Per i Decisori
Questa pagina raccoglie i dati essenziali e le raccomandazioni per chi opera nelle istituzioni, nel governo e nel parlamento. L'obiettivo è fornire gli strumenti per decisioni informate sulla sovranità digitale della Pubblica Amministrazione.
Enti PA monitorati
Dall'Indice delle Pubbliche Amministrazioni
PA su provider extra-UE
Provider soggetti a giurisdizione extra-UE
PA su provider italiani
Provider con sede in Italia
PA su provider UE
Provider UE non italiani
Ultimo aggiornamento dati: 2026-06-14 — copertura 97%. Fonte: MxMap.it.
Sovranità per categoria di ente
Quota di enti su provider soggetti a giurisdizione extra-UE (es. CLOUD Act), per categoria. Ordinate dalla più dipendente. Fonte: MxMap.it.
"Extra-UE" indica enti la cui posta è gestita da provider soggetti a normative non europee. Dato aggregato per categoria IPA — fonte MxMap.it su IndicePA.
Provider più diffusi nella PA
Per numero di enti serviti, con la relativa giurisdizione. Fonte: MxMap.it.
Italiano UE Extra-UE Sconosciuto
Il problema in sintesi
Quando una PA italiana utilizza un servizio email gestito da un provider soggetto a giurisdizione extra-UE (ad esempio statunitense), le comunicazioni istituzionali — incluse quelle contenenti dati personali dei cittadini — possono essere accessibili ad autorità straniere in virtù di leggi come il CLOUD Act (USA, 2018), anche senza il consenso o la notifica dell'ente italiano.
La Corte di Giustizia dell'UE ha invalidato due volte gli accordi di trasferimento dati verso gli USA (Schrems I, 2015 e Schrems II, 2020) per insufficiente protezione. Il nuovo EU-US Data Privacy Framework (2023) è già oggetto di contestazioni. Le PA che affidano i dati a provider USA operano in un contesto giuridico instabile.
La concentrazione dei servizi digitali della PA su pochi grandi provider extra-europei crea una dipendenza strategica che espone il Paese a rischi in caso di tensioni geopolitiche, sanzioni, interruzioni di servizio o cambiamenti unilaterali delle condizioni contrattuali.
Quadro normativo di riferimento
| Norma / Atto | Rilevanza |
|---|---|
| GDPR (Reg. UE 2016/679) | Vieta il trasferimento di dati personali verso paesi terzi senza garanzie adeguate (Capo V) |
| Schrems II (CGUE C-311/18, 2020) | Ha invalidato il Privacy Shield UE-USA; impone valutazione caso per caso delle clausole contrattuali standard |
| CLOUD Act (USA, 2018) | Consente alle autorità USA di richiedere dati a provider americani anche se archiviati in UE |
| Strategia Cloud Italia (2021) | Classifica i dati della PA in strategici, critici e ordinari; prevede migrazione verso infrastrutture qualificate |
| Regolamento ACN (cloud PA) | Definisce i requisiti per la qualificazione dei servizi cloud per la PA |
| CAD (D.Lgs. 82/2005) | Codice dell'Amministrazione Digitale — disciplina l'uso delle tecnologie nella PA |
| NIS2 (Dir. UE 2022/2555) | Impone requisiti di cybersecurity per soggetti essenziali e importanti, incluse PA |
Raccomandazioni di policy
Sulla base dei dati raccolti, l'Osservatorio formula le seguenti raccomandazioni:
Rendere obbligatorio per ogni ente PA la dichiarazione dei servizi digitali utilizzati (email, cloud, collaborazione) e della relativa giurisdizione. Integrare questa informazione nell'IndicePA per renderla pubblica e monitorabile.
Destinatari: AgID, Dipartimento Trasformazione Digitale
Inserire criteri di sovranità digitale (giurisdizione dei dati, localizzazione dei server, assenza di obblighi verso autorità extra-UE) come requisiti nelle convenzioni Consip per servizi email e cloud della PA.
Destinatari: Consip, MEF, AgID
Definire un piano nazionale con scadenze progressive per la migrazione dei servizi email della PA verso provider conformi ai requisiti di sovranità. Prevedere fondi dedicati — eventualmente dal PNRR o dai fondi per la cybersecurity — per supportare gli enti nella transizione.
Destinatari: Presidenza del Consiglio, Parlamento, ACN
Istituzionalizzare il monitoraggio della sovranità digitale della PA, rendendo i dati pubblici e aggiornati periodicamente. L'Osservatorio fornisce già questa funzione come iniziativa civica; le istituzioni possono adottarla, integrarla o affiancarla con iniziative proprie.
Destinatari: AgID, ACN, Parlamento
Proporre nelle sedi europee (Consiglio UE, Commissione) l'adozione di un framework comune per il monitoraggio della sovranità digitale delle PA in tutti gli stati membri, partendo dal modello italiano come caso studio.
Destinatari: MAECI, Rappresentanza permanente presso l'UE
Cosa puoi fare
Se sei un parlamentare
- Presenta un'interrogazione citando i dati dell'Osservatorio
- Proponi l'inserimento di requisiti di sovranità nella normativa
- Richiedi un'audizione in commissione sul tema
Se sei un dirigente PA
- Verifica la posizione del tuo ente nei dati dell'Osservatorio
- Avvia una valutazione interna sulla migrazione
- Richiedi fondi dedicati per la transizione
Se sei un regolatore
- Utilizza i dati per aggiornare le linee guida
- Avvia verifiche di conformità GDPR
- Inserisci requisiti di sovranità nelle convenzioni
Scarica i documenti di sintesi pensati per i decisori istituzionali:
Policy Brief
Sintesi di 2 pagine con numeri chiave e raccomandazioni per decisori politici.
Scarica PDFTechnical Brief
Analisi tecnico-normativa di 6 pagine per AgID, ACN, Garante e uffici studi.
Scarica PDFPer ricevere i nuovi documenti appena disponibili, unisciti al canale Telegram.