Cloud souverain, cloud de confiance, CLOUD Act : ce qui protège vraiment vos données Infomaniak

Cos’è un cloud sovrano?

Oggi molti provider cloud si presentano come “sovrani”. Dietro questa etichetta, la realtà è spesso ben diversa. I tuoi dati possono essere fisicamente archiviati in Svizzera o in Europa, e restare perfettamente accessibili dagli Stati Uniti. Ecco perché la sovranità dei dati è una questione strategica, e come evitare le insidie al momento di scegliere il tuo provider cloud.

Questo articolo si basa sull’intervento di Léopold Jacquot, Principal Engineer di Infomaniak, agli Swiss Cyber Security Days 2026.

Localizzazione dei dati: perché “ospitato in Svizzera/Europa” non basta

Partiamo dall’illusione più diffusa: la geografia.

Léopold Jacquot è Principal Engineer di Infomaniak da nove anni. Agli Swiss Cyber Security Days 2026 ha sintetizzato il problema con un’immagine:

Immagina una cassaforte fisicamente a Zurigo, acciaio svizzero, serratura svizzera. Solo che la chiave è in mano a un’azienda di San Francisco. La cassaforte è svizzera. Il suo contenuto non lo è più.

È esattamente quello che succede ai tuoi dati quando l’azienda che gestisce il server è soggetta a una legislazione straniera. Il CLOUD Act, una legge americana in vigore dal 2018, obbliga le aziende tecnologiche statunitensi a fornire dati alle autorità, anche se questi sono archiviati all’estero.

In concreto: non importa se il data center si trova a Berna, Francoforte o Parigi. Se l’azienda che lo gestisce è americana o di proprietà di un gruppo americano, i tuoi dati sono legalmente accessibili dagli Stati Uniti.

Per i profili tecnici, Léopold Jacquot va oltre: ciò che conta davvero è chi detiene le chiavi di cifratura.

I tuoi dati possono essere cifrati in AES-256, ospitati in un data center europeo, con un SLA blindato. Ma se le chiavi sono gestite da un servizio operato da AWS, Azure o Google Cloud, è come cifrare i tuoi dati e spedire la chiave per posta negli Stati Uniti.

Il livello software che cambia tutto (e che crea dipendenza)

La geografia non è l’unica promessa falsa.

Prendi un’applicazione sviluppata da un’azienda europea, venduta come “100% locale”. Sotto il cofano, gira su un sistema la cui licenza appartiene a un editore straniero, con server di licenze negli Stati Uniti. Tutto funziona benissimo. Fino al giorno in cui quell’editore cambia le condizioni, aumenta i prezzi del 300% o decide semplicemente di tagliare l’accesso.

Alcune offerte di “cloud sovrano” si basano interamente su tecnologie straniere. L’attore locale è la facciata, ma il livello che tocca i tuoi dati è controllato dall’estero. Lo si vede ovunque in Europa: partnership tra provider cloud europei e hyperscaler americani, presentate come “sovrane”. Ma a grattare un po’, il livello fondamentale resta controllato dall’estero.

Il mito del contratto blindato

E poi c’è il contratto. Il ragionamento è:

I nostri avvocati hanno negoziato una solida clausola di riservatezza, siamo protetti.

Solo che un contratto commerciale è un accordo tra due parti private. Non regge di fronte a una richiesta legale di uno Stato. Di fronte a un’ingiunzione giudiziaria americana, le clausole di riservatezza non cambiano nulla. Sono due livelli di protezione fondamentalmente diversi.

E questa logica non vale solo per i server o i servizi di messaggistica. Vale per tutto ciò che affidiamo a un servizio americano, compresi i prompt che i tuoi team inviano ogni giorno a Claude di Anthropic, ChatGPT, Copilot di Microsoft o Gemini di Google. Il contratto “enterprise” di questi servizi è un contratto commerciale. Non ha peso di fronte a un’ingiunzione statale.

CLOUD Act, GDPR, leggi extraterritoriali: cosa dice davvero il diritto

Il CLOUD Act obbliga qualsiasi azienda di diritto americano a fornire alle autorità i dati che detiene, inclusi quelli archiviati fuori dagli Stati Uniti.
Il GDPR disciplina rigorosamente i trasferimenti di dati personali verso paesi terzi.
Il problema è che questi due testi sono in diretto conflitto. La sentenza Schrems II della Corte di giustizia dell’Unione europea (2020) ha peraltro riconosciuto che la legislazione americana non offre un livello di protezione equivalente a quello dell’UE.

