Cloud Act e intelligenza artificiale generativa: chi decide davvero dove riposano i tuoi dati?
Incolli un documento riservato in ChatGPT o Copilot. Una bozza di contratto, una tabella dei margini, una nota strategica. Stasera, quel documento si trova su un server americano. E il sistema giudiziario americano può accedervi, anche se fisicamente è archiviato in Europa. Ha un nome: il Cloud Act.
Ho visto dirigenti scoprire questa realtà nel bel mezzo di una trattativa. Troppo tardi per sollevare la questione dell'hosting. La sovranità dei dati non è responsabilità del reparto IT; è una decisione della dirigenza, proprio come la scelta di una banca o di una compagnia assicurativa. Ecco perché, e soprattutto, cosa fare.
Il Cloud Act, quella legge che nessuno legge prima di incollare un documento in un chatbot
Punti chiave
- Il Cloud Act (2018) consente alle autorità statunitensi di richiedere i dati detenuti da qualsiasi fornitore soggetto alla legge statunitense, anche se archiviati in Europa, senza preavviso. ChatGPT, Copilot, Gemini e Claude sono interessati.
- L'articolo 48 del GDPR si oppone in linea di principio a tali divulgazioni, ma è la vostra azienda, in qualità di titolare del trattamento dei dati, ad essere responsabile dei trasferimenti illeciti: fino a 20 milioni di euro o 4 % di fatturato globale.
- Il 17 aprile 2026, la Commissione europea ha assegnato il suo contratto per il cloud sovrano (180 milioni di euro, 6 anni) a quattro gruppi europei, in particolare OVHcloud, Scaleway e STACKIT, sulla base di un quadro di riferimento per la sovranità (SEAL) riutilizzabile da qualsiasi azienda.
- L'IA ombra è un fenomeno dilagante: il 61% dei dipendenti utilizza l'IA tramite account personali; il 54% degli strumenti non dichiarati ha acquisito dati sensibili.
- Tre decisioni gestionali: classificare i dati in base alla sensibilità, riservare la rete sovrana o locale ai dati strategici (Mistral, hosting SecNumCloud, implementazione on-premise) e affidare la decisione arbitrale al Comitato Esecutivo.
Ciò che dice il testo, senza gergo.
Il 23 marzo 2018 il Congresso degli Stati Uniti ha approvato il Clarifying Lawful Overseas Use of Data Act (Legge sulla chiarificazione dell'uso legale dei dati all'estero). Tale legge modifica lo Stored Communications Act del 1986 e risolve un problema di lunga data per l'FBI: come ottenere dati detenuti all'estero da un'azienda americana senza dover ricorrere alle lente procedure di assistenza giudiziaria internazionale.
La risposta si può riassumere in una frase: le autorità statunitensi possono richiedere a un fornitore soggetto alla legge statunitense di consegnare i dati in suo possesso o sotto il suo controllo, indipendentemente da dove tali dati siano archiviati. Server a Francoforte, data center a Parigi, regione cloud nell'"Europa occidentale": non importa. Ciò che conta è la nazionalità del fornitore, non la posizione geografica dei server.
Due punti chiave che cambiano tutto. Primo, la procedura non prevede di informare l'azienda in questione: non saprete mai che i vostri dati sono stati consultati. Secondo, l'ambito di applicazione è ampio: aziende americane, le loro filiali e potenzialmente qualsiasi azienda straniera con una presenza commerciale significativa negli Stati Uniti.
ChatGPT, Copilot, Gemini, Claude: stesso sistema
OpenAI, Microsoft, Google e Anthropic sono società costituite secondo la legge statunitense. I loro assistenti generativi basati sull'intelligenza artificiale – ChatGPT, Copilot, Gemini e Claude – sono quindi soggetti al Cloud Act, anche quando offrono hosting in Europa. Un data center irlandese gestito da un'entità statunitense rimane sotto la giurisdizione dei tribunali statunitensi. Questo è il principio stesso dell'extraterritorialità: la legge segue la società, non il server.
In termini pratici, ogni email contenente i file dei clienti, le informazioni sui prezzi, i dati di ricerca e sviluppo o i dati personali dei dipendenti costituisce un trasferimento di dati verso un'entità soggetta a leggi straniere. I tuoi dati viaggiano più lontano di te. E non era necessario il tuo consenso.
