h) Il fenomeno. Il sistema IT registra sempre un trend evolutivo molto spinto e spesso a questi spunti spiccatamente avanzati sono connessi nuovi modelli. In questi ultimi tempi si è sentito parlare molto del cloud computing (letteralmente elaborazione nella nuvola) e questo fenomeno è connesso con l’avvento e l’evoluzione della banda larga, quindi con la disponibilità per gli utenti (consumer e business) di elevate velocità di connessione alla rete Internet con immaginabili i vantaggi. Il ruolo, direi fondamentale, di un accesso veloce alla rete Internet ha determinato l’esponenziale incremento delle attività e dei servizi online ove risulti possibile sfruttare l’accesso a risorse esterne alla propria disponibilità e spesso geolocalizzate in zone diverse del mondo.
Sostanzialmente si tratta di tre differenti aspetti di un fenomeno frutto della evoluzione tecnologica e non soltanto della banda larga, che consente connessioni sempre più veloci, ma anche dell’incremento dei costi delle infrastrutture tecniche, posto che è risultato più vantaggioso utilizzare a pagamento sistemi di terzi. L’aspetto caratterizzante questo fenomeno è connesso alla possibilità, sfruttando appunto la velocità della connessione con la banda larga, di utilizzare hardware e software ubicato geograficamente in qualsiasi zona del mondo. Si parla di cloud computing in termini di cloud ecosystem e questa espressione è sufficientemente chiara per esprimere che il fenomeno cloud va considerato come un complesso ecosistema. La Sun sinteticamente chiarisce cosa sia il fenomeno cloud, affermando: “at a basic level, cloud computing is simply a means of delivering IT resources as services”.
In questo contesto, si diceva, si colloca il cloud computing per il quale è doverosa una precisazione. I dati di questo fenomeno li mutuiamo dagli USA ove esiste un’esperienza già consolidata. A tal proposito, per essere precisi, va puntualizzato che il cloud computing fa parte di un genus più ampio che viene definito “distribueted computing”, all’interno del quale sono noti i fenomeni del cloud (compunting) e del grid computing. Si tratta di definizioni molto vicine tra loro le cui differenze sono determinate da aspetti tecnici sui quali non è il caso di soffermarsi. Tuttavia, evidentemente si tratta di fenomeni che consentono l’accesso e l’utilizzo di servizi online secondo i paradigmi che descriverò appresso, proprio mediante l’utilizzo di connessioni veloci e di infrastrutture che non sono materialmente disponibili.
In effetti, l’ITU (International Telecommunication Union) con il report n. 9/2009 (Distributed Computing: Utilities, Grids & Clouds) afferma candidamente quanto segue:
“It is difficult to draw lines between these paradigms: Some commentators say that grid, utility and cloud computing refer to the same thing; others believe there are only subtle distinctions among them, while others would claim they refer to completely different phenomenon.There are no clear or standard definitions”
(è difficile tracciare delle linee tra questi paradigmi: alcuni commentatori dicono che grid, utility e cloud computing si riferiscono alla stessa cosa; altri, ritengono che ci sono sottili distinzioni tra loro, mentre altri ancora vorrebbero assumono che si tratti di un fenomeno completamente differente. Non ci sono definizioni chiare o standard).
Quanto dichiarato dall’ITU attesta che vi sono stati tentativi di classificare il fenomeno (cloud, distribueted o grid) computing, ma non esiste – allo stato – una definizione assoluta.
Tuttavia, può essere d’ausilio un documento dell’americano NIST (National Institute of Standards and Technology), Information Technology Laboratory datato 6/1/2009 (negli USA il NIST è un’Agenzia del Dipartimento del Commercio). Allo stesso tempo è molto utile il report dell’ITU su questi argomenti. Individuate le fonti, il NIST con due note introduttive precisa dapprima che il cloud computing attualmente costituisce un paradigma in corso di evoluzione che potrebbe cambiare nel corso del tempo ed in secondo luogo, viene puntualizzato che “l’industria del cloud computing rappresenta un grande ecosistema di molti modelli, venditori e nicchie di mercato”.
