Big Tech e accesso governativo USA ai dati nei datacenter europei: tutto quello che la tua azienda deve sapere
Se la tua azienda usa Google Workspace, Microsoft 365, AWS o qualsiasi altro servizio cloud di un provider americano, i tuoi dati sono al centro di un conflitto giuridico che dura da oltre dieci anni e che non è ancora risolto. Non è allarmismo, è il risultato documentato di decine di sentenze, due decisioni di adeguatezza invalidate dalla Corte di Giustizia europea e una legge americana — il CLOUD Act — che permette al governo degli Stati Uniti di richiedere dati archiviati in qualsiasi datacenter del mondo, compresi quelli di Francoforte o Dublino, purché il provider sia una società americana o una sua controllata.
In questo articolo ripercorriamo la storia di questo conflitto, spieghiamo perché è strutturalmente irrisolvibile per via puramente giudiziaria o contrattuale, e soprattutto cerchiamo di rispondere alla domanda pratica: cosa può fare un'azienda italiana per ridurre concretamente il rischio?
Tutto comincia il 6 giugno 2013: PRISM e lo spartiacque Snowden
La data di inizio è precisa. Quando l'ex contractor NSA Edward Snowden rivela l'esistenza del programma PRISM (Planning Tool for Resource Integration, Synchronization, and Management), il panorama della fiducia transatlantica sui dati digitali cambia per sempre. PRISM consentiva all'NSA l'accesso ai server di Google, Microsoft, Apple, Facebook e altri provider americani in forza della Section 702 del FISA (50 U.S.C. § 1881a), una norma che permette la raccolta dei dati di persone non americane situate all'estero senza autorizzazione giudiziale individuale.
Poche settimane dopo emerge un secondo programma, altrettanto inquietante: MUSCULAR, gestito in collaborazione con il GCHQ britannico, intercettava i collegamenti in fibra ottica privati tra i datacenter di Google e Yahoo senza alcuna richiesta formale ai provider, sfruttando il fatto che i link interni non erano cifrati. Una slide NSA mostrava il punto di intercettazione con l'annotazione ironica “SSL Added and Removed Here :)”. Un terzo vettore, l'Executive Order 12333 del 1981, forniva la base per la raccolta extraterritoriale sui cavi sottomarini, fuori dal controllo della FISC.
La reazione istituzionale europea non si fa attendere: il 27 novembre 2013 la Commissione pubblica due comunicazioni riconoscendo che le autorità USA accedevano ai dati europei in modo sproporzionato rispetto a quanto strettamente necessario. Questo contesto è il presupposto causale di tutto il contenzioso successivo.
Due binari giuridici, un unico problema
Per capire come si è sviluppato il conflitto negli anni successivi, è essenziale distinguere due filoni paralleli che spesso vengono confusi ma che operano su piani diversi.
Binario A — i trasferimenti commerciali: riguarda la legittimità del trasferimento di dati personali dall'UE agli USA per finalità commerciali. È il filone dei casi Schrems dinanzi alla Corte di Giustizia dell'Unione Europea (CGUE), che ha invalidato due framework di adeguatezza sostenendo che il diritto di sorveglianza USA non offre una protezione sostanzialmente equivalente a quella europea.
Binario B — l'accesso coercitivo extraterritoriale: riguarda il potere del governo USA di obbligare un provider americano a produrre dati ovunque siano archiviati. È il filone dei casi Microsoft Ireland e Google, concluso con il CLOUD Act del 2018.
Il punto cruciale è che questi due binari si alimentano a vicenda: la Section 702 FISA è al tempo stesso la causa dell'invalidazione dei framework di trasferimento (Binario A) e lo strumento dell'accesso coercitivo (Binario B). Le Big Tech hanno tentato di rispondere a entrambi con architetture crittografiche e strutture societarie di cloud sovrano, ma con risultati parziali che analizzeremo più avanti.
Il caso Microsoft Ireland e la nascita del CLOUD Act (2013–2018)
Il 4 dicembre 2013 un magistrate judge federale di New York emette un mandato ex Stored Communications Act (SCA) ordinando a Microsoft di produrre il contenuto di un account email archiviato esclusivamente nel datacenter di Dublino. Microsoft contesta l'applicazione extraterritoriale della norma, portando il caso fino alla Corte Suprema. Nel frattempo, nel 2016, il Second Circuit si pronuncia a favore di Microsoft: lo SCA, secondo i giudici d'appello, non autorizza l'emissione di mandati per la produzione di email conservate su server esteri, perché la tutela della privacy dell'utente si realizza nel luogo di archiviazione.
