Glossario · Legge USA sulla sorveglianza CLOUD Act (Clarifying Lawful Overseas Use of Data Act)
Una legge federale statunitense del 2018 che consente alle autorità USA di obbligare le aziende americane e le loro filiali a consegnare dati, indipendentemente dal luogo in cui i dati sono fisicamente archiviati.
## Cosa fa concretamente il CLOUD Act
Il Clarifying Lawful Overseas Use of Data Act (H.R. 4943) è stato approvato dal Congresso degli Stati Uniti nel marzo 2018 e ha modificato lo Stored Communications Act. Fa due cose:
1. Consente alle forze dell'ordine statunitensi di obbligare i fornitori di servizi con sede negli USA (e le loro filiali estere) a divulgare i dati di cui 'possiedono, controllano o hanno la custodia' — indipendentemente dal luogo in cui i dati sono fisicamente archiviati
2. Stabilisce un quadro per 'accordi esecutivi' che consentono ai governi stranieri di richiedere dati direttamente ai fornitori USA
La prima disposizione è quella che conta per le aziende europee.
## Perché è importante per i dati europei
Prima del CLOUD Act, le aziende statunitensi che archiviavano dati di utenti europei su server europei potevano plausibilmente sostenere che i dati fossero al di fuori della portata legale degli USA. Dopo il CLOUD Act, questo argomento non funziona più — se l'azienda ha sede negli USA o è controllata da entità statunitensi, i dati sono raggiungibili indipendentemente dalla loro posizione fisica.
Questo si applica a:
- Google (incluso tutto Google Cloud, Google Workspace, servizi Google)
- Microsoft (Microsoft 365, Azure, tutti i servizi Microsoft)
- Amazon (AWS, tutti i servizi Amazon)
- Apple (iCloud, tutti i servizi Apple)
- Meta (Facebook, WhatsApp, metadati Instagram)
- La maggior parte dei provider SaaS USA, indipendentemente dalle dimensioni
La legge crea un reale conflitto con il GDPR. Il diritto UE sulla privacy vieta i trasferimenti di dati non autorizzati; il CLOUD Act può imporli. Per le aziende europee che utilizzano provider statunitensi, questo crea un'esposizione legale continua.
## Quali tutele esistono
Esistono tre garanzie teoriche, con efficacia pratica variabile:
**1. Clausole contrattuali standard (SCC)** — meccanismi contrattuali tra entità UE e non UE. Aggiornate dopo Schrems II per richiedere garanzie aggiuntive. Efficaci per il trattamento ordinario; insufficienti contro la coercizione legale diretta degli USA.
**2. Crittografia con chiavi controllate dall'UE** — se i dati sono crittografati e il fornitore USA non possiede le chiavi, una divulgazione forzata produce solo testo cifrato. Operativamente complessa ma protezione genuina.
**3. Trattamento solo da entità residenti nell'UE** — utilizzando provider con sede UE senza legami societari statunitensi, evitando del tutto la giurisdizione del CLOUD Act.
Di queste, solo la terza fornisce una protezione categorica. Le prime due riducono il rischio ma non lo eliminano.
## Perché l'affermazione di 'residenza dei dati nell'UE' non basta
I provider statunitensi (Microsoft, Google, AWS) commercializzano la 'residenza dei dati nell'UE' — affermando che i dati dei clienti europei restano su server europei. Questo è tecnicamente vero ma giuridicamente insufficiente.
Il CLOUD Act si applica in base alla nazionalità dell'azienda e al controllo societario, non alla posizione del server. Una filiale Microsoft Ireland è comunque soggetta al CLOUD Act perché Microsoft Corporation (capogruppo USA) ha il controllo societario. La residenza dei dati nell'UE su infrastrutture controllate dagli USA non sfugge alla giurisdizione del CLOUD Act.
## Cosa è cambiato nel 2024-2026
Il CLOUD Act è stato utilizzato in volumi crescenti dal 2018. La rendicontazione pubblica su casi specifici è limitata (la Sezione 2511 del Titolo 18 generalmente vieta la divulgazione dei mandati CLOUD Act), ma i report di trasparenza dei principali provider USA mostrano un volume costantemente crescente di richieste di dati transfrontaliere.
La risposta europea ha accelerato:
- **Schrems II** (2020) — ha invalidato il Privacy Shield specificamente a causa delle leggi USA sulla sorveglianza, incluso il CLOUD Act
- **Strategia europea sui dati** — sottolinea l'infrastruttura cloud controllata dall'UE come priorità strategica
- **Iniziativa GAIA-X** — federazione cloud europea esplicitamente progettata per fornire alternative immuni dal CLOUD Act
- **Requisiti di cloud sovrano** — i quadri francese (Cloud de Confiance) e tedesco (BSI C5) richiedono specificamente la protezione dal CLOUD Act
## Implicazioni pratiche per le aziende europee
Per la maggior parte delle aziende europee, la risposta pratica al CLOUD Act nel 2026 è:
1. **Classificare la sensibilità dei dati.** Non tutti i dati hanno pari esposizione al CLOUD Act. I dati aziendali generali possono restare su provider USA con controlli documentati. I dati sensibili (legali, medici, dati personali di individui ad alto rischio) dovrebbero essere spostati a provider controllati dall'UE.
2. **Utilizzare provider controllati dall'UE per carichi di lavoro sensibili.** [Hetzner](/it/alternative/hetzner-vs-aws/), [Scaleway](/it/alternative/scaleway-vs-google-cloud/), [OVHcloud](/it/alternative/ovhcloud-vs-microsoft-azure/), [Infomaniak](/it/alternative/infomaniak-vs-digitalocean/) sono con sede nell'UE e senza controllo societario USA.
3. **Per il settore pubblico e le industrie regolamentate**, il cloud sovrano (Open Telekom Cloud, T-Systems Sovereign Cloud, Cloud de Confiance francese) è sempre più richiesto.
Il CLOUD Act non scomparirà. Il quadro giuridico che lo circonda continuerà a evolversi, ma la questione di giurisdizione sottostante è strutturale — affrontata scegliendo i provider, non configurandoli.
Ti è stato utile?
Grazie per il tuo feedback!