Pubblicato il: 4 maggio 2025 / Aggiornamento dal: 4 maggio 2025 - Autore: Konrad Wolfenstein
Sicurezza dei dati e sovranità digitale in Europa: gli investimenti di Microsoft sono a prova di dati in Europa? - Immagine: xpert.digital
Perché la posizione del server non garantisce la sicurezza dei dati
Microsoft ha recentemente annunciato ampi investimenti in Europa, tra cui la protezione del codice sorgente in Svizzera e l'espansione della sua infrastruttura cloud. Queste misure sono interpretate in risposta alle incertezze politiche e alle crescenti preoccupazioni dei clienti europei. Nonostante questi sforzi, esiste un conflitto fondamentale tra la legge degli Stati Uniti e le normative europee sulla protezione dei dati, che solleva la questione se una posizione del server europeo possa effettivamente offrire una protezione sufficiente. Questo rapporto analizza la garanzia di Microsoft per l'Europa, spiega il conflitto legale tra la US Cloud Act e il GDPR ed esamina perché la posizione fisica dei dati da sola non fornisce alcuna garanzia per la sicurezza dei dati e la sovranità.
Adatto a:
Le nuove assicurazioni digitali di Microsoft per l'Europa
Alla luce delle lotte commerciali e delle improvvise decisioni politiche condotte sotto il governo di Trump, molti clienti europei hanno perso la fiducia nei prodotti digitali dagli Stati Uniti. Microsoft reagisce a questo con assicurazioni concrete e investimenti in Europa.
Estesi investimenti infrastrutturali
Microsoft ha annunciato che amplierà le sue capacità di data center in Europa di circa il 40 percento nei prossimi due anni e di espanderlo in un totale di 16 paesi europei. Per questa espansione, la Società sta pianificando investimenti annuali in un'altezza di miliardi di dollari a doppia denigità. Queste misure dovrebbero non solo servire la crescente domanda di servizi cloud e infrastrutture di intelligenza artificiale, ma rafforzare anche la fiducia dei clienti europei.
Brad Smith, giustizia e presidente di Microsoft, sottolinea la stretta connessione economica con l'Europa nel suo post sul blog e assicura che Microsoft non si ritiri dalla regione. I data center europei dovrebbero agire in modo indipendente e sono sotto la direzione dei cittadini dell'UE, per cui le leggi europee devono essere rispettate e attuate.
Sicurezza del codice sorgente svizzero e continuità operativa
Una garanzia particolarmente notevole è quella di garantire i codici di origine di Microsoft in Svizzera. La società crea backup dei suoi codici di origine nella memoria di dati sicuri in Svizzera e garantisce diritti di accesso legale ai partner europei. Questa misura funge da piano di emergenza per il "caso improbabile" che Microsoft dovrebbe mai essere costretto a fermare i suoi servizi in Europa.
Microsoft prevede inoltre di nominare i partner europei e prendere precauzioni di emergenza che dovrebbero garantire la continuità operativa. Questo è già implementato da partenariati in Francia e Germania con i data center Bleu e Delos.
Il limite di dati dell'UE: la risposta di Microsoft ai problemi di protezione dei dati
Un componente centrale della strategia di Microsoft in Europa è l'implementazione del cosiddetto "limite di dati dell'UE" (limite di dati dell'UE) per Microsoft Cloud.
Residenza dati completa all'interno dell'UE
Dal gennaio 2024, i clienti europei del settore commerciale e pubblico sono stati in grado di salvare ed elaborare tutti i loro dati e i rilevamenti degli utenti per i servizi cloud centrali di Microsoft, incluso Microsoft 365, Dynamics 365, Power Platform e Azure Services. La terza e ultima fase del limite di dati dell'UE è stata completata nel febbraio 2025, per cui il limite è stato anche ampliato ai dati di servizio professionale Microsoft dalle interazioni di supporto tecnico.
Con questa offerta, Microsoft fa un passo oltre molti altri fornitori di cloud: la società non solo consente l'archiviazione locale e l'elaborazione dei dati dei clienti, ma anche da tutti i dati personali, compresi quelli creati automaticamente.
