Questo modo di dire rende bene l’idea degli effetti collaterali di un vizio di fondo presente nell’uso corrente della parola “cloud”. Lo si interpreta come qualcosa che non è più nostro, non è più qui. Fluttua in una dimensione eterea, astratta, lontana. E, come le nuvole, è indistinto, inafferrabile, neutro. Ma quando si tratta di dati, non esiste nulla di più concreto del punto in cui questi vengono conservati e del modo in cui vi si accede. Le nuvole digitali sono fatte di cavi, server e teste umane. E sono proprio queste ultime, come al solito, a essere il punto debole di ogni sicurezza. Il recente caso di Allianz Life, che ha subìto una violazione attraverso un attacco a un sistema CRM gestito da terzi (Salesforce, secondo alcune fonti), ce lo ricorda con l’implacabilità dei fatti. Un attore malevolo, non un algoritmo, non un cataclisma naturale, ha utilizzato tecniche di ingegneria sociale per ottenere credenziali di accesso. Tradotto: ha convinto un essere umano a fare qualcosa che non doveva fare. Non ha forzato la serratura, ha bussato e si è visto aprire la porta. Ma non basta dire che è colpa dell’errore umano. Dietro quell’errore si apre uno spettro di domande ben più profonde: di chi è la responsabilità quando un dato custodito da un fornitore viene trafugato?
La supply chain digitale è un mostro a più teste: ogni servizio esternalizzato, dal CRM al backup, dalla posta elettronica all’analisi dei dati, è una nuova giuntura in cui il sistema può essere forzato. Ogni partner è un potenziale varco, ogni cloud è una casa in affitto le cui chiavi, se non custodite bene, aprono anche la nostra cassaforte. Ma il problema non è solo tecnico, ma anche etico e giuridico.
Esternalizzare una funzione non significa esternalizzare la responsabilità. Non si può ragionare come se il rischio si trasferisse per contratto, come se la colpa fosse a carico dell’altro solo perché gli abbiamo affidato il compito. Il cloud non è un’alchimia morale: non fa evaporare le nostre responsabilità. Chi raccoglie, gestisce e beneficia dei dati deve vigilare, sempre. Deve sapere chi sono i suoi fornitori, come lavorano, con quali strumenti proteggono le informazioni e se adottano – o meno – le migliori pratiche. Deve prevedere che l’anello debole, prima o poi, si spezzerà. E deve rispondere delle conseguenze.
Il caso Allianz lo dimostra. I dati erano custoditi in un sistema cloud gestito da terzi. Le informazioni non erano criptate. Le credenziali di un utente Allianz sono state sottratte tramite raggiro. Le vittime sono i clienti, che ora chiedono non solo un risarcimento, ma che si riconosca un principio: chi affida il proprio patrimonio informativo ha diritto a sapere che sarà trattato in sicurezza, ovunque si trovi, da chiunque venga gestito.
C’è, infine, un’ulteriore questione, forse la più trascurata: la fiducia. Le aziende si basano su di essa, ma troppo spesso la interpretano come delega in bianco. Delegano alla tecnologia la responsabilità del discernimento, al contratto quella della coscienza, e agli utenti quella del danno. Ma la fiducia è una costruzione fragile, non si compra al gigabyte, non si protegge con una password.
Il fattore umano, che è all’origine del problema, è anche l’unico che può costruire una cultura della sicurezza degna di questo nome. Una cultura che non si affidi all’invisibilità del cloud, ma alla visibilità delle scelte. Che non insegua l’illusione dell’infallibilità tecnica, ma coltivi la consapevolezza del limite.
Perché nel cyberspazio, come nella vita, non è ciò che non vediamo a tradirci. È ciò che abbiamo deciso di non guardare abbastanza bene.