Una notizia passata finora sotto traccia nel dibattito italiano rischia di avere implicazioni molto più profonde di molte dichiarazioni politiche sulla sovranità digitale. Come riportato da The Register, una corte canadese ha ordinato alla francese OVHcloud, principale cloud provider europeo, di consegnare dati relativi a clienti ospitati su server situati in Europa, in particolare in Francia e nel Regno Unito.
La richiesta arriva dalla Royal Canadian Mounted Police nell’ambito di un’indagine di sicurezza nazionale avviata nel 2024, e non è passata attraverso i tradizionali canali di cooperazione giudiziaria internazionale, come i Mutual Legal Assistance Treaties. Le autorità canadesi hanno invece fatto leva sulla presenza di una controllata di OVH in Canada per chiedere direttamente il trasferimento dei dati. Una scelta che ha messo il gruppo in una posizione giuridicamente impossibile: da un lato l’obbligo di ottemperare a un ordine giudiziario canadese, dall’altro il divieto, previsto dalla legge francese, di trasferire dati al di fuori dei canali ufficiali, con sanzioni anche penali.
Perché il caso OVH conta più di quanto sembri
Al di là dell’esito del contenzioso, il significato politico e strategico del caso è evidente. Un provider europeo, spesso citato come esempio di “cloud sovrano”, si scopre vulnerabile a richieste di accesso ai dati da parte di un’autorità extra-UE non perché americano, ma perché globale. È un punto che mette in crisi un presupposto molto diffuso nel dibattito europeo: l’idea che la sovranità digitale dipenda dalla nazionalità del fornitore.
Questo episodio mostra che, in un’economia digitale globalizzata, la presenza societaria internazionale è la norma, non l’eccezione. Ad esempio OVH in Canada, Deutsche Telekom negli Stati Uniti tramite T-Mobile, TIM attraverso Sparkle, e numerosi altri gruppi europei con attività extra-UE dimostrano che la distinzione tra “cloud europeo” e “cloud americano” è sempre meno rilevante dal punto di vista operativo.
Il parallelo con Airbus e la sovranità come scelta politica
Il caso OVH si inserisce perfettamente nel solco di quanto già emerso nel dibattito su Airbus, analizzato su Startmag. Anche in quel contesto, la sovranità digitale veniva presentata come una scelta identitaria e simbolica, mentre il nodo reale riguarda la capacità industriale europea di usare davvero il cloud senza rinunciare a funzionalità avanzate, scalabilità e competitività tecnologica.
Il problema non è il CLOUD Act: i dati vanno criptati
È a questo punto che il dibattito sul CLOUD Act statunitense va riletto con maggiore precisione tecnica. In Italia, il tema è stato sollevato più volte dal sottosegretario alla Presidenza del Consiglio con delega all’Innovazione, Alessio Butti, che ha sottolineato a suo tempo – in un dibattito alla Camera dei Deputati sul rischio che il CLOUD Act possa incidere sulla sovranità digitale nazionale – che “l’unico strumento di difesa è quello di non trovarsi nella condizione di applicabilità del Cloud Act”.
Una posizione politicamente comprensibile, ma che rischia di trascurare un elemento decisivo: l’accesso giuridico non coincide con l’accesso tecnico ai dati.
La cifratura come vera barriera alla divulgazione dei dati
La normativa statunitense in realtà, per quanto possa – come quella canadese a quanto pare – imporre ai provider di consegnare dati, allo stesso tempo non può imporre di consegnarli in chiaro quando questi sono cifrati e il provider non detiene le chiavi di decrittazione. Nei moderni ambienti cloud i dati sono cifrati a riposo e in transito e, nei modelli più avanzati, possono essere cifrati con chiavi controllate esclusivamente dal cliente o da entità giuridicamente separate.
In questi casi, anche in presenza di un ordine giudiziario, il fornitore non è tecnicamente in grado di fornire dati intelligibili. Questo vale per i provider americani, ma vale esattamente allo stesso modo per quelli europei.
Il parere di Catricalà e i limiti reali del CLOUD Act
Già il professor Antonio Catricalà, ex presidente dell’Antitrust, in un parere di qualche anno fa aveva chiarito come l’ambito di applicazione del CLOUD Act sia limitato a indagini penali gravi e non configuri affatto uno strumento di accesso indiscriminato ai dati. Il caso OVH rafforza questa lettura: il problema non è una legge americana in quanto tale, ma l’illusione che basti scegliere un provider “europeo” per eliminare ogni rischio.
Il paradosso del cloud europeo “sovrano”
Il paradosso finale è evidente. Un provider francese, spesso indicato come alternativa sovrana agli hyperscaler statunitensi, si trova esposto a vulnerabilità analoghe proprio a causa della sua struttura societaria internazionale. Questo non dimostra che il cloud europeo sia intrinsecamente fragile, ma che una sovranità fondata su argomenti simbolici o puramente giuridici rischia di dissolversi alla prima prova concreta.
Conclusione: conta l’architettura, non il passaporto
Il caso OVH, come già quello Airbus, conferma una tesi semplice ma scomoda: ciò che conta non è il passaporto del provider, ma come i dati sono cifrati, chi controlla le chiavi e quali garanzie di governance esistono. Senza questa consapevolezza, il dibattito europeo sulla sovranità digitale rischia di restare prigioniero di un mito rassicurante, ma sempre meno aderente alla realtà.
