Il CLOUD Act si applica davvero a un cloud Microsoft ospitato a Francoforte?

Sì. Il Clarifying Lawful Overseas Use of Data Act del 2018 prende di mira i fornitori di servizi di comunicazione elettronica soggetti alla giurisdizione statunitense, indipendentemente dal luogo fisico di archiviazione. Microsoft Corporation, società madre statunitense, è giuridicamente obbligabile tramite un mandato federale statunitense e deve consegnare i dati dei suoi clienti europei ospitati a Francoforte, Amsterdam o Dublino. La filiale europea non crea un muro impermeabile: il controllo effettivo risale alla sede di Redmond.

Il GDPR non protegge contro questa extraterritorialità?

Il GDPR vieta in linea di principio il trasferimento di dati personali verso un Paese terzo privo di garanzie equivalenti (articolo 44). La sentenza Schrems II (CGUE, 16 luglio 2020) ha invalidato il Privacy Shield proprio perché il diritto statunitense consente un accesso da parte dell'intelligence (FISA 702, EO 12333) incompatibile con il GDPR. Ma nella pratica le aziende continuano a usare AWS e Microsoft 365 in base a Clausole Contrattuali Standard (SCC) e impegni complementari — una zona grigia non testata dalla CGUE dal 2020.

Il Data Privacy Framework (2023) risolve la questione?

Parzialmente e in via provvisoria. Il DPF ha sostituito il Privacy Shield nel luglio 2023 con garanzie rafforzate (Civil Liberties Protection Officer, Data Protection Review Court). Max Schrems e NOYB hanno presentato ricorso alla CGUE nel settembre 2023, ritenendo il DPF inadeguato. Schrems III è atteso entro il 2026-2027; in caso di invalidazione, i trasferimenti UE-USA crollano nuovamente sul piano giuridico. Nel 2026 il DPF regge, ma le aziende informate non vi fanno più affidamento come piano a lungo termine.

Concretamente, la mia azienda rischia una multa GDPR se resto su AWS?

Il rischio dipende dalla categoria di dati e da quale autorità di controllo è competente. La CNIL francese e la DPC irlandese hanno comminato multe GDPR ad aziende europee che usavano Google Analytics (CNIL 2022, diverse centinaia di migliaia di euro) o Meta (DPC 2023, 1,2 miliardi di euro). Per il cloud aziendale la giurisprudenza è più rara ma esiste: usare un cloud statunitense per dati sanitari, dati HR o dati sensibili dei clienti ti espone a multe fino al 4% del fatturato globale. Per dati operativi non sensibili, il rischio è basso ma non nullo.

Quali sono le alternative credibili ad AWS / Azure / Google Cloud nel 2026?

Tre famiglie di alternative: (1) Cloud sovrano europeo di infrastruttura — OVHcloud (Francia), Scaleway (Francia), Hetzner (Germania), IONOS (Germania). Questi attori sono vincolati al GDPR e liberi dal CLOUD Act, ma si trovano in territori 9 o 14 Eyes. (2) Cloud svizzero — Infomaniak, Exoscale, Proton Business — fuori dall'UE e fuori dai 14 Eyes, giurisdizione protettiva LRens. (3) Cloud privacy specializzato per collaborazione e archiviazione — Tresorit Business, Proton Drive Business, pCloud Business — zero-knowledge per costruzione. La scelta dipende dal caso d'uso: calcolo intensivo = OVH o Hetzner; collaborazione su documenti sensibili = Tresorit o Proton.

E il progetto Gaia-X / EUCS? Cambia qualcosa?

Gaia-X è un'iniziativa di federazione cloud europea lanciata nel 2020 con ambizioni sovrane. Nel 2026 l'adozione industriale resta limitata e l'etichetta EUCS (European Cybersecurity Certification Scheme) non ha ancora risolto la questione dell'immunità dalle leggi extra-europee — Francia e Germania sono in disaccordo su questo punto dal 2023, con l'industria del cloud statunitense che fa pressioni affinché gli hyperscaler americani restino ammissibili al livello più alto. Finché questa questione resta aperta, Gaia-X non porta alcuna nuova garanzia giurisdizionale. Nel frattempo, meglio scegliere direttamente un attore con giurisdizione chiara (svizzero, tedesco, francese a seconda del caso).

CLOUD Act vs GDPR: la tua azienda può davvero tenere il cloud in Europa nel 2026?

