L'Europa ha costruito cloud sovrani per sfuggire al controllo degli Stati Uniti. Poi si è dimenticata dei processori

L'Europa sta realizzando investimenti sostanziali, superiori a 2 miliardi di euro, in iniziative cloud sovrane volte a rafforzare l'autonomia digitale e ridurre la dipendenza dalla giurisdizione statunitense. Questi sforzi, esemplificati dal framework SecNumCloud della Francia con i suoi estesi requisiti tecnici, mirano a fornire un ambiente "immune da leggi extraterritoriali". L'obiettivo principale è stabilire un'infrastruttura cloud che sia dimostrabilmente indipendente dall'influenza e dal controllo governativo straniero. Tuttavia, è emersa una svista critica: l'hardware sottostante, in particolare i processori, proviene in gran parte da produttori statunitensi come Intel e AMD. Questi processori contengono sofisticati motori di gestione, operanti a un livello di privilegio inferiore al sistema operativo, che sono in gran parte invisibili e incontrollati dal software di sicurezza dell'host. Questa tecnologia incorporata, anche quando una macchina appare spenta, può essere ancora attiva e potenzialmente vulnerabile. Questa dipendenza dal silicio di progettazione statunitense presenta una sfida significativa agli obiettivi di sovranità digitale, poiché la legislazione statunitense come il Reforming Intelligence and Securing America Act (RISAA) 2024 può classificare i produttori di hardware come "fornitori di servizi di comunicazione elettronica". Questa designazione consente un accesso potenziale tramite ordini governativi segreti, aggirando le certificazioni di sicurezza dei framework cloud europei. L'architettura di questi motori di gestione, con la loro memoria, clock e capacità di rete indipendenti, significa che il traffico generato da essi può essere indistinguibile dal traffico legittimo dell'host, ponendo un rischio di esfiltrazione occulta che le misure di sicurezza esistenti non possono rilevare.