Data Act vs CLOUD Act: chi controlla davvero i tuoi dati nel cloud?

Il Data Act europeo e il CLOUD Act americano si scontrano sull'accesso ai dati archiviati nel cloud. Capire questo conflitto giuridico, le sue implicazioni concrete, e perché solo l'impossibilità tecnica di accesso garantisce una vera sovranità digitale.

|

Tempo di lettura: 7 minuti

Data Act vs CLOUD Act: chi controlla davvero i tuoi dati nel cloud?

Per anni, il mondo ha funzionato su un presupposto semplice: i dati hanno un luogo di residenza fisico. Se si trovavano su un server a Dublino, erano soggetti al diritto irlandese ed europeo. Questo presupposto è crollato nel 2018, quando gli Stati Uniti hanno adottato il CLOUD Act, una legge che conferisce alle autorità americane l’accesso ai dati controllati da aziende statunitensi, indipendentemente da dove tali dati siano fisicamente archiviati nel mondo. Alcuni anni dopo, Bruxelles ha risposto con il proprio strumento di protezione: il Data Act, ora pienamente applicabile, che tenta di limitare l’accesso extraterritoriale delle autorità di paesi terzi ai dati detenuti nell’Unione europea.

Ecco cosa prevedono realmente questi due testi, dove entrano in collisione, e perché l’unica protezione davvero solida di fronte a questo conflitto rimane l’impossibilità tecnica di accesso.

Il CLOUD Act americano: un accesso basato sul controllo, non sulla localizzazione

Il CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adottato nel marzo 2018, ha modificato il diritto americano aggiungendo l’articolo 18 U.S. Code § 2713. Questo testo impone a qualsiasi fornitore di servizi di comunicazione elettronica o di elaborazione informatica remota di conservare, salvaguardare o divulgare il contenuto di una comunicazione o qualsiasi registro ad essa correlato, qualora tali dati siano in suo possesso, in sua custodia o sotto il suo controllo, indipendentemente dal fatto che tali dati si trovino all’interno o all’esterno degli Stati Uniti.

È precisamente quest’ultima clausola a cambiare tutto. Il criterio adottato non è più la localizzazione fisica del server, ma il controllo esercitato dalla società madre sulle proprie filiali. Un’azienda americana che gestisce centri dati in Europa rimane quindi soggetta alle richieste americane, anche per i dati archiviati interamente sul suolo europeo.

Il Data Act europeo: una barriera giuridica all’accesso extraterritoriale

Il Regolamento (UE) 2023/2854, detto Data Act, è entrato in vigore l'11 gennaio 2024 e si applica pienamente dal 12 settembre 2025, con alcune disposizioni scaglionate fino al 2026 e al 2027. Il suo articolo 32 disciplina direttamente la questione dell’accesso governativo internazionale ai dati.

Il testo stabilisce una regola chiara: qualsiasi decisione o sentenza di un organo giurisdizionale o di un’autorità amministrativa di un paese terzo che richieda a un fornitore di servizi di trattamento dei dati di trasferire o fornire accesso a dati non personali detenuti nell’Unione europea è riconosciuta ed eseguibile solo se si basa su un accordo internazionale, come un trattato di assistenza giudiziaria reciproca (MLA), in vigore tra il paese richiedente e l’Unione, o tra tale paese e lo Stato membro interessato.

In assenza di un tale accordo, l’articolo 32 prevede una seconda via, ma strettamente disciplinata: la decisione straniera può essere eseguita solo se il sistema giuridico del paese terzo richiede che la richiesta sia motivata, proporzionata e sufficientemente specifica, ad esempio stabilendo un chiaro collegamento con persone o reati precisi, e se l’obiezione motivata del destinatario può essere sottoposta al controllo di un organo giurisdizionale competente di tale paese terzo.

Una collisione giuridica diretta

Il problema è immediato: il CLOUD Act impone una divulgazione basata sul controllo esercitato dalla società madre, senza condizioni di proporzionalità comparabili a quelle richieste dal diritto europeo. Il Data Act, al contrario, subordina il riconoscimento di tale richiesta all’esistenza di un accordo internazionale o a precise garanzie procedurali. Un’azienda americana operante in Europa, intimata da un’autorità americana a trasmettere dati ospitati nell’Unione, si ritrova quindi intrappolata tra due obblighi legali contraddittori: conformarsi al mandato americano violando il diritto dell’Unione, oppure rispettare il Data Act esponendosi alle conseguenze di un rifiuto negli Stati Uniti.

Questa tensione non è teorica. È già stata documentata dalla Corte di giustizia dell’Unione europea (CJUE) in due decisioni fondamentali, Schrems I (2015) e Schrems II (2020). Nella sentenza Schrems II, la CJUE ha stabilito che la sorveglianza americana condotta ai sensi della Sezione 702 del FISA (Foreign Intelligence Surveillance Act) e dell’Executive Order 12333 non rispetta le garanzie minime richieste dal diritto dell’Unione in virtù del principio di proporzionalità, e non può quindi essere considerata limitata a quanto strettamente necessario. La Corte ha inoltre rilevato l’assenza di un mezzo di ricorso giurisdizionale effettivo per le persone interessate dell’Unione, in violazione dell’articolo 47 della Carta dei diritti fondamentali. Tale decisione ha invalidato il quadro del Privacy Shield, che fino ad allora disciplinava i trasferimenti di dati tra l’UE e gli Stati Uniti.

Il rischio strutturale: Harvest Now, Decrypt Later

Al di là del conflitto di giurisdizioni, una minaccia più insidiosa incombe sui dati ospitati in infrastrutture soggette al diritto americano: la strategia denominata Harvest Now, Decrypt Later (HNDL). Il principio consiste, per un servizio di intelligence o un attore statale ostile, nell’intercettare e archiviare fin d’ora dati cifrati, in attesa di capacità di calcolo quantistico sufficienti per decifrarli in futuro.

Questa strategia trasforma qualsiasi dipendenza prolungata da un’infrastruttura cloud americana in un debito di sicurezza differito: ciò che è riservato oggi può diventare leggibile tra dieci o quindici anni, senza che alcuna ulteriore azione sia necessaria da parte dell’attaccante, solo tempo e pazienza.

Perché solo l’impossibilità tecnica costituisce una vera garanzia

L’analisi giuridica converge verso una constatazione condivisa da molti esperti di conformità: per quanto solido sia il quadro normativo del Data Act, rimane un testo che i rapporti di forza geopolitici e le pressioni diplomatiche possono aggirare, ritardare o reinterpretare. L’unica protezione che non dipende da alcuna negoziazione futura è l’impossibilità tecnica di esecuzione.

Un’architettura zero knowledge, in cui il fornitore non detiene né il possesso né la custodia delle chiavi di decifrazione, rende una richiesta materialmente inoperante. Non si può essere costretti a consegnare ciò che non si ha mai posseduto.

È questa la logica che struttura ecosistemi come Arpokrat:

  • Neutralizzazione giurisdizionale: l’infrastruttura è ospitata in Svizzera, sotto il regime della legge federale sulla protezione dei dati (LPD/FADP), al di fuori del campo di applicazione diretta dell’extraterritorialità del CLOUD Act
  • Assenza di custodia: l’architettura zero knowledge priva il fornitore di qualsiasi capacità di consegnare chiavi o contenuti che non ha mai detenuto
  • Riduzione dell’impronta identitaria: eliminando l’obbligo di registrazione tramite numero di telefono o indirizzo e-mail, identificatori che la sorveglianza basata sulla Sezione 702 del FISA può tracciare con facilità, l’utente cessa di essere un abbonato identificabile per diventare una chiave crittografica anonima

La catena di custodia non si ferma alla cifratura dei messaggi

Un punto spesso sottovalutato nelle analisi di conformità: non è sufficiente cifrare il contenuto di una comunicazione se il sistema operativo sottostante, che si tratti di Android o iOS, continua a raccogliere metadati o telemetria a livello di kernel, a destinazione di server soggetti alla giurisdizione americana. La protezione del segreto richiede una chiusura completa della catena di custodia, dal contenuto fino all’infrastruttura hardware stessa.

È per questa ragione che la sovranità digitale implica anche una riflessione sul sistema operativo utilizzato, non solo sulle applicazioni di messaggistica. I sistemi de-googlizzati, in cui moduli come il Bluetooth o la geolocalizzazione GNSS possono essere disattivati direttamente a livello di kernel, eliminano vettori di attacco fisici che nessuna cifratura applicativa può compensare.

La crittografia post-quantistica, un orizzonte già avviato

Di fronte alla minaccia rappresentata dalla strategia HNDL, l’adozione di standard di crittografia post-quantistica (PQC) diventa una necessità per chiunque desideri garantire la riservatezza di dati sensibili nel lungo termine, che si tratti di segreti aziendali, corrispondenza professionale o dati sanitari. Una cifratura considerata robusta oggi secondo gli standard classici non garantisce che resisterà alle capacità di calcolo quantistico attese nei prossimi quindici anni.


Il conflitto tra il Data Act e il CLOUD Act illustra una realtà più ampia: la sovranità digitale non può più essere costruita unicamente su testi di legge, per quanto solidi essi siano. Richiede una chiusura della catena di custodia a ogni livello, dal protocollo di cifratura fino alla giurisdizione di hosting, passando per il sistema operativo stesso. È questo approccio a strati, piuttosto che una fiducia riposta in un unico quadro normativo, a definire oggi una vera sovranità digitale per progettazione.