Cosa sono esattamente le 5 Eyes, 9 Eyes e 14 Eyes?

Le 5 Eyes (FVEY) sono la storica alleanza di condivisione dell'intelligence dei segnali nata dall'accordo UKUSA del 1946: Stati Uniti, Regno Unito, Canada, Australia, Nuova Zelanda. Le 9 Eyes estendono la condivisione a Danimarca, Francia, Paesi Bassi e Norvegia. Le 14 Eyes (gruppo SIGINT Seniors Europe) aggiungono Germania, Belgio, Italia, Spagna, Svezia. Questi livelli sono graduati: un membro delle 5 Eyes può accedere all'intelligence grezza che un membro delle 14 Eyes vede solo in forma sintetizzata.

Se il mio cloud è ospitato in Francia, chi può accedere ai miei dati?

La Francia è membro delle 9 Eyes. In concreto, la DGSE può richiedere l'accesso ai dati in base alla legge sull'intelligence del 2015 (articoli L.851 e seguenti del CSI) e li condivide con altri membri delle 9 Eyes nel quadro di accordi bilaterali. Un cloud come OVHcloud, ospitato in Francia, resta quindi all'interno del perimetro delle 9 Eyes. Per sfuggire alle 14 Eyes: una giurisdizione esterna all'alleanza — Svizzera, Islanda, Panama, Romania — o un cloud self-hosted alle Svalbard (paradossalmente, nonostante lo status di 9 Eyes della Norvegia, i server alle Svalbard godono di un quadro giuridico protettivo).

Il CLOUD Act statunitense si applica a un cloud europeo?

Sì, se si tratta di una filiale o di un operatore la cui società madre è americana. Microsoft Azure, AWS e Google Cloud restano soggetti al CLOUD Act (2018) anche per dati archiviati fisicamente in Europa — un mandato giudiziario statunitense può obbligare la società madre a consegnare i dati. La CGUE ha invalidato il Privacy Shield nel 2020 (sentenza Schrems II) proprio a causa di questo conflitto di giurisdizione. Per questo Proton (Svizzera), Tresorit (Svizzera) e Mailfence (Belgio) comunicano in modo aggressivo sulla loro giurisdizione extra-statunitense.

La Svizzera è davvero fuori dalle 14 Eyes?

Sì. La Svizzera non ha mai firmato l'accordo UKUSA né i protocolli di SIGINT Seniors Europe. La legge sulle attività informative (LAIn, 2017) autorizza la condivisione internazionale, ma sotto il controllo di un tribunale amministrativo federale indipendente e con una soglia elevata. In pratica, Proton Mail e Tresorit pubblicano report di trasparenza annuali (Proton 2024: 4.920 richieste statali ricevute, 2.105 parzialmente soddisfatte, 0 consegne di contenuti cifrati) che dimostrano l'isolamento operativo. La Svizzera resta la giurisdizione di riferimento per la privacy nel cloud nel 2026.

L'Islanda è davvero sicura per ospitare un cloud?

Sì, per ragioni giuridiche e geografiche. Nel 2010 l'Islanda ha adottato l'Icelandic Modern Media Initiative (IMMI) — un quadro giuridico che protegge whistleblower e giornalisti. Unita all'assenza di un'alleanza SIGINT formale e a un'infrastruttura geotermica che attira i data center, l'Islanda ospita fornitori come 1984 Hosting e OrangeWebsite. Limiti: esiste una cooperazione informale con le 5 Eyes tramite la NATO, e il mercato è ristretto (poche offerte consumer). Per uso personale: Svizzera > Islanda > Panama, in questo ordine.

Se faccio self-hosting del mio cloud, sono fuori da ogni giurisdizione?

Riduci l'angolo di attacco ma non lo elimini. Fare self-hosting di Nextcloud su un VPS Hetzner (Germania, 14 Eyes) o OVH (Francia, 9 Eyes) ti colloca sotto la giurisdizione del fornitore del VPS. Per uscire davvero dalle 14 Eyes: un VPS presso 1984 Hosting (Islanda), Njalla (Nevis) o Buyshared (Bulgaria, fuori dalle 14 Eyes). Ma il self-hosting implica anche la totale responsabilità della sicurezza (aggiornamenti, certificati TLS, backup) — una Nextcloud non manutenuta per 6 mesi diventa una porta aperta a prescindere dalla giurisdizione.

