Le università italiane passano al cloud. Con quali garanzie?

L

Oggi grazie a [Yanfry][1] scopro una conversazione interessantissima sulla [mailing list di Nexa][2] a firma del Prof.Luciano Paccagnella, Professore Associato di Sociologia dei processi culturali nel Dipartimento di Culture, Politica e Società dell’Università di Torino: gli atenei italiani e tra I primi Torino stanno dismettendo i loro servizi di posta elettronica migrando su Gmail (ma in altre uni su Outlook360).

> Alcuni giorni dopo ho scoperto che non si tratta di uno scherzo: l’Università di Torino, uno dei maggiori atenei italiani, sta davvero chiudendo il proprio servizio di posta elettronica istituzionale e, attraverso un accordo con Google, si affiderà d’ora in avanti a Gmail.
> A quanto pare, il servizio offerto gratuitamente da Google farà risparmiare 100.000 euro all’anno di gestione della posta elettronica per i 450.000 utenti del dominio unito.it e offrirà alcune funzionalità avanzate. Gli utenti vengono rassicurati che i vecchi messaggi non andranno persi e anzi aumenterà lo spazio a disposizione. [(qui)][2]

Detto questo è interessante interrogarsi su una serie di punti, tra cui:

* al primo nuovo ingresso si devono accettare le condizioni di contratto : cosa succede se non le accetto?
* perché le condizioni non sono parzialmente accettabili e parzialmente no?
* quali garanzie vi sono sui dati sensibili e personali?
* dove sono custoditi i server? A quale legislazione fanno riferimento?
* quale sicurezza si ha per I dati di ricerca e dottorati di ricerca, spesso segreti industriali?

La mail ne elenca anche altri:

* sono stati valutati i costi di uscita dall’adesione al servizio Gmail? a quali condizioni economiche, tecnologiche e di formazione del personale sarà possibile in futuro valutare l’adesione a servizi concorrenti, oppure un ritorno a un servizio gestito autonomamente?
* la decisione, da parte di un’istituzione pubblica, di dismettere il proprio servizio di posta elettronica e affidarsi a quello offerto da un’azienda privata è carica di implicazioni tecnologiche, sociali, politiche, economiche e giuridiche. Sono molti i docenti del nostro ateneo che si occupano di questi temi: qualcuno di loro è stato consultato?

Credo siano spunti davvero davvero interessanti.

**P.S.** Scopro, peraltro, di non essere il solo paranoico visto che anche [Stefania Maurizi](https://twitter.com/smaurizi/status/486810470255702016) ha un po’ le stesse perplessità…

**P.P.S.** Peraltro, vi ricordate, vero, che [ne avevo già parlato](http://mgpf.it/2011/10/23/non.html)?

Estote parati.

[1]: https://twitter.com/yanfry
[2]: http://server-nexa.polito.it/pipermail/nexa/2014-July/007753.html

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

6 commenti

  • Mi sembra già molto grave che venga permesso di fare una cosa del genere, visto che si parla non solo di strutture pubbliche, ma soprattutto di strutture che fanno ricerche di importanza strategica nazionale.

    Tra l’altro in barba non solo al buon senso e alla strategia comune di crescita del paese (per non parlare dei costi), ma anche e soprattutto alle normative. Il Garante privacy ha indicato chiaramente che i fornitori di servizi cloud devono essere nominati come Responsabili del trattamento dei dati, voglio proprio vedere come riusciranno a farlo fare a Google o Microsoft.

    http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1894503

  • Ottima osservazione, come sempre, la rilancerò dal ‘Free Software in Free World’.
    Ci si metta il fatto che certe istituzioni dovrebbero ‘far scuola’ su certi temi.
    E’ davvero scandaloso il livello di sottovalutazione delle implicazioni.

    L’unico Cloud che concepisco per una struttura pubblica è quello interno alle proprie infrastrutture con strumenti Open Source e standard consolidati.

    Avete risparmiato?
    Anche se chiudi un’università risparmi (nell’immediato), poi se questa sia una scelta intelligente lo capirete più avanti.

  • So che hai le conoscenze giuste nel mondo dei sysadmin accademici. Il problema dei costi infrastrutturali è presente ovunque, solo che invece di tagliare le ca$$ate si tagliano i servizi base.

    Come ad esempio i mailserver interni, che uno può usare per inviare password o procedure “sensibili”.

    Non c’è a mio avviso una soluzione unica a questo sbando, se non quella di una presa di coscienza personale e civile di ognuno, indipendentemente dal ruolo che si riveste in una qualunque struttura pubblica. Svolgendo al meglio e nel pieno rispetto etico la propria professione riusciremo ad erodere un sistema che oggi fagocita se stesso.

    Rileggendo mi accorgo di essere stato un po’ troppo involuto nell’esporre quanto volevo… purtroppo sono un po’ di corsa. Spero si colga comunque il senso di quel che volevo dire

  • Fino a qualche anno fa facevo l’avvocato del diavolo con argomenti come questi:

    • le aziende USA offrono legalmente all’estero servizi di questo tipo, tramite un accordo denominato Safe Harbour che permette il trasferimento negli USA di dati personali per il loro trattamento.
    • la sicurezza dei dati nei datacenter di Google o Microsoft non ha nulla da invidiare alla sala macchine media di un’università
    • volendo proprio trafugare delle informazioni, è più facile corrompere un sistemista italiano oppure qualcuno dentro Google? Da che parte comincereste nel secondo caso?
    • servizi come Google Apps offrono elevati standard di sicurezza per l’accesso ai servizi che possono essere imposti dagli amministratori: comunicazioni cifrate su HTTPS, autenticazione a due fattori, allarmi in caso di tentativi anomali di accesso, controllo dei dispositivi mobili, single sign-on su sistemi locali.. Non è scontato arrivare a simili funzionalità con sistemi fatti in casa.

    Poi c’è stato Snowden e lo scandalo NSA. Se il governo americano vuole leggere la mail del professor Pinco Pallino senza che nessuno se ne accorga ospitata da un cloud provider americano, secondo me lo può fare.
    È da questo che dovrebbe partire la discussione. Tutte le altre sono discussioni tendenzialmente perdenti: questi sistemi cloud funzionano molto bene, sono facili e piacevoli da usare e consentono enormi economie di scala. Bisognerebbe fare altrettanto bene entro i nostri confini legali. Così potremo spiare i dati degli utenti con la massima tranquillità :-)

  • Molto interessante.. Anche l’universita’ di Ferrara, che pure in fatto di sviluppo di servizi su piattaforme open ha fatto scuola nell’ambito del voip, ha gia’ fatto questa migrazione almeno da due o tre anni..

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.