La conseguenza concreta per un’azienda europea che affida i propri dati a un provider soggetto al CLOUD Act: è esposta al rischio di non conformità al GDPR, con sanzioni che possono arrivare al 4% del fatturato mondiale.

Questo rischio si è materializzato nel 2025. Il 6 febbraio, un decreto presidenziale americano colpisce con sanzioni personali Karim Khan, procuratore della Corte penale internazionale. Nelle settimane successive, perde l’accesso alla sua casella Microsoft e passa a un’alternativa svizzera. Il 20 agosto, le sanzioni americane vengono estese a diversi responsabili della CPI, tra cui il giudice francese Nicolas Guillou, le cui carte bancarie Visa e Mastercard vengono bloccate e il cui accesso a diverse piattaforme americane (Amazon, Airbnb, Booking.com, Expedia) viene tagliato. Il 31 ottobre, la CPI annuncia che sostituirà Microsoft 365 con openDesk — una suite open source sviluppata dall’ente pubblico tedesco ZenDiS — per le sue 1.800 postazioni di lavoro.

Una serie di eventi che ha dimostrato, in meno di un anno, ciò che nessun argomento commerciale era riuscito a far ammettere:

Un provider soggetto a una giurisdizione straniera può essere costretto a tagliare l’accesso ai propri servizi, anche a un magistrato internazionale.

Il 10 giugno 2025, davanti alla commissione d’inchiesta del Senato francese sugli appalti pubblici, Anton Carniaux, direttore degli affari pubblici e legali di Microsoft France, viene interrogato sotto giuramento: può garantire che i dati dei cittadini francesi non verranno mai trasmessi alle autorità americane senza il consenso delle autorità francesi? La sua risposta:

No, non posso garantirlo, ma non è mai successo finora.

Una risposta che chiude, di fatto, il dibattito sulla reale portata degli impegni contrattuali di fronte a un’ingiunzione statale.

La visione di Infomaniak: tre pilastri per una sovranità reale

Se non dipende né dalla geografia, né dal contratto, né dal marketing, dove si trova la vera sovranità digitale? Per Léopold Jacquot, la sovranità è prima di tutto una questione di architettura, non di localizzazione. E in Infomaniak, questa convinzione si traduce in tre pilastri concreti.

1. Padroneggiare il software, i data center e il know-how

Torniamo all’immagine della cassaforte. Perché sia davvero sovrana, non basta che si trovi in Svizzera.

La cassaforte, la serratura, la chiave e l’azienda che li produce devono essere tutti sotto la stessa giurisdizione, e nessuno di essi deve dipendere da un attore straniero.

È questa la logica che Infomaniak applica a ogni livello della propria infrastruttura. L’azienda progetta, gestisce ed esercisce i propri data center in Svizzera, con i propri team. I software sono sviluppati internamente, su fondamenta open source come OpenStack, Ceph e Kubernetes. La rete è configurata dagli ingegneri interni. Nessuna dipendenza strategica dagli hyperscaler stranieri: niente AWS sotto, niente Azure in subappalto, niente Google Cloud nascosto in un angolo.

René Luria, CTO di Infomaniak, riassume questo approccio in tre parole:

Costruiamo. Possediamo. Operiamo.

Per uno sviluppatore, questo controllo cambia tutto nella quotidianità.

Quando un cliente chiede quale percorso fanno i suoi dati, possiamo rispondere con precisione: non “da qualche parte nel cloud”, ma “su questo server, in questo data center, su questo switch”. Se bisogna tracciare un pacchetto di rete da un capo all’altro per risolvere un problema, è possibile — perché è la nostra rete, non quella di terzi.

Questa logica si estende all’energia. Come ricorda Boris Siegenthaler, fondatore di Infomaniak:

Un’infrastruttura che dipende da fonti energetiche esterne o instabili resta vulnerabile. Infomaniak possiede le proprie centrali solari in Svizzera e punta al 50% di autoproduzione entro il 2030.

Il D4 — un data center di Infomaniak inaugurato a gennaio 2025 a Ginevra, ne è l’espressione più compiuta. Costruito nel sottosuolo di un eco-quartiere cooperativo, dispone di 1.800 m² di sale server e funziona al 100% con energia rinnovabile. La sua particolarità: tutto il calore prodotto dai server e dai componenti viene recuperato e immesso nella rete di teleriscaldamento dei Services Industriels de Genève.

