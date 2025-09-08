Le operazioni cloud della Commissione europea dipendono quasi interamente dai fornitori statunitensi, lasciando le operazioni quotidiane dell’UE esposte alla minaccia di sanzioni USA, secondo i dati della stessa istituzione.

Cresce in tutta la regione la preoccupazione che il presidente statunitense Donald Trump possa strumentalizzare la dipendenza dell’Europa dai servizi cloud americani per portare avanti un’agenda politica ostile – sia per sorvegliare istituzioni specifiche, sia per tagliare del tutto l’accesso.

Eppure, i dati della stessa Commissione suggeriscono che il 99% dei suoi carichi di lavoro quotidiani si basi sulla tecnologia statunitense: 14% su cloud pubblici USA (equamente divisi tra AWS e Microsoft) e 85% su cloud privato, che utilizza un mix di servizi open-source e proprietari americani di Microsoft, Broadcom, Nutanix e Oracle. Il restante 1% gira su OVHcloud, con sede in Francia.

Euractiv ha ottenuto in esclusiva questi dati dalla Commissione tramite una serie di scambi di email dopo aver cercato di chiarire una comunicazione fatta dalla commissaria per le Tecnologie digitali e di frontiera Henna Virkkunen il 18 luglio, in risposta alle domande di due eurodeputati francesi di estrema destra a maggio.

La forte esposizione del blocco alla tecnologia USA riflette quanto le piattaforme americane siano radicate nel mondo degli affari e tra i consumatori europei. Ma il profondo abbraccio della Commissione alla tecnologia USA significa che le operazioni quotidiane e l’amministrazione dell’UE diventano un rischio strategico.

Nonostante sia la fonte delle informazioni, la Commissione ci ha detto di “non poter confermare” la ripartizione dell’uso del cloud fatta da Euractiv.com, poiché ha affermato che i servizi UE possono scegliere tra dieci fornitori cloud approvati, con contratti individuali adeguati alle esigenze di sicurezza.

Quali rischi per la sicurezza?

A prescindere dall’esatto mix di fornitori cloud in uso, una dipendenza così pesante dai servizi cloud statunitensi espone i servizi della Commissione a diversi rischi noti. Uno è la riservatezza – il rischio che le informazioni vengano accessibili in base a leggi statunitensi come il FISA e il Cloud Act.

Un’entità americana o una persona con sede negli USA con accesso ai dati può essere obbligata dalle autorità americane a fornirne l’accesso, ha detto a Euractiv.com David Michels, ricercatore sul cloud all’Università di Londra.

“Ogni volta che il fornitore di software può accedere ai dati, ad esempio quando il software richiede accessi tramite server di un provider statunitense – o se team di assistenza clienti e help desk con sede negli USA hanno la capacità operativa di accedere agli account della Commissione – questo crea una vulnerabilità”.

Anche i dati diagnostici, telemetrici o di localizzazione generati da software statunitense potrebbero creare rischi di riservatezza, ha osservato Michels – per esempio, se un alto funzionario della Commissione accede a un sistema durante un viaggio a Kyiv.

La Commissione ha rifiutato di rispondere alle domande di Euractiv sul fatto che (e quali) personale statunitense fosse in grado di accedere al software utilizzato nel suo cloud privato, citando motivi di sicurezza.

Un secondo rischio è che la dipendenza dalle piattaforme cloud statunitensi possa essere strumentalizzata per fini politici, come la revoca politica dell’accesso – come sottolineano le recenti sanzioni dell’amministrazione Trump contro un giudice della CPI.

Le sanzioni statunitensi “potrebbero richiedere alle società americane di interrompere l’accesso della Commissione ai loro servizi o di fermare gli aggiornamenti, portando a guasti di connessione, bug software e vulnerabilità informatiche accresciute”, ha detto Michels.

In uno scenario del genere, non è chiaro per quanto tempo la Commissione potrebbe continuare a operare.

Mix pubblico-privato del cloud

Sebbene la Commissione si affidi in gran parte a un’infrastruttura cloud privata – che gira sui propri server ed è gestita internamente – la tecnologia coinvolge comunque più fornitori statunitensi di software proprietario, lasciando l’amministrazione dell’UE esposta alla politica di potenza americana.

Quanto alla minaccia che un servizio venga ritirato con un tratto di penna di Trump, la Commissione ha suggerito che potrebbe spostare i carichi di lavoro verso fornitori europei di cloud pubblico presenti nella lista, che sono i concorrenti più vicini ai servizi statunitensi. Tuttavia, migrare servizi o carichi di lavoro da un cloud privato a un’altra infrastruttura non è necessariamente così semplice.

OVHcloud è “destinato a scenari di resilienza, compreso il disaster recovery”, ha detto un portavoce della Commissione.

Per quanto riguarda il minore utilizzo di cloud pubblici statunitensi, il suo portavoce ha affermato che l’esecutivo mitiga i rischi dell’esternalizzazione dell’infrastruttura a società USA limitandone l’uso – riservandoli “ad attività di sviluppo IT, siti web che forniscono informazioni pubbliche o l’addestramento di motori di traduzione basati su dati pubblicamente disponibili”.