2. La definizione di cloud computing. Dopo la breve descrizione del fenomeno sarebbe auspicabile ottenere una definizione del fenomeno che, sebbene semplice nel dato terminologico, si presenta alquanto complesso nei suoi diversi aspetti. Come si chiariva precedentemente il NIST non rilascia una definizione in termini assoluti, limitandosi ad indicare gli aspetti caratterizzanti il fenomeno de quo. Difatti, la testuale definizione prospettata dal NIST è la seguente:
“Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three delivery models, and four deployment models”
(Cloud computing è un modello pratico per consentire, su richiesta l’accesso alla rete a un pool di risorse di calcolo configurabile (ad esempio, reti, server, storage, applicazioni e servizi) che possono essere rapidamente accantonati e rilasciato con il minimo sforzo o la gestione di servizi di interazione. Questo modello promuove la disponibilità ed è composto di cinque caratteristiche essenziali, tre modelli di consegna, e di quattro modelli di distribuzione).
Com’è evidente si descrive il fenomeno cloud in termini di modello, proprio per le sue caratteristiche pratiche. Proseguendo nella definizione fornita dal NIST, riporto in sintesi le 5 caratteristiche, e i modelli (3 di consegna e 4 di sistema):
caratteristiche: 1) On-demand self-service; 2) Ubiquitous network access; 3) Location independent resource pooling; 4) Rapid elasticity; 5) Measured Service.
Modelli di consegna: 1) Cloud Software as a Service (SaaS); 2) Cloud Platform as a Service (PaaS); 3) Cloud Infrastructure as a Service (IaaS).
Modelli di sistema: 1) Private cloud; 2) Community cloud; 3) Public cloud; 4) Hybrid cloud.
Evidentemente, quindi, è possibile individuare le caratteristiche generali del fenomeno cloud che avrà la sua precisa identità a seconda del paradigma utilizzato. È bene precisare che l’inquadramento del fenomeno proposto dal NIST e la relativa classificazione non coincide del tutto con le impostazioni dell’ITU che, invece, individua dei “computing paradigms” (cloud, edge, grid, utility), dei new services (SaaS, PaaS, IaaS e SOA, quest’ultimo sta per Service Oriented Architecture) e new or enhanced features.
Del resto, il report dell’ITU, per quanto concerne la definizione, afferma:
«In general terms, a distributed system is “is a collection of independent computers that appears to its users as a single coherent system” (Andrew S. Tanenbaum). A second description of distributed systems by Leslie Lamport points out the importance of considering aspects such as reliability, fault tolerance and security when going distributed: “You know you have a distributed system when the crash of a computer you’ve never heard of stops you from getting any work done.”Even without a clear definition for each of the distributed paradigms: clouds and grids have been hailed by some as a trillion dollar business opportunity».
3. I paradigmi. Descritto, seppure sinteticamente, il fenomeno cloud o – a mio avviso più correttamente – dei “computing paradigms”, non è oggetto del presente lavor descrivere i singoli modelli fra cui si anoverano il SaaS, il PaaS e lo IaaS. In realtà, discutere di questi modelli più noti come gli unici paradigmi del cloud non mi sembra molto corretto. È noto che si parla da tempo di IT as a Service e ciò a dimostrazione di come l’intero sistema IT possa essere oggetto di servizio. Sun descrive i tre paradigmi distinguendoli per livelli e rispettivamente highest layer (SaaS), middle layer (PaaS) e lowest layer (IaaS).
Il SaaS è sicuramente il paradigma più diffuso e del quale si sente più spesso parlare; è costituito dall’offerta di servizi software attraverso la rete. L’utente (consumer o business) può utilizzare un certo software collegandosi direttamente tramite Internet ad un URL e da lì utilizzare le risorse. In estrema sintesi è simile ad una forma di outsourcing (sull’argomento richiamo il valido contributo di Stefano Bendandi). Si pensi a Google Apps.
Il PaaS è costituito dalla disponibilità di servizi erogati mediante una piattaforma (da qui appunto il termine (Platflorm as a Service); s’immagini ad servizio web con una distro Linux, un web server e Pearl (ad esempio).
IaaS è acronimo di Infrastructure as a Service e con questa espressione si è soliti fare riferimento ad una serie di sistemi hardware (server, storage, switch, router, ecc.) aggregati da tecnologie di virtualizzazione per la gestione di determinati flussi.