A pieno regime, il D4 immetterà 1,7 MW (pari a 14,9 GWh all’anno) nella rete di calore — l’equivalente del riscaldamento di 6.000 abitazioni in inverno e di 20.000 docce da 5 minuti in estate. Senza questo sistema, Ginevra dovrebbe bruciare 3.600 tonnellate di CO₂ equivalente di gas naturale (o 5.500 tonnellate di pellet di legno) per produrre lo stesso calore ogni anno.

Il progetto ha ricevuto il Premio Svizzero di Etica e il Premio per lo sviluppo sostenibile del Cantone di Ginevra. La sua concezione energetica è documentata e condivisa liberamente su d4project.org, affinché altri operatori possano replicarla.

2. Usare servizi IA sovrani senza esporre i propri dati

Immagina uno studio legale che usa un assistente IA per riassumere un fascicolo cliente contenente dati sensibili coperti dal segreto professionale. Il riassunto è pertinente, il risparmio di tempo reale. Solo che quel fascicolo è appena transitato per server situati negli Stati Uniti, operati da un’azienda soggetta al CLOUD Act. L’informazione riservata ha lasciato la cassaforte.

L’intelligenza artificiale è diventata un punto cieco della sovranità digitale. Secondo le condizioni d’uso della maggior parte degli assistenti IA, le richieste possono essere conservate e usate per migliorare il modello.

Ciò che invii può alimentare il sistema, e domani un terzo potrebbe indirettamente beneficiarne. I ricercatori hanno peraltro dimostrato che è possibile estrarre dati di addestramento da questi modelli con attacchi mirati.

Per rispondere a questa sfida, Infomaniak ha sviluppato Euria, il proprio assistente IA, e AI Services per le aziende. I modelli — basati su fondamenta open source come Mistral, Qwen e Apertus — girano sulle GPU di Infomaniak, in Svizzera. Nessuna richiesta viene conservata dopo l’elaborazione: ciò che invii viene elaborato, poi dimenticato.

Niente logging dei prompt, niente riaddestramenti con i tuoi dati. Il ciclo di vita della tua informazione si riduce a: ingresso, elaborazione, uscita, oblio.

L’integrazione è coerente con l’ambiente collaborativo kSuite: Euria funziona con Infomaniak Mail, kChat e kDrive, senza che i tuoi dati escano dall’ecosistema sovrano.

Questi modelli non sono i più potenti sul mercato, e non è questo l’obiettivo:

Per gli usi professionali comuni — riassumere un documento, tradurre un testo, analizzare un file, trascrivere un audio — non hai bisogno del modello più sofisticato del pianeta. Hai bisogno di un modello affidabile che rispetti i tuoi dati.

3. Un modello di business che non monetizza i dati

Ultimo punto, e non il meno importante: quando un servizio è gratuito, come si finanzia? Nella maggior parte dei casi, sfruttando i dati dei propri utenti. Non è un’accusa, è un modello di business. E determina direttamente cosa viene fatto con le tue informazioni.

In Infomaniak il modello è diverso: paghi per un servizio, e basta.

Ogni funzionalità è progettata per raccogliere il minimo indispensabile di dati necessari al suo funzionamento. Niente tracciamento pubblicitario, nessuno strumento di analisi che trasmette i tuoi comportamenti a terzi, niente fingerprinting.

L’indipendenza di Infomaniak è strutturalmente protetta. L’azionista di riferimento è una fondazione svizzera di pubblica utilità, che detiene la maggioranza dei diritti di voto sotto forma di azioni speciali non cedibili. Nessuna OPA ostile, nessuna acquisizione extra-europea sono tecnicamente possibili. Nessun investitore può imporre una logica di breve termine, né fare pressione per monetizzare i dati nella speranza di gonfiare i margini. Le scelte strategiche di Infomaniak restano governate dai valori sanciti nella Carta delle partecipazioni.

Questa indipendenza si riflette anche nel codice. Una quota crescente dei componenti dei servizi Infomaniak è pubblicata in open source su GitHub, dove chiunque può esaminare, verificare e contribuire a migliorare il codice. E per rafforzare ulteriormente la sicurezza, Infomaniak gestisce un programma di bug bounty che premia i ricercatori di cybersicurezza che segnalano vulnerabilità. Nessuna dipendenza nascosta, nessuna backdoor.

