L’adozione dell’AI diventa strutturale nell’industria automobilistica, Stellantis rafforza la collaborazione con Microsoft

Nel pieno di una trasformazione strutturale che sta ridisegnando l’industria automobilistica globale, Stellantis annuncia la volontà di rafforzare la propria traiettoria verso la digitalizzazione con un accordo quinquennale con Microsoft focalizzato su intelligenza artificiale (AI), cybersicurezza e infrastrutture cloud. Più che un’alleanza tecnologica tradizionale (e già avviata da tempo), l’intesa si inserisce in un contesto in cui l’auto è ormai un sistema software-defined, esposto a nuove vulnerabilità ma anche a opportunità di innovazione lungo l’intera catena del valore.

L’elemento più rilevante dell’accordo riguarda il co-sviluppo di oltre 100 casi d’uso basati sull’intelligenza artificiale, distribuiti tra progettazione, produzione, servizi e relazione con il cliente.

L’adozione dell’AI diventa infrastrutturale, cioè non si limita più a funzioni sperimentali o di supporto: entra nei processi di ingegneria per accelerare sviluppo e validazione dei veicoli, nelle attività industriali per migliorare manutenzione e qualità, fino ai servizi digitali destinati agli utenti finali. In questo scenario, i dati generati dai veicoli connessi e dalle operations diventano la materia prima per modelli predittivi e sistemi decisionali automatizzati.

Questa evoluzione si inserisce in un mercato che sta rapidamente ampliando la propria dimensione economica e la propria esposizione ai rischi. Il comparto globale della cybersecurity automotive è stimato crescere dagli 8,3 miliardi di dollari del 2026 a oltre 17 miliardi nel 2034, con un tasso medio annuo vicino al 10%. Parallelamente, nel 2025 gli attacchi ransomware contro il settore automotive e della mobilità intelligente sono raddoppiati, spinti dall’aumento delle superfici di attacco legate a veicoli connessi, API cloud e aggiornamenti software over-the-air.

Un centro di cybersecurity basato sull’AI

È proprio su questo fronte che la collaborazione con Microsoft intende assumere una dimensione strategica. Secondo quanto comunicato sul sito, Stellantis punta a costruire un centro globale di cybersicurezza basato sull’AI, in grado di monitorare e proteggere in modo integrato sistemi IT, fabbriche, piattaforme digitali e veicoli.

L’obiettivo è passare da un approccio reattivo a uno predittivo, sfruttando algoritmi di machine learning per individuare anomalie e minacce in tempo reale. Una scelta che riflette anche le pressioni normative, in particolare in Europa, dove i regolamenti UNECE R155 e R156 impongono ai costruttori l’adozione di sistemi di gestione della sicurezza informatica e di aggiornamento software lungo l’intero ciclo di vita del veicolo.

Nel contesto europeo, l’integrazione tra AI e cybersecurity si sta consolidando anche per garantire la conformità ai requisiti normativi e alla protezione dei dati secondo il quadro GDPR. I sistemi di intrusion detection evoluti, alimentati da intelligenza artificiale, sono destinati a diventare componenti standard nei veicoli software-defined.

Negli Stati Uniti, invece, il quadro è più orientato alla gestione del rischio emergente: dopo diversi incidenti rilevati nel 2025, le autorità stanno spingendo verso linee guida per un uso sicuro dell’IA nei sistemi autonomi, mentre cresce l’adozione di tecnologie intelligenti in ambiti come ADAS e telematica.

La centralità del cloud e data center più sostenibili entro il 2029

Accanto alla sicurezza, l’altro pilastro dell’accordo riguarda la modernizzazione dell’infrastruttura digitale. Stellantis prevede una migrazione estesa verso il cloud Azure, con l’obiettivo di migliorare scalabilità, resilienza e velocità di distribuzione dei servizi digitali. Il dato più significativo è l’impegno a ridurre del 60% l’impatto dei data center entro il 2029, segnale di come la trasformazione cloud venga letta anche in chiave di sostenibilità operativa oltre che di efficienza.

La centralità del cloud è strettamente legata all’evoluzione del modello di business dell’automotive. La capacità di aggiornare i veicoli da remoto, introdurre nuove funzionalità software e gestire servizi digitali su scala globale richiede architetture distribuite e sicure. In questo senso, la convergenza tra piattaforme cloud e sistemi embedded nei veicoli rappresenta uno dei nodi più critici e strategici per i costruttori.

Nel complesso, la collaborazione tra Stellantis e Microsoft evidenzia come il settore automotive stia accelerando verso un modello sempre più simile a quello delle industrie tecnologiche. In un contesto di mercato segnato da margini compressi, transizione elettrica e crescente complessità regolatoria, la leva digitale (dall’IA alla cybersecurity fino al cloud) diventa un fattore determinante per sostenere competitività e resilienza.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/stellantis-chiede-a-microsoft-di-accelerare-su-ai-e-cybersecurity-al-lavoro-su-100-soluzioni/570090/

PC gamers who are tired of waiting for their games to “compile shaders” during some load times may want to dig into the latest beta version of the Nvidia App. Alongside new DLSS 4.5 Multi Frame Generation features, the app includes the beta rollout of a feature that allows your machine to automatically compile new shaders while it’s idle.

Nvidia’s new Auto Shader Compilation system promises to “reduc[e] the frequency of game runtime compilation after driver updates” for users running Nvidia’s GeForce Game Ready Driver 595.97 WHQL or later. When the feature is active and your machine is idle, the app will automatically start rebuilding DirectX drivers for your games so they’re all set to roll the next time they launch.

While the feature defaults to being turned off when the Nvidia App is first downloaded, users can activate it by going to the Graphics Tab > Global Settings > Shader Cache. There, they can set aside disk space for precompiled shaders and decide how many system resources the compilation process should use. App users can also manually force shader recompilation through the app rather than waiting for the machine to go idle.

https://arstechnica.com/gaming/2026/04/nvidias-new-app-lets-you-precompile-gaming-shaders-during-machine-idle-time/

AI skeptics may also be cheered to hear that the company is pumping the brakes on Copilot, which has made its way into everything from the keyboard to the humble notepad.exe over the last few years (even as the standalone Copilot app’s appearance and capabilities have changed pretty dramatically from iteration to iteration). Davuluri said Microsoft would be “more intentional” about where Copilot appears and how it works and specifically promised to “[reduce unnecessary Copilot entry points, starting with apps like Snipping Tool, Photos, Widgets, and Notepad.”

Davuluri also said Microsoft would begin testing less-disruptive Windows updates that would give users more opportunities to (temporarily) skip them; a “faster and more dependable File Explorer,” “quieter defaults” for the Widgets pane, and better descriptions for the various Windows Insider Program channels and improved mechanisms for sending feedback to Microsoft.

Beyond these specific short-term changes, Davuluri also listed a broader laundry list of goals, including more reliable operation for Bluetooth and USB peripherals, faster and more accurate search, reduced memory usage, and improving responsiveness and performance for bedrock Windows components like the Start menu, taskbar, and File Explorer.

These are all nice-sounding promises, though the specifics will matter a lot—being “more intentional” about Copilot, for example, still leaves room for Microsoft to intentionally force it into each and every one of Windows’ built-in apps. And one major annoyance, the mandatory Microsoft Account sign-in requirement, isn’t mentioned anywhere in this post. But Microsoft at least seems to be moving in the right direction.

