CLOUD Act, sovranità dei dati e Svizzera: una svolta per le strategie IT europee?

24 Dicembre 202528 novembre 2025 da Markus Schall

A metà novembre in Svizzera è accaduto qualcosa che quasi nessuno si aspettava in questa forma: I commissari per la protezione dei dati del paese hanno approvato una risoluzione chiara, quasi storica. Il messaggio alla base è semplice e allo stesso tempo molto controverso: le autorità pubbliche non dovrebbero più esternalizzare i loro dati più sensibili a servizi cloud internazionali come Microsoft 365 senza esitazione. Perché?

Perché la responsabilità di dati particolarmente riservati - cartelle cliniche, casi sociali, indagini penali, documenti interni - non deve essere affidata a società che tecnicamente non possono mai escludere completamente l'accesso a questi dati. È proprio questo il nocciolo della decisione svizzera. Non è necessario essere esperti di informatica per capire l'idea di base. In passato, i documenti importanti venivano conservati in uno schedario chiuso a chiave nel municipio. Oggi, gli stessi dati sono spesso conservati all'estero, sui server di grandi aziende statunitensi, che a loro volta si avvalgono di società partner e subappaltatori. E anche se questi fornitori ci assicurano che tutto è sicuro, le autorità stesse non possono più verificarlo.

Problemi sociali del presente

Leggi sulla censura dell'UE

Le nuove leggi sulla censura dell'UE: Cosa significano Chatcontrol, DSA, EMFA e la legge sull'IA

Schall Verlag - Libri di sostanza

Libri di approfondimento su medicina, personalità e tecnologia di M. Schall Verlag

Esplosione di Nord Stream

Demolizione del Nord Stream: sabotaggio, politica di potere e le scomode domande senza risposta

Perché Dieter Bohlen parla quando altri tacciono: Un ritratto di diligenza e chiarezza

C'è anche un punto che viene spesso trascurato nel dibattito pubblico: le aziende statunitensi possono essere costrette a consegnare i dati in base a leggi americane come il CLOUD Act, anche se questi dati sono in realtà conservati in Europa. Per i Paesi europei, e ancor più per un Paese come la Svizzera, che tradizionalmente attribuisce grande valore all'indipendenza, si tratta di un fardello pesante. In questo contesto, le autorità svizzere per la protezione dei dati hanno ora chiarito la loro posizione:

Se un'autorità pubblica archivia dati particolarmente protetti o addirittura coperti da segreto d'ufficio, nessun altro - nemmeno un fornitore di cloud - deve essere in grado di accedervi. E finché non esiste una vera e propria crittografia end-to-end in cui l'autorità gestisce da sola le chiavi, questo non è semplicemente fattibile con gli attuali servizi cloud.

La Svizzera sta quindi tirando la corda, per prudenza, tradizione e per una radicata consapevolezza che i dati statali sono un bene particolarmente prezioso. È interessante notare che anche le autorità tedesche, i responsabili della protezione dei dati e i manager IT stanno ora osservando con attenzione per vedere se sta emergendo un nuovo standard.

Cosa dice davvero la risoluzione svizzera

Come Heise online e All'interno dell'IT Come abbiamo riportato nel nostro rapporto, questa decisione è stata presa dalla Conferenza sulla protezione dei dati privatim, un'associazione che riunisce il Commissario federale per la protezione dei dati e tutte le autorità di controllo cantonali. Sebbene le sue decisioni non siano leggi, hanno un peso enorme. In pratica, molte autorità applicano le loro linee guida come se fossero vincolanti, perché specificano ciò che è consentito e responsabile dal punto di vista della protezione dei dati. A chi si rivolge la risoluzione? I destinatari sono le autorità pubbliche:

Autorità federali
Uffici cantonali
Comuni
Tribunali
istituzioni statali

Le aziende private non sono formalmente interessate dalla risoluzione. Tuttavia, se gli standard per le istituzioni statali sono fissati in modo così rigoroso, il settore privato avrà difficoltà ad adottare un approccio molto più lassista in futuro, soprattutto in settori come la sanità, l'istruzione e le assicurazioni.

Il messaggio chiave: i dati sensibili non appartengono alle nuvole internazionali

Il Risoluzione lo formula in modo attento ma inequivocabile: la maggior parte dei dati sensibili della pubblica amministrazione non deve essere esternalizzata a servizi cloud finché i fornitori possono avere accesso tecnico. E questo non si applica a qualsiasi applicazione di nicchia, ma proprio a quei prodotti cloud che molte amministrazioni utilizzano ormai come standard, tra cui

Microsoft 365
Spazio di lavoro Google
Varie applicazioni SaaS di fornitori internazionali

Il punto critico è sempre lo stesso: non esiste una vera crittografia end-to-end quando l'autorità detiene le chiavi e il fornitore è tecnicamente escluso. Finché il servizio cloud stesso distribuisce gli aggiornamenti, esegue le configurazioni o dispone dei diritti di amministratore in caso di assistenza, l'accesso teorico rimane, e questo è un rischio più che sufficiente per gli esperti svizzeri di protezione dei dati.

