Il crash Ma.gnolia, una lezione da imparare

Si è parlato poco, specialmente in Italia, del caso di Ma.gnolia, il sito di social bookmarking che ha perso tutti i dati dei suoi utenti acquisiti in quattro anni di vita a causa di un crash del database il 30 gennaio scorso. Magnolia era concorrente del più noto Delicious, il sito su cui annotarsi le pagine preferite in modo da poterle trovare e condividere online da qualunque computer. Dopo un primo tentativo di recupero dei dati, il 19 febbraio il fondatore del sito Larry Halff ha dichiarato sulla home page che gli esperti di data recovery ingaggiati hanno alzato bandiera bianca: niente verrà recuperato. E il sito ha chiuso.

Non era mai accaduto che un sito orientato ai principi del SaaS, Software as a Service, e gratuito, un po’ come Gmail e i moltissimi siti e applicazioni del cosiddetto web 2.0, perdesse tutti i dati acquisiti durante la sua esistenza. Tanto che questo incidente può essere preso come caso di studio, campanello d’allarme e paradigma dei rischi non dichiarati e spesso poco dibattuti dell’intero modello di servizio.

Perché è capitato

Fin da subito, Halff aveva avvertito con trasparenza che un’eventuale soluzione del problema avrebbe richiesto giorni e non ore. Questo ha fatto sospettare carenze nella politica di backup dei dati. Si è saputo poi che l’intero servizio, benché consistesse di circa mezzo Terabyte di dati, girava soltanto su due server Mac OS X con il supporto di 4 Mac mini. E il backup, a quanto pare, era a sua volta rovinato, inutilizzabile: lo si è scoperto solo quando è crollato il database principale. Il minimo che si possa dire è che l’intera impresa è stata gestita in maniera dilettantesca. Strumentazione insufficiente e procedure di sicurezza sui dati approssimate sono all’origine del collasso. Alcuni sistemisti che ho consultato mi hanno prontamente ricordato le tre regole fondamentali nel loro lavoro:

1. backup;
2. backup;
3. backup.

Un solo backup infatti non offre alcuna garanzia. I supporti (solitamente nastri magnetici) possono essere danneggiati, specie dopo ripetuti usi. È necessario testare costantemente la qualità di questi backup, sia con software specifici, sia provando effettivamente a usare i backup per fare il restore dei dati.

Non è poi chiaro a quali intervalli i backup venissero eseguiti. È incredibile che non ci sia traccia di backup precedenti, che avrebbero potuto riportare il sito allo stato di alcune settimane prima del disastro. È buona norma conservare diversi backup per diverso tempo, in luoghi fisici distanti da quello in cui si trova il server. Come minimo in un’altra ala del palazzo, quantomeno per evitare danni in caso di incendio o di allagamento dei locali. Ma i più paranoici dei sistemisti, per sistemi che abbisognano di sicurezza assoluta, parlano di una distanza fisica anche di centinaia di chilometri, per difendere i dati in caso di catastrofe naturale o attacco umano alla farm principale. Per un rapido restore sarebbe poi necessaria una linea ad alta velocità fra le due postazioni (ammesso che la farm non sia stata rasa al suolo). Ma, ok, qui non era in gioco la sicurezza del pianeta, e magari sarebbe stato sufficiente trasferire i nastri in un’altra ala del palazzo e ritrasportarli fisicamente presso il Raid principale. A quanto pare nemmeno questo era stato predisposto.

È abbastanza significativo, invece, che l’unica chance di recuperare almeno parte dei dati degli utenti venga proprio dalla condivisione. Magnolia offriva infatti di condividere i propri bookmark su servizi terzi come FriendFeed: chi lo ha fatto può recuperare i suoi dati attraverso quel servizio. Altre forme di recupero dei dati vengono dai feed Rss in cache o dalla web cache. In un certo senso, questo recupero è più di quanto si sarebbe potuto ottenere in un servizio chiuso che avesse subito un identico danno. Ecco perché non condivido la visione di chi parla di fallimento del cloud computing, ovvero della tendenza a usare potenzialità di data storage o servizi diffusi, decentrati come sulla rete internet.

Può succedere ancora?

Per arrivare ad una situazione come quella di Ma.gnolia ci deve essere stata una fortissima sottovalutazione dei rischi e un sottodimensionamento della strumentazione tecnica. Sebbene sostenga di non aver pianificato questa immagine, Ma.gnolia è sembrata fin da subito a molti una iniziativa più grande di quel che era, forse anche per il contributo di Jeffrey Zeldman al logo e al design grafico. Di fatto però era un’attività individuale di Larry Halff, non di un’azienda. Al massimo ci hanno lavorato contemporaneamente quattro persone, tanto che su LinkedIn non risultano dipendenti di Ma.gnolia. Questo spinge ad ammonire sui rischi di fidarsi troppo di servizi “sociali”, dietro i quali si può nascondere un’iniziativa solitaria. Va però ricordato che anche Facebook è nato come un’iniziativa personale di Zuckerberg, come molti altri servizi 2.0.

Qualcuno ha poi avuto il fiuto, la fortuna o la capacità di trovare investitori. O di vendere. Larry Halff sembrava invece non aspettarsi un vero e proprio guadagno economico da Ma.gnolia. All’inizio si aspettava di inserire dei banner, perché quando il servizio nacque c’erano forti aspettative verso questo modello di business, ma in seguito decise di rinunciare per concentrarsi sulla nascente comunità. L’iniziativa, come lui stesso ha ammesso, era sostanzialmente autofinanziata. Il problema dell’assenza di un modello di business si traduce semplicemente nell’impossibilità di scalare la qualità del servizio.

