alexi.sh
Tutti gli articoliSicurezza del browserPrivacy di reteStrumenti per la privacyModellazione delle minacceProgrammazione con IAStrumenti per sviluppatori

alexi.shRicerca

privacy-tooling

Sovranità dei Dati: Cosa Significa, Perché è Importante e Come Raggiungerla

PrivSec Lab13 min di lettura
Globo digitale e rete — sovranità dei dati e controllo giurisdizionale dei flussi di dati transfrontalieri

Una guida tecnica alla sovranità dei dati: giurisdizione, CLOUD Act, GDPR, residenza dei dati vs localizzazione, crittografia a conoscenza zero e come strumenti come Proton mantengono i tuoi dati fuori dalla portata degli Stati Uniti.

Indice dei Contenuti

Cosa significa realmente la sovranità dei dati

La sovranità dei dati è ingannevolmente semplice da enunciare e sorprendentemente difficile da raggiungere. Il principio fondamentale: i dati sono soggetti alle leggi e ai quadri di governance della nazione in cui si trova l'entità di controllo. Non dove si trovano i server. Non dove sono stati creati i dati. Dove l'organizzazione che li controlla è incorporata e opera.

Questa distinzione ha enormi conseguenze pratiche. Una società statunitense che memorizza dati su server ad Amsterdam è ancora una società statunitense. Il governo degli Stati Uniti può obbligarla a produrre quei dati secondo la legge statunitense — specificamente, secondo il CLOUD Act, una legge del 2018 che ha esplicitamente esteso la portata legale degli Stati Uniti ai dati detenuti all'estero da fornitori con sede negli Stati Uniti. Il datacenter di Amsterdam è irrilevante per questo calcolo.

La vera sovranità dei dati significa che tre cose sono allineate:

1. Giurisdizione legale. L'organizzazione che detiene i tuoi dati è incorporata in un paese con forti protezioni della privacy domestica e senza accordi di accesso ai dati extraterritoriali con la giurisdizione che stai cercando di evitare.

2. Controllo fisico. I server sono gestiti da quell'organizzazione, non subappaltati a un fornitore di cloud statunitense o cinese (AWS, Azure, Google Cloud, Alibaba Cloud) che può essere indipendentemente servito con un ordine legale.

3. Architettura crittografica. L'organizzazione non può leggere i tuoi dati anche se ordinato di produrli, perché la crittografia end-to-end significa che detengono solo il testo cifrato, non le chiavi.

La maggior parte delle soluzioni cloud "sovrane" soddisfa uno o due di questi requisiti, raramente tutti e tre.

Sovranità dei dati vs residenza dei dati vs localizzazione dei dati

Questi tre termini sono spesso confusi, anche nei contesti di approvvigionamento aziendale. Sono distinti:

Residenza dei dati si riferisce alla posizione fisica dell'archiviazione dei dati. Un'organizzazione con una politica di residenza dei dati mantiene i dati dei clienti dell'UE su server basati nell'UE. Questo è principalmente un atteggiamento di conformità — soddisfa i requisiti del GDPR riguardo al trasferimento dei dati al di fuori dell'UE e offre alle organizzazioni certezza contrattuale su dove si trovano i loro dati. Non cambia quale entità legale controlla quei dati o quale sistema legale li governa.

Localizzazione dei dati è la versione del mandato normativo. Paesi come la Russia (Legge Federale 242-FZ), la Cina (PIPL, Legge sulla Sicurezza dei Dati) e l'India (DPDP Act 2023) richiedono che determinate categorie di dati sui loro cittadini siano archiviati e processati entro i confini nazionali. Questo è il governo che impone la residenza dei dati alle aziende, piuttosto che le aziende che la adottano volontariamente. I requisiti di localizzazione creano obblighi di conformità per qualsiasi organizzazione che gestisce dati da queste giurisdizioni.

Sovranità dei dati è il livello di governance sopra entrambi. Si chiede: chi controlla legalmente questi dati in ultima analisi? Quale sistema giudiziario può obbligare l'accesso? Quale legge sulla privacy li protegge? Un'azienda può soddisfare i requisiti di residenza dei dati (tutti i server in Germania) e non avere comunque sovranità dei dati se l'entità di controllo è una società madre statunitense soggetta a ordini FISA 702 o CLOUD Act.

L'implicazione pratica per le organizzazioni: la residenza dei dati è necessaria ma non sufficiente per la sovranità dei dati. Scegliere un fornitore di cloud con sede in una giurisdizione favorevole è almeno importante quanto la posizione dei suoi datacenter.