Q: Qual è il conflitto tra il CLOUD Act statunitense e il GDPR — e quale prevale?

Il CLOUD Act (2018) consente ai tribunali statunitensi di obbligare le aziende americane a consegnare dati archiviati ovunque nel mondo. Il GDPR (2018) vieta il trasferimento di dati personali dell'UE verso Paesi privi di una protezione adeguata. Entrambi si applicano simultaneamente a Microsoft, Google e AWS. Nessuno dei due cede: Schrems II (CGUE 2020) ha invalidato il Privacy Shield proprio per questo conflitto. Nel 2026 non esiste alcuna soluzione giuridica — l'unica via d'uscita è usare un fornitore la cui società madre non è americana.

Il CLOUD Act statunitense (2018) consente ai tribunali americani di esigere qualsiasi dato detenuto da aziende statunitensi in tutto il mondo. Il GDPR (2018) vieta il trasferimento di dati personali dell'UE senza protezione equivalente. Entrambi si applicano simultaneamente a Microsoft Azure, Google Workspace e AWS — anche per dati ospitati a Francoforte o Dublino. La sentenza Schrems II della CGUE (2020) ha confermato che il conflitto è reale e irrisolto. L'unica via d'uscita pulita: un fornitore cloud la cui società madre non è americana.

L'essenziale

Sette anni dopo la loro entrata in vigore quasi simultanea nel 2018, il CLOUD Act statunitense e il GDPR europeo continuano a convivere senza alcuna procedura formale di riconciliazione. Per qualsiasi azienda europea che ospita i propri dati su Microsoft, Google, AWS, Oracle, Salesforce o Apple, entrambi i testi si applicano contemporaneamente — uno autorizza l'accesso statunitense, l'altro lo vieta nella pratica. Questa contraddizione è nota dal 2018, documentata dalla CNIL e dall'EDPB, e ancora irrisolta nel 2026.

Per un dirigente o un Responsabile della Protezione dei Dati nel 2026, la domanda non è più "il CLOUD Act e il GDPR sono in tensione?" (sì, apertamente), ma: "qual è il mio rischio concreto se continuo a usare un cloud statunitense per dati personali o sensibili?" La risposta dipende da quattro variabili: la categoria di dati trattati, l'autorità di controllo competente, la solidità delle tue Clausole Contrattuali Standard e la tua capacità di dimostrare misure complementari efficaci.

Questo articolo mappa il conflitto giuridico nel 2026, la storia delle sentenze Schrems, lo stato reale del Data Privacy Framework e le alternative cloud credibili che puoi attivare — senza cadere nel marketing del "cloud sovrano" che offusca deliberatamente la questione giurisdizionale.

Il CLOUD Act è entrato in vigore il 23 marzo 2018, firmato dal presidente Trump. Il suo obiettivo dichiarato: chiudere il contenzioso United States v. Microsoft (il celebre caso del mandato sulle e-mail di Dublino) che aveva contrapposto il Dipartimento di Giustizia a Microsoft dal 2013, poiché quest'ultima rifiutava di consegnare e-mail archiviate a Dublino sulla base di un mandato federale statunitense. La Corte Suprema stava per pronunciarsi quando il Congresso ha legiferato d'urgenza per chiarire: sì, un mandato statunitense può raggiungere dati archiviati all'estero da un fornitore di servizi statunitense.

Il GDPR è entrato in vigore il 25 maggio 2018, due mesi dopo. Il suo articolo 48 prevede che nessuna decisione giudiziaria o amministrativa di un Paese terzo possa giustificare un trasferimento di dati personali, salvo che si basi su un accordo internazionale in vigore (come un MLAT). Il CLOUD Act non si basa su alcun accordo simile: è autodichiarato extraterritoriale.

La collisione è dunque fondamentale: due leggi fondamentali, due extraterritorialità opposte, zero meccanismi di risoluzione. I giuristi parlavano già nel 2018 di un "conflitto di leggi" irrisolto — una situazione in cui l'entità ricevente deve scegliere quale delle due leggi violare, accettando il corrispondente rischio penale o amministrativo.