Perché la Svizzera sta tracciando questa linea

La decisione svizzera segue una logica chiara che potrebbe essere riassunta con un principio classico, quasi antiquato:
Non è possibile proteggere ciò che non rientra nella propria sfera di influenza. Al centro di tutto questo ci sono tre motivi:

Protezione della sovranità dello StatoI dati dello Stato sono un fondamento della sovranità. Se i fornitori internazionali - eventualmente anche sotto giurisdizione straniera - possono teoricamente accedervi, lo Stato perde un pezzo di questa sovranità.
Protezione del segreto d'ufficioIl segreto d'ufficio è particolarmente importante in Svizzera. Non solo per evitare intrighi politici, ma anche per garantire la fiducia dei cittadini. Non appena i dati escono dal Paese, questa fiducia diventa più difficile da garantire.
Protezione dei dati personali particolarmente sensibiliDati sanitari, fascicoli della polizia, casi sociali: sono tutte aree in cui l'accesso non autorizzato avrebbe gravi conseguenze. E anche il minimo rischio è considerato inaccettabile.

Quali dati sono particolarmente colpiti?

La risoluzione parla esplicitamente di:

dati personali particolarmente sensibili
Dati soggetti a riservatezza legale (segreto d'ufficio)
Dati provenienti dalla polizia, dalla giustizia, dai servizi sociali, dalla sanità, dall'amministrazione.

Per tali informazioni, la risoluzione richiede uno standard che gli attuali sistemi SaaS non offrono: la crittografia completa sotto il controllo esclusivo dell'autorità. Senza questo standard, l'esternalizzazione su cloud internazionali è „nella maggior parte dei casi inammissibile“ - secondo la formulazione.

Cosa resta da fare alle autorità?

Tecnicamente parlando, hanno solo un corridoio stretto:

Cloud storage con crittografia propria a monte
Gestione di un'infrastruttura chiave propria
o soluzioni completamente locali, ad esempio on-premise o con fornitori svizzeri.

Ciò non significa che le autorità non possano più utilizzare il cloud. Ma devono assicurarsi che il fornitore non abbia modo di leggere i dati in chiaro. In pratica, questo è praticamente impossibile con la maggior parte dei moderni strumenti cloud, perché questi sistemi possono svolgere le loro funzioni solo se elaborano direttamente i dati. La Svizzera sta quindi indirettamente dicendo:

„Usate il cloud con parsimonia e solo dove potete davvero controllarlo“.“

E questo è di per sé un passo notevole, che sta facendo discutere anche al di fuori della Svizzera.

Le cinque argomentazioni principali - dalla mancanza di crittografia end-to-end alla lotteria dei contratti

1. mancanza di una vera crittografia end-to-end

Il punto più importante è anche il più semplice: finché un provider cloud può tecnicamente accedere ai dati, non è consentito utilizzarli per informazioni particolarmente sensibili. Ed è proprio qui che praticamente tutte le offerte SaaS internazionali falliscono, anche se si definiscono „sicure“, „certificate“ o „conformi alla protezione dei dati“. Perché? Perché servizi come Microsoft 365, Google Workspace o altre grandi piattaforme cloud funzionano solo se possono elaborare i dati del nostro lavoro: Documenti, e-mail, calendari, riunioni, chat. I sistemi analizzano, cercano, sincronizzano e collegano i contenuti: questo è il loro modello di business.

Una vera e propria crittografia end-to-end, in cui l'autorità è l'unica a detenere la chiave e il fornitore non ha alcuna visione, renderebbe queste funzioni in gran parte impossibili. È proprio per questo motivo che i provider non offrono una separazione completa in questo senso. Ed è per questo che gli esperti svizzeri di protezione dei dati dicono:

„Finché questo non sarà possibile, non potremo utilizzare questi sistemi con la coscienza pulita“.“

2. catene di subappaltatori non trasparenti e mancanza di controllo

I grandi fornitori di cloud lavorano con un'enorme rete di subappaltatori. Queste strutture sono spesso distribuite a livello globale, cambiano regolarmente e sono quasi impossibili da capire per gli esterni. Anche se esiste un contratto ufficiale con Microsoft o Google, spesso si applica quanto segue in background:

Altre aziende forniscono supporto
Squadre esterne eseguono lavori di manutenzione
altri fornitori di servizi ospitano o gestiscono parti dell'infrastruttura

Per un'autorità pubblica, ciò significa che non può sapere esattamente chi ha o potrebbe avere accesso e quando. Questo contraddice il principio secondo cui un'autorità pubblica deve essere in grado di vedere in ogni momento dove si trovano i suoi dati e chi può accedervi. Le autorità svizzere hanno deliberatamente sottolineato questo punto perché la trasparenza e la responsabilità sono strettamente legate.

3. Modifiche unilaterali del contratto - il cloud come base giuridica traballante

Un fattore di rischio che spesso viene trascurato è la struttura del contratto. Molti fornitori di cloud si riservano il diritto di modificare i propri termini e condizioni in qualsiasi momento, a volte con tempi molto brevi. Questo è in qualche modo accettabile per le aziende private, ma..:

Il principio di prevedibilità si applica alle autorità pubbliche. L'amministrazione deve essere in grado di documentare e giustificare quali dati vengono trattati e come. Tuttavia, se le condizioni quadro cambiano spontaneamente - perché il fornitore inserisce nuove clausole o limita quelle esistenti - si crea una situazione in cui l'autorità non può più valutare con certezza la propria conformità legale.