Il panorama delle minacce legali

Server in un data center

Comprendere la sovranità dei dati richiede di comprendere gli strumenti legali specifici che la minano.

CLOUD Act (US, 2018). Il Clarifying Lawful Overseas Use of Data Act consente alle forze dell'ordine statunitensi di emettere mandati per dati detenuti all'estero da fornitori con sede negli Stati Uniti, senza passare attraverso le procedure del Trattato di Assistenza Legale Reciproca (MLAT). Il processo MLAT era lento e dava ai paesi ospitanti l'opportunità di opporsi; il CLOUD Act lo bypassa. Qualsiasi fornitore di cloud con sede negli Stati Uniti — AWS, Microsoft Azure, Google Cloud, Salesforce, Dropbox — può essere obbligato a produrre dati detenuti su server europei senza notificare lo stato membro dell'UE dove si trovano i server.

FISA Sezione 702 (US). La Sezione 702 del Foreign Intelligence Surveillance Act autorizza la NSA a raccogliere comunicazioni di persone non statunitensi da fornitori con sede negli Stati Uniti senza mandati individuali, sotto un quadro di raccolta di massa rinnovato fino al 2026. FISA 702 opera segretamente; i fornitori non possono divulgare richieste specifiche. Qualsiasi servizio che utilizza infrastrutture con sede negli Stati Uniti per utenti non statunitensi rientra in questo quadro.

Investigatory Powers Act (UK, 2016). Il "Snooper's Charter" richiede alle aziende britanniche di mantenere capacità per l'intercettazione di dati di massa su richiesta e vieta la divulgazione di avvisi di intercettazione. Post-Brexit, il Regno Unito opera il proprio quadro di sorveglianza distinto (ma ampiamente simile) alla legge dell'UE.

GDPR (UE, 2018). Il Regolamento Generale sulla Protezione dei Dati limita i trasferimenti di dati personali dell'UE verso paesi senza livelli di protezione dei dati "adeguati". Tuttavia, il GDPR governa principalmente i responsabili del trattamento dei dati (organizzazioni) piuttosto che fornire una forte protezione contro l'accesso governativo — non impedisce ai governi dell'UE di emettere ordini di accesso ai dati, e il quadro di "adeguatezza" non risolve completamente il conflitto del CLOUD Act. Il Quadro di Privacy dei Dati UE-USA del 2023 tenta di affrontare la sentenza Schrems II che ha invalidato il precedente Privacy Shield, ma la sua durata sotto future sfide legali rimane incerta.

Swiss nDSG (2023). La revisione della Legge Federale sulla Protezione dei Dati della Svizzera applica la legge sulla privacy svizzera a qualsiasi organizzazione che elabora dati sui residenti svizzeri, con una portata extraterritoriale che rispecchia il GDPR. Più rilevante per scopi di sovranità dei dati, le leggi nazionali della Svizzera forniscono protezioni procedurali contro le richieste di dati estere — i tribunali svizzeri possono e fanno revisionare le richieste prima della produzione, e le leggi sul segreto svizzere impongono sanzioni sulla divulgazione prematura.

Perché la giurisdizione conta più della posizione del server

Il principio è semplice: la coercizione legale segue la struttura aziendale, non la geografia del datacenter.

Considera un esempio concreto. Proton AG è incorporata a Ginevra, Svizzera. I suoi server sono anche in Svizzera e Islanda. Un'agenzia di applicazione della legge statunitense non può servire Proton con un mandato CLOUD Act perché Proton non è una persona statunitense o un fornitore con sede negli Stati Uniti. Deve utilizzare i canali legali svizzeri — MLAT con la Svizzera, che coinvolge i tribunali svizzeri e i procuratori svizzeri. I trattati MLAT della Svizzera richiedono che la condotta richiesta costituisca un crimine secondo la legge svizzera (doppia criminalità), che filtra molte richieste statunitensi che sarebbero automaticamente concesse contro un fornitore statunitense.

Contrasta questo con una società statunitense che sposta i dati degli utenti europei a Francoforte. Ha soddisfatto i requisiti di residenza dei dati del GDPR. Ma la società madre a Seattle può ancora essere servita con un mandato CLOUD Act, e l'entità legale che controlla i dati — che è la società madre statunitense, non la filiale tedesca — deve conformarsi.

