Quando Microsoft ha tagliato fuori la CPI: l'incidente del 2025 che ha cambiato la politica europea sul cloud

di BetterInEurope | | 9 min di lettura
digital-sovereigntyEU-toolscompliancecloud-sovereigntygovernance

L’incidente, in cinque frasi

Nel 2025 gli Stati Uniti hanno imposto sanzioni al procuratore capo della Corte penale internazionale (CPI) in risposta a indagini della Corte che il governo statunitense non condivideva. Poco dopo, il procuratore ha perso l’accesso alla propria email Microsoft. Microsoft, in quanto società con sede legale negli Stati Uniti, non aveva alcuna opzione legale per rifiutarsi di rispettare il regime sanzionatorio. La CPI — un organismo internazionale istituito da un trattato, con sede all’Aia e formale status di Stato ospitante con i Paesi Bassi — ha scoperto, nel pieno di un’indagine, che l’infrastruttura email che reggeva la propria funzione inquirente dipendeva dalla discrezionalità dell’esecutivo statunitense. È la dimostrazione più concreta finora del fatto che “residenza dei dati in Europa” non significa affatto “sovranità digitale.”

Perché proprio questo incidente conta

Il dibattito politico europeo sulla sovranità cloud ha trattato per anni il CLOUD Act e la linea giurisprudenziale Schrems come rischi teorici. Sì, in linea di principio, le autorità statunitensi potrebbero obbligare le società americane a divulgare dati conservati ovunque nel mondo. Sì, in linea di principio, i trasferimenti transatlantici di dati operano sotto regimi giuridici fragili. Ma per la maggior parte degli uffici acquisti questa restava una preoccupazione astratta. Tutti continuavano a firmare contratti Microsoft 365.

L’incidente della CPI è ciò che ha spostato la questione da “preoccupazione astratta” a “dimostrata in modo diretto.” Un procuratore in carica di uno dei tribunali internazionali più importanti al mondo ha perso lo strumento di lavoro più elementare — l’email — a causa di una decisione presa a Washington. Non una decisione di un tribunale statunitense. Un ordine esecutivo di sanzioni, applicato a una società statunitense, eseguito nei confronti di un’istituzione con sede in Europa che aveva presumibilmente fatto un’ampia due diligence prima di adottare Microsoft 365.

Se la CPI può vedersi tagliare l’email del proprio procuratore, la domanda strutturale per ogni ospedale, ministero, università, banca e studio legale europeo è semplice: qual è davvero la nostra esposizione?

La lezione strutturale

La lezione non è “Microsoft ha sbagliato qualcosa.” Microsoft ha agito esattamente come si sarebbe comportato qualsiasi fornitore con sede negli Stati Uniti e, anzi, come probabilmente era obbligata ad agire, dato il quadro normativo in cui opera.

La lezione è che la scelta di far girare operazioni europee critiche su infrastruttura cloud con sede statunitense comporta l’accettazione del rischio che l’esecutivo statunitense possa, in qualsiasi momento, decidere che un determinato utente europeo non è più autorizzato a usare il servizio. Non è una capacità teorica. È stata esercitata.

L’esposizione ha tre componenti:

Disconnessione diretta a livello di utente. Il caso CPI. Un singolo individuo viene designato e il suo accesso ai servizi forniti dagli Stati Uniti viene interrotto. Vale per chiunque venga toccato dal regime sanzionatorio statunitense — categoria che include sempre più diplomatici, avvocati, ONG e ricercatori attivi in aree politicamente controverse.

Interruzione a livello di organizzazione. Sanzioni più ampie possono colpire interi soggetti. Aziende europee che commerciano con giurisdizioni sanzionate hanno già subito la cessazione di servizi da fornitori statunitensi, spesso con pochissimo preavviso.

Accesso ai dati tramite procedimento giuridico estero. Il CLOUD Act resta in vigore. Le autorità statunitensi possono obbligare i fornitori statunitensi a divulgare dati indipendentemente da dove i dati siano fisicamente collocati. È distinto dalle sanzioni, ma opera attraverso lo stesso canale strutturale.

