La crescente attenzione dei governi sulla sicurezza cibernetica ha portato al pettine tutti i nodi rimasti irrisolti sulla raggiungibilità giuridica dei dati ed il ruolo degli operatori cosiddetti hyperscaler, che offrono a livello globale l’accesso ad infrastrutture e servizi cloud. Lo vediamo a livello europeo con una serie di atti normativi che cercano di regolare molteplici aspetti giuridici riconnessi ai servizi offerti dalle grandi piattaforme. E lo vediamo anche dalle iniziative legislative nazionali – e segnatamente quelle italiane – tutte volte a rafforzare gli aspetti di cybersicurezza del nostro Paese.  Eppure è proprio nei meandri delle regole che si nascondono i dettagli che consentono agli operatori globali – specialmente quelli che hanno una posizione dominante sul mercato – di riuscire spesso a sfuggire ad obblighi e ad adempimenti che rappresentano la ragione stessa dell’esistenza delle regole.

Pensiamo alla localizzazione del dato, un tema su cui si è spesso dibattuto. Quanti utenti di servizi cloud sono stati correttamente informati su dove vengono custoditi i dati che affidano ai servizi sulla nuvola? Quanti di loro sono privati, interessati quindi ad una protezione offerta dal GDPR. E quanti di loro sono aziende, con un interesse maggiore derivante da responsabilità contrattuali ed extracontrattuali. E questo è solo un primo aspetto del problema, “brillantemente” poi risolto con le cosiddette “regioni italiane degli hyperscaler”, che non sono altro che dei data center di loro proprietà, residenti sul territorio dove offrono i servizi.

Pur tuttavia è noto che avere fisicamente custoditi i dati in data center locali, non elimina di per se il problema della raggiungibilità giuridica del dato, che potrebbe essere conservato contemporaneamente anche su strutture internazionali, ovvero all’interno di un perimetro giuridico ben più ampio, specialmente laddove il contratto venga sottoscritto con un soggetto estero. Ci si interroga quindi su come possa la legislazione nazionale arrivare a vincolare un soggetto che opera a livello globale. Questi problemi nidificano specialmente nelle aree di incertezza giuridica, e ce li ritroviamo perfino in Europa laddove appare ancora divisa, ad esempio, su regole comuni in tema di fiscalità.

Se è vero che il Digital Market Act ed il Digital Service Act appaiono rincorrere fenomeni anticoncorrenziali delle grandi piattaforme, ponendo regole a tutela anche dell’utenza, ancora molti passi devono essere fatti per realizzare una compiuta sovranità digitale. Con questo principio spesso cerchiamo di descrivere la capacità degli Stati di rendersi indipendenti da forniture di apparati e servizi digitali prodotti all’estero. A fronte dell’arretratezza del vecchio continente, soprattutto se paragonata alla dominanza di mercato acquisita negli anni da player americani o asiatici, il primo interesse manifestato dalle nazioni-guida dell’Europa è stato quello di garantire delle forniture locali di apparati giudicati sicuri. Ma, come dicevamo, questo è solo un piccolo passo.

Il principio della sovranità digitale, per poter compiersi all’interno di un ordinamento giuridico come il nostro, ha bisogno di essere dispiegato anche attraverso una crescita di aziende locali che operano nei vari settori digitali di interesse, a partire dagli operatori cloud italiani. Il rapporto di interdipendenza tra la crescita degli operatori economici locali e la crescita delle competenze cibernetiche a garanzia di una sovranità digitale compiuta, è il vero fattore cruciale su cui ha senso investire gli sforzi del piano di ripresa e resilienza post-pandemico.