Kill switch. Cloud Act, dominio USA e Polo Strategico Nazionale. Il modello italiano può salvarci?

Negli ultimi mesi si è parlato molto della crescente dipendenza europea da infrastrutture digitali statunitensi. Un’inchiesta di Politico Europe ha messo nero su bianco ciò che nel settore sappiamo da tempo: in caso di tensione geopolitica, gli Stati Uniti potrebbero legalmente interrompere servizi cloud fondamentali per aziende, governi e cittadini europei. Non si tratta di complottismo, ma di legge: il famigerato Cloud Act del 2018 impone a qualunque azienda americana — ovunque essa operi — di fornire dati alle autorità USA, anche se quei dati si trovano su server europei, anche se appartengono a cittadini non statunitensi. Nessuna reciprocità, nessuna garanzia per la sovranità digitale.

Questo significa che interi sistemi pubblici e privati europei, ospitati oggi su AWS, Microsoft Azure o Google Cloud, possono essere oggetto di accesso forzato o addirittura di “kill switch” remoto, se un procuratore federale ne ravvisasse la necessità. Bastano un ordine giudiziario o una pressione diplomatica.

Il problema è sistemico: la stragrande maggioranza del traffico cloud in Europa passa su infrastrutture americane. Anche quando i dati risiedono in centri europei, sono spesso gestiti da aziende soggette alla giurisdizione USA. La sovranità tecnica e giuridica è quindi compromessa alla radice.

Io stesso utilizzo quotidianamente una soluzione italiana alternativa: il Polo Strategico Nazionale, un’infrastruttura cloud ad alta affidabilità che garantisce localizzazione dei dati, sicurezza certificata, gestione interamente italiana. È una risposta concreta, già attiva, nata per ospitare servizi pubblici critici. Ma è anche una base da cui partire per fare qualcosa di più ambizioso.

L’Italia, se lo volesse, potrebbe trasformare questa esperienza in un modello esportabile a livello europeo. Le fondamenta ci sono già: data center su suolo nazionale, soggetti pubblici e privati italiani al controllo, standard di sicurezza conformi a quelli dell’Agenzia per la Cybersicurezza Nazionale. Bisognerebbe solo fare un salto di scala. Rilanciare. Estendere l’infrastruttura anche a settori strategici privati, alle PMI innovative, alle università e ai centri di ricerca. Rendere questo modello replicabile da altri Stati membri. Farne un benchmark europeo.

Tecnicamente, la strada è chiara: costruire un’architettura multi-cloud sovrano, distribuita geograficamente, dove i dati non solo restano fisicamente in Europa, ma sono gestiti da entità non sottoposte a normative esterne, quindi al di fuori del perimetro del Cloud Act. Questo richiede regole comuni, un’etichetta europea per i fornitori “cloud sovrani”, e soprattutto investimenti massicci: l’iniziativa “EuroStack” va nella giusta direzione, ma deve essere difesa da chi spinge per continui compromessi al ribasso.

Serve anche altro. Serve una certificazione forte, obbligatoria per tutti i fornitori cloud utilizzati in settori strategici. Serve la piena portabilità dei dati tra ambienti sovrani, evitando lock-in con vendor esteri. Serve più software open source europeo, più standard interoperabili, più architetture auditabili. Serve una cultura diffusa che riconosca la gravità del problema.

Se domani gli Stati Uniti decidessero di bloccare un servizio cloud, nessuna azienda italiana o europea potrebbe opporsi. Né in tribunale, né sul piano tecnico. Questo è il punto. E la soluzione, se vogliamo, è una sola: riappropriarci delle chiavi di casa. Ricostruire in Europa un’infrastruttura digitale che non dipenda dalle decisioni altrui.

Sì, è costoso. Ma è molto meno costoso che restare in balia di un altro Paese. E l’Italia ha dimostrato che si può fare. Bisogna solo volerlo davvero.