Gli esperti svizzeri di protezione dei dati considerano questa „lotteria contrattuale“ incompatibile con gli obblighi statali. Uno Stato non può affidarsi a modelli commerciali che possono essere cambiati in qualsiasi momento, senza una codeterminazione.

4. rischio di perdita di controllo e di diritti fondamentali

Non appena i dati lasciano il Paese o vengono elaborati al di fuori della propria area di responsabilità, sorge un rischio: lo Stato perde parte del suo controllo.

Questo aspetto può sembrare astratto a prima vista, ma è molto reale nella vita di tutti i giorni: se si verifica un errore, se i dati vengono compromessi o se sorge una controversia legale, un'autorità pubblica non può più garantire di essere in grado di gestire la situazione senza un aiuto esterno. Ed è proprio questo che contraddice l'idea di base di un'amministrazione pubblica funzionante:

Uno Stato deve essere in grado di agire da solo in caso di emergenza, senza dipendere da società esterne o da sistemi giuridici stranieri. I protezionisti svizzeri hanno un approccio tradizionale, quasi antiquato, ed è proprio questo che rende la loro posizione così coerente. I compiti dello Stato rimangono tali. E i dati dello Stato appartengono alle mani dello Stato.

5 La legge statunitense CLOUD - il fulcro delle preoccupazioni

Il CLOUD Act è forse il contesto più importante di tutta questa discussione. Questa legge statunitense obbliga le aziende americane a consegnare i dati alle autorità statunitensi su richiesta, anche se questi dati sono archiviati all'estero e sono effettivamente soggetti alla protezione di leggi straniere. Per la Svizzera, questo è un divieto assoluto.

In teoria, ciò consentirebbe alle autorità statunitensi di accedere a dati amministrativi svizzeri sensibili senza coinvolgere i tribunali o le autorità svizzere. Anche se i fornitori di cloud affermano che rilasceranno tali dati solo a condizioni rigorose, il problema di fondo rimane:

L'autorità perde la sovranità sui propri dati, semplicemente scegliendo il fornitore di servizi tecnici. Per un Paese che tradizionalmente difende la propria indipendenza, questo è un rischio che non vale la pena correre. Ed è proprio questo il punto che gli esperti svizzeri di protezione dei dati stanno chiarendo.

Miniatura del video di YouTube

Guarda questo video su YouTube

La Svizzera contro Microsoft 365 - e la Germania osserva con attenzione | heise & c't

Svizzera contro UE: due modi di trattare Microsoft 365

Mentre la Svizzera adotta un approccio molto cauto e mette esplicitamente in guardia le autorità contro l'esternalizzazione di dati sensibili a servizi SaaS internazionali, l'Unione Europea adotta un approccio diverso. Sta cercando di trovare una via di mezzo attraverso accordi, miglioramenti contrattuali e adeguamenti tecnici, che non vieti sostanzialmente i servizi cloud, ma che miri piuttosto a renderli „utilizzabili“ imponendo delle condizioni.

Questa differenza è notevole e la dice lunga sul modo in cui gli Stati affrontano la questione della sovranità digitale.

Svizzera: cautela, sovranità dei dati e un confine chiaro

La posizione svizzera può essere riassunta in una frase:

„Ciò che non posso controllare, non me lo lascio sfuggire dalle mani“.“

La Svizzera si attiene così a un principio tradizionale: i dati statali - soprattutto quelli segreti o particolarmente sensibili - rimangono nel Paese o vengono criptati in modo tale che nessuno, a parte le autorità stesse, possa accedervi. Si tratta di un deliberato ritorno a vecchi principi, trasferiti al presente del mondo digitale.

L'UE: trattati, esenzioni e soluzioni di compromesso

L'Unione Europea sta adottando un approccio diverso. Vuole sfruttare i vantaggi delle grandi piattaforme cloud senza vietarle completamente. A tal fine:

Negoziazione di nuovi contratti
Aggiunta di garanzie sulla protezione dei dati
Introduzione di meccanismi di controllo e audit
Garanzie tecniche fornite successivamente

La decisione del Garante europeo della protezione dei dati, secondo cui la Commissione europea può utilizzare Microsoft 365 in conformità con le norme sulla protezione dei dati a determinate condizioni, è esemplare. Dichiarazioni simili si sentono ora da diversi Stati membri, comprese alcune parti della Germania. L'idea di base:

„Regoliamo il cloud invece di vietarlo“.“

Ma questo approccio si basa sulla fiducia nei fornitori e sul fatto che la complessità rimane gestibile. I critici sono contrari: Più grande è la piattaforma, più è difficile controllarla.

La Germania tra due mondi

La Germania si trova tra l'incudine e il martello. Alcune autorità statali per la protezione dei dati sono più caute, altre sono più orientate alla pratica.
Nel settore scolastico, ad esempio, ci sono già state decisioni severe contro Microsoft 365, mentre a livello federale si sta lavorando a soluzioni che ne consentano l'utilizzo. Il risultato: una trapunta patchwork.

È proprio per questo che molti guardano ora alla linea svizzera, perché per la prima volta stabilisce uno standard chiaro invece di scendere a compromessi.

Due filosofie si scontrano

In poche parole, esistono due scuole di pensiero opposte:

La tradizione svizzera: „I nostri dati restano con noi - o restano criptati e nessun altro li vede“.“
La pragmatica europea: „Abbiamo bisogno di piattaforme moderne, quindi ci stiamo confrontando con esse nel miglior modo possibile“.“

Entrambi gli approcci hanno i loro punti di forza. Ma la Svizzera sta lanciando un segnale chiaro: dimostra che uno Stato può puntare consapevolmente sull'indipendenza digitale nel XXI secolo senza diventare dipendente dalle multinazionali.

E questo atteggiamento da solo sta già inducendo le autorità, i responsabili della protezione dei dati e i dipartimenti IT di tutta Europa a esaminare più da vicino se la prassi precedente sia davvero così inconfutabile come è sempre sembrata.

Criterio / Argomento	Vista Svizzera (privati / autorità)	Pratiche o opinioni attuali dell'UE e della Germania
Gruppo target	Istituzioni pubbliche: Confederazione, cantoni, comuni, tribunali, ecc.	Autorità e amministrazioni (in parte), ma molte autorità continuano a utilizzare cloud SaaS; le normative sono talvolta incoerenti a seconda del Paese e dello Stato federale.
Tipo di dati / sensibilità	Dati che richiedono una protezione speciale o la riservatezza (salute, polizia, servizi sociali, dati ufficiali, ecc.	L'uso del cloud è possibile anche per i dati sensibili - a seconda della valutazione del rischio, delle misure di protezione dei dati e del contratto con il fornitore; spesso si tratta di compromessi e di una gestione individuale diversa.
Crittografia end-to-end / sovranità delle chiavi	È accettabile solo se l'autorità stessa controlla la chiave e il fornitore è tecnicamente escluso; altrimenti l'uso non è autorizzato.	Vengono utilizzati cloud standard, anche senza la sovranità delle chiavi; la crittografia del fornitore è di solito sufficiente, a condizione che esistano contratti e requisiti di protezione dei dati.
Subappaltatori / trasparenza dell'infrastruttura	Le catene di subappaltatori sono considerate troppo opache - nessun utilizzo autorizzato con dati critici.	Le catene di subappaltatori sono accettate - con prove di conformità, certificazioni e regolamenti contrattuali, ma la trasparenza è spesso limitata.
Modifiche contrattuali / garanzia legale	Le modifiche unilaterali dei contratti da parte dei fornitori sono da escludere: gli obblighi dello Stato non devono essere messi a rischio.	I servizi vengono utilizzati anche se i fornitori possono cambiare contratto; le autorità/aziende si assumono i rischi - spesso con accordi legali e meccanismi di controllo.
Pericolo derivante dalle leggi statunitensi (ad es. CLOUD Act)	Le leggi statunitensi sono considerate un rischio inaccettabile: l'uso del cloud è vietato per i dati sensibili finché i fornitori possono essere soggetti agli obblighi dei tribunali statunitensi.	Nonostante la legge CLOUD, vengono utilizzati cloud internazionali; il rischio è spesso considerato accettabile, con riferimento ai meccanismi di protezione, al confine dei dati o alle clausole contrattuali standard dell'UE.
Alternative consigliate	On-premise, provider svizzeri/europei con sovranità delle chiavi, infrastruttura propria o soluzioni di archiviazione fortemente crittografate.	Cloud ibrido, fornitori con centri dati in Europa, servizi cloud soggetti a condizioni; uso frequente a condizione che siano rispettati gli standard di conformità.
Filosofia / atteggiamento	Principio di precauzione, controllo, sovranità dello Stato e massima sovranità dei dati.	Pragmatismo, capacità di compromesso, gestione del rischio e fiducia nelle condizioni contrattuali/tecniche.

Uno sguardo al di là del confine: perché la Germania ha bisogno di uno sguardo più attento adesso

La risoluzione svizzera arriva in un momento in cui le autorità e le aziende tedesche sono già sempre più incerte su come gestire i servizi cloud. Da un lato, l'economia sta spingendo verso il cloud, promettendo automazione, collaborazione ed efficienza dei costi. Dall'altro lato, la domanda principale è: a quanto controllo rinunciamo?

È proprio in questo caso che la decisione della Svizzera ha un effetto di segnalazione. Essa fa da specchio alla Germania e mostra cosa succede se si ragiona fino in fondo. Ciò riguarda non solo i ministeri e le autorità, ma anche le scuole, gli studi legali, gli ambulatori medici, le PMI e chiunque lavori con dati sensibili. In sostanza, gli svizzeri dicono:

„Utilizziamo la tecnologia moderna, ma non a costo della nostra indipendenza“.“

Questa frase potrebbe essere facilmente scritta sopra una strategia digitale tedesca. Non lo è ancora, ma la decisione di Berna ha dato nuovo impulso alla discussione.