La residenza europea dei dati non risolve nessuno di questi punti. Il data center Microsoft di Francoforte che ospita i vostri dati è comunque gestito da una società americana soggetta al diritto americano. Mettere i dati in Europa non cambia la giurisdizione societaria dell’entità che ne detiene le chiavi.

Cosa ha dimostrato concretamente il caso CPI

Alcune cose che il caso CPI ha reso empiricamente concrete in un modo che le discussioni precedenti non avevano raggiunto:

Velocità. La disconnessione è avvenuta in fretta. Nessun lungo processo legale visibile all’esterno, nessuna fase di negoziazione. Un giorno l’email funzionava; il giorno dopo no.

Asimmetria delle opzioni. La CPI, in quanto cliente, non aveva alcun ricorso significativo. Il fornitore, in quanto soggetto giuridico statunitense, non aveva scelta. La decisione non era nelle mani di nessuna delle due parti del rapporto contrattuale.

Carenza di visibilità. L’episodio è diventato pubblico perché riguardava un’istituzione di alto profilo e un funzionario di alto profilo. Il numero di incidenti meno visibili che hanno coinvolto clienti europei più piccoli in circostanze prossime alle sanzioni è ignoto, ma presumibilmente non è zero.

Contenimento reputazionale. L’attività europea complessiva di Microsoft è stata commercialmente colpita in modo minimo dall’episodio. Il rischio strutturale è diventato visibile, ma l’inerzia della base installata di clienti enterprise ha assorbito la pressione politica.

Cosa dovrebbe concludere il procurement europeo

Tre conclusioni a livello di procurement sono oggi difendibili in un modo che nel 2024 non lo erano.

1. Per i carichi di lavoro inquirenti, giudiziari e legalmente sensibili, i fornitori cloud statunitensi non sono adeguati. Non è più una posizione precauzionale. C’è un precedente diretto.

2. Per i carichi di lavoro con esposizione politica o diplomatica ai regimi sanzionatori statunitensi vale la stessa conclusione. Riguarda i servizi diplomatici, le organizzazioni intergovernative, alcune ONG e qualsiasi entità europea il cui lavoro tocchi punti caldi geopolitici.

3. Per i carichi di lavoro commerciali ordinari, il calcolo si è spostato ma non si è ribaltato. Costo, funzionalità e integrazione contano ancora. Ma la risposta alla domanda “qual è lo scenario peggiore” è diventata abbastanza concreta da meritare un posto nei registri dei rischi.

Per la maggior parte dei buyer del settore pubblico europeo, il discorso porta verso fornitori strutturalmente fuori dalla portata del diritto statunitense. Ciò significa:

  • Fornitori con sede legale in UE o in Svizzera
  • Ospitati in data center UE o svizzeri
  • Operanti sotto diritto UE o svizzero senza subordinazione a entità giuridiche statunitensi
  • Idealmente certificati nei quadri europei di cloud sovrano (SecNumCloud, BSI C5, il futuro EUCS)

Nello spazio dell’infrastruttura cloud, i fornitori che soddisfano tutti questi requisiti sono una lista breve: OVHcloud, Scaleway, Hetzner, Infomaniak, i vari cloud campioni nazionali di Francia/Germania/Italia e una manciata di operatori specializzati.

Il livello della governance

Scegliere un fornitore non statunitense non risolve automaticamente tutto. La domanda cosa succede se quel fornitore viene acquisito da un attore strategico statunitense nel 2029 è reale. Un fornitore europeo venduto ad AWS vi riporta esattamente al problema da cui eravate partiti, con qualche anno di ritardo.

Per questo motivo l’annuncio della Fondazione Infomaniak di maggio 2026 è strutturalmente significativo. La steward ownership — il meccanismo giuridico che impedisce il trasferimento di azioni a soggetti acquirenti esterni — chiude la falla che la semplice formula “con sede in UE” non chiude. Abbiamo scritto separatamente della steward ownership e del perché conta per la sovranità tecnologica europea.

Per gli uffici acquisti che pensano al rischio di lungo periodo sui fornitori, “questo fornitore è strutturalmente protetto contro un’acquisizione da parte del tech statunitense?” è sempre più una domanda che vale la pena porre. Si aggiunge alla domanda già esistente: “questo fornitore è strutturalmente protetto contro la portata del diritto statunitense?”