Questo è il motivo per cui la scelta del fornitore di cloud è una decisione di sovranità dei dati, non solo una decisione di approvvigionamento. Le organizzazioni che elaborano dati sensibili — cartelle cliniche, dati finanziari, comunicazioni legali, corrispondenza personale — e vogliono una vera sovranità dei dati non possono ottenerla utilizzando fornitori di cloud con sede negli Stati Uniti, indipendentemente dalla posizione del datacenter.

Per gli individui, la decisione equivalente è il fornitore di email e archiviazione cloud. I tuoi file su Google Drive, indipendentemente da quale datacenter si trovino, sono detenuti da una società statunitense soggetta alla legge sulla sorveglianza statunitense e alle richieste del CLOUD Act.

Come raggiungere la sovranità dei dati

Raggiungere una significativa sovranità dei dati richiede di operare su tre livelli contemporaneamente.

Livello 1: Selezione della giurisdizione legale. Scegli fornitori di servizi, piattaforme cloud e strutture organizzative incorporate in giurisdizioni con forti leggi sulla privacy domestica e senza condivisione obbligatoria di intelligence con Five Eyes o alleanze simili. Svizzera, Islanda e Norvegia sono le opzioni più forti per le organizzazioni europee. All'interno dell'UE, Germania e Austria hanno protezioni della privacy domestica relativamente forti oltre al GDPR.

Per le organizzazioni, questo può significare ristrutturare le entità legali che controllano i dati sensibili — creando una filiale svizzera o dell'UE che controlla genuinamente i dati piuttosto che agire come pass-through per una società madre statunitense.

Livello 2: Controlli crittografici. La protezione basata sulla giurisdizione ha dei limiti. I processi legali evolvono, i governi raggiungono accordi, le aziende vengono acquisite. L'unica protezione che sopravvive alla coercizione legale è la crittografia end-to-end dove il fornitore non detiene mai il testo in chiaro.

L'architettura a conoscenza zero significa che l'operatore del servizio non può fornire nulla di utile a qualsiasi richiesta legale tranne il testo cifrato. Proton Mail implementa questo per le email tra utenti Proton (e opzionalmente a destinatari esterni con una password). Proton Drive lo implementa per tutti i file archiviati. Anche se un tribunale ordina a Proton di produrre dati, possono solo produrre blob crittografati.

Il compromesso è funzionale: la crittografia a conoscenza zero rimuove la capacità del fornitore di offrire ricerca lato server, filtraggio dello spam basato sul contenuto e funzionalità AI che richiedono accesso al testo in chiaro. Le organizzazioni che scelgono strumenti a conoscenza zero devono accettare questi vincoli.

Livello 3: Indipendenza dell'infrastruttura. Evita di subappaltare a fornitori di cloud statunitensi di grandi dimensioni per carichi di lavoro sensibili. AWS, Azure e Google Cloud sono tutte aziende statunitensi con esposizione diretta agli ordini FISA 702 e CLOUD Act. Una società svizzera che esegue la sua applicazione su infrastruttura AWS EU-West ha risolto il problema della giurisdizione legale per se stessa ma lo ha reintrodotto a livello di infrastruttura.

Le alternative includono OVHcloud (francese), Hetzner (tedesco) e Infomaniak (svizzero). Questi sono fornitori più piccoli con profili SLA diversi, che è un vero compromesso operativo. Per carichi di lavoro sensibili, l'infrastruttura auto-ospitata su hardware posseduto o noleggiato fornisce la garanzia più forte.

Sovranità dei dati per gli individui

L'implementazione pratica per gli individui è più semplice che per le organizzazioni, perché gli individui tipicamente devono proteggere comunicazioni personali, documenti e dati di navigazione piuttosto che flussi di dati aziendali multi-giurisdizionali.

Email. Allontanati da Gmail, Outlook e Yahoo — tutte aziende statunitensi soggette a sorveglianza CLOUD Act e FISA 702. Proton Mail è l'alternativa più credibile che rispetta la privacy: giurisdizione svizzera, crittografia end-to-end per messaggi Proton-to-Proton (e con destinatari esterni tramite password), client open-source e una storia di successo nel resistere a richieste di dati estere.

Divulgazione: il link sottostante è un link di affiliazione. Guadagniamo una commissione se ti iscrivi — senza costi aggiuntivi per te.

Passa a Proton Mail → Proton Mail (Piano gratuito disponibile — giurisdizione svizzera, crittografia end-to-end)

Archiviazione cloud. Google Drive, Dropbox e OneDrive sono tutte aziende statunitensi. Proton Drive offre archiviazione crittografata end-to-end sotto giurisdizione svizzera. I file sono crittografati prima del caricamento; Proton non può leggerli. Per esigenze di archiviazione più grandi, Nextcloud auto-ospitato su infrastruttura europea è un'opzione valida per utenti tecnicamente capaci.