La domanda che nessuna azienda può ignorare

Oggi le aziende devono porsi una domanda apparentemente semplice, che difficilmente si sarebbe posta dieci o quindici anni fa:

„Chi ha accesso ai nostri dati in caso di dubbio?“.“

In passato la risposta era chiara: voi stessi. Oggi è spesso: „Dipende“.“

Ed è proprio questo „dipende“ che rappresenta un problema per molte organizzazioni. Non appena i dati vengono archiviati in sistemi cloud, non è più solo l'azienda a decidere chi può accedervi. È l'azienda a decidere:

il fornitore
i suoi subappaltatori
il suo incaricato del trattamento dei dati a contratto
autorità straniere (nel caso di fornitori statunitensi anche senza il consenso europeo)

Se si guarda con sobrietà, ci si rende subito conto che ci sono sempre meno risposte chiare alla questione della vera sovranità dei dati.
Ecco perché la linea svizzera improvvisamente non sembra più antiquata, ma decisamente moderna.

La classe media tra comfort e perdita di controllo

Molte medie imprese tedesche si trovano attualmente tra due poli:

La convenienza delle moderne piattaforme cloud
- File sincronizzati ovunque
- Videoconferenze in pochi secondi
- Sistemi integrati di e-mail, calendario e comunicazione
Il desiderio di controllo, riservatezza e indipendenza
- soprattutto per i dati riservati
- segreti commerciali strategici
- proprietà intellettuale
- Dati di clienti o dipendenti

La decisione della Svizzera mostra una possibile direzione: si può usare la tecnologia, ma non si deve seguire ciecamente ogni tendenza. Alcune strade sono comode, ma non sempre sono sicure.

Sondaggio attuale sulla digitalizzazione nella vita quotidiana

Il mio momento cloud con HostEurope

Ho seguito con particolare attenzione questo sviluppo svizzero perché qualche tempo fa mi sono trovato in una situazione molto simile. Presso HostEurope, il mio intero sistema di posta elettronica doveva essere sostituito, senza alcuna consultazione o richiesta. semplicemente migrato a Microsoft 365 diventare. Ciò avrebbe significato che le mie comunicazioni sarebbero state improvvisamente archiviate in un cloud internazionale, in condizioni che non posso controllare e con il rischio di accesso da parte di autorità straniere in caso di dubbio.

Per me è stato un punto chiaro in cui ho detto: Basta, non così. Ho deciso deliberatamente di non affidarmi a HostEurope perché non voglio che i miei dati vengano trasferiti in un sistema sul quale alla fine non ho più alcun controllo reale. Questo momento mi ha fatto capire ancora una volta quanto velocemente si possa rimanere invischiati in strutture che non si sono mai volute e quanto sia importante tirare la corda da soli prima che altri prendano il controllo dei propri dati.

Cosa significa questo sviluppo per tutti noi

Se si guarda con sobrietà agli sviluppi degli ultimi anni, si potrebbe pensare che il mondo si stia muovendo a tutta velocità verso la dipendenza tecnologica. Tutto viene centralizzato, standardizzato e spostato nel cloud, spesso senza esaminare realmente le conseguenze a lungo termine.

E ora un piccolo Paese al centro dell'Europa sta ricordando a tutti che è possibile agire in modo diverso: in modo ponderato, rispettoso, attento e con una chiara visione delle proprie responsabilità. Questo atteggiamento svizzero non è un passo indietro. È un ritorno alla vecchia domanda che molti hanno quasi dimenticato nel ritmo frenetico della digitalizzazione:

„Chi è responsabile se succede qualcosa?“.“

Se la risposta non è più chiara, allora c'è qualcosa che non va.

Cosa significa per ogni individuo

In definitiva, questa decisione non riguarda solo le autorità pubbliche o le grandi aziende, ma tutti coloro che producono, archiviano o scambiano dati.

Non è necessario essere un tecnico per capire che ogni esternalizzazione costa un pezzo di controllo.
Non è necessario essere un esperto di protezione dei dati per capire che le informazioni sensibili sono meglio se si sa dove sono conservate.
E non è necessario essere un avvocato per capire che le leggi straniere sono problematiche se possono decidere sui vostri dati.

Il buon senso è sufficiente. Ed è proprio questo che la Svizzera sta cercando di riportare alla ribalta.

La decisione di Berna non è un invito all'ostilità verso la tecnologia, ma un appello ai nostri standard. Ci ricorda che la digitalizzazione non significa consegnarsi ciecamente ai maggiori fornitori, ma significa chiedersi quanta responsabilità ci stiamo assumendo. Sul tema Cloud e sovranità dei dati Avevo già scritto un articolo su questo argomento in passato.

Gli imprenditori che sono a favore di Software ERP senza cloud troveranno informazioni utili in questo articolo separato.

In un certo senso, la Svizzera ci sta mostrando qualcosa che tutti noi sappiamo da tempo, ma che spesso reprimiamo: La sovranità non inizia con la tecnologia, ma con l'atteggiamento. Dal modo in cui si prendono le decisioni. Con la volontà di esaminare le cose in modo critico.

E con il coraggio di prendere una strada diversa, se necessario, se è più sensata.

Articoli attuali sulle leggi dell'UE

28° regime UE

Il 28° regime dell'UE: la riorganizzazione silenziosa dello Spazio economico europeo?

Diritto internazionale e ordine mondiale basato sulle regole

Ordine mondiale basato sulle regole e diritto internazionale: tra pretesa, realtà e violazione del diritto

Leggi sulla censura dell'UE

Le nuove leggi sulla censura dell'UE: Cosa significano Chatcontrol, DSA, EMFA e la legge sull'IA

Tutti i fatti sulla cartella clinica elettronica

Una verifica della cartella clinica elettronica (EPR): rischi, diritti e obiezioni

Prezzi dell'energia in Germania

Capire i prezzi elevati dell'energia in Germania: Gas, elettricità e benzina spiegati in modo semplice

Panoramica dell'obbligo di emettere fatture elettroniche

Fatture elettroniche per le PMI: XRechnung, ZUGFeRD e ERP in un colpo d'occhio

Domande frequenti

Perché la Svizzera ha adottato una posizione così rigida nei confronti dei servizi cloud internazionali come Microsoft 365?
La Svizzera segue un principio chiaro: i dati statali devono essere protetti in modo tale che nessuno, al di fuori dell'autorità competente, possa accedervi. I fornitori internazionali di cloud non possono tecnicamente e legalmente mai escludere completamente la possibilità che i dati siano accessibili in caso di emergenza, sia per motivi di manutenzione, sia per diritti di amministratore o per richieste governative dal loro Paese. Questo è un rischio inaccettabile per i dati particolarmente sensibili, come quelli trattati nell'amministrazione, nella giustizia, nella polizia o nei sistemi sanitari. Le autorità svizzere per la protezione dei dati stanno quindi traendo la logica conclusione e limitando fortemente l'uso del cloud fintanto che non vi sia un'autentica crittografia end-to-end sotto l'unica sovranità delle chiavi dell'autorità.
Questa decisione si applica a tutti i dati o solo ad alcune categorie?
La risoluzione riguarda principalmente i dati particolarmente sensibili o soggetti a riservatezza, tra cui i dati sanitari, i file sociali, le informazioni investigative e le comunicazioni interne con le autorità. Per queste categorie la Svizzera richiede i più elevati standard di sicurezza, che attualmente le piattaforme SaaS internazionali non soddisfano. I dati meno sensibili possono comunque essere esternalizzati, ma solo dopo un'attenta valutazione del rischio e nel rispetto di determinate misure di protezione.
Sono interessate anche le aziende in Svizzera?
Formalmente, la risoluzione è rivolta esclusivamente alle agenzie governative. In pratica, però, avrà un impatto anche sulle aziende, soprattutto su quelle che trattano dati sensibili o protetti dalla legge, come ad esempio ospedali, compagnie assicurative, banche o istituti scolastici. Se le autorità pubbliche non potranno più utilizzare determinati servizi, sarà più difficile per le organizzazioni private classificare gli stessi servizi come „assolutamente non problematici“.
Qual è il problema tecnico più grande di Microsoft 365 dal punto di vista svizzero?
Il problema centrale è la mancanza di una vera crittografia end-to-end. Microsoft 365 richiede l'accesso ai contenuti per abilitare funzioni come la ricerca, l'indicizzazione, le chat di gruppo, i calendari, l'anti-spam o le funzioni di intelligenza artificiale. Ciò significa che i server e gli amministratori possono tecnicamente vedere sempre il testo in chiaro. Anche se Microsoft sottolinea che non lo fa, la possibilità rimane ed è proprio questa possibilità teorica a rappresentare un rischio per le autorità svizzere.
Che ruolo ha la legge statunitense CLOUD nella decisione?
Il CLOUD Act obbliga le aziende statunitensi a consegnare i dati su richiesta delle autorità americane, anche se questi dati sono conservati all'estero. Per la Svizzera, ciò significa che anche se Microsoft utilizza centri dati europei o svizzeri, i dati potrebbero dover essere resi accessibili alle autorità americane. Questo possibile accesso è in contrasto con la concezione svizzera della sovranità e del segreto d'ufficio. La legge CLOUD viene quindi citata come un serio argomento a sfavore.
Perché i trattati o le „frontiere dei dati dell'UE“ non sono sufficienti per la Svizzera?
I contratti e le misure di protezione tecnica sono strumenti preziosi, ma non cambiano la realtà giuridica. Se un'azienda statunitense è obbligata a consegnare i dati, non esiste alcun contratto in merito. Inoltre, i grandi fornitori di cloud possono modificare i loro termini e condizioni in qualsiasi momento. Gli esperti svizzeri di protezione dei dati affermano quindi che la certezza del diritto non deriva dalle promesse, ma dal controllo effettivo sui dati - e questo controllo non è completamente garantito nei cloud SaaS.
Cosa significa concretamente la risoluzione per le autorità?
In futuro, le autorità dovranno dimostrare di non esternalizzare i dati sensibili in modo tale che un fornitore di cloud possa accedervi. In pratica, ciò significa che Microsoft 365 e altre piattaforme SaaS internazionali non potranno più essere utilizzate per tali dati. Le autorità dovranno affidarsi a soluzioni locali, passare a provider svizzeri o utilizzare meccanismi di crittografia propri in cui il provider non ha alcun accesso.
Le autorità possono continuare a utilizzare i servizi cloud se utilizzano la propria crittografia?
Sì, ma solo se l'autorità mantiene il controllo completo sulle chiavi e il fornitore è tecnicamente escluso. Il problema: molti servizi cloud non funzionano più se il contenuto viene crittografato prima dell'elaborazione. In pratica, Microsoft 365 sarebbe quindi utilizzabile solo come pura soluzione di archiviazione dati, senza strumenti di collaborazione, sistema di posta elettronica, calendario, Teams o funzioni Office automatizzate.