Cosa autorizza tecnicamente il CLOUD Act

Il CLOUD Act conferisce all'autorità giudiziaria statunitense due poteri:

Citazione estesa (subpoena) — esigere la produzione di dati detenuti, controllati o gestiti da un fornitore di servizi di comunicazione elettronica, ovunque archiviati nel mondo, purché il fornitore sia soggetto alla giurisdizione statunitense (sede, filiale significativa, presenza operativa).
Accordi esecutivi bilaterali — consentono a un Paese straniero qualificato di richiedere direttamente a un operatore statunitense i dati di un proprio cittadino, senza passare per un MLAT, dopo un accordo intergovernativo. Il Regno Unito ha firmato un tale accordo nel 2019, l'Australia nel 2021. L'Unione Europea non ha firmato.

Il secondo potere è interessante: in teoria, consentirebbe a uno Stato europeo di recuperare i propri dati tramite un accordo esecutivo USA-UE — ma questo accordo non è mai stato concluso, proprio perché riconoscerebbe l'inversione della normale sovranità.

Cosa ha deciso Schrems II — e perché è crollato il Privacy Shield?

Una schermata di accesso con un campo password

Il 16 luglio 2020 la Corte di Giustizia dell'Unione Europea ha emesso la sentenza C-311/18 (Schrems II) — probabilmente la decisione più strutturante del diritto digitale europeo dell'ultimo decennio. Tre lezioni chiave:

Il Privacy Shield (meccanismo negoziato nel 2016 per consentire i trasferimenti UE-USA dopo l'invalidazione del Safe Harbor nel 2015) è invalidato perché non protegge sufficientemente dai programmi di sorveglianza statunitensi (in particolare FISA 702 ed Executive Order 12333).
Le Clausole Contrattuali Standard (SCC) restano valide in linea di principio ma non bastano da sole per i trasferimenti verso gli USA: l'esportatore deve valutare caso per caso se il diritto del Paese di destinazione offra una protezione sostanzialmente equivalente, e integrare con misure complementari (cifratura, pseudonimizzazione, garanzie contrattuali rafforzate).
Le autorità di controllo nazionali (CNIL, DPC, ICO post-Brexit) sono tenute a intervenire se constatano che un trasferimento non rispetta il GDPR — non possono nascondersi dietro una decisione di adeguatezza della Commissione.

Questa sentenza ha costretto l'intero settore a rivedere i propri accordi contrattuali con i cloud statunitensi. Nella pratica, la maggior parte delle aziende ha continuato a usare AWS, Microsoft 365 e Google Workspace, basandosi sulle nuove SCC del giugno 2021 e sugli impegni unilaterali degli hyperscaler ("transparency report", cifratura lato server, supervisione sulle richieste). Ma la CNIL ritiene esplicitamente, nella sua deliberazione del 10 febbraio 2022 su Google Analytics, che queste garanzie siano insufficienti per i dati personali europei.

Alcuni esempi concreti per misurare il rischio reale:

2022, CNIL contro un operatore di sito francese che usava Google Analytics: trasferimento di dati a Google LLC (USA) senza garanzie sufficienti, diffida pubblica, obbligo di cessare l'uso.
2022, autorità austriaca (DSB): decisione simile, Google Analytics ritenuto incompatibile con il GDPR per i trasferimenti verso gli USA.
2023, DPC irlandese contro Meta: multa record di 1,2 miliardi di euro per il trasferimento massiccio di dati degli utenti verso Meta US senza base giuridica sufficiente.
2024, CNIL contro diverse PMI francesi: multe da 50.000 a 200.000 euro per l'uso di Zoom e Microsoft Teams non configurati in modalità solo UE su dati sensibili.

La regola è chiara nel 2026: più i dati sono sensibili (salute, HR, identificatori, comunicazioni private), più il rischio GDPR di usare un cloud statunitense è concreto. Per i dati operativi non personali (log tecnici, metriche aggregate), il rischio resta teorico.

Il Data Privacy Framework del luglio 2023: una promessa fragile

Il Data Privacy Framework (DPF) ha sostituito il Privacy Shield nel luglio 2023 dopo tre anni di negoziati tra Bruxelles e Washington. Introduce due nuove garanzie:

Un Civil Liberties Protection Officer all'interno dell'Office of the Director of National Intelligence, incaricato di esaminare la proporzionalità dei programmi di intelligence che prendono di mira i cittadini dell'UE.
Un Data Protection Review Court indipendente in teoria, che può essere adito da qualsiasi cittadino dell'UE che ritenga di essere preso di mira da un programma di sorveglianza statunitense, con potere di rimedio.