Opzioni di sicurezza aggiuntive
Microsoft offre ai clienti europei diverse opzioni per proteggere e crittografare i loro dati. Ciò include il calcolo riservato in Azure, che impedisce a terzi, inclusi i dati dei clienti Microsoft stessi, nonché funzioni di "Lockbox" per Azure, Dynamics 365 e Microsoft 365, con cui i clienti possono controllare e approvare prima che Microsoft acceda ai propri dati.
Altre opzioni di sicurezza includono Azure Key Vault e Microsoft Purview Customer Key, che consentono ai clienti di proteggere i propri dati con tecnologia di crittografia auto -controllata.
Il conflitto fondamentale: Cloud Act contro GDPR
Nonostante tutti gli sforzi e le assicurazioni, esiste un conflitto legale fondamentale che solleva la questione se i dati delle società europee siano davvero al sicuro dai fornitori statunitensi.
La gamma extraterritoriale del Cloud Act
Il Cloud Act (che chiarisce le lecile all'estero di Data Act), che è entrato in vigore nel 2018, consente alle autorità di procedimenti penali statunitensi di costringere le società con sede negli Stati Uniti a concedere l'accesso ai dati, indipendentemente da dove sono fisicamente archiviati i dati. Ciò vale anche per i dati archiviati nell'UE, ma sono gestiti dalle società statunitensi o dalle loro filiali.
La legge obbliga le compagnie Internet americane e i fornitori di servizi IT a garantire che le autorità statunitensi siano anche accessibili all'accesso ai dati memorizzati se l'archiviazione non è effettuata negli Stati Uniti. Le società interessate hanno diritto a un diritto di obiettare se il proprietario dei dati non è un cittadino statunitense e la società violerebbe la legge in altri paesi, quindi, ciò si applica solo ai paesi che hanno concluso un accordo ai sensi del Cloud Act, che attualmente è solo il caso nel Regno Unito.
La contraddizione con il GDPR
Il Regolamento europeo sulla protezione dei dati generali (GDPR) è in diretta contraddizione con la legge sul cloud. L'articolo 48 del GDPR proibisce alle società il trasferimento di dati garantiti all'interno dell'UE senza un accordo di assistenza legale. Una violazione di questa disposizione può essere punita con multe fino a 20 milioni di euro o quattro percento del fatturato annuale globale.
Questa incompatibilità della US Cloud Act e della regolamentazione generale della protezione dei dati dell'UE porta alle aziende che utilizzano i servizi cloud in un dilemma irrisolvibile. Si trovano di fronte alla scelta di violare la legge sul cloud o contro il GDPR, sebbene entrambi possano portare a sanzioni significative.
Adatto a:
Perché la posizione del server non garantisce la sicurezza dei dati
Contrariamente al presupposto diffuso, il semplice fatto che i dati siano archiviati sui server in Germania o l'UE non offre una protezione sufficiente contro l'accesso estero.
L'errore di sicurezza dei dati attraverso la scelta della posizione
La convinzione che i dati sui server in Germania siano automaticamente protetti da accesso estero è chiamata "errore pericoloso". Anche se i dati personali sono archiviati all'interno dei data center dell'Unione europea, un fornitore cloud americano può essere legalmente obbligato a trasmettere questi dati alle autorità statunitensi nel contesto delle indagini penali.
Esiste un rischio specifico, soprattutto se il provider cloud ha la sua sede negli Stati Uniti o sta lavorando lì, l'elaborazione dei dati tramite l'infrastruttura statunitense o una società statunitense ha accesso diretto o indiretto ai dati. In tali casi, esiste la possibilità che le autorità statunitensi ricevano l'accesso ai dati personali, anche senza la conoscenza o il consenso delle persone interessate in Europa.
Minaccia alla proprietà intellettuale e ai segreti commerciali
Il problema va ben oltre la protezione dei dati personali. Il Cloud Act ospita rischi reali che mettono in pericolo anche la sicurezza e la riservatezza di tutti i tipi di dati sensibili, tra cui proprietà intellettuale, prototipi F&E, dati dei clienti e comunicazione privata.
