Rete pubblica, giurisdizione straniera

Infrastrutture, Cloud Act e la distanza tra quello che si firma e quello che si costruisce

Nel 2020, l’Agenzia per l’Italia digitale ha censito 1.252 data center della pubblica amministrazione italiana.
Il 95% era carente in fatto di sicurezza, affidabilità ed efficienza.
Non erano server di enti marginali, erano le infrastrutture su cui girano i servizi digitali dello Stato.
Da quel dato è partita la spinta verso il Polo Strategico Nazionale, il progetto cloud della PA finanziato con i fondi del PNRR.
Quattro anni dopo, il PSN esiste, è operativo, ospita dati critici di amministrazioni centrali e ASL ed è anche l’infrastruttura attraverso cui Google, Microsoft, Oracle e Amazon erogano servizi alla pubblica amministrazione italiana.

Questa non è una contraddizione accidentale, è la struttura del problema.

Il PSN gestisce direttamente i dati classificati come strategici, quelli più sensibili per la sicurezza nazionale, per quelli ordinari e critici, che rappresentano la quota maggiore del traffico amministrativo, le PA possono scegliere tra i grandi fornitori cloud americani qualificati dall’Agenzia per la Cybersicurezza Nazionale, Fornitori americani, soggetti al diritto americano.

Una legge americana nei server italiani

Il Cloud Act, emanato dagli Stati Uniti nel 2018, consente alle autorità americane di richiedere l’accesso ai dati detenuti da aziende di diritto statunitense indipendentemente da dove si trovino fisicamente quei dati.

Un server a Roma gestito da una società americana, o da una sua controllata, non è fuori dalla portata di quella legge.
La localizzazione geografica non è il parametro rilevante, lo è la nazionalità del fornitore.

Questo crea un conflitto giuridico strutturale con il diritto europeo.
Il GDPR, all’articolo 48 e nel considerando 115, stabilisce che la legislazione di Paesi terzi con portata extraterritoriale sui dati potrebbe essere contraria al diritto internazionale e ostacolare le garanzie del regolamento europeo.

Un fornitore americano che ricevesse una richiesta delle autorità statunitensi si troverebbe davanti a un bivio senza uscite pulite: ottemperare al Cloud Act rischiando di violare il GDPR o rifiutarsi esponendosi a conseguenze sul fronte americano.
Questo vale oggi, in condizioni ordinarie, per chiunque gestisca dati europei attraverso infrastrutture americane.

Lo stesso sottosegretario all’Innovazione Alessio Butti, all’indomani del primo anno di attività del PSN, ha riconosciuto che rimangono aperte le criticità sulla minaccia alla sovranità digitale nazionale rappresentata dal Cloud Act, che eserciterebbe la propria giurisdizione anche sul territorio italiano.

Il PSN prevede che i Cloud Service Provider americani non possano accedere ai dati classificati come “strategici”.
Per quelli ordinari e critici, la porta resta aperta, per ragioni di costo e flessibilità tecnologica che nella pratica pesano quanto le preoccupazioni di sovranità, se non di più.

La NIS2, recepita in Italia con il D.Lgs. 138/2024, impone agli operatori di infrastrutture critiche di valutare e gestire il rischio dei propri fornitori cloud.

Quello che non può fare è neutralizzare la portata extraterritoriale del Cloud Act, un provider americano può essere pienamente conforme a tutti gli standard europei di sicurezza e restare comunque obbligato a rispondere alle autorità statunitensi.

La conformità normativa europea e la giurisdizione americana operano su piani diversi e non si escludono a vicenda.

Il polo che è nato già in contenzioso

La società PSN, partecipata da TIM (45%), Leonardo (25%), CDP (20%) e Sogei (10%), si è aggiudicata la gara europea attraverso l’esercizio del diritto di prelazione.
In prima battuta l’appalto era andato alla cordata Fastweb-Aruba.

La cordata TIM, in quanto soggetto promotore del progetto, ha potuto pareggiare l’offerta e aggiudicarsi il contratto.

Il Consiglio di Stato ha poi stabilito che quell’operazione non era un legittimo esercizio di prelazione, ma un affidamento diretto illegittimo, cioè una concessione assegnata nella sostanza senza gara.

Il PSN è rimasto operativo nonostante il contenzioso, ma la vicenda ha lasciato tracce sulla credibilità della procedura e sull’immagine del sistema-Paese verso gli investitori esteri.
Nessuno ha ancora chiarito se un’infrastruttura strategica nazionale possa davvero nascere in quel modo, con quella governance, con quegli stessi Cloud Service Provider americani come partner tecnologici dei soci industria

Dichiarare è più facile che costruire

A novembre 2025, l’Italia ha firmato insieme agli altri Stati membri la Dichiarazione per la Sovranità Digitale Europea, che definisce la sovranità digitale come la capacità dell’Unione di agire autonomamente nel mondo digitale, regolando infrastrutture, dati e tecnologie secondo le proprie leggi e i propri interessi, senza dipendenze indebite da attori esterni.

Secondo stime di settore, il 65% del mercato cloud europeo è controllato dai tre principali grandi fornitori cloud americani.
Le due cose coesistono senza che nessuno le consideri incompatibili, il che dice qualcosa sulla natura di quelle dichiarazioni.

Un Paese può digitalizzare in modo capillare e allo stesso tempo non avere sovranità sulle infrastrutture che sostengono quella digitalizzazione: cloud gestiti da operatori fuori dal proprio controllo, senza una manifattura digitale propria, senza il controllo sui dati che alimentano i modelli di intelligenza artificiale impiegati nelle pubbliche amministrazioni.

È la posizione in cui si trova oggi la maggior parte dei Paesi europei, Italia inclusa, e la differenza tra chi ha una strategia e chi non ce l’ha non sta nell’entità della dipendenza, che è condivisa, ma nella direzione in cui ci si muove per ridurla.

Autonomia o dipendenza gestita: non è la stessa cosa

Il modello del PSN garantisce la sovranità sui dati classificati come strategici tramite quattro data center in Italia gestiti da un operatore di diritto italiano, con il monitoraggio del Security Operation Center di Leonardo e crittografia che rende il contenuto illeggibile a osservatori esterni.
Per quei dati, il modello funziona ed è coerente con gli standard più recenti della politica europea.

Il problema è che si ferma lì.

Costruire vera autonomia industriale nel digitale richiederebbe scelte di politica industriale scomode ed usare la spesa pubblica come leva per far crescere operatori nazionali, anche accettando condizioni inizialmente meno competitive rispetto agli hyperscaler.

La PA, con esigenze spesso più semplici rispetto al mercato privato, non avrebbe necessariamente bisogno di Amazon o Google e potrebbe essere il terreno su cui far crescere un’industria italiana del cloud che oggi non esiste nelle dimensioni necessarie.

Gestire la dipendenza, che è l’altra opzione e quella più praticata, è più semplice nel breve termine e più costosa nel lungo.

Le due strategie non coincidono, e la scelta tra l’una e l’altra non è ancora stata fatta in modo esplicito, probabilmente perché farla esplicitamente costerebbe qualcosa, politicamente e industrialmente, e firmare dichiarazioni a Berlino costa molto meno.

Il 2026 dirà più di qualunque dichiarazione

Entro giugno 2026, almeno 280 amministrazioni dovrebbero aver completato la migrazione sul PSN.

È la scadenza PNRR, quella su cui si misurano i fondi europei.
Sarà un test concreto, non sulla sovranità digitale in senso astratto, ma su qualcosa di più semplice e rivelatore su quante amministrazioni italiane avranno effettivamente spostato i propri dati su un’infrastruttura che risponde al diritto italiano, e quante li avranno lasciati dove erano, o spostati su cloud americani qualificati dall’ACN ma pur sempre americani.

Quel numero, nel 2026, varrà più di qualunque dichiarazione firmata a Berlino.