Sulla carta è un progresso. Nella pratica, Max Schrems e la sua ONG noyb hanno presentato ricorso alla CGUE nel settembre 2023, sostenendo che il "Data Protection Review Court" non è un vero tribunale indipendente in senso europeo (giudici nominati dall'esecutivo, udienze non pubbliche, decisioni non motivate pubblicamente, nessun diritto di appello). La sentenza Schrems III è attesa entro la fine del 2026 o nel 2027.

Se la CGUE invalida il DPF — la previsione maggioritaria tra i giuristi specializzati —, i trasferimenti UE-USA crollano nuovamente sul piano giuridico, e tutte le aziende che attualmente si basano sul DPF si ritrovano in violazione retroattiva del GDPR. Il rischio di continuità giuridica sui cloud statunitensi non è quindi solo normativo; è anche temporale.

Mappa delle alternative credibili nel 2026

Per un'azienda europea che vuole uscire dal conflitto CLOUD Act × GDPR esistono tre famiglie di alternative. Nessuna è perfetta, ma ciascuna risolve almeno l'extraterritorialità statunitense.

Famiglia 1: Cloud europeo di infrastruttura

Per calcolo, archiviazione, serverless, database gestiti, gli attori europei credibili nel 2026 sono:

Fornitore	Paese	Stato SIGINT	Vantaggio	Limite
OVHcloud	Francia	9 Eyes	Catalogo completo, molte certificazioni	Si applica la legge francese sull'intelligence
Scaleway	Francia	9 Eyes	Ottimo rapporto prezzo/prestazioni, ecosistema dev	Catalogo più ridotto, stesso quadro giuridico
Hetzner	Germania	14 Eyes	Prezzi imbattibili, infrastruttura solida	Si applica la BND-Gesetz tedesca
IONOS	Germania	14 Eyes	Compatibilità MS, buono per le PMI	Catalogo limitato fuori dall'UE classica
Infomaniak	Svizzera	Fuori dai 14 Eyes	Giurisdizione protettiva LRens	Catalogo limitato, prezzi più alti
Exoscale	Svizzera	Fuori dai 14 Eyes	Più orientato alla tecnologia di Infomaniak	Meno servizi gestiti

In questo segmento, la Svizzera resta l'opzione più protettiva sul piano giurisdizionale, ma il catalogo è ristretto. Per il calcolo intensivo al miglior prezzo, Hetzner o OVH restano competitivi, con un rischio giurisdizionale controllato (quadro 14 Eyes ma GDPR rigoroso).

Famiglia 2: Collaborazione e produttività

Per sostituire Microsoft 365 e Google Workspace:

Proton Business (Svizzera) — Mail, Drive, Calendar, VPN. Zero-knowledge per costruzione. Compatibile IMAP/SMTP tramite Bridge. Il più maturo nel 2026.
Tresorit Business (Svizzera) — Drive + collaborazione + firma elettronica. Audit Ernst & Young. Prezzi enterprise più alti.
Infomaniak kSuite Pro (Svizzera) — Mail, Drive, Meet, Calendar. Buon rapporto qualità/prezzo ma meno auditato di Proton.
Nextcloud Hub (Germania, self-hosted o tramite SaaS partner) — Open source, controllo totale possibile se self-hosted, maggiore attrito d'uso.

Famiglia 3: Cloud privacy specializzato per cold storage

Per l'archiviazione cifrata o lo storage a lungo termine di dati sensibili, al di fuori del flusso collaborativo quotidiano:

pCloud Business (Svizzera) — Lifetime conveniente, add-on Crypto per lo zero-knowledge. Vedi la nostra recensione di pCloud 2026.
Filen Business (Germania) — Open source, AES-256, prezzi aggressivi. Più giovane di Proton/Tresorit.
Icedrive Business (Regno Unito) — Comodo ma giurisdizione 5 Eyes — da evitare per i dati sensibili.

