SAAS
In breve
L'applicazione viene utilizzata così com'è, ospitata e gestita dal fornitore, come un servizio di messaggistica aziendale o un CRM. Non si interviene sui server: ci si connette direttamente dal browser.
▶ Definizione precisa
Software as a Service, secondo la definizione del NIST (SP 800-145). Il fornitore gestisce l’intera catena: infrastruttura, piattaforma e applicazione. Il cliente si limita a configurare e utilizzare il servizio, senza avere accesso al codice né al sistema. Esempi: Microsoft 365, Google Workspace, Salesforce, Notion, Slack.
La nostra analisi
È proprio nel SaaS che risiede la quasi totalità dell’esposizione delle aziende francesi, poiché si tratta di strumenti di uso quotidiano: posta elettronica, collaborazione, CRM, ERP. Ciò che si utilizza senza pensarci è proprio ciò su cui non ci si interroga mai.
È proprio qui che sta la trappola. Il SaaS è tecnicamente invisibile: nessun server da amministrare, nessuna macchina da scegliere; pertanto, le questioni relative alla giurisdizione, alla portabilità dei dati e alla reversibilità non vengono quasi mai sollevate in fase preliminare. Esse emergono nel momento peggiore, quando il fornitore chiude un servizio, modifica le proprie condizioni o viene acquisito, e quando è già troppo tardi per uscirne in modo ordinato.
Il GDPR impone che i dati personali trattati in un SaaS rispettino le sue condizioni, il che include la regolamentazione dei trasferimenti al di fuori dell’Unione europea: clausole contrattuali tipo, decisione di adeguatezza, garanzie equivalenti. Un SaaS statunitense privo di un’adeguata base giuridica per il trasferimento costituisce un rischio diretto, prima di tutto giuridico e poi tecnico. La comodità d’uso del SaaS nasconde il fatto che si tratta del livello in cui si delega di più, e quindi quello su cui si esercita il minor controllo.