Sovranità & Dati

«Ospitato in Europa» non significa sovrano

Q: Un servizio ospitato in Europa è per forza sovrano?

No. Un fornitore americano come AWS, Microsoft Azure o Cloudflare resta soggetto al CLOUD Act anche se i suoi server sono a Parigi o Francoforte. La sovranità dipende dalla proprietà e dal controllo dell'azienda, non solo dalla posizione dei server.

Q: «Adeguato» in senso GDPR vuol dire «sovrano»?

No, sono due assi distinti. L'adeguatezza (articolo 45 del GDPR) autorizza un trasferimento di dati verso un paese o un quadro giudicato sufficientemente protettivo, come il Data Privacy Framework UE-USA. La sovranità riguarda il controllo: un servizio può essere adeguato per il trasferimento e restare comunque soggetto a un diritto straniero come il CLOUD Act.

È diventata l'etichetta rassicurante di default: «dati ospitati in Europa». La si spunta, si tira un sospiro di sollievo e si passa ad altro. Il problema è che risponde alla domanda sbagliata. Ciò che decide la sovranità dei tuoi dati non è l'indirizzo dei tuoi server — è la nazionalità dell'azienda che li controlla.

Fred Gaveau26 giugno 2026~9 min di lettura

Diciamolo francamente, perché è lo spirito di questo blog: un server a Parigi gestito da un'azienda americana non è un server sovrano. Non perché l'host menta sulla localizzazione — dice il vero. Ma perché la localizzazione non è il criterio giusto. Il criterio è: chi può essere legalmente costretto a consegnare il dato, e sotto quale diritto?

Il badge rassicurante che risponde a vuoto

«Regione Europa», «datacenter a Francoforte», «archiviazione in Francia»: queste diciture sono ovunque, e non sono false. AWS, Microsoft Azure, Google Cloud, Cloudflare — tutti propongono regioni europee, e vi archiviano davvero i tuoi dati.

Ma la sovranità digitale non si misura in chilometri. Si misura in giurisdizione: sotto quale legge ricade l'entità che detiene e gestisce il servizio? E qui la posizione del server non cambia nulla rispetto alla nazionalità dell'azienda.

Il CLOUD Act, in una frase

Nel 2018, gli Stati Uniti hanno adottato il CLOUD Act (Clarifying Lawful Overseas Use of Data Act). La sua logica sta in una riga: un'azienda soggetta al diritto americano deve consegnare alle autorità USA i dati che controlla, ovunque siano archiviati nel mondo.

2018 il CLOUD Act sancisce la portata extraterritoriale: la localizzazione dei server non protegge più dall'accesso americano.

Il testo è nato proprio da un contenzioso su questo punto: nel caso Microsoft v. United States, il governo americano reclamava delle e-mail archiviate da Microsoft… in un datacenter in Irlanda. Il CLOUD Act ha chiuso il dibattito a favore dell'accesso, indipendentemente dal luogo di archiviazione. Conclusione pratica: per un fornitore americano, «ospitato a Dublino» o «ospitato a Francoforte» non crea alcuna barriera giuridica nei confronti del diritto USA.

E non è solo una disputa tra avvocati. Nel 2020, la Corte di giustizia dell'Unione europea, nella sentenza Schrems II (C-311/18), ha invalidato il Privacy Shield indicando esattamente questo rischio: l'accesso delle autorità americane ai dati degli europei, senza un ricorso equivalente. Il dato può essere a Parigi; il rischio giuridico, invece, attraversa l'Atlantico.

«Adeguato» non è «sovrano» — due assi diversi

Qui molti confondono due nozioni che non hanno nulla a che vedere tra loro. Districhiamole, perché è tutta la trappola.

L'adeguatezza (articolo 45 del GDPR) è una questione di trasferimento legale: l'UE riconosce che un certo paese — o un certo quadro, come il Data Privacy Framework UE-USA del luglio 2023 — offre una protezione giudicata sufficiente per inviarvi dati. È un'autorizzazione al trasferimento.
La sovranità è una questione di controllo: il dato sfugge, per sua natura, a una potenza esterna all'UE? Un fornitore può essere perfettamente «adeguato» in senso legale e totalmente non sovrano.