5/9/14 Eyes e la tua privacy nel cloud: la vera mappa mondiale della sorveglianza (2026)

Q: Cosa sono le alleanze 5 Eyes, 9 Eyes e 14 Eyes — e influiscono sulla privacy nel cloud?

Le 5/9/14 Eyes sono alleanze di condivisione dell'intelligence a livelli graduati. Le 5 Eyes (USA, Regno Unito, Canada, Australia, Nuova Zelanda) condividono dati grezzi dei segnali. Le 9 Eyes aggiungono Francia, Danimarca, Paesi Bassi, Norvegia; le 14 Eyes aggiungono Germania, Belgio, Italia, Spagna, Svezia. Per la privacy nel cloud: un fornitore con sede all'interno di queste alleanze può essere obbligato per legge a consegnare i dati, cosa che si estende agli Stati partner.

Cosa sono le 5/9/14 Eyes e perché contano per l'archiviazione cloud?

Le 5/9/14 Eyes sono alleanze di condivisione dell'intelligence a livelli graduati che determinano quali governi possono richiedere legalmente i tuoi dati cloud. Le 5 Eyes (USA, Regno Unito, Canada, Australia, Nuova Zelanda) condividono segnali grezzi. Le 9 Eyes aggiungono Francia, Danimarca, Paesi Bassi, Norvegia. Le 14 Eyes aggiungono Germania, Belgio, Italia, Spagna, Svezia. Nel 2026, solo 3 dei 12 fornitori cloud mappati — Proton Drive, Tresorit, pCloud — si trovano al di fuori di tutte le 14 Eyes, in Svizzera.

L'essenziale

Le alleanze di intelligence dei segnali (SIGINT) 5 Eyes, 9 Eyes e 14 Eyes non sono né un mito complottista né un segreto di Stato: sono documentate da grandi fughe di notizie (Snowden 2013, Vault 7 nel 2017) e confermate da dichiarazioni ufficiali di diversi governi firmatari. Nel 2026 il loro impatto sulla privacy nel cloud resta enorme — non perché consentano una sorveglianza di massa diretta, ma perché determinano quale Stato può obbligare legalmente un fornitore cloud a consegnare dati cifrati.

La domanda per un utente attento alla privacy nel cloud non è quindi «queste alleanze esistono?» (sì), né «potrei essere spiato personalmente?» (statisticamente no, se non sei un bersaglio specifico), ma: «se domani il mio fornitore riceve una richiesta legale, quale legge si applica e quanti Stati possono accedervi tramite la condivisione di intelligence?» È questa la logica che sviluppiamo qui, giurisdizione per giurisdizione.

Dei 12 fornitori di privacy cloud che abbiamo mappato a maggio 2026, 9 sono ospitati o registrati in Paesi delle 14 Eyes o alleati, e solo 3 — Proton Drive, Tresorit e pCloud (Svizzera) — beneficiano di una reale protezione giurisdizionale al di fuori delle 14 Eyes. A ciò si aggiungono alcune nicchie: 1984 Hosting (Islanda), Njalla (Nevis), Internxt (Spagna, 14 Eyes ma infrastruttura decentralizzata).

Da dove provengono le alleanze 5/9/14 Eyes?

Il nucleo delle 5 Eyes (FVEY) risale all'accordo UKUSA del 1946, firmato tra Stati Uniti e Regno Unito alla fine della Seconda guerra mondiale per continuare a condividere l'intelligence intercettata contro l'URSS. Il Canada vi aderì nel 1948, Australia e Nuova Zelanda nel 1956. Questi cinque Paesi condividono intelligence grezza — intercettazioni telefoniche, dati satellitari, accesso diretto alle infrastrutture di telecomunicazione.

