Perché la cybersecurity italiana fatica ad essere realmente sovrana, l’UE e l’Italia: una cyber colonia tra dipendenze geopolitiche ed interessi esterni

L’Italia ha una sovranità limitata e segnata da legami asimmetrici con gli Stati Uniti. A partire dal secondo dopoguerra, il piano Marshall, sebbene presentato come aiuto economico, fu oltremodo uno strumento strategico per rafforzare l’influenza americana in Europa. In questo contesto, l’Italia divenne un perno occidentale nel Mediterraneo per contenere l’URSS. Le elezioni del 1948 rappresentarono un momento cruciale: il forte intervento statunitense evitò la vittoria del PCI, consolidando l’allineamento dell’Italia agli interessi USA. Con l’ingresso nella NATO nel 1949, Roma perse parte della propria autonomia militare. La presenza di basi americane e la partecipazione alle strategie atlantiche hanno ulteriormente subordinato le scelte italiane alla sicurezza statunitense, fino al dominio cyber odierno.

Questo schema di dipendenza è oggi evidente anche nel campo della cybersicurezza, dove le infrastrutture critiche italiane sono fortemente basate su tecnologie statunitensi e dove la condivisione di informazioni con Washington avviene secondo una logica marcatamente asimmetrica. Gli Stati Uniti, pur fornendo supporto e strumenti di difesa, mantengono una posizione di chiaro predominio, definendo i margini operativi entro cui i partner europei possono muoversi.

Cybersecurity italiana: dipendenza tecnologica da USA, UK e Israele

In nome della “sicurezza” e della cooperazione internazionale, l’Italia ha progressivamente ceduto porzioni significative della propria autonomia strategica, affidandosi in misura crescente non solo agli Stati Uniti, ma anche ad altre potenze esterne come il Regno Unito e Israele. Questi attori esercitano, in diversi ambiti, un’influenza diretta e indiretta sui settori italiani della difesa, dell’intelligence e della governance strategica.

In questo contesto, il dominio cyber degli Stati è diventato uno degli obiettivi prioritari delle agenzie di intelligence globali, configurandosi come un nuovo campo di confronto e penetrazione, meno visibile ma più capillare rispetto alle tradizionali forme di guerra e diplomazia.

Sebbene Stati Uniti, Regno Unito e Israele siano considerati alleati strategici dell’Italia, il loro approccio operativo e il grado di adesione ai principi democratici, in particolare nella sfera dell’intelligence, presentano differenze significative.

Strutture come l’NSA statunitense o il GCHQ britannico operano, almeno formalmente, entro sistemi soggetti a controlli parlamentari, giudiziari e a meccanismi di accountability istituzionale. Diversa è la situazione di Israele, il cui servizio di intelligence esterno, il Mossad, è noto per condurre operazioni coperte che includono spionaggio, sabotaggio, assassinii mirati e ingerenze in ambito politico ed economico, spesso al di fuori di un chiaro quadro normativo o di controllo democratico.

In quanto alleato strategico e proxy regionale degli Stati Uniti, Israele gode di un elevato livello di tolleranza internazionale: anche in presenza di azioni che violano apertamente la sovranità di altri Stati, le reazioni ufficiali da parte dei governi occidentali risultano spesso assenti o attenuate.

In Italia, la cooperazione con l’intelligence israeliana si sviluppa da tempo in ambiti poco trasparenti e scarsamente regolati. Le collaborazioni in materia di cybersicurezza e tecnologie di sorveglianza, come ad es. nel caso del software Pegasus di NSO Group, o dei sistemi biometrici di aziende come AnyVision e PerSay, si inseriscono in una rete di rapporti strategici ed economici che spesso sfuggono ai meccanismi di controllo parlamentare e alla supervisione pubblica. Queste dinamiche alimentano una “zona grigia” in cui la sicurezza nazionale italiana si intreccia con interessi esterni, in assenza di una trasparente governance istituzionale.

