Glossario · Legge USA sulla sorveglianza FISA 702 (Foreign Intelligence Surveillance Act, Section 702)
Legge USA sulla sorveglianza che autorizza la raccolta massiva delle comunicazioni di persone non statunitensi presso fornitori con sede negli USA. Insieme al CLOUD Act, è la ragione strutturale per cui i trasferimenti di dati UE-USA continuano a crollare sotto le sfide della linea Schrems.
## Che cos'è davvero FISA 702
La Sezione 702 del **Foreign Intelligence Surveillance Act** (FISA) è una legge statunitense, promulgata nel 2008 e riautorizzata periodicamente (l'ultima volta nel 2024), che autorizza il **Director of National Intelligence e l'Attorney General statunitensi** a obbligare i fornitori di comunicazioni elettroniche con sede negli USA a consegnare le comunicazioni di **persone non statunitensi ragionevolmente ritenute situate al di fuori degli Stati Uniti**.
I dati raccolti sono utilizzati per finalità di intelligence estera e possono essere interrogati da FBI, CIA, NSA e altre agenzie statunitensi.
## Perché FISA 702 è strutturalmente importante
La proprietà fondamentale di FISA 702 è che:
1. Si applica a **tutti i fornitori di servizi di comunicazione elettronica con sede negli USA**, incluse le grandi aziende tech (Google, Microsoft, Meta, Apple, ecc.)
2. Riguarda le **persone non statunitensi**, cioè chiunque al di fuori degli Stati Uniti, inclusi cittadini e imprese dell'UE
3. Opera senza uno standard di **probable cause** per i bersagli non statunitensi
4. Opera con un **controllo giudiziario minimo** (il tribunale FISA approva ampi programmi di targeting, non singole sorveglianze)
5. Non fornisce alcun **rimedio effettivo** alle persone non statunitensi interessate
Questo è il motivo strutturale per cui i trasferimenti di dati UE-USA vengono ripetutamente invalidati.
## I programmi 'PRISM' e 'Upstream'
FISA 702 autorizza due principali programmi di raccolta:
### PRISM
Raccolta diretta presso i fornitori statunitensi. La NSA invia un 'selettore' (indirizzo e-mail, numero di telefono, ecc.) e il fornitore consegna le comunicazioni che corrispondono a tale selettore. Rivelato da Edward Snowden nel 2013.
### Upstream
Raccolta dall'infrastruttura di backbone di Internet. Consente la raccolta di comunicazioni che transitano sul territorio statunitense (incluse comunicazioni tra due parti non statunitensi che toccano infrastrutture USA).
Entrambi i programmi sono gestiti ai sensi di FISA 702.
## Come FISA 702 entra in collisione con il GDPR
La giurisprudenza della Corte di giustizia dell'UE (CGUE), in particolare [Schrems I](/it/glossary/schrems-i/) (2015) e [Schrems II](/it/glossary/schrems-ii/) (2020), ha stabilito che:
1. I dati personali UE possono essere trasferiti verso giurisdizioni extra-UE solo se queste offrono una **protezione essenzialmente equivalente** al GDPR
2. Il diritto statunitense ai sensi di FISA 702 **non** fornisce tale protezione perché:
- Consente la raccolta in massa senza probable cause individuale
- Prende di mira persone non statunitensi senza limiti di proporzionalità
- Non offre un rimedio giudiziario effettivo alle persone non statunitensi
3. Pertanto, qualsiasi meccanismo di trasferimento dati UE-USA che si basi su tutele giuridiche statunitensi è strutturalmente vulnerabile
Per questo **Safe Harbor → Privacy Shield → DPF UE-USA** è una catena di quadri successivi, ciascuno invalidato o messo in discussione sullo stesso problema di fondo.
## EO 14086 e il Data Privacy Framework
Nel 2022 il Presidente Biden ha firmato l'**Executive Order 14086** che ha stabilito:
- Nuovi limiti alla signals intelligence statunitense (proporzionalità, targeting individuale)
- Un meccanismo di ricorso a due livelli per le persone non statunitensi (Civil Liberties Protection Officer + Data Protection Review Court)
- Procedure statunitensi aggiornate per la sorveglianza FISA 702
La Commissione europea ha utilizzato l'EO 14086 come base per adottare la decisione di adeguatezza del **[Data Privacy Framework UE-USA](/it/glossary/data-privacy-framework/)** nel luglio 2023.