Esempio netto: un servizio americano certificato Data Privacy Framework è coperto per il trasferimento (asse legale), ma resta soggetto al CLOUD Act (asse sovranità). Il Regno Unito beneficia di una decisione di adeguatezza — il che non gli impedisce di far parte dei «Five Eyes», l'alleanza di intelligence (Stati Uniti, Regno Unito, Canada, Australia, Nuova Zelanda). «Legalmente trasferibile» e «fuori dalla portata di uno Stato terzo» sono due cose distinte.

Da ricordare

Sovranità = proprietà e controllo (l'azienda ricade nello SEE?). Adeguatezza = diritto di trasferimento (è legale inviarvi il dato?). Un servizio può spuntare la seconda casella senza spuntare la prima. È su questo scarto che si gioca tutto il resto.

Il vero punto cieco: le dipendenze che non vedi

Ammettiamo che tu abbia scelto un host sovrano per il tuo sito. Ottimo. Ma la tua pagina non è solo un server: è una costellazione di servizi di terze parti che si caricano nel browser dei tuoi visitatori — e ognuno riceve, come minimo, il loro indirizzo IP.

94% delle pagine carica almeno un servizio di terze parti, e di gran lunga il più diffuso è americano (HTTP Archive, Web Almanac).

Font Google, Google Analytics, Tag Manager, reCAPTCHA, YouTube incorporato, pixel Meta, CDN Cloudflare o AWS CloudFront, chat, A/B testing, mappe… Il sito mediano ne allinea decine. E i più presenti sul web sono quasi tutti americani.

I servizi di terze parti più diffusi sono americani

Google Analytics

~55 % 🇺🇸

Cloudflare

~21 % 🇺🇸

Quota dei siti web che usano questi servizi, ordini di grandezza secondo W3Techs (consultato nel 2026). Due servizi tra i più diffusi al mondo, entrambi soggetti al CLOUD Act — qualunque sia la regione di hosting scelta. E sono solo i più visibili.

Peggio: alcuni tracker si travestono. Con il CNAME cloaking, un sottodominio dall'aspetto first-party (metrics.tuosito.it) punta in realtà, tramite un record DNS, all'infrastruttura di un tracker di terze parti. A occhio nudo sembra «a casa tua». In realtà il dato parte altrove — spesso fuori dall'UE. È esattamente il tipo di dipendenza che un audit onesto deve smascherare, invece di lasciar passare.

Ospitato nell'UE ≠ sovrano: il test in pratica

Il metodo giusto per giudicare una dipendenza non consiste nel leggere la pagina «dove sono i tuoi dati». Consiste nel porsi, servizio per servizio, tre domande:

Chi possiede l'azienda? Società madre nello SEE, o negli Stati Uniti / Regno Unito / Canada / Australia? È il criterio decisivo.
Il dato lascia il browser del visitatore? Una chiamata di rete verso un dominio di terze parti trasmette l'IP, e spesso molto di più.
La dipendenza è travestita? Un sottodominio first-party può mascherare un trasferimento fuori dall'UE tramite CNAME.

Nessuno fa tutto questo a mano su 40 richieste. È esattamente ciò che uno scanner di sovranità automatizza: elenca ogni servizio di terze parti realmente caricato, lo classifica per giurisdizione (🇪🇺 sovrano / 🔴 non sovrano / 🟠 da verificare), smaschera il CNAME cloaking e propone per ogni dipendenza un'alternativa europea.

Curioso del tuo stesso sito? Il nostro checker di sovranità elenca le tue dipendenze fuori dall'UE in 90 secondi, gratuitamente e senza registrazione — punteggio US/EU, tracker smascherati e alternative europee.

Verifica la sovranità del mio sito →

La buona notizia: le alternative esistono

La sovranità non è un pio desiderio né un sacrificio funzionale. Per la quasi totalità dei mattoni di un sito, esiste un'opzione con sede nell'UE:

Hosting / cloud: OVHcloud, Scaleway, Clever Cloud, Hetzner.
Analytics: Snorklee, Matomo, Plausible, Piwik PRO.
CDN: Bunny CDN, Scaleway.
Font: auto-ospitati, oppure Bunny Fonts.
E-mail / marketing: Brevo, Mailjet, MailerLite.
Pagamento: Mollie, Adyen; anti-bot: DataDome, Friendly Captcha; chat: Crisp.

