<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Data Act on Arpokrat</title>
    <link>https://arpokrat.com/it/blog/tags/data-act/</link>
    <description>Recent content in Data Act on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>it</language><lastBuildDate>Fri, 19 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/it/blog/tags/data-act/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Data Act vs CLOUD Act: chi controlla davvero i tuoi dati nel cloud?</title>
      <link>https://arpokrat.com/it/blog/data-act-vs-cloud-act-digital-sovereignty/</link>
      <pubDate>Fri, 19 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/it/blog/data-act-vs-cloud-act-digital-sovereignty/</guid>
      <description>&lt;p&gt;Per anni, il mondo ha funzionato su un presupposto semplice: i dati hanno un luogo di residenza fisico. Se si trovavano su un server a Dublino, erano soggetti al diritto irlandese ed europeo. Questo presupposto è crollato nel 2018, quando gli Stati Uniti hanno adottato il CLOUD Act, una legge che conferisce alle autorità americane l&amp;rsquo;accesso ai dati controllati da aziende statunitensi, indipendentemente da dove tali dati siano fisicamente archiviati nel mondo. Alcuni anni dopo, Bruxelles ha risposto con il proprio strumento di protezione: il Data Act, ora pienamente applicabile, che tenta di limitare l&amp;rsquo;accesso extraterritoriale delle autorità di paesi terzi ai dati detenuti nell&amp;rsquo;Unione europea.&lt;/p&gt;
&lt;p&gt;Ecco cosa prevedono realmente questi due testi, dove entrano in collisione, e perché l&amp;rsquo;unica protezione davvero solida di fronte a questo conflitto rimane l&amp;rsquo;impossibilità tecnica di accesso.&lt;/p&gt;
&lt;h2 id=&#34;il-cloud-act-americano-un-accesso-basato-sul-controllo-non-sulla-localizzazione&#34;&gt;Il CLOUD Act americano: un accesso basato sul controllo, non sulla localizzazione&lt;/h2&gt;
&lt;p&gt;Il &lt;strong&gt;CLOUD Act&lt;/strong&gt; (&lt;em&gt;Clarifying Lawful Overseas Use of Data Act&lt;/em&gt;), adottato nel marzo 2018, ha modificato il diritto americano aggiungendo l&amp;rsquo;articolo &lt;strong&gt;18 U.S. Code § 2713&lt;/strong&gt;. Questo testo impone a qualsiasi fornitore di servizi di comunicazione elettronica o di elaborazione informatica remota di conservare, salvaguardare o divulgare il contenuto di una comunicazione o qualsiasi registro ad essa correlato, qualora tali dati siano in suo possesso, in sua custodia o sotto il suo controllo, &lt;strong&gt;indipendentemente dal fatto che tali dati si trovino all&amp;rsquo;interno o all&amp;rsquo;esterno degli Stati Uniti&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;È precisamente quest&amp;rsquo;ultima clausola a cambiare tutto. Il criterio adottato non è più la localizzazione fisica del server, ma il controllo esercitato dalla società madre sulle proprie filiali. Un&amp;rsquo;azienda americana che gestisce centri dati in Europa rimane quindi soggetta alle richieste americane, anche per i dati archiviati interamente sul suolo europeo.&lt;/p&gt;
&lt;h2 id=&#34;il-data-act-europeo-una-barriera-giuridica-allaccesso-extraterritoriale&#34;&gt;Il Data Act europeo: una barriera giuridica all&amp;rsquo;accesso extraterritoriale&lt;/h2&gt;
&lt;p&gt;Il &lt;strong&gt;Regolamento (UE) 2023/2854&lt;/strong&gt;, detto Data Act, è entrato in vigore l&#39;11 gennaio 2024 e si applica pienamente dal 12 settembre 2025, con alcune disposizioni scaglionate fino al 2026 e al 2027. Il suo &lt;strong&gt;articolo 32&lt;/strong&gt; disciplina direttamente la questione dell&amp;rsquo;accesso governativo internazionale ai dati.&lt;/p&gt;
&lt;p&gt;Il testo stabilisce una regola chiara: qualsiasi decisione o sentenza di un organo giurisdizionale o di un&amp;rsquo;autorità amministrativa di un paese terzo che richieda a un fornitore di servizi di trattamento dei dati di trasferire o fornire accesso a dati non personali detenuti nell&amp;rsquo;Unione europea &lt;strong&gt;è riconosciuta ed eseguibile solo se si basa su un accordo internazionale&lt;/strong&gt;, come un trattato di assistenza giudiziaria reciproca (MLA), in vigore tra il paese richiedente e l&amp;rsquo;Unione, o tra tale paese e lo Stato membro interessato.&lt;/p&gt;
&lt;p&gt;In assenza di un tale accordo, l&amp;rsquo;articolo 32 prevede una seconda via, ma strettamente disciplinata: la decisione straniera può essere eseguita solo se il sistema giuridico del paese terzo richiede che la richiesta sia motivata, proporzionata e sufficientemente specifica, ad esempio stabilendo un chiaro collegamento con persone o reati precisi, e se l&amp;rsquo;obiezione motivata del destinatario può essere sottoposta al controllo di un organo giurisdizionale competente di tale paese terzo.&lt;/p&gt;
&lt;h2 id=&#34;una-collisione-giuridica-diretta&#34;&gt;Una collisione giuridica diretta&lt;/h2&gt;
&lt;p&gt;Il problema è immediato: il CLOUD Act impone una divulgazione basata sul controllo esercitato dalla società madre, senza condizioni di proporzionalità comparabili a quelle richieste dal diritto europeo. Il Data Act, al contrario, subordina il riconoscimento di tale richiesta all&amp;rsquo;esistenza di un accordo internazionale o a precise garanzie procedurali. Un&amp;rsquo;azienda americana operante in Europa, intimata da un&amp;rsquo;autorità americana a trasmettere dati ospitati nell&amp;rsquo;Unione, si ritrova quindi intrappolata tra due obblighi legali contraddittori: conformarsi al mandato americano violando il diritto dell&amp;rsquo;Unione, oppure rispettare il Data Act esponendosi alle conseguenze di un rifiuto negli Stati Uniti.&lt;/p&gt;
&lt;p&gt;Questa tensione non è teorica. È già stata documentata dalla Corte di giustizia dell&amp;rsquo;Unione europea (CJUE) in due decisioni fondamentali, &lt;strong&gt;Schrems I&lt;/strong&gt; (2015) e &lt;strong&gt;Schrems II&lt;/strong&gt; (2020). Nella sentenza Schrems II, la CJUE ha stabilito che la sorveglianza americana condotta ai sensi della &lt;strong&gt;Sezione 702 del FISA&lt;/strong&gt; (&lt;em&gt;Foreign Intelligence Surveillance Act&lt;/em&gt;) e dell&amp;rsquo;&lt;strong&gt;Executive Order 12333&lt;/strong&gt; non rispetta le garanzie minime richieste dal diritto dell&amp;rsquo;Unione in virtù del principio di proporzionalità, e non può quindi essere considerata limitata a quanto strettamente necessario. La Corte ha inoltre rilevato l&amp;rsquo;assenza di un mezzo di ricorso giurisdizionale effettivo per le persone interessate dell&amp;rsquo;Unione, in violazione dell&amp;rsquo;articolo 47 della Carta dei diritti fondamentali. Tale decisione ha invalidato il quadro del Privacy Shield, che fino ad allora disciplinava i trasferimenti di dati tra l&amp;rsquo;UE e gli Stati Uniti.&lt;/p&gt;
&lt;h2 id=&#34;il-rischio-strutturale-harvest-now-decrypt-later&#34;&gt;Il rischio strutturale: Harvest Now, Decrypt Later&lt;/h2&gt;
&lt;p&gt;Al di là del conflitto di giurisdizioni, una minaccia più insidiosa incombe sui dati ospitati in infrastrutture soggette al diritto americano: la strategia denominata &lt;a href=&#34;https://arpokrat.com/it/blog/harvest-now-decrypt-later-hndl-zero-knowledge/&#34;&gt;&lt;strong&gt;Harvest Now, Decrypt Later&lt;/strong&gt;&lt;/a&gt;
 (HNDL). Il principio consiste, per un servizio di intelligence o un attore statale ostile, nell&amp;rsquo;intercettare e archiviare fin d&amp;rsquo;ora dati cifrati, in attesa di capacità di calcolo quantistico sufficienti per decifrarli in futuro.&lt;/p&gt;
&lt;p&gt;Questa strategia trasforma qualsiasi dipendenza prolungata da un&amp;rsquo;infrastruttura cloud americana in un debito di sicurezza differito: ciò che è riservato oggi può diventare leggibile tra dieci o quindici anni, senza che alcuna ulteriore azione sia necessaria da parte dell&amp;rsquo;attaccante, solo tempo e pazienza.&lt;/p&gt;