Sovranità digitale italiana: mito o realtà?

E così quando la sovranità è solo formale, parlare di “sovranità cibernetica italiana” appare quasi una contraddizione. La struttura odierna della sicurezza digitale nazionale è costruita su fondamenta tecnologiche, giuridiche e diplomatiche che non sono autonome:

• Le tecnologie critiche sono in mano a soggetti stranieri;
• Le strategie sono spesso scritte o ispirate in ambienti NATO o USA;
• La cooperazione con agenzie estere non è bilanciata, ma orientata ad una subordinazione operativa.

In pratica, l’Italia non sembra controllare realmente la rete delle sue informazioni, e qualsiasi tentativo di ribellione a questa logica (anche solo in termini di regolazione tecnologica o piena autonomia legislativa) sembra essere immediatamente ricondotto nei ranghi da pressioni diplomatiche, economiche o mediatiche.

Un caso emblematico: Sovereign Public Cloud di Microsoft

Sovereign Public Cloud di Microsoft è una nuova offerta cloud rivolta a tutti i clienti europei di Microsoft, progettata per garantire che i dati rimangano in Europa, siano soggetti esclusivamente alla legislazione europea e che le operazioni e l’accesso siano controllati da personale europeo.

Ma la sicurezza dei dati dei cittadini europei non può essere pienamente garantita da Microsoft, anche alla luce delle nuove soluzioni “sovereign” annunciate, per vari motivi, soprattutto se li correliamo con fatti recenti e criticità strutturali, tra le principali motivazioni vale la pena evidenziare:

• Persistente dipendenza da un fornitore extra-UE

Microsoft resta una multinazionale statunitense (in Italia Microsoft è una stabile organizzazione, con tutti i privilegi che ne derivano), soggetta alle leggi e pressioni del proprio paese d’origine. Anche se i dati sono fisicamente conservati in Europa, la proprietà e la gestione ultima delle infrastrutture e del software rimangono sotto il controllo di una società americana, esponendo i dati al rischio di richieste da parte di autorità straniere (ad esempio, tramite il Cloud Act statunitense o la sezione 702 della FISA).

• Precedenti violazioni delle norme UE sulla protezione dei dati

Un’indagine dell’European Data Protection Supervisor (EDPS) nel 2024 ha rilevato che l’utilizzo di Microsoft 365 da parte della Commissione Europea ha violato diverse regole fondamentali del GDPR, tra cui la mancanza di specificità sulle finalità e le modalità di trattamento dei dati, la poca chiarezza contrattuale e l’assenza di salvaguardie tecniche efficaci per limitare i trattamenti ai soli scopi dichiarati. Questo dimostra che, anche con impegni formali, la conformità pratica rimane problematica.

• Accesso potenziale da parte di personale non europeo

Sebbene Microsoft introduca strumenti come Data Guardian per limitare l’accesso ai dati europei solo a personale residente in Europa, l’articolo stesso ammette che in casi eccezionali l’accesso può essere concesso a ingegneri fuori dall’UE, anche se sotto supervisione e audit. Questo introduce una vulnerabilità strutturale: in situazioni di emergenza, pressioni legali o interessi geopolitici, il controllo europeo potrebbe essere aggirato.

• Ambiguità e complessità contrattuale

Le condizioni contrattuali di Microsoft sono state criticate dalle autorità europee per la loro scarsa chiarezza e per la difficoltà di garantire che i trattamenti dei dati siano limitati alle istruzioni ricevute dal cliente europeo. La mancanza di trasparenza su come i dati vengono effettivamente trattati e protetti rende difficile per le organizzazioni europee verificare la reale conformità.

• Rischio di lock-in e dipendenza strategica

Le soluzioni cloud “sovereign” di Microsoft, pur offrendo nuove opzioni di controllo locale, non eliminano il rischio di dipendenza tecnologica (lock-in) da un unico fornitore globale.

Diversi governi europei, come quello danese, hanno già espresso preoccupazione per la vulnerabilità operativa e politica derivante dall’affidarsi a pochi grandi player stranieri: se Microsoft decidesse o fosse costretta a sospendere i servizi, molte infrastrutture digitali pubbliche sarebbero a rischio.

Anche e soprattutto le piccole imprese italiane dovrebbero preoccuparsi (o almeno riflettere seriamente) sull’uso di strumenti di intelligenza artificiale come Microsoft Copilot, che analizzano in modo trasversale il file system locale, le email aziendali su Office 365, le chat interne e i documenti di lavoro.

La convinzione che “nessuno si interessi ai miei dati” non è più realistica. Oggi ogni informazione, anche quella apparentemente banale, può essere preziosa. Una microimpresa che produce prodotti artigianali o sviluppa soluzioni software, ad esempio potrebbe condividere via email o in documenti digitali listini, proposte commerciali, strategie di marketing e dettagli operativi.

Copilot elabora questi contenuti in tempo reale. Microsoft, attraverso il suo ecosistema e la sua posizione dominante, può aggregare e analizzare tali dati per:

• Rafforzare le proprie linee di prodotto (es. Dynamics, Azure, GitHub)
• Offrire dati aggregati a grandi clienti o partner strategici
• Migliorare i propri modelli AI con insight ricavati anche da realtà locali

Il risultato? Un’azienda italiana, magari eccellenza in una nicchia di mercato, può ritrovarsi inconsapevolmente “copiata” nei prezzi, nella comunicazione o superata nei bandi, perché le informazioni che produce vengono trasformate in vantaggi competitivi per altri.

Questo vale non solo per chi produce, ma anche per le realtà che offrono servizi altamente qualificati. Una piccola impresa legale o consulenziale che utilizza Word, Outlook e Teams per gestire contratti, pareri tecnici o offerte commerciali, affida a Copilot informazioni sensibili, spesso in modo inconsapevole. Questi dati possono:

• Essere utilizzati per addestrare modelli di IA (pseudonimizzati, ma non anonimi)
• Finire come base per suggerimenti a terzi (es. prompt, clausole, template)
• Alimentare lo sviluppo di strumenti verticali che automatizzano proprio quelle competenze

In pratica, l’impresa contribuisce alla costruzione di un potenziale concorrente automatizzato, senza alcun ritorno, né controllo.

A ciò si aggiunge un ulteriore rischio sistemico: l’analisi incrociata tra imprese dello stesso settore. Se numerose PMI del manifatturiero italiano usano Microsoft 365, Copilot può accedere a un’enorme mole di dati: email, fatture, presentazioni, documentazione interna. Da qui, Microsoft e soggetti ad essa collegati, potrebbero:

• Individuare tendenze nei prezzi e criticità nella filiera
• Valutare la fragilità di certi fornitori locali
• Offrire questi insight a grandi clienti internazionali interessati ad acquisire, entrare o riconfigurare il mercato

Così, imprese italiane di valore possono essere “mappate” per fini di terzi, senza trasparenza né vantaggio diretto.

Come detto prima, esiste poi una dimensione geopolitica e di compliance: i dati aziendali trattati da Copilot e dalla suite Microsoft 365 sono soggetti alla normativa statunitense, in particolare al Cloud Act, che consente l’accesso da parte di autorità USA anche a dati conservati fuori dal loro territorio. Una piccola azienda tech italiana, che lavora con clienti esteri o gestisce dati di terzi, potrebbe essere coinvolta in meccanismi di sorveglianza internazionale o indagini, senza saperlo, per il solo fatto di aver utilizzato un determinato software.