Le estensioni delle 9 Eyes e delle 14 Eyes (talvolta chiamate SIGINT Seniors Europe) sono cerchi concentrici meno privilegiati: i membri ricevono intelligence filtrata e sintetizzata, ma partecipano attivamente alla raccolta. I documenti di Snowden pubblicati da The Guardian e Der Spiegel nel 2013-2014 hanno chiarito i confini:

5 Eyes (FVEY): Stati Uniti, Regno Unito, Canada, Australia, Nuova Zelanda
9 Eyes: 5 Eyes + Danimarca, Francia, Paesi Bassi, Norvegia
14 Eyes: 9 Eyes + Germania, Belgio, Italia, Spagna, Svezia

Oltre le 14 Eyes, esistono cerchi associati «Tier B»: Giappone, Corea del Sud, Singapore, Israele, che condividono occasionalmente senza appartenere all'alleanza formale.

Cosa fanno tecnicamente queste alleanze

Tre meccanismi operativi:

Condivisione di database: XKeyscore e simili, in cui ogni membro alimenta e interroga.
Aggiramento dei limiti interni: se l'NSA non può spiare legalmente un cittadino statunitense, il GCHQ britannico può farlo e trasmettere — pratica documentata e contestata dall'ACLU.
Richieste reciproche ai fornitori cloud: un mandato britannico contro un cloud statunitense passa per un canale accelerato (MLAT rafforzato).

Per la tua privacy nel cloud, il punto chiave è il meccanismo 3: se Microsoft, Google o Apple riceve una richiesta da un membro delle 5 Eyes, la cooperazione è quasi automatica. Se la richiesta proviene da un membro delle 9 o 14 Eyes, ritardo e attrito aumentano, ma l'esito resta probabile.

Come interagisce il CLOUD Act con le alleanze 5/9/14 Eyes nel 2026?

Oltre alle alleanze di intelligence, tre testi giuridici recenti strutturano l'accesso al cloud:

CLOUD Act (Stati Uniti, 2018)

Il Clarifying Lawful Overseas Use of Data Act autorizza le autorità statunitensi a obbligare le aziende americane (o quelle con una significativa entità statunitense) a fornire dati ovunque siano archiviati nel mondo. Sono interessate Microsoft, Google, AWS, Cloudflare, Apple. Un mandato federale statunitense obbliga la società madre a consegnare i dati dei clienti europei. La CGUE ha invalidato il Privacy Shield nel luglio 2020 (sentenza Schrems II) proprio perché questo CLOUD Act rende incompatibili il GDPR e l'hosting basato negli USA.

Conseguenza nel 2026: usare Microsoft 365, Google Workspace o iCloud per dati sensibili viola di fatto le tue aspettative europee di privacy, indipendentemente dalla posizione fisica del data center.

EU Data Act + DSA (Unione Europea, 2023-2024)

L'EU Data Act (in vigore dal 2024) impone ai fornitori cloud stabiliti al di fuori dell'UE di designare un rappresentante legale europeo e di cooperare con le autorità nazionali. Unito al Digital Services Act (DSA, 2022) e al Digital Markets Act (DMA), crea un obbligo di localizzazione per i «dati sensibili» — senza vietare il CLOUD Act agli attori statunitensi.

Conseguenza: un attore cloud può essere obbligato contemporaneamente dal CLOUD Act statunitense e dall'EU Data Act, senza procedura di conciliazione. È proprio la zona grigia in cui operano Microsoft, Google e AWS dal 2024.

Legge svizzera sulle attività informative (LAIn, 2017, riveduta nel 2024)

La LAIn autorizza il Servizio delle attività informative della Confederazione (SIC) a richiedere l'accesso ai dati, ma a tre condizioni cumulative: autorizzazione preventiva di un tribunale amministrativo federale, interesse nazionale dimostrato, proporzionalità documentata. Nel 2024 il report pubblico del SIC menziona 172 richieste formali, di cui 43 parzialmente soddisfatte. Nessun obbligo extraterritoriale.

