Il blackout di Signal del 20 ottobre, innescato da un guasto nei data center di Amazon Web Services in USA ha mostrato la vulnerabilità strutturale di un’Europa che parla di autonomia digitale e poi si scopre senza strumenti quando un nodo critico oltreoceano si inceppa.
Per alcune ore le comunicazioni della Commissione europea si sono paralizzate, visto che lo strumento principale utilizzato (e raccomandato!) è Signal, in hosting appunto su AWS.
Gli utenti hanno dovuto ripiegare sull’e-mail per tenere in piedi il lavoro interno, con rilevanti disagi e rallentamenti.
Signori, questo è un dettaglio che dice tutto: le comunicazioni dell’esecutivo europeo dipendono da infrastrutture collocate in Virginia settentrionale.
Aspettate, ve la dico meglio, in modo più completo: in generale il 99% dei cloud utilizzati dalla Commissione sono statunitensi, di cui addirittura il 14% sono cloud pubblici e non privati. Solo l’1% è europeo ed è OVH.
Questo dato geografico diventa un fatto politico molto rilevante.
Anche ammettendo contenuti cifrati end-to-end, come su Signal, la cornice operativa rimane negli Stati Uniti.
L’interruttore è negli Stati Uniti, il kill button è a portata di mano di Trump. Il comando per formattare ce l’hanno loro.
E a ciò si aggiunga che log di accesso, metadati e informazioni di servizio non sono criptate e risiedono su server soggetti a norme americane. Il Cloud Act, come ormai sapete bene, consente alle autorità statunitensi di richiedere dati detenuti da aziende con sede negli USA. I messaggi possono restare leggibili solo ai mittenti e ai destinatari, mentre tutto ciò che li circonda, per esempio orari, interlocutori e frequenza delle conversazioni, può diventare visibile al di là dei confini europei. Questo passaggio trasforma un tema tecnico in un rischio istituzionale.
Qui si innesta il profilo del potere esecutivo americano. Le scelte politiche di Washington, specie in fasi di irrigidimento, mostrano che chi controlla le infrastrutture ha la facoltà di interdizione.
Donald Trump ha già dato prova della leva disponibile sulla dimensione digitale.
Recentemente l’amministrazione ha imposto il blocco degli account Microsoft a Karim Khan giudice della Corte penale internazionale, per il semplice fatto che quest’ultimo aveva partecipato al dossier che aveva poi portato alla condanna del leader israeliano Nyetanahu per crimini di guerra.
Il messaggio fu chiaro: accessi, servizi e canali possono essere compressi quando lo richiede l’interesse nazionale degli Stati Uniti.
Se questo accade a una carica della giustizia internazionale, è ragionevole chiedersi quale resilienza abbiano i flussi interni dell’Unione quando poggiano su piattaforme statunitensi.
Da qui discende una conseguenza logica. L’Europa ha bisogno di una filiera tecnologica capace di reggere autonomamente almeno le funzioni essenziali: comunicazioni istituzionali sicure, cloud pubblici e privati in ambito europeo, standard di sicurezza e governance sotto diritto dell’Unione.
Del resto, per le aziende europee è già così: la NIS2 impone piani di continuità e gestione delle dipendenze critiche il Regolamento DORA richiede resilienza operativa, test periodici, scenari di crisi e capacità di migrazione.
Se le imprese devono dimostrare diversificazione dei fornitori e strategie multi cloud come misura di continuità, lo stesso livello di disciplina dovrebbe valere per le istituzioni europee, a partire dalla Commissione. No?
Sovranità tecnologica significa poter scegliere strumenti, tempi e limiti delle proprie comunicazioni senza dipendere da scelte altrui.
È un tema molto serio che richiede la massima attenzione.
Richiede investimenti, regole coerenti e una domanda pubblica che faccia crescere un’offerta europea credibile.
Il blackout del 20 ottobre ha illuminato per l’ennesima volta la mappa dei nostri punti deboli. Sta ora alle istituzioni e agli stati membri renderla una road map e non un avvertimento ignorato.