La trappola di marketing del "cloud sovrano"

Dal 2022 diversi attori europei e nordamericani commercializzano offerte etichettate come "sovrane" o "EU-only". Tre casi tipici da leggere con attenzione:

Microsoft Cloud for Sovereignty — annunciato nel 2022, distribuito tramite partner in Francia, Germania, Spagna. Non elimina il CLOUD Act: Microsoft Corporation resta vincolata al diritto statunitense, e un operatore partner non ha la capacità di rifiutare un trasferimento richiesto dalla società madre. Il marketing parla di "isolamento"; la realtà giuridica resta quella di una filiale di un'azienda statunitense.
Bleu (Capgemini × Orange × Microsoft) e S3NS (Thales × Google Cloud) — joint venture franco-americane che distribuiscono tecnologie Microsoft Azure e Google Cloud su infrastrutture gestite da personale francese. Beneficiano dell'etichetta SecNumCloud rilasciata dall'ANSSI, che include un requisito di immunità dalle leggi extra-europee. Sulla carta la questione è risolta. Nella pratica, codice sorgente e aggiornamenti provengono ancora da Redmond e Mountain View — la piena autonomia operativa non è dimostrata pubblicamente.
AWS European Sovereign Cloud — annunciato a fine 2023, prima regione operativa in Germania a fine 2025. Personale esclusivamente europeo, supporto tecnico europeo, ma AWS Inc. resta il proprietario legale. Il DOJ può teoricamente citare AWS Inc. per i dati della European Sovereign Cloud.

L'unico modo per sfuggire davvero al CLOUD Act è usare un operatore la cui società madre non è americana e non ha un'entità statunitense significativa. Questa condizione è soddisfatta da OVH, Scaleway, Hetzner, Infomaniak, Proton, Tresorit, Mailfence — non dalle offerte "sovrane" degli hyperscaler statunitensi.

La nostra matrice decisionale 2026

Per una PMI o una mid-cap europea nel 2026, ecco il quadro semplice da applicare.

Dati operativi non personali (log tecnici, metriche, codice sorgente non sensibile): AWS, Azure, GCP restano difendibili, il rischio GDPR è basso. Bonus economico se sei già vincolato.

Dati personali di clienti e dipendenti (CRM, HR, comunicazioni, assistenza clienti): abbandona gli hyperscaler statunitensi, scegli un cloud europeo di infrastruttura (OVH, Scaleway, Hetzner) + una suite collaborativa non statunitense (Proton, Infomaniak, Tresorit). Il costo di migrazione è reale, ma lo è anche il rischio GDPR.

Dati sensibili, dati sanitari, R&S strategica: giurisdizione svizzera obbligatoria + cifratura zero-knowledge lato client + client nativi (nessuna web app dinamica). Vedi E2E vs zero-knowledge per il cloud storage per la griglia tecnica.

Dati giornalistici, whistleblower, attivisti: Svizzera + Tor + identità protetta + backup ridondanti su due diverse giurisdizioni non-14-Eyes. Vedi 5/9/14 Eyes e la privacy del tuo cloud per la mappa mondiale 2026.

Approfondimenti

Migliori servizi di cloud storage cifrato 2026 — confronto completo dei fornitori — quali servizi evitano per costruzione il conflitto CLOUD Act × GDPR
5/9/14 Eyes e la privacy del tuo cloud — la mappa mondiale 2026
E2E vs zero-knowledge per il cloud storage — la griglia crittografica
Proton Drive vs Tresorit vs pCloud — comparatore svizzero 2026
Recensione pCloud 2026 — test lifetime di 8 mesi + Crypto
Quiz cloud cifrato — trova in 60 secondi il fornitore senza CLOUD Act adatto al tuo profilo
Metodologia Priviy — come valutiamo giurisdizione × crittografia × audit
Wikidata Priviy Q140050544
Fonti primarie: sentenza CGUE C-311/18 (Schrems II); CLOUD Act 18 U.S.C. § 2713; Regolamento UE 2016/679 (GDPR) art. 44-50; deliberazione CNIL del 10 febbraio 2022 su Google Analytics

Articolo pubblicato il 5 giugno 2026. Metodologia: lettura dei testi primari (CLOUD Act, GDPR art. 44-50, sentenze C-362/14 Schrems I e C-311/18 Schrems II), esame delle deliberazioni CNIL e DPC 2020-2025, consultazione delle raccomandazioni EDPB 01/2020 sulle misure complementari post-Schrems II e confronto con i transparency report 2024 degli hyperscaler e degli attori europei. Nessuna pretesa di fonti proprietarie riservate.

Choix éditorial

4.5 / 5

Store your files privately → pCloud

Swiss privacy · 10 GB free · optional zero-knowledge Crypto

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre