Cloud e geopolitica: come i data center sono diventati infrastruttura critica
Il 1 marzo droni iraniani hanno colpito tre data center AWS nel Golfo. L'episodio riapre il dibattito sulla sovranità digitale europea e sulla fragilità dell'infrastruttura cloud globale.
La mattina del 1 marzo 2026, tre data center di Amazon Web Services sono stati colpiti da droni nella regione del Golfo Persico. Due facility negli Emirati Arabi Uniti sono state centrate direttamente, mentre un terzo sito in Bahrain ha subito danni strutturali da un'esplosione nelle vicinanze. L'Iran, attraverso la Fars News Agency, ha rivendicato l'attacco dichiarando di aver preso di mira deliberatamente la struttura in Bahrain perché AWS ospita carichi di lavoro militari statunitensi.
È il primo esempio documentato e pubblicamente confermato di un attacco militare deliberatamente diretto contro un'infrastruttura cloud commerciale. E cambia alcune premesse su cui l'industria tech ha costruito la propria logica negli ultimi vent'anni.
Quando il cloud incontra la guerra
Per capire la portata di quello che è successo il 1 marzo, bisogna tornare un passo indietro. Il modello di business del cloud computing si fonda su una promessa implicita: l'infrastruttura digitale è distribuita, ridondante, resiliente per natura. I dati non stanno in un posto solo; se un nodo cade, gli altri compensano. È un'architettura pensata per reggere guasti tecnici, non campagne militari coordinate.
AWS aveva progettato il sistema di availability zones proprio per sopravvivere al fallimento di una singola zona. Ma il 1 marzo, l'attacco ha colpito più siti nella stessa regione simultaneamente, mettendo alla prova un'ipotesi che nessuno aveva mai davvero verificato in condizioni reali: cosa succede quando la ridondanza geografica viene annullata da una strategia offensiva coordinata?
La risposta, in questo caso, è stata un'interruzione prolungata di servizi che milioni di persone usano quotidianamente, in uno dei nodi finanziari più attivi del mondo. AWS ha avvertito i clienti che il recupero sarà "prolungato data la natura dei danni fisici coinvolti". I danni fisici, appunto: non un bug software, non un attacco informatico, ma cemento, metallo e sistemi antincendio attivati dall'onda d'urto.
Geopolitica del silicio: chi controlla i data center controlla i dati
L'episodio del Golfo ha reso visibile una tensione che esiste da anni ma che viene raramente discussa in termini espliciti: i data center degli hyperscaler americani, come AWS, Microsoft Azure e Google Cloud, ospitano simultaneamente dati commerciali, dati governativi civili e, in alcune configurazioni, carichi di lavoro militari. Questa commistione, che dal punto di vista operativo è quasi inevitabile, crea una vulnerabilità geopolitica strutturale: chi vuole colpire l'apparato militare o informativo di un paese può farlo attraverso la sua infrastruttura cloud commerciale.
La concentrazione geografica del potere computazionale globale amplifica questo rischio. Gli Stati Uniti e la Cina ospitano la quota dominante della capacità di calcolo mondiale; l'Europa, pur avendo competenze scientifiche di primo livello, non dispone ancora di una strategia infrastrutturale pienamente coordinata. Il Nord Europa, con energia rinnovabile abbondante, reti robuste e temperature favorevoli al raffreddamento, si candida a ospitare nuovi poli, ma l'Unione fatica a esprimere una politica industriale unitaria su questo fronte.
Il risultato è che la maggior parte dei dati europei transita attraverso infrastrutture controllate da soggetti extraeuropei, soggette a legislazioni straniere e potenzialmente esposte a pressioni geopolitiche che i clienti europei non possono né controllare né prevedere. Come ha sintetizzato il Fatto Quotidiano già a febbraio, "la vera sovranità, nel 2026, si misura in server e algoritmi. Fino a quando non costruiremo le nostre città digitali, saremo sempre inquilini".
Sovereign cloud: da slogan a cantiere
Negli ultimi due anni, il concetto di cloud sovrano è passato da tema ricorrente nei convegni a priorità operativa per governi e grandi organizzazioni. Il Parlamento europeo ha invitato la Commissione a definire formalmente il concetto di cloud sovrano nella prossima proposta del Cloud and AI Development Act, attesa nella prima metà del 2026. Nel frattempo, si moltiplicano le iniziative concrete: la Corte Penale Internazionale ha migrato da Microsoft a una piattaforma open-source, la Danimarca e la Germania hanno avviato progetti pilota per ridurre la dipendenza dagli hyperscaler americani, e la NATO ha adottato Google Distributed Cloud in modalità air-gapped, il software di Google su infrastruttura fisica isolata e controllata direttamente dall'Alleanza.
I provider europei stanno cercando di ritagliarsi uno spazio in questo scenario. T-Systems e OVHcloud hanno stretto partnership con Broadcom per offrire stack software moderni su infrastrutture di proprietà europea; Arqit e eXate propongono soluzioni di middleware sovrano (crittografia, confidential computing, pseudonimizzazione) per proteggere i dati anche quando risiedono fisicamente su cloud americani. È un approccio pragmatico, ma che alcuni esperti considerano insufficiente: Miguel De Bruycker, direttore del Centre for Cybersecurity del Belgio, ha sostenuto pubblicamente che è di fatto impossibile archiviare completamente i dati in Europa a causa del dominio americano nei servizi cloud gestiti, che offrono capacità integrate che i provider europei non riescono ancora a replicare.
Il decreto italiano e la partita mediterranea
Il decreto-legge del 21 febbraio 2026 ("decreto bollette") introduce un procedimento unico per la realizzazione e l'ampliamento di data center e relative reti di connessione, con un termine massimo di conclusione fissato a dieci mesi. È una misura che risponde a un'esigenza reale: gli investimenti in data center sono capital-intensive e richiedono stabilità regolatoria per essere bancabili, e il processo autorizzativo italiano era tra i più lenti d'Europa.
L'Italia ha un'opportunità strutturale che non va sottovalutata. La posizione mediterranea, le interconnessioni energetiche con il Nord Africa e il Medio Oriente, e la capacità industriale nel settore elettromeccanico la rendono un candidato naturale a diventare un nodo strategico dell'infrastruttura cloud europea, non un leader globale, ma un punto di transito e di elaborazione essenziale per i flussi dati tra Europa, Africa e Asia. Il limite principale, come spesso accade, sarà la velocità decisionale.
Cosa cambia dopo il Golfo
Gli attacchi del 1 marzo non riscrivono le regole del cloud computing, ma rendono impossibile ignorare alcune domande che il settore aveva lasciato in sospeso. La ridondanza geografica è sufficiente se la minaccia è coordinata e militare, non tecnica? I clienti enterprise e governativi europei possono continuare ad affidare dati critici a infrastrutture localizzate in zone geopoliticamente instabili? E chi decide dove si trovano fisicamente i dati di un'azienda o di un ministero? Il cliente, il provider o il governo del paese in cui il server è installato?
La domanda elettrica dei data center è destinata quasi a triplicare entro il 2030; un singolo campus può richiedere investimenti superiori a 15 miliardi di dollari considerando infrastruttura digitale, rete e apparati di potenza. A quelle cifre, e con quella dipendenza, la scelta di dove costruire e come proteggere l'infrastruttura cloud non è più solo una decisione tecnica o commerciale. È una scelta di politica industriale, di sicurezza nazionale e, in ultima analisi, di sovranità.