L'obiettivo non è piantare una bandiera. È ridurre l'esposizione: meno dati che lasciano l'UE, meno terze parti soggette a un diritto straniero, meno zone grigie da documentare. Ogni dipendenza non sovrana che sostituisci è una dipendenza in meno da giustificare nel tuo registro dei trattamenti.

In chiaro

«Ospitato in Europa» è una dicitura utile, ma è solo metà della risposta. La metà che conta davvero — chi controlla l'azienda, a quale diritto risponde — resta sotto la superficie. Al CLOUD Act non interessa l'indirizzo dei tuoi server; interessa la nazionalità del tuo fornitore.

La sovranità, quindi, non è un'etichetta da esibire. È una catena di dipendenze da guardare in faccia: il proprio host, ma anche i propri font, la propria analytics, il proprio CDN, i propri script di terze parti, fino ai tracker travestiti da first-party. Snorklee è nato da questa constatazione — una misurazione dell'audience 100 % sovrana, ospitata in Francia, senza dipendenze americane, senza cookie né banner. E il checker che l'accompagna serve a una sola cosa: mostrarti, senza indulgenza, ciò che il tuo sito incorpora davvero.

Non fidarti del badge. Guarda la catena.

FAQ

Un servizio ospitato in Europa è per forza sovrano?
No. È il punto chiave: un fornitore americano come AWS, Microsoft Azure o Cloudflare resta soggetto al CLOUD Act anche se i suoi server sono a Parigi o Francoforte. La sovranità dipende dalla proprietà e dal controllo dell'azienda, non solo dalla posizione dei server.

Il CLOUD Act, che cos'è esattamente?
Una legge americana del 2018 che obbliga le aziende soggette al diritto USA a consegnare alle autorità i dati che controllano, ovunque siano archiviati nel mondo. È nata dal caso Microsoft v. United States, che riguardava dati ospitati in Irlanda. La localizzazione dei server non crea quindi una barriera giuridica davanti al diritto americano.

«Adeguato» in senso GDPR vuol dire «sovrano»?
No, sono due assi distinti. L'adeguatezza (art. 45 del GDPR) autorizza un trasferimento di dati verso un paese o un quadro giudicato sufficientemente protettivo (per es. il Data Privacy Framework UE-USA). La sovranità riguarda il controllo: un servizio può essere adeguato per il trasferimento e restare comunque soggetto a un diritto straniero come il CLOUD Act.

Come faccio a sapere se il mio sito dipende da servizi non sovrani?
Elencando ogni servizio di terze parti realmente caricato dalla pagina e classificandolo per giurisdizione. È ciò che automatizza un checker di sovranità: identifica le dipendenze fuori dall'UE, smaschera i tracker in CNAME cloaking e propone alternative europee — gratuitamente e in pochi secondi.

Esistono alternative europee credibili?
Sì, per la quasi totalità dei mattoni di un sito: OVHcloud o Scaleway per l'hosting, Matomo, Plausible o Snorklee per l'analytics, Bunny CDN per il CDN, Brevo per l'e-mail, Mollie per il pagamento, ecc. Ridurre l'esposizione è raramente una questione di disponibilità — più spesso una questione di abitudine.

Pubblicato a giugno 2026. Fonti principali: CLOUD Act — Clarifying Lawful Overseas Use of Data Act, H.R. 4943 (2018); caso Microsoft Corp. v. United States (contenzioso su dati ospitati in Irlanda, all'origine del testo); CGUE, sentenza Schrems II, C-311/18 (16 luglio 2020, invalidazione del Privacy Shield); decisione di adeguatezza UE-USA Data Privacy Framework (10 luglio 2023); alleanza di intelligence «Five Eyes». Prevalenza dei servizi di terze parti: HTTP Archive, Web Almanac (capitolo Third Parties) e W3Techs (quote d'uso, ordini di grandezza, consultati nel 2026). Informazione generale, non una consulenza legale individuale — per un caso specifico, consulta un DPO o un giurista qualificato.