Il CLOUD Act rende inutile salvare i dati in Europa

La Commissione europea apre una consultazione sulla sovranità dei dati, superando l'illusione che la localizzazione geografica garantisca protezione.

Il CLOUD Act rende inutile salvare i dati in Europa

La localizzazione fisica dei dati non impedisce l’accesso da parte di autorità straniere

Quando un’azienda europea sposta i propri dati su server fisicamente collocati a Francoforte o Milano, tende a pensare di aver risolto il problema della sovranità. È una metrica comoda, quasi automatica: geolocalizzazione uguale protezione. Peccato che sia una metrica sbagliata — o almeno, radicalmente insufficiente. Lo ha capito la Commissione europea, che lo scorso 8 luglio ha aperto una consultazione mirata proprio per raccogliere opinioni su come misurare e proteggere la reale sovranità dei dati dell’Unione in un contesto internazionale sempre più complesso. La consultazione resterà aperta fino all’8 settembre 2026, ma le domande che solleva — e quelle che ancora non riesce a formulare — meritano attenzione fin da subito.

L’illusione della localizzazione

La residenza fisica dei dati è una metrica binaria semplice da verificare e persino più semplice da raccontare nei report trimestrali. Eppure, questa metrica descrive solo un aspetto superficiale del controllo effettivo: sapere dove sono i dati non dice nulla su chi possa accedervi, con quali basi legali e con quali conseguenze. Il controesempio più chiaro di questa fallacia è il CLOUD Act statunitense, approvato nel marzo 2018, che consente alle forze dell’ordine americane di accedere ai dati detenuti da aziende statunitensi indipendentemente da dove quei dati siano conservati nel mondo. Detto in altro modo: un fornitore cloud con casa madre a Seattle e datacenter a Dublino è legalmente vincolato a consegnare dati su richiesta delle autorità USA, anche se quei dati appartengono a un’amministrazione pubblica europea e non hanno mai oltrepassato il continente.

Questo paradosso mostra quanto la localizzazione geografica dei dati sia un indicatore debole se usato da solo. L’errore metodologico sta nel confondere la prossimità fisica con l’indipendenza giuridica: una metrica di output (dove sono i dati) viene scambiata per una metrica di outcome (quanto sono protetti da interferenze extra-UE). È un bias da semplificazione che rischia di generare un falso senso di sicurezza, proprio mentre la Commissione tenta di costruire strumenti di misurazione più sofisticati. Secondo l’analisi pubblicata da Diplo’s DigWatch, la consultazione di luglio tocca simultaneamente due dimensioni: la competitività economica — l’accesso ai dati per lo sviluppo dell’IA — e la sicurezza strategica, ovvero la protezione dei dati sensibili dall’accesso straniero. Due obiettivi che richiedono metriche diverse, ma che condividono la stessa necessità di superare l’illusione che basti sapere dove un dato riposa per sapere chi può toccarlo.

I quattro livelli della sovranità misurabile

Di fronte a questa illusione, l’UE ha iniziato a proporre una tassonomia strutturata. Il Cloud and AI Development Act definisce quattro livelli di garanzia per i servizi cloud, costruendo una progressione misurabile: dai requisiti minimi di trasparenza operativa fino al Livello 4, che esige trasparenza e controllo completi sulla catena di fornitura software e l’assenza totale di interferenze da paesi terzi. Non è una semplice checklist binaria, ma una scala ordinale che permette di classificare i fornitori in base al grado di immunità effettiva da pressioni giurisdizionali esterne.

Il punto metodologico rilevante per chi lavora con i dati è che la consultazione non chiede solo di esprimere preferenze, ma di contribuire indirettamente alla validazione di un framework di misurazione. I quattro livelli del Cloud and AI Development Act funzionano come una metrica composita: combinano indicatori di supply chain, controllo giurisdizionale e trasparenza operativa. Il problema — ed è qui che la consultazione si inserisce — è che queste dimensioni sono difficili da osservare e ancora più difficili da auditare in modo indipendente. Come si misura l’assenza di interferenza da un paese terzo? Quali segnali osservabili possono indicare una violazione potenziale prima che sia troppo tardi? Sono domande che la consultazione solleva implicitamente, chiedendo alle organizzazioni di descrivere le sfide concrete che affrontano nei flussi internazionali di dati.

Cosa non sappiamo (ancora) misurare

Ecco il punto: le metriche attuali catturano il controllo — dove sono i dati, chi li gestisce, quali certificazioni possiede il fornitore — ma non la vulnerabilità dinamica. Manca una metrica che misuri l’esposizione residua al rischio di interferenza straniera dopo aver implementato tutte le garanzie contrattuali e geografiche. Manca una metrica di trasparenza della supply chain software che vada oltre le dichiarazioni auto-certificate dai fornitori. E manca, soprattutto, un modo per calcolare il costo economico delle restrizioni ai flussi di dati: se l’Europa alza barriere per proteggere la sovranità, qual è il prezzo in termini di dataset disponibili per addestrare modelli di IA? Quanto tempo abbiamo prima che la prossima ingerenza extra-UE, basata su un quadro giuridico che ancora non esiste ma potrebbe emergere domani, renda obsoleta la nostra definizione di sovranità?

La consultazione aperta fino all’8 settembre è un tentativo di colmare proprio questi vuoti di misurazione. Ma la vera sfida sarà costruire metriche sufficientemente flessibili da adattarsi a un contesto geopolitico in evoluzione, senza diventare così astratte da risultare inutilizzabili per chi deve prendere decisioni quotidiane su fornitori cloud, giurisdizioni di storage e flussi transfrontalieri. La sovranità, in fondo, non è uno stato binario da dichiarare raggiunto. È uno spettro continuo da misurare con strumenti ancora in via di definizione.