Sovranità delle chiavi: il potere senza eccezione

La sovranità delle chiavi è la risposta europea a un problema di confini. Per anni la sovranità digitale è stata immaginata come una questione di suolo: tenere i dati dei cittadini dentro i confini nazionali, sotto la legge nazionale. Poi è arrivato il CLOUD Act statunitense del 2018, che obbliga i fornitori americani a consegnare i dati che custodiscono ovunque si trovino, e la sentenza Schrems II del 2020, che ha giudicato la sorveglianza statunitense incompatibile con le garanzie europee. La risposta tecnica non è stata geografica, ma crittografica. Le stesse raccomandazioni dell’EDPB indicano nelle chiavi trattenute dal cliente, dentro lo spazio europeo, la misura supplementare che può rendere ineseguibile un ordine straniero sul contenuto: il fornitore, anche se costretto per legge, non riesce a produrre dati leggibili. E meccanismi come l’External Key Store di AWS, o la Double Key Encryption di Microsoft, spingono l’idea fino in fondo: la chiave vive in un modulo che il cliente custodisce, fuori dall’infrastruttura del fornitore, che per sua stessa ammissione non può vederla né gestirla. Chiamiamo tutto questo sovranità delle chiavi. Ma la chiave dà un controllo che, a guardarlo bene, è il rovescio della sovranità.

Il confine è migrato dalla mappa alla chiave

Per secoli la sovranità è stata una faccenda di territorio. Lo Stato, diceva Max Weber, è chi detiene il monopolio della forza legittima su un territorio; la giurisdizione segue il suolo, e il confine è una linea sulla mappa. Il CLOUD Act ha mostrato che il suolo conta sempre meno: gli Stati Uniti raggiungono i dati dei propri fornitori ovunque siano archiviati. E Schrems II ha reso evidente che spostare i server in Europa non basta, se la legge straniera può comunque arrivarci. Quello che mette davvero al riparo non è il luogo, è la chiave. Un server su suolo nazionale può custodire dati che la nazione non sa leggere; dati che all’estero possono restare apribili solo dall’Europa. Il confine è migrato dalla mappa alla chiave, e il territorio, base della giurisdizione per secoli, è diventato una finzione. È in questo spostamento che si gioca oggi la sovranità digitale.

Una sovranità delle chiavi che non può fare eccezione

Eppure, a chiamarla sovranità, qualcosa stona. Per Jean Bodin la sovranità era potere assoluto, perpetuo e indivisibile; per Carl Schmitt era qualcosa di più tagliente ancora: sovrano è chi decide sullo stato di eccezione. Non solo comandare la regola, ma poterla sospendere, oltrepassare, graziare. Finché tiene la chiave, certo, chi la possiede l’eccezione la fa di continuo: decifra, divulga, concede l’accesso a uno e lo nega a un altro, sospende a piacere la regola della riservatezza. Ma sotto quel potere discrezionale c’è un limite che non appartiene a nessuno, ed è la matematica. Quando la chiave è persa, o spezzata tra più custodi perché nessuno la detenga da solo, o non la tiene nessuno di raggiungibile, l’eccezione non è più possibile, per nessuno: il dato è perduto senza appello e senza deroga.

È qui che compare qualcosa di inedito. Non un sovrano che grazia, ma una regola che nessuno, neppure chi l’ha posta, può più sospendere. Il confidential computing, che mantiene la cifratura persino mentre il dato viene elaborato, non fa che restringere ancora lo spazio della grazia. Chi tiene la chiave sembra sovrano, ma si appoggia a un fondamento (la matematica) che non si lascia mai sospendere; e poiché era proprio il poter sospendere a fare il sovrano, questo potere non è sovranità, è altro

Lo Stato che non può più decidere l’eccezione

Lo stesso vuoto lo scopre lo Stato. Per millenni il sovrano poteva sempre forzare la serratura: perquisire, sequestrare, costringere a deporre, dichiarare lo stato d’eccezione. Davanti alla cifratura forte non può più. La logica che protegge l’Europa dal CLOUD Act vale identica contro l’autorità di casa: un ordine, per quanto legittimo, restituisce soltanto cifra muta. Ciò che chiamiamo going dark, e la richiesta insistente di lawful access e di backdoor, è il tentativo dello Stato di riprendersi l’unico attributo che lo faceva sovrano, l’eccezione. Nel 2025 il governo britannico ha imposto ad Apple, con un Technical Capability Notice previsto dall’Investigatory Powers Act, di rendere accessibili i backup cifrati. Apple ha preferito togliere agli utenti britannici la sua cifratura più forte, l’Advanced Data Protection, piuttosto che costruire la deroga. La vicenda, riaperta a fine 2025 con una richiesta circoscritta ai soli utenti britannici, non è chiusa. Le guerre delle chiavi non sono privacy contro sicurezza: sono il braccio di ferro su una domanda sola, se il sovrano possa ancora decidere l’eccezione su un dominio che ha smesso di obbedirgli.

Si dirà che lo Stato può sempre costringere chi la chiave la detiene, obbligarlo a consegnarla o piegarne la volontà. È vero, ed è la prova, non l’obiezione. Significa che il potere è stato respinto dalla sovranità sulla cosa alla coercizione di un corpo: non raggiunge più il dato, solo l’essere umano che potrebbe aprirlo. E dove la chiave non la tiene nessuno di raggiungibile, o è andata davvero perduta, anche quella presa fallisce. L’eccezione è scivolata dall’atto al corpo, lo strumento più rozzo e meno sovrano che ci sia.

