Durante un’audizione tenutasi il 10 giugno 2025 davanti al Senato francese, Anton Carniaux, Chief Legal Officer di Microsoft Francia, ha ammesso sotto giuramento che Microsoft non può garantire che i dati dei cittadini UE, pur archiviati nei suoi data center europei, non vengano trasmessi alle autorità statunitensi senza il consenso delle autorità francesi (qui trovate la trascrizione, ovviamente in lingua francesce).
Cosa è emerso durante l’audizione
Carniaux ha affermato che Microsoft può rifiutare una richiesta statunitense solo se formalmente infondata. Ma se l’ordine è valido, l’azienda è obbligata a fornire i dati e può informare i clienti solo se autorizzata dalle autorità USA.
Microsoft garantisce di non aver ricevuto ancora richieste simili, ma riconosce che la legge statunitense (Cloud Act, Patriot Act) prevale su qualunque garanzia tecnica o pubblicitaria.
Le reazioni degli esperti
Dennis-Kenji Kipker, professore di diritto informatico, osserva che promesse di “cloud sovrano” si basano su fondamenta fragile, perché la giurisdizione USA non può essere aggirata con soluzioni tecniche.
Stefan Hessel, avvocato specializzato in GDPR, puntualizza invece che se i contratti prevedono che i dati restino sempre entro l’Area Economica Europea, non si configurerebbe un “transfert” di dati verso gli USA. Inoltre, il GDPR impone trasparenza e verifica legale sulle richieste, offrendo un possibile controllo giuridico europeo.
Un problema sistemico
Non solo Microsoft, ma anche altri hyperscaler americani (AWS, Google Cloud) agiscono sotto le stesse leggi. Ciò significa che, indipendentemente dalla localizzazione fisica dei data center, restano sempre vulnerabili a giurisdizioni extraterritoriali. Inoltre, analisi di provider indipendenti sottolineano che la sovranità non può essere raggiunta solo con tecnologie sofisticate se la struttura societaria resta americana e soggetta a leggi USA.
Quali sono le implicazioni?
Il riconoscimento ufficiale di Microsoft segna un passaggio importante per la consapevolezza sulle conseguenze legali nell’adozione di servizi cloud statunitensi. Potrebbe accelerare la comparsa di alternative europee “veramente sovrane”, come OVHcloud, Scaleway o iniziative come Gaia‑X, con infrastrutture e controllo solo UE.
La speranza è che questa ammissione da parte di Microsoft spinga le istituzioni pubbliche nazionali a valutare la catena giuridica, non solo tecnica, quando decidono appalti cloud.
In conclusione
L’audizione ha portato alla luce un fatto cruciale: la giurisdizione prevale sulla tecnologia. Le rassicurazioni di sovranità basate solo su localizzazione geografica, certificazioni o misure tecniche non sono sufficienti se l’infrastruttura rimane sotto leggi estere extraterritoriali.
La vera data sovereignty europea potrebbe richiedere soluzioni costruite e possedute da operatori UE, con contratti, certificazioni e infrastrutture locali veramente indipendenti dalle normative USA.