La questione sembrava avviata verso una risoluzione favorevole alla territorialità del dato, ma il 23 marzo 2018 il Presidente Trump firma il CLOUD Act (Clarifying Lawful Overseas Use of Data Act, Pub. L. 115-141), inserito nell'Appropriations Act 2018. La norma è lapidaria nel nuovo testo del 18 U.S.C. § 2713:
Un provider deve adempiere agli obblighi di conservazione, backup o divulgazione di qualsiasi dato o informazione relativa a un cliente o abbonato, indipendentemente dal fatto che tale comunicazione, dato o informazione si trovi all'interno o all'esterno degli Stati Uniti.
CLOUD Act, 18 U.S.C. § 2713 (Cornell LII)Il 17 aprile 2018, con un nuovo mandato emesso sotto la norma modificata, la Corte Suprema dichiara il caso Microsoft moot (138 S. Ct. 1186) e annulla la sentenza favorevole del Second Circuit. La questione giurisdizionale viene risolta in via legislativa nel senso più favorevole al governo americano. Degno di nota: Google, Microsoft, Apple e Amazon sostengono il CLOUD Act, accettandone la portata extraterritoriale in cambio del meccanismo degli accordi bilaterali e delle tutele di comity.
Il caso Google e la divergenza giurisprudenziale del 2017
Mentre il caso Microsoft era ancora pendente, le corti federali al di fuori del Second Circuit stavano costruendo un orientamento opposto, con Google come protagonista. Il caso guida — In re Search Warrant No. 16-960-M-01 to Google, E.D. Pa., 3 febbraio 2017 — distingue la situazione di Google da quella di Microsoft su tre argomenti: il trasferimento dei dati dai server esteri a quelli californiani non costituisce una vera "perquisizione" perché non interferisce con l'interesse possessorio dell'utente; la violazione della privacy avviene solo quando il governo esamina i dati, negli USA; Google distribuisce dinamicamente i propri dati in frammenti distribuiti tra datacenter diversi, rendendo i canali diplomatici tradizionali (MLAT) di fatto inutilizzabili.
Lo stesso orientamento emerge nello stesso anno in altri distretti federali — Northern District of California, District of DC, Central District of California — tutti con la medesima conclusione: Google deve produrre i dati archiviati all'estero. Questa frattura interna alla giurisprudenza federale è stata la spinta decisiva verso la soluzione legislativa del CLOUD Act.
Il nodo gordiano: la FISA Section 702
Più rilevante del CLOUD Act per le aziende europee è la Section 702 FISA, base giuridica dei programmi PRISM e Upstream. La norma autorizza la raccolta delle comunicazioni di persone non americane situate all'estero senza mandato individuale, con la sola supervisione della Foreign Intelligence Surveillance Court (FISC), che approva programmi generali e non obiettivi specifici. I dati di aziende e persone europee che comunicano con qualsiasi soggetto monitorato finiscono automaticamente nel database NSA.
Il Google Transparency Report documenta la crescita degli account interessati da ordini FISA per il contenuto: da circa 115.000 nella prima metà del 2023 a circa 177.500 nella prima metà del 2025. Un trend che non accenna a diminuire.
La Section 702 FISA è scaduta il 12 giugno 2026, per la prima volta dalla sua istituzione nel 2008, dopo che la Camera ha respinto l'ultima proroga con 198 voti favorevoli e 218 contrari. Le certificazioni approvate dalla FISC a marzo 2026 restano però valide fino a marzo 2027, quindi la sorveglianza operativa continua sotto le autorizzazioni già emesse e non è possibile emettere nuove direttive ai provider. Il dibattito sulla riautorizzazione è aperto e il Congresso sta affrontando la questione con posizioni molto divise tra chi vuole riformare la norma introducendo un requisito di mandato individuale e chi preferisce una riautorizzazione senza modifiche. Fonti: NPR, Brennan Center.
Schrems I, Schrems II e il Data Privacy Framework: la storia infinita
Sul Binario A, la storia è quella dei tre framework di adeguatezza per i trasferimenti commerciali di dati dall'UE agli USA.
Safe Harbor (2000–2015): il 6 ottobre 2015 la CGUE lo invalida con la sentenza C-362/14 (Schrems I), rilevando che i requisiti di sicurezza nazionale USA prevalgono sullo schema e che la sorveglianza generalizzata compromette l'essenza dei diritti fondamentali di cui agli artt. 7, 8 e 47 della Carta. Circa 4.500 imprese perdono la base giuridica per i trasferimenti.
