Perché la sovranità dei dati è importante per la cybersecurity nel 2026

Nel giugno 2025, un dirigente Microsoft ha testimoniato sotto giuramento davanti al Senato francese che l’azienda non può garantire la sovranità dei dati per i clienti europei. Alla domanda diretta se i dati dei cittadini francesi potessero essere trasmessi al governo statunitense senza il consenso del governo francese, Anton Carniaux, direttore degli affari pubblici e legali di Microsoft Francia, ha risposto: no, questa garanzia non può essere data.

Non si è trattato di una fuga di notizie o di un’accusa da parte di un concorrente. È stata un’ammissione giurata da parte di una delle più grandi aziende tecnologiche al mondo. E si applica a ogni fornitore con sede negli Stati Uniti che opera in Europa, compresi tutti i principali fornitori di cybersecurity.

Per le aziende che scelgono un fornitore di cybersecurity, questo crea un problema che la maggior parte non ha valutato appieno: la giurisdizione del fornitore di sicurezza determina chi può legalmente accedere ai dati operativi più sensibili. Non la posizione fisica dei server. Non gli impegni contrattuali nell’accordo di servizio. La giurisdizione aziendale.

Questo articolo spiega il conflitto legale al centro della questione, cosa significa specificamente per i dati di cybersecurity, come valutare il rischio del fornitore e come si presenta la sovranità dei dati nella pratica per le organizzazioni che operano nell’Unione Europea.

Cos’è il CLOUD Act e perché riguarda le aziende europee?

Il Clarifying Lawful Overseas Use of Data Act (CLOUD Act) è una legge federale statunitense promulgata il 23 marzo 2018. Modifica lo Stored Communications Act per chiarire che le forze dell’ordine statunitensi possono obbligare le aziende con sede negli USA a fornire dati in loro possesso, custodia o controllo, indipendentemente dal fatto che tali dati siano fisicamente archiviati all’interno o all’esterno degli Stati Uniti.

In termini pratici, ciò significa che se il vostro fornitore di cybersecurity è un’azienda statunitense (o una sua controllata), il governo degli Stati Uniti può emettere un ordine legale che impone al fornitore di consegnare dati archiviati su server a Francoforte, Milano, Amsterdam o in qualsiasi altra località nel mondo. La giurisdizione segue l’entità aziendale, non il data center.

Il CLOUD Act ha origine da una controversia legale tra il governo statunitense e Microsoft iniziata nel 2013. Il governo cercava di accedere alle email dei clienti archiviate sui server Microsoft in Irlanda. Microsoft sosteneva che i mandati statunitensi non dovessero applicarsi ai dati archiviati al di fuori del Paese. Il caso è arrivato alla Corte Suprema, ma prima che venisse emessa una sentenza, il Congresso ha approvato il CLOUD Act, che ha risolto la questione a livello legislativo: le aziende statunitensi devono conformarsi agli ordini legali validi per i dati che controllano, ovunque risiedano.

La legge include garanzie procedurali: le richieste devono essere mirate, basate su causa probabile e soggette a revisione giudiziaria. Tuttavia, queste garanzie operano all’interno del sistema legale statunitense. I tribunali europei, le autorità europee per la protezione dei dati e i governi europei non hanno alcun ruolo nel processo. Il cliente europeo i cui dati vengono richiesti potrebbe non essere nemmeno informato.

Come confligge il CLOUD Act con il GDPR?

Il conflitto tra il CLOUD Act e il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE è diretto e irrisolto.

L’articolo 48 del GDPR stabilisce che qualsiasi sentenza di un tribunale e qualsiasi decisione di un’autorità amministrativa di un paese terzo che imponga a un titolare o responsabile del trattamento di trasferire dati personali può essere riconosciuta o eseguibile solo se basata su un accordo internazionale, come un trattato di mutua assistenza legale, tra il paese terzo richiedente e l’UE o uno Stato membro.

Il CLOUD Act non è un tale accordo. Nessun accordo bilaterale tra gli Stati Uniti e l’UE nell’ambito del CLOUD Act è stato concluso all’inizio del 2026. Ciò significa che quando un tribunale statunitense ordina a un fornitore di cybersecurity americano di produrre dati di clienti europei ai sensi del CLOUD Act, il fornitore si trova di fronte a un’impossibilità legale: conformarsi all’ordine americano viola il GDPR, e conformarsi al GDPR significa sfidare l’ordine americano.

