Quando la legge americana decide i dati europei: il CLOUD Act e la Francia

L'8 aprile 2026 la Francia ha ordinato a ogni ministero di presentare un piano per abbandonare Windows. Non è una storia di software open source. È una storia di diritto, di giurisdizione e di una legge americana firmata nel 2018 che troppi governi hanno letto troppo tardi.

Per capire la decisione della Francia bisogna partire da una legge americana del 2018 che la maggior parte delle persone non ha mai letto. Si chiama CLOUD Act: Clarifying Lawful Overseas Use of Data Act. Quattro parole nel titolo che cambiano tutto.

La giurisdizione segue il proprietario, non il server

Il principio è semplice. Un'azienda americana, ovunque abbia il server, deve consegnare quei dati al governo degli Stati Uniti se riceve un mandato valido. Non importa se il server è a Parigi, a Francoforte o a Milano. Non importa se i dati appartengono a cittadini europei, a ministeri europei, a corpi militari europei. La giurisdizione segue la nazionalità del proprietario, non la posizione fisica del disco rigido.

Questo crea una situazione giuridica senza soluzione contrattuale. Il GDPR obbliga Microsoft a proteggere i dati degli utenti europei. Il CLOUD Act obbliga Microsoft a consegnarli alle autorità statunitensi se richiesto. Le due norme sono in conflitto diretto, e quando il conflitto si materializza la legge federale americana vince sul contratto privato. Clausole di Standard Contractual Clauses, accordi di data processing, garanzie di residenza dei dati in Europa: nessuno di questi strumenti può bloccare un ordine emesso da un tribunale federale americano.

L'ammissione davanti al Senato

La consapevolezza del problema non è nuova. Se ne parla da quando il CLOUD Act è stato firmato. Per anni però è rimasta una discussione tra giuristi e addetti ai lavori, con i governi europei che continuavano a rinnovare i contratti con Microsoft, Google e Amazon pur sapendo che la questione era aperta. Poi è arrivato il momento in cui qualcuno ha detto la cosa ad alta voce nel posto sbagliato.

In un'audizione davanti al Senato francese, il responsabile legale di Microsoft Francia ha dichiarato che Microsoft non può garantire che i dati delle autorità europee non vengano trasferiti al governo americano. Non era una fuga di notizie. Era semplicemente la risposta onesta alla domanda diretta di un senatore. Il CLOUD Act esiste, si applica, e nessun accordo commerciale lo disapplica.

Se il fornitore non può escludere che i dati finiscano nelle mani di un governo straniero, continuare a usarlo per le comunicazioni sensibili dello Stato richiede una giustificazione molto solida.

Quella dichiarazione ha reso esplicito quello che molti sapevano già in teoria ma preferivano ignorare in pratica. Se Microsoft stessa, attraverso il suo responsabile legale in Francia, non può escludere che i dati del governo francese finiscano negli Stati Uniti, allora il problema smette di essere teorico. Vale però precisare quello che lo stesso Carniaux ha aggiunto: dalla pubblicazione dei rapporti di trasparenza di Microsoft, nessun organismo del settore pubblico europeo è mai stato concretamente interessato da un simile trasferimento. Il rischio è strutturale e giuridicamente reale, ma, a oggi, non si è ancora materializzato nella pratica.

Il contesto Trump come acceleratore

L'8 aprile 2026 la Direzione Interministeriale per il Digitale francese, la DINUM, ha annunciato che migrerà i propri sistemi da Windows a Linux e ha ordinato a ogni ministero di presentare un piano per eliminare le dipendenze tecnologiche extra-europee entro l'autunno 2026. Il piano riguarda tutto: sistemi operativi, strumenti di collaborazione, antivirus, piattaforme di intelligenza artificiale, database, infrastrutture cloud, reti di telecomunicazione. 2,5 milioni di postazioni di lavoro.

Il contesto politico ha accelerato una decisione già matura. Il secondo mandato Trump ha cambiato il modo in cui i governi europei calcolano il rischio. Le tariffe, la pressione sugli alleati della NATO, le sanzioni ai giudici della Corte Penale Internazionale: tutto questo ha reso evidente che la distinzione tra partner commerciale affidabile e potenziale avversario strategico non è più così netta. Come ho già analizzato parlando del caso SignalGate e della Federal Records Act americana, l'uso delle infrastrutture digitali governative come territorio di rischio non è un'ipotesi di scuola.

Quando una legge straniera può legalmente accedere ai dati di un governo, quel governo si trova in una posizione difficile da difendere. Non necessariamente quell'accesso verrebbe usato. Ma la mera possibilità è sufficiente a rendere inaccettabile la situazione per qualsiasi amministrazione che abbia responsabilità di sicurezza nazionale.

Non ideologia: diritto applicato

La risposta francese non è ideologica. Non è un atto di fede nel software libero. È l'applicazione di un ragionamento giuridico elementare: se non controllo la catena di custodia dei miei dati, non posso garantirne la riservatezza. E un governo che non può garantire la riservatezza delle proprie comunicazioni ha un problema strutturale, non tecnico.

Lo strumento scelto è Linux, e la scelta non è casuale. La Gendarmerie Nationale, il corpo di polizia militare che copre il 95% del territorio francese, ha completato questa transizione a partire dal 2008. Nel 2024, il 97% delle sue 103.000 postazioni di lavoro funzionava su GendBuntu, una distribuzione Ubuntu personalizzata per le esigenze dell'istituzione. Il risparmio annuale rispetto alle licenze Windows è di circa 2 milioni di euro. Il costo totale di proprietà si è ridotto del 40%.

Come ho già discusso a proposito degli standard aperti e della sovranità digitale in Europa, non si tratta di qualcosa di inedito o sperimentale. La Gendarmerie lo fa da sedici anni. La differenza è che adesso la stessa logica viene applicata su scala nazionale, a 2,5 milioni di dispositivi, con il peso politico dell'intera amministrazione statale francese.

La domanda che rimane aperta

La domanda che resta aperta è se questa scelta produca davvero la sovranità che promette. Linux è software libero, ma questo non lo rende per definizione meno vulnerabile ad altri attori. I servizi cloud sovrani che la Francia sta costruendo, come La Suite Numérique con Tchap per la messaggistica e Visio per le videoconferenze, richiedono infrastrutture e competenze che si costruiscono nel tempo. Le esperienze storiche di migrazioni simili, come quella di Monaco di Baviera che ha poi parzialmente invertito la rotta, mostrano che i rischi operativi sono concreti.

Tuttavia, la premessa giuridica di questa scelta mi sembra difficilmente contestabile. Se una legge straniera può legalmente accedere ai dati governativi, e se il fornitore stesso lo ammette in Parlamento, continuare a usare quel fornitore per le comunicazioni sensibili dello Stato richiede una giustificazione molto solida. La Francia ha valutato che quella giustificazione non esiste. Il ragionamento è comprensibile, a prescindere da come si giudichi la scelta tecnica.