Un funzionario pubblico e un commercialista lavorano nello stesso palazzo, a due piani di distanza. Con il pacchetto europeo atteso a giugno 2026, i loro dati potrebbero finire in due mondi normativi diversi. Uno protetto da una logica di sovranità infrastrutturale, l'altro affidato solo al quadro ordinario di privacy e clausole contrattuali.
Il cloud americano nello studio del commercialista
Ore 8:30, un ufficio qualunque. Il commercialista apre il gestionale in cloud, sincronizza i documenti su una piattaforma americana, archivia i dati fiscali dei clienti su server che rispondono a giurisdizioni extraeuropee. Fa così da anni. Nessuno gli ha mai detto che non poteva.
Due piani più sotto, un funzionario dell'Agenzia delle Entrate gestisce dati della stessa natura, degli stessi contribuenti. Per lui le regole stanno cambiando. Il pacchetto europeo sulla sovranità tecnologica, atteso il 27 maggio 2026 e rinviato al 3 giugno (terzo slittamento consecutivo), dovrebbe introdurre restrizioni all'uso di piattaforme cloud statunitensi per i dati sensibili (finanziari, giuridici, sanitari) del settore pubblico. Microsoft, Amazon, Google: nel disegno del pacchetto, ammessi con riserva per la pubblica amministrazione e liberi per tutti gli altri.
I dati del contribuente cambiano natura a seconda di chi li tocca?
La protezione dei dati che si ferma al settore pubblico
Che il privato resti fuori non è una mia interpretazione. È una scelta dichiarata. La CNBC, citando funzionari della Commissione, ha scritto che le discussioni "non riguardano le aziende del settore privato, e il Tech Sovereignty Package non proporrà norme sul loro uso dei servizi cloud". Nero su bianco.
Il ragionamento della Commissione ha una logica interna: i dati del settore pubblico riguardano sicurezza nazionale, salute collettiva, amministrazione della giustizia, e la loro compromissione produce danni sistemici. Ma quello che il ragionamento omette è più grande di quello che include.
Un dato sanitario non diventa meno sensibile perché passa dal sistema sanitario a un'assicurazione privata. Una dichiarazione dei redditi non perde rilevanza perché transita dall'Agenzia delle Entrate allo studio del commercialista. Cambia il soggetto che custodisce il dato. Non cambia il soggetto a cui il dato appartiene. Eppure il confine normativo viene tracciato proprio lì: non sulla natura del dato, non sulla vulnerabilità del cittadino, ma sull'identità giuridica del custode. Pubblico: protetto. Privato: arrangiati.
Cloud Act: perché il muro lascia il portone aperto
Il capo dell'intelligence finlandese, Juha Martelius, ha descritto la doppia dipendenza europea dal software statunitense e dall'hardware cinese come una minaccia da cui i dati sensibili andrebbero tenuti al riparo, gestendoli solo su cloud europeo. La diagnosi è precisa. La terapia della Commissione cura metà del paziente.
Studi legali, commercialisti, cliniche, assicurazioni, banche, e-commerce: il settore privato europeo tratta ogni giorno informazioni la cui aggregazione disegna un profilo del cittadino più dettagliato di qualunque database pubblico. La massa di dati personali che vive fuori dal perimetro pubblico è incomparabilmente più grande di quella che ci transita dentro. E gira sulle stesse infrastrutture: i principali provider statunitensi controllano una quota dominante del cloud europeo, spesso stimata intorno al 70 per cento o più a seconda del perimetro considerato, dentro e fuori la pubblica amministrazione.
