Alla fine del 2025 l’UE aveva appena impostato, negli acquisti e nella politica, una nuova gestione della sovranità digitale, quando lo sviluppo delle relazioni internazionali la mette in discussione. E adesso?
Indice degli argomenti
Perché rimettere in discussione definizioni e applicazioni della sovranità europea?
A ottobre e novembre 2025, Commissione ed Unione Europea hanno definito in maniera organica ed esauriente la sovranità digitale europea:come criterio per gli acquisti di tecnologia con il Cloud Sovereignty Framework (CSF), e come obiettivo politico dei 27 paesi con la Dichiarazione sulla Sovranità Digitale Europea. Un grande passo avanti, dopo febbraio 2026 sapremo esattamente di quanto.
Un’ingiunzione extraterritoriale rimette in discussione la sovranità
Negli stessi mesi, un tribunale di un paese vicino ai “valori europei” ingiunge alla filiale locale di un Cloud Service Provider (CSP) europeo, uno che risponde pienamente ai criteri della Commissione, di consegnare dati dei suoi clienti custoditi in Europa: mette in discussione proprio quella definizione organica di sovranità che Commissione e Unione avevano appena reso operativa.
Cosa sta succedendo: stiamo girando in tondo, o correndo sul posto? Secondo noi, è vero il contrario: stiamo facendo passi avanti nell’esplorazione di un tema che solo negli ultimissimi anni i paesi occidentali hanno dovuto e voluto affrontare nella sua vera complessità, quello della sovranità in generale, proprio mentre diventava evidente quanto conta la sua componente digitale in particolare.
Dalla geografia dei dati alla sovranità multiparametro
Alla nascita del cloud pubblico quasi venti anni fa, in un periodo di forte globalizzazione e apertura commerciale, l’idea stessa della sovranità era spesso dichiarata inutile e sorpassata, Cosa poteva importare dove stessero fisicamente le infrastrutture del cloud? I mercati erano capacissimi di identificare da soli fornitori sicuri in tutto il mondo, incorporando nei prezzi di ciascuno eventuali rischi di sicurezza. Ipotesi discutibile, smentita in quegli stessi anni dalla pessima prova che i mercati diedero valutando i rischi di insolvenza sui mutui subprime? Certo, ma la accettammo in tantissimi, perché il cloud era nuovo, potente, e prometteva di darci l’internet potente e capace della quale avremmo avuto bisogno per cambiare il mondo, e che effettivamente ci è servita per la trasformazione digitale. O almeno questo dice il nostro senno di poi.
Dieci anni dopo, con il consolidarsi delle norme sulla privacy dei dati personali e l’uscita del GDPR, ci si è concentrati sulla collocazione geografica, dove i dati digitali erano conservati, perché da questo dipende a quali norme deve sottostare il loro trattamento. Gli hyperscaler, principali erogatori di servizi cloud pubblico, furono ben lieti di abbracciare e promuovere questa prospettiva aprendo nuove infrastrutture nei diversi paesi. Cominciava la stagione delle “regioni cloud nazionali” che in Italia arrivò tra la fine del decennio e i primi anni Venti, compiendosi quando Microsoft aprì la propria, dopo Amazon, Google e Oracle, nel 2023. Chi, come le pubbliche amministrazioni e certi settori di mercato regolati, volesse o dovesse tenere i propri dati su territorio nazionale o dell’Unione, poteva usare queste regioni per salvare capra e cavoli: godere dei benefici del cloud e rispettare le norme.
Cloud “sovrano” in abbonamento: promesse e ambiguità operative
L’ultimo sviluppo di questa strategia degli operatori globali sono state le regioni cloud nazionali “sovrane”, come quella di Oracle dal 2023, o di AWS da gennaio 2026: una specie di “cloud globale in casa” o “sovranità digitale in abbonamento”, gestite da società di diritto europeo, con amministratori e maestranze europee ma… le stesse tecnologie delle consociate USA, sviluppate con gli stessi investimenti!
Sovranità digitale europea e rischio di coercizione nel mondo reale
Proprio in questi anni, e sempre più nel corso del 2025, questa lettura si è dimostrata semplicistica. I più grandi paesi del mondo fanno riferimento alla propria forza e alle proprie regole interne più che alle norme del diritto internazionale per promuovere i propri interessi, e le più grandi aziende di ogni paese, in particolare proprio i grandi operatori mondiali del digitale si adeguano a leggi, ordini e semplici inviti dei propri governi che contestano esplicitamente le regole vigenti altrove.
In questa situazione, la possibilità che un operatore adotti comportamenti, anche conformi alle leggi, che oggettivamente penalizzano i clienti di paesi diversi dal proprio diventa un rischio digitale significativo per governi e per organizzazioni pubbliche e private. Per tenerne conto nella scelta dei fornitori occorre quindi valutare e pesare proprio gli aspetti che individua il Cloud Sovereignty Framework della Commissione: quanto sono vicini all’Unione il diritto e i capitali che controllano la società fornitrice, quanto siano in grado di gestirla in autonomia alcuni operatori europei, quanto le catene di fornitura delle tecnologie sottostanti siano aperte e resilienti, cioè presentino alternative ad eventuali difficoltà di uno dei nodi, per citare solo alcuni criteri. Siamo entrati nella fase della sovranità a tutto tondo, multiparametro, e questo è sicuramente un progresso significativo.