Questi impegni sono verificabili. Infomaniak è certificata B Corp — un label impegnativo basato su audit indipendenti periodici — ISO 14001 per la gestione ambientale e ISO 50001 per le prestazioni energetiche. Le emissioni di carbonio sono compensate al 200%, e la durata di vita dei server è portata fino a 15 anni, contro i 3-5 anni standard del settore.

Come scegliere un cloud sovrano: le 5 domande da porsi

I criteri abituali — ospitato in Europa, conforme al GDPR, clausola di riservatezza inclusa — non bastano più.

Come ricorda Marc Oehler, CEO di Infomaniak, bisogna andare oltre le griglie di acquisto standard.

Cinque domande concrete, ispirate al keynote di Léopold Jacquot, per andare oltre le etichette:

Chi controlla davvero i tuoi dati? Quale azienda, in quale paese, ha accesso ai tuoi dati e alle tue chiavi di cifratura, al di là del luogo di archiviazione?
L’intera catena tecnica è sotto controllo? Software, rete, server, energia. Un solo anello dipendente da un attore straniero basta a fragilizzare il tutto.
Le tecnologie usate sono verificabili? Un provider che si basa su software open source offre una trasparenza che le soluzioni proprietarie non consentono.
Cosa succede se il provider viene acquisito? In caso di cambio di proprietà, i tuoi dati seguono? Esiste una procedura chiara per recuperarli e andarsene?
Il provider può resistere a pressioni legali straniere? È la domanda più difficile da porre, e la più importante.

La sovranità digitale non è un argomento commerciale. È una serie di scelte tecniche, economiche e giuridiche che determinano, in pratica, chi controlla i tuoi dati e le tue infrastrutture.

La sovranità dei dati non si riduce a un indirizzo geografico. La domanda giusta non è “dove sono i miei dati?”, ma “chi può accedervi, e a quali condizioni?”

Il talk di Léopold Jacquot agli Swiss Cyber Security Days 2026

Cloud sovrano: le domande che ci vengono poste più spesso

Il CLOUD Act si applica alle aziende europee?

Il CLOUD Act mira alle aziende di diritto americano, ma non appena un’azienda europea affida i propri dati a un provider americano (Microsoft, Google, AWS) o a una delle loro filiali europee, è esposta. Come sviluppatore lo riassumerei così: non è l’indirizzo del server che conta, ma la giurisdizione dell’entità che controlla lo stack e il software che elabora i dati. Ed è l’azienda europea, in quanto titolare del trattamento, a sostenere il rischio GDPR. Per questo la scelta di un cloud europeo indipendente diventa strategica.

I miei dati ospitati in Svizzera sono protetti dal CLOUD Act?

Dipende interamente da chi gestisce davvero il servizio e da quali tecnologie utilizza per farlo. Se il provider è un’azienda svizzera di diritto svizzero, senza filiali né strutture negli Stati Uniti, il CLOUD Act non si applica all’entità stessa. È il nostro caso in Infomaniak: azienda svizzera di diritto svizzero, data center in Svizzera, team in Svizzera, nessuna entità giuridica oltreoceano. Ma non è sufficiente. Se lo stack software si basa su componenti proprietari americani — un hypervisor, un database gestito, un servizio di gestione delle chiavi di cifratura operato da AWS, Azure o Google Cloud — la dipendenza persiste. Un aggiornamento bloccato, una licenza revocata, e l’operatore svizzero non ha più il controllo. La geografia del data center non fa la sovranità. Nemmeno il livello software, se dipende da un editore straniero.

C’è un ultimo aspetto spesso trascurato: la possibile acquisizione del provider. Un’azienda svizzera oggi può ricadere domani sotto una giurisdizione straniera. È per questo che Infomaniak opera sotto l’egida di una fondazione di pubblica utilità che ne garantisce l’indipendenza nel tempo.

Qual è la differenza tra cloud sovrano, cloud di fiducia, SecNumCloud e i cloud sovrani degli hyperscaler?

La domanda fondamentale da porsi è: “a quale giurisdizione è soggetta la casa madre dell’azienda che gestisce il mio servizio?”. Il CLOUD Act non guarda né dove si trovano i dati, né chi preme i tasti. Guarda la nazionalità giuridica del gruppo.

Con questo filtro, il panorama diventa leggibile:

I “cloud sovrani” degli hyperscaler (Microsoft, AWS, Google) sono operati da filiali europee di gruppi americani. Qualunque sia la qualità dell’isolamento tecnico, la casa madre resta di diritto americano. La giurisdizione americana resta opponibile.
Il cloud di fiducia è un label francese che non richiede indipendenza tecnologica. Le offerte certificate come Bleu (Orange-Capgemini, tecnologia Microsoft) o S3NS (Thales, tecnologia Google) si basano su componenti in licenza dagli hyperscaler americani. Sono “cloud ibridi”.
SecNumCloud, qualifica rilasciata dall’ANSSI, va molto oltre: impone l’immunità dalle leggi extraterritoriali, garantita dal controllo capitalistico europeo. È oggi l’unico quadro francese che esclude strutturalmente il CLOUD Act. Non esiste ancora un equivalente armonizzato a livello europeo.
Cloud sovrano, infine, non è un label ma una nozione senza definizione legale unica. È per questo che tutti se ne reclamano, dagli operatori davvero indipendenti alle filiali degli hyperscaler.

In sintesi: un servizio può essere ospitato in Europa, operato da europei, certificato da organismi europei, e restare giuridicamente accessibile da Washington. La domanda giusta da porre al tuo provider non è “siete sovrani?”, ma “chi detiene la casa madre, e sotto quale giurisdizione?”

Il mio provider cloud può essere acquisito da un attore straniero?

È la domanda strutturalmente più importante sul lungo termine. Un’azienda europea oggi può ricadere domani sotto una giurisdizione straniera, da un giorno all’altro, senza che tu possa opporti. I tuoi dati seguiranno.

Tre elementi da verificare prima di firmare:

La struttura del capitale. Chi detiene le quote? Un’azienda quotata, un fondo di investimento o una holding con capitale aperto può essere acquisita. Una fondazione di pubblica utilità azionista di maggioranza no: i suoi statuti lo impediscono giuridicamente.
La sede legale della casa madre. Un provider francese o svizzero detenuto in maggioranza da un gruppo americano è già, di fatto, sotto giurisdizione americana.
La storia del provider. È già stato acquisito, fuso, ristrutturato? Quali impegni scritti assume sulla propria stabilità patrimoniale?

In Infomaniak, la Fondazione Infomaniak detiene la maggioranza dei diritti di voto come azionista di riferimento. Questa struttura rende un’OPA ostile o un’acquisizione extra-europea giuridicamente impossibili, indipendentemente dalla volontà dei dirigenti. È un vincolo strutturale, non una promessa contrattuale.

Il GDPR è sufficiente a proteggermi dal CLOUD Act?

No — ed è il malinteso più diffuso tra i responsabili IT.

Il GDPR vieta i trasferimenti di dati non regolamentati,
il CLOUD Act li impone.

I due testi sono in conflitto diretto, come ha confermato la sentenza Schrems II nel 2020. Quando il tuo provider è soggetto a entrambi, alla fine applica il diritto americano. Lo ha riconosciuto Microsoft France al Senato nel giugno 2025. Il GDPR è un testo protettivo, ma non crea uno scudo tecnico. L’unico vero scudo è non dipendere da un’entità soggetta a una giurisdizione extraterritoriale.

Una PMI ha davvero bisogno di un cloud sovrano?

Il criterio giusto è la natura dei dati. Se un’azienda tratta dati clienti, informazioni strategiche, proprietà intellettuale o dati sanitari, il rischio GDPR è esattamente lo stesso di una grande impresa.

Per usi molto standard — un sito vetrina, una newsletter pubblica — un cloud pubblico può bastare. Ma non appena gestisci dati sensibili, il cloud sovrano non è più un lusso: è una scelta architetturale razionale. E contrariamente a un’idea diffusa, non costa di più: in Infomaniak, a parità di servizi, siamo in genere meno cari di AWS, Azure o Google Cloud — e senza le spese di uscita che appesantiscono le fatture a fine mese.

Quali certificazioni possiede Infomaniak?

Infomaniak combina diverse certificazioni indipendenti — ISO 27001, ISO 14001, ISO 50001, ISO 9001 e B Corp — che coprono sicurezza, ambiente e governance.

A ciò si aggiunge una compensazione carbonica al 200% verificata da myclimate. Altre certificazioni sono in corso di ottenimento per rispondere alle crescenti esigenze dei settori regolamentati.