Anche se i dati sono archiviati nei data center dell'UE, la società US Cloud Act può costringere questi dati a pubblicare questi dati. Ciò non solo mina la protezione del GDPR e la sovranità dei dati dell'UE, ma espone anche informazioni aziendali critiche, come prototipi o piani strategici, il rischio di accesso non autorizzato.
A causa delle potenziali opzioni di accesso alle autorità statunitensi, "le aziende in effetti perdono la sovranità per le loro informazioni e quindi sulla loro proprietà intellettuale", che è particolarmente critica nei confronti dei segreti aziendali e aziendali.
Approcci di soluzione per una maggiore sovranità dei dati
Alla luce del problema descritto, si pone la domanda su quale misura le aziende possono prendere per proteggere la loro sovranità dei dati.
Fornitori di cloud alternativi e misure tecniche
Una protezione efficace contro l'accesso basato sulla legge sul cloud è garantita solo se tutti i provider e i provider di subdienst Act al di fuori della legge degli Stati Uniti, viene utilizzata un'infrastruttura esclusivamente europea e viene implementata una crittografia end-to-end con il controllo della chiave dell'utente esclusiva.
Gli esperti raccomandano pertanto di prendere le seguenti precauzioni quando si sceglie un provider di archiviazione cloud o di backup:
- Elezione di un fornitore basato sull'UE che non è soggetto al cloud Act
- Garantisce la sovranità dei dati in cui sia i dati che la chiave di crittografia rimangono completamente all'interno dell'UE
- Aggiunta di esperti legali e di conformità specializzati in GDPR e protezione dei dati
Approcci alternativi: open source come strategia
La Svizzera va un modo alternativo interessante: nell'aprile 2023, la legge federale sull'uso delle risorse elettroniche fu decisa di adempiere alle autorità (EMBAG), il che prevede che il software del governo debba essere open source e che il codice sorgente dovrebbe essere divulgato.
Il professor Dr. Matthias Stürmer della Bern University of Applied Sciences, che ha combattuto per questa legge, lo descrive come "una grande opportunità per lo stato, l'industria IT e la società". L'approccio ha lo scopo di ridurre l'impegno del fornitore per il settore pubblico per consentire alle aziende di espandere le loro soluzioni aziendali digitali e potenzialmente portare a costi IT più bassi e servizi migliori per i contribuenti.
Il modo per la vera sovranità digitale
Gli investimenti di Microsoft in Europa e l'implementazione del limite di dati dell'UE sono importanti passaggi verso una maggiore sovranità dei dati per le società europee e le istituzioni pubbliche. Tuttavia, non affrontano pienamente il conflitto legale fondamentale tra il Cloud Act degli Stati Uniti e il GDPR europeo.
La semplice memoria di dati sui server europei non offre una protezione sufficiente contro il potenziale accesso da parte delle autorità statunitensi se il fornitore cloud è soggetto alle leggi statunitensi. Ciò non solo mette in discussione la protezione dei dati, ma minaccia anche i segreti di proprietà intellettuale e commerciali delle società europee.
Per la vera sovranità digitale, sono pertanto richiesti approcci più ampi che tengano conto degli aspetti sia legali che tecnici. Ciò include l'uso di servizi cloud che operano completamente al di fuori della gamma della legge statunitense, una crittografia end-to-end costante con il controllo della chiave sul lato utente e probabilmente aumentano anche gli investimenti in soluzioni open source.
In definitiva, l'Europa ha bisogno della propria infrastruttura cloud indipendente che non è solo tecnicamente ma anche legalmente sicura di sé. Fino ad allora, le aziende e le istituzioni pubbliche devono considerare attentamente quali dati salvano dove e come - e di quali provider si possono fidare.
Adatto a:
Il tuo partner globale per il marketing e lo sviluppo aziendale
☑️ La nostra lingua commerciale è l'inglese o il tedesco
☑️ NOVITÀ: corrispondenza nella tua lingua nazionale!
Konrad Wolfenstein
Sarei felice di servire te e il mio team come consulente personale.
Potete contattarmi compilando il modulo di contatto o semplicemente chiamandomi al numero +49 89 89 674 804 (Monaco) . Il mio indirizzo email è: wolfenstein ∂ xpert.digital
Non vedo l'ora di iniziare il nostro progetto comune.