Quello che resta da pensare

Diciamo che chi possiede le chiavi possiede la sovranità. È vero il contrario. La chiave introduce, nel cuore del potere, un limite che il sovrano non aveva mai conosciuto: una regola che, quando la chiave non c’è più, nessuno può sospendere, nemmeno chi l’ha posta. E lo Stato, messo davanti a quel limite, chiede una backdoor non per sicurezza, ma per restare ciò che era, colui che decide l’eccezione. La sovranità delle chiavi non è dunque il vecchio potere che cambia sede, dal territorio al codice. È la comparsa di un dominio in cui l’eccezione, quando la matematica non cede, diventa impossibile, e l’unica cosa ancora piegabile resta il corpo di chi sa.

Riferimenti di pensiero:

Jean Bodin, I sei libri dello Stato (Les Six Livres de la République, 1576).
Max Weber, La politica come professione (Politik als Beruf, 1919).
Carl Schmitt, Teologia politica (Politische Theologie, 1922).

Condividi sui Social Network:

Ultimi Articoli

Quando la cybersecurity diventa una questione di governance: il Master UniTo che colma il gap tra IT e boardroom
A cura di:Redazione Pubblicato il16 Giugno 2026

NIS2, DORA, AI Act cambiano le regole: la sicurezza informatica non riguarda più solo i tecnici, ma i vertici aziendali. L’Università di Torino risponde con un percorso universitario inedito che forma figure capaci di parlare entrambe le lingue – quella del rischio e quella della strategia. C’è un problema strutturale che molte organizzazioni faticano ad…

Leggi di più Quando la cybersecurity diventa una questione di governance: il Master UniTo che colma il gap tra IT e boardroom
Plugin WordPress di Awesome Motive avvelenati via CDN: la fiducia nello script di terze parti diventa la porta d’ingresso
A cura di:Redazione Pubblicato il16 Giugno 202616 Giugno 2026

Un attaccante ha manomesso gli script JavaScript di tre plugin WordPress di Awesome Motive (PushEngage, OptinMonster, TrustPulse) serviti via CDN, impiantando una backdoor invisibile alla dashboard e attivata solo per gli amministratori autenticati. Oltre 1,2 milioni di siti potenzialmente esposti: a cedere non è una vulnerabilità del sito, ma la fiducia in uno script di terze parti.

Leggi di più Plugin WordPress di Awesome Motive avvelenati via CDN: la fiducia nello script di terze parti diventa la porta d’ingresso
SearchLeak: un solo clic trasformava Microsoft 365 Copilot in uno strumento di esfiltrazione
A cura di:Redazione Pubblicato il16 Giugno 202616 Giugno 2026

Varonis ha dimostrato come un singolo clic su un link in dominio Microsoft autentico potesse trasformare Microsoft 365 Copilot Enterprise Search in un canale di furto dati. La falla, SearchLeak (CVE-2026-42824), è stata corretta da Microsoft sul backend, ma ridefinisce il modello di minaccia degli assistenti AI in ambito enterprise: la prompt injection riattiva bug web classici come SSRF e race nei sanitizzatori.

Leggi di più SearchLeak: un solo clic trasformava Microsoft 365 Copilot in uno strumento di esfiltrazione
Commissione UE, proposto un “Tech sovereignty package” per l’autonomia digitale europea
A cura di:Redazione Pubblicato il15 Giugno 2026

Nell’odierno dibattito sulla sicurezza informatica, la sovranità digitale riveste un ruolo fondamentale. Come hanno dimostrato i recenti squilibri geopolitici, la dipendenza da tecnologie di provenienza estera può infatti trasformarsi in un elemento di vulnerabilità critica per gli Stati: ciò ogniqualvolta eventi imprevedibili (sia naturali, sia umani) colpiscano le complesse catene di approvvigionamento del mercato tecnologico,…

Leggi di più Commissione UE, proposto un “Tech sovereignty package” per l’autonomia digitale europea
Deepfake: non il falso che crediamo, ma il vero che possiamo negare
A cura di:Redazione Pubblicato il15 Giugno 202611 Giugno 2026

Il deepfake non ci farà credere al falso, ma ci permetterà di non credere più al vero. E la prova migra dalla cosa alla firma di chi la rivendica.

Leggi di più Deepfake: non il falso che crediamo, ma il vero che possiamo negare
Velvet Ant, dieci anni dentro il sistema di login: l’APT cinese che riscrive la fiducia nelle reti isolate
A cura di:Redazione Pubblicato il15 Giugno 202615 Giugno 2026

Velvet Ant ha modificato PAM e OpenSSH per spiare una rete isolata per quasi dieci anni: l’APT cinese e la difesa che si sposta dal patch alla verifica di integrità.

Leggi di più Velvet Ant, dieci anni dentro il sistema di login: l’APT cinese che riscrive la fiducia nelle reti isolate

Quando la cybersecurity diventa una questione di governance: il Master UniTo che colma il gap tra IT e boardroom

Plugin WordPress di Awesome Motive avvelenati via CDN: la fiducia nello script di terze parti diventa la porta d’ingresso

SearchLeak: un solo clic trasformava Microsoft 365 Copilot in uno strumento di esfiltrazione

Commissione UE, proposto un “Tech sovereignty package” per l’autonomia digitale europea

Deepfake: non il falso che crediamo, ma il vero che possiamo negare

Velvet Ant, dieci anni dentro il sistema di login: l’APT cinese che riscrive la fiducia nelle reti isolate

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine