I fatti più importanti in breve

• Lo US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) è una legge federale statunitense del 2018 che consente alle autorità statunitensi di richiedere dati ai fornitori di servizi cloud statunitensi, indipendentemente dal luogo di archiviazione.
  
• È considerato un rischio strategico e una potenziale violazione del GDPR, in quanto priva i cittadini e le aziende dell’UE di un’efficace protezione legale.
  
• I documenti sensibili, come i contratti legalmente validi e le prove d’identità personali, sono particolarmente a rischio, in quanto rappresentano beni aziendali o personali di valore.
  
• La risposta strategica sicura per le aziende consiste nell’optare costantemente per piattaforme e luoghi di archiviazione dei dati europei che sono esclusivamente soggetti alla legislazione dell’UE (GDPR, eIDAS).
  
• In quanto piattaforma europea al 100%, sproof offre la necessaria sovranità digitale ed è quindi l’alternativa priva di rischi per la gestione delle firme.

Il cuore del problema: l’accesso extraterritoriale

Le aziende europee si trovano sempre più spesso a dover affrontare conflitti tra le leggi statunitensi e quelle dell’UE in un mondo digitale. La legge statunitense CLOUD (Clarifying Lawful Overseas Use of Data Act), entrata in vigore nel 2018, è al centro di questo dilemma.

Autorizza le autorità statunitensi preposte all’applicazione della legge a richiedere dati ai fornitori di cloud statunitensi, come Amazon, Microsoft o Google. Il punto decisivo e strategicamente rilevante è che queste richieste sono indipendenti dalla posizione geografica di archiviazione dei dati. Che i vostri contratti digitali siano situati a Francoforte, Dublino o Amsterdam è irrilevante dal punto di vista del CLOUD Act, purché il fornitore di servizi sia un’azienda statunitense, creando una zona grigia dal punto di vista legale, poiché l’accesso dagli Stati Uniti è potenzialmente in conflitto con i rigidi requisiti del Regolamento generale sulla protezione dei dati (GDPR) europeo.

La legge CLOUD e la violazione del GDPR

Il rischio strategico è chiaro: il GDPR prevede che i dati personali possano essere trasferiti o trattati in Paesi terzi solo se è garantito un livello di protezione adeguato (art. 45 GDPR).

Tuttavia, in seguito alle sentenze della Corte di giustizia europea (ad esempio Schrems II), è stato stabilito che le leggi sulla sorveglianza degli Stati Uniti, come il CLOUD Act, non forniscono una protezione adeguata per i dati dell’UE.

Aspetto	GDPR (legge UE)	Legge statunitense CLOUD (legge statunitense)
Legittimazione dell’accesso	Ordine del tribunale nell’UE, forte giustificazione	Mandato di arresto o convocazione negli Stati Uniti, ostacoli inferiori
Notifica	Le persone interessate devono essere informate	Il fornitore può essere soggetto a un obbligo di riservatezza (nessuna notifica)
Portata territoriale	Limitato al territorio dell’UE	Extraterritoriale, si applica in tutto il mondo ai fornitori statunitensi

Nel caso di un processo di firma digitale, si tratta di dati altamente sensibili: I contratti stessi, ma anche la prova di identità e l’intero audit trail (protocollo di firma).

I contratti digitali e la relativa verifica dell’identità sono le risorse di dati più critiche della vostra azienda. Non è possibile scendere a compromessi in termini di sovranità.

La via per la minimizzazione del rischio: l’azione interna

La soluzione per le aziende europee non è solo quella di essere consapevoli del CLOUD Act, ma di agire:

1. Identificare i carichi di lavoro critici: Valutare quali dati (contratti, file HR, documenti IP) hanno un elevato bisogno di protezione.
   
2. Scegliete un’infrastruttura europea sovrana: Affidatevi a soluzioni di firma e di hosting europee e conformi a eIDAS per queste aree critiche.
   
3. Accesso sicuro e gestione dell’identità: garantire che sia l’accesso che la verifica dell’identità digitale per i dati rilevanti per la firma rimangano sotto il controllo europeo, ad esempio attraverso servizi fiduciari regolamentati in Europa (conformi a eIDAS).

Sovranità digitale: lo sproof come risposta europea

Il conflitto intorno alla legge CLOUD sottolinea la necessità di una sovranità digitale dell’Europa. Le aziende devono agire in modo proattivo per rendere la loro infrastruttura di dati immune dai diritti di accesso dei Paesi terzi.

sproof è stata sviluppata come piattaforma europea proprio con questo obiettivo strategico. La nostra prospettiva è senza compromessi:

1. Esclusiva legge UE: le soluzioni sproof, tra cui sproof Sign, sproof Ident, sproof Widget, sproof Fastlane, sproof eID Hub, sproof Validate sono sviluppate al 100% in Europa e ospitate su server europei. Sono soggette esclusivamente al GDPR e all’eIDAS.
   
2. Nessun rischio di CLOUD Act: poiché sproof non è un’azienda statunitense e non gestisce alcuna filiale negli Stati Uniti, le autorità statunitensi non possono imporre l’accesso tramite il CLOUD Act.
   
3. Certificazione eIDAS: i nostri servizi soddisfano i più alti standard di fiducia europei, in particolare per la Firma Elettronica Qualificata (QES).

Questa scelta non è solo una questione di conformità legale, ma un vantaggio competitivo strategico che segnala la massima fiducia ai vostri clienti e partner.

Proteggete i vostri dati più critici. Scegliete la sovranità digitale. Iniziate subito la vostra migrazione verso una piattaforma di firma 100% europea che garantisce la sicurezza della vostra conformità →