Così gli USA controllano la sovranità digitale delle istituzioni internazionali e della UE

Il 6 febbraio 2025 il presidente USA Donald Trump ha imposto una serie di sanzioni alla Corte penale internazionale per le indagini su personale statunitense e su alcuni alleati, incluso Israele. Le sanzioni sono state applicate non con una legge, ma con un executive order — una sorta di “potere speciale” che il presidente USA può utilizzare in casi di estrema gravità senza dover passare prima dal Parlamento.

Fra i divieti imposti dal presidente Trump spicca quello previsto nella Section 3 che impedisce di contribuire o fornire direttamente o indirettamente fondi, beni o servizi alle persone oggetto delle sanzioni. In applicazione di questo executive order, riporta l’Associated Press in un articolo del 15 maggio, Microsoft ha disabilitato l’accesso all’account di posta elettronica del procuratore capo della Corte penale internazionale; anche se una dichiarazione rilasciata il 4 giugno dal presidente dell’azienda a Politico, precisa che Microsoft non ha mai interrotto l’erogazione dei servizi alla Corte in quanto tale.

Le reazioni dei Paesi UE e le contromisure di Microsoft

La scelta dell’amministrazione americana ha suscitato preoccupazioni in diversi Paesi anche della Ue, divenuti consapevoli delle conseguenze di avere consegnato ad aziende straniere l’infrastruttura digitale di parlamenti, governi, amministrazioni e autorità indipendenti; tanto che per tranquillizzare i propri clienti, il 30 aprile 2025 Microsoft ha annunciato sul proprio blog di avere modificato i termini contrattuali dei servizi che vende nell’Unione Europea e di avere adottato un “piano B” per limitare gli effetti di ordini giudiziari o governativi che sospendono i servizi. Questo piano B include l’impegno ad agire per vie legali contro questi provvedimenti e la creazione di back up dei codici sorgenti in repository localizzati in Svizzera.

La storia si ripete: il precedente venezuelano

L’uso da parte di un’amministrazione USA di un executive order che incide direttamente sul funzionamento delle infrastrutture tecnologiche di altri Paesi non è un fatto nuovo. Nel 2019 lo stesso presidente Trump, durante il precedente mandato, aveva emanato un analogo provvedimento nei confronti del Venezuela, con la conseguente disattivazione degli account Adobe degli utenti venezuelani. In termini concettuali, poco importa che il blocco dei servizi Adobe fosse stato poi revocato, perché il punto è che quella vicenda rappresenta l’antecedente storico e (geo)politico che consolida il ruolo di Big Tech come strumento per la realizzazione di obiettivi strategici del governo nordamericano.

L’inerzia della UE e le timide reazioni franco-tedesche

A fronte di uno scenario estremamente chiaro, le istituzioni europee scelsero di non affrontare in termini strutturali il tema delle conseguenze della dipendenza tecnologica da un Paese straniero e, progressivamente, hanno consentito che questa dipendenza diventasse talmente forte da non consentire un facile e rapido “disaccoppiamento”. In parallelo, da qualche tempo, alcuni Paesi fra i quali Francia e Germania hanno avviato dei tentativi per sostituire i servizi proprietari di Big Tech con alternative open source. Tuttavia, i fatti dimostrano che ancora oggi se un’amministrazione USA decide di premere il “bottone rosso” c’è poco che Big Tech possa fare.

Perché Big Tech non può opporsi agli ordini del governo

Sarebbe complesso addentrarsi nei meandri delle questioni giuridiche connesse al rapporto fra aziende private e governo nell’ordinamento statunitense, ma ai fini di questo articolo è sufficiente evidenziare alcuni punti.

Il primo è che l’impegno, come quello preso da Microsoft, a contestare in tribunale provvedimenti esecutivi emessi dal governo non implica che il governo abbia necessariamente torto.

Il secondo è che oltre agli executive order, il sistema giuridico nordamericano contiene una legge, il Clarifying Lawful Overseas Use of Data (CLOUD) Act, che impone alle aziende USA di mettere a disposizione delle autorità pubbliche i dati di qualsiasi tipo anche se sono localizzati all’estero e gestiti da società affiliate e non dalla casa madre. Anche in questo caso si possono contestare in giudizio ordini del genere, ma anche in questo caso non è detto che Big Tech abbia automaticamente e necessariamente ragione.

In sintesi, dunque, a prescindere dalla possibilità di un controllo da parte delle corti USA e non di quelle dei Paesi UE, il dato di fatto —e di diritto— è che l’esecutivo può decidere di bloccare la funzionalità dei servizi erogati da Big Tech e ha il diritto, o meglio, il potere, di prendere i dati localizzati nell’Unione.

Il paradosso del serpente di Kipling

Questa situazione si traduce, per le filiali europee delle aziende USA, in una situazione di stallo per via della quale non importa quale scelta viene compiuta, perché il risultato sarà una violazione di legge. Di quella USA, se le local Big Tech decidono di rispettare le norme UE, di quella UE se invece scelgono di conformarsi a quelle USA.

Una conseguenza ulteriore —frutto anche della scelta della UE di politicizzare il tema della protezione dei dati personali— è che gli accordi per lo scambio di dati fra le due sponde dell’Atlantico sono intrinsecamente sbagliati perché sono basati sul presupposto, giuridicamente e fattualmente falso, che gli USA accettino volontariamente di autolimitare i propri poteri in materia di sicurezza nazionale.

L’illusione degli accordi sullo scambio dei dati

Non stupisce, dunque, che il primo accordo noto come “Safe Harbour” venne annullato nel 2015 dalla Corte europea, che la stessa sorte toccò nel 2020 al secondo —il “Privacy Shield”— e che, specie alla luce di questi sviluppi recenti, è ragionevole pensare ad un esito analogo anche per l’attuale “Trans-Atlantic Data Privacy Framework”.

Al netto delle sottigliezze del linguaggio diplomatico, infatti, in nessuno di questi accordi è previsto che la UE possa avere voce in capitolo nelle scelte di homeland security e di politica internazionale degli USA. Dunque, non si capisce quale sia l’utilità di avere incluso nel regolamento sulla protezione dei dati personali delle norme da applicare direttamente in altri Paesi quando questi, come da ultimo dimostra il caso DeepSeek, possono tranquillamente ignorarle in nome del principio dell’autonomia delle giurisdizioni.

Una sovranità tecnologica impossibile?

È chiaro che la vicenda dell’executive order sulla Corte penale internazionale è solo un tassello del complesso mosaico che rappresenta il tema della sovranità tecnologica e che non ha molto senso affrontarla come un caso singolo.

C’è bisogno, in altri termini, di una scelta strutturale e strategica, e cioè decidere se possiamo o meno continuare a utilizzare tecnologie e software su cui non abbiamo un controllo o che possono essere strumentalizzati a nostro danno.

Sulla carta, la risposta è chiara, ma nei fatti —come dimostra la vicenda dei dazi— non sembra che la UE possa realisticamente imporre ritorsioni nel settore Big Tech. Da un lato, infatti, in assenza di alternative, a subirne le conseguenze sarebbero proprio gli Stati membri e, dall’altro, gli USA non starebbero certamente con le mani in mano di fronte allo smantellamento della propria presenza tecnologica nell’Unione Europea e della conseguente riduzione di introiti per le aziende e di potere dell’esecutivo.

Il ruolo dell’open source come soluzione di lungo periodo

I fatti e la storia hanno dimostrato come free software e open source rappresentano un modello alternativo ed efficace per la gestione della sovranità su dati, informazioni e programmi.

Utilizzare questo approccio alla proprietà intellettuale consente di avere il controllo pieno sul modo in cui funzionano le infrastrutture e di alimentare la creazione di un mercato dei servizi alle istituzioni pubbliche e private che non dipende necessariamente da soggetti stranieri, e lascia le risorse investite nel territorio della UE.

Ciononostante, la scelta di imporre una decisa migrazione delle infrastrutture pubbliche verso questo modo di gestire la proprietà intellettuale di sistemi operativi, applicazioni e piattaforme stenta ancora ad entrare nelle agende parlamentari.

Anche in questo caso non si tratterebbe di una scelta semplice e indolore, ma tanto si potrebbe già fare, per esempio commissionando alle università europee lo sviluppo di un’intera filiera tecnologica, dal sistema operativo alle piattaforme, da utilizzare in tutti i Paesi membri, stabilendo nel contempo l’obbligo per i fornitori di tecnologia alle pubbliche amministrazioni di utilizzare protocolli e formati di file aperti e compatibili, analogamente a quanto fece l’amministrazione USA con il protocollo TCP/IP, ponendo i presupposti per la nascita della Big Internet.

Una scelta del genere non risolverebbe di colpo tutti i problemi, ma rappresenterebbe certamente il primo passo sulla strada che porta ad un uso democratico e consapevole delle tecnologie dell’informazione.