Privacy Shield (2016–2020): il 16 luglio 2020 la CGUE lo invalida con la sentenza C-311/18 (Schrems II), esaminando direttamente la Section 702 FISA e l'EO 12333 e concludendo che le limitazioni alla protezione non soddisfano il principio di proporzionalità. Le Standard Contractual Clauses (SCC) sopravvivono ma richiedono una valutazione caso per caso.
Data Privacy Framework — DPF (2023–oggi): adottato dalla Commissione il 10 luglio 2023 sulla base dell'Executive Order 14086 firmato da Biden nel 2022, che introduce per la prima volta i concetti di necessità e proporzionalità nel diritto americano sulla sorveglianza e crea la Data Protection Review Court (DPRC). Il Tribunale UE lo ha confermato il 3 settembre 2025, respingendo il ricorso del parlamentare francese Latombe, ma l'appello alla CGUE (Causa C-703/25 P) è pendente e l'esito è tutt'altro che scontato: la CGUE ha già invalidato due framework precedenti. Max Schrems ha commentato la decisione del Tribunale come una partenza radicale dai principi stabiliti dalla CGUE, anticipando una sfida più ampia. Nel frattempo, l'indebolimento del Privacy and Civil Liberties Oversight Board (PCLOB) da parte dell'amministrazione Trump solleva nuovi dubbi sulla tenuta dell'EO 14086, che è revocabile per via esecutiva senza passaggio al Congresso.
La risposta tecnologica: crittografia, sovranità e i suoi limiti
Di fronte all'impossibilità di risolvere il conflitto per via giuridica, le Big Tech, Google in testa, hanno sviluppato risposte tecnologiche su più livelli.
Crittografia inter-datacenter: in risposta diretta a MUSCULAR, Google ha cifrato tutto il traffico interno tra datacenter con ALTS (AES-128-GCM) e ha cifrato i dati a riposo con AES-256, diventando lo standard di fatto per il settore.
Client-Side Encryption (CSE) di Google Workspace: il contenuto viene cifrato nel browser prima di essere inviato ai server, e Google dichiara esplicitamente di non poterlo decifrare. Le chiavi sono gestite da un sistema esterno (KACLS) controllato dal cliente. Disponibile in GA per Gmail e Calendar dal febbraio 2023. L'implicazione giuridica è diretta: un mandato rivolto a Google per il contenuto CSE-cifrato non può essere eseguito, perché Google detiene solo testo cifrato inutilizzabile.
Cloud EKM e Key Access Justifications: con l'External Key Manager le chiavi risiedono completamente al di fuori dell'infrastruttura Google. Il meccanismo Key Access Justifications genera un codice di giustificazione per ogni accesso, incluso THIRD_PARTY_DATA_REQUEST per le richieste legali: il cliente può configurare policy che rifiutano automaticamente tali richieste. Google afferma che in questo modo non esiste alcun modo tecnico per decriptare i dati del cliente senza la sua approvazione.
Cloud sovrani europei: il modello più avanzato prevede la creazione di entità legalmente separate da Google. In Francia, la joint venture S3NS con Thales (qualifica ANSSI SecNumCloud). In Germania, la partnership con T-Systems e la nuova entità annunciata a maggio 2026 tra Thales e Google. La logica è quella di rimuovere il "controllo" di Google sui dati, rendendo così inapplicabile il criterio PCC del CLOUD Act.
Tuttavia questi meccanismi presentano limiti concreti che è importante non sottovalutare. Il DOJ ha chiarito che il CLOUD Act è "encryption neutral": non obbliga a decifrare, ma non risolve la questione giurisdizionale perché Google controlla comunque la piattaforma e il codice consegnato all'utente. Con EKM il mandato si sposta sul custode delle chiavi, potenzialmente soggetto a diversa giurisdizione. I metadati (mittente, destinatario, timestamp, IP) restano in chiaro e producibili. E le entità di cloud sovrano europeo non sono mai state testate dinanzi a un tribunale americano: nessuno sa con certezza come un giudice federale USA valuterebbe, di fronte a una richiesta del governo, una struttura societaria come T-Systems Germany operata con personale locale.
La tabella del conflitto: chi ha vinto finora
| Caso / Atto | Anno | Norma | Esito |
|---|---|---|---|
| Microsoft Ireland (829 F.3d 197) | 2016 | SCA § 2703 | UE / privacy (poi superato dal CLOUD Act) |
| In re Google (E.D. Pa. e altri distretti) | 2017 | SCA § 2703 | USA / accesso |
| CLOUD Act (18 U.S.C. § 2713) | 2018 | Legge federale USA | USA / accesso |
| Schrems I (C-362/14) | 2015 | Safe Harbor / sorveglianza | UE / protezione — Safe Harbor invalido |
| Schrems II (C-311/18) | 2020 | FISA 702 / EO 12333 | UE / protezione — Privacy Shield invalido |
| Meta / DPC (€1,2 mld) | 2023 | GDPR art. 46(1) / FISA 702 | UE / protezione — multa record |
| Latombe (T-553/23) | 2025 | DPF / EO 14086 | USA / framework (ricorso respinto, appello C-703/25 P pendente) |
| Apple ADP / TCN UK | 2025 | Investigatory Powers Act § 253 | Ritirato — Apple rimuove ADP in UK, poi UK ritira il mandato |
| FISA Section 702 — Scadenza | 12 giu. 2026 | Titolo VII FISA | In stallo — scaduta, certificazioni valide fino a mar. 2027 |
Il pattern è chiaro: sul Binario B (accesso coercitivo USA) prevale la giurisdizione americana dal 2017 in poi; sul Binario A (trasferimenti commerciali) prevale storicamente la protezione europea, con il DPF che regge in primo grado ma resta sub iudice. Il conflitto non si risolve mai definitivamente: si sposta di binario.
Cosa significa questo per una PMI italiana
La domanda pratica è questa: se la tua azienda usa Microsoft 365 con i dati archiviati nel datacenter di Milano o Francoforte, oppure Google Workspace con dati EU, oppure AWS in Germania, cosa rischi?
Il rischio concreto dipende dal tipo di dati, dall'attività dell'azienda e dal livello di configurazione del servizio. In linea generale, per le PMI italiane che non operano in settori sensibili, il rischio di una richiesta governativa USA diretta ai propri dati è basso ma non zero, soprattutto se si hanno rapporti commerciali con soggetti americani sotto sorveglianza FISA. Il rischio più immediato e tangibile riguarda invece la compliance GDPR: l'art. 48 GDPR stabilisce che le decisioni di un'autorità di paese terzo che impongono il trasferimento di dati sono eseguibili solo se basate su un accordo internazionale, come un trattato di mutua assistenza giudiziaria. Poiché non esiste un accordo CLOUD Act USA-UE — i negoziati sono ancora bloccati su una divergenza strutturale — il provider si trova in una situazione di doppio rischio di conformità: adempiere al CLOUD Act può violare il GDPR; rifiutare può violare il diritto USA.
Questo non significa che tutto sia inutile. Le misure tecniche — crittografia client-side, gestione esterna delle chiavi, scelta di provider con architetture di sovranità certificata — riducono concretamente la superficie di esposizione, anche se non la eliminano del tutto. E il contesto geopolitico sta cambiando: il Cyber Resilience Act e il Cloud and AI Development Act approvato il 3 giugno 2026 introducono livelli di sovranità certificata strutturalmente irraggiungibili per i provider USA che non si separino giuridicamente dalle case madri americane, creando un incentivo reale verso lo sviluppo di alternative europee.
Domande frequenti
Il CLOUD Act si applica ai dati archiviati in datacenter europei?
Sì. Il CLOUD Act (18 U.S.C. § 2713, 2018) obbliga qualsiasi provider americano a produrre dati che siano nella sua possesso, custodia o controllo, indipendentemente da dove siano fisicamente archiviati. Un dato conservato in un datacenter di Francoforte o Dublino è producibile se il provider che lo gestisce è una società americana o una sua controllata. Il criterio rilevante non è più la localizzazione geografica del dato, ma il controllo che il provider esercita su di esso attraverso la propria struttura societaria.
Cosa è successo alla FISA Section 702 nel 2026?
La Section 702 FISA è scaduta il 12 giugno 2026, per la prima volta dalla sua istituzione nel 2008, dopo che la Camera ha respinto l'ultima proroga con 198 voti favorevoli e 218 contrari. Le certificazioni approvate dalla FISC a marzo 2026 restano però valide fino a marzo 2027, quindi la sorveglianza operativa continua sotto le autorizzazioni già emesse. Il Congresso non può però emettere nuove direttive ai provider per nuovi obiettivi finché non interviene con una riautorizzazione. Il dibattito è aperto e la situazione è in evoluzione.
Il Data Privacy Framework (DPF) è ancora valido nel 2026?
Il DPF adottato dalla Commissione nel luglio 2023 è ancora formalmente valido: il Tribunale UE ha respinto il ricorso Latombe il 3 settembre 2025 confermandone la validità. Tuttavia è pendente un appello alla CGUE (C-703/25 P) e la situazione politica USA, con l'indebolimento del PCLOB da parte dell'amministrazione Trump, genera nuova incertezza. Le aziende che lo usano dovrebbero mantenere le Standard Contractual Clauses come meccanismo alternativo di riserva.
La crittografia client-side di Google protegge davvero i dati dalle richieste governative USA?
In larga misura sì, per il contenuto. Con il Client-Side Encryption (CSE) di Google Workspace e la gestione esterna delle chiavi (Cloud EKM), Google non può decifrare i dati e quindi non può ottemperare a un warrant per il contenuto cifrato. Restano però accessibili i metadati (mittente, destinatario, timestamp, IP), e le architetture di cloud sovrano europeo non sono mai state testate dinanzi a un tribunale americano. La crittografia mitiga il rischio, non lo elimina del tutto.
Come può una PMI italiana ridurre il rischio legato all'accesso USA ai propri dati cloud?
Le opzioni principali sono: adottare servizi cloud europei certificati (es. soluzioni con qualifica SecNumCloud in Francia o equivalenti), richiedere al provider la crittografia client-side con gestione delle chiavi da parte dell'azienda cliente, condurre un'analisi del rischio sui trasferimenti internazionali di dati, e verificare che i contratti prevedano meccanismi di notifica in caso di richieste governative. Una valutazione del proprio profilo di rischio da parte di un consulente specializzato è spesso il primo passo più utile.
Cos'è il doppio rischio di conformità (dual compliance risk) per i provider cloud?
Il problema nasce dall'art. 48 GDPR, che stabilisce che le decisioni di un'autorità di un paese terzo che impongono il trasferimento di dati sono eseguibili solo se basate su un accordo internazionale. Poiché non esiste un accordo CLOUD Act USA-UE, il provider si trova in una situazione impossibile: adempiere al CLOUD Act può violare il GDPR; rifiutare viola il diritto USA, con possibili sanzioni penali e civili. L'EDPB ha confermato che neppure l'art. 49(1) GDPR può fornire un fondamento giuridico valido per trasferire dati su richiesta del CLOUD Act.
Tre conclusioni che non sentirai spesso
Il conflitto è strutturale, non risolvibile per via giudiziaria. Sia il CLOUD Act sia il GDPR hanno abbandonato la localizzazione fisica in favore di criteri funzionali (controllo vs. targeting), generando una sovrapposizione di giurisdizioni che nessuna sentenza può eliminare. Ogni vittoria su un binario genera una ridefinizione dell'altro.
La FISA Section 702 era e resta il nodo irrisolto. Tutte le invalidazioni CGUE, la multa miliardaria a Meta e le critiche al DPF convergono sullo stesso punto: finché la Section 702 autorizza la sorveglianza senza mandato individuale di non-persone americane, nessuno strumento contrattuale o framework di adeguatezza può offrire protezione sostanzialmente equivalente. Il problema è nel diritto sostanziale USA, non nella tecnologia contrattuale.
La risposta tecnologica sposta il problema senza eliminarlo. Crittografia client-side, Cloud EKM e cloud sovrani europei sono mitigazioni reali, ma lasciano scoperti metadati, codice di piattaforma e l'incognita di entità sovrane mai testate in tribunale. La sovranità digitale europea emerge come risposta politico-industriale a un problema che il diritto e la tecnologia, da soli, non hanno ancora chiuso.
Tredici anni dopo le rivelazioni di Snowden, la dottrina USA ha consolidato il primato del controllo sul territorio, l'UE ha consolidato il primato della protezione sul trasferimento, e le Big Tech si sono rifugiate nell'architettura tecnica e societaria come unica via per rendere fisicamente inaccessibile ciò che giuridicamente resta conteso.
I tuoi dati aziendali sono davvero al sicuro nel cloud?
Alchimie Digitali supporta le imprese nel valutare il profilo di rischio dei propri servizi cloud, nell'adeguamento GDPR e nella scelta di architetture coerenti con la sovranità dei dati europei.
Parla con noiSe questo articolo ti ha sollevato dubbi sulla tua infrastruttura cloud, potrebbe interessarti anche la nostra analisi sulla cybersecurity aziendale, il nostro approfondimento sul percorso di adeguamento GDPR e le soluzioni di Business Continuity per le PMI. Per restare aggiornato sulle evoluzioni normative puoi consultare direttamente le pagine ufficiali di EDPB, EUR-Lex e il Brennan Center for Justice per la FISA.
Questo articolo ha finalità informativa e non costituisce parere legale. Le procedure CGUE C-703/25 P (Latombe) e C-078/25 (La Quadrature du Net) sono pendenti; la situazione relativa alla riautorizzazione della FISA Section 702 è in evoluzione al momento della pubblicazione (23 giugno 2026). Ultimo aggiornamento: 23 giugno 2026.