SREN
In breve
La legge francese del 2024 per proteggere e regolamentare lo spazio digitale. Sul fronte cloud, interviene su ciò che vincola il cliente: spese di migrazione, portabilità dei dati, pratiche di lock-in.
▶ Definizione precisa
Legge per la sicurezza e la regolamentazione dello spazio digitale, promulgata nel 2024. Integra il quadro europeo e introduce disposizioni specifiche per il cloud: limitazione delle spese di trasferimento e di uscita, requisiti di portabilità e interoperabilità, regolamentazione dei crediti di impegno — al fine di ridurre il lock-in e agevolare la reversibilità.
La nostra analisi
La legge SREN, promulgata il 21 maggio 2024, è un testo di ampio respiro che riguarda la tutela dei minori online, la lotta contro i contenuti illeciti, la regolamentazione dei giochi con oggetti digitali monetizzabili e la regolamentazione del mercato del cloud. Essa recepisce nel diritto francese diversi regolamenti europei, tra cui il regolamento sui servizi digitali e il regolamento sui mercati digitali, aggiungendovi al contempo disposizioni specifiche per la Francia. La parte relativa al cloud è quella che interessa direttamente i dirigenti che devono decidere in merito alle loro scelte di hosting.
Il punto più determinante per il settore pubblico è l’articolo 31. Esso impone alle amministrazioni statali, ai loro enti e ai loro operatori di ricorrere a un’offerta cloud certificata SecNumCloud quando affidano a terzi il hosting di dati particolarmente sensibili. La portata pratica è chiara: in questo ambito, gli appalti pubblici nel settore cloud sono riservati ai fornitori in possesso della qualifica rilasciata dall’ANSSI, mentre un fornitore non qualificato ne è escluso, indipendentemente dalle sue argomentazioni commerciali o tecniche.
È tuttavia necessario chiarire ciò che il testo non prevede. L’obbligo riguarda i dati sensibili della sfera pubblica, non l’insieme dei dati pubblici né i dati delle imprese private, che rimangono libere nelle loro scelte. La legge non crea nemmeno una nuova qualifica: si basa su SecNumCloud, di cui eredita i punti di forza e i punti deboli. Essa stabilisce un requisito di acquisto, senza garantire di per sé che l’uso che ne verrà fatto sia realmente sovrano.
L’articolo 31 illustra lo spostamento del dibattito dalla sovranità giuridica alla sovranità industriale. Inserire un obbligo nella legge crea una domanda vincolata, ma non genera l’offerta: occorrono comunque attori in grado di fornire questi servizi su larga scala, nel lungo periodo, con un livello di maturità paragonabile a quello dei fornitori globali. Una forte tutela giuridica che si basasse su un tessuto industriale insufficiente rimarrebbe una sovranità solo sulla carta. È questa la posta in gioco del prossimo decennio, ed è il motivo per cui la SREN non va letta isolatamente, ma come un segnale di politica industriale oltre che come una norma di diritto.
Vedi anche