I critici sostengono che l'EO 14086 non affronti pienamente i rilievi di Schrems II perché:
- È un ordine esecutivo (revocabile da un'amministrazione futura)
- La 'Data Protection Review Court' siede all'interno del potere esecutivo (non realmente indipendente)
- L'autorità di raccolta in massa resta intatta
- Lo squilibrio fondamentale tra la sicurezza nazionale statunitense e i diritti delle persone non statunitensi non cambia
Schrems e noyb hanno annunciato che impugneranno il DPF UE-USA sulla base di FISA 702. È atteso un esame della CGUE nel 2026-2028.
## Perché FISA 702 conta per le aziende europee
### 1. Riguarda qualsiasi SaaS con sede negli USA
Se utilizzi Google Workspace, Microsoft 365, AWS, Slack o sostanzialmente qualsiasi SaaS con sede negli USA, i tuoi dati ricadono nel raggio di FISA 702.
### 2. Non è risolvibile per contratto
Nessuna SCC, BCR o altro meccanismo contrattuale può prevalere sugli obblighi di sorveglianza statunitense gravanti sui fornitori USA. Il fornitore può essere legalmente costretto a consegnare i dati e può essere soggetto a gag order.
### 3. Le operazioni nell'UE non aiutano
Le region UE e le filiali europee dei fornitori statunitensi restano controllate dalle case madri USA, soggette a FISA 702 (e al CLOUD Act). Le region UE aiutano sulla latenza e sulla residenza dei dati, ma non sulla giurisdizione.
### 4. Spinge la domanda di alternative genuinamente europee
Il problema strutturale di FISA 702 è la principale ragione per cui le imprese europee non possono raggiungere una vera conformità al GDPR con i fornitori statunitensi ed è il principale motore di domanda per le alternative UE.
## FISA 702 vs CLOUD Act
Le due leggi sono complementari:
| | FISA 702 | CLOUD Act |
|--|----------|-----------|
| Finalità | Raccolta di intelligence estera | Raccolta di prove penali |
| Bersagli | Persone non statunitensi all'estero | Chiunque (incluse persone nell'UE) |
| Procedura | Programmi di massa, targeting ampio | Mandati e citazioni specifiche |
| Portata | Fornitori di comunicazioni | Qualsiasi fornitore di servizi che detenga dati |
| Notifica all'interessato | In genere no | Spesso soggetta a gag order |
| Rimedio effettivo per persona UE | Minimo (DPRC nell'ambito del DPF) | Minimo |
Entrambe ostacolano una reale adeguatezza al GDPR dei fornitori statunitensi.
## Cosa porterà il 2026-2027
- **Esame della CGUE** di nuove sfide della linea Schrems al DPF UE-USA
- **Battaglie sulla riautorizzazione di FISA** al Congresso USA
- **Continua escalation della sorveglianza statale** che incide sul panorama delle minacce
- **Continuo sviluppo del cloud sovrano europeo** come risposta strutturale
- **Nessuna riforma fondamentale** della sorveglianza USA è prevista
## Implicazioni pratiche
Per gli acquirenti tech europei:
- **Per i carichi sensibili** (legale, sanità, finanza, settore pubblico): considerare i fornitori statunitensi come strutturalmente esposti, indipendentemente dal meccanismo contrattuale
- **Per i carichi generali**: bilanciare l'esposizione a FISA 702 con altri fattori
- **Per la strategia di lungo periodo**: presumere che il DPF UE-USA possa essere invalidato e pianificare di conseguenza
- **Le alternative con sede UE** aggirano interamente FISA 702
Per i professionisti europei delle politiche pubbliche:
- Una riforma di FISA 702 negli USA è improbabile in un orizzonte prevedibile
- Il problema strutturale persisterà senza modifiche legislative statunitensi
- La risposta europea è infrastruttura sovrana, non rattoppi contrattuali
Ti è stato utile?
Grazie per il tuo feedback!