Ha suscitato non poco clamore la decisione francese di abbandonare Windows per migrare a Linux. La DINUM (Direction Interministérielle du Numérique), organismo equivalente alla nostra AGID (Agenzia per l’Italia Digitale), ha annunciato la dismissione da tutti i computer della pubblica amministrazione francese del sistema operativo più diffuso al mondo (oltre i due terzi dei computer a livello planetario utilizzano un sistema operativo di Redmond). La scelta non riguarda solamente il sistema operativo, ma tutte le applicazioni che fanno parte dell’ecosistema Microsoft.
Il cambiamento sarà complesso, per la quantità di implicazioni che comporta: dalla migrazione dei dati alla formazione del personale, dall’organizzazione delle attività alla revisione dei fornitori, un considerevole sforzo che dovrà essere messo in campo per anni.
Non è una scelta senza precedenti. La Germania tentò di fare qualcosa di simile nell’ambito del progetto LiMux, che nel 2003 a Monaco di Baviera mise in campo la migrazione di quattordicimila computer a Linux. Dopo svariate difficoltà incontrate nel percorso di conversione, nel 2017 il progetto venne ufficialmente accantonato con il ritorno a Windows.
Qual è la motivazione che ha spinto la Francia ad una decisione così drastica?
Sostanzialmente la ragione è da ricercare nel CLOUD Act (Clarifying Lawful Overseas Use of Data Act), che è una legge federale degli Stati Uniti che nel 2018 ha cambiato radicalmente il modo in cui le autorità possono accedere ai dati archiviati sui server dei grandi provider (come AWS, Microsoft, Google, etc.), indipendentemente da dove questi dati si trovino fisicamente. I fornitori di servizi cloud americani sono obbligati a fornire i dati richiesti dalle autorità americane, anche se questi sono memorizzati in server situati al di fuori dagli Stati Uniti.
Fino al 2018, se i dati erano in Francia, le autorità americane per accederci dovevano passare attraverso i canali di cooperazione internazionale. Dopo il CLOUD Act, se l’azienda è americana, è obbligata a consegnare alle autorità americane i dati richiesti, anche se essi sono memorizzati su server localizzati a Parigi.
Per quanto concerne Microsoft, il CLOUD Act implica, quindi, che ogni email scritta su Outlook, ogni file caricato su OneDrive, ogni riunione tenuta su Teams ricada sotto la giurisdizione americana, anche se i server che veicolano i dati sono in Europa (vincolo sufficiente per il GDPR ai fini della conformità). Il discorso è analogo per qualunque flusso di dati relativo anche agli altri provider di servizi americani, come Gmail, Amazon o Oracle, giusto per citare i più diffusi.
È evidente come le autorità americane abbiano, di fatto, la possibilità di accedere ad un universo di informazioni anche riservate o strategiche.
L’obiettivo, assai ambizioso, della Francia è di creare un ecosistema tecnologico alternativo a quello americano, per permettere che i dati, le infrastrutture e le decisioni del paese non dipendano più da soluzioni di cui non controlla né le regole, né i prezzi, né i rischi.
La sovranità dei dati è un elemento sempre più strategico in uno scenario di politica internazionale complesso come quello odierno e la Francia ha compiuto per prima un passo che, probabilmente, dovranno seguire anche altre nazioni.
