Il cloud non è una nuvola. È un server. E non è nostro.

Nuvola è una parola ben scelta. Evoca leggerezza, libertà, qualcosa che non pesa e non vincola, che si sposta senza lasciare traccia. È difficile immaginare un termine più lontano dalla realtà di quello che descrive. E non è un caso: chiamare “cloud” un’infrastruttura fisica ha contribuito a renderla invisibile, a farla sembrare neutra, quasi naturale. Come se i dati fluttuassero in uno spazio senza confini, senza proprietari, senza giurisdizioni.

La nuvola è fisica

Non funziona così. L’infrastruttura digitale è fatta di cavi sottomarini, data center che consumano energia come piccole città, server fisici collocati in luoghi precisi, sotto giurisdizioni precise. Ogni dato che una pubblica amministrazione, un’azienda o una redazione carica su un sistema cloud ha un indirizzo legale. E quell’indirizzo, nella maggior parte dei casi, non è europeo.

Un mercato americano, leggi americane

Quasi il 90% del mercato cloud in Europa è in mano a operatori extra-UE. Persino il principale operatore europeo, SAP, detiene solo circa il 2% del mercato, secondo un rapporto del Parlamento UE pubblicato a dicembre 2025. Amazon Web Services, Microsoft Azure, Google Cloud. Non è una questione di qualità del servizio, che è buona, né di prezzo, che è competitivo. È una questione più scomoda: chi controlla i dati controlla, alla fine, qualcosa che assomiglia molto al potere.

C’è una legge americana del 2018, che la maggior parte delle istituzioni europee conosce e ignora allo stesso tempo. Il Cloud Act stabilisce che le autorità statunitensi possono accedere a dati detenuti da aziende americane ovunque si trovino fisicamente, territorio europeo incluso. Una norma scritta, trasparente, che entra in collisione diretta con il GDPR e con qualunque ragionamento serio sulla riservatezza dei dati pubblici. In un’audizione davanti al Senato francese, il direttore legale di Microsoft Francia ha ammesso che Microsoft non può garantire che i dati europei siano al riparo da richieste delle autorità USA, anche se ospitati in data center europei. La frizione non è teorica. È già dentro i contratti che le istituzioni europee firmano ogni giorno.

La narrazione del protezionismo

Per anni questo è stato trattato come protezionismo travestito da preoccupazione strategica. La narrazione era semplice: i provider americani funzionano meglio, costano meno, obbligare le istituzioni a usare alternative europee significa penalizzarle. Un argomento con una sua logica nel breve, che ignora quello che succede quando la dipendenza diventa strutturale. E le dipendenze strutturali, di solito, non si vedono finché non diventano urgenti.

Nel maggio 2025, il procuratore capo della Corte Penale Internazionale, Karim Khan, si è trovato bloccato fuori dal proprio account Microsoft Outlook. Non un guasto tecnico: la sua corte aveva emesso mandati di arresto nei confronti di esponenti del governo israeliano, e le sanzioni imposte dall’amministrazione Trump contro i funzionari della Corte Penale Internazionale avevano spinto il provider a disattivare l’accesso. Un ordine esecutivo viene dato a Washington e una casella di posta istituzionale smette di funzionare all’Aia.

Va detto che non si tratta di un atto arbitrario. I casi documentati di sospensione dei servizi riguardano entità colpite da sanzioni statunitensi, non organizzazioni qualunque. E i grandi provider hanno tutto l’interesse commerciale a mantenere la fiducia dei clienti globali: un uso indiscriminato di questo potere distruggerebbe il loro stesso modello di business. Il punto, però, non è la frequenza con cui è successo. È che può succedere e che la decisione finale non spetta a chi i dati li produce.

Il meccanismo del lock-in: entrare è facile, uscire no

Il meccanismo che rende strutturale questa dipendenza non è tecnico. È economico e funziona con una certa eleganza. I principali provider non limitano l’ingresso dei dati, anzi lo facilitano, lo rendono rapido e conveniente.

È nella fase opposta che le regole cambiano. Estrarre i propri dati per migrarli altrove ha un costo: tariffe per il trasferimento, formati proprietari che richiedono conversione, integrazioni che smettono di funzionare. Più a lungo si resta, più si accumula, dati, configurazioni, flussi di lavoro intrecciati, più l’uscita diventa un progetto da sei mesi con un budget che molte amministrazioni non hanno. Non serve bloccare nessuno. Basta che restare sia sempre leggermente più comodo che andarsene. Il risultato pratico è semplice: quando si prova davvero a muoversi, è difficile farlo.

Il parallelo con il gas non è originale, ma funziona. Prima del 2022 ogni paese europeo aveva buone ragioni individuali per restare dipendente dalla Russia. Il problema era sistemico e si è visto quando è diventato urgente. Con il cloud la struttura è la stessa: ogni scelta, presa da sola, è razionale. L’insieme produce una dipendenza che non è stata decisa da nessuno, ma che è reale quanto se lo fosse stata.

Obiettivo sovranità digitale

Che l’Europa debba farlo, lo dicono tutti. Quanto stia effettivamente investendo, e con quale coerenza tra annunci e scelte concrete, è un’altra storia. Su questo il ritardo è reale.

I dati di una pubblica amministrazione su server stranieri non sono mai completamente al riparo. Non è una questione di fiducia: è come funziona il diritto quando attraversa i confini. La sovranità digitale non è un tema di orgoglio tecnologico. È avere chiarezza su chi può spegnere cosa e quando.