Chiarimento sul CLOUD (Lawful Overseas Use of Data) Act

Riteniamo che i clienti debbano mantenere il controllo dei propri dati. AWS è progettata per essere l’infrastruttura cloud globale più sicura su cui creare, migrare e gestire applicazioni e carichi di lavoro. Ci impegniamo a fornire ai nostri clienti protezioni nell’ambito di privacy e sicurezza leader del settore durante l’utilizzo dei nostri servizi.

AWS ha progettato prodotti e servizi che garantiscono che nessuno, nemmeno gli operatori AWS, possa accedere ai contenuti dei clienti. Possiamo rispondere alle richieste legali di divulgazione dei dati solo laddove abbiamo la capacità tecnica di farlo. I clienti AWS dispongono di una serie di misure tecniche e controlli operativi per impedire l’accesso ai dati. Ad esempio, molti sistemi e servizi principali di AWS sono progettati senza la possibilità di accesso da parte degli operatori, il che significa che i servizi non dispongono di mezzi tecnici per consentire agli operatori AWS di accedere ai dati dei clienti.

AWS Nitro System, che è alla base dei servizi informatici di AWS, usa hardware e software specializzati per proteggere i dati dall’accesso esterno durante l’elaborazione su Amazon Elastic Compute Cloud (Amazon EC2). Fornendo un forte limite di sicurezza fisico e logico, il servizio Nitro è progettato in modo che nessuna persona non autorizzata, nemmeno gli operatori AWS, possa accedere ai carichi di lavoro dei clienti su EC2. Il progetto di Nitro System è stato convalidato da NCC Group, una società indipendente di sicurezza informatica. I controlli che aiutano a impedire l’accesso degli operatori sono così fondamentali per il sistema Nitro che li abbiamo aggiunti nei nostri Termini di servizio di AWS per fornire un’ulteriore garanzia contrattuale a tutti i nostri clienti.

Inoltre, offriamo ai clienti funzionalità e controlli per crittografare i dati, che siano in transito, a riposo o in memoria. Tutti i servizi AWS supportano già la crittografia, e la maggior parte supporta anche la crittografia con chiavi gestite dal cliente che sono inaccessibili ad AWS. I contenuti crittografati sono inutilizzabili senza le chiavi di decrittografia applicabili.

Per ulteriori informazioni sui nostri servizi che non consentono l’accesso zero da parte degli operatori, consulta Accesso per operatori su AWS.

Il CLOUD Act è stato emanato nel marzo 2018 per accelerare la capacità delle forze dell’ordine di ottenere informazioni elettroniche possedute dai provider di servizi nelle indagini su reati gravi, tra cui terrorismo, reati violenti, sfruttamento sessuale di bambini e criminalità informatica. (Vedi le risorse del CLOUD Act nel sito web del Dipartimento di giustizia degli Stati Uniti.) La testimonianza fornita dai funzionari del Dipartimento di giustizia (DOJ) degli Stati Uniti, che hanno sostenuto la legislazione, ha posto l’attenzione del CLOUD Act sulla capacità delle forze dell’ordine di tutto il mondo di richiedere i dati nelle indagini transfrontaliere che coinvolgono reati gravi. (Consulta la testimonianza di Richard Downing, Dipartimento di giustizia, vice procuratore generale, davanti alla Commissione giudiziaria della Camera il 15 giugno 2017.)

Le forze dell’ordine statunitensi possono richiedere i dati dei contenuti dei provider di servizi solo con un mandato autorizzato da un giudice federale indipendente in conformità con le procedure penali statunitensi. Affinché un mandato possa essere emesso ai sensi della legge degli Stati Uniti, un giudice statunitense deve avere un fondato motivo di ritenere che si sia verificato un reato le cui prove saranno trovate nel luogo da perquisire, come specificato dal mandato (vale a dire, i dati in un account digitale specifico come un account di posta elettronica). Questo standard legale deve essere stabilito attraverso fatti specifici e affidabili. Ogni mandato di perquisizione deve superare la rigorosa determinazione del fondato motivo per quanto riguarda fatti, particolarità e legalità attendibili. Il mandato deve essere approvato da un giudice indipendente e deve soddisfare i requisiti relativi all’ambito e alla giurisdizione.

I governi stranieri che richiedono dati ai sensi di un accordo esecutivo del CLOUD Act con gli Stati Uniti devono soddisfare requisiti simili. Il Dipartimento di giustizia ha spiegato che “gli ordini che richiedono dati ai sensi del CLOUD Act devono essere ottenuti legalmente nell’ambito del sistema interno del Paese che richiede i dati; devono essere indirizzati a individui o account specifici; devono avere una giustificazione ragionevole basata su fatti, particolarità, legalità e gravità articolabili e attendibili; e devono essere soggetti a revisione o supervisione da parte di un’autorità indipendente, come un giudice o un magistrato. La raccolta di dati in blocco non è consentita.”

Il Dipartimento di giustizia ha anche emesso una politica nel maggio 2023 secondo cui i pubblici ministeri devono contattare l’Ufficio per gli affari internazionali (OIA) del Dipartimento quando si verifica la necessità di ottenere prove situate in un altro Paese. Richiede che i pubblici ministeri che cercano prove all’estero debbano ottenere l’approvazione dell’Ufficio per gli affari internazionali prima di ottenere un ordine per esigere la divulgazione di tali prove da un provider negli Stati Uniti. La politica del Dipartimento di giustizia sulle prove all’estero prende atto che ogni nazione emana leggi per proteggere la propria sovranità; l’OIA lavora per affrontare questi problemi e assistere i pubblici ministeri nella selezione di un meccanismo appropriato per garantire l’ottenimento delle prove.