Archivia file sotto la legge svizzera → Proton Drive (Archiviazione gratuita, crittografia end-to-end, giurisdizione svizzera)

VPN e traffico di rete. Una VPN non risolve direttamente la sovranità dei dati — il contenuto delle tue email rimane sotto la giurisdizione del tuo fornitore indipendentemente da quale VPN usi. Ma una VPN con giurisdizione svizzera o scandinava mantiene i tuoi schemi di navigazione e le query DNS fuori dalla portata della sorveglianza statunitense. Vedi la nostra guida alla privacy del browser per un'analisi tecnica di cosa protegge effettivamente una VPN.

Ricerca e produttività. Sostituire Google Search con alternative che rispettano la privacy (Brave Search, Startpage, DuckDuckGo) rimuove il livello di raccolta dei dati comportamentali. La nostra guida alle alternative a Google copre la migrazione completa servizio per servizio, inclusi ricerca, calendario e modifica dei documenti.

Sovranità dei dati per le organizzazioni

Per le organizzazioni, la sovranità dei dati coinvolge sia controlli tecnici che struttura legale. Le domande sono più ampie:

Infrastruttura cloud. Dove ha sede il tuo fornitore di cloud? Qual è la giurisdizione della società madre? Il CLOUD Act si applica a qualsiasi fornitore con un legame con gli Stati Uniti, indipendentemente da dove nella struttura aziendale si trova il tuo contratto. Valuta OVHcloud, Hetzner, Scaleway e Infomaniak come alternative ad AWS/Azure/GCP per carichi di lavoro sensibili.

Strumenti SaaS. La maggior parte dei SaaS aziendali funziona su infrastruttura statunitense ed è gestita da aziende statunitensi. Slack, Salesforce, Zoom, Notion e GitHub sono tutti soggetti al processo legale statunitense. Esistono alternative europee per molte categorie — Element (basato su Matrix) per la messaggistica sicura, Nextcloud per la collaborazione sui documenti — ma l'attrito nell'adozione è reale.

Accordi di trattamento dei dati (DPA). Il GDPR richiede DPA con tutti i processori. Assicurati che i tuoi DPA specifichino non solo la residenza dei dati (dove si trovano i server) ma l'entità legale che controlla il trattamento e la giurisdizione che governa l'accordo. Un DPA con una filiale dell'UE di una società statunitense non impedisce alla società madre statunitense di essere servita con un ordine CLOUD Act.

Dati dei dipendenti. Nella maggior parte delle giurisdizioni dell'UE, i dati dei dipendenti sono soggetti a protezioni più forti rispetto ai dati dei clienti. Archiviare i record HR su una piattaforma SaaS statunitense (Workday, SAP SuccessFactors) crea obblighi di conformità al trasferimento GDPR e rischi di sovranità che molte organizzazioni sottovalutano.

Risposta agli incidenti. Se si verifica una violazione, le domande sulla sovranità dei dati diventano acute. Un fornitore con giurisdizione statunitense può avere obblighi di risposta agli incidenti che richiedono loro di notificare le autorità statunitensi prima di notificare te o i regolatori dell'UE, creando conflitti con le tempistiche di notifica delle violazioni GDPR. Chiarisci questi obblighi contrattualmente in anticipo.

Il minimo organizzativo per la sovranità dei dati è: dati sensibili elaborati solo da fornitori incorporati al di fuori dei Five Eyes e senza società madri statunitensi; crittografia end-to-end o architettura a conoscenza zero per le categorie più sensibili; e revisione legale di qualsiasi trasferimento di dati transfrontaliero rispetto sia al GDPR che alle leggi nazionali delle giurisdizioni coinvolte.

Per il livello tecnico che completa le scelte giurisdizionali, vedi la nostra guida alla modellazione delle minacce per utenti consapevoli della tecnologia — guida attraverso la costruzione di un modello di avversario strutturato che mappa i tuoi rischi effettivi ai controlli che li affrontano.

Photo: Unsplash (source)

Disponibile anche in

ENFRESDEPT

FAQ

Cosa significa sovranità dei dati in termini semplici?
La sovranità dei dati è il principio secondo cui i dati sono governati dalle leggi del paese in cui risiedono fisicamente — e per estensione, dove l'organizzazione che li controlla è incorporata. Se il tuo provider di email è una società statunitense, la legge statunitense si applica a quei dati indipendentemente da dove si trovano i server. La vera sovranità dei dati richiede che sia la posizione dei dati che l'entità legale di controllo siano al di fuori della giurisdizione che si desidera evitare.
La sovranità dei dati è la stessa cosa della residenza dei dati?
No. La residenza dei dati significa archiviare i dati entro un confine geografico specifico — ad esempio, mantenere i dati degli utenti dell'UE su server all'interno dell'UE. Non cambia quale paese governa quei dati se la società che gestisce i server è incorporata altrove. La sovranità dei dati è il concetto più ampio: richiede controllo legale, non solo posizione fisica. Una società statunitense con server a Francoforte elabora comunque i tuoi dati secondo la legge statunitense.
Il CLOUD Act consente agli Stati Uniti di accedere ai dati archiviati in Europa?
Sì, in determinate condizioni. Il Clarifying Lawful Overseas Use of Data Act (2018) consente alle forze dell'ordine statunitensi di emettere mandati a società con sede negli Stati Uniti per dati archiviati all'estero, bypassando i requisiti di protezione dei dati del paese ospitante. Ciò significa che un fornitore statunitense con server nell'UE può essere obbligato a consegnare dati senza invocare i trattati MLAT. Il CLOUD Act include un meccanismo di accordo esecutivo per i paesi con leggi sulla privacy comparabili, ma nessun accordo del genere con l'UE era in vigore all'inizio del 2026.
Cos'è la crittografia a conoscenza zero e come aiuta?
La crittografia a conoscenza zero significa che il fornitore del servizio non detiene alcuna chiave per decifrare i tuoi dati. Anche se legalmente obbligato, può solo consegnare il testo cifrato che non può leggere. Proton Mail e Proton Drive implementano la crittografia end-to-end dove la tua chiave privata non lascia mai il tuo dispositivo in chiaro. Il server memorizza solo blob crittografati. Questo è architettonicamente diverso dalla 'crittografia a riposo', dove il fornitore detiene la chiave di decrittazione e la crittografia protegge solo contro le violazioni a livello di archiviazione.
Perché la giurisdizione svizzera è importante per la sovranità dei dati?
La Svizzera non è un membro dell'UE, non è un membro delle alleanze di intelligence Five Eyes o Fourteen Eyes, e ha leggi sulla privacy domestica (nDSG / revisione FDAP) che sono più rigorose degli Stati Uniti ma operano indipendentemente dal GDPR. Le aziende svizzere possono contestare le richieste di dati estere nei tribunali svizzeri, e i tribunali svizzeri hanno storicamente sostenuto queste contestazioni. Proton, incorporata a Ginevra, ha resistito con successo a diverse richieste di dati estere instradandole attraverso il processo legale svizzero, incluso un caso del 2023 in cui ha rifiutato di registrare gli IP degli utenti sotto i vincoli della legge svizzera.

Ricerca correlata

Un lucchetto di metallo e una catena appoggiati su una tastiera di laptop

privacy-tooling

ChatGPT è sicuro? Uno sguardo chiaro e onesto (2026)

È sicuro usare ChatGPT? Dipende da cosa intendi per sicuro — la privacy dei dati, la sicurezza dell'account, l'accuratezza e le truffe sono domande separate. Quali sono i veri rischi, cosa è esagerato e come usare ChatGPT in modo sicuro.

PrivSec Lab··3 min read
Un'illustrazione digitale di un cervello fatto di linee di circuito, che rappresenta l'intelligenza artificiale

privacy-tooling

AI e Privacy dei Dati: Cosa Succede a Ciò che Scrivi (2026)

Gli strumenti di intelligenza artificiale sono utili perché ingeriscono i tuoi dati — ed è proprio questo il problema di privacy. Cosa fanno i servizi di intelligenza artificiale con i tuoi input, come funzionano l'addestramento e la conservazione, i rischi reali e i modi pratici per mantenere i tuoi dati privati pur utilizzando l'AI.

PrivSec Lab··4 min read
Primo piano di cavi in fibra ottica che brillano di blu nel buio — confronto privacy Proton VPN vs Mullvad 2026

privacy-tooling

Proton VPN vs Mullvad 2026: confronto tecnico onesto per utenti attenti alla privacy

Confronto approfondito 2026 tra Proton VPN e Mullvad: giurisdizione, audit no-log, WireGuard, pagamenti anonimi (contanti/Monero vs Bitcoin), server solo RAM, port forwarding e prezzo. Verdetto sfumato per utenti che si preoccupano della reale anonimato.

PrivSec Lab··13 min read