Il Cloud Act americano del 2018 non distingue tra dati pubblici e privati: consente alle autorità statunitensi di richiedere a un provider soggetto alla giurisdizione USA l'accesso ai dati che custodisce, ovunque siano fisicamente collocati. La posizione fisica del server non elimina il problema: un provider soggetto alla giurisdizione statunitense può ricevere ordini di produzione dati anche per informazioni conservate fuori dagli Stati Uniti. Il commercialista che tiene i dati dei clienti su un cloud americano con server ad Amsterdam li espone alla stessa giurisdizione da cui la Commissione sta proteggendo i propri. È un conflitto noto e documentato che nessuno strumento europeo ha finora eliminato del tutto: né le Standard Contractual Clauses né il Data Privacy Framework cancellano la tensione tra obblighi europei e poteri delle autorità statunitensi, perché nessun accordo contrattuale può vincolare un legislatore straniero.
Così chi vuole i dati dei cittadini europei non ha bisogno di forzare i server della pubblica amministrazione. Gli basta continuare a servire il settore privato, alle stesse condizioni di sempre. La protezione selettiva non riduce il rischio. Lo redistribuisce verso il basso, verso chi ha meno strumenti per comprenderlo e meno potere per negoziarlo.
Il caso italiano: il PSN e gli studi professionali che restano fuori
In Italia il confine si vede già disegnato. Il Polo Strategico Nazionale è l'infrastruttura cloud sovrana costruita per la pubblica amministrazione: entro giugno 2026 almeno 280 amministrazioni avrebbero dovuto completarvi la migrazione, finanziata dal PNRR, e i dati classificati come strategici sono sottratti all'accesso dei provider americani. È sovranità reale, con soldi e scadenze.
Studi professionali, cliniche, banche, assicurazioni restano fuori da quel perimetro. Per loro vale solo il GDPR, che non vieta i provider americani purché si firmino le clausole di trasferimento. Lo stesso GDPR che, come abbiamo visto, non chiude il buco del Cloud Act. La sovranità digitale italiana, oggi, finisce dove finisce la pubblica amministrazione.
Le alternative europee al cloud USA non bastano come scusa
C'è un argomento serio contro l'estensione delle restrizioni al privato, e va preso sul serio: le alternative europee ai grandi cloud americani non esistono ancora su scala paragonabile. Forzare una migrazione immediata significherebbe chiedere a milioni di imprese di abbandonare infrastrutture che funzionano per altre che oggi non reggono lo stesso carico. L'obiezione è fondata: l'economia digitale europea dipende in modo strutturale da infrastrutture extraeuropee, e reciderle senza un'alternativa pronta produrrebbe una paralisi insostenibile.
Ma questo descrive un ostacolo pratico, non giustifica una scelta di architettura. "Non possiamo ancora farlo" è diverso dal costruire un sistema che istituzionalizza la differenza tra chi è protetto e chi no, senza nemmeno prevedere un percorso di convergenza. Il pacchetto, per quanto se ne sa finora, non contiene una roadmap per estendere le protezioni al privato: niente scadenze, niente obiettivi intermedi, niente incentivi alla migrazione graduale. E lo schema di certificazione che avrebbe potuto alzare lo standard anche per il privato, l'EUCS, è fermo da anni nello stallo tra i Paesi che vogliono requisiti di sovranità stringenti e quelli che li considerano protezionismo mascherato. L'assenza di un piano di estensione rischia di trasformare una misura transitoria in una struttura permanente.
Sovranità digitale dichiarata e sovranità praticata
Qui sta l'equivoco: la sovranità digitale può significare tre cose diverse. Può significare autonomia dello Stato, competitività industriale europea o protezione effettiva del cittadino. Il pacchetto sembra muoversi soprattutto sul primo piano. Il problema è che viene raccontato come se risolvesse anche il terzo.
Che la sovranità annunciata e quella praticata non coincidano non è un sospetto polemico. Uno studio pubblicato su West European Politics nel 2025 analizza perché le iniziative europee sul cloud non producono i risultati attesi e finiscono per rafforzare la posizione dei provider non europei: gli Stati membri usano l'arena comunitaria per promuovere i propri campioni nazionali, e il fallimento a livello europeo diventa funzionale agli interessi dei singoli Paesi più che alla protezione dei dati dei cittadini. Il risultato politico è evidente: includere il privato toccherebbe interessi economici e diplomatici molto più grandi rispetto alla sola pubblica amministrazione.