In cosa si differenzia la posizione svizzera dalla linea attuale dell'UE?
L'UE sta cercando di rendere l'uso di Microsoft 365 conforme alle normative sulla protezione dei dati attraverso accordi, audit e garanzie contrattuali. L'obiettivo è quello di sfruttare i vantaggi del cloud senza metterli fondamentalmente in discussione. La Svizzera, invece, si concentra sul principio di precauzione e traccia una linea chiara: senza un controllo completo sui dati, l'utilizzo non è consentito. Si crea così un contrasto tra il pragmatismo europeo e la coerenza svizzera.
Come reagiscono le autorità tedesche a questo sviluppo?
Molte organizzazioni statali tedesche per la protezione dei dati stanno tenendo d'occhio la decisione svizzera. Alcune sono già state critiche nei confronti di Microsoft 365, ad esempio nelle scuole, dove sono stati criticati i meccanismi di tracciamento e i flussi di dati poco chiari. La risoluzione svizzera potrebbe servire a rafforzare le argomentazioni: Se un Paese con standard elevati limita l'utilizzo, sarà più difficile per le autorità tedesche adottare una linea più liberale senza essere in grado di giustificarla adeguatamente.
Perché la trasparenza riveste un ruolo così importante per i subappaltatori?
I grandi fornitori di cloud utilizzano reti globali di partner e subappaltatori per il supporto, la manutenzione e i servizi tecnici. È quasi impossibile per un'autorità pubblica capire quali aziende possano avere accesso e quando. È proprio questa mancanza di trasparenza che rende impossibile una corretta valutazione dei rischi. Per la Svizzera si tratta di un problema fondamentale: un'autorità pubblica deve sapere chi può accedere ai suoi dati, e questo è praticamente impossibile in strutture cloud complesse.
Come influisce la decisione sul dibattito sulla sovranità digitale in Europa?
La posizione della Svizzera funge da catalizzatore. Molti Paesi dell'UE parlano da anni di sovranità digitale, ma spesso si affidano agli stessi fornitori globali. La Svizzera sta ora dimostrando che uno Stato può anche agire coerentemente in modo diverso. Questa decisione riaccenderà il dibattito europeo, soprattutto nei settori della giustizia, dell'amministrazione e dei dati sanitari, dove una linea rigorosa potrebbe sembrare particolarmente sensata.
Cosa possono imparare le aziende da questo sviluppo?
Le aziende devono rendersi conto che l'esternalizzazione dei dati comporta sempre una perdita di controllo. La decisione della Svizzera ci ricorda che è importante controllare attentamente quali dati vengono trasferiti e dove. Le aziende dovrebbero valutare se alcune aree critiche siano meglio lasciate a livello locale o in infrastrutture sovrane, anche se il cloud sembra più conveniente a prima vista.
La decisione della Svizzera è un passo indietro nel passato?
No, si tratta piuttosto di un ritorno a principi fondamentali che a volte si perdono nella digitalizzazione: Responsabilità, controllo, tracciabilità. La Svizzera utilizza le moderne tecnologie, ma non accetta di perdere la sovranità sui suoi dati più sensibili. Questo atteggiamento sembra antiquato, ma in realtà è orientato al futuro.
Quali alternative hanno le autorità o le aziende se vogliono evitare i servizi cloud?
Esistono diverse opzioni: server locali, provider svizzeri o europei con una rigida sovranità sui dati, modelli ibridi con crittografia propria o infrastrutture completamente autonome. Queste opzioni non sono così convenienti come fare clic su „Abbonati a Microsoft 365“, ma rafforzano il controllo e sono del tutto sufficienti per molte applicazioni sensibili.
Che ruolo ha il vostro episodio di HostEurope in questo contesto?
L'incidente è un tipico esempio di quanto velocemente si possa essere coinvolti in strutture che non si volevano. Se un provider vuole migrare le vostre e-mail a Microsoft 365 senza consultarvi, perdete allo stesso tempo parte della vostra sovranità - e completamente senza essere interpellati. La vostra decisione di rinunciare immediatamente è stata in definitiva un passo nella stessa direzione che la Svizzera ha ora ufficialmente intrapreso: Controllo anziché convenienza. Proprio per questo motivo, la storia è un buon esempio della rilevanza pratica della posizione svizzera.
Cosa significa tutto questo per i privati che non lavorano nel settore pubblico?
Anche i privati dovrebbero essere più consapevoli di dove vengono conservati i loro dati. Molte persone oggi utilizzano automaticamente piattaforme internazionali senza considerare quanto queste aziende possano vedere nella loro vita digitale. La decisione della Svizzera ci ricorda che non bisogna considerare i propri dati come una questione secondaria, perché la sicurezza inizia sempre con la decisione personale di chi fidarsi.
Come potrebbe evolvere la situazione nei prossimi anni?
È molto probabile che con questa risoluzione la Svizzera stabilisca una tendenza che sarà poi ripresa dall'UE. La discussione sulla sovranità sta diventando più forte, non più debole. Gli Stati e le aziende si renderanno sempre più conto che il cloud non è una legge di natura, ma una scelta. E come ogni scelta, può essere riconsiderata, soprattutto se a un certo punto i rischi sembrano superiori alla convenienza.

