Esiste un “interruttore di spegnimento”, un cosiddetto “kill switch” digitale a disposizione degli Stati Uniti che potrebbe di colpo interrompere i servizi tecnologici europei. Secondo una analisi del think tank FOTI, Future of Technology Institute (che ha sede a Bruxelles) dal titolo “Cloud Defense: An Exposed European flank” oggi le aziende statunitensi detengono circa l’80% del mercato cloud europeo. “Mentre l’Europa si muove per rafforzare la propria difesa interna di fronte a una gamma crescente di minacce – si legge nel rapporto – Una delle principali vulnerabilità oggi è il cloud computing, che alimenta sistemi vitali per le forze armate europee, dalle armi alla logistica fino alla gestione del personale”.
Contratti nascosti, dipendenza reale
La reale entità della dipendenza europea resta però in
gran parte invisibile perché molti contratti sono classificati. Eppure i dati
pubblici mostrano già rischi elevati: “Oltre tre quarti degli Stati europei
dipendono dalle grandi aziende tecnologiche statunitensi per funzioni critiche
di sicurezza nazionale – si legge – : i sistemi in 23 dei 28 Paesi analizzati
sembrano fare affidamento su tecnologia statunitense”. I principali fornitori
sono Google, Microsoft e Oracle: “Le aziende statunitensi
detengono, secondo le stime, circa l’80% del mercato cloud europeo”.
Parallelamente, “il governo degli Stati Uniti ha perseguito aggressivamente
l’accesso ai dati degli utenti considerati avversari… Questo alimenta le ben
note preoccupazioni europee riguardo al CLOUD Act”. Non a caso nel 2022
l’esercito svizzero ha vietato WhatsApp. “Tuttavia, gli eventi recenti
hanno ampliato il ‘modello di minaccia’, includendo la concreta possibilità di
perdere completamente l’accesso a servizi chiave”.
Il precedente della Corte Penale
Internazionale
Il rapporto elabora un parallelismo con quanto è
successo lo scorso anno alla Corte Penale Internazionale: Nicolas
Guillou, giudice francese della CPI, è stato uno dei sei giudici e tre
procuratori sanzionati dall’amministrazione Trump per aver autorizzato mandati
di arresto contro il primo ministro israeliano Benjamin Netanyahu. “Ai sensi
della legge statunitense – spiega FOTI – persone o aziende americane, comprese
le loro filiali all’estero, non possono fornire servizi a individui sanzionati.
Questo ha incluso la cancellazione di prenotazioni di viaggio da parte di
Expedia, costringendolo a chiamare gli hotel e pagare in contanti, e
l’impossibilità di utilizzare il treno nella sua città”. Le stesse sanzioni
avrebbero portato Microsoft a disattivare l’email del procuratore capo della
CPI Karim Khan. Microsoft ha successivamente contestato la propria
responsabilità per gli eventi senza spiegare nel dettaglio cosa fosse accaduto.
O ancora, il caso Ucraina durante i negoziati per i minerali critici. Spiega Katja
Bego, ricercatore senior presso il Programma Europa di Chatham House: “Un
esempio è Maxar, un fornitore commerciale di immagini satellitari, che è stato
temporaneamente disattivato nell’ambito dei negoziati. Hanno minacciato di fare
lo stesso con Starlink. Se si può fare questo a Kiev si può fare a Londra,
Bruxelles, Parigi e Berlino. Si può fare a Copenaghen passando per la
Groenlandia”.
Sistemi “sovrani” ma vulnerabili
In Europa 16 ministeri o agenzie della
difesa sono classificati ad alto rischio. Anche i sistemi “air-gapped”,
teoricamente isolati, utilizzano tecnologia statunitense. “Necessitano di
aggiornamenti regolari – spiega il rapporto – e dipendono dalla manutenzione
del fornitore statunitense”. Se tale manutenzione venisse interrotta la loro affidabilità
e la loro sicurezza sarebbero compromesse”. Il problema è anche tecnico ed
economico: margini elevati e licenze brevi. “Molti servizi cloud richiedono il
rinnovo delle licenze dopo 30 giorni. Se ti interrompono l’accesso, non puoi
più usarli” spiega Tobias B. Bacherle, responsabile Senior per la Promozione in
Germania presso il Future of Technology Institute
Mappa dei rischi e casi europei
L’Italia è tra i Paesi a rischio medio
insieme a Francia, Spagna e altri, mentre gran parte dell’Europa è ad alto
rischio. Solo l’Austria è classificata a rischio basso. I
legami con le Big Tech sono diffusi: il Ministero della Difesa britannico ha
contratti IT con Google, Oracle, Amazon Web Services e Microsoft per un totale
di 1,099 miliardi di euro, in Germania la Bundeswehr ha affidato i propri
servizi IT interni a BWI GmbH per un valore totale di 1,6 miliardi di euro,
includendo servizi cloud Google. Nel febbraio 2025, il Ministero della
Difesa polacco ha firmato un accordo con Microsoft per sviluppare collaborazione
in ambiti come intelligenza artificiale e quantum computing. In aprile, ha
firmato un accordo analogo con Oracle per servizi di cybersecurity. Ci sono poi
i casi di dipendenze nascoste: in Danimarca il governo ha annunciato la
sostituzione di Microsoft Office con soluzioni open source in alcune agenzie
pubbliche ma il contractor militare SitaWare ha sviluppato BattleCloud, che
generalmente opera su infrastruttura Microsoft Azure. Nel 2024 la
Spagna ha affidato a Telefónica un contratto da 80,3 milioni di euro per
costruire il sistema informativo della difesa (I3D) ma a sua volta Telefónica
utilizza infrastruttura Oracle, e il Ministero della Difesa ha speso oltre 7,6
milioni di euro in licenze. “L’Italia – si legge – ha recentemente trasferito i
sistemi della difesa sul Polo Strategico Nazionale (PSN), la soluzione cloud
sovrana nazionale. Il PSN utilizza tecnologie Google Assured Workload e Oracle
Alloy”.
Il modello alternativo
L’unico caso realmente autonomo è l’Austria,
che ha avviato una transizione completa verso soluzioni open source
come NextCloud e LibreOffice, abbandonando le Big Tech. Un esempio che
mostra come la sovranità digitale sia possibile, ma richieda scelte politiche e
investimenti strutturali.