Nel 2019, il Garante Europeo della Protezione dei Dati ha formalmente dichiarato che considera il CLOUD Act in conflitto con il GDPR. Il Comitato Europeo per la Protezione dei Dati ha ribadito questa posizione nelle linee guida successive. Tuttavia, il conflitto rimane irrisolto a livello legislativo, lasciando le aziende europee e i loro fornitori con sede negli USA in una zona grigia legale senza un percorso chiaro verso la conformità con entrambi i quadri normativi simultaneamente.

Per le aziende, questo non è un dibattito legale astratto. Significa che ogni byte di telemetria di sicurezza elaborato da un fornitore soggetto alla giurisdizione statunitense – log degli endpoint, dati sul comportamento degli utenti, eventi di autenticazione, connessioni di rete, intelligence sulle minacce – esiste in un limbo giurisdizionale dove due sistemi legali avanzano pretese contraddittorie su chi può accedervi.

Perché la sovranità dei dati è particolarmente importante per la cybersecurity?

Le piattaforme di cybersecurity raccolgono alcuni dei dati operativi più sensibili di qualsiasi organizzazione. Una piattaforma XDR o MDR acquisisce telemetria degli endpoint (quali processi sono in esecuzione, quali file vengono acceduti, quali utenti sono connessi), metadati del traffico di rete (quali sistemi comunicano con quali indirizzi esterni), log di autenticazione (chi ha acceduto a cosa, quando, da dove), profili comportamentali (pattern di attività normale e anomala per ogni utente e dispositivo) e registri di risposta agli incidenti (cosa è successo durante un evento di sicurezza e come è stato gestito).

Questi non sono dati aziendali generici. Sono una mappa in tempo reale di come opera un’organizzazione: le sue persone, i loro comportamenti, le sue vulnerabilità, le sue difese e le sue capacità di risposta. Nelle mani sbagliate, questa telemetria è una miniera d’oro di intelligence. Rivela non solo cosa un’organizzazione sta proteggendo, ma esattamente come lo sta proteggendo e dove si trovano le lacune.

Quando questi dati sono gestiti da un fornitore soggetto al CLOUD Act, il cliente europeo non ha alcun meccanismo legale ai sensi del diritto dell’UE per impedirne la divulgazione alle autorità statunitensi. Il fornitore può contestare la richiesta – Microsoft e altri hanno dichiarato che contrasterebbero le richieste ritenute eccessivamente ampie – ma la decisione finale spetta ai tribunali statunitensi, non a quelli europei. Il cliente non è parte di quel procedimento.

Per le organizzazioni in settori regolamentati – banche, sanità, infrastrutture critiche, catene di fornitura della difesa, pubblica amministrazione – questa esposizione giurisdizionale non è semplicemente una preoccupazione di conformità. È una vulnerabilità strategica. L’entità responsabile della difesa della vostra infrastruttura potrebbe essere legalmente obbligata a condividere la vostra postura difensiva con un governo straniero, e potreste non essere mai informati che ciò è accaduto.

Ospitare i dati nei data center dell’UE risolve il problema?

No. Questa è la concezione errata più comune e più pericolosa sulla sovranità dei dati.

Molti fornitori statunitensi commercializzano la “residenza dei dati nell’UE” come soluzione alle preoccupazioni sulla sovranità. Offrono opzioni per archiviare i dati esclusivamente in data center europei – Francoforte, Dublino, Amsterdam, Stoccolma. Alcuni si sono spinti oltre, creando offerte “sovereign cloud” dedicate con personale esclusivamente europeo, gestione locale delle chiavi di crittografia e separazione operativa dall’infrastruttura statunitense.

Queste misure affrontano la residenza dei dati – la posizione fisica dei dati. Non affrontano la giurisdizione dei dati – l’autorità legale su chi può imporre l’accesso a tali dati.

Il CLOUD Act è esplicito: si applica ai dati in “possesso, custodia o controllo” di un’azienda statunitense, indipendentemente da dove tali dati siano archiviati. Un fornitore di cybersecurity con sede negli USA che gestisce un data center nell’UE è comunque un’azienda statunitense. La sua controllata europea fa comunque parte di una struttura aziendale statunitense. E i dati che controlla – ovunque si trovino fisicamente – rimangono raggiungibili dal processo legale statunitense.

Questo è stato esattamente il punto della testimonianza di Microsoft davanti al Senato francese. Nonostante il completamento dell’iniziativa EU Data Boundary nel febbraio 2025, nonostante miliardi investiti in data center europei, nonostante la creazione di offerte cloud “sovrane” con personale operativo europeo – alla domanda sotto giuramento se potesse garantire che i dati europei non sarebbero stati divulgati alle autorità statunitensi, la risposta è stata no.

La distinzione tra residenza e giurisdizione non è una questione tecnica. È l’intera questione. Qualsiasi valutazione del rischio del fornitore che esamini solo dove i dati sono archiviati, senza valutare quale sistema legale governa chi può accedervi, è fondamentalmente incompleta.

Quali fornitori di cybersecurity sono soggetti al CLOUD Act?

Il CLOUD Act si applica a qualsiasi azienda che sia costituita negli Stati Uniti, abbia sede negli Stati Uniti o abbia operazioni significative negli Stati Uniti tali da portarla sotto la giurisdizione statunitense. Questo include aziende che in superficie appaiono europee o non americane, ma sono in ultima analisi controllate da entità aziendali statunitensi.

Fornitori con giurisdizione diretta USA includono CrowdStrike (sede ad Austin, Texas), SentinelOne (sede a Mountain View, California), Palo Alto Networks (sede a Santa Clara, California) e Malwarebytes (sede a Santa Clara, California). Queste aziende sono inequivocabilmente soggette al CLOUD Act. Ogni log, record di telemetria e profilo comportamentale raccolto dai loro agenti sugli endpoint europei è sotto giurisdizione statunitense.

Fornitori con giurisdizione indiretta USA richiedono un esame più attento. Sophos, ad esempio, è ampiamente percepita come un’azienda britannica. Tuttavia, Sophos è stata acquisita nel 2020 da Thoma Bravo, una società di private equity statunitense con sede a San Francisco, per circa 3,9 miliardi di dollari. L’entità acquirente è registrata come “Sophos, Inc.” nel Massachusetts. Come azienda controllata in ultima analisi da un’entità statunitense, l’esposizione di Sophos al CLOUD Act è equivalente a quella di un fornitore direttamente con sede negli USA – un fatto di cui molti clienti europei non sono consapevoli, soprattutto considerando che l’uscita del Regno Unito dall’UE ha aggiunto ulteriore incertezza normativa.

Fornitori con esposizione parziale o limitata includono Trend Micro, con sede a Tokyo, Giappone, e quotata alla Borsa di Tokyo. Trend Micro non è direttamente soggetta al CLOUD Act in quanto azienda giapponese. Tuttavia, mantiene una significativa controllata statunitense (con sede a Irving, Texas), e i dati elaborati da tale controllata potrebbero essere soggetti alla giurisdizione statunitense. In particolare, Trend Micro stessa riconosce sul proprio sito web che i dati controllati da un fornitore straniero possono comunque essere accessibili ai sensi di leggi come il CLOUD Act.

Fornitori senza esposizione al CLOUD Act includono aziende che sono interamente costituite, possedute e operative all’interno dell’Unione Europea, senza società madre statunitense, senza controllata statunitense che elabori dati dei clienti e senza catena di controllo aziendale che si estenda alla giurisdizione statunitense. Per questi fornitori, i dati dei clienti sono disciplinati esclusivamente dal GDPR e dalla legge applicabile dello Stato membro dell’UE.

Qual è il rischio geopolitico oltre il CLOUD Act?

Il rischio legale del CLOUD Act non esiste nel vuoto. Si colloca in un contesto geopolitico più ampio che rende la giurisdizione del fornitore una considerazione aziendale sempre più urgente.

Le tensioni commerciali, i dazi, le sanzioni e la volatilità politica tra USA ed Europa si sono intensificati significativamente dal 2024. Queste dinamiche creano una categoria di rischio che va oltre l’accesso ai dati: il rischio di continuità operativa. Un’azienda europea che dipende da un fornitore con sede negli USA per la propria infrastruttura di sicurezza è esposta a potenziali interruzioni del servizio guidate da decisioni politiche del tutto al di fuori del suo controllo – sanzioni, restrizioni alle esportazioni, modifiche alle licenze o misure di ritorsione nelle controversie commerciali.

L’Unione Europea ha risposto a queste preoccupazioni con azioni politiche concrete. Nel novembre 2025, gli Stati membri dell’UE hanno adottato una Dichiarazione sulla Sovranità Digitale Europea, segnalando una chiara direzione politica verso la riduzione della dipendenza da fornitori tecnologici extra-UE per le infrastrutture digitali critiche. Il Quadro di Sovranità Cloud dell’UE, introdotto nell’ottobre 2025, ha stabilito requisiti specifici per i servizi cloud sovrani, incluso un punteggio di sovranità che misura l’esposizione alla legislazione straniera e la resilienza alle sanzioni straniere.

Per la cybersecurity in particolare, ciò significa che la domanda “dove sono i miei dati di sicurezza” si sta evolvendo in una domanda strategica più ampia: “chi controlla in ultima analisi la mia infrastruttura di sicurezza, e sotto quale sistema legale e politico opera?”

Come dovrebbero le aziende valutare la sovranità del fornitore di cybersecurity?

Una valutazione pratica della sovranità del fornitore dovrebbe esaminare cinque dimensioni.

Giurisdizione aziendale. Dove è costituito il fornitore? Chi è la società madre ultima? Qualche entità nella catena aziendale è soggetta alla giurisdizione statunitense? Questa è la domanda più importante e quella più frequentemente trascurata nei processi di approvvigionamento.

Giurisdizione del trattamento dei dati. Dove viene archiviata, elaborata e accessibile la telemetria? Il personale operativo che può accedere ai dati dei clienti si trova esclusivamente all’interno dell’UE? Il fornitore può garantire contrattualmente che nessun dato transiti attraverso giurisdizioni extra-UE?

Esposizione al conflitto legale. Il fornitore ha affrontato pubblicamente come gestirebbe una richiesta CLOUD Act in conflitto con il GDPR? Ha una procedura documentata per contestare tali richieste? Ha pubblicato report di trasparenza che mostrano il volume e la natura delle richieste governative di dati ricevute?

Indipendenza operativa. Il servizio del fornitore potrebbe continuare senza interruzioni in caso di sanzioni statunitensi, controlli alle esportazioni o restrizioni commerciali? Il fornitore dipende da infrastrutture, licenze o catene di fornitura con sede negli USA per l’erogazione del servizio principale?

Architettura tecnica. Il fornitore offre opzioni di deployment on-premises o privato che consentono al cliente di mantenere il controllo fisico di tutti i dati? Il codice dell’agente e della piattaforma è proprietario del fornitore o dipende da componenti di provenienza statunitense?

Come si presenta la vera sovranità dei dati nella cybersecurity?

La vera sovranità dei dati nella cybersecurity significa che l’intero stack – la tecnologia, i dati, le persone e la giurisdizione legale – è governato dallo stesso quadro normativo del cliente.

Per un’azienda europea, questo significa scegliere un fornitore che sia costituito e abbia sede nell’UE, senza catena di controllo aziendale che si estenda agli USA o ad altre giurisdizioni extra-UE. Significa che tutta la telemetria di sicurezza è archiviata ed elaborata esclusivamente all’interno di infrastrutture ospitate nell’UE. Significa che tutto il personale con accesso ai dati dei clienti opera ai sensi del diritto del lavoro e della protezione dei dati dell’UE. E significa che nessun governo straniero può obbligare il fornitore a divulgare i dati dei clienti senza passare attraverso i canali legali appropriati stabiliti dal diritto dell’UE e dagli accordi internazionali.

Questo non è uno standard impossibile. Esistono fornitori di cybersecurity europei che soddisfano tutti questi criteri. La scelta di utilizzarli non è una concessione sulle capacità – è una decisione architetturale deliberata che elimina un’intera categoria di rischio legale, operativo e geopolitico.

Per le organizzazioni che non possono cambiare immediatamente fornitore, i passaggi intermedi includono: crittografare tutti i dati con chiavi gestite dal cliente a cui il fornitore non può accedere; distribuire istanze on-premises o private dove tecnicamente fattibile; documentare formalmente il rischio giurisdizionale nel registro dei rischi dell’organizzazione; e includere l’esposizione al CLOUD Act nella due diligence dei fornitori e nei criteri di approvvigionamento in futuro.

Domande Frequenti

Il CLOUD Act significa che le autorità statunitensi hanno accesso automatico ai dati europei?

No. Il CLOUD Act non fornisce accesso automatico o illimitato. Le richieste devono essere mirate, basate su causa probabile e emesse attraverso un processo legale appropriato (tipicamente un mandato o una citazione). Tuttavia, quel processo legale è governato interamente dai tribunali statunitensi. I clienti europei e le autorità europee non hanno alcun ruolo nell’approvazione, revisione o blocco della richiesta. Il fornitore può contestare la richiesta in tribunale negli USA, ma la decisione finale spetta alla magistratura statunitense.

Un’azienda statunitense può garantire la conformità al GDPR se è soggetta al CLOUD Act?

Non completamente. Un’azienda statunitense può implementare misure tecniche e organizzative per conformarsi al GDPR nelle operazioni normali. Ma se riceve un ordine CLOUD Act valido in conflitto con l’articolo 48 del GDPR, si trova di fronte a un’impossibilità legale: conformarsi a una legge significa violare l’altra. Nessuna garanzia contrattuale – incluse le Clausole Contrattuali Standard o gli Accordi sul Trattamento dei Dati – può prevalere su questo conflitto strutturale tra due sistemi legali sovrani.

Il Regno Unito è ancora coperto dal GDPR dopo la Brexit?

Il Regno Unito ha emanato la propria legislazione sulla protezione dei dati (UK GDPR e Data Protection Act 2018) che rispecchia il GDPR dell’UE nella maggior parte degli aspetti. Tuttavia, il Regno Unito non è più uno Stato membro dell’UE e ha stipulato un accordo bilaterale CLOUD Act con gli Stati Uniti (firmato nel 2019, entrato in vigore nel 2022). Ciò significa che i dati elaborati nel Regno Unito da entità britanniche possono essere soggetti a richieste di accesso sia britanniche che statunitensi ai sensi di questo accordo – un fattore che le aziende dell’UE dovrebbero considerare nella valutazione dei fornitori con sede nel Regno Unito.

Il mio fornitore dice di non aver mai ricevuto una richiesta CLOUD Act per dati europei. Significa che siamo al sicuro?

L’assenza di richieste passate non elimina il rischio legale. Il CLOUD Act è una legge vigente – crea un’autorità legale permanente che può essere esercitata in qualsiasi momento. I report di trasparenza di Microsoft confermano che non ha ricevuto tali richieste per i dati aziendali europei fino ad oggi, ma il suo stesso team legale ha pubblicamente dichiarato che non può garantire che ciò rimarrà tale. Il rischio è strutturale, non storico.

Quali settori sono più colpiti dalle preoccupazioni sulla sovranità dei dati di cybersecurity?

Qualsiasi settore che gestisce dati personali sensibili, informazioni classificate, infrastrutture critiche o proprietà intellettuale dovrebbe trattare la giurisdizione del fornitore come criterio di valutazione primario. Servizi finanziari, sanità, pubblica amministrazione, catena di fornitura della difesa, energia e manifattura con processi proprietari sono i più direttamente interessati. Tuttavia, le dinamiche della catena di fornitura significano che anche le aziende più piccole in settori meno regolamentati possono trovarsi ad affrontare requisiti di sovranità da parte dei loro clienti più grandi come condizione per fare affari.

Posso usare un fornitore di cybersecurity statunitense se crittografo i miei dati con le mie chiavi?

La crittografia gestita dal cliente mitiga alcuni rischi ma non elimina completamente l’esposizione giurisdizionale. I dati crittografati a riposo sono protetti dall’accesso senza la chiave. Tuttavia, le piattaforme XDR e MDR elaborano dati in tempo reale – analisi comportamentale, correlazione delle minacce, matching delle regole – il che richiede che i dati vengano decrittografati durante l’elaborazione. Il fornitore può anche avere accesso a metadati, log e telemetria che rivelano informazioni operative sensibili anche senza decrittografare i contenuti. La crittografia è una salvaguardia tecnica preziosa ma non è un sostituto della sovranità giurisdizionale.

Prootego è una piattaforma di cybersecurity costruita interamente in Italia – con proprietà italiana, infrastruttura ospitata in Europa e zero legami aziendali con la giurisdizione statunitense. Nessun dato di telemetria di sicurezza elaborato da Prootego è soggetto al CLOUD Act. Prenota una demo per scoprire come funziona la cybersecurity sovrana nella pratica.