Windows 10 has remained enduringly popular despite its October 2025 end-of-support date, and one year of additional free-ish security updates has given people who want to keep Windows 10 a way to do so without exposing themselves to security holes. But we’re already nearly halfway through that year, which means a Windows 11 upgrade is probably in your future one way or another. Hopefully, Microsoft’s repeatedly professed commitment to quality means the OS will be more welcoming by the time October rolls around.

https://arstechnica.com/gadgets/2026/03/microsoft-keeps-insisting-that-its-deeply-committed-to-the-quality-of-windows-11/

The problem is that agencies often lack the staff and resources to do thorough reviews, which means the whole system is leaning on the claims of the cloud companies and the assessments of the third-party firms they pay to evaluate them. Under the current vision, critics say, FedRAMP has lost the plot.

“FedRAMP’s job is to watch the American people’s back when it comes to sharing their data with cloud companies,” said Mill, the former GSA official, who also co-authored the 2024 White House memo. “When there’s a security issue, the public doesn’t expect FedRAMP to say they’re just a paper-pusher.”

Meanwhile, at the Justice Department, officials are finding out what FedRAMP meant by the “unknown unknowns” in GCC High. Last year, for example, they discovered that Microsoft relied on China-based engineers to service their sensitive cloud systems despite the department’s prohibition against non-US citizens assisting with IT maintenance.

Officials learned about this arrangement—which was also used in GCC High—not from FedRAMP or from Microsoft but from a ProPublica investigation into the practice, according to the Justice employee who spoke with us.

A Microsoft spokesperson acknowledged that the written security plan for GCC High that the company submitted to the Justice Department did not mention foreign engineers, though he said Microsoft did communicate that information to Justice officials before 2020. Nevertheless, Microsoft has since ended its use of China-based engineers in government systems.

Former and current government officials worry about what other risks may be lurking in GCC High and beyond.

The GSA told ProPublica that, in general, “if there is credible evidence that a cloud service provider has made materially false representations, that matter is then appropriately referred to investigative authorities.”

Ironically, the ultimate arbiter of whether cloud providers or their third-party assessors are living up to their claims is the Justice Department itself. The recent indictment of the former Accenture employee suggests it is willing to use this power. In a court document, the Justice Department alleges that the ex-employee made “false and misleading representations” about the cloud platform’s security to help the company “obtain and maintain lucrative federal contracts.” She is also accused of trying to “influence and obstruct” Accenture’s third-party assessors by hiding the product’s deficiencies and telling others to conceal the “true state of the system” during demonstrations, the department said. She has pleaded not guilty.

There is no public indication that such a case has been brought against Microsoft or anyone involved in the GCC High authorization. The Justice Department declined to comment. Monaco, the deputy attorney general who launched the department’s initiative to pursue cybersecurity fraud cases, did not respond to requests for comment.

She left her government position in January 2025. Microsoft hired her to become its president of global affairs.

A company spokesperson said Monaco’s hiring complied with “all rules, regulations, and ethical standards” and that she “does not work on any federal government contracts or have oversight over or involvement with any of our dealings with the federal government.”

This story originally appeared on ProPublica. ProPublica is a Pulitzer Prize-winning investigative newsroom. Sign up for The Big Story newsletter to receive stories like this one in your inbox.

https://arstechnica.com/information-technology/2026/03/federal-cyber-experts-called-microsofts-cloud-a-pile-of-shit-approved-it-anyway/

Getting everyone on board

Microsoft first rolled out Advanced Shader Delivery in its SDK last September and added support to the ROG Xbox Ally as a proof of concept by October. Microsoft said that the addition reduced launch times in games like Avowed by “as much as 85 percent,” which is a big deal on battery-limited handhelds.

Getting Advanced Shader Delivery adopted across the wider PC gaming ecosystem has been a slower process. Nvidia says it is “working closely with Microsoft” to add Advanced Shader Delivery support to its GeForce RTX line “later this year,” and Intel says it’s “looking forward to releasing a driver supporting ASD in the near future.” Qualcomm also said it plans to “debut this feature soon on Qualcomm Adreno X2 GPUs,” for what it’s worth.

Even with hardware support, game engine makers will have to integrate Microsoft’s SODB APIs to streamline the setup process for game developers. Epic Games says it is “doing early testing and explorations on SODB and PSDB generation and will have more details coming soon,” which is probably not the full-throated commitment Microsoft would like at this point.

For now, Microsoft has updated its APIs to let developers more easily create and test PSDBs and more easily compile shaders in larger games. The company is also urging developers to “integrate SODB collection into your game engine” now so they’ll be ready to upload those precompiled shaders through the Xbox Partner Center starting in May.

At that point, some PC games downloaded through the Xbox app will finally be able to skip that annoying “compiling shaders” loading step. But this isn’t a feature Microsoft wants to keep for its own PC game platform; the company says that “in the future, any storefront can compile the SODBs to… PSDBs and distribute them.”

https://arstechnica.com/gaming/2026/03/microsoft-is-working-to-eliminate-pc-gamings-compiling-shaders-wait-times/

Big Tech nel Golfo “infrastrutture tecnologiche ostili”, la minaccia di Teheran

Le infrastrutture critiche tecnologiche sono ormai obiettivi strutturali della guerra ibrida. Vengono colpite reti elettriche e sistemi di telecomunicazione, sistemi informatici e servizi digitali, tra cui i data center, con effetti diretti su popolazione, economia e sicurezza nazionale. È già accaduto in Ucraina, sta accadendo in maniera più concreta e diffusa in Iran e nei Paesi del Golfo ormai coinvolti a pieno nella guerra iniziata da Stati Uniti e Israele.

Secondo quanto annunciato dall’agenzia di stampa iraniana Tasnim, considerata vicina al Corpo delle Guardie della Rivoluzione Islamica (IRGC), che ha diffuso una lista di circa 30 infrastrutture tecnologiche in Medio Oriente definite come “nemiche” e quindi potenziali bersagli di attacchi con droni e missili, anche le grandi aziende tecnologiche americane potrebbero diventare nuovi obiettivi di guerra.

La lista delle attività di Amazon, Microsoft, Google, Oracle, NVIDIA, IBM e Palantir

Secondo quanto pubblicato sui social dall’agenzia, le attività regionali di Amazon, Microsoft, Google, Oracle, NVIDIA, IBM e Palantir sarebbero state identificate come “enemy technology infrastructure”, ovvero infrastrutture tecnologiche ostili.

I siti elencati si trovano in diverse località strategiche della regione, tra cui Dubai negli Emirati Arabi Uniti e Tel Aviv in Israele, e comprendono uffici, centri di sviluppo e data center collegati soprattutto a servizi cloud e sistemi di intelligenza artificiale.

La guerra passa anche dalle infrastrutture digitali

Il segnale lanciato da Teheran riflette un cambiamento ormai evidente nelle dinamiche della competizione strategica globale: le infrastrutture digitali sono diventate asset militari e geopolitici di primo livello.

Nell’era dell’intelligenza artificiale e del cloud computing, data center, centri di ricerca e piattaforme digitali rappresentano nodi critici per la sicurezza nazionale, non solo per gli Stati Uniti ma per gran parte delle economie avanzate. Queste strutture ospitano dati, capacità di calcolo e piattaforme che supportano attività civili, economiche e militari.

