3 aprile 2026 · 7 min lettura
Intelligenza Artificialeduck.ai promette chat AI senza tracciamento: nessun log, nessun IP, accordi con Anthropic e OpenAI. Ma DuckDuckGo ha già tradito questa fiducia una volta.
Self-Hosting900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
Self-HostingIscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
Da YNAB a Google Photos, ogni SaaS che usi ha un'alternativa self-hosted su PikaPods a meno di $6 al mese. 10 confronti con prezzi reali.
"Non possiamo garantire che i dati dei cittadini francesi non vengano trasmessi alle autorità statunitensi senza il consenso del governo francese."
Non l'ha detto un attivista privacy. Non è un estratto di un rapporto di Greenpeace sul cloud. È la testimonianza sotto giuramento di Anton Carniaux, Direttore Affari Pubblici e Legali di Microsoft France, davanti al Senato francese nel giugno 2025. Lo stesso periodo in cui Microsoft promuoveva attivamente i propri "European Digital Sovereignty Commitments" — elaborazione dati in-country, localizzazione dei server, garanzie europee.
Questa è la contraddizione al centro del dibattito sulla cloud europeo sovranità digitale. Non un'ambiguità normativa. Non un malinteso tecnico. Una contraddizione esplicita, giurata davanti a un'istituzione statale.
Gaia-X nasce nel 2019 con un'ambizione chiara: costruire un'infrastruttura cloud federata europea che non dipendesse dagli hyperscaler americani. Lancio ufficiale nel giugno 2020, conferenze, dichiarazioni ministeriali, il sostegno dei governi francese e tedesco. Pareva la risposta strutturale alla dipendenza tecnologica europea.
Poi Amazon, Microsoft e Google furono ammessi come membri.
Frank Karlitschek, CEO di Nextcloud — uno dei pochi player europei con un'alternativa reale — ha descritto il meccanismo con precisione chirurgica in un'intervista al The Register del gennaio 2024:
"Lo hanno fatto in modo molto intelligente... inondando il progetto di documenti, persone e regolamentazioni. E le piccole organizzazioni come Nextcloud non riuscivano più a partecipare, perché non abbiamo le risorse per leggere mille pagine di documenti ogni volta." — Frank Karlitschek, CEO Nextcloud, The Register, gennaio 2024
Novembre 2021: Scaleway, membro fondatore francese, abbandona il progetto al vertice di Milano lamentando "troppa ingerenza straniera" e denunciando che Gaia-X era stato dirottato a favore degli hyperscaler americani. Febbraio 2025: EuroStack pubblica "Gaia-X: Chronicle of a Failure Foretold". Quello stesso anno, Agdatahub — altro membro fondatore — viene liquidata dopo aver ricevuto €4,8 milioni di finanziamenti pubblici. Oggi Gaia-X AISBL esiste ancora, conta oltre 370 membri e pubblica standard tecnici. Non ha alcun impatto misurabile sul mercato.
I dati di mercato confermano la traiettoria. Nel 2017 i provider cloud europei detenevano il 29% del mercato europeo. Nel 2024: 15%. Sette anni di dibattito politico, miliardi di dichiarazioni d'intenti, e la quota europea si è dimezzata. I tre hyperscaler USA controllano oltre il 70% di un mercato da €61 miliardi.
C'è un dettaglio tecnico-legale che il marketing del "cloud sovrano europeo" si guarda bene dall'evidenziare. Il CLOUD Act del 2018 obbliga le aziende tecnologiche statunitensi a fornire dati alle autorità americane indipendentemente da dove i dati risiedano fisicamente. Un server Microsoft a Francoforte, un bucket AWS a Milano, un'istanza Google Cloud a Parigi: tutti potenzialmente accessibili al governo americano su ordine del tribunale.
Non è teoria. Nel febbraio 2025, l'amministrazione Trump ha disconnesso l'account Outlook del Procuratore Capo della Corte Penale Internazionale a seguito di sanzioni. Il "kill switch" teorico è diventato precedente documentato. Rappresentanti AWS hanno confermato in audizione di non poter garantire che i dati europei siano esenti da ordini del tribunale americani. Stessa posizione per Google e Salesforce.
Ecco la distinzione che il sovereignty washing sistematicamente oscura: data residency — dove i dati risiedono fisicamente — non è data sovereignty — chi ha controllo giuridico e a quali condizioni. Vendere la prima come se fosse la seconda è precisamente la pratica che ICT Security Magazine ha definito sovereignty washing: confezionare soluzioni cloud "sovrane" che non modificano il rapporto di dipendenza giurisdizionale.