Come si sta orientando la risposta politica dell’UE

Nei mesi successivi all’incidente della CPI, diversi filoni politici hanno accelerato.

Spinta sui criteri di sovranità di EUCS. I requisiti contestati di sovranità nello schema europeo di certificazione cibernetica per i servizi cloud hanno trovato nuovo sostegno da Stati membri che in precedenza erano ambivalenti. L’argomento si è spostato da “ne abbiamo bisogno?” a “ne avevamo già bisogno.”

Linee guida per un procurement cloud-first europeo. Diversi Stati membri — Francia (già da tempo), Italia, Belgio, Paesi Bassi — hanno emanato o rafforzato linee guida che spingono i buyer del settore pubblico e dei settori regolati verso il cloud sovrano europeo, dove fattibile.

Le clausole Microsoft-CPI. Hanno iniziato a comparire nuovi modelli di gara che affrontano specificamente gli scenari di disconnessione per sanzioni — chiedendo ai fornitori di dichiarare la propria esposizione legale e di garantire diritti di preavviso e di rimedio prima della cessazione dell’accesso. Sono imperfette (i fornitori statunitensi non possono assumere legalmente la maggior parte di questi impegni) ma segnalano lo spostamento delle aspettative dei buyer.

Categorizzazione dei carichi di lavoro. I framework di rischio hanno iniziato a classificare i carichi di lavoro in base all’esposizione a una disconnessione per sanzioni, non solo in base alla sensibilità dei dati. Un workload che non contiene dati personali ma è “operativamente critico” ottiene una nuova colonna nel foglio di calcolo.

Cosa non è cambiato

L’onestà impone di riconoscere che, per la maggior parte delle aziende europee, niente di tutto questo cambia la quotidianità. Microsoft 365 resta il percorso più semplice. AWS resta l’offerta funzionale più profonda. Il costo di migrazione lontano dai fornitori statunitensi è reale. Molti uffici acquisti europei continueranno a soppesare la questione e a scegliere fornitori statunitensi per la maggior parte dei carichi.

Non è necessariamente sbagliato. Il trade-off è reale e la conclusione sarà diversa per organizzazioni diverse.

Ciò che è cambiato è che per certi carichi di lavoro — sensibili alle sanzioni, legalmente critici, essenziali per la sovranità — il calcolo punta ora senza ambiguità lontano dai fornitori statunitensi. Quella categoria c’è sempre stata in teoria. Dopo il 2025, c’è anche nella pratica.

L’insegnamento operativo

Se siete un responsabile europeo del procurement o del rischio, la domanda produttiva uscita dall’incidente della CPI non è “dobbiamo farci prendere dal panico per Microsoft?” La risposta a questa domanda è no.

La domanda produttiva è: quali dei nostri carichi di lavoro, se domani si spegnessero, creerebbero un danno che non possiamo tollerare, e quei carichi dipendono attualmente dalla discrezionalità dell’esecutivo statunitense?

Per la maggior parte delle organizzazioni si tratta di un sottoinsieme limitato di workload. Ma non è zero. E la risposta a quella domanda oggi orienta il procurement in un modo che sette anni di discussioni astratte sul CLOUD Act non hanno mai ottenuto.

La sovranità smette di essere un’ideologia quando accade qualcosa di concreto che dimostra il divario. L’incidente CPI del 2025 è esattamente questa dimostrazione concreta.

Se volete iniziare a mappare l’esposizione della vostra organizzazione, il nostro strumento di valutazione dell’esposizione agli USA passa in rassegna venti fornitori statunitensi comuni e il livello di sovranità sottostante a ciascuno. Oppure provate la procedura guidata per ottenere una rosa di alternative europee a livello di categoria.

La lezione dell’incidente CPI non è che la sovranità conta. È che la sovranità smette di essere opzionale una volta che si è visto come può venire meno.

Ti è stato utile?

Resta Aggiornato

Ricevi le ultime notizie sulle alternative europee e la sovranità digitale.

Rispettiamo la tua privacy. Cancellati in qualsiasi momento. Nessun tracciamento, nessuno spam.