Colpire tali infrastrutture non significa soltanto danneggiare aziende private, ma indebolire interi ecosistemi tecnologici e informativi.

Per questo motivo, negli ultimi anni le Big Tech sono entrate sempre più spesso nel perimetro della competizione strategica tra Stati. I grandi operatori del cloud e dell’intelligenza artificiale sono infatti partner chiave per governi e apparati di sicurezza.

I siti indicati come obiettivi

Nella lista diffusa da Tasnim figurano strutture considerate strategiche perché coinvolte nello sviluppo di sistemi di intelligenza artificiale o nella gestione dei servizi cloud regionali.

A Tel Aviv, ad esempio, vengono citati l’ufficio principale della società di tecnologia per la difesa Palantir, uffici regionali di Amazon e Microsoft e il centro di ingegneria e sviluppo di NVIDIA

In Dubai e negli Emirati Arabi Uniti sarebbero invece presenti diversi hub tecnologici e data center utilizzati per coordinare servizi cloud in tutta l’area mediorientale. La centralità di questi nodi è tale che la loro interruzione potrebbe avere effetti a cascata su servizi digitali, piattaforme governative e infrastrutture economiche dell’intera regione.

Il primo campanello di allarme gli attacchi di data center Amazon

Il riferimento di Tasnim arriva dopo alcuni episodi recenti. Il 1° marzo due data center di Amazon negli Emirati Arabi Uniti sono stati colpiti, mentre un terzo centro in Bahrain ha riportato danni a causa della caduta di detriti provenienti da un altro sito attaccato.

In precedenza, il Corpo delle Guardie della Rivoluzione Islamica aveva rivendicato operazioni contro queste infrastrutture, sostenendo che l’obiettivo fosse verificare il ruolo dei centri tecnologici nel supporto ad attività militari e di intelligence del “nemico”.

I legami tra Big Tech e sicurezza

Secondo l’agenzia iraniana, alcune sedi di Oracle, IBM e Google a Gerusalemme, Tel Aviv e Abu Dhabi sarebbero state selezionate perché considerate parte di infrastrutture utilizzate da entità militari. Il tema del rapporto tra grandi aziende tecnologiche e apparati di sicurezza è da tempo oggetto di dibattito internazionale.

Un rapporto del 2025 della relatrice speciale delle Nazioni Unite Francesca Albanese ha ricordato che Amazon e Google hanno ottenuto nel 2021 un contratto da 1,2 miliardi di dollari con il governo israeliano per il progetto Nimbus, finalizzato alla fornitura di infrastrutture cloud e servizi di intelligenza artificiale. Secondo il documento, queste piattaforme, insieme a quelle di Microsoft, permetterebbero alle autorità israeliane un accesso esteso a tecnologie cloud e sistemi avanzati di analisi dei dati.

Nel rapporto si afferma inoltre che IBM avrebbe formato personale militare e di intelligence israeliano, mentre esisterebbero “ragionevoli motivi” per ritenere che Palantir abbia fornito strumenti di analisi predittiva utilizzati per l’elaborazione di dati e la generazione di liste di obiettivi.

Nel XXI secolo la superiorità tecnologica non dipende solo da armamenti e sistemi militari, ma anche dalla capacità di gestire dati, algoritmi, piattaforme cloud e intelligenza artificiale. Quando si parla di sicurezza delle infrastrutture critiche tecnologiche (e non solo), il concetto di sicurezza non può più essere limitato a confini, eserciti e armi convenzionali, ma richiede una mentalità “ibrida” che unisca fisico e digitale, pubblico e privato, difesa e resilienza.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/iran-30-infrastrutture-tecnologiche-delle-big-tech-diventano-obiettivi-militari-la-lista-su-x/568351/

When Asus and Microsoft launched the ROG Xbox Ally X last summer, it came with a bespoke controller-driven full-screen interface running on top of Windows 11. The handheld was still running Windows under the hood, and you could bring up the typical Windows desktop any time, but it defaulted to the full-screen gaming UI.

Then called either the “Xbox Experience for Handheld” or the “Xbox Full-Screen Experience (FSE)” depending on who you asked and when, Microsoft said it would be available on all Windows PCs at some point in 2026. That point has apparently arrived: Microsoft announced this week at the Game Developers Conference that other Windows 11 PCs “in select markets” would be getting what’s now being called “Xbox mode” starting in April.

Under the hood, a PC running in Xbox mode is still running regular-old Windows, with the same capabilities as any other PC. But there are system services and UI elements (like the standard Start menu and taskbar) that don’t launch when the system is in Xbox mode, something Microsoft claims can save a gigabyte or two of RAM while also allowing systems to use less energy. Users can return to Windows’ traditional desktop mode whenever they want, though.

Our experience with Xbox mode on the ROG Xbox Ally X was mixed; a Windows PC in Xbox mode is still a Windows PC, with both the broad game/app compatibility and the messiness that entails.

The seams between the controller-friendly interface and the mouse-and-keyboard version of Windows were the most visible when trying to download and launch games from third-party game stores like Steam and the Epic Games Store, which generally required you to use those store apps to buy and download games before they could be launched from the comfort of Xbox mode. We’ll have to test the update on other PCs after it rolls out to see whether Microsoft has made substantial improvements.

https://arstechnica.com/gadgets/2026/03/windows-11s-steam-deck-ish-streamlined-xbox-gaming-ui-comes-to-all-pcs-in-april/

Last summer, we here at Ars made the argument that the company’s next Xbox console should give up the walled garden approach and just run Windows already. Now, newly named Microsoft Executive Vice President for Gaming Asha Sharma has strongly hinted that this is indeed the direction Microsoft is going, saying its next-generation console will “play your Xbox and PC games.”

In a social media post Thursday afternoon, Sharma said that “our commitment to the return of Xbox” would include a new console codenamed Project Helix that “will lead in performance and play your Xbox and PC games.” Sharma said she would be discussing that commitment and that console itself with developers and partners at her first Game Developers Conference next week.

Sharma’s statement leaves a little wiggle room for Project Helix to be something other than a full-fledged Windows-based living room gaming box. The coming console’s access to PC games could be limited to Microsoft’s existing streaming solution via PC Game Pass, for instance, or to games designed for Microsoft’s own Xbox-branded PC SDK and the PC Xbox app.

Still, a plain reading of Sharma’s statement suggests that Microsoft is getting ready to open up its next console to a complete Windows installation, with the ability to play tens of thousands of existing PC games. That doesn’t come as a complete shock, considering that Microsoft already used the Xbox name for last year’s Windows-based ROG Xbox Ally (and its somewhat console-esque full-screen “Xbox Experience”). Microsoft has also been slowly reducing the number of games that are fully exclusive to Xbox consoles, lowering the value of a walled-off console platform (Sony, meanwhile, pulled back this week from its recent trend of releasing first-party titles on PC as well). Meanwhile, Valve’s coming Steam Machine is threatening to bring Windows-free PC gaming to living rooms everywhere in the near future.

https://arstechnica.com/gaming/2026/03/ms-exec-microsofts-next-console-will-play-xbox-and-pc-games/

La weaponization del cloud non è più un’ipotesi teorica da white paper accademico. È una realtà operativa che nel corso del 2025 ha assunto contorni nitidi, documentati e – per molti professionisti della sicurezza – profondamente inquietanti. In meno di dodici mesi, Microsoft ha sospeso servizi cloud a un’università cinese, a un colosso della genomica sotto sanzioni statunitensi, al procuratore capo della Corte Penale Internazionale e ha ristretto l’accesso al proprio programma di early warning sulle vulnerabilità per aziende cinesi. Singoli episodi, se presi isolatamente. Ma collegati tra loro, disegnano un pattern strategico che ogni CISO, ogni security architect e ogni responsabile compliance dovrebbe analizzare con estrema attenzione.

Il punto non è se Microsoft abbia agito legittimamente – nella maggior parte dei casi, lo ha fatto in conformità con le normative statunitensi sulle sanzioni e il controllo delle esportazioni. Il punto è un altro, ben più strutturale: l’infrastruttura cloud su cui il mondo intero ha costruito la propria operatività digitale può essere disattivata con un clic, in funzione di decisioni politiche prese a Washington. E la scala di questa dipendenza è misurabile. Microsoft genera il 55% dei propri ricavi – pari a circa 138 miliardi di dollari nel solo fiscal year 2025 – dai servizi cloud.

Outlook serve oltre 400 milioni di utenti globali. Azure è il secondo cloud provider mondiale. Secondo le stime di settore, il costo medio di un minuto di downtime per le grandi imprese è di 23.750 dollari, mentre le interruzioni IT nel Global 2000 drenano complessivamente 400 miliardi di dollari l’anno. Quando questa infrastruttura diventa uno strumento di proiezione geopolitica, ogni contratto SaaS si trasforma in un potenziale vettore di rischio sistemico.

Maggio 2025: Microsoft spegne l’interruttore in Cina

Il 13 maggio 2025, la Sun Yat-sen University di Guangzhou ha inviato una comunicazione d’urgenza a docenti e studenti: i servizi Microsoft 365 – OneDrive, OneNote, SharePoint – sarebbero stati disattivati entro 48 ore. L’help desk dell’ateneo ha confermato che la decisione era di Microsoft, non dell’università. Pochi giorni prima, BGI Group – tra le più grandi aziende di analisi genomica al mondo, con diverse sussidiarie inserite nella Entity List del Bureau of Industry and Security (BIS) del Dipartimento del Commercio statunitense a partire dal 2020 e con ulteriori designazioni nel marzo 2023 – aveva perso improvvisamente l’accesso a Outlook e OneDrive. Il personale è stato costretto a migrare d’urgenza sulla suite WPS Office di Kingsoft.

Nessun preavviso formale. Nessuna comunicazione pubblica da parte di Microsoft. Come ha rilevato l’analisi di Trivium China, la Sun Yat-sen University non è direttamente nella Entity List, ma ospita il National Supercomputing Center di Guangzhou, che invece lo è. Microsoft, con ogni probabilità, stava riducendo la propria esposizione al rischio di compliance con le normative statunitensi sul controllo delle esportazioni.

L’episodio ha messo in luce una dinamica che i professionisti della sicurezza conoscono bene in teoria ma raramente affrontano nella pratica: la dipendenza da un singolo fornitore cloud extraterritoriale è un single point of failure geopolitico. Le entità colpite non hanno avuto voce in capitolo nella decisione: il servizio è stato semplicemente interrotto sulla base di valutazioni di compliance condotte unilateralmente dal provider.

Per le aziende e le istituzioni che operano in contesti geopoliticamente sensibili, il messaggio è inequivocabile: un contratto commerciale con un provider statunitense è implicitamente subordinato alle priorità di politica estera di Washington. E questo vale per qualsiasi organizzazione, in qualsiasi Paese.

Il caso ICC: il clic che ha paralizzato la giustizia internazionale

Se il blocco delle istituzioni cinesi poteva essere letto come un atto di compliance normativa, quanto accaduto alla Corte Penale Internazionale ha spostato la questione su un piano completamente diverso.

Nel febbraio 2025, l’amministrazione Trump ha imposto sanzioni alla CPI dopo l’emissione dei mandati d’arresto nei confronti del primo ministro israeliano Benjamin Netanyahu e del suo ex ministro della Difesa Yoav Gallant, in relazione a presunti crimini di guerra nella Striscia di Gaza. Il procuratore capo Karim Khan ha visto il proprio account Outlook bloccato da Microsoft, in ottemperanza alle disposizioni federali statunitensi. Tutti i 900 dipendenti della Corte sono stati colpiti dal divieto d’ingresso negli Stati Uniti. I conti bancari britannici di Khan sono stati congelati. Il procuratore è stato costretto a migrare su Proton Mail, il servizio svizzero di posta con crittografia end-to-end.

Microsoft, per voce del presidente Brad Smith, ha successivamente negato di aver sospeso i servizi alla CPI nel suo complesso, affermando di aver mantenuto il contatto con l’organizzazione durante la transizione dell’account di Khan. Ma l’impatto operativo e politico era irreversibile. Il governo olandese ha avviato una rivalutazione urgente della propria infrastruttura digitale. Klaas Knot, presidente della banca centrale olandese DNB, ha pubblicamente avvertito che persino il sistema di pagamento iDEAL dipende da due aziende americane che controllano oltre il 60% del mercato europeo. Nell’ottobre 2025, la CPI ha annunciato la migrazione completa verso OpenDesk, la suite open source sviluppata dal Centro tedesco per la Sovranità Digitale (ZenDiS).

Questo episodio rappresenta il caso più emblematico di weaponization del cloud applicata alla diplomazia internazionale. Non si tratta di un attacco cyber, non c’è un exploit né un threat actor nel senso tradizionale del termine. C’è un’azienda privata che, obbedendo alla legislazione del proprio Paese, può interrompere le comunicazioni di un organo giudiziario internazionale. Il CLOUD Act del 2018 – il Clarifying Lawful Overseas Use of Data Act – obbliga le aziende statunitensi a fornire dati sotto il loro controllo indipendentemente da dove siano fisicamente ubicati e a conformarsi alle disposizioni sulle sanzioni federali. Quando questo potere si interseca con le decisioni di politica estera, il cloud smette di essere un’infrastruttura neutrale e diventa una leva di coercizione.

L’obiezione: il rischio è davvero sistemico?

Va riconosciuto che esiste una controargomentazione legittima. I casi documentati di sospensione dei servizi riguardano finora entità specificamente colpite da sanzioni statunitensi o associate a soggetti nella Entity List – non organizzazioni qualunque. Microsoft e altri provider statunitensi hanno interesse commerciale a mantenere la fiducia dei clienti globali: un uso indiscriminato del “kill switch” digitale distruggerebbe il loro modello di business. Amazon Web Services, nel proprio documento ufficiale sul CLOUD Act, sottolinea che dalla sua introduzione nel 2018 non è mai stata effettuata alcuna divulgazione di contenuti di clienti enterprise o governativi memorizzati all’estero al governo statunitense.

