L'Unione Europea sta valutando di ampliare il campo di applicazione delle norme di etichettatura di cybersicurezza proposte, che non riguarderebbero solo Amazon, Alphabet's Google e Microsoft, ma anche banche e compagnie aeree, secondo l'ultima bozza delle norme.

La mossa dell'UE di istituire un sistema di questo tipo arriva mentre Big Tech guarda al mercato del cloud governativo per guidare la crescita nei prossimi anni, mentre un potenziale boom dell'intelligenza artificiale dopo il successo virale di ChatGPT di OpenAI potrebbe anche aumentare la domanda di servizi cloud.

L'ultima proposta dell'agenzia europea per la cybersicurezza ENISA riguarda uno schema di certificazione UE (EUCS) che garantisce la cybersicurezza dei servizi cloud e determina il modo in cui i governi e le aziende del blocco selezionano un fornitore per le loro attività.

Il documento mantiene le disposizioni chiave contenute nelle bozze precedenti, come il requisito che i giganti tecnologici statunitensi creino una joint venture con un'azienda con sede nell'UE per qualificarsi per il marchio di cybersicurezza dell'UE.

Un'altra disposizione stabilisce che il servizio cloud deve essere gestito e mantenuto dall'UE, mentre tutti i dati dei clienti del servizio cloud devono essere archiviati ed elaborati nell'UE, con le leggi dell'UE che hanno la precedenza sulle leggi extra-UE relative al fornitore del servizio cloud.

Questi obblighi si applicano ai livelli di sicurezza più elevati, che sono quattro. L'ultima bozza prevede la possibilità di estendere questi severi requisiti al terzo livello di sicurezza più elevato.

I Paesi dell'UE stanno ora esaminando l'ultima bozza, dopodiché la Commissione Europea adotterà uno schema definitivo.

Il gruppo di pressione tecnologica CCIA ha affermato che l'ampliamento del campo di applicazione interesserebbe una fascia più ampia di industrie.

"Forse la parte più sorprendente di questa nuova bozza è che l'ENISA ora suggerisce che i requisiti che discriminano i fornitori di cloud stranieri potrebbero essere estesi anche a livelli di garanzia inferiori", ha detto Alexandre Roure, direttore delle politiche pubbliche di CCIA Europe.

"Questo includerebbe le banche, ma anche le compagnie aeree, le società di servizi e i settori fortemente regolamentati", ha aggiunto.

La Federazione Bancaria Europea (EBF), insieme al Gruppo Europeo delle Casse di Risparmio (ESBG), all'Associazione per i Mercati Finanziari in Europa (AFME), alla Federazione Europea delle Istituzioni di Pagamento (EPIF) e ad Insurance Europe, martedì hanno criticato i requisiti di sovranità. (Servizio di Foo Yun Chee; redazione di Jonathan Oatis)