Con questo passo si prende coscienza della complessità della questione, la si affronta, e questo rende evidente quanto sia difficile risolverla – quanto lo fosse sempre stato, anche quando sembrava semplice.
Al crescere della preoccupazione per queste tensioni internazionali, diventa importante gestire anche un rischio più complesso ancora: in un mondo dove la forza fa ragione, come difendersi da operatori che potrebbero appropriarsi di dati altrui in maniera fraudolenta, sfruttando proprio la grande diffusione della propria piattaforma?
Quando la crittografia non basta: lock-in e dipendenze di piattaforma
Per fare un esempio: a che serve crittografare tutti i dati in quiete, in viaggio e in elaborazione, se la piattaforma dove girano tante applicazioni è di un fornitore di software dominante, anche pienamente europeo, che sarebbe difficile, lungo e costoso sostituire con un altro? Come si costruisce un mercato e un ecosistema di operatori abbastanza aperti che chi usa i loro servizi abbia alternative concretamente praticabili?
Ci si arriverà per gradi, in tempi lunghi. Nel frattempo, come si gestisce il fatto che non solo gli operatori extraeuropei prevalenti, ma anche gli operatori europei di scala paragonabile e con un ruolo significativo nel mercato globale ed europeo, sono soggetti a norme che li obbligano a consentire a diversi governi di accedere ai dati conservati?
In realtà tale problema è da tempo noto agli operatori del settore ed al Regolatore.
La stessa Commissione Europea ha declinato di commentare su procedimenti giudiziari che non la riguardano, e su scenari “speculativi” che se ne possono ricavare. (Le avevamo chiesto: che conseguenze per il CSF se un CSP europeo fosse costretto a consegnare dati a un’autorità extraeuropea). D’altra parte, funzionari della stessa Commissione, esperti di temi della sovranità digitale, hanno osservato che:
- Un CSP che voglia raggiungere i valori massimi dei parametri di sovranità definiti dalla Commissione nel CSF deve dimostrare che la sua tecnologia e i suoi processi di gestione sono completamente sotto il controllo dell’Unione, soggetti solo al diritto dell’Unione, liberi da dipendenze critiche extra-Unione. La comunicazione di dati a un paese terzo fuori dai trattati internazionali non soddisferebbe questi requisiti.
(Se ne ricava che la comunicazione di dati secondo i meccanismi previsti da trattati internazionali è compatibile con i massimi livelli di sovranità europea.) - Secondo l’articolo 48 del GDPR, un CSP dell’Unione può essere obbligato a condividere dati personali con le autorità di paesi esterni all’Unione solo se la richiesta si basa su un accordo internazionale, come i trattati Mutual Legal Assistance (descritti meglio sotto) o altri motivi legalmente legittimi. I governi nazionali possono intervenire per fare in modo che qualsiasi richiesta simile passi solo per i canali ufficiali.
(E quindi, se ne ricava, non sarà la Commissione a intervenire.)
È dunque utile capire quale sia lo stato dell’arte e le tutele che sono state approntate, per poi descrivere come alcuni degli operatori dell’ecosistema si stanno attrezzando per rispondere ai propri clienti in un contesto che evolve così in fretta.
Uno sguardo critico al quadro normativo
Anche rimanendo nell’ambito della legalità e del diritto internazionale, le regole che limitano l’accesso a dati e servizi digitali sotto la sovranità altrui sono più complesse di quanto le argomentazioni inevitabilmente semplici degli operatori del mercato, il ragionamento politico in corso, e le stesse norme europee vigenti, facciano percepire.
CLOUD Act, MLA e FISA: tre canali diversi, spesso confusi
Tipicamente, nell’informazione mainstream (e a volte anche in articoli che dovrebbero essere più specialistici) si parla del CLOUD Act statunitense come di una norma che consentirebbe al Governo ed Agenzie USA accesso indiscriminato alle informazioni detenute dai cloud provider USA operanti in Europa.
In realtà non è così: il CLOUD Act prevede, in effetti, la possibilità che gli USA stipulino trattati con altri Stati in base ai quali i dati dei rispettivi cittadini potrebbero essere immediatamente richiesti ed ottenuti.
I trattati bilaterali del CLOUD Act e perché contano meno di quanto si creda
Quel che è meno noto è che questi trattati non sono stati stipulati quasi da nessuno Stato: a sette anni dall’approvazione del CLOUD Act sono stati stipulati solo da Regno Unito ed Australia. Nessuno Stato membro dell’UE ha un simile trattato in vigore.
I meccanismi per cui gli Stati (come è successo per il Canada) possono imporre a un cloud provider, soggetto alla propria giurisdizione, di consegnare dati relativi a un certo utente agli Stati Uniti sono altri: essi si basano sui trattati (c.d. Trattati MLA – Mutual Legal Assistance), che nulla hanno a che vedere con il CLOUD Act, normalmente in vigore tra Governi relativamente alla cooperazione investigativa in materia di repressione del crimine e del terrorismo internazionale; in questo senso chiedere un dato su un server cloud non è diverso dal chiedere l’esibizione di un documento cartaceo rilevante sito nel territorio di un altro Stato. Sono però molto limitate le ipotesi in cui questo tipo di richieste sia ammissibile.
Warrant e definizioni USA: perché il perimetro è più ampio del “cloud”
Altre previsioni del CLOUD Act consentono a un giudice (non al Governo USA) di spiccare degli ordini di esibizione (warrant) laddove ritenga rilevante l’acquisizione di dati nel possesso di un operatore di “comunicazioni elettroniche” soggetto a giurisdizione USA. Va detto che questi ordini devono essere notificati e possono essere opposti, se ritenuti contrari al diritto della nazione ospitante, ma la decisione ultima è del giudice USA. Occorre anche notare che la definizione di operatori di comunicazione data dal Cloud ACT (o, meglio dallo Stored Communications Act cui il CLOUD Act si riferisce) è molto diversa dalla nostra: in sostanza si applica non solo al cloud ma a qualsiasi società soggetta a giurisdizione USA che ospiti dati trattati elettronicamente: anche la posta elettronica gestita su propri server da una società USA operante in Europa sarebbe potenzialmente soggetta a questo tipo di ordini.
FISA 702 e intelligence: il vero nodo di attrito con il diritto UE
La norma che invece consente al Governo USA ed alle agenzie (FBI, CIA, NSA, DHS, ICE) di ottenere dati ospitati su cloud USA in Europa e altrove è invece il “famigerato” FISA (Foreign Intelligence Security Act) che, all’articolo 702 prevede che le agenzie citate possano richiedere, per ragioni legate alla sicurezza nazionale e rispondenti a criteri definiti dal Governo federale, accessi ai dati ospitati da operatori di comunicazione elettronica USA, tra i quali, appunto, i cloud provider. Queste richieste vengono brevemente verificate da una commissione federale e, se autorizzate, aprono l’accesso ai dati, che possono essere cercati e scaricati, un poco come si vede fare nei film di spionaggio elettronico. I soli dati che possono essere acceduti sono quelli di “foreign intelligence” cioè i dati che riguardano cittadini non USA e che sono tenuti al di fuori degli USA. Questo tipo di accesso, di per sé, non richiede che l’utente sia avvisato ma – almeno in Europa – gli obblighi derivanti dal GDPR impongono invece al provider – che è soggetto anche alla giurisdizione UE – di avvisare l’utente e consentire di opporsi qualora l’accesso ai dati sia contrario al diritto UE.
Questa situazione pone l’operatore non europeo tra l’incudine e il martello: a chi obbedire? Alla Legge del proprio paese o alla Legge europea? Ci sono rischi in entrambe le scelte e la scarsa possibilità di sindacato esterno sulla gestione dei servizi cloud rende abbastanza semplice “evitare” accidentalmente di avvisare l’utente europeo i cui dati vengono requisiti.
Il caso OVHcloud: precedente, conflitto di leggi e possibili esiti
E’ la situazione che si sta ponendo nel caso, ormai piuttosto noto e a cui si accennava prima, del provider francese OVH, la cui filiale ha ricevuto un Production Order emesso da un giudice canadese su richiesta della polizia, relativamente ad alcuni dati detenuti su server francesi e per servizi che non sono gestiti dalla filale canadese.
Il problema è che l’ordine, pur emesso per finalità legittime quali prevenzione del crimine e sicurezza nazionale – non ha seguito – come invece avrebbe potuto e dovuto – le procedure di cooperazione internazionale (le MLA sopra citate) e dunque, formalmente non può essere riconosciuto come valido ed esecutivo nel territorio francese.
La Loi 68-678 e il rischio doppia sanzione
Una legge francese del 1968 (Loi 68-678) prevede infatti il divieto per soggetti di nazionalità francese di comunicare dati ad autorità giudiziarie e governative straniere, se la richiesta non passa tramite le procedure MLA o se possa ledere la sovranità e la sicurezza francese.
La violazione del divieto è sanzionata con sanzioni pecuniarie non altissime (multa sino a 90.000 Euro) ma è possibile anche la sanzione penale della detenzione sino a 6 mesi, ancorché rarissimamente applicata. Anche la violazione del Production Order può però essere sanzionata dal Canada con entrambe le tipologie di sanzioni, di misura quasi identica. Il Canada ha scelto la più breve strada dell’ordine diretto secondo una teoria (per il vero simile a quella in base al quale l’UE applica il GDPR a soggetti non stabiliti in Europa) che considera virtualmente presente in Canada chi offre servizi ad utenti canadesi. Questa è la dimostrazione pratica di come un gruppo internazionale possa trovarsi tra l’incudine e il martello.
La posizione ufficiale di OVHCloud sulla questione è la seguente: “OVHcloud ha impugnato la decisione della Corte dell’Ontario. Il procedimento è tuttora in corso e il Gruppo non rilascia commenti su vicende legali in corso. La tutela dei dati dei clienti rappresenta la priorità assoluta di OVHcloud; per questo motivo tali dati non possono essere messi a disposizione delle autorità canadesi. Il Gruppo è strutturato, sotto il profilo giuridico, tecnico e operativo, per affrontare queste sfide in qualità di player multilocale, non soggetto a normative extraterritoriali e pienamente conforme alle leggi dei Paesi in cui opera. OVHcloud è pronta ad adeguare e a far evolvere la propria infrastruttura e organizzazione al fine di continuare a garantire la protezione dei propri dati e di quelli dei clienti.”
Sul punto si possono fare due considerazioni: in primo luogo risulta evidente a molti osservatori che il Canada ha sbagliato la procedura e che l’ordine poteva e potrebbe essere reso legittimo seguendo la procedura MLA: questo potrebbe portare a una situazione giuridica più chiara ed eliminare il dilemma per OVH; in secondo luogo, la filiale canadese non ha materiale gestione dei dati in questione e dunque non potrebbe – almeno secondo chi scrive – essere legittima destinataria dell’ordine. In sostanza, l’ordine pur esistente e valido in Canada, risulterebbe inapplicabile (perché non esecutivo secondo le procedure MLA) a soggetti stabiliti fuori dal Canada.
Il problema è ora all’attenzione delle Corti canadesi e sarà interessante vedere l’esito della vicenda che, ancor più, evidenzia come sia necessaria una soluzione – giuridica e tecnica – per separare il cloud provider dalla titolarità dei dati che ospita.
Separare cifratura e memorizzazione: come disinnescare il corto circuito
Tale soluzione passa anche per l’idea di separare la cifratura del dato dalla sua memorizzazione, così che il cloud provider, senza poter decifrare il dato, possieda informazioni in realtà non intelligibili anche se condivise e prodotte, disinnescando così il possibile corto circuito giudiziale e procedurale.
Molti Stati europei hanno norme – spesso poco conosciute e di rara applicazione – che prevedono il divieto di esportare dati per varie ragioni: la circolazione rimane tendenzialmente libera tra Stati UE ma trova, appunto, barriere quando la richiesta arriva da fuori Unione. Solo per citare le principali, troviamo – valido per tutta l’Unione – il Regolamento 2271/96 (c.d. “Blocking Statute”) che vieta ai soggetti UE di conformarsi a leggi e decisioni straniere che non passino per i canali MLA: l’eventuale decisione di fornire i dati sarebbe dunque nulla e inapplicabile; il Data Governance Act e l’art. 48 del GDPR (rispettivamente per dati non personali e per dati personali) prevedono disposizioni analoghe. Anche a livello nazionale in Italia troviamo norme procedurali quali l’art. 696-bis del Codice di Procedura Penale che sanciscono l’obbligo delle autorità straniere di passare per le procedure MLA quali la rogatoria internazionale per spiccare ordini di produzione che possano essere ritenuti validi. Aggiungerei in questa breve rassegna le norme a tutela del segreto industriale e dei segreti di Stato, nonché le norme del Codice dei Beni Culturali che vietano di trasferire all’estero i documenti contenuti in archivi di pubblico interesse tenuti sul territorio nazionale.
Cosa dicono gli operatori: colocation, CSP, open source e certificazioni
Come mostra l’analisi del quadro normativo, il tema degli accessi legali ai dati è un elemento molto complesso ma relativamente circoscritto della questione ben più ampia della sovranità digitale. Anche per questo, probabilmente, molti degli operatori che abbiamo sentito partono dai dati per prospettare la difesa e lo sviluppo della sovranità nella prospettiva a tutto tondo che delinea anche il Cloud Sovereignty Framework precedente, e seguono con estremo interesse casi legali come quello del tribunale dell’Ontario con OVHcloud.
Numerosi operatori che gestiscono nelle proprie infrastrutture computer di proprietà altrui controllandone l’ambiente esterno (temperatura, umidità, alimentazione elettrica…) senza intervenire sul contenuto, come i colocator, si considerano poco vulnerabili al rischio di accesso extraeuropeo “legale” ai dati che ospitano, proprio perché non hanno modo di accedervi. Secondo loro, questo rischio è molto più elevato per i CSP (come appunto OVHcloud), perché questi in rete offrono servizi digitali veri e propri: applicazioni come il CRM e l’ERP, l’e-commerce o la compravendita di titoli. Per questa pagina lo hanno confermato in tre, con ruoli simili ma dimensioni e ambito geografico ben diversi, dentro e fuori dall’Europa.
Colocator: meno esposizione perché non accedono ai dati
Per Stefan Nilsson, Sales and Marketing Manager di Conapto, colocator svedese: “C’è una grande differenza tra i fornitori di servizi cloud (come OVHcloud) e un fornitore di semplici servizi di colocation.” I colocator, infatti, “non gestiscono hardware e software dei loro clienti; sono i clienti i proprietari e i responsabili della gestione”. Richieste di accesso come queste potrebbero riguardare, più che Conapto, i loro clienti, “soprattutto i Managed Service Provider internazionali che hanno attività in molti paesi in tutto il mondo.” Anche “Il fatto che noi gestiamo data centre [solo] in Svezia … riduce il rischio per noi, perché non abbiamo attività in altri paesi.” E però, riconosce, “Sarà interessante seguire come va [l’ingiunzione dell’Ontario a OVHcloud], perché potrebbe senza dubbio cambiare la definizione stessa di sovranità.” (Il neretto, qui e in tutte le citazioni che seguono, è di chi scrive.)