Questo divario — un fattore da 30 a 50 tra la cooperazione statunitense e quella svizzera sui volumi di richieste — spiega perché Proton e Tresorit comunicano attivamente sulla loro giurisdizione svizzera dal 2018.

La mappa mondiale 2026: dove può davvero stare il tuo cloud?

Paese	Status SIGINT	Quadro giuridico cloud	Verdetto privacy
Stati Uniti	5 Eyes	CLOUD Act, FISA 702, NSL	Da evitare per dati sensibili
Regno Unito	5 Eyes	Investigatory Powers Act 2016	Da evitare (Snoopers' Charter)
Canada	5 Eyes	Bill C-26 (2024)	Da evitare
Germania	14 Eyes	BND-Gesetz riveduta nel 2021	Così così (Hetzner ok per uso standard)
Francia	9 Eyes	Legge sull'intelligence 2015 + LPM 2023	Così così (OVH ok per dati non sensibili)
Spagna	14 Eyes	Ley 11/2002 CNI	Così così
Svizzera	Fuori dalle 14 Eyes	LAIn 2017 (tribunale indipendente)	OK — riferimento
Islanda	Fuori dalle 14 Eyes	IMMI 2010	OK (mercato ristretto)
Panama	Fuori dalle 14 Eyes	Nessuna legge sulla conservazione dei dati	OK (poche offerte consumer)
Romania	Fuori dalle 14 Eyes	Legge 506/2004 (leggera)	OK (data center economici)
Nevis	Fuori dalle 14 Eyes	Confidentiality Act 1985	OK (Njalla, VPS specializzato)
Norvegia (Svalbard?)	Formalmente 9 Eyes	Quadro simile alla LAIn alle Svalbard	OK con asterisco

Questa tabella considera solo la legge applicabile all'archiviazione. La legge applicabile all'entità giuridica proprietaria del fornitore conta altrettanto: Proton è svizzera (✅), Tresorit è svizzera ma è stata acquisita nel 2021 dalla Posta svizzera (✅, Stato neutrale, fuori dalle 14 Eyes), pCloud è svizzera (✅), MEGA ha sede in Nuova Zelanda (❌, 5 Eyes), Internxt è spagnola (14 Eyes ma l'infrastruttura decentralizzata complica l'applicazione legale).

Miti diffusi da scartare

Mito 1: «Se sono onesto, non ho nulla da nascondere»

Un argomento fallace che confonde la riservatezza con l'illegalità. Le tue comunicazioni con il medico, l'avvocato, il commercialista sono legali, ma la loro esposizione a un terzo (datore di lavoro, ex partner, assicuratore, attore statale straniero) può danneggiarti concretamente. La privacy non è opacità criminale, è il controllo sul perimetro di ciò che si condivide.

La Germania è membro delle 14 Eyes e il BND-Gesetz riveduto nel 2021 autorizza l'agenzia tedesca a intercettare il traffico che transita per i data center di Francoforte e Berlino senza mandato individuale. Il GDPR protegge i tuoi dati da un uso commerciale abusivo, non dall'accesso dell'intelligence. Distinzione essenziale.

Mito 3: «Con una VPN sono irrintracciabile»

Una VPN maschera il tuo IP al sito visitato, ma il tuo fornitore cloud vede i tuoi upload, il volume, i tempi. Se il cloud non è zero-knowledge (vedi archiviazione cloud E2E vs zero-knowledge), vede anche il contenuto. VPN + cloud non-zero-knowledge = problema spostato, non risolto.

Mito 4: «L'Islanda è necessariamente sicura grazie all'IMMI»

L'IMMI è un quadro legislativo progressista, ma l'Islanda è membro della NATO e coopera informalmente con le 5 Eyes attraverso quel canale. Per l'uso da parte di giornalisti/whistleblower l'Islanda resta preferibile alla Svezia o alla Francia, ma inferiore alla Svizzera in termini di compartimentazione istituzionale.

