Cuando Microsoft dejó sin servicio a la CPI: el incidente de 2025 que cambió la política europea de la nube

por BetterInEurope | | 9 min de lectura
digital-sovereigntyEU-toolscompliancecloud-sovereigntygovernance

El incidente, en cinco frases

En 2025, Estados Unidos impuso sanciones al fiscal jefe de la Corte Penal Internacional (CPI) en respuesta a investigaciones de la CPI a las que el Gobierno estadounidense se oponía. Poco después, el fiscal perdió el acceso a su correo electrónico de Microsoft. Microsoft, como empresa domiciliada en Estados Unidos, no tenía opción legal de negarse a cumplir el régimen de sanciones. La CPI —un organismo internacional creado por tratado con sede en La Haya y con estatuto formal de Estado anfitrión neerlandés— descubrió en plena instrucción que la infraestructura de correo que sostenía su función fiscal dependía de la discrecionalidad del poder ejecutivo estadounidense. Es, hasta la fecha, la ilustración más concreta de por qué “residencia de datos en Europa” no es lo mismo que “soberanía digital”.

Por qué importa precisamente este incidente

Durante años, el debate europeo sobre la soberanía en la nube ha tratado la CLOUD Act y la jurisprudencia Schrems como riesgos teóricos. Sí, en principio, las autoridades estadounidenses podían obligar a las empresas norteamericanas a entregar datos almacenados en cualquier parte del mundo. Sí, en principio, las transferencias transatlánticas operaban bajo regímenes jurídicos frágiles. Pero, para la mayoría de los equipos de compras, esto seguía siendo una preocupación abstracta. Todo el mundo seguía firmando contratos de Microsoft 365.

El caso de la CPI es lo que hizo pasar este asunto de “preocupación abstracta” a “demostración directa”. Un fiscal en activo de uno de los tribunales internacionales más importantes del mundo perdió la herramienta básica de su trabajo —el correo electrónico— por una decisión adoptada en Washington. No fue una resolución judicial estadounidense. Fue una orden ejecutiva de sanciones, aplicada a una empresa norteamericana y ejecutada contra una institución con sede en Europa que, presumiblemente, había hecho una diligencia debida exhaustiva antes de adoptar Microsoft 365.

Si a la CPI le pueden cortar el correo a su fiscal, la pregunta estructural para todo hospital, ministerio, universidad, banco y bufete europeo es sencilla: ¿cuál es nuestra exposición aquí?

La lección estructural

La lección no es “Microsoft hizo algo mal”. Microsoft actuó exactamente como actuaría —y probablemente debe actuar— cualquier proveedor domiciliado en Estados Unidos dentro del marco legal en el que opera.

La lección es que decidir operar las funciones críticas de Europa sobre infraestructura cloud domiciliada en Estados Unidos implica aceptar el riesgo de que el ejecutivo estadounidense pueda decidir, en cualquier momento, que un usuario europeo concreto ya no está autorizado a utilizar el servicio. No es una capacidad teórica. Ya se ha usado.

La exposición tiene tres componentes:

Corte directa a nivel de usuario. El caso de la CPI. Se designa a una persona concreta y se le retira el acceso a los servicios prestados por proveedores estadounidenses. Esto afecta a cualquiera al que alcance el régimen de sanciones de Estados Unidos, incluyendo cada vez más a diplomáticos, abogados, ONG e investigadores que trabajan en zonas políticamente disputadas.

Disrupción a nivel de organización. Las acciones sancionatorias más amplias pueden tener como objetivo entidades enteras. Empresas europeas que comercian con jurisdicciones sancionadas ya se han enfrentado al cese de servicio por parte de proveedores estadounidenses, muchas veces con apenas preaviso.

Acceso a datos mediante procedimiento legal extranjero. La CLOUD Act sigue en vigor. Las autoridades estadounidenses pueden obligar a los proveedores norteamericanos a entregar datos con independencia de dónde se encuentren físicamente. Es algo distinto a las sanciones, pero opera por el mismo canal estructural.

La residencia de datos en Europa no resuelve nada de esto. El centro de datos de Microsoft en Fráncfort que aloja tu información sigue estando operado por una empresa estadounidense sometida a la ley estadounidense. Poner los datos en Europa no cambia la jurisdicción corporativa de la entidad que tiene las llaves de esos datos.

Lo que demostró concretamente el caso de la CPI

Hay varios aspectos que el caso de la CPI hizo empíricamente concretos de un modo en que los debates previos no habían logrado:

Rapidez. El corte fue rápido. No hubo proceso legal prolongado visible para terceros, ni periodo de negociación. Un día el correo funcionaba; al siguiente, no.

Asimetría de opciones. La CPI, como cliente, no tenía recurso significativo. El proveedor, como entidad legal estadounidense, no tenía elección. La decisión no estaba en manos de ninguna de las partes de la relación contractual.

Brecha de visibilidad. El episodio se conoció públicamente porque implicaba a una institución de alto perfil y a un alto cargo. El número de incidentes menos visibles que afectan a clientes europeos más pequeños en circunstancias próximas a las sanciones es desconocido, pero presumiblemente no es cero.

Contención reputacional. El negocio europeo de Microsoft en sentido amplio se vio mínimamente afectado en términos comerciales por el episodio. El riesgo estructural se hizo visible, pero la inercia de la base instalada de clientes corporativos absorbió la presión política.

Qué debería concluir el comprador público europeo

Hay tres conclusiones a nivel de compras que ahora son defendibles de un modo en que no lo eran en 2024.

1. Para cargas de trabajo fiscales, judiciales y jurídicamente sensibles, los proveedores cloud estadounidenses no son apropiados. Esto ya no es una postura cautelar. Existe precedente directo.

2. Para cargas de trabajo con exposición política o diplomática a los regímenes de sanciones estadounidenses, se aplica la misma conclusión. Esto afecta a servicios diplomáticos, organizaciones intergubernamentales, ciertas ONG y a cualquier entidad europea cuyo trabajo toque puntos calientes geopolíticos.

3. Para las cargas comerciales ordinarias, el cálculo se ha desplazado pero no se ha invertido. El coste, la funcionalidad y la integración siguen importando. Pero la respuesta a “¿cuál es el peor escenario?” se ha vuelto lo bastante concreta como para que los registros de riesgos lo reflejen.

Para la mayoría de los compradores del sector público europeo, esto apunta hacia proveedores que estén estructuralmente fuera del alcance legal estadounidense. Eso significa:

  • Proveedores domiciliados en la UE o en Suiza
  • Alojados en centros de datos de la UE o Suiza
  • Que operen bajo derecho de la UE o suizo, sin subordinar entidades legales estadounidenses
  • Idealmente certificados bajo marcos europeos de nube soberana (SecNumCloud, BSI C5, el futuro EUCS)

En el ámbito de la infraestructura cloud, los proveedores que cumplen todo esto son una lista corta: OVHcloud, Scaleway, Hetzner, Infomaniak, los distintos campeones nacionales de Francia, Alemania o Italia, y un puñado de actores especializados.

La capa de gobernanza

Elegir un proveedor no estadounidense no resuelve automáticamente todo. La pregunta de qué pasa si ese proveedor es adquirido por un actor estratégico estadounidense en 2029 es real. Un proveedor europeo vendido a AWS te devuelve al mismo problema del que partiste, con retraso.

Por eso el anuncio de la Fundación Infomaniak en mayo de 2026 es estructuralmente relevante. La propiedad fiduciaria —el mecanismo legal que impide la transferencia de acciones a adquirentes externos— cierra el resquicio que la simple condición de “empresa con sede en la UE” no cubre. Hemos escrito por separado sobre la propiedad fiduciaria y por qué importa para la soberanía tecnológica europea.

Para los equipos de compras que piensan en el riesgo a largo plazo del proveedor, “¿está este proveedor estructuralmente protegido frente a una adquisición por la gran tecnológica estadounidense?” es cada vez más una pregunta que merece la pena plantearse. Se suma a la pregunta ya existente: “¿está este proveedor estructuralmente protegido frente al alcance legal de Estados Unidos?”.

