Il Computer Emergency Response Team indiano ha emesso una direttiva in aprile, chiedendo alle aziende tecnologiche di segnalare le violazioni dei dati entro sei ore dal momento in cui "notano tali incidenti" e di conservare i registri IT e delle comunicazioni per sei mesi.

Hanno anche imposto ai fornitori di servizi cloud come Amazon e alle aziende di reti private virtuali (VPN) di conservare i nomi dei loro clienti e gli indirizzi IP per almeno cinque anni, anche dopo che hanno smesso di utilizzare i servizi dell'azienda.

Le misure hanno sollevato preoccupazioni all'interno del settore per il crescente onere di conformità e l'aumento dei costi.

Il Ministro indiano dell'IT Rajeev Chandrasekhar ha dichiarato che non ci saranno cambiamenti nonostante le preoccupazioni, affermando che le aziende tecnologiche hanno l'obbligo di sapere chi utilizza i loro servizi.

Negli ultimi anni, l'India ha inasprito la regolamentazione delle aziende Big Tech, suscitando le reazioni dell'industria e, in alcuni casi, anche i rapporti commerciali tra Nuova Delhi e Washington.

New Delhi ha affermato che le nuove regole erano necessarie in quanto gli incidenti di cybersicurezza venivano segnalati regolarmente, ma le informazioni necessarie per indagare non erano sempre prontamente disponibili da parte dei fornitori di servizi.

Ma le regole hanno suscitato un diffuso malcontento. In una riunione a porte chiuse questa settimana, molti dirigenti di social media e di aziende tecnologiche hanno discusso le strategie per sollecitare Nuova Delhi a sospendere le regole, secondo una fonte con conoscenze dirette.

La fonte ha detto che le autorità europee richiedono che le violazioni dei dati siano segnalate entro circa 72 ore, aggiungendo che è difficile segnalare gli incidenti in sei ore.

Chandrasekhar, tuttavia, ha detto che l'India è stata generosa, in quanto alcuni Paesi richiedono una segnalazione immediata.

Le regole saranno applicate a partire dalla fine di giugno. Dopo l'annuncio, NordVPN, uno dei maggiori fornitori di VPN al mondo, ha dichiarato che potrebbe rimuovere i suoi server dall'India.

Gli attivisti per la privacy hanno affermato che le regole contraddicono l'idea della VPN, che è quella di salvaguardare l'identità di individui come gli informatori dalla sorveglianza.

"Se non volete rispettare queste regole e se volete ritirarvi, allora francamente... dovete ritirarvi", ha detto Chandrasekhar ai giornalisti.