Lo stesso schema si riconosce altrove. Con il Digital Omnibus del novembre 2025 la Commissione ha proposto di ridefinire il concetto di "dato personale" in chiave relativa: lo stesso dato può essere personale per un grande provider e non esserlo per una PMI con mezzi tecnici limitati. La protezione smette di dipendere dalla natura del dato e comincia a dipendere dalla capacità di chi lo tratta: è lo stesso inganno, applicato una seconda volta.
Non è un difetto del processo legislativo. È il processo. Proteggere il settore pubblico costa poco sul piano transatlantico: i provider perdono i contratti governativi ma conservano l'intero mercato privato. Proteggere il privato costerebbe molto di più. La strada scelta è quella del massimo ritorno reputazionale al minimo costo diplomatico.
Il rischio più concreto non è che la protezione selettiva fallisca. È che funzioni. Che i dati dei ministeri finiscano davvero su infrastrutture europee, che i governi dichiarino missione compiuta, e che il dibattito si chiuda con un "abbiamo risolto" mentre la gran parte dei dati dei cittadini continua a vivere su cloud soggetti a giurisdizioni extraeuropee. È questa la funzione politica della misura: rassicurare l'amministrazione, più che proteggere il cittadino. Finché il governo può dire "i nostri dati sono al sicuro", la pressione per una protezione universale si allenta.
Chi si sente al sicuro non lo è: i dati restano sui cloud USA
Il funzionario rassicurato dal pacchetto sta confondendo la protezione del proprio ente con la protezione dei propri dati. Quei dati, fuori dall'ufficio, passano per gli stessi cloud, le stesse piattaforme, gli stessi provider da cui l'ufficio li sta spostando. La misura lo copre al lavoro e lo abbandona appena timbra l'uscita.
Qualcuno dirà che un rimedio esiste già: il Data Act, applicabile da settembre 2025, obbliga i provider a facilitare il cambio di fornitore e a opporsi agli accessi illeciti dei governi terzi. Ma interviene soprattutto sull'accesso e la portabilità dei dati generati da prodotti connessi e servizi correlati: non è lo strumento pensato per le cartelle cliniche, le dichiarazioni fiscali o i fascicoli professionali custoditi su cloud extraeuropei. Lo strumento che più tocca il settore privato evita proprio i dati che pesano.
Vale anche per il muro che protegge il palazzo: chi cerca i dati dei cittadini europei non lo scala, entra dalla porta del settore privato. E quella porta non è rimasta aperta per dimenticanza, è aperta per scelta normativa. Finché la protezione dipenderà dal tipo di soggetto che tratta il dato, e non dalla natura del dato, la sovranità digitale europea si misurerà su dove sono conservate le email dei ministeri, non su dove vivono le cartelle cliniche, le dichiarazioni dei redditi e i conti correnti di quaranta milioni di contribuenti. Il pacchetto europeo non costruisce ancora una sovranità digitale dei cittadini. Costruisce una sovranità amministrativa: protegge il perimetro dello Stato, ma lascia scoperta gran parte della vita digitale reale del Paese.
Fonti
- CNBC, EU weighs restricting use of U.S. cloud platforms to process sensitive government data (7 maggio 2026)
- Commissione Europea, Tech Sovereignty Package (presentazione rinviata al 3 giugno 2026) e Cloud and AI Development Act
- European cloud computing policy: failing in Europe to succeed nationally?, West European Politics (2025), doi:10.1080/01402382.2025.2491962
- Digital Omnibus (proposta della Commissione, 19 novembre 2025): ridefinizione del dato personale e revisione degli obblighi AI Act
- Polo Strategico Nazionale (PSN): migrazione della PA e perimetro dei dati strategici (PNRR)
- Data Act (applicabile da settembre 2025): accesso e portabilità dei dati da prodotti connessi; conflitto Cloud Act / GDPR irrisolto
Commenti
Solo gli iscritti possono commentare. Iscriviti gratis o accedi con la tua email.