4. Profili giuridico-legali. I profili giuridici che riguardano il fenomeno cloud sono complessi e non identificabili aprioristicamente se non per macrocategorie che richiedono comunque una disamina specifica caso per caso. Ciò anche in considerazione della ubicazione delle risorse (si è detto in principio che caratteristica dei cloud paradigms è la possibilità di usufruire dei relativi servizi indipendentemente dalla loro geolocalizzazione) e della scelta delle parti in ordine al regolamento degli assetti contrattuali.
4.1 rapporto contrattuale – Sul piano giuridico è evidente che i citati paradigmi vengano forniti ed utilizzati in forza di un contratto. Pertanto, tenuto conto che la qualificazione giuridica deve tener conto del nostro ordinamento, dapprima è necessaria la valutazione sulla meritevolezza prevista dall’art. 1322, comma 2, c.c.; superato il profilo della meritevolezza, si deve individuare il tipo contrattuale al quale assimilare il rapporto negoziale. A parere di chi scrive, fatta salva la disamina di ogni singolo caso, i paradigmi cloud sul piano negoziale sarebbero da qualificare come contratti atipici. Ciò in ragione dell’analisi degli elementi essenziali del contratto e del principio di autonomia contrattuale. È noto l’atteggiamento della giurisprudenza che, per dirimere la controversia, spesso utilizza le norme codicistiche di un determinato contratto tipico per non spingersi a qualificare gli assetti negoziali come contratto atipico.
Ciò premesso, va sottolineato come alcuni (Stefano Bendandi), nell’analisi di uno dei paradigmi cloud, hanno assimilato il contratto del SaaS nell’appalto. Ciò posto si potrebbero utilizzare le norme in tema di appalto e, ove compatibili, quelle dettate per la somministrazione. Tuttavia, al fine di poter qualificare assimilabile all’appalto il fenomeno “cloud” va tenuto conto che si tratta di servizi (parlando di SaaS, soprattutto software) messi a disposizione di uno o più utenti ma non realizzati ad hoc per ciascun utente e non prodotti di volta in volta: viene consentito solo l’utilizzo di un servizio di per sé precedentemente già realizzato. Tali aspetti sono, ad avviso di chi scrive, sufficienti per escludere che il contratto cloud possa essere assimilato all’appalto (di servizi). Del resto, a favore della atipicità sono le caratteristiche del cloud su indicate, così come prospettate dal NIST (e precisamente 1) On-demand self-service; 2) Ubiquitous network access; 3) Location independent resource pooling; 4) Rapid elasticity; 5) Measured Service). Proprio dall’esame di tali caratteristiche – ad es. accesso globale alla rete (n. 2 Ubiquitous network access) o servizio automatico a richiesta (n. 1 On-demand self-service) – non sembra sia configurabile un rapporto di appalto di servizi che, invece, presuppone diversi presupposti. Indubbiamente, potrebbero esserci aspetti molto vicini al rapporto di appalto di servizi, ma – ad avviso di chi scrive – la qualificazione del rapporto fa propendere per l’atipicità.
4.2 responsabilità contrattuale ed extracontrattuale – Qualificato il rapporto contrattuale, è necessario che si effettui una disamina approfondita riguardo al contenuto del contratto e cioè degli assetti contrattuali che le parti intendono disciplinare. Difatti, restando nell’ambito della piena autonomia contrattuale è ovvio che le parti saranno libere di includere o di escludere determinati assetti nel contenuto del contratto da sottoscrivere. Pertanto, sarà molto importante per le aziende che offrono servizi cloud una preventiva analisi delle policy per i contenuti da riportare nei contratti (qualora fossero condizioni generali), e nel contempo per l’utente che intende fruire dei servizi cloud valutare attentamente le condizioni prospettate dall’altro contraente che, a seconda del soggetto, potrebbero essere proposte sia in termini di condizioni generali di contratto sia quali clausole da negoziare.
Tuttavia, vanno applicate le norme sui contratti in generale riguardo all’inadempimento e al risarcimento dei danni ma non è questa la sede per approfondire tali istituti.
4.3 rispetto delle norme privacy – Altro aspetto rilevante sul piano giuridico riguarda il rispetto delle norme sulla privacy. Il fornitore di servizi cloud dovrà attenersi agli obblighi di sicurezza (art. 31 codice privacy) ed adottare, quindi, le seguenti misure minime di sicurezza previste dall’art. 34 codice privacy, unitamente alle prescrizione contenute nell’allegato B:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Nicola Fabiano
Scrivi un commento
Accedi per poter inserire un commento