Il GDPR designa te come titolare del trattamento dei dati, non il tuo fornitore.
Articolo 48, una serratura più teorica che pratica
Il diritto europeo non ha ignorato il problema. L'articolo 48 del GDPR stabilisce che una decisione di un'autorità di un paese terzo che richieda la divulgazione di dati personali può essere riconosciuta solo se basata su un accordo internazionale, in genere un trattato di assistenza giudiziaria reciproca. Tuttavia, il Cloud Act è una legge unilaterale statunitense, non un trattato. Già nel 2019, il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) avevano concluso, nella loro analisi congiunta, che una richiesta basata esclusivamente sul Cloud Act non costituisce una base valida per il trasferimento dei dati.
Il fornitore americano si trova quindi di fronte a due ordini legali contrastanti: obbedire al giudice americano e violare il GDPR, oppure rifiutare e rischiare sanzioni negli Stati Uniti. Indovinate quale strada sceglierà un'azienda la cui sede centrale, il cui management e la cui maggior parte del fatturato si trovano negli Stati Uniti.
Schrems II, Meta: il conto è già stato pagato per gli altri
Questa tensione non è rimasta confinata al mondo accademico. Il 16 luglio 2020, la sentenza Schrems II della Corte di giustizia dell'Unione europea ha invalidato il Privacy Shield, in quanto i programmi di sorveglianza americani non garantivano una protezione equivalente a quella prevista dalla legge europea. Nel maggio 2023, l'autorità irlandese per la protezione dei dati ha multato Meta per 1,2 miliardi di euro per trasferimenti illegali di dati personali verso gli Stati Uniti. Anche la CNIL (Autorità francese per la protezione dei dati) ha emesso avvisi formali alle organizzazioni francesi che utilizzano Google Analytics per le stesse ragioni.
Ed ecco il punto che molti dirigenti sottovalutano: in qualità di titolare del trattamento dei dati, la vostra azienda è responsabile della liceità dei trasferimenti, non OpenAI o Microsoft. Le raccomandazioni dell'EDPB di gennaio 2020 richiedono di valutare l'esposizione dei vostri responsabili del trattamento alle leggi extraterritoriali e di documentare misure aggiuntive, tra cui la crittografia con chiavi inaccessibili al fornitore. La mancata osservanza di tale obbligo può comportare sanzioni ai sensi dell'articolo 83 del GDPR fino a 20 milioni di euro o al 4% del vostro fatturato annuo globale. Il fornitore incassa i vostri canoni di abbonamento; il rischio è a vostro carico.
Aprile 2026: l'Europa ha votato con il portafoglio.
Non si tratta più di un dibattito tra esperti. Il 17 aprile 2026, la Commissione europea ha notificato l'assegnazione del suo contratto quadro sovrano per il cloud – da 180 milioni di euro in sei anni, nell'ambito dell'iniziativa Cloud III – a quattro consorzi esclusivamente europei: Post Telecom con OVHcloud e CleverCloud, l'azienda tedesca STACKIT, l'azienda francese Scaleway e Proximus in collaborazione con S3NS, Clarence e Mistral. AWS, Microsoft Azure e Google Cloud, che in precedenza avevano dominato i contratti istituzionali, non figurano tra gli aggiudicatari diretti.
Per effettuare la selezione, Bruxelles ha creato uno strumento unico: il Cloud Sovereignty Framework, che valuta la sovranità su una scala SEAL da 0 a 4. Il livello SEAL-3, raggiunto da tre dei quattro fornitori vincitori, richiede che nessuna entità extraeuropea abbia potere di veto, una clausola di accesso ai dati o la capacità tecnica di interrompere il servizio. In altre parole, l'immunità dal Cloud Act è diventata un criterio misurabile e vincolante per gli appalti pubblici. Questo framework è pubblico: siete liberi di utilizzarlo nelle vostre gare d'appalto. La Francia sta seguendo la stessa strada: la dottrina "State Cloud", rivista a marzo 2026, impone che i dati governativi sensibili siano ospitati su infrastrutture certificate come SecNumCloud dall'Agenzia nazionale francese per la sicurezza informatica (ANSSI).
Quando la Commissione europea, la BCE e una cinquantina di agenzie si rifiutano di affidare i propri incarichi a fornitori soggetti alla legislazione statunitense, la questione merita quantomeno di essere sollevata in seno al vostro comitato direttivo.
Nel frattempo, nei vostri uffici: Shadow AI
Mentre l'Europa si sta organizzando per la sua sovranità digitale, cosa sta succedendo nel tuo Paese? Secondo uno studio YouGov per Microsoft Francia (gennaio 2026, 657 manager e dirigenti), l'80% dei manager utilizza l'intelligenza artificiale generativa almeno una volta alla settimana e il 61% dei dipendenti vi accede tramite account personali, al di fuori di qualsiasi infrastruttura IT, con il 38% che la utilizza quotidianamente. Oltre sette manager su dieci non hanno ricevuto alcuna formazione.
Questo è ciò che viene definito IA ombra, e ha una particolare predilezione per i dati sensibili. Il rapporto Netwrix 2026 stima che il 54% degli strumenti di IA non dichiarati rilevati nelle aziende abbia acquisito dati sensibili: codice sorgente, file dei clienti e documenti regolamentati. Netskope rileva una media di 223 episodi mensili di invio di dati sensibili a strumenti di IA generativa per ogni azienda. E il Privacy Barometer 2026 di EQS Group ribadisce il concetto: l'80% delle organizzazioni non ha una chiara comprensione del proprio utilizzo dell'IA e solo il 32% di quelle che intraprendono progetti di IA ha completato una Valutazione d'Impatto sulla Protezione dei Dati (DPIA).
Fai i calcoli per la tua organizzazione. Se i tuoi team sono simili alla media francese, parte dei tuoi contratti, dei dati delle risorse umane e della ricerca e sviluppo sono già stati trasferiti su server soggetti al Cloud Act. Senza una decisione. Senza lasciare traccia nella tua registro dei trattamentiSenza che il tuo responsabile della protezione dei dati ne sia informato.
Volete sapere cosa esce realmente dalla vostra azienda? Gli esperti di Viqtor® vi aiutano a mappare l'utilizzo dell'IA e i trasferimenti di dati.
Tre decisioni da prendere e da mantenere riservate ai dirigenti.
1. Ordina i dati in base alla sensibilità
Non tutto è uguale. Una brochure di prodotto può essere trasmessa tramite qualsiasi strumento; il database dei clienti, i margini, la pipeline di vendita e il lavoro di ricerca e sviluppo no. Stabilisci una semplice classificazione: tre livelli sono sufficienti: pubblico, interno, strategico/regolamentato, e basala su una realtà. governance dei dati Chi può inviare cosa, con quale strumento e con quale convalida? Senza questa mappatura, qualsiasi politica sull'IA rimane una mera illusione.
2. Per questioni delicate, chiedere al sovrano o all'autorità locale
Ora esistono alternative credibili. Mistral AI, un'azienda francese, elabora i dati su server europei, al di fuori della portata del Cloud Act, con offerte aziendali che possono sfruttare infrastrutture certificate SecNumCloud. Il Ministero delle Forze Armate francese le ha inoltre affidato, nel gennaio 2026, l'implementazione dell'IA generativa all'interno delle forze armate francesi. I suoi modelli open-weight possono essere implementati anche sui vostri server: i dati non lasciano mai la vostra infrastruttura. Per l'hosting, OVHcloud, Scaleway e Outscale offrono hosting europeo immune all'extraterritorialità statunitense. Un'IA sovrana leggermente meno sofisticata è preferibile a un'IA all'avanguardia che espone la vostra risorsa più preziosa. Per utilizzi non sensibili, gli strumenti statunitensi rimangono utilizzabili, a condizione che si tratti di una scelta documentata e regolata da un contratto di subappalto conforme all'articolo 28.
