L'analisi tagliente e senza filtri di Antonio Ieranò sulla cybersecurity moderna, tra competenza, irriverenza e verità scomode del cyberspazio.
L’Europa rivendica la sovranità digitale, ma la realtà è più complessa: server all’estero, dipendenza da Big Tech e frammentazione interna minano il controllo.
Dicono che, tra gli austeri corridoi di Bruxelles, si aggiri una creatura incantevole nota come “sovranità digitale”. Un animale talmente raro che, come un unicorno, compare in convegni internazionali, piani strategici e documenti programmatici dell’Unione Europea, salvo poi dissolversi non appena si provi ad afferrarlo davvero. Lo si intravede tra le pagine del GDPR, delle direttive sul Digital Services Act, dell’AI Act in gestazione, e se ne parla con enfasi crescente in ogni meeting sulla sicurezza dei dati o sul futuro dell’innovazione.
Ma esiste davvero, questa benedetta sovranità digitale? Oppure è solo uno slogan, un’aspirazione che si infrange contro la dura realtà di server e piattaforme che risiedono per lo più fuori dai confini europei? Provando a rispondere a questa domanda con un tono un po’ ironico e discorsivo, scopriremo come, a ben vedere, la sovranità funziona unicamente dove arrivano le nostre leggi, dove possiamo imporre regole e, soprattutto, dove ci sono effettivamente soluzioni tecnologiche “made in EU” di cui appropriarsi.
Il problema è che, se un servizio digitale – fosse esso un motore di ricerca, un social network, un sistema di intelligenza artificiale – risiede in Paesi terzi, la giurisdizione europea si ritrova spuntata. Non bastano normative altisonanti né sanzioni potenzialmente miliardarie: se i dati fisicamente si trovano al di là dei confini (e le aziende proprietarie non hanno abbastanza interesse a piegarsi alle regole UE), l’Europa può battere i piedi quanto vuole, ma la propria “sovranità” resta solo teorica.
Il recente scenario geopolitico, segnato da tensioni crescenti fra blocchi, una rinnovata ostilità d’oltre oceano nei confronti delle regole euopee viste come “vincolo alla crescita” e da una rinnovata attenzione alla sicurezza nazionale (nonché all’uso dei dati come arma di influenza), rende l’argomento ancor più attuale e urgente. Difendere la propria “indipendenza” digitale diventa cruciale, ma attuarla concretamente sembra un’impresa titanica.
Partiamo da un concetto tanto semplice quanto spesso ignorato: una legge vale dove lo Stato (o l’Unione di Stati, nel nostro caso) ha giurisdizione. Se ho un servizio internet con server in Francia o in Germania, l’UE può imporre il rispetto del GDPR, effettuare controlli, comminare sanzioni. Ma se questo servizio risiede in Cina, negli Stati Uniti o magari in qualche isola paradisiaca poco collaborativa, le possibilità di enforcement si riducono a minimi storici.
E se è vero che la presenza legale all’interno della unione di una azienda straniera può porre vincoli che si possono esercitare, diverso è se la azienda, prodotto e servizio non hanno nessun vincolo all’interno della unione.
Del resto come europei siamo liberi di accedere a servizi anche fuori EU, e, d’altro canto, l’enforcing di blocchi lascia spazio al ridicolo, vedi i tentativi italici di blocco alla pirateria che colpisce tutto tranne i pirati (che fastidiosa attenzione ai dettagli che ho).
Perché allora si parla così tanto di sovranità digitale? Perché l’UE ha, comunque, un grande potere di mercato: chiunque voglia operare sui nostri 27 Paesi deve “in teoria” adeguarsi alle regole europee, pena esclusione dal mercato. In pratica, però, molte aziende preferiscono annunciare un parziale adeguamento e poi negoziare, oppure cercare di aggirare le regole trasferendo i dati fuori dal nostro perimetro. La recente diatriba in UK sulla richiesta di una backdoor sui servizi Apple che ha portato la azienda americana a togliere la copertura di encryption ai cittadini britannici che usano i suoi servizi è l’ennesimo esempio.