Strategia pratica 2026: abbinamento giurisdizione × minaccia

La scelta della giurisdizione dipende dal tuo modello di minaccia:

Minaccia competitiva/commerciale (spionaggio industriale di base): Germania, Francia, Paesi Bassi bastano — il loro quadro giuridico complica l'accesso non autorizzato.
Minaccia di sorveglianza statale straniera (cittadino statunitense che teme l'NSA, cittadino francese che teme la DGSE): Svizzera obbligatoria, Islanda accettabile.
Minaccia di sorveglianza statale interna (attivista, giornalista, whistleblower nei confronti del proprio Stato): Svizzera + servizio zero-knowledge + client nativi + accesso Tor.
Minaccia post-quantistica (a lungo termine, cifratura decifrabile domani): fornitore che implementa la PQC ibrida (Proton Mail lo fa dal 2024 con Kyber-768 + X25519). Qui la giurisdizione conta meno, conta di più il modello crittografico.

Questo abbinamento è ciò che la metodologia Priviy applica sistematicamente a ogni fornitore testato: valutiamo separatamente giurisdizione, modello crittografico, audit indipendente, resilienza operativa. Nessun fornitore massimizza tutte e 4 le dimensioni — devi dare la priorità in base alla tua minaccia.

Il nostro verdetto 2026

Per la maggioranza degli utenti attenti alla privacy nel cloud nel 2026, la combinazione vincente è:

Fornitore svizzero (Proton Drive per impostazione predefinita, pCloud Crypto se desideri una soluzione lifetime)
Cifratura client zero-knowledge verificata da audit indipendente
Client desktop/mobile nativo anziché web app
Chiave di recupero su carta conservata offline

Per i profili ad alto rischio, aggiungi:

Accesso tramite Tor o VPN multi-hop
Separazione rigorosa tra identità pubblica e identità protetta
Backup ridondanti in due diverse giurisdizioni non-14-Eyes

Il vero vantaggio nel comprendere le alleanze 5/9/14 Eyes non è diventare paranoici: è saper leggere la comunicazione di marketing di un fornitore. Quando pCloud scrive «swiss-based servers», è un argomento giurisdizionale verificabile. Quando Dropbox scrive «i tuoi dati sono al sicuro», è una promessa contrattuale senza fondamento giurisdizionale. La differenza è esattamente ciò che separa la privacy cloud affidabile dalla privacy cloud di marketing.

Per definizioni rapide dei termini chiave usati in questo articolo — giurisdizione, CLOUD Act, GDPR, Five Eyes, LPD svizzera, residenza dei dati — consulta il nostro glossario su cloud cifrato e privacy.

Da leggere dopo

Migliori servizi di archiviazione cloud cifrata 2026 — classifica completa dei fornitori svizzeri e non-14-Eyes — quali fornitori ottengono il punteggio migliore sulla combinazione giurisdizione + zero-knowledge
E2E vs zero-knowledge: l'archiviazione cloud — la controparte crittografica di questo articolo
Quiz di confronto cloud cifrato — trova il tuo fornitore ideale in 60 secondi — giurisdizione, zero-knowledge, budget: 5 domande, 1 raccomandazione personalizzata
Recensione pCloud 2026 — fornitore svizzero, 8 mesi di lifetime + test Crypto
Metodologia Priviy — come valutiamo giurisdizione × crittografia × audit
Priviy Wikidata Q140050544
Riferimento accademico: EFF Surveillance Self-Defense (https://ssd.eff.org/)
Fonti primarie: archivi Snowden di The Guardian 2013-2014; report del SIC svizzero 2024; sentenza Schrems II della CGUE (C-311/18)

Articolo pubblicato il 4 giugno 2026. Metodologia: esame dei testi giuridici primari (UKUSA 1946 declassificato, CLOUD Act 2018, EU Data Act 2024, LAIn svizzera 2017), incrociati con i report di trasparenza 2023-2024 di Proton, Tresorit, pCloud, MEGA, Mailfence; verifica dello status SIGINT tramite documenti Snowden archiviati (The Guardian, Der Spiegel). Nessuna pretesa di fonti classificate proprie. Log e note archiviati internamente.

Choix éditorial

4.5 / 5

Store your files privately → pCloud

Swiss privacy · 10 GB free · optional zero-knowledge Crypto

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre