Privatim — la Conferenza elvetica dei responsabili cantonali della protezione dei dati — ha emanato il 24 novembre 2025 una risoluzione con cui esorta le pubbliche amministrazioni a evitare l’uso di soluzioni Software-as-a-Service (SaaS) e di servizi cloud internazionali (inclusi Microsoft 365, AWS, Google Cloud e Workspace) quando trattano dati particolarmente sensibili o soggetti a segreto. Per l’organismo elvetico di data protection, “gli enti pubblici hanno una responsabilità particolare per quanto riguarda i dati dei cittadini. Se il trattamento dei dati viene esternalizzato a terzi, la protezione dei dati e la sicurezza delle informazioni devono continuare a essere rispettate. I dati sensibili e quelli soggetti all’obbligo legale di riservatezza meritano un’attenzione particolare”.

Il motivo principale addotto nella risoluzione è che questi servizi non garantiscono una vera end-to-end encryption con chiavi esclusivamente in mano all’ente che gestisce i dati, cioè impedendo al provider cloud di leggere i dati in chiaro. Inoltre, come noto, questi provider soggiacciono al CLOUD Act statunitense in base al quale le autorità US possono richiedere dati a provider con sede negli Stati Uniti, anche se i server sono fisicamente in Svizzera (o in Europa).

In sostanza, per la Svizzera il cloud globalizzato non può essere visto come sicuro, motivo per cui laddove le amministrazioni detengono dati sensibili (ad es. carta d’identità, cartelle sanitarie, dati giudiziari o fiscali), serve un approccio diverso volto al controllo totale e scevro da ingerenze di governi terzi: o soluzioni on-premises, oppure servizi “privacy-first” con chiavi sotto controllo locale, oppure provider europei/svizzeri che garantiscano chiavi e crittografia realmente segregata.

La decisione di Privatim riguarda soprattutto dati sensibili o soggetti a obblighi di segretezza: per dati “non critici” (ad esempio documenti generici, comunicazioni poco confidenziali) l’uso del cloud globale potrebbe restare accettabile, ma dopo un’analisi attenta del rischio.

La risoluzione non è giuridicamente vincolante per il settore privato: la scelta finale spetta a ciascuna organizzazione, che deve valutare rischi, costi, benefici. E’ tuttavia evidente che, nell’effettuare tale bilanciamento, le organizzazioni private che gestiscono dati critici (ospedali, assicurazioni, enti pubblici) non potranno ignorare un orientamento così autorevole e saranno così spinte a rivedere l’affidamento a big cloud provider globali.

Il tema “data sovereignty vs cloud globale” è sempre più attuale e reca complesse implicazioni geopolitche, oltre che regolamentari ed economiche. Vedremo se e quanto il nuovo posizionamento della Svizzera avrà ricadute sull’orientamento degli altri Paesi del Vecchio Continente. L’UE certamente non ignora il problema:

  • nel rapporto del Parlamento Europeo del 2025 sulla “technological sovereignty” ha evidenziato la “forte dipendenza” da infrastrutture cloud non europee e la vulnerabilità legale/strategica che ne deriva;
  • a ottobre 2025 la Commissione ha proposto un quadro normativo chiamato Cloud Sovereignty Framework, pensato per guidare la scelta di servizi cloud da parte delle PA e delle imprese, valutando quanto un provider rispetti principi di sovranità, autonomia legale/operativa e protezione dei dati secondo standard europei;
  • contestualmente, la Commissione ha lanciato una gara d’appalto – nell’ambito del sistema di acquisto dinamico Cloud III (Cloud III DPS) – che consentirà alle istituzioni, agli organi, agli uffici e alle agenzie dell’UE di acquistare servizi cloud sovrani per un periodo di 6 anni. La gara stabilisce un punto di riferimento per l’applicazione pratica della sovranità ai servizi cloud.