Non è un problema di hacker, né di password deboli, né di aggiornamenti mancati. Il problema, secondo Ben van der Burg, esperto di cybersicurezza olandese e analista digitale tra i più seguiti in Europa, è molto più semplice e molto meno visibile: è un problema di giurisdizione. Ogni volta che un cittadino europeo usa WhatsApp, Gmail, Google Drive o Dropbox, sta affidando i propri dati a un’azienda soggetta alla legge americana. E la legge americana, su questo punto, è esplicita.
Van der Burg, già pattinatore di velocità d’élite nei Paesi Bassi prima di diventare commentatore tecnologico, ha costruito la sua posizione su un argomento preciso: il CLOUD Act (Clarifying Lawful Overseas Use of Data Act) consente alle agenzie federali statunitensi di richiedere dati a società americane ovunque questi siano fisicamente archiviati. Non importa se i server sono in Irlanda, in Germania o in qualsiasi altro paese europeo: se la casa madre è americana, quei dati rispondono alla legge americana. “Al usar software americano, te colocas voluntariamente en una posición de vulnerabilidad legal,” ha dichiarato l’esperto, una posizione che entra in conflitto diretto con il GDPR, il regolamento europeo sulla protezione dei dati.
Il nodo giuridico che le grandi piattaforme non risolvono
Il ragionamento di Van der Burg non è nuovo, ma raramente viene espresso con questa chiarezza. Le aziende come Google, Meta e Microsoft si sono dotate di strutture europee, di server locali, di politiche di conformità al GDPR. Ma tutto questo non basta a eliminare il rischio, perché la casa madre resta americana e il CLOUD Act opera a livello di entità, non di server fisici. Significa che un tribunale federale americano può obbligare Google a consegnare le email di un utente italiano anche se quelle email non hanno mai lasciato un datacenter europeo.
Questo cortocircuito normativo riguarda miliardi di persone che quotidianamente usano strumenti nati per essere comodi, gratuiti e universali. La gratuità, in questo modello, ha un costo: i metadati delle email di Gmail vengono analizzati per costruire profili pubblicitari, e le comunicazioni su WhatsApp, pur cifrate nei contenuti, transitano attraverso un’infrastruttura controllata da Meta, anch’essa soggetta alla giurisdizione americana.
Custodire sempre i propri dati in sicurezza è fondamentale © Pexels
Le alternative europee, una per una
Van der Burg non si limita alla critica. Per ognuno dei principali servizi americani ha individuato un’alternativa europea matura e funzionale.
Per la posta elettronica indica ProtonMail, con sede in Svizzera, cifrata end-to-end in modo tale che nemmeno l’azienda stessa possa accedere al contenuto dei messaggi, con i server fisicamente ospitati in bunker sotto le Alpi. L’alternativa tedesca è Tutanota, open source, che cifra anche le righe dell’oggetto e la lista dei contatti, chiudendo le porte anche all’analisi dei metadati. Per chi vuole gestire un dominio proprio con garanzie di privacy c’è Soverin, società olandese con un modello a pagamento che esclude qualsiasi raccolta di dati a fini commerciali.
Per sostituire WhatsApp il nome indicato è Threema, applicazione svizzera che non richiede né numero di telefono né indirizzo email per registrarsi: al momento dell’iscrizione genera un ID casuale, rendendo di fatto impossibile collegare l’account a un’identità reale. Funziona con un pagamento unico, senza abbonamenti, e i server restano in territorio svizzero.
Per l’archiviazione in cloud al posto di Google Drive o Dropbox la proposta è Nextcloud, sviluppata in Germania, che consente di scegliere dove ospitare i propri dati: su un provider europeo di fiducia o direttamente su server propri. Un’opzione che per le aziende equivale a un controllo totale sugli accessi, con possibilità di audit completo su chi ha letto cosa e quando.
Sui motori di ricerca, Van der Burg segnala Ecosia, con sede a Berlino, che usa la tecnologia di Bing senza tracciare gli utenti e destina parte dei profitti a progetti di riforestazione, e Startpage, olandese, che funziona come intermediario anonimo tra l’utente e Google, restituendo i risultati del motore americano senza cedere l’indirizzo IP del ricercatore.
Il costo della transizione e la strategia per iniziare
L’esperto riconosce senza giri di parole che cambiare non è indolore. Le interfacce europee sono spesso meno intuitive di quelle americane, rese familiari da anni di uso quotidiano. Pagare per servizi che Google offre gratuitamente “genera friczione”, ammette Van der Burg. “La privacy è un po’ più cara e bisogna abituarsi. Quella friczione è il prezzo della sicurezza.“
Il consiglio operativo è di iniziare sostituendo un solo strumento alla volta, senza aspettarsi una migrazione completa nel giro di qualche settimana. Sul fronte del hardware, cita il Fairphone, telefono modulare di fabbricazione olandese progettato per durare: batteria, schermo e componenti principali sono sostituibili dall’utente, riducendo i rifiuti elettronici e prolungando la vita del dispositivo. L’Università Radboud di Nimega lo distribuisce già ai propri dipendenti come device aziendale standard. Van der Burg vede in questo un segnale: sono le organizzazioni, non solo i singoli, ad avere la capacità di normalizzare il cambio di rotta a scala.