C’è poi la questione dell’abitudine: i cittadini europei usano piattaforme e servizi digitali con sede extraeuropea (social, motori di ricerca, app di messaggistica) in maniera massiccia. Perché cambiare, se i servizi funzionano? Finché non ci sarà una forte spinta, sia politica che dal basso, la maggioranza della popolazione continuerà ad affidarsi a colossi non UE, di fatto indebolendo ulteriormente quella sovranità che i regolatori bramano.
Un esempio illuminante è la storia di Deepseek, un sistema di intelligenza artificiale cinese che ha suscitato l’interesse (o le preoccupazioni) di alcuni Stati membri, in particolare Francia e Italia. Deepseek offre servizi avanzati di analisi e interazione su grandi moli di dati, con algoritmi sofisticati e un’infrastruttura di calcolo poderosa.
Tutto molto bello: l’AI che fa passi da gigante, la concorrenza globale che si fa serrata. Il problema è che, quando Deepseek gestisce dati europei, li immagazzina e li elabora in server che si trovano fuori dall’UE. Questo, secondo i Garanti per la Protezione dei Dati Personali di Francia e Italia, rischia di violare (o comunque di aggirare) le tutele stabilite dal GDPR. In risposta, l’azienda cinese ha sostanzialmente ricordato che la giurisdizione europea non si estende automaticamente sui loro server.
Ecco che la sovranità digitale finisce subito sotto scacco: che senso ha emanare regole sulla privacy se poi i dati volano oltreoceano o, in questo caso, in Estremo Oriente, dove il GDPR non viene applicato? Ci si affida a trattati bilaterali, memorandum d’intesa, magari a qualche “minaccia” commerciale. Ma, come si è visto con altri accordi (tra UE e USA, con i vari Privacy Shield bocciati dalle Corti), queste intese possono cadere al primo colpo di vento giudiziario o geopolitico.
Tutto sommato, si potrebbe pensare: “Beh, allora costruiamo le nostre piattaforme!”. E qui arriva il paradosso. Per rivendicare una sovranità digitale forte, l’UE dovrebbe avere un ampio ventaglio di soluzioni domestiche (motori di ricerca, social network, infrastrutture cloud, piattaforme AI) in grado di competere con l’offerta extraeuropea. Solo così i cittadini, le istituzioni e le imprese potrebbero adottare servizi “made in EU”, soggetti alle regole UE, con dati custoditi su suolo europeo.
Peccato che, finora, i tentativi in questa direzione abbiano avuto fortune alterne. La maggior parte delle persone, per comodità o per abitudine, usa Google Search o Microsoft Bing anziché soluzioni come Qwant (motore di ricerca francese che punta sulla privacy). Su smartphone e PC, dominiamo con i sistemi operativi e i servizi di provenienza USA o, in tempi più recenti, con app cinesi.
Il discorso si ripete con le grandi piattaforme cloud: Amazon Web Services, Microsoft Azure e Google Cloud detengono quote di mercato gigantesche anche in Europa. Certo, alcune hanno aperto data center nel Vecchio Continente, ma rimangono controllate da gruppi statunitensi. Se l’Europa volesse davvero una “cloud sovrana”, dovrebbe puntare su progetti come Gaia-X, cercando di svilupparli e sostenerli con investimenti e, soprattutto, con una strategia unitaria degli Stati membri.
Se guardiamo poi il mondo dei social network e dell’informazione, la situazione appare ancor più intricata. Pensiamo alla presunta manipolazione algoritmica messa in atto da colossi come Facebook, X (ex Twitter) e TikTok: i meccanismi con cui i contenuti vengono mostrati (o nascosti) agli utenti sono spesso opachi, e l’UE sta cercando di regolare la questione con il Digital Services Act. Peccato che la richiesta di 2verità” si scontri con la politica de “la mia menzogna” ha lo stessodiritto della “tua verità” altrimenti sei censore. Vi ricorda qualcosa?
Se la piattaforma risponde a logiche d’impresa e normative di un Paese esterno, il margine d’azione europeo si riduce. Si innescano bracci di ferro che, come già successo in India, mettono in evidenza il conflitto tra la volontà di uno Stato (o di un’unione sovranazionale) di imporre regole e la forza economico-mediatica delle grandi piattaforme.