Cómo es la respuesta política de la UE

En los meses posteriores al incidente de la CPI, se aceleraron varios hilos políticos.

Presión renovada sobre los criterios de soberanía del EUCS. Los requisitos de soberanía discutidos en el Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube ganaron apoyo renovado de Estados miembros que antes habían sido ambivalentes. El argumento se desplazó de “¿necesitamos esto?” a “ya lo necesitábamos”.

Directrices de compra cloud-first-EU. Varios Estados miembros —Francia (ya antes), Italia, Bélgica, Países Bajos— emitieron o reforzaron directrices que orientan a los compradores del sector público y de sectores regulados hacia la nube soberana europea siempre que sea viable.

Las cláusulas Microsoft-CPI. Empezaron a aparecer nuevas plantillas de contratación que abordan específicamente los escenarios de corte por sanciones: exigen al proveedor declarar su propia exposición legal y otorgar derechos de notificación y subsanación antes de cualquier interrupción del acceso. Son imperfectas (los proveedores estadounidenses no pueden, legalmente, asumir la mayoría de estos compromisos), pero señalan el cambio en las expectativas del comprador.

Categorización de cargas de trabajo. Los marcos de riesgo empezaron a clasificar las cargas no solo por sensibilidad de los datos, sino por exposición al corte por sanciones. Una carga que “no identifica a personas” pero es “operativamente crítica” recibe una nueva columna en la hoja de cálculo.

Lo que no ha cambiado

La honestidad exige reconocer que, para la mayoría de las empresas europeas, nada de esto cambia la realidad cotidiana. Microsoft 365 sigue siendo el camino más fácil. AWS sigue teniendo el conjunto de funcionalidades más profundo. El coste de migrar fuera de los proveedores estadounidenses es real. Muchos equipos de compras europeos seguirán sopesándolo y seguirán eligiendo proveedores estadounidenses para la mayoría de las cargas.

Eso no es necesariamente incorrecto. El compromiso es real y la conclusión será distinta para distintas organizaciones.

Lo que ha cambiado es que, para determinadas cargas —sensibles a sanciones, jurídicamente críticas, soberanamente esenciales—, el cálculo apunta ahora inequívocamente lejos de los proveedores estadounidenses. Esa categoría siempre estuvo ahí en teoría. Tras 2025, lo está también en la práctica.

La conclusión práctica

Si eres responsable de compras o de riesgos en Europa, la pregunta productiva tras el incidente de la CPI no es “¿deberíamos entrar en pánico con Microsoft?”. La respuesta a eso es no.

La pregunta productiva es: ¿cuáles de nuestras cargas, si mañana se apagaran, generarían un daño que no podemos tolerar, y dependen actualmente esas cargas de la discrecionalidad del poder ejecutivo estadounidense?

Para la mayoría de las organizaciones, ese es un subconjunto pequeño de cargas. Pero no es cero. Y la respuesta a esa pregunta ahora informa la contratación de un modo en que las discusiones abstractas sobre la CLOUD Act durante los últimos siete años no lograron.

La soberanía deja de ser una ideología cuando ocurre algo concreto que demuestra la brecha. El incidente de la CPI de 2025 es la forma que ha adoptado esa demostración concreta.

Si quieres empezar a mapear la exposición de tu propia organización, nuestra herramienta Evaluación de exposición a EE. UU. recorre veinte proveedores estadounidenses habituales y la capa de soberanía que hay debajo de cada uno. O utiliza el asistente de decisión para obtener una preselección de alternativas europeas por categoría.

La lección del incidente de la CPI no es que la soberanía importa. Es que la soberanía deja de ser opcional en cuanto has visto cómo falla.

¿Te resultó útil?

Mantente Informado

Recibe las últimas noticias sobre alternativas europeas y soberanía digital.

Respetamos tu privacidad. Cancela cuando quieras. Sin rastreo, sin spam.