L'Europa dice basta alla dipendenza dalle Big Tech Usa: perché governi e imprese stanno provando a puntare su “cloud sovrani” e piani nazionali

La mattina in cui il capo della procura della Corte penale internazionale, Karim A.A. Khan, scopre di non poter più accedere alla sua casella di posta “ufficiale”, non è un guasto. È la politica che entra nei server. A causa delle sanzioni decise dagli Stati Uniti contro funzionari della Cpi nel febbraio 2025, il suo account – gestito da un fornitore americano – viene disattivato. Khan è costretto a ripiegare su un indirizzo alternativo, su un servizio elvetico. Un click e un ordine esecutivo oltreoceano bastano per inceppare l’ingranaggio di un’istituzione internazionale con sede all’Aia. È l’istantanea più nitida di una verità scomoda: le Big Tech sono diventate infrastrutture critiche, e un blocco amministrativo o legale negli USA può spegnere pezzi della nostra vita pubblica.

Dalla cronaca all’infrastruttura: perché una mail può diventare “critica”

Negli ultimi anni le piattaforme di Microsoft, Amazon Web Services e Google Cloud hanno colonizzato la dorsale digitale europea. Secondo le stime di Synergy Research, i tre hyperscaler americani controllano circa il 70% del mercato europeo del cloud, cresciuto fino a oltre 61 miliardi di euro nel 2024, mentre i provider locali si attestano su un 15% stabile ma insufficiente a riequilibrare il quadro. Tradotto: scuole, ospedali, ministeri, tribunali, utility e imprese dipendono in modo massiccio da servizi che rispondono anche a giurisdizioni extraeuropee.

Questa dipendenza non è solo “di mercato”. È anche legale. Il CLOUD Act (2018) obbliga i fornitori statunitensi a consegnare dati sotto il loro controllo “a prescindere dal luogo di conservazione”, e consente accordi esecutivi con governi stranieri per l’accesso a prove digitali. Una norma pensata per velocizzare le indagini può produrre attriti con il Gdpr e i diritti fondamentali europei, perché espone dati e metadati conservati in Europa a ordini giudiziari statunitensi.

Quando l’aggiornamento sbagliato spegne un Paese

Se la vicenda Khan mostra il profilo geopolitico del rischio, l’outage globale del 19 luglio 2024 rivela la fragilità tecnica. Un aggiornamento difettoso del client di sicurezza di CrowdStrike ha mandato in crash milioni di macchine Windows: voli cancellati, sportelli bancari fuori uso, sale operatorie rallentate, dirette televisive interrotte. Un singolo componente, aggiornato da un fornitore americano, ha bloccato operazioni vitali dall’Europa all’Australia. La portata: migliaia di voli annullati o in ritardo, sistemi di emergenza e ministeri impattati, e contenziosi multimilionari in scia.

È l’altra faccia della “comodità” del cloud: centralizza efficienza e innovazione, ma concentra anche il rischio. Quando un tassello va in crisi, la propagazione è immediata.

Il fattore geopolitico: ordini esecutivi, sanzioni e interruzioni “legali”

Il caso Cpi è emblematico. Con l’Executive Order 14203 del 6 febbraio 2025, l’amministrazione statunitense ha introdotto sanzioni contro la Corte e i suoi funzionari. Oltre a visti e conti, gli effetti hanno toccato i servizi digitali: secondo ricostruzioni giornalistiche e conferme dell’Associated Press, l’account email di Karim Khan è stato disattivato dal fornitore americano; diverse ong hanno sospeso le collaborazioni per timore di ricadute legali; la stessa Cpi ha denunciato pubblicamente l’impatto sull’operatività. Un provvedimento politico interno agli USA ha prodotto un’interruzione di servizi essenziali in Europa. È la definizione di “rischio di giurisdizione”.

Non è un’eccezione isolata. In generale, gli ordini del Dipartimento del Tesoro e le liste Ofac possono imporre a società americane il congelamento di rapporti e servizi verso soggetti sanzionati in qualunque parte del mondo. Per le pubbliche amministrazioni europee, questo si traduce in un interrogativo operativo: cosa succede se il mio fornitore cloud, per ottemperare a un ordine USA, disattiva un account, sospende un servizio, limita l’accesso?

Le contromisure europee: norme, certificazioni e scelte industriali

L’Europa non è ferma. Il Data Privacy Framework del 10 luglio 2023 ha ripristinato – dopo le sentenze Schrems I e II – un canale legale per i trasferimenti di dati personali verso gli USA, con nuove garanzie e un meccanismo di ricorso. Nel settembre 2025, il Tribunale dell’UE ha confermato la validità del quadro, rafforzandone la tenuta giuridica. Resta, però, un regime commerciale: non elimina a monte i rischi di accessi per finalità di sicurezza nazionale.

Sul lato “operativo”, il Data Act è entrato in vigore l’11 gennaio 2024 ed è applicabile dal 12 settembre 2025: introduce strumenti di portabilità tra cloud (multi-cloud), riduce le barriere al cambio fornitore e – punto cruciale – prevede salvaguardie contro richieste illegittime di accesso da parte di autorità di paesi terzi ai dati non personali conservati nell’UE. È un primo argine tecnico-giuridico a provvedimenti extraterritoriali.

C’è poi la resilienza dei settori vitali. Dal 17 gennaio 2025 si applica il regolamento DORA: per la finanza europea introduce la vigilanza diretta sulle terze parti Ict “critiche” (cloud compresi). A novembre 2025 sono iniziati i primi passaggi di designazione di operatori “critici” – tra cui AWS, Google Cloud e Microsoft – soggetti a test, audit e piani di continuità più stringenti. L’obiettivo è ridurre il rischio sistemico di “single points of failure”.

Sul fronte cyber, la direttiva NIS2 – recepita in Italia nell’autunno 2024 – estende gli obblighi di sicurezza e notifica a un perimetro molto ampio, inclusi i fornitori di cloud, data center e servizi gestiti; la registrazione e la classificazione dei soggetti essenziali/importanti ha preso corpo tra dicembre 2024 e marzo 2025. Più obblighi, più trasparenza, più capacità di risposta.

Infine, la traiettoria regolatoria dell’AI Act – entrato in vigore l’1 agosto 2024 e applicato per fasi tra febbraio 2025 e agosto 2027 – consolida un’ulteriore dipendenza dalle infrastrutture cloud per i modelli general purpose e i sistemi ad alto rischio. Non è solo una questione di conformità: più IA significa più calcolo, più dati, più cloud. Andare verso capacità europee diventa, quindi, anche una scelta industriale.

Sovranità “by design”: promesse e limiti dei nuovi cloud europei (e non solo)

Alla pressione politica si aggiunge un riassetto dell’offerta. Nel 2024-2025 AWS ha annunciato l’European Sovereign Cloud: infrastruttura separata, interamente nell’UE, operata da personale residente in UE, con governance locale e investimento previsto di 7,8 miliardi di euro in Germania entro il 2040; prima regione in Brandeburgo entro fine 2025. È una risposta alle richieste di “immunità” giuridica e operativa. Ma parte del dibattito accademico e giornalistico avverte: nessun “muraglia cinese” contrattuale può cancellare del tutto le pressioni extraterritoriali del CLOUD Act, sebbene le barriere tecniche e societarie ne riducano l’efficacia.

Microsoft ha completato l’EU Data Boundary nel febbraio 2025: per Microsoft 365, Dynamics 365, Power Platform e gran parte di Azure, dati dei clienti, dati personali pseudonimizzati e – novità – anche i dati di supporto tecnico restano in UE/Efta. In aggiunta, opzioni come Customer Lockbox e gestione di chiavi di cifratura da parte del cliente rafforzano il controllo locale. Sono progressi concreti, ma, anche qui, non una panacea assoluta: restano eccezioni documentate e casi in cui flussi minimi sono tecnicamente necessari.

Sul versante europeo, progetti come il “cloud de confiance” S3NS (Thales + Google Cloud) hanno raggiunto nel dicembre 2025 la qualificazione SecNumCloud 3.2 dell’Anssi francese, che include requisiti di immunità dalle leggi extraterritoriali non europee. È un tassello importante per amministrazioni e settori regolati in Francia e, per estensione, in Europa.

Non tutto, però, si muove nella stessa direzione. Nella definizione dello schema europeo di certificazione EUCS, nel 2024 l’UE ha ridimensionato (e in alcune bozze rimosso) requisiti di “sovranità” che avrebbero escluso, o fortemente vincolato, i fornitori extra-UE dagli appalti pubblici più sensibili. Una scelta contestata da grandi gruppi europei – da Deutsche Telekom a Airbus – preoccupati che senza “immunità” formali il rischio CLOUD Act rimanga. Il compromesso è ancora in divenire.

L’Italia tra PSN, Pnrr e qualificazione dei servizi

In Italia, la strategia Cloud Italia – guidata dal Dipartimento per la trasformazione digitale e dall’Agenzia per la Cybersicurezza Nazionale (Acn) – ha messo in cantiere il Polo Strategico Nazionale (PSN) per ospitare gli asset critici della PA, con l’obiettivo di migrare entro il 2026 circa il 75% delle amministrazioni verso servizi qualificati. La società Polo Strategico Nazionale S.p.A. è partecipata da TIM, Leonardo, Cdp Equity e Sogei; la convenzione si è ampliata nel 2025 introducendo un quarto cloud provider interno al perimetro PSN, per aumentare resilienza e scelta tecnologica. Sono in corso avvisi dedicati – finanziati dal Pnrr – per migrare PA centrali e ASL/AO.

L’attuazione della NIS2 richiede inoltre a fornitori e amministrazioni italiane registrazione, classificazione e adempimenti crescenti tra 2024 e 2026 (misure tecniche, reporting degli incidenti, valutazioni del rischio). È un percorso oneroso, ma necessario per elevare standard e ridurre il rischio di interruzioni a catena.

La narrazione da cambiare: dalla “dipendenza tecnologica” alla “resilienza democratica”

Qui non si tratta di demonizzare l’innovazione americana: senza le piattaforme USA, l’Europa non avrebbe scalato in pochi anni servizi digitali che prima richiedevano decenni. Ma la cronaca degli ultimi 24 mesi – tra un ordine esecutivo che spegne l’email di un procuratore internazionale e un aggiornamento che manda in tilt aeroporti e ospedali – dimostra che la dipendenza tecnologica è anche dipendenza istituzionale.

Una PA che non può notificare una gara, un tribunale che non può comunicare, un’azienda sanitaria che non può programmare le operazioni non sono semplici “incidenti IT”: sono incrinature dell’ordinaria amministrazione democratica. Servono più concorrenza, più capacità europea e più leve di controllo locale, ma anche una cultura del rischio che non deleghi ai fornitori la responsabilità della continuità.