Meno visibile ma altrettanto concreto rimane il rischio della dipendenza tecnologica. Una piccola impresa che integra Copilot in ogni fase operativa, dalla scrittura di documenti alla gestione di email, report, analisi, potrebbe perdere progressivamente competenze interne e flessibilità strategica. Se Microsoft dovesse cambiare i termini di servizio, alzare i prezzi o limitare le funzioni gratuite, l’azienda:

• Non potrebbe più fare a meno dell’assistente AI senza ridurre l’efficienza
• Si troverebbe con meno competenze residue tra i propri collaboratori
• Sarebbe costretta a rimanere nell’ecosistema Microsoft, anche a condizioni peggiorative

La vera posta in gioco è l’autonomia strategica. Per una piccola o micro impresa italiana, i dati non sono semplici “informazioni”: sono asset vitali, identità operativa, vantaggio competitivo. Cederne il controllo, anche parzialmente, a soggetti terzi, specie se dominanti e stranieri, significa esporsi a una nuova forma di vulnerabilità: silenziosa, strutturale, e spesso irreversibile.

Vorrei aggiungere una mia personale esperienza con Microsoft, che credo possa contribuire a rafforzare il senso di questo articolo. Da oltre trent’anni colleziono certificazioni Microsoft, sia per motivi professionali sia per mettere costantemente alla prova le mie competenze sulle sue soluzioni.

Devo molto a Microsoft, che fin dal 1990 ha segnato profondamente il mio percorso lavorativo, sia come sistemista sia come sviluppatore software, ma seguire il percorso di certificazione di un brand significa anche comprendere i suoi obiettivi strategici e commerciali. Negli ultimi quattro anni, ho notato con sempre maggiore evidenza e velocità come Microsoft stia progressivamente abbandonando la formazione sui suoi prodotti on-premise.

Ad esempio, mentre in passato potevo certificarmi ad es. su Windows Server 2016, oggi l’unico percorso server professionale disponibile riguarda esclusivamente funzionalità server legate al cloud, come Active Directory su Azure.

Microsoft sta spingendo in modo deliberato professionisti, utenti e soprattutto i loro dati, verso il proprio cloud. Questo non significa che non sia ancora possibile acquistare una licenza di Windows Server o Microsoft Exchange per un’installazione locale, ma questi prodotti sono sempre più “nascosti” e meno promossi dalla stessa Microsoft. Le motivazioni principali di questa strategia possiamo individuarle in tre aspetti fondamentali:

A. Microsoft propone i suoi servizi cloud in modalità “as-a-service”, con abbonamenti mensili o annuali, questo garantisce flussi di entrate più stabili e prevedibili rispetto alla vendita tradizionale di licenze perpetue. Questo modello consente aggiornamenti continui, maggiore flessibilità ed un rapporto costante con i clienti.

B. Offrendo soluzioni cloud, Microsoft si configura come un “gateway” con una posizione strategica e privilegiata nel controllo dei dati e delle comunicazioni degli utenti, in un contesto geopolitico in cui il dominio delle infrastrutture digitali assume un ruolo cruciale. In questo scenario, il lock-in tecnologico diventa il fattore chiave che consolida il controllo sull’ecosistema digitale, aumentando la dipendenza degli utenti e la leva strategica dell’azienda.

C. Disporre di tutti i dati degli utenti significa molto più che conservarli. Grazie alle avanzate capacità di Azure e Copilot, Microsoft può elaborare, analizzare e correlare queste informazioni su larga scala, sfruttando intelligenza artificiale, machine learning e altre tecnologie di data mining. L’IA, in particolare, consente di trasformare grandi quantità di dati grezzi in insight sofisticati, automatizzando processi decisionali e generando modelli predittivi sempre più accurati. Non solo ottimizzazione dei servizi offerti, ma anche creazione di profili dettagliati degli utenti, identificazione di pattern di comportamento nascosti, previsione su esigenze future e, in alcuni casi, manipolazione delle decisioni strategiche di business o addirittura di modelli di consumo su larga scala.

Il problema centrale è che tutto questo può avvenire senza un controllo diretto, trasparente e pienamente consapevole da parte dell’utente o dell’organizzazione che affida i propri dati ad Azure, semplicemente perché non ha gli strumenti tecnologici e legislativi per farlo.

L’uso dell’IA amplifica ulteriormente questa dinamica: i sistemi intelligenti possono elaborare e incrociare dati personali, aziendali e contestuali con una velocità e un dettaglio che supera la capacità umana di supervisione, rendendo ancora più difficile per gli utenti monitorare o limitare come e quando le proprie informazioni possano essere utilizzate o condivise. Questo aspetto offusca e mette in discussione non solo la privacy, ma anche l’autonomia decisionale degli stessi utenti, trasformando i dati in un asset strategico gestito da una tecnologia che sfugge ad un controllo diretto.

La realtà di cyber-colonia americana in cui l’Italia e l’Europa vengono a trovarsi rappresenta una sfida complessa che coinvolge dimensioni tecnologiche, geopolitiche, economiche e sociali. Inoltre, la politica italiana ed europea è fortemente compromessa da una diffusa sudditanza nei confronti di Stati proxy strategici degli USA, come Israele e Regno Unito.

Questi paesi esercitano un’influenza significativa sulle decisioni nazionali e comunitarie, limitando la possibilità di scelte autonome e orientando, nello specifico, le politiche di cybersecurity e difesa digitale secondo interessi esterni.

Quindi Microsoft, Amazon, Apple e le altre Big tech devono essere bandite? Assolutamente NO! Rappresentano dei fornitori tecnologici d’avanguardia ma non possiamo permettergli di operare in base alle loro etiche e direttive, devono imparare a rispettare “la sovranità” degli utenti, ad esempio, il concetto di “on-premise”, tanto osteggiato dalle Big Tech, deve continuare ad essere sviluppato e garantito come opzione reale. Se questa possibilità viene eliminata, affidarsi completamente a soluzioni esterne potrebbe diventare non solo limitante, ma potenzialmente rischioso, privare il sistema paese di questa opzione significherebbe accettare una dipendenza tecnologica che, nel lungo periodo, può rivelarsi pericolosa.

Non possiamo più accettare che le Big Tech giustifichino il cloud come unica strada percorribile per lo sviluppo di tecnologie emergenti come l’intelligenza artificiale. I fatti dimostrano il contrario, in Cina ad esempio, sono già disponibili modelli open source eseguibili localmente e infrastrutture hardware accessibili, capaci di supportare queste tecnologie a costi contenuti. In questo scenario, attori come Cina e in parte anche la Russia, stanno dimostrando che alternative concrete esistono.

Paradossalmente, proprio questi paesi potrebbero rivelarsi interlocutori strategici per Italia ed Europa, se l’obiettivo è riconquistare una reale autonomia tecnologica. Invertire questa tendenza richiede un impegno coordinato, duraturo e consapevole, capace di mettere la sovranità digitale al centro della politica europea, spezzando le catene di una dipendenza geopolitica ormai radicata.

Tutto questo è sicuramente facile a dirsi ma molto più difficile a farsi, tra pressioni esterne, resistenze interne, costi elevati ed una classe politica a volte incompetente, vincolata ad interessi esterni e privati, questa svolta rimane un traguardo aspro da raggiungere. Eppure, nonostante le difficoltà, la strada verso la sovranità digitale resta ancora aperta.

Costruire una vera sovranità digitale non è un sogno irrealistico, ma una scelta concreta, solo una cosa è certa, la sovranità non si delega, si conquista.

Note

https://blogs.microsoft.com/blog/2025/06/16/announcing-comprehensive-sovereign-solutions-empowering-european-organizations/

https://www.edps.europa.eu/data-protection/our-work/publications/investigations/2024-03-08-edps-investigation-european-commissions-use-microsoft-365_en

https://www.windowscentral.com/software-apps/windows-11/its-the-year-of-linux-at-least-for-denmark-heres-why-the-countrys-government-is-dumping-windows-and-office-365