Questo spiega anche perché non dovremmo probabilmente temere che lo stesso accada per i servizi dei major player, come Google, Facebook, Myspace eccetera. Non tutti i modelli di business di questi siti sono chiari e limpidi (quello di Google sì, ma gli altri soffrono evidentemente di una difficoltà di monetizzazione, più volte ammessa dagli stessi responsabili). Tuttavia è assai improbabile che siano in una situazione sottodimensionata come quella di Ma.gnolia o di altri one-man-site. Le interruzioni parziali del servizio di Google e di Gmail recentemente avvenute non sono comparabili con il totale data-loss: un’interruzione temporanea del servizio può sempre capitare, ma non pare in discussione in questi casi la tenuta dei dati, anche se il punto è che quale sia esattamente la politica di salvataggio, backup e recupero dei dati di ciascuno di questi servizi è ancora poco dibattuto. E le policy contrattuali assolvono comunque i gestori da qualunque responsabilità.

Altri ancora ricordano che, se tre anni fa mettere insieme una struttura hardware/software scalabile per applicazioni dalla forte crescita era difficile, oggi esistono offerte precise in tal senso da player al di sopra di ogni sospetto (anche se i sospetti non sono mai troppi) come Google AppEngine, S3 e EC2 di Amazon e Joyent Accelerator. Lo stesso Halff, che non esclude un ritorno con un servizio completamente riscritto e che proceda in maniera graduale e solo su invito per riconquistare la fiducia degli utenti, pare voglia in futuro esternalizzare la parte tecnica del sito.

La gestione della crisi

Al di là del danno (anche d’immagine) subito da Ma.gnolia, che potrebbe anche trasferirsi a servizi simili, colpisce il modo trasparente ai limiti dell’autolesionismo scelto da Larry Halff per comunicare l’andamento degli eventi. Non solo la home page di Ma.gnolia è diventata un diario aggiornato dei tentativi di recupero dei dati. Non solo non si è tentato di infondere un ottimismo di prammatica circa la gravità della perdita. Ma Halff si è anche fatto intervistare in podcast dal blog Citizen Garden di Chris Messina (quello dei Barcamp), dove ha parlato per mezz’ora di quel che è successo, di dove ha sbagliato e di come non sbagliare più.
Halff sostiene in questa intervista che il sito è stato un successo dal punto di vista della comunità che è riuscito ad aggregare, e per la quale, sostiene forse un po’ retoricamente, vuole tornare a proporre un servizio inizialmente su invito. Ma un fallimento dal punto di vista commerciale, visto che non ci sono stati guadagni. Anche in questo, direi che la trasparenza è ben superiore a quella di molte iniziative nostrane, spesso fumose, che dichiarano raramente come stanno davvero le cose (e i conti).

Messina nei suoi commenti suggerisce che dietro Magnolia, al di là delle questioni economiche, ci fosse qualcosa di valore, una comunità, un comune sentire. Al momento sembra davvero essere questo l’asset principale di molti siti sociali. Il rischio però è che questo valore vada disperso se non si trovano modelli di business sostenibili. Il caso Magnolia dimostra che sulla lunga distanza questi spazi e queste comunità possono o crollare sotto il proprio peso, oppure, come è capitato ad altri player, finire per essere cannibalizzati dai grandi gruppi, gli unici che si possono permettere infrastrutture adeguate anche se in perdita (o che per economie di scala non ci perdono affatto) o comunque gli unici che riusciranno a ricavarci qualcosa magari con la profilazione degli utenti, uno dei sistemi peraltro meno trasparenti di gestire queste relazioni basate sulla spontaneità. Le alternative praticabili al momento sembrano essere più legate al mecenatismo. Può darsi naturalmente che le cose evolveranno in altri modi che non ci è dato, per il momento, di intravvedere.

Per tornare alla comunità, è rimarchevole che anche i commenti di utenti e lettori, sebbene in parte piuttosto aspri con Halff, sono stati meno duri di quanto ci saremmo potuti aspettare. Certo molto meno duri di quanto sarebbe accaduto in Italia, dove si tende a godere dei fallimenti altrui, specie se visti da lontano e senza sporcarsi le mani.

E il futuro?

Ma.gnolia tornerà. Così afferma Halff. Non è chiaro con quali risorse e quali prospettive, come si è detto. Ma se è vero che il dilettantismo del caso sembra lampante, è anche vero che una seconda chance non si nega a nessuno. Nelle aziende si sa che a volte cacciare un manager che ha commesso un grande errore equivale a sprecare una risorsa: uno che ha sbagliato alla grande, se ha un po’ di sale in zucca, ha appreso una lezione importante che può tornar utile in futuro all’azienda. Certo, personalmente non mi sentirei tranquillo nelle mani di un manager così. Ma, insomma, a vedere la situazione economica internazionale il povero Larry Halff, con la sua camicia a quadri e l’aria spaesata da ottimista perdente e un po’ naïf, rischia di diventare un simbolo positivo in un’era di pescecani istituzionalmente protetti che hanno provocato crisi ben più grosse (e serie) della perdita delle nostre pagine online preferite.