&lt;h2 id=&#34;perché-solo-limpossibilità-tecnica-costituisce-una-vera-garanzia&#34;&gt;Perché solo l&amp;rsquo;impossibilità tecnica costituisce una vera garanzia&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;analisi giuridica converge verso una constatazione condivisa da molti esperti di conformità: per quanto solido sia il quadro normativo del Data Act, rimane un testo che i rapporti di forza geopolitici e le pressioni diplomatiche possono aggirare, ritardare o reinterpretare. L&amp;rsquo;unica protezione che non dipende da alcuna negoziazione futura è &lt;strong&gt;l&amp;rsquo;impossibilità tecnica di esecuzione&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Un&amp;rsquo;architettura &lt;strong&gt;zero knowledge&lt;/strong&gt;, in cui il fornitore non detiene né il possesso né la custodia delle chiavi di decifrazione, rende una richiesta materialmente inoperante. Non si può essere costretti a consegnare ciò che non si ha mai posseduto.&lt;/p&gt;
&lt;p&gt;È questa la logica che struttura ecosistemi come &lt;strong&gt;Arpokrat&lt;/strong&gt;:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Neutralizzazione giurisdizionale&lt;/strong&gt;: l&amp;rsquo;infrastruttura è ospitata in Svizzera, sotto il regime della legge federale sulla protezione dei dati (LPD/FADP), al di fuori del campo di applicazione diretta dell&amp;rsquo;extraterritorialità del CLOUD Act&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Assenza di custodia&lt;/strong&gt;: l&amp;rsquo;architettura zero knowledge priva il fornitore di qualsiasi capacità di consegnare chiavi o contenuti che non ha mai detenuto&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Riduzione dell&amp;rsquo;impronta identitaria&lt;/strong&gt;: eliminando l&amp;rsquo;obbligo di registrazione tramite numero di telefono o indirizzo e-mail, identificatori che la sorveglianza basata sulla Sezione 702 del FISA può tracciare con facilità, l&amp;rsquo;utente cessa di essere un abbonato identificabile per diventare una chiave crittografica anonima&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;la-catena-di-custodia-non-si-ferma-alla-cifratura-dei-messaggi&#34;&gt;La catena di custodia non si ferma alla cifratura dei messaggi&lt;/h2&gt;
&lt;p&gt;Un punto spesso sottovalutato nelle analisi di conformità: non è sufficiente cifrare il contenuto di una comunicazione se il sistema operativo sottostante, che si tratti di Android o iOS, continua a raccogliere metadati o telemetria a livello di kernel, a destinazione di server soggetti alla giurisdizione americana. La protezione del segreto richiede una chiusura completa della catena di custodia, dal contenuto fino all&amp;rsquo;infrastruttura hardware stessa.&lt;/p&gt;
&lt;p&gt;È per questa ragione che la sovranità digitale implica anche una riflessione sul sistema operativo utilizzato, non solo sulle applicazioni di messaggistica. I sistemi de-googlizzati, in cui moduli come il Bluetooth o la geolocalizzazione GNSS possono essere disattivati direttamente a livello di kernel, eliminano vettori di attacco fisici che nessuna cifratura applicativa può compensare.&lt;/p&gt;
&lt;h2 id=&#34;la-crittografia-post-quantistica-un-orizzonte-già-avviato&#34;&gt;La crittografia post-quantistica, un orizzonte già avviato&lt;/h2&gt;
&lt;p&gt;Di fronte alla minaccia rappresentata dalla strategia HNDL, l&amp;rsquo;adozione di standard di crittografia post-quantistica (PQC) diventa una necessità per chiunque desideri garantire la riservatezza di dati sensibili nel lungo termine, che si tratti di segreti aziendali, corrispondenza professionale o dati sanitari. Una cifratura considerata robusta oggi secondo gli standard classici non garantisce che resisterà alle capacità di calcolo quantistico attese nei prossimi quindici anni.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;Il conflitto tra il Data Act e il CLOUD Act illustra una realtà più ampia: la sovranità digitale non può più essere costruita unicamente su testi di legge, per quanto solidi essi siano. Richiede una chiusura della catena di custodia a ogni livello, dal protocollo di cifratura fino alla giurisdizione di hosting, passando per il sistema operativo stesso. È questo approccio a strati, piuttosto che una fiducia riposta in un unico quadro normativo, a definire oggi una vera sovranità digitale per progettazione.&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>