In aggiunta, lo scenario geopolitico degli ultimi anni – con tensioni sempre più esplicite tra blocchi di potere – fa sì che il controllo delle informazioni diventi un’arma strategica. La sovranità digitale non è più solo un lusso burocratico: quando un social network o un motore di ricerca può influenzare il dibattito pubblico di un Paese (o di un intero continente), chi lo controlla ottiene un potere di condizionamento enorme. E se quell’entità è esterna all’UE, la nostra capacità di porre limiti alla propaganda, alle fake news, o all’occultamento di notizie scomode, rimane spesso marginale.
Un altro elemento che svuota di significato la sovranità digitale è il furto di dati. Se un attacco informatico ben piazzato estrae terabyte di informazioni dai server europei e li trasferisce all’estero, addio protezione. Il GDPR non ha poteri miracolosi per riportare indietro quei bit, né c’è un meccanismo universale che obblighi i governi o le autorità straniere a restituirceli.
Dall’altro lato, esiste il rischio di vere e proprie guerre digitali (cyber warfare), in cui potenze esterne o gruppi criminali agiscono per destabilizzare Paesi o rubare segreti industriali e militari. La questione, a questo punto, non tocca più solo la privacy del singolo cittadino, ma la sicurezza nazionale e persino la tenuta democratica di uno Stato.
Lo strumento legislativo, per quanto necessario, resta uno scudo piuttosto fragile di fronte a minacce di questa natura. Servono invece investimenti in cybersecurity, cooperazione tra Stati membri, protocolli di difesa comuni, e una presa di coscienza che la sovranità digitale è parte integrante della sovranità in senso stretto.
Fortunatamente, qualche barlume di speranza esiste. Il progetto Gaia-X – nato dall’iniziativa congiunta di Francia e Germania, poi esteso ad altri Paesi e partner privati – mira a realizzare un’infrastruttura cloud federata europea, con standard rigorosi in materia di tutela dei dati, interoperabilità e trasparenza. Se Gaia-X riuscisse a competere alla pari con Amazon, Microsoft e Google, le aziende europee avrebbero almeno la possibilità di scegliere un fornitore “nativo” UE, soggetto alle nostre regole.
Allo stesso modo, Qwant (motore di ricerca francese) cerca di offrire un’esperienza di navigazione più rispettosa della privacy, pur faticando a conquistare quote di mercato rilevanti. Tra i nomi nel panorama dell’intelligenza artificiale, possiamo citare la tedesca Aleph Alpha, la francese Hugging Face (ormai multinazionale, ma con un cuore europeo) e l’italiana Expert.ai, specializzata in analisi semantica.
Tutte iniziative encomiabili, che però soffrono di due limiti strutturali: da una parte, i fondi a disposizione sono spesso inferiori rispetto a quelli dei colossi extraeuropei; dall’altra, il pubblico europeo non sempre è disposto a passare a un servizio meno “famoso” o meno integrato con l’ecosistema di cui ormai fa parte (si pensi ai servizi di Google, che spaziano dalle mail alla suite da ufficio, fino al caricamento di foto e video).
Come se non bastasse, l’Europa sconta divisioni interne. Ogni Paese, a volte ogni Ministero, ha le sue priorità e i suoi cavilli. Alcune nazioni vedono di buon occhio collaborazioni con aziende statunitensi, altre con la Cina, altre ancora vorrebbero un “mercato unico digitale” realmente integrato. Ma quando si tratta di stanziare investimenti e costruire un ecosistema coeso, emergono rivalità e timori che un Paese finisca per avvantaggiarsi rispetto a un altro.
Si può parlare quanto si vuole di un “mercato unico” in termini astratti, ma la realtà mostra che i regolamenti europei vengono recepiti in modi leggermente diversi da Stato a Stato, e i grandi progetti (vedi Gaia-X) procedono spesso a rilento. Così, mentre l’UE cerca di comporre un puzzle complicatissimo, i giganti extraeuropei si muovono con rapidità e approfittano delle economie di scala di un bacino d’utenza globale.
Questo scenario è il più grande ostacolo alla realizzazione di un’autentica sovranità digitale: se neanche l’UE riesce a parlare con una sola voce, come può pretendere di gestire i propri dati quando si interfacciano con l’esterno?
