Credi davvero di avere il controllo dei tuoi dati? Il caso Fastweb-AWS e il grande equivoco della sovranità digitale europea
Alla fine di aprile 2026, una notizia è passata quasi inosservata tra un titolo e l’altro. Fastweb si è aggiudicata la gara Consip per la fornitura di servizi cloud alla Pubblica Amministrazione italiana. Il contratto riguarda il Lotto 1 dell’Accordo Quadro per servizi IaaS e PaaS in modalità pubblica, per un valore di 150 milioni di euro, estendibili fino a 216 milioni.
Una gara pubblica, un operatore italiano certificato, con qualifica ACN, l’Agenzia per la Cybersicurezza Nazionale, tutto regolare. Fin qui niente di strano.
Il dettaglio che vale la pena fermarsi a leggere è un altro. Fastweb non porterà in dote alla PA italiana una piattaforma europea, un’infrastruttura italiana, una tecnologia sviluppata sul nostro territorio. Le Pubbliche Amministrazioni potranno accedere all’intero portafoglio di servizi AWS qualificati semplicemente emettendo un ordine telematico, senza dover predisporre bandi specifici. AWS. Amazon Web Services. Un’azienda con sede a Seattle, Washington, soggetta al diritto americano.
Il che implica, letteralmente, consegnare le chiavi della vita digitale del nostro Paese in mano a degli stranieri.
Nessuno scandalo, sia chiaro. Nessun complotto. Solo una domanda legittima, che vale la pena farsi ad alta voce: se le infrastrutture digitali della nostra Pubblica Amministrazione girano su piattaforme extraeuropee, di che sovranità digitale stiamo parlando?
Un continente che delega, implicitamente
Per capire perché questa notizia è più significativa di quanto sembri, serve un passo indietro.
La quota dei provider cloud europei è crollata dal 29% al 15% tra il 2017 e il 2024. Nello stesso periodo, tre hyperscaler extra-europei sono arrivati a coprire circa il 70% della domanda cloud europea.
Settant’anni fa l’Europa ricostruiva le proprie infrastrutture fisiche — strade, ferrovie, ponti — investendo in autonomia e indipendenza strategica. Oggi, le infrastrutture digitali sono diventate per il sistema economico e sociale ciò che quelle fisiche erano nel dopoguerra: il sistema nervoso attraverso cui scorrono le decisioni, le transazioni, le comunicazioni, la vita quotidiana di milioni di persone e di imprese. I server su cui vivono i dati, i sistemi su cui girano i servizi pubblici, le piattaforme su cui le aziende costruiscono il proprio futuro. Il 70% di tutto questo è in mano ad aziende extra-europee.
Non è una questione ideologica. È una questione di autonomia e indipendenza. Chi controlla l’infrastruttura, controlla le regole del gioco. E al momento, le regole le scriviamo a malapena.
Il nodo che nessuno vuole spiegare: Cloud Act, Patriot Act e GDPR
Qui arriva la parte che molti preferiscono glissare, perché è scomoda.
Esistono normative che, sulla carta, si contraddicono a vicenda. Da un lato il GDPR europeo, che impone protezione e controllo sui dati dei cittadini europei. Dall’altro un arsenale giuridico americano che va nella direzione opposta.
Il conflitto non è nuovo. Ci ha già provato Max Schrems, avvocato e attivista austriaco per la privacy, a portarlo all’attenzione di tutti. Due volte. Nel 2015, con la sentenza Schrems I, la Corte di Giustizia dell’UE ha invalidato il Safe Harbor, l’accordo che regolava il trasferimento di dati europei verso gli Stati Uniti. Nel 2020, con Schrems II, ha invalidato anche il suo successore, il Privacy Shield. In entrambi i casi il motivo era identico: le leggi americane sulla sorveglianza non offrono protezioni adeguate per i dati dei cittadini europei. Il terzo tentativo, il Data Privacy Framework del 2023, è già contestato. Il pattern è chiaro.
Alla radice di tutto c’è il Patriot Act del 2001, che ha aperto la strada a poteri di sorveglianza straordinariamente ampi per le autorità statunitensi. Il Cloud Act del 2018 ne è l’evoluzione diretta applicata ai dati digitali: una legge che permette alle autorità americane di richiedere l’accesso a qualsiasi dato detenuto da un’azienda soggetta alla giurisdizione statunitense — ovunque nel mondo, inclusa l’Europa.
Il Cloud Act prevale sulla localizzazione fisica: il datacenter in Europa non protegge di per sé. E soprattutto: le autorità americane non bussano alla porta. Possono accedere ai tuoi dati senza avvertirti. Il provider è spesso soggetto a un ordine che gli impedisce persino di comunicarti l’esistenza del mandato.
Tradotto: i tuoi dati possono stare in un datacenter a Milano, ma se il provider è soggetto alla giurisdizione statunitense, Washington può accedervi direttamente. Senza che tu ne sappia niente.
Le aziende che operano in Europa e utilizzano servizi cloud di provider extra-UE si trovano così in una posizione paradossale: da un lato devono conformarsi al GDPR per proteggere i dati personali, dall’altro potrebbero essere costrette a cedere quegli stessi dati alle autorità americane, senza poterlo comunicare a nessuno.
Non è teoria. È già successo. E il caso più emblematico è recentissimo.
Quando la geopolitica entra nel digitale
Nel giugno 2025, il direttore degli affari pubblici di Microsoft Francia è stato convocato davanti al Senato francese. Sotto giuramento, ha di fatto ammesso che Microsoft non può garantire la piena sovranità dei dati europei ospitati sui propri server.
Il risultato: il Procuratore della Corte Penale Internazionale è stato costretto a migrare su Proton Mail, servizio svizzero con crittografia end-to-end. Entro ottobre 2025, la stessa Corte ha annunciato la migrazione completa dei propri sistemi verso una piattaforma open source sviluppata nell’ambito dell’iniziativa tedesca per la sovranità digitale.
Un’istituzione che si occupa di crimini di guerra, costretta a cambiare strumenti digitali per una questione di giurisdizione. Questo è il “digital kill switch”: la possibilità concreta che una potenza straniera possa, attraverso le proprie aziende tecnologiche, spegnere o compromettere servizi digitali critici. Da scenario teorico a precedente documentato, nel giro di pochi mesi.
Il “sovereignty washing”: la vernice verde sulla fabbrica inquinante
Di fronte a queste pressioni, i grandi player extraeuropei si sono mossi. Hanno annunciato datacenter europei, chiavi crittografiche gestite in loco, joint venture con aziende locali, enti legali europei. Il tutto con un linguaggio stracolmo di “sovranità”, “indipendenza”, “conformità”.
Il problema è che molte di queste misure attenuano alcuni rischi senza eliminare la variabile decisiva: la soggezione del fornitore alle norme extraterritoriali. Lo chiamano “sovereignty washing”: un uso del linguaggio della sovranità che finisce per rendere più accettabile, e quindi più stabile, una dipendenza strutturale.
È esattamente come dipingere di verde una fabbrica inquinante e chiamarla sostenibile. La vernice cambia, il problema no.
E allora eccola, la domanda che dovrebbe tenere svegli la notte i responsabili IT e i decisori pubblici: se un dirigente Microsoft ha ammesso davanti a un Senato europeo di non poter garantire la sovranità dei dati, perché continuiamo ad affidare a quella stessa piattaforma i dati della nostra Pubblica Amministrazione e delle nostre aziende?
Non è una domanda retorica. È una domanda a cui qualcuno deve rispondere.
Allora, cosa si fa concretamente?
Sarebbe comodo chiudersi nel pessimismo. Ma il panorama europeo non è così desolante come sembra.
EuroStack, nata nel 2024 a partire da una conferenza al Parlamento Europeo, propone che l’Unione Europea vada oltre i regolamenti: gli imprenditori digitali europei offrano al mercato le proprie soluzioni sovrane, spesso già potenti ma parziali, facilitandone l’integrazione.
GAIA-X, nel 2024-2025, è passata dalla fase progettuale a un approccio più operativo. Il messaggio chiave: non è un cloud sovrano in sé, ma uno standard che aiuta l’industria a costruire spazi dati sovrani e sicuri.
Sul piano normativo, il quadro si è rafforzato: NIS2, DORA e Data Act sono strumenti che esistono e che impongono alle aziende di ragionare seriamente su dove sono i propri dati e chi li gestisce.
Il problema non è la mancanza di tecnologia europea. Il problema è la mancanza di cultura.
Le competenze ci sono. Le aziende ci sono. Quello che manca è la capacità (e la volontà) di costruire insieme: partnership industriali, modelli cooperativi, investimenti condivisi che rendano tutto questo accessibile, interoperabile, competitivo su scala europea.
Un manifesto per la sovranità digitale: quello che crediamo
La notizia Fastweb-AWS non è una colpa di Fastweb. È la fotografia di un sistema in cui, nel momento in cui bisogna scegliere uno strumento operativo e certificato, l’unica opzione immediatamente percorribile è ancora quella extraeuropea. Non perché le alternative non esistano, ma perché non siamo stati capaci di farle diventare cultura.
La visione che noi di Cloudable condividiamo con i nostri partner — Dectar in testa — è chiara: smettere di pensare che dipendere dagli altri sia inevitabile. Costruire qualcosa di diverso, più interoperabile, più distribuito, più federato, più aperto, più sostenibile. Non una copia del modello altrui con la bandiera europea sopra: qualcosa costruito in modo europeo, che risponda a regole europee e stia in piedi con gambe europee.
La sovranità digitale non è uno slogan politico. È una scelta tecnica e imprenditoriale che si fa ogni giorno, ogni volta che si decide dove mettere un dato, chi gestisce un’infrastruttura, a chi si affida un servizio critico.
Il punto, alla fine
La sovranità digitale non si dichiara. Si costruisce, un’infrastruttura alla volta, una scelta alla volta, una partnership alla volta.
Tre cose da portare a casa:
- Il 70% del cloud europeo è gestito da operatori extra-europei: non è inevitabile, ma è il risultato di scelte sedimentate nel tempo
- Patriot Act, Cloud Act e GDPR sono strutturalmente in conflitto: un datacenter in Europa non basta, conta chi è il soggetto giuridico che controlla quell’infrastruttura
- Le alternative europee esistono già: quello che manca è la cultura per farle diventare sistema
Inserto per i tecnici
Se sei un IT manager o un tecnico, questa sezione fa per te. Se non lo sei, puoi saltarla tranquillamente.
Il conflitto normativo tra la legislazione extraterritoriale americana e il GDPR non è teorico. Il Patriot Act (2001) e il suo erede diretto, il Cloud Act (Clarifying Lawful Overseas Use of Data Act, 2018), si applicano a qualsiasi entità soggetta alla giurisdizione statunitense, indipendentemente dalla localizzazione fisica dei dati. Questo vale per AWS, Microsoft Azure e Google Cloud anche quando operano attraverso datacenter in UE o tramite entità legali europee, finché il controllo tecnico e societario rimane in capo alla casa madre.
La saga Schrems è il documento probatorio di questo conflitto: Schrems I (2015) ha invalidato il Safe Harbor, Schrems II (2020) ha invalidato il Privacy Shield. Il Data Privacy Framework (2023) è il terzo tentativo e già contestato. Il pattern si ripete perché la causa strutturale non è mai rimossa: la sezione 702 del FISA e l’Executive Order 12333 consentono la raccolta massiva di comunicazioni di soggetti non americani senza mandato individuale.
Sul fronte normativo europeo, il quadro si è consolidato nel 2024-2025:
- NIS2: obblighi di gestione del rischio ICT e incident reporting, inclusa la valutazione del rischio legato alla giurisdizione del fornitore
- DORA (applicabile da gennaio 2025): impone alle istituzioni finanziarie di valutare i rischi geopolitici della supply chain ICT, incluso il rischio di concentrazione su fornitori extra-UE
- Data Act (applicabile da settembre 2025): rafforza i diritti di portabilità e switching tra provider, riducendo il lock-in tecnico e contrattuale
Un provider europeo realmente sovrano rispetta criteri precisi: dati residenti in UE, chiavi crittografiche gestite localmente, nessuna dipendenza societaria da entità soggette a normative extraterritoriali, conformità certificata (ISO 27001, 27017, 27018), assistenza erogata da personale europeo, contratti senza clausole di trasferimento implicito.
Sul fronte sicurezza, soluzioni come ACSIA SOS di Dectar dimostrano che è possibile costruire piattaforme predittive e proattive interamente in Europa, con tecnologia open source, in grado di gestire IDS, IPS, SIEM e risposta automatizzata senza dipendere da stack proprietari extraeuropei.
Partire da una domanda semplice
La sovranità digitale sembra un tema da convegno. In realtà è una questione pratica, che si risolve — o si ignora — nelle scelte infrastrutturali di ogni azienda.
Se non hai ancora fatto il punto su dove risiedono i tuoi dati, chi li gestisce e quale legge si applica in caso di controversia, questo è il momento giusto per farlo. Non perché sia urgente in senso assoluto, ma perché aspettare che il problema si presenti da solo è sempre la strategia più costosa.
Noi di Cloudable siamo qui per ragionare insieme su come costruire un’infrastruttura che sia davvero tua.
Scrivici su cloudable.it/contatti, senza burocrazia, senza presentazioni commerciali: una conversazione tra professionisti.