Anche LCL, colocator belga, si considera poco vulnerabile a richieste simili, sia perché ha sede e infrastrutture solo in Belgio, sia perché non accede ai dati dei propri clienti. Ai propri partner che a quei dati accedono, come CSP e hyperscaler segnala che la sua partnership con Megaport per la connettività cloud, oltre a capacità scalabili, offre servizi di sicurezza che permettono a clienti e partner di creare comunità private tramite il protocollo di origine svizzera SCION, utili in particolare per banche e aziende media.
Più decisa la loro posizione sull’impatto di ingiunzioni come quella canadese a OVHcloud. Se questa consegnasse i dati richiesti, sostiene LCL, “si tratterebbe di un’ammissione di sconfitta per tutte le iniziative di protezione dei dati e sovranità digitale europee. Per questo è necessario che la Commissione Europea e i governi nazionali reagiscano immediatamente per proteggere la nostra integrità.”
Vale lo stesso per tutte le organizzazioni che operano in mercati nazionali? “Liberi” da clienti esteri, e da sedi estere, ritengono di essere ben poco vulnerabili a richieste di tribunali extraeuropei? Abbiamo chiesto a diversi operatori italiani, ce lo ha confermato Trentino Digitale, la in-house di servizi alle PA della provincia autonoma di Trento.
Possiamo immaginare che formuli valutazioni simili la grande maggioranza delle in-house, diffuse in Italia e in molti paesi europei: operatori che servono la pubblica amministrazione di un solo paese, e le tantissime medie imprese di servizi digitali che lavorano per le imprese private di un unico paese, il proprio.
Per i colocator, la stessa prospettiva sembra valere anche per quelli globali. Così ritiene in particolare Pure Data Centres Group, che serve hyperscaler e altri grandi clienti in diversi continenti: UK, Irlanda e Paesi Bassi, Abu Dhabi, Arabia Saudita e Indonesia. Per Chris Talago, Head of Corporate Affairs and Communications, la questione riguarda i CSP, compresi gli hyperscaler: “sono gli operatori che hanno una interfaccia diretta con l’archiviazione dei dati dei clienti”, come Microsoft, AWS, Google e OVHcloud, “che potrebbero dover affrontare il tema”.
ISV open source: sovranità come trasparenza e verificabilità
Analogo l’atteggiamento di alcuni grandi ISV open source europei, per i quali il tema della sovranità è strategico.
Nextcloud, un produttore di software (ISV) open source per la collaborazione e la gestione di documenti, molto attivo nello sviluppare la sovranità europea e nel rivendicare la propria natura di operatore europeo sovrano, si considera poco vulnerabile a ingiunzioni simili. Non erogano direttamente servizi con il proprio software, infatti, ma si affidano a cloud service provider terzi, e permettono a chiunque (“self-hoster”, anche piccolissime organizzazioni e singoli) di gestire il software Nextcloud su un proprio server.
Un altro ISV per il quale essere sovrano europeo rappresenta un elemento di differenziazione fondamentale, Collabora Productivity, sottolinea la propria trasparenza e verificabilità, e il proprio ruolo di operatore responsabile che favorisce la resilienza e insieme la sostenibilità economica del mercato europeo. Nelle parole del CEO, Michael Meeks: “Siamo un’azienda open source, quindi quasi tutto quello che facciamo, lo facciamo in pubblico. Vendiamo tramite canali di partner locali per offrire ad aziende grandi e piccole l’opportunità di sviluppare ricavi tramite abbonamenti (subscription). Per evitare difficoltà con le richieste di dati, chiediamo ai nostri partner di eliminare dai documenti qualsiasi informazione che possa identificare una persona quando ci mandano richieste di supporto, o di produrre una segnalazione di bug di livello 3 ben formata. Questa combinazione di comportamenti riduce drasticamente i rischi per i nostri clienti.”
Più approfondite le prospettive dei Cloud Service Provider, a confermare implicitamente le indicazioni di colocator e ISV, sopra, e quelle informali di alcuni altri operatori simili.
Un cloud service provider globale che eroga servizi da infrastrutture proprie o di colocator in Asia, Europa (dentro e fuori dall’Unione), Nord e Sud America e Oceania è Hyve Managed Hosting. Charlotte Webb, Operations Director, ha descritto come gestiscono i temi di sovranità e come gestirebbero ingiunzioni simili: “Ogni organizzazione regionale segue le leggi sulla privacy e la protezione dei dati di dove si trova. Inoltre, diamo priorità alla trasparenza, facendo in modo che i nostri clienti sappiano sempre dove stanno i loro dati. Nel caso di OVHcloud, sembrerebbe che i dati di alcuni clienti canadesi possano essere stati conservati in Europa, complicando la situazione legale.
Si tratta evidentemente di un caso speciale, forse senza precedenti, in particolare perché deriva da un’indagine penale. Se Hyve si trovasse in una situazione simile, la nostra risposta dipenderebbe completamente dalle circostanze specifiche.
Noi gestiamo ambienti cloud sovrani in ogni regione, ma le regole sulla comunicazione dei dati dipendono sia dal diritto locale, sia dall’autorità giudiziaria attiva in ciascun caso, e anche da quale organizzazione del gruppo Hyve abbia stipulato il contratto con il cliente. Inoltre, tutti i service provider possono avere obblighi legali extraterritoriali.” D’altra parte, conclude Webb, “è importante riconoscere che esiste un interesse pubblico a che le indagini penali opportunamente qualificate possano svolgersi, a condizione che vengano condotte tramite i canali opportuni e previsti”.
Secondo TIM, player italiano nell’infrastruttura digitale, con una presenza che va dalle reti alle piattaforme cloud, alla cybersecurity, fino ai servizi digitali per aziende e PA, la distinzione tra operatore di cloud nazionale e service provider di cloud globale è un tema centrale nel dibattito sulla sovranità digitale.
L’operatore di cloud con giurisdizione italiana è soggetto alla normativa nazionale ed europea e risponde esclusivamente alle richieste delle Autorità competenti. Un provider internazionale opera seguendo una pluralità di ordinamenti giuridici: la presenza in più paesi può esporre il cliente o fornitore a regimi diversi da quello nazionale, anche in relazione all’accesso ai dati.
In questo contesto, TIM considera decisivo il ruolo delle istituzioni. A livello europeo, osservano, è in corso un’intensa attività di elaborazione di politiche industriali e regolatorie in ambito cloud e dati, che troveranno a breve corpo nel Cloud and AI Development Act.
La sfida è garantire un quadro coerente, solido e applicabile, capace di dare certezze operative a imprese e Pubbliche Amministrazioni.
Per questo, secondo TIM, il cloud va ormai considerato una filiera sensibile, una decisione industriale che riguarda sicurezza, governance dei dati e architetture di servizio più che una semplice scelta tecnologica.
In questo scenario, è TIM Enterprise che supporta imprese e PA nell’adozione di modelli cloud conformi alle norme nazionali ed europee. Il Polo Strategico Nazionale, del quale TIM è uno degli attori chiave, rappresenta secondo TIM un esempio concreto di cloud sovrano, che consente alla Pubblica Amministrazione di gestire dati e servizi sensibili secondo criteri di sicurezza, localizzazione e controllo definiti dal legislatore.
Sul piano dell’offerta, TIM Enterprise formula la propria proposta lungo tre direttrici: sovranità dei dati, operativa e tecnologica, anche attraverso soluzioni basate su tecnologie open source come TIM Cloud Open.
Francesco Bonfiglio, esperto in politiche digitali e già CEO di Gaia-X, sottolinea che gli strumenti legali concordati tra gli stati, come gli MLA, sono vitali per i regimi democratici, ma andrebbero rivisti per tenere conto dell’importanza che i dati digitali oggi rivestono, e soprattutto “per creare un allineamento tra giurisdizione in materia legale e digitale”. Il diritto di ogni stato di investigare è fuori discussione, così come il fatto che queste investigazioni sempre più possono richiedere l’accesso a dati controllati da soggetti privati e di altri stati.
La reciprocità di tale diritto, e dunque la simmetria degli MLA e dei regolamenti sulla protezione dei dati personali, è evidentemente fondamentale, ma questo caso mette in luce con chiarezza un problema: la sovranità di uno stato, come la sua libertà, non può prevalere su quella di un altro. “Credo l’errore qui sia confondere la richiesta del tribunale canadese, documentata e legittima [in particolare se avverrà tramite un MLA], con un’azione unilaterale non documentata e non giustificata, come quella che l’autorità americana può operare grazie al CLOUD Act o a FISA.
L’errore che l’Europa farebbe a non supportare un’azione legale, documentata, di un altro stato sarebbe una imposizione ingiustificata della propria sovranità.”
Un altro tema che Bonfiglio approfondisce, sulla scorta di anni di esperienza nello sviluppo di strumenti per un’economia dei dati basata sulla capacità di condividerli mantenendone il controllo: “Si parla tanto di come trattenere i dati protetti a casa nostra, e molto poco di come poterli scambiare ovunque in modo sicuro. Sono convinto che la libera circolazione dei dati sarà il tema più importante del futuro, una volta superata la battaglia ideologica sul vincolo territoriale come unica soluzione per ottenere sovranità.
Nulla di più sbagliato. Per gestire il caso di OVHcloud, così come per qualunque altro caso, legale o industriale, dove si rende necessario lo scambio di dati riservati, personali, critici o strategici attraverso confini geografici e giuridici, sarà necessario definire protocolli di interscambio internazionale approvati dai governi, servizi di clearance per validare la conformità dei servizi di scambio dei dati tra enti che sottoscrivono quei protocolli, e connettori dati certificati secondo questi schemi, che possano essere usati per controllare per controllare l’identità di chi accede e la violazione delle regole di utilizzo dei dati imposte dal loro possessore, o dal loro controllore.
Tutto questo è tecnologia, automazione delle regole, non nuove regole. È ciò che avevo iniziato a realizzare con Gaia-X, ma che, come tanti progetti europei, non ha trovato la necessaria convergenza di intenti e interessi per la realizzazione. Le regole da sole non risolvono il problema: possono essere eluse con un effetto paralizzante. Paralizzante per il caso OVHcloud, che si trova schiacciata tra il rischio di una sanzione e la necessità di supportare un’azione legale, ma anche per tutta l’industria che si trova costretta a scegliere tra la necessità di continuare a scambiare dati per digitalizzare le proprie filiere e innovare, e il rischio di non poterne controllare l’accesso improprio da parte di terzi. La fiducia, e gli strumenti per verificarla digitalmente, sono il primo e il più importante ingrediente per ottenere sovranità in un mercato globale che non prevede barriere fisiche tra i dati.”
CSP e “sovranità sotto pressione”: la tesi Cloud Temple
Cloud Temple, un cloud service provider francese, attento ai temi della sovranità dai quali dipende in maniera olsignificativa la sua differenziazione rispetto ai grandi operatori globali, propone l’analisi che ci sembra più completa e sistematica tra gli operatori con i quali ci siamo confrontati, evidenziando come un CSP possa gestire questi rischi oggi, e anche l’importanza della cooperazione e coordinamento tra operatori, oltre al supporto dei governi nazionali ed europeo.
Secondo Sébastien Lescop, CEO: “Bisogna distinguere chiaramente tra due questioni molto diverse: il diritto legale di accedere a dei dati, e la capacità concreta di fare pressione su un cloud provider. La sovranità non si decide solo con le leggi e i trattati, ma ovunque si possa far leva su un vantaggio concreto. Un’autorità può non avere alcun diritto formale per accedere a dei dati, eppure essere in grado di imporre obbedienza.
Gli strumenti sono ben noti: si può fare pressione su una consociata locale, sui vertici dell’azienda, su qualche dipendente, sui beni del gruppo cui si chiedono le informazioni o sulla capacità stessa di continuare ad operare in un certo paese. Basta che un erogatore di servizi sia esposto fuori dall’Europa per creare dei punti di debolezza dove la coercizione può far presa. A quel punto, la collocazione fisica dei dati diventa secondaria. La sovranità non è una cosa che si legge sulle carte, è qualcosa che si collauda sotto pressione.”
“Cloud Temple”, spiega Lescop, “è stata costruita in modo da ridurre entrambi i rischi contemporaneamente: eroghiamo servizi dalla Francia, sotto il diritto francese e quello europeo, con processi di gestione, personale operativo e potere decisionale pienamente radicati in Europa. Le nostre piattaforme sono certificate ai massimi livelli degli standard europei, compreso Gaia-X Label Level 3, il C5 tedesco e il SecNumCloud francese. Tutti e tre questi schemi vanno ben oltre la sicurezza tecnica; prevedono esplicitamente verifiche sulla sovranità, l’autonomia strategica, il controllo di fatto, e l’autorità decisionale.
Di fronte a un’ingiunzione extraterritoriale, la nostra posizione è chiara e coerente: i meccanismi formali di cooperazione giudiziaria tra stati sono gli unici legittimi, qualsiasi altro percorso costituisce un aggiramento della legalità.”
È importante avere ben chiaro, sottolinea Lescop, che “questa posizione è credibile solo perché la sostengono un’architettura e una organizzazione progettate per rendere inefficace la coercizione. Un cloud sovrano non si limita a rifiutare un’ingiunzione sulla base di argomenti legali; è costruito in modo che la pressione esercitata non riesca a produrre risultati.”
Rispetto al ruolo possibile delle associazioni nazionali ed internazionali, Lescop sottolinea: “Le pressioni extraterritoriali non si possono affrontare in ordine sparso. Rappresentano una sfida per tutto il settore, prima, e poi per tutta l’Europa. Le associazioni di settore devono adempiere fino in fondo al proprio ruolo costruendo strumenti concreti di allineamento e standardizzazione che abbraccino tutto il settore.
La strada è quella indicata dagli schemi di certificazione come Gaia-X e SecNumCloud [e oggi, aggiungiamo noi, da Cloud Sovereignty Framework, che infatti li cita nella premessa]: andare oltre i requisiti di cybersicurezza per introdurre controlli sull’indipendenza vera degli operatori”, quelli citati prima. “Sono queste certificazioni”, prosegue, “a tradurre l’intento politico in criteri concreti, verificabili, che si possono far rispettare. È proprio questo il tipo di meccanismo che le associazioni di settore dovrebbero sostenere, potenziare e diffondere a tutti. La capacità di fare pressione e resistervi è collettiva: definire linee rosse condivise, allineare le procedure di risposta alle richieste extraterritoriali, aggregare le competenze legali e promuovere architetture che sostengono queste esigenze. Quando dall’esterno giungono pressioni, l’isolamento indebolisce; è l’allineamento che protegge.”
Anche al di là delle associazioni di settore, conclude Lescop, “iniziative come EuroStack hanno senso quando diventano una strategia industriale completa: investire europeo, gestire europeo, decidere europeo. Gaia-X, alla stessa stregua, è utile quando rimane basata sui fatti, con certificati impegnativi ed esigenti basati su fatti concreti più che sulle dichiarazioni. Alla sovranità non arriveremo con gli slogan ma con regole che stiano in piedi in tribunale e sistemi capaci di reggere sotto pressione.”
E se un grande operatore europeo, come OVHcloud in questo caso, dovesse condividere i dati richiesti da un tribunale extraeuropeo? “Se un grande fornitore di servizi europeo accettasse una richiesta [che fosse fuori dall’ambito dei trattati internazionali], anche una volta sola”, conclude Lescop, “l’impatto sarebbe immediato e significativo. Oltre a creare un precedente, manderebbe il segnale chiaro che la pressione extraterritoriale è più efficace della collaborazione giudiziaria. Cambierebbe la struttura stessa dei meccanismi di fiducia reciproca. La discussione passerebbe immediatamente da ‘dove stanno i miei dati’ a un punto ben più fondamentale: ‘chi può essere costretto a consegnarli’ [e chi invece può resistere a queste pressioni]? Questo passaggio accelererebbe i profondi cambiamenti [già in corso] sia nei meccanismi legali, sia nelle architetture tecniche.
Dal punto di vista legale, l’Europa dovrebbe sviluppare meccanismi di blocco più forti e che si possano far rispettare in maniera più efficace, obblighi di trasparenza più chiari e un principio esplicito che nessun dato che sia custodito nell’Unione si può trasferire altrove al di fuori dei canali di cooperazione giudiziaria formali. Per quanto riguarda gli operatori del mercato, questi dovrebbero generalizzare architetture resilienti, nelle quali l’obbligo legale non si traduce automaticamente in una capacità tecnica di accesso, come nei framework già citati.
A quel punto, scomparirebbe qualsiasi possibilità di equivoco: un cloud sovrano non è un cloud locale, è un cloud che rimane padrone del suo destino, legale e tecnico, anche quando è sotto la massima pressione.”
Sovranità digitale europea: cosa manca nelle regole e cosa può arrivare
La ricostruzione effettuata pone seriamente in evidenza la assoluta carenza di normative esaurienti sul cloud, che tutelino l’utente in maniera efficace.
A queste si aggiunge la libertà contrattuale quasi assoluta dei grandi operatori cloud, alcuni dei quali limitano la propria responsabilità complessiva nei confronti dell’utente a poche decine di dollari, salvo il caso (almeno in Italia non derogabile) di dolo o colpa grave.
I grandi operatori sono in grado di “mettere a bilancio” eventuali possibili sanzioni per violazione delle norme a tutela dei dati personali, hanno le spalle abbastanza grandi e, come si diceva, ciò pone l’utente – in quanto parte debole del rapporto – nella scomoda posizione di soggetto, per così dire, “sacrificabile” per non avere serie conseguenze operative derivanti dal non aver consegnato i dati alle Autorità.
A ciò si aggiunge il problema che l’UE, nell’intento di “semplificare” la normativa in maniera gradita alla sua controparte USA, sta – con la proposta Digital Omnibus – pensando di rendere più debole ed interpretabile la definizione normativa di dato personale, rendendo così più corta la coperta a protezione dei dati dei residenti in UE: se non sono dati personali, il cloud provider ha molta più libertà. E’ auspicabile che nel prosieguo dell’esame di tali proposte queste eccessive e semplicistiche semplificazioni vengano temperate anche attraverso un serio impact assessment normativo.
Occorre perciò ragionare di normativa specifica per il settore cloud, ma anche – come già stanno pensando vari operatori – di rendere il “cloud sovrano” un servizio riservato non solo alle Pubbliche Amministrazioni ma anche accessibile all’utenza privata. Tale operazione richiede però di pensare in chiave UE tutti i layer del cloud: infrastruttura, piattaforma e software, perché non risolve molto un server in territorio UE controllato da software non UE.
Dato personale vs possesso del dato: la proposta di cambio paradigma
Dal punto di vista normativo si potrebbe ragionare sul concetto di “possesso” del dato ed abbandonare la tradizionale classificazione tra dati personali e non: tutti i dati che il cloud provider ha in carico devono essere ugualmente tutelati e la chiave per capire se il cloud provider ha o meno obblighi di esibire i dati potrebbe essere proprio il possesso, inteso come disponibilità – anche solo potenziale – dei dati in chiaro: i dati crittati dei quali il cloud provider non avesse la chiave non potrebbero essere considerati sotto il dominio del cloud provider ed assoggettati a ordini e così si toglierebbe, per gran parte dei casi, il cloud provider dal problema.
Sarebbe inoltre utile che lo standard contrattuale del cloud fosse definito, nelle sue obbligazioni inderogabili, a livello normativo come avviene per i c.d. contratti “tipici”: es. Il contratto di compravendita è definito in maniera uniforme in quasi tutti i codici civili europei che prevedono alcune obbligazioni che non possono essere rinunciate.
Sul fronte dell’enforcement sarebbe inoltre opportuno dare un segnale preciso, azionando le tutele che – almeno a parole – già sono presenti nei Regolamenti Digitali Services Act e Digital Markets Act anche nei confronti del cloud.
Una strategia industriale: alternative europee e iniziative come EuroStack
Occorre insomma sia maggior decisione delle istituzioni europee e nazionali nel rispondere ad azioni unilaterali – almeno negli ambiti dove abbiamo ancora una certa capacità di reazione – ma anche una iniziativa imprenditoriale europea che faccia emergere gradualmente una chiara alternativa ai servizi delle big tech USA, come adombrano gli operatori europei citati sopra e iniziative come EuroStack.
E come potrebbe concretizzarsi questa maggior decisione delle istituzioni? In attesa di esempi concreti dalla Commissione Europea, che al momento di consegnare queste righe sembrava potessero emergere dalle tensioni del World Economic Forum, un esempio vivido è “our chance to make tech good again” che Cory Doctorow ventila sul Guardian, facendo riferimento al governo di quel Regno Unito che pure ha già firmato un accordo con gli USA per applicare il CLOUD Act.