A giugno 2025, non ci sono state richieste ad AWS che abbiano comportato la divulgazione di dati di contenuti aziendali o governativi, archiviati al di fuori degli Stati Uniti, al governo degli Stati Uniti da quando abbiamo iniziato a segnalare questa statistica. Questo record riflette le solide protezioni legali all’interno della legge e delle politiche statunitensi implementate dal Dipartimento di giustizia degli Stati Uniti, oltre alle garanzie tecniche offerte da AWS.

La Sezione sulla criminalità informatica e la proprietà intellettuale del Dipartimento di Giustizia ha emesso una guida nel 2017 consigliando ai pubblici ministeri di richiedere i dati a un’azienda, ad esempio una società che archivia i dati presso un provider di servizi cloud anziché presso il provider, in assenza di circostanze particolari. Ciò fornisce importanti indicazioni ai pubblici ministeri per richiedere dati direttamente alle imprese. Quando riceviamo richieste di divulgazione di contenuti aziendali dei clienti, compiamo ogni ragionevole sforzo per reindirizzare le forze dell’ordine verso il cliente e avvisarlo quando legalmente consentito.

No. Il CLOUD Act si applica a tutti i servizi di comunicazione elettronica o ai provider di servizi per l’elaborazione in remoto che operano negli Stati Uniti o hanno sede negli Stati Uniti. Ad esempio, il CLOUD Act è applicabile anche a un provider di servizi cloud con sede nell’UE e operante negli Stati Uniti. OVHcloud, un provider di servizi cloud con sede in Francia che opera negli Stati Uniti, indica nella sua pagina delle domande frequenti sul CLOUD Act che “OVHcloud soddisferà le richieste legittime delle autorità pubbliche. Ai sensi del CLOUD Act, ciò può includere dati archiviati al di fuori degli Stati Uniti.”

Secondo la legge statunitense, le azioni esecutive non possono creare nuove leggi o contraddire le leggi esistenti approvate dal Congresso, come il CLOUD Act.

No. Molti Paesi richiedono la divulgazione dei dati dei clienti ovunque siano archiviati in risposta a procedimenti legali che comportano reati gravi. Questo concetto è racchiuso nella Convenzione di Budapest sulla criminalità informatica, che è stato il primo trattato internazionale volto a migliorare la cooperazione nelle indagini sui crimini informatici. Ad esempio, il Crime (Overseas Production Orders) Act del Regno Unito consente alle forze dell’ordine britanniche di ottenere dati elettronici archiviati al di fuori del Regno Unito in relazione a un’indagine penale. Secondo un documento del 2024 presentato dal Dipartimento di giustizia degli Stati Uniti, le leggi di diversi Stati membri europei, tra cui Belgio, Danimarca, Francia, Irlanda e Spagna, hanno requisiti simili.

Abbiamo procedure molto dettagliate per la gestione delle richieste delle forze dell’ordine provenienti da qualsiasi Paese. Non divulghiamo i dati dei clienti in risposta alle richieste delle forze dell’ordine a meno che non siamo obbligati a farlo da un ordine legalmente valido e vincolante, come ci siamo impegnati pubblicamente nel Supplementary Addendum all’AWS Data Processing Addendum. Quando riceviamo una richiesta delle forze dell’ordine, la esaminiamo attentamente per autenticarne la legittimità e verificare che sia conforme con le leggi applicabili. Quando AWS riceve una richiesta legalmente valida e vincolante di divulgazione di contenuti aziendali dei clienti, AWS compirà ogni ragionevole sforzo per reindirizzare le forze dell’ordine verso il cliente e avvisarlo quando legalmente consentito. AWS contesterà le richieste che sono in conflitto con la legge, sono eccessive o altrimenti inappropriate, come dichiarato pubblicamente nel Supplementary Addendum all’AWS Data Processing Addendum. Se AWS viene obbligata a divulgare i dati dei clienti dopo aver completato questi passaggi e ha la capacità tecnica di farlo, divulgherà solo il minimo necessario per soddisfare la richiesta. Per ulteriori informazioni sul nostro approccio alle richieste delle forze dell’ordine, visita la nostra pagina Law Enforcement Information Requests.

No. Il CLOUD Act non crea alcuna nuova autorità per le forze dell’ordine per obbligare i provider di servizi a decrittografare le comunicazioni.

AWS offre funzionalità e controlli per crittografare i dati, che siano in transito, a riposo o in memoria. Tutti i servizi AWS supportano già la crittografia, e la maggior parte supporta anche la crittografia con chiavi gestite dal cliente che sono inaccessibili ad AWS. I contenuti crittografati sono inutilizzabili senza le chiavi di decrittografia applicabili.

AWS si impegna contrattualmente a rispettare le leggi applicabili sulla protezione dei dati. Ci impegniamo inoltre a contestare qualsiasi richiesta eccessiva o inappropriata da parte di un ente governativo (anche laddove tale richiesta sia in conflitto con le leggi applicabili dell’Unione Europea o con quelle di uno Stato membro).

No. Il CLOUD Act non modifica le leggi locali degli altri Paesi. Al contrario, il CLOUD Act riconosce il diritto dei provider di servizi di contestare le richieste che entrano in conflitto con le legislazioni di altri Paesi o gli interessi nazionali.