero, garantendo totale preclusione all’ingerenza di terze parti sui dati. Inoltre, Sherpany offre ai suoi clienti una duplice strategia di sicurezza, combinando i vantaggi di un cloud privato con l'archiviazione criptata dei dati nell'azienda stessa. Per queste ragioni, Sherpany è certificato ISO 27001 e certificato ISAE 3000 (tipo 2), ed è conforme alle normative di outsourcing della FINMA (l’Autorità federale svizzera di vigilanza sui mercati finanziari), che è diventata un punto di riferimento internazionale per la sua severità in materia di gestione e protezione dei dati.

 


1. https://www.welt.de/wirtschaft/article178949388/US-Firma-Diligent-kauft-IT-Sicherheitsexperten-Brainloop.html 
2. https://steigerlegal.ch/2018/03/28/cloud-act-nutzerdaten/
3. https://www.heise.de/newsticker/meldung/Microsoft-vs-USA-Supreme-Court-entscheidet-nicht-ueber-internationalen-Datenzugriff-4026378.html
4. https://www.finma.ch/de/news/2017/12/20171205-mm-rs-outsourcing/

Mathias Brenner
CTO of Sherpany
Mathias Brenner has an academic background in Applied Science in Management and IT services. After successfully coordinating the financial direction of the company, its day-to-day logistics and team management affairs, the former COO is now fully dedicated to product performance improvement.

Visit Insights and Resources for more information on security.

Approfondimenti e Risorse

facebooktwittergoogle-plus2linkedin2envelopsearch

Approfondimenti e Risorse

Sherpany fornisce business news, articoli di esperti, interviste esclusive, casi-studio e best practice sulla digitalizzazione e sull'evoluzione delle riunioni del CdA, delle direzioni aziendali e delle segreterie societarie.

Gli esempi di contenuti riguardano:

  • Board portal e software di gestione delle riunioni
  • Digitalizzazione delle riunioni
  • Governance e compliance
  • Leadership

Contatta Sherpany

Siamo lieti di fornirti maggiori informazioni su come il portale Sherpany sia allo stesso tempo conforme e sicuro. Compila il modulo e ci metteremo in contatto con te al più presto.

*Campo obbligatorio.

La newsletter non è al momento disponibile in italiano, La preghiamo di iscriversi ad una delle seguenti lingue: