Dades, claus i agents d’IA per a la nova economia (I)
Es diu que, un vespre d’hivern, en un petit país encaixat entre muntanyes, la llum es va apagar breument. Res de dramàtic: una microcabotada, uns segons de foscor, i després els fanals es van tornar a encendre. Però al despatx d’un ministre de digitalització una mica insomne, aquella nit hi va germinar una idea: “I si, un dia, no fos només la llum la que s’apagués… sinó les nostres dades, els nostres serveis, els nostres hospitals, les nostres escoles, perquè tot corre en màquines que no controlem?” D’aquella petita por va néixer una gran pregunta: com podem recuperar el control sobre el “núvol” que governa, cada vegada més, la nostra vida quotidiana? Benvinguts a la història d’un centre de dades sobirà, del CLOUD Act, de la criptografia postquàntica amb tres claus, i d’aquestes plataformes de zero codi agentives que podrien ser la porta d’entrada a la nova economia de la dada.
Per a aquell ministre, el “cloud” era sobretot una paraula de màrqueting: lleugera, pràctica, gairebé poètica. Fins que un dia va visitar un centre de dades de veritat. A fora, una carretera discreta. Darrere les tanques, un edifici sense encant, sense logotip, com un magatzem gris. A dins, però, hi bategava un cor invisible: fileres de servidors, díodes que parpellegen, un buf constant de ventilació, quilòmetres de cables.
El guia li va xiuxiuejar:
“Aquí no hi ha només màquines. Hi ha els vostres correus, les vostres fotos, les històries clíniques dels vostres fills, els comptes de les empreses, els plànols de les vostres ciutats.”
El núvol no és màgia. Són centres de dades ben reals, en algun lloc del món, en un país concret, sota les lleis d’un estat concret.
La pregunta real, per tant, no és: On és “el núvol”?, sinó: “Sota quina jurisdicció funcionen aquestes màquines que custodien una part de la nostra vida?”
El 2018, als Estats Units, va entrar en vigor una llei discreta però decisiva: el CLOUD Act.
El seu principi, simplificat: si una empresa està sota dret nord-americà (perquè té seu als EUA o està controlada des d’allà), les autoritats dels EUA poden exigir-li dades… encara que estiguin emmagatzemades fora del territori nord-americà: a Europa, a Àsia, on sigui, mentre els servidors pertanyin o siguin operats per un actor sotmès a la legislació dels EUA. Sobre el paper, és una eina contra el terrorisme i la criminalitat greu. A la pràctica, crea una ombra allargada sobre la sobirania digital d’altres països:
- Les vostres dades poden estar físicament en un centre de dades europeu… però ser jurídicament accessibles a un jutge nord-americà.
- L’empresa que opera el servei “cloud” es troba al mig de lleis de vegades contradictòries: RGPD d’un costat, CLOUD Act de l’altre.
Per al nostre petit país de muntanyes, això va ser una sacsejada:
Si els nostres hospitals, les nostres administracions, els nostres bancs funcionen sobre infraestructures controlades per actors sotmesos a lleis extraterritorials… de qui són realment les nostres dades?”
Què és un centre de dades “sobirà”?
Un centre de dades sobirà no és només un edifici dins el territori nacional. És un conjunt de condicions, gairebé un contracte moral amb el país:
- 1. Lloc: els servidors són físicament al país (o en una zona de confiança definida).
- 2. Llei: l’empresa que els opera està sotmesa principalment al dret local, no a una legislació extraterritorial que pugui exigir l’accés a les dades.
- 3. Claus: els mecanismes per desxifrar les dades (les claus criptogràfiques) estan controlats des del país, no únicament per un proveïdor estranger.
- 4. Reversibilitat: per contracte i tècnicament, es poden migrar dades i serveis a un altre lloc si el país ho decideix.
- 5. Auditabilitat: cada accés, cada moviment de dades, deixa una traça verificable.
En resum: un centre de dades sobirà és com una caixa forta les parets de la qual són a casa vostra, sota les vostres lleis, i les claus de la qual no surten mai del país.
No és una garantia d’infal·libilitat, però és la base per poder dir, sense enrogir:
“Les dades dels nostres ciutadans estan protegides, abans de res, per les nostres normes, els nostres jutges, els nostres valors.”
Tres claus per a un regne: el xifratge postquàntic.
Un dia, en una reunió, un jove criptògraf va dibuixar tres petites claus en una pissarra.
- La primera és la del client: un banc, un hospital, un ministeri, una pime.
- La segona és la de la plataforma que explota els serveis d’IA, les bases de dades, les aplicacions.
- La tercera és la de l’Estat, custodiada en mòduls físics ultrasegurs, sota control i procediments de quòrum.
Després hi va afegir una paraula estranya: “postquàntic”.
Avui, la majoria de comunicacions es xifren amb tecnologies pensades per ordinadors “clàssics”. Demà, els ordinadors quàntics podran trencar una bona part d’aquests esquemes en temps ridícul. No és ciència-ficció: és un escenari que les agències de ciberseguretat i els organismes de normalització es prenen molt seriosament.
“Allò que xifrem avui —deia el criptògraf— pot ser enregistrat per un adversari i desxifrat d’aquí a deu o quinze anys, quan la tecnologia ho permeti.”
D’aquí neix la criptografia postquàntica: algoritmes dissenyats per resistir fins i tot davant d’aquests futurs ordinadors.
Afegiu-hi el model de tres claus:
- El client té la seva clau: sense ell, la plataforma no pot llegir les dades tota sola.
- La plataforma té la seva: sense ella, l’Estat no pot “passejar-se” lliurement per les dades.
- L’Estat té una clau arrel, utilitzada només sota un control estricte (quòrum, procediment judicial, usos d’emergència ben definits).
Cap actor, per si sol, no pot veure-ho tot, desxifrar-ho tot, decidir-ho tot. Cal, com a mínim, una cooperació reglada, amb normes clares i registres d’auditoria.
És una mena de separació de poders aplicada a la criptografia:
- el client conserva la seva sobirania,
- la plataforma exerceix el seu rol tècnic,
- l’Estat manté la seva capacitat d’últim recurs —però mai en mode “ull de Sauron”.