Articoli attuali su arte e cultura

La Groenlandia nel mirino: USA e Trump

Groenlandia, Trump e la questione dell'appartenenza: storia, diritto e realtà

-

9 Gennaio 2026

La teoria dei giochi spiega 25 anni di geopolitica

La teoria dei giochi spiega 25 anni di geopolitica: come l'Europa ha perso il suo ruolo strategico

-

11 Dicembre 2025

Una telefonata inaspettata

Quando il dovere diventa di nuovo dovere. Una sorta di saggio del signor von L'oreot.

-

4 ottobre 2025

Ulrike Guérot e l'Europa

Ulrike Guérot: un'europea tra idea, università e discorso pubblico

-

15 Dicembre 2025

Lascia un commento Annulla risposta

Nel 1989, Jan-Josef Liefers si presentò ad Alexanderplatz e tenne un discorso - come giovane attore, non come star. Oggi, a distanza di decenni, è possibile riconoscervi una frase: libertà, responsabilità e coraggio di difendere il proprio punto di vista. Questo ritratto unisce biografia, arte e storia contemporanea e mostra perché la coerenza è più importante del favoritismo. Un valido contributo sul carattere in tempi turbolenti. #DDR #Alexanderplatz #Cstoria contemporanea #JanJosefLiefers #Ccultura #Flibertà d'espressione

Per saperne di più

19.01.2026 - @MarkusSchall

Molte aziende investono ogni anno ingenti budget in pubblicità e social media - e finiscono per non possederne nessuno. La portata è affittata, non di proprietà. Se si interrompe il pagamento, si interrompe la portata. Un magazine aziendale dedicato inverte questo principio: I contenuti rimangono, crescono e sono indipendenti da piattaforme e algoritmi. Ho riassunto in questo articolo perché questo è più importante oggi che mai. 1TP24Reach 1TP24Strategia aziendale 1TP24ContentMarketing 1TP24Indipendenza #Marketing

Per saperne di più

19.01.2026 - @MarkusSchall

I veicoli ibridi non sono mezze soluzioni, ma ponti pragmatici. Risparmiano carburante, aumentano il comfort di guida e riducono le dipendenze, se usati correttamente. Tre litri in meno di consumo di carburante nella vita quotidiana sono realistici, senza sacrificare nulla. L'elettromobilità non inizia con i divieti, ma con soluzioni adeguate. Una panoramica sulla mobilità elettrica, dagli scooter agli e-scooter, dagli ibridi alle auto elettriche. #Hybrid #PlugInHybrid #Electromobility #Auto #Praxis #Electric car

Per saperne di più

18.01.2026 - @MarkusSchall

Con il cosiddetto 28° regime, l'UE sta progettando una nuova forma societaria volontaria che si affianca ai 27 sistemi giuridici nazionali. L'obiettivo: meno burocrazia, avvio più rapido e maggiore competitività. Tuttavia, i critici mettono in guardia da una legislazione parallela, da un trasferimento di potere a Bruxelles e da conseguenze a lungo termine per gli standard nazionali. Una questione apparentemente tecnocratica, ma politicamente esplosiva. #EU #28Regime #Internal market #Economy #Europe #Corporate law

Per saperne di più

18.01.2026 - @MarkusSchall

Volete creare il vostro studio #KI nel 2025? 💡 Nel mio nuovo articolo vi mostro qual è l'hardware che vale davvero la pena acquistare, dal Mac Studio alla RTX 3090. Nessun blocco del cloud, nessun costo di abbonamento, ma una reale sovranità dei dati, velocità e controllo sui vostri flussi di lavoro AI. 🔧🧠Imparate come lavorare in locale senza pagare permanentemente i token del cloud e quali sono le GPU e i sistemi più sensati oggi. #AI #LocalAI #Hardware #MacStudio #RTX3090

Per saperne di più

17.01.2026 - @MarkusSchall

Panoramica sulla privacy

Questo sito web utilizza i cookie per migliorare la vostra esperienza di navigazione. Tra questi, i cookie classificati come necessari vengono memorizzati nel browser dell'utente in quanto essenziali per il funzionamento delle funzionalità di base del sito. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e a capire come gli utenti utilizzano il sito. Questi cookie vengono memorizzati nel vostro browser solo con il vostro consenso. L'utente ha anche la possibilità di rinunciare a questi cookie. Tuttavia, la rinuncia ad alcuni di questi cookie potrebbe compromettere la vostra esperienza di navigazione.

Necessario

Sempre abilitato

I cookie necessari sono assolutamente indispensabili per il corretto funzionamento del sito web. Questi cookie garantiscono le funzionalità di base e le caratteristiche di sicurezza del sito web, in forma anonima.

Biscotto	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Analytics".
cookielawinfo-checkbox-funzionale	11 mesi	Il cookie è impostato dal GDPR cookie consent per registrare il consenso dell'utente per i cookie della categoria "Funzionali".
cookielawinfo-checkbox-necessario	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Necessario".
cookielawinfo-checkbox-altri	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Altro".
cookielawinfo-checkbox-prestazioni	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Performance".
politica_cookie_vista	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent ed è utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Analisi

Altri

↑