3. Mantenere l'arbitrato a livello del Comitato Esecutivo
Dove finiscono i tuoi dati non è una questione tecnica. Un CIO ottimizza costi e prestazioni; un fornitore di servizi vende il proprio catalogo. Nessuno dei due sarà ritenuto responsabile di fronte alla CNIL (Autorità francese per la protezione dei dati), ai tuoi azionisti o ai tuoi clienti in caso di violazione dei dati o trasferimento illecito. Tu lo sarai. La decisione di bilanciare la potenza degli strumenti con il controllo delle risorse informative spetta al senior management, supportato da un Audit GDPR serietà, una valutazione continua del tuo subappaltatori e partner E processi GDPR documentati — AIPD incluso per gli usi rischiosi dell'IA.
Anche l'intelligenza artificiale più potente è inutile se ti fa perdere il controllo di ciò che ti rende prezioso: i tuoi dati. La vera domanda di stasera è semplice: i tuoi dati più sensibili sono in tuo possesso o in possesso di qualcun altro?
Viqtor® ti aiuta a riprendere il controllo: mappatura delle attività di trattamento, valutazione dei fornitori di IA, conformità al GDPR gestita da una piattaforma sovrana % al 100%.
FAQ — Le vostre domande sull'audit GDPR
Il Cloud Act si applica anche se i server si trovano in Europa?
Sì. Il criterio previsto dal Cloud Act è la nazionalità del fornitore, non la posizione dei server. Un data center parigino gestito da una società americana o da una sua filiale rimane soggetto alle normative statunitensi. Solo un fornitore legalmente europeo, senza alcun controllo statunitense, sfugge strutturalmente a questa extraterritorialità.
L'utilizzo di ChatGPT o Copilot è illegale ai sensi del GDPR?
No, non di per sé. Ma il trattamento dei dati personali richiede un accordo sul trattamento dei dati conforme all'articolo 28, una valutazione del rischio dei trasferimenti di dati (post-Schrems II), misure aggiuntive se necessario e una valutazione d'impatto sulla protezione dei dati (DPIA) per gli usi ad alto rischio. È l'uso non regolamentato – l'IA ombra – a creare la violazione, non lo strumento in sé.
Chi è responsabile in caso di trasferimento illecito: la mia azienda o il fornitore di intelligenza artificiale?
La vostra azienda, in qualità di titolare del trattamento dei dati, è responsabile della scelta dei propri subappaltatori e della verifica della liceità dei trasferimenti di dati presso la CNIL (Autorità francese per la protezione dei dati). Il fornitore ha i propri obblighi, ma questi non vi esonerano dalla responsabilità: le sanzioni previste dall'articolo 83 del GDPR si rivolgono principalmente a chi determina le finalità e i mezzi del trattamento.
Che cos'è esattamente un'intelligenza artificiale sovrana?
Un'intelligenza artificiale il cui fornitore, hosting e governance sono regolati esclusivamente dal diritto europeo: un'azienda europea, server situati nell'UE e nessun soggetto extraeuropeo con accesso ai dati. Mistral AI è l'esempio francese di maggior successo in questo senso. Il livello successivo prevede l'implementazione di un modello open-weight sulla propria infrastruttura: in questo caso, i dati non lasciano mai la propria sede.
La crittografia è sufficiente a proteggermi dal Cloud Act?
È utile, ma solo a una condizione rigorosa: che le chiavi di crittografia rimangano inaccessibili al fornitore. Questa è la principale misura tecnica riconosciuta dalle raccomandazioni dell'EDPB del gennaio 2020. Tuttavia, con l'intelligenza artificiale generativa, questa protezione viene meno: per elaborare la tua richiesta, il modello deve leggere i tuoi dati in chiaro. La crittografia protegge l'archiviazione, non l'inferenza.
Da dove comincio per regolamentare l'utilizzo dell'intelligenza artificiale generativa nella mia azienda?
Il processo inizia con una valutazione iniziale: quali strumenti vengono effettivamente utilizzati, da chi e con quali dati. Segue una classificazione basata sulla sensibilità, una carta d'uso, la selezione di strumenti validati (strumenti sovrani per i dati sensibili), l'aggiornamento del registro dei trattamenti e una valutazione d'impatto sulla protezione dei dati (DPIA) per i casi ad alto rischio. Un audit GDPR basato su una piattaforma come Viqtor® copre tutte queste fasi senza richiedere mesi di risorse interne.