Tra gli ultimi cavalli di battaglia della strategia europea c’è l’AI Act, un regolamento volto a disciplinare gli algoritmi di intelligenza artificiale, imponendo criteri di trasparenza, sicurezza e “affidabilità” (quello che in inglese viene chiamato “trustworthiness”). L’idea è di garantire che chi sviluppa sistemi AI – dall’automazione industriale alla medicina, passando per la profilazione degli utenti – rispetti certi standard, pena sanzioni salate e persino limitazioni d’uso sul territorio UE.
Sulla carta, è un progetto ambizioso: l’Europa vuole diventare un riferimento globale nel campo dell’“AI etica”, come ha già fatto con il GDPR in materia di privacy. Ma funzionerà? Dipende da quanto l’Europa saprà far valere il proprio peso economico e politico, e da quanto le Big Tech o le AI emergenti (vedi la cinese Deepseek) riterranno che il mercato europeo valga lo sforzo di conformarsi.
Se le aziende extraeuropee scoprono di poter prosperare altrove senza piegarsi alle complicate norme UE, potrebbero scegliere di offrire versioni limitate dei propri servizi da noi o addirittura di ignorare il mercato europeo, lasciandoci con un gap tecnologico rispetto al resto del mondo. Sarebbe una situazione grottesca in cui la “sovranità digitale” finirebbe per penalizzare gli stessi cittadini, che si vedrebbero preclusi i benefici dell’innovazione globale.
Non va dimenticato che tutto il dibattito sulla sovranità digitale si intreccia con le crescenti tensioni geopolitiche. Se l’UE non sviluppa infrastrutture autonome, rischia di trovarsi schiacciata in una competizione tra blocchi, in cui la partita si gioca su controllo dei dati, possesso di tecnologie-chiave, influenza mediatica e capacità di condurre operazioni cyber.
Prendiamo il 5G: diversi Paesi UE hanno iniziato a porre limiti o divieti all’utilizzo di apparecchiature fornite da giganti cinesi, temendo possibili backdoor o vulnerabilità sfruttabili in caso di conflitto. Tuttavia, tali restrizioni scatenano critiche per eventuali ritorsioni commerciali, e non tutti gli Stati si muovono in modo coerente. Il risultato è un mosaico di scelte diverse, con alcune reti affidate a fornitori cinesi e altre a fornitori europei o americani, in un clima di perenne incertezza. Il paradosso è che sul 5G l’Europa è un player globale (con buna pace degli stati uniti che sono fuori dai giochi) ma anche in presenza di capacità tecnologica e produttiva si fa fatica ad avere un approccio univoco.
Traslando questo discorso sul digitale, la sovranità è vitale se si pensa che in caso di conflitto (anche non armato) una potenza esterna potrebbe manipolare piattaforme di AI o servizi cloud per danneggiare economie, infrastrutture e persino opinioni pubbliche di vari Paesi UE. È una questione di sicurezza nazionale ed europea, e la mancanza di soluzioni unitarie ci rende più vulnerabili a pressioni esterne.
Viene allora spontaneo chiedersi: “Come se ne esce?” Ecco qualche spunto, da prendere con la dovuta ironia ma anche con un po’ di pragmatismo.
In conclusione, la sovranità digitale è come un unicorno dai colori sgargianti: ci piace l’idea di immaginarlo pascolare in un idilliaco prato normativo dove Bruxelles impone leggi sagge e lungimiranti, e i dati europei vengono coccolati da server tutti interni all’Unione. Ma la realtà è che questo unicorno rimane una creatura per lo più mitologica, in quanto il mondo digitale è sconfinato e i nostri regolamenti svaniscono appena si superano i confini giuridici UE.
Questo non significa arrendersi: significa semplicemente riconoscere i limiti di ciò che si può fare e lavorare per rafforzare i settori in cui una vera autonomia è possibile. Nel frattempo, è bene non farsi troppe illusioni quando si proclamano “miracolose” normative extra-territoriali. Il vero potere europeo di negoziazione sarà sempre legato al nostro peso economico e alla capacità di offrire un mercato appetibile per i fornitori esterni. E, se un’azienda considera l’Europa irrinunciabile, forse allora deciderà davvero di adeguarsi.
Esperto di cybersecurity con oltre 20 anni di esperienza, celebre per il suo approccio istrionico e spesso irriverente, e per la sua voce fuori dal coro. In questa rubrica condivide analisi approfondite e opinioni schiette su tematiche legate alla cybersecurity, mantenendo una prospettiva indipendente dal suo impegno professionale