Mentre i governi europei spendono miliardi in dichiarazioni d'intenti, la risposta tecnica funzionante esiste già. Non richiede accordi intergovernativi. Non dipende dalla volontà politica di Bruxelles. Gira su hardware che puoi toccare con mano.
Proxmox VE — sviluppato a Vienna, licenza AGPL, stack completo di virtualizzazione e storage — risolve il problema alla radice: nessun provider americano può ricevere un ordine del tribunale per accedere a server che non gestisce. Nextcloud aggiunge la collaborazione documentale e la gestione file. NetBird — alternativa europea a Tailscale, che è americana — chiude il perimetro con una VPN mesh BSD. Ho scritto di come Authentik gestisce il single sign-on su 14 container con un'unica identità: quello stack è già compliance-ready per NIS2 perché il rischio di accesso governativo straniero semplicemente non esiste — non c'è nessun provider americano nell'equazione.
Lo stesso vale per la rete. Se vuoi capire come eliminare la dipendenza da relay statunitensi anche per il networking, la guida ai Peer Relays mostra come risolvere il CGNAT senza appoggiarsi a infrastruttura USA.
Nextcloud ha pubblicato nel luglio 2025 un Digital Sovereignty Index — 7,2 milioni di server analizzati, 50 soluzioni self-hosted monitorate in 50+ paesi. Il risultato per l'Italia: 6,49 punti su 100. Terzultima tra i paesi EU. La Germania segna 53,85. La Finlandia 64,5. Score italiano quasi dieci volte inferiore a quello finlandese.
L'adozione istituzionale del self-hosted esiste, ma non in Italia. Il Ministero dell'Istruzione francese ha portato 400.000 dipendenti su Nextcloud con un piano a 1,2 milioni. I Paesi Bassi: 100.000 tra ricercatori, insegnanti e studenti. Il Land Schleswig-Holstein in Germania: decine di migliaia di dipendenti statali. Sono scelte di compliance, non di ideologia.
Vale la pena essere onesti su un punto: il self-hosting non è per tutti. Richiede competenze tecniche, introduce responsabilità di manutenzione — backup, aggiornamenti, alta disponibilità — che un cloud provider gestisce automaticamente. Un'organizzazione senza IT interno non può installare Proxmox e chiamarla compliance.
Ma questa obiezione vale meno di quanto sembri nel 2026. Gartner prevede che la spesa europea in cloud sovrano passi da $6,9 miliardi nel 2025 a $12,6 miliardi nel 2026 — più 83% in un anno — con l'Europa che supererà il Nord America nel 2027. Quella spesa non va tutta verso datacenter self-hosted, ma indica una domanda reale di alternative. E le alternative europee esistono: OVHcloud ha aperto una nuova regione a Milano a maggio 2025 con uno stack verticale completo senza dipendenze da vendor americani per i layer critici.
La conformità DORA Art. 28 — la strategia di uscita documentata e testabile — su uno stack self-hosted è banale per definizione: l'organizzazione possiede già l'hardware e il software è open source. Su AWS o Azure, la stessa strategia richiede anni di negoziazione contrattuale e consulenti specializzati in vendor lock-in. E anche allora, il CLOUD Act rimane.
La dinamica è stata sintetizzata con precisione da chi lavora nell'alternativa europea: lo Stato privatizza Azure, Microsoft privatizza lo Stato. Per chi trova quella prospettiva inaccettabile, iniziare con una manciata di app self-hosted è già un passo concreto — non serve aspettare che Bruxelles si accordi sul prossimo framework.
Gaia-X esiste ancora. Conta oltre 370 membri, pubblica documenti, organizza eventi.
La quota dei provider cloud europei è ferma al 15% dal 2022.
Se aspetti i politici per avere sovranità digitale, stai aspettando qualcosa che non arriverà nella forma in cui te lo hanno venduto. Il server in cantina non aspetta nessuno.
Fonti: The Register — Gaia-X no future (Karlitschek, 2024), Nextcloud — Big Tech promises collapsed, Nextcloud Digital Sovereignty Index (luglio 2025), Synergy Research Group — EU Cloud Market Share, Gartner Sovereign Cloud Europe (DCD, febbraio 2026), ICT Security Magazine — Sovereignty Washing, EuroStack — Gaia-X: Chronicle of a Failure Foretold, SoftwareSeni — DORA, NIS2, EU AI Act e sovereign cloud