L’incendio del data-centre di OVH. Di chi sono le colpe, veramente?

Siti web e di servizi pubblici e privati sono stati messi fuori uso dall’incendio di uno dei data-centre di OVH a Strasburgo. Nessuno evidenzia le responsabilità dei clienti di Andrea Monti – Originariamente pubblicato su PC Professionale n. 362

Il 10 marzo 2021 uno dei data-centre OVH localizzati a Strasburgo è andato a fuoco. Di conseguenza, milioni di web e un gran numero di servizi online di aziende private e pubbliche amministrazioni ha cessato di funzionare. Gli effetti dell’incendio si sono propagati fino all’Italia, dove alcune pubbliche amministrazioni locali hanno subito il blocco delle loro attività online.

La prima reazione è stata quella di scaricare la responsabilità sul fornitore di servizi di data-centre, invocando anche un suo (presunto) dovere di rispettare le misure di sicurezza imposte dal Regolamento comunitario sulla protezione dei dati personali.

In realtà, tuttavia, le cose non stanno esatamente in questo modo perché, per quanto controintuitivo possa sembrare, la principale responsabilità legale è dei clienti di OVH. Spetta a loro, infatti, verificare prima di acquistare i servizi se questi rispondono alle loro necessità di conformità normativa.

Ma andiamo per ordine.

Quando un’azienda o un’istituzione pubblica decidono di utilizzare soggetti terzi per fare cose che ben potrebbero gestire autonomamente  il primo obbligo normativo da rispettare è la definizione preventiva delle caratteristiche tecniche del servizio. In altri termini, è la pubblica amministrazione di turno che deve porsi il problema del decidere se acquistare, per esempio, anche servizi di back-up o disaster-recovery e come dovrebbero essere dimensionati questi servizi. Solo a valle di queste valutazioni è possibile procedere con la richiesta di un’offerta, con la valutazione della coerenza dell’offerta con le specifiche tecniche richieste e dunque con la stipulazione del contratto.

Questo è un elemento fondamentale di tutto il ragionamento: i clienti acquistano un servizio tecnologico, non delegano il trattamento dei loro dati. Di conseguenza le responsabilità del fornitore di servizi di comunicazione elettronica sono misurate sul contenuto del contratto. In altri termini, dunque, se io cliente richiedo un servizio che non comprende il back-up geografico e – come nel caso di OVH – il data-centre va a fuoco, non posso accusare il fornitore di mancata tutela dei dati perché quest’ultimo non aveva il dovere contrattuale di farlo.

La scarsa attenzione da parte dei clienti agli aspetti legali dell’uso di servizi basati su data-centre dipende, senz’altro, dalla scarsa attenzione che riservano a questi profili: sono percepiti come una complicazione inutile e costosa. Ci sono, tuttavia, anche gli aspetti dei costi e dei tempi di rilascio del servizio da prendere in considerazione: per un cliente, capire di cosa ha bisogno e progettare il servizio implica sostenere costi aggiuntivi e allungare la messa in produzione. Specie in situazioni dove le risorse umane e finanziarie sono limitate non stupisce che si faccia finta di niente: in nome del “tanto cosa vuoi che succeda”.

Spesso, inoltre, il cliente non sa nemmeno che sta utilizzando un sub-fornitore per i servizi hosting o cloud. Web e media agency, singoli webmaster e società di consulenza spesso non hanno dei propri data-centre (per quanto piccoli) e anche se gestiscono direttamente il proprio hardware, non lo tengono certo “in casa”. Questo è vero, in modo particolare, per servizi Saas, cloud e, in generale, per tutti quelli che richiedono un continuo aggiornamento di server, sistemi operativi e piattaforme. In questi casi, infatti, il cliente acquista (o più spesso, noleggia) dal service provider anche le macchine e i servizi di amministrazione. 

Ovviamente, questo modo di erogare servizi internet è del tutto legale e non si può certo imporre a chi opera nel settore di dotarsi di infrastrutture che generano costi organizzativi difficilmente sostentibili per strutture medio-piccole. Ad ogni modo, questo non è possibile senza informare il cliente finale. Il fornitore, in altri termini, è obbligato a dichiarare  che eroga i propri servizi in parziale subappalto, ma non sempre lo fa.

Dal caso OVH emergono delle indicazioni molto chiare per quanto riguarda l’utilizzo di servizi di data-centre da parte di aziende e istituzioni. La prima è quella di scegliere con attenzione non solo la tipologia di servizi, ma anche le loro specifiche caratteristiche tecniche. Bisogna, in altri termini, entrare nel merito di cosa si sta comprando. In secondo luogo, è indispensabile capire se il fornitore eroga i propri servizi in autonomia oppure si serve di subappaltatori. In questo caso sarà necessario essere certi che il fornitore sia contrattualmente responsabile verso il cliente anche per eventuali negligenze dei “terzisti”. Il che porta al terzo punto di attenzione, quello della garanzia di un risarcimento effettivo: poco importa che un fornitore abbia accettato di essere responsabile anche della fine del mondo, se poi – in concreto – non può fare fronte ai propri obblighi di riparazione dei danni.

Questo conclusioni rivelano un aspetto sgradevole ma reale del mercato dei servizi web: non sono molti i soggetti che hanno le spalle sufficientemente larghe per fornire ai propri clienti garanzie realmente efficaci. Di conseguenza, un numero rilevante di servizi online è erogato senza una reale possibilità di copertura di un eventuale risarcimento, nemmeno tramite una polizza assicurativa (tema, questo, che richiederebbe un discorso a parte). Ciononostante, i clienti continuano a ignorare questi aspetti, esponendo a rischi i dati dei quali hanno la responsabilità giuridica e trascurando l’impatto dei disservizi provocati da una non corretta valutazione dei propri fornitori.

Tanto, cosa volete che succeda.

Possibly Related Posts: