Tutti i dettagli della speciale tavola rotonda su GAIA-X e sulla sovranità dei dati in Europa tenutasi durante l’evento di VMworld il 5 ottobre.
Il cloud è un fenomeno inarrestabile, un motore di straordinaria portata tecnologica ed economica per l’innovazione dell’universo IT. A fronte di un’offerta sempre più ampia da parte dei CSP (Cloud Service Provider), aumenta esponenzialmente anche la complessità delle infrastrutture multicloud cui le aziende si affidano per gestire i loro servizi e le loro applicazioni.
Quanto è possibile, oggi, fidarsi realmente nel posizionare i propri dati sul cloud? Le regole del gioco sono chiare? Il livello di compliance e sicurezza è adeguato rispetto agli standard normativi e prestazionali che le aziende europee devono soddisfare per rispettare le leggi dei propri paesi di appartenenza e rispettare gli obiettivi di business dei loro clienti?
La risposta alla maggior parte di queste domande non è quasi mai del tutto affermativa. Il mondo cloud presente moltissime zone d’ombra che il progetto europeo Gaia-X si propone di fugare una volta per tutte, per stabilire regole chiare, uguali per tutti, oggettive e tecnologicamente aperte a chiunque voglia condividere i propri servizi con l’effettiva domanda proveniente dal mercato, per stabilire un concetto di sovranità dei dati finalmente omogeneo e capace di dare alle realtà imprenditoriali un’oggettiva fiducia nei confronti del cloud.
Se ne è parlato a VMworld (qui tutti i dettagli), in una tavola rotonda sulla sovranità dei dati che ha coinvolto Francesco Bonfiglio (CEO, Gaia-X), Joe Baguley (VP e CTO EMEA, VMware), Pauline Flament (CTO, Michelin) e Sylvain Rouri (CSO, OVHcloud). L’evento corporate di VMware ha costituito l’occasione per un punto di confronto e per un aggiornamento dello stato dei lavori di Gaia-X, un’iniziativa che sta riscontrando un successo sempre più importante, coinvolgendo già oltre 300 aziende, provenienti da tutto il mondo.
VMworld, cos’è Gaia-X
Gaia-X è stato etichettato come il cloud europeo, ma rappresenta in maniera specifica un progetto mirato a realizzare un’infrastruttura su base comunitaria per raggiungere la sovranità digitale delle aziende europee.
In altri termini, Gaia-X intende creare le condizioni affinché le aziende europee possano finalmente godere di un contesto multicloud in cui i loro dati siano più facilmente interoperabili, in cui venga nativamente garantita la tutela della privacy secondo le normative vigenti in UE, secondo elevati standard di sicurezza informatica.
Il progetto Gaia-X è nato sulla scia della Strategia europea sui dati, che vede tra i propri obiettivi a scadenza 2030 una fornitura europea di cloud significativi ed affidabili, in grado di competere tecnologicamente con l’offerta degli hyperscaler americani e garantire standard più elevati in termini di trasparenza. Tutto questo considerando come l’Europa sia un terreno d’azione molto frammentato, in cui la dimensione unitaria fatica ancora ad emergere, a dispetto di un campanilismo accentuato dalla presenza di differenti normative a livello nazionale.
In questo contesto Gaia-X non assume la presunzione di voler fornire servizi cloud risultando un competitor trusted degli hyperscaler americani, ma intende connettere gli ecosistemi cloud esistenti in modo da garantire una gestione dei dati supportata da regole che giochino a vantaggio delle realtà europee.
Con la risoluzione del Parlamento europeo del 25 marzo 2021 sulla “Strategia europea per i dati”, l’organo di governo comunitario ha ratificato i lavori dell’apposita Commissione, designata per stabilire i criteri e i requisiti fondamentali per garantire la sostenibilità economica delle imprese e la loro competitività a livello internazionale, così come la crescita della ricerca universitaria e dei centri privati, oltre allo sviluppo delle tecnologie emergenti basate sul cloud, con particolare enfasi per l’intelligenza artificiale.
Su queste basi l’Europa, attraverso l’attuazione di piani come il Next Generation Europe (recepito in Italia dal PNRR), intende promuovere un contesto di innovazione sostenibile sulla base di una crescita che sappia dare risultati resilienti in termini di benessere economico e stabilità sociale, favorendo quegli aspetti di inclusione che finora sono stati troppo spesso trascurati, creando evidenti situazioni divisive.
In questo contesto l’Italia ha presentato la Strategia italiana per il cloud pubblico, come ha precisato il Ministro per l’innovazione tecnologica e la transizione digitale, Vittorio Colao: “Abbiamo deciso di creare un cloud unico per la P.A. con giurisdizione italiana e con l’accesso alle migliori tecnologie internazionali, perché sappiamo che tutte le migliori tecnologie in questo ambito non sono italiane”. Una dimensione inclusiva, aperta e allo stesso tempo ben regolamentata, che recepisce di fatto la direttiva europea e trova conforto nel modello francese, che fonda sulla sovranità digitale il fondamentale pilastro per lo sviluppo dell’infrastruttura cloud che occorre alle aziende per accelerare il proprio percorso di trasformazione digitale. Tali principi risultano ovviamente conformi e coerenti con la missione tecnologica di Gaia-X.
Al di là di essere coerente con le intenzioni dei governi, Gaia-X è un’organizzazione internazionale indipendente, senza finalità di lucro, che non percepisce finanziamenti pubblici. Si tratta quindi di un’associazione che intende essere rappresentativa del mercato. Bonfiglio precisa come: “Non vogliamo creare una barriera attorno all’Europa, non avrebbe alcun senso, finiremmo soltanto per penalizzare le aziende europeo. Occorre piuttosto definire linee guida e strumenti open source che possano agevolare il contributo di tutti i provider nel comune interesse dell’innovazione europea, ed è la ragione per cui anche big tech come Amazon, Google e Alibaba sono già presenti in Gaia-X. È nel loro interesse essere nel mercato europeo e conoscerlo in maniera più approfondita, ma dovranno seguire le nostre regole, altrimenti non saremo in grado di certificare i loro servizi”.
Attualmente Gaia-X risponde alla legislazione belga, paese europeo in cui ha stabilito la propria sede.
Il problema: l’Europa non ha un’infrastruttura cloud di riferimento
L’assenza di grandi infrastrutture cloud europee ha fatto si che le aziende continentali si rivolgessero in larga misura ai CSP americani, in particolar modo agli hyperscaler come Amazon, Microsoft e Google, che da sole detengono una quota parte di assoluta rilevanza a livello internazionale. Il che non rappresenta certamente una colpa per i provider, anzi, senza i loro servizi ben difficilmente milioni di lavoratori avrebbero potuto operare in remote working durante la pandemia, così come milioni di studenti avrebbero potuto seguire la didattica a distanza. Il problema oggettivo, acuito dall’emergenza pandemica è che il cloud europeo non è assolutamente pronto per supportare lo scenario di crescita atteso a livello UE, in termini di autonomia, resilienza e, in molti casi, di qualità tecnologica.
L’Europa è insomma costretta a dipendere dagli altri altri, a differenza di quanto accade ad esempio in Cina, dove colossi come Alibaba Cloud sono in grado di assicurare alle aziende cinesi quel cloud nazionale che le rende, almeno sotto questo aspetto, parzialmente al sicuro dagli effetti della guerra fredda che intercorre con gli Stati Uniti, sempre pronti ad adottare sanzioni devastanti per l’economia dei propri rivali. Ne sanno qualcosa Huawei ed altre centinaia di aziende che si sono viste private di alcune tecnologie esclusive, come i chip indispensabili per costruire i propri dispositivi. Gli stessi fornitori di servizi americani, per quanto possano in parte godere di una maggior tutela, finiscono per essere danneggiati dagli effetti causati dalla contrazione del loro mercato di riferimento.
Il concetto di fondo è molto semplice. Le regole degli hyperscaler e soprattutto del governo americano non sono in questo momento convenienti per la linea di innovazione che l’Europa, se pur in una condizione di ritardo, è chiamata ad affrontare per rinnovare la competitività delle proprie aziende a livello internazionale. Un contesto reso ancor più difficoltoso dall’oggettiva frammentazione e dalla difficoltà di fare rete tra le realtà imprenditoriali dei differenti paesi dell’Unione.
Non bisogna infatti dimenticare che, a seguito del Cloud Act, stipulato nel 2018, il governo americano pretende il diritto di acquisire dati informatici dagli operatori di cloud computing, con la sola condizione che questi sia soggetto alla giurisdizione degli Stati Uniti. La provenienza geografica dei clienti diventa del tutto irrilevante.
In altri termini, se un’azienda europea utilizza i servizi di un CSP americano, come Amazon, Microsoft o Google, i suoi dati diventano automaticamente controllabili dal governo USA, in quanto il provider coinvolto è soggetto alla giurisdizione degli Stati Uniti. È evidente che, a queste condizioni, molti enti pubblici, piuttosto che istituzioni sanitarie chiamate a gestire dati estremamente sensibili, non possano collocare i propri dati su un cloud pubblico di un provider americano. E lo stesso vale per aziende private che hanno segreti industriali.
Dal momento che i maggiori CSP sono tutti americani, diventa piuttosto improbabile sfuggire a questa condizione, che vede delle posizioni di forza troppo sbilanciate. Il precedente in atto tra Stati Uniti e Cina, non mette la realtà europea al riparo delle cloud wars.
Non è un caso che molte aziende, nel corso del 2020, abbiano deciso di ritirare i propri dati dai servizi in cloud, per tornare a gestirli all’interno dei propri data center. Al di là di quello che i media tendono a trasmettere, il mondo on-premise rimane in molti casi il contesto che le aziende preferiscono, per via della certezza di poter esercitare il totale controllo sui propri dati.
Se ci fosse un’infrastruttura cloud capace di assicurare dei servizi in conformità con regole differenti, realmente votate all’interesse delle aziende europee, questo scenario potrebbe cambiare drasticamente, accelerando in maniera sostanziale i processi di innovazione di cui la maggior parte delle realtà imprenditoriali del vecchio continente hanno assolutamente bisogno per rimanere o tornare essere competitive a livello internazionale, dove oggi sono troppo spesso chiamate a giocare una sfida impari contro le rivali asiatiche e americane.
La soluzione: creare un’infrastruttura cloud di riferimento in Europa
Gaia-X nasce per dare una risposta al complesso scenario di riferimento che abbiamo descritto, che attualmente colloca le realtà europee in una condizione di oggettiva inferiorità. Per recuperare il gap in termini di competitività a livello internazionale, anche i paesi meno dotati dal punto di vista tecnologico devono poter sfruttare le tecnologie più avanzate, che molto spesso soltanto i big tech sono in grado di fornire, senza tuttavia permettere loro di fare il bello ed il cattivo tempo con i loro dati, dal momento che i dati stessi rappresentano molto spesso la principale risorsa aziendale, dalla cui integrità e riservatezza dipende molto stesso la sopravvivenza di un business.
Gaia-X vuole permettere alle aziende europee di crescere con regole trasparenti, senza cadere puntualmente in situazioni di lock-in che possono pregiudicare gli obiettivi di innovazione, come le variazioni unilaterali di servizio imposte dai CSP. Come sostiene Francesco Bonfiglio, CEO di Gaia-X la sovranità dei dati coincide soprattutto con due aspetti: “Avere il controllo e la trasparenza delle infrastrutture su cui vengono condivisi i dati, per diventare più indipendenti rispetto alle tecnologie americane o asiatiche”. Per Bonfiglio l’obiettivo di Gaia-X: “Non è creare un’altra versione di qualcosa che c’è già, ma mettere a sistema le tecnologie già esistenti con un framework di regole e linee guida che tutti gli stakeholder possano conoscere e condividere, nel comune interesse dell’innovazione”.
A livello strategico, appare ben chiaro come Gaia-X non avrebbe alcuna speranza di successo se si proponesse come un fornitore di servizi trusted, quando sono da anni presenti sul mercato dei giganti tecnologici in grado di garantire servizi in maniera sempre più efficiente. Il problema non è in minima parte tecnologica, quanto di normativa e di governo dei dati. L’obiettivo è quello di giocare tutti con le stesse regole in modo da consentire anche ai cloud provider della dimensione europea di inserirsi in un discorso in cui sarebbero automaticamente tagliate fuori in partenza.
Regole chiare e tecnologie open source per tutti i CSP
Gaia-X vuole creare un’infrastruttura di dati open source, trasparente e sicura in tutti gli aspetti dell’ecosistema che la compone. I dati e i servizi devono essere resi disponibili e condivisi in ambienti assolutamente trusted. L’architettura di Gaia-X si basa quindi sul principio della decentralizzazione, quale piattaforma in grado di connettere una grande varietà di tecnologie ed ecosistemi cloud, attraverso l’adozione di una serie di standard.
Per queste ragioni, non sarebbe corretto definire Gaia-X quale un cloud, in quanto rappresenta a tutti gli effetti un network di servizi in cloud offerti da differenti provider, un grande ecosistema multicloud federato da un rigoroso processo di validazione, con la finalità di garantire la sovranità dei dati.
L’obiettivo di Gaia-X è quello di essere trust nel certificare ogni singolo servizio, non i fornitori che li erogano. In questo modo si garantisce la totale inclusione dei possibili fornitori a livello internazionale. Chiunque vuole può offrire i propri servizi in cloud, ma deve rispettare determinate regole. In questo modo, come citato da Bonfiglio, anche gli hyperscaler americani sono stati coinvolti in maniera diretta, così come diversi CSP asiatici, tra cui anche quelli coreani.
L’elenco dei CSP che aderiscono a Gaia-X sta letteralmente aumentando di giorno in giorno, e questo la rende sempre più rappresentativa a livello globale, un soggetto riconosciuto e forte del sostegno decisionale dei governi dei singoli paesi europei, dove si stanno formando i primi hub, utili a creare i primi casi studio che dovranno fungere da leva alla crescita esponenziale del cloud in Europa attesa nei prossimi anni.
La posizione di VMware: nativamente pronta per Gaia-X
Il padrone di casa della tavola rotonda sulla sovranità dei dati cui abbiamo avuto modo di assistere a VMworld è naturalmente VMware, leader mondiale nell’ambito della virtualizzazione e delle piattaforme di governance per le infrastrutture multicloud. La posizione di VMware è piuttosto curiosa, in quanto, essendo operativa da tempi non sospetti, si è ritrovata nativamente conforme alle disposizioni di Gaia-X. Certo, si tratta di un ambito d’azione privilegiato, in quanto i servizi di VMware non sono prioritariamente incentrati sulle gestione dei dati, quanto sulla loro governance.
Gli strumenti di virtualizzazione e le tecnologie di orchestrazione multicloud di VMware costituiscono pertanto una risorsa molto utile per strutturare il catalogo di servizi certificato da Gaia-X, in quanto il loro obiettivo non coincide nel voler sostituire le tecnologie esistenti, ma nel garantire una maggior visibilità e trasparenza dei carichi di lavoro attivi nei vari cloud utilizzati dall’infrastruttura IT ibrida delle aziende. Una posizione coerente con i valori di apertura, trasparenza, sovranità e interoperabilità dei dati su cui insiste la missione di Gaia-X.
Uno degli aspetti su cui Gaia-X intende agire con decisione è infatti costituito dall’interoperabilità dei dati, su cui si è parlato anche durante la tavola rotonda tenutasi in occasione di VMworld. L’interoperabilità è il classico requisito che i singoli fornitori non avrebbero alcuna intenzione di sostenere, ma che rappresentata un’esigenza fondamentale per le aziende in un contesto multicloud, ai fini di poter utilizzare con profitto le migliori tecnologie offerte dai vari CSP, senza doversi puntualmente scontrare con problemi di compatibilità dei dati e delle applicazioni.
I singoli CSP non vedono di buon occhio l’interoperabilità per varie ragioni, che spaziano da una strategia commerciale orientata a creare situazioni di lock-in con i propri servizi, fino alla scarsa inclinazione a condividere i dettagli delle proprie tecnologie. Anche le aziende hanno delle difficoltà in tal senso, soprattutto se il tema in questione è la sicurezza informatica, dal momento che i loro IT definiscono molto spesso delle estensioni proprietarie per proteggere in maniera specifica alcune parti dell’infrastruttura.
Risolvere alla radice problemi di questa portata sarà da qui a diversi anni la missione di Gaia-X, un’opportunità davvero preziosa per sviluppare una data economy europea finalmente autonoma e competitiva a livello internazionale.