Tuttavia, questa obiezione coglie solo metà del quadro. Il rischio non si misura sulla frequenza degli episodi passati, ma sulla severità dell’impatto potenziale e sulla totale assenza di controllo da parte della vittima. Un CISO non dimensiona la protezione antincendio sulla base del numero di incendi subiti in passato, ma sull’entità del danno che un singolo incendio potrebbe causare. Inoltre, l’arco temporale è significativo: nel giro di sei mesi del 2025, il “kill switch” è stato attivato contro un’università, un’azienda di genomica, un procuratore internazionale e – indirettamente – un intero ecosistema di threat intelligence.

La traiettoria è espansiva, non stazionaria. E come ha avvertito Owen Sayers di Secon Solutions su Tech Monitor, se il GCC del Pentagono era supportato dalla Cina, i governi europei che utilizzano servizi Microsoft dovrebbero chiedersi se possono ancora estendere la propria fiducia ai Paesi e alle persone nella supply chain che forniscono supporto cloud.

Weaponization del cloud e threat intelligence: il caso MAPP-SharePoint

L’estate 2025 ha aggiunto un terzo livello a questo scenario, spostando la weaponization del cloud dal piano dei servizi commerciali a quello della condivisione di intelligence sulle vulnerabilità.

A partire dal 24 giugno 2025, una campagna di attacchi zero-day ha colpito decine di migliaia di server SharePoint on-premise in tutto il mondo, sfruttando le vulnerabilità CVE-2025-53770 e CVE-2025-53771, ribattezzate “ToolShell”. Microsoft Threat Intelligence ha attribuito lo sfruttamento a due attori state-sponsored cinesi – Linen Typhoon e Violet Typhoon – e a un terzo gruppo, Storm-2603, associato al deployment di ransomware. Oltre 400 organizzazioni tra agenzie governative, telecomunicazioni e aziende tecnologiche sono state compromesse. Sophos ha confermato che gli attaccanti utilizzavano lo stesso payload su tutti i server colpiti, indicando un coordinamento centralizzato.

Il sospetto, alimentato da analisti come Dustin Childs di Trend Micro ZDI, era che le informazioni sulle vulnerabilità fossero trapelate dal Microsoft Active Protections Program (MAPP). Il MAPP fornisce ai vendor di sicurezza – tipicamente con almeno 24 ore di anticipo rispetto alla divulgazione pubblica e fino a due settimane prima del Patch Tuesday – dettagli sulle falle nei prodotti Microsoft, incluso proof-of-concept code, affinché possano preparare protezioni aggiornate per i propri clienti. Il programma include almeno una dozzina di aziende cinesi, tra cui unità di Alibaba e Baidu.

Ad agosto 2025, Microsoft ha comunicato – tramite il portavoce David Cuddy a Bloomberg e confermato da Reuters – che le aziende nei Paesi dove la legge impone la segnalazione obbligatoria delle vulnerabilità al governo non avrebbero più ricevuto proof-of-concept code, ma solo descrizioni generiche delle falle, contestualmente al rilascio delle patch.

Il riferimento è diretto alla normativa cinese del settembre 2021 – le Provisions on Administration of Security Vulnerability of Network Products (RMSV, note anche come Regulations on the Management of Network Product Security Vulnerabilities) – emanate congiuntamente dal MIIT, dalla Cyberspace Administration of China (CAC) e dal Ministero della Pubblica Sicurezza (MPS). Queste disposizioni obbligano qualsiasi azienda operante in Cina a segnalare le vulnerabilità scoperte al MIIT entro 48 ore, vietano la pubblicazione di proof-of-concept code e proibiscono la divulgazione di dettagli sulle vulnerabilità a organizzazioni estere, eccetto il produttore del software interessato.

Come documentato dal rapporto Sleight of Hand dell’Atlantic Council (marzo 2025), le informazioni raccolte dal MIIT vengono condivise con il Ministero della Pubblica Sicurezza e con il CNCERT/CC, creando un pipeline strutturale tra ricerca sulle vulnerabilità e apparato offensivo statale.

Non è la prima volta che il MAPP è teatro di sospette fughe di informazioni. Nel 2012, Microsoft aveva sospettato l’azienda cinese Hangzhou DPtech Technologies di aver fatto trapelare dati dal programma. Nel 2021, almeno due partner cinesi erano ritenuti responsabili di aver contribuito alla campagna Hafnium contro Exchange Server, che aveva esposto circa 140.000 organizzazioni statunitensi – tra cui istituti di ricerca, studi legali, università e contractor della difesa – prima che Microsoft potesse rilasciare le patch.

La sequenza temporale degli attacchi SharePoint del 2025 rafforza ulteriormente l’ipotesi del leak: Microsoft ha osservato i primi tentativi di sfruttamento il 7 luglio, ovvero prima del rilascio pubblico delle patch l’8 luglio, e gli attaccanti erano già in grado di bypassare le correzioni iniziali – un indizio che suggerisce conoscenza anticipata sia delle vulnerabilità sia delle contromisure. Come ha dichiarato Dustin Childs di Trend Micro ZDI: “Una fuga di informazioni è avvenuta da qualche parte. E ora hai un exploit zero-day in natura, e peggio ancora, un exploit zero-day che bypassa la patch”.

La decisione di restringere il MAPP configura una forma diversa di weaponization: non la sospensione di servizi commerciali, ma la frammentazione deliberata dell’ecosistema globale di threat intelligence.

Dakota Cary di SentinelOne ha definito la scelta “un cambiamento fantastico”, dato che le aziende cinesi nel MAPP sono obbligate per legge a rispondere agli incentivi del proprio governo. Ma altri analisti hanno messo in guardia sugli effetti collaterali. Keith Prabhu di Confidis ha sottolineato che un gran numero di imprese cinesi legittime dipendono dal MAPP per la propria sicurezza, e che restringere la condivisione riduce la sicurezza complessiva dell’intero ecosistema. Rik Turner di Omdia ha evidenziato che la misura alza un muro tra aziende cinesi e Microsoft, ma potrebbe avere effetti pratici limitati dato che le aziende cinesi dispongono di proprie capacità di intelligence e di molteplici feed globali.

Digital Escorts: quando il supporto cloud arriva da Pechino

La weaponization del cloud ha anche una dimensione speculare, meno visibile ma altrettanto critica. A luglio 2025, un’inchiesta di ProPublica ha rivelato che per quasi un decennio, Microsoft ha utilizzato ingegneri basati in Cina per fornire supporto tecnico ai sistemi cloud del Dipartimento della Difesa statunitense attraverso un programma noto come “digital escorts”.

Il meccanismo funzionava così: gli ingegneri cinesi preparavano script, comandi e configurazioni tecniche, che venivano poi eseguiti da personale statunitense con security clearance – i cosiddetti escorts – i quali, nella maggior parte dei casi, non disponevano delle competenze tecniche per verificare cosa stessero effettivamente inserendo nei sistemi federali. Un annuncio di lavoro per escort, pubblicato da un contractor Microsoft nel gennaio 2025, richiedeva come requisito principale un security clearance del DoD e offriva 18 dollari l’ora. Un escort intervistato da ProPublica ha dichiarato: “Ci fidiamo che quello che fanno non sia malevolo, ma in realtà non possiamo dirlo con certezza”.

La portata del problema si è rivelata più ampia del previsto. Un secondo rapporto di ProPublica ha documentato che il personale cinese forniva supporto non solo al Pentagono, ma anche ai sistemi cloud dei Dipartimenti di Giustizia, Tesoro e Commercio, dell’EPA e del Dipartimento dell’Istruzione, all’interno del Government Community Cloud (GCC) – la piattaforma progettata per dati sensibili non classificati, il cui livello di impatto “moderate” implica che la compromissione di confidenzialità, integrità o disponibilità causerebbe effetti avversi significativi. Un successivo rapporto di ProPublica di agosto 2025 ha inoltre rivelato che Microsoft aveva omesso di menzionare l’utilizzo di personale cinese nel proprio piano di sicurezza 2025 presentato al DoD nell’ambito del programma FedRAMP.

Il Segretario alla Difesa Pete Hegseth ha reagito dichiarando su X che “ingegneri stranieri – da qualsiasi Paese, inclusa ovviamente la Cina – non dovrebbero MAI essere autorizzati a manutenere o accedere ai sistemi del DoD”. Microsoft ha annunciato la cessazione immediata della pratica e l’avvio di una revisione delle procedure per tutti i clienti governativi GCC. È significativo che Amazon Web Services, Google Cloud e Oracle abbiano dichiarato di non utilizzare personale basato in Cina per i contratti federali.

L’ironia amara di questa vicenda non è solo aneddotica – è strutturalmente rivelatrice delle contraddizioni interne alla weaponization del cloud. Mentre Microsoft sospendeva servizi a istituzioni cinesi per ragioni legate alle sanzioni, contemporaneamente affidava a ingegneri cinesi la manutenzione dei sistemi cloud più sensibili del governo statunitense. Il fatto che questa pratica sia proseguita per quasi un decennio senza che FedRAMP – il programma federale di accreditamento cloud – la identificasse come rischio, indica un fallimento sistemico nella valutazione della supply chain, non un incidente isolato.

Azure genera oltre 68 miliardi di dollari di ricavi nei primi tre trimestri del fiscal year 2025 e il gruppo riceve “ricavi sostanziali dai contratti governativi”. Questa dipendenza economica bidirezionale – il governo statunitense dipende da Microsoft, Microsoft dipende da competenze globali incluse quelle cinesi per abbattere i costi – crea un conflitto di interessi strutturale che nessun assessment di sicurezza convenzionale è progettato per intercettare. Harry Coker, ex dirigente senior di CIA e NSA, ha avvertito che agenzie di intelligence straniere potrebbero sfruttare le informazioni ottenute dai sistemi GCC per “risalire la corrente” verso sistemi più sensibili o classificati.

Come ha scritto Owen Sayers di Secon Solutions su Tech Monitor, i governi europei che utilizzano servizi Microsoft dovrebbero chiedersi se possono ancora estendere la propria fiducia ai Paesi e alle persone nella supply chain che forniscono il loro supporto cloud.

L’Europa al bivio: sovranità digitale o dipendenza strutturale?

La sequenza di eventi del 2025 ha avuto un impatto sismico sul dibattito europeo sulla sovranità digitale. Secondo un rapporto del Parlamento Europeo citato dall’Atlantic Council, l’UE dipende da Paesi extra-UE per oltre l’80% di prodotti, servizi, infrastrutture e proprietà intellettuale digitale. AWS, Microsoft Azure e Google Cloud detengono circa il 70% del mercato cloud europeo, contro il 15% circa dei provider continentali. Solo l’1% dello stack cloud della Commissione Europea gira su OVHCloud, il principale provider europeo.

Il blocco dell’email di Karim Khan ha funzionato da detonatore politico. Come riportato da Computer Weekly, la disconnessione del procuratore è stata “un clic sentito in tutto il mondo” che ha dato a chiunque utilizzi o stia valutando l’adozione di tecnologie cloud Microsoft motivo di riflessione profonda. Questo è accaduto peraltro a poche settimane dalla “charm offensive” di Brad Smith in Europa, nella quale Microsoft aveva annunciato ingenti investimenti in data center europei e impegni per l’allineamento alle normative continentali.

Le risposte europee si sono mosse su più fronti:

• Paesi Bassi: rivalutazione urgente dell’infrastruttura digitale governativa; aumento della domanda di provider cloud nazionali come Intermax
• Germania: completamento da parte del Land Schleswig-Holstein della migrazione di 40.000 account da Microsoft a soluzioni Linux e LibreOffice; il governo federale ha pubblicamente riconosciuto la dipendenza critica da aziende statunitensi per cloud, sistemi operativi e networking
• Francia: sviluppo del progetto NUBO, un cloud privato basato su OpenStack per dati governativi sensibili
• A livello UE, a luglio 2025 Germania, Francia, Italia e Paesi Bassi hanno istituito l’European Digital Infrastructure Consortium for Digital Commons, e la Commissione ha pubblicato nell’ottobre 2025 l’EU Cloud Security Framework con otto obiettivi di sovranità per l’approvvigionamento cloud pubblico

Tuttavia, il percorso verso una sovranità digitale effettiva resta pieno di ostacoli. Come ha evidenziato l’economista dell’antitrust Cristina Caffarra, citata da The Register, c’è il rischio concreto di “sovereignty-washing”: le stesse aziende americane che generano la dipendenza promuovono offerte “sovereign cloud” che restano soggette al CLOUD Act e alla FISA Section 702. L’iniziativa Gaia-X, nata con l’ambizione di creare un cloud federato europeo, è stata sostanzialmente neutralizzata quando Microsoft, Google e AWS sono stati ammessi al consorzio.

Il progetto di Cloud and AI Development Act (CADA), atteso per il 2025-2026, mira a triplicare la capacità europea di data center in sette anni, ma le code per le connessioni alla rete elettrica nei principali hub europei (Francoforte, Londra, Amsterdam, Parigi, Dublino) arrivano a sette-dieci anni.

Per i CISO europei, la weaponization del cloud impone una revisione profonda delle strategie di vendor risk management. Non è più sufficiente valutare SLA, uptime e conformità GDPR: occorre integrare nel risk assessment il rischio giurisdizionale – la possibilità concreta che un governo straniero ordini la sospensione dei servizi o acceda ai dati in base alla propria legislazione extraterritoriale.

La Cina risponde: vulnerabilità come arma e decoupling tecnologico

La risposta cinese alla weaponization del cloud è tutt’altro che passiva. BGI Group ha accelerato l’adozione di alternative domestiche. Il governo di Pechino ha intensificato gli investimenti nel proprio ecosistema cloud, con Alibaba Cloud, Huawei Cloud e Tencent Cloud che hanno rafforzato la propria presenza nel mercato domestico e nei Paesi del Global South.

Ma la mossa più significativa sul piano cyber è anteriore e, a suo modo, altrettanto aggressiva. La legge cinese del settembre 2021 sulla gestione delle vulnerabilità (RMSV) rappresenta l’altra faccia della stessa medaglia. Se Washington weaponizza il cloud attraverso la sospensione dei servizi e la restrizione dell’intelligence sharing, Pechino weaponizza le vulnerabilità software attraverso la centralizzazione obbligatoria della disclosure.

La correlazione tra l’entrata in vigore della RMSV e l’aumento dello sfruttamento di zero-day da parte di attori cinesi è documentata da fonti indipendenti e convergenti. Il Microsoft Digital Defense Report 2022 ha concluso che “l’aumento dell’uso di zero-day nell’ultimo anno da parte di attori cinesi riflette verosimilmente il primo anno completo dei requisiti di divulgazione delle vulnerabilità della Cina e un passo significativo nell’uso degli zero-day exploit come priorità statale”.

Microsoft ha attribuito a gruppi state-sponsored cinesi lo sviluppo e il deployment di almeno sei zero-day nel solo periodo 2021-2022, tra cui le falle in SolarWinds Serv-U (CVE-2021-35211), Zoho ManageEngine (CVE-2021-40539, CVE-2021-44077), Exchange (CVE-2021-42321) e Atlassian Confluence (CVE-2022-26134). Il rapporto congiunto Google TAG/Mandiant del 2024 conferma la tendenza: i gruppi APT cinesi hanno sfruttato 12 zero-day nel 2023, rispetto ai 7 del 2022, consolidando la Cina come il principale attore statale nello sfruttamento di vulnerabilità non note – dato confermato anche da Ben Read, responsabile dell’analisi di cyber espionage in Mandiant.

È importante notare che correlazione non implica necessariamente causalità diretta. Molteplici fattori contribuiscono all’aumento degli zero-day, tra cui il miglioramento delle capacità di ricerca cinesi, l’evoluzione degli strumenti offensivi e l’ampliamento della superficie d’attacco globale. Tuttavia, il meccanismo causale è strutturalmente plausibile: la RMSV costringe le aziende a segnalare le vulnerabilità al MIIT entro 48 ore, prima di poterle divulgare pubblicamente o condividere proof-of-concept code.

Questo crea una finestra di esclusività informativa a favore dell’apparato statale cinese. Come ha documentato l’Atlantic Council, il MIIT non sembra trasmettere sistematicamente le vulnerabilità ricevute ai produttori software, e la media di tempo necessaria alle aziende per applicare una patch (il cosiddetto MTTP, mean time to patch) oscilla tra 60 e 200 giorni. In questa finestra temporale, una vulnerabilità nota al MIIT ma non al vendor resta sfruttabile dall’apparato offensivo cinese.

I dati sul versante della divulgazione sono altrettanto eloquenti. Dopo l’entrata in vigore della RMSV, le vulnerabilità ICS (Industrial Control Systems) pubblicamente divulgate in Cina sono crollate da centinaia a sole dieci nel 2022, suggerendo un reindirizzamento massiccio della ricerca verso canali statali opachi. L’agenzia di intelligence civile – il Ministero della Sicurezza di Stato (MSS) – è stata collegata già nel 2017 da Recorded Future a pratiche di ritardo nella pubblicazione di vulnerabilità ad alta criticità nel database nazionale CNNVD, presumibilmente per preservarne lo sfruttamento operativo prima della divulgazione pubblica.

Il Tianfu Cup – la competizione di hacking cinese istituita nel 2017, quando Pechino ha vietato ai propri ricercatori di partecipare a contest internazionali come il Pwn2Own – funziona come hub di reclutamento e come fonte di vulnerabilità. Il MIT Technology Review ha documentato nel 2021 che una vulnerabilità scoperta durante il Tianfu Cup è stata utilizzata dal governo cinese entro un giorno per operazioni di sorveglianza contro gli Uiguri nello Xinjiang.

Come ha sottolineato Katie Moussouris, pioniera del settore bug bounty e fondatrice di Luta Security, la disposizione che obbliga alla segnalazione al governo entro due giorni dalla scoperta è “la parte più preoccupante della legge”, perché concentra una quantità senza precedenti di dati su vulnerabilità non corrette nelle mani di un singolo attore statale.

Si profila dunque uno scenario di frammentazione cyber permanente: due ecosistemi paralleli, ciascuno con i propri standard, i propri repository di vulnerabilità, le proprie piattaforme cloud e le proprie regole di ingaggio. Per le organizzazioni multinazionali, questo significa operare in un campo minato normativo dove la compliance in una giurisdizione può configurare un rischio nell’altra.

L’esempio più concreto: un’azienda europea con operazioni in Cina è obbligata dalla RMSV a segnalare le vulnerabilità scoperte nei propri sistemi al MIIT entro 48 ore, ma al contempo potrebbe essere soggetta – in virtù del CLOUD Act e delle sanzioni OFAC – al divieto di condividere informazioni tecniche con entità cinesi. Un cortocircuito normativo che non ammette soluzioni semplici e che trasforma la funzione compliance da costo operativo a variabile strategica di primo livello.

Implicazioni operative: cosa deve fare un CISO oggi

La weaponization del cloud non è un problema geopolitico astratto – è un rischio operativo concreto che richiede azioni specifiche e misurabili. Le aree di intervento prioritarie si articolano su quattro direttrici.

1. Revisione del rischio di concentrazione sul provider

• Mappare la dipendenza effettiva da ciascun cloud provider, includendo non solo i contratti diretti ma anche le dipendenze indirette nella supply chain (API di terze parti, integrazioni SaaS, identity provider)
• Classificare i dati e i workload per sensibilità giurisdizionale: quali dati, se improvvisamente inaccessibili, causerebbero un’interruzione critica delle operazioni?
• Integrare il rischio giurisdizionale nella valutazione dei fornitori, includendo l’analisi della legislazione extraterritoriale applicabile (CLOUD Act, FISA Section 702, legge cinese sulla sicurezza dei dati)
• Definire soglie di tolleranza per il rischio di sospensione dei servizi legato a sanzioni o decisioni politiche

2. Strategie di uscita e multi-cloud reale

• Sviluppare exit strategy documentate e testate per ogni servizio cloud critico, con tempi di migrazione realistici (secondo il provider olandese Intermax, una migrazione da Microsoft può richiedere da sei mesi a tre anni a seconda della complessità)
• Adottare architetture multi-cloud genuine, evitando il multi-cloud cosmetico dove l’intera gestione delle identità dipende comunque da Azure Active Directory
• Investire in competenze interne su piattaforme alternative e open source, riducendo la path dependency anche nei processi di assunzione
• Valutare la portabilità dei dati alla luce dell’EU Data Act, le cui disposizioni sulla rimozione degli switching charges entreranno in vigore nel gennaio 2027

3. Sovranità dei dati e backup giurisdizionale

• Implementare backup geograficamente diversificati in giurisdizioni non soggette alla stessa legislazione extraterritoriale del provider primario
• Adottare soluzioni di encryption client-side dove le chiavi crittografiche rimangano sotto il controllo esclusivo dell’organizzazione, rendendo tecnicamente impossibile la divulgazione di dati in chiaro anche su ordine giudiziario straniero
• Considerare provider europei certificati per i workload più sensibili, monitorando l’evoluzione del framework EUCS (EU Cloud Services Certification Scheme) attualmente in fase di negoziazione tra gli Stati membri

4. Threat intelligence diversificata

• Non dipendere da un singolo canale di threat intelligence, specialmente se controllato da un vendor potenzialmente soggetto a restrizioni geopolitiche
• Integrare feed di intelligence da fonti multiple e indipendenti, inclusi CERT nazionali (in Italia, il CSIRT Italia), ISAC di settore e provider specializzati europei
• Monitorare attivamente le evoluzioni normative sia statunitensi (Entity List, OFAC, sanzioni) sia cinesi (RMSV, legge sulla sicurezza dei dati) per anticipare impatti sulle proprie operations

Prospettive: verso un ordine cloud multipolare

Il 2025 ha segnato un punto di non ritorno. La weaponization del cloud non è un incidente isolato ma una tendenza strutturale destinata a intensificarsi con l’inasprirsi delle tensioni geopolitiche tra Stati Uniti e Cina, e – sempre più – tra Stati Uniti e chiunque si trovi dalla parte sbagliata di una decisione di politica estera americana.

Per i professionisti della sicurezza informatica, la lezione è tanto semplice quanto radicale: il cloud non è neutrale. Ogni servizio SaaS, ogni piattaforma IaaS, ogni strumento PaaS porta con sé il DNA giuridico e politico del Paese in cui ha sede il provider. Il CLOUD Act statunitense, le RMSV cinesi, il GDPR europeo, la NIS2 – non sono framework intercambiabili. Sono espressioni di visioni del mondo incompatibili sulla governance dei dati e sul rapporto tra Stato, imprese e cittadini.

La risposta non è il ritorno al on-premise per principio, né l’isolazionismo tecnologico – un’opzione che per la maggior parte delle organizzazioni sarebbe semplicemente impraticabile e controproducente. È la costruzione consapevole di architetture resilienti che incorporino il rischio giurisdizionale come variabile di progetto, al pari della latenza, della disponibilità e del costo. È l’investimento in standard aperti e interoperabili che riducano il vendor lock-in. È la partecipazione attiva alla definizione dei framework europei di certificazione cloud. È, in ultima analisi, il riconoscimento che la cybersecurity nel 2026 è inscindibile dalla geopolitica.

La weaponization del cloud ci costringe a ripensare i fondamenti stessi della fiducia digitale. E per i CISO che devono proteggere le proprie organizzazioni in questo nuovo ordine multipolare, il tempo per agire non è domani. È adesso.

Fonti e riferimenti:

South China Morning Post – Microsoft abruptly cuts services to Chinese university, genomics firm (aprile 2025)

ProPublica – Microsoft Says It Has Stopped Using China-Based Engineers to Support Defense Department (luglio 2025)

ProPublica – Microsoft Used China-Based Support for Multiple U.S. Agencies (luglio 2025)

ProPublica – Microsoft Failed to Disclose Key Details About Use of China-Based Engineers (agosto 2025)

Bloomberg – Microsoft Curbs Early Access for Chinese Firms to Cybersecurity Flaws (agosto 2025)

Reuters/CNBC – Microsoft scales back Chinese access to cyber early warning system (agosto 2025)

Atlantic Council – Sleight of Hand: How China Weaponizes Software Vulnerabilities (marzo 2025)

Atlantic Council – Digital Sovereignty: Europe’s Declaration of Independence? (gennaio 2026)

Computer Weekly – Microsoft’s ICC email block reignites European data sovereignty concerns (maggio 2025)

The Register – Microsoft cuts off China’s early access to bug disclosures (agosto 2025)

The Register – International Criminal Court dumps Microsoft Office (ottobre 2025)

The Register – Europe gets serious about cutting US digital umbilical cord (dicembre 2025)

CSO Online – Microsoft restricts Chinese firms’ access to vulnerability warnings (agosto 2025)

Wilson Sonsini – US Imposes Export Restrictions on BGI Group Subsidiaries (aprile 2023)

Tech Monitor – Microsoft’s China cloud conundrum (settembre 2025)

Trivium China – Is Microsoft quiet-quitting China? (aprile 2025)

Windows Central – Microsoft restricts Chinese firms over hacking fears (agosto 2025)

EU Institute for Security Studies – Technical is Political: Cloud Certification and European Sovereignty (novembre 2025)

Heise Online – Criminal Court: Microsoft’s email block a wake-up call for digital sovereignty (maggio 2025)

NL Times – Microsoft’s ICC email block triggers Dutch concerns over dependence on U.S. tech (maggio 2025)

U.S. Department of Justice – CLOUD Act Resources

The Conversation – Europe wants to end its dangerous reliance on US internet technology (febbraio 2026)

Recorded Future/The Record – Chinese government lays out new vulnerability disclosure rules (luglio 2021)

CNBC – Microsoft stops relying on Chinese engineers for Pentagon cloud support (luglio 2025)

Microsoft/SecurityWeek – Microsoft Digital Defense Report 2022: China Flaw Disclosure Law Part of Zero-Day Exploit Surge (novembre 2022)

Google TAG/Mandiant – Trends on Zero-Days Exploited In-the-Wild in 2023 (marzo 2024)

Breaking Defense – China’s New Data Security Law Will Provide It Early Notice Of Exploitable Zero Days (settembre 2021)

Amazon Web Services – CLOUD Act Compliance (aggiornato 2026)

https://www.ictsecuritymagazine.com/notizie/weaponization-del-cloud/

A gaming education

Unlike Spencer, who spent years at Microsoft Game Studios before heading Microsoft’s gaming division, Sharma has no professional experience in the video game industry. And her personal experience with Xbox also seems somewhat limited; after sharing her Gamertag on social media over the weekend, curious gamers found that her Xbox play history dates back roughly one month. That’s also in stark contrast to Spencer, who has amassed a score of over 121,000 across decades of play.

In her interview with Variety, Sharma cited 2016’s Firewatch as an example of the kinds of games with “deep emotional resonance” and “a distinct point of view” that she’s looking for from Microsoft. And on social media, Sharma shared her list of the three greatest games ever: “Halo, Valheim, Goldeneye,” for what it’s worth. Sharma also seems to be taking recommendations for games to catch up on; after saying on social media that she would try Borderlands 2, the game appeared in her recently played games over the weekend.

A look at some of Sharma’s recently played Xbox games, as of this writing.

Being a personal fan of video games isn’t necessarily required to succeed in running a gaming company. Nintendo President Hiroshi Yamauchi famously didn’t care for video games even as he launched the Famicom and Nintendo Entertainment System to worldwide success in the 1980s. Still, the lack of direct experience with the gaming world marks a sharp change after Spencer’s long tenure at a time when Microsoft is struggling to redefine the Xbox brand amid cratering hardware sales, a pivot away from software exclusives, and a move to extend the Xbox brand to many different devices.

Xbox President and COO Sarah Bond, who by all accounts was being set up to succeed Spencer, also announced her departure from Microsoft on Friday, ending a nearly nine-year stint as a public face for the company’s gaming efforts. The Verge reports that Bond caused a lot of friction within the Xbox team when she championed the “Xbox Everywhere” strategy and “This is an Xbox” marketing campaign, which focused on streaming Xbox games to hardware like mobile phones and tablets, according to anonymous sources. Shortly before the launch of that campaign in 2024, Microsoft lost marketing executives Jerrett West and Kareem Choudry, leading to significant internal reorganization.

Longtime Xbox Game Studios executive Matt Booty, whose history in the game industry dates back to working for Williams Electronics in the ’90s, has been promoted to executive vice president and chief content officer for Xbox and “will continue working closely with [Sharma] to ensure a smooth transition,” Microsoft said in its announcement Friday.

https://arstechnica.com/gaming/2026/02/new-microsoft-gaming-chief-has-no-tolerance-for-bad-ai/