Il caso OVHcloud contro l’ordine di produzione emesso dalla Corte di giustizia dell’Ontario rappresenta una cesura paradigmatica nel diritto delle nuove tecnologie e, più in profondità, nella costruzione giuridica della sovranità digitale.

Quanto successo, infatti, mostra in forma plastica come la geografia normativa non coincida più con la geografia fisica dei server ma con una trama di giurisdizioni sovrapposte, spesso confliggenti, nelle quali gli operatori globali del cloud diventano il luogo stesso dello scontro tra ordinamenti statali.

Il caso OVHcloud e il conflitto normativo

Ripercorrendo il presupposto materiale della controversia emerge come la Royal Canadian Mounted Police, nell’ambito di un’indagine penale per reati gravi, ottiene nel 2024 un “Production Order” ai sensi della sezione 487.014(1) del Codice penale canadese, volto a ottenere dati di abbonato e metadati di connessione relativi a quattro indirizzi IP ospitati su infrastrutture OVHcloud situate in Francia, Regno Unito e Australia: dati tecnicamente gestiti dalla capogruppo francese OVH Group SA e non accessibili alla controllata canadese di Montréal, Hebergement OVH Inc..

Nonostante tale assetto societario e tecnico, la Corte dell’Ontario, con decisione del 25 settembre 2025, afferma che la società madre francese sia soggetta alla giurisdizione canadese in ragione della sua “presenza virtuale”, ossia del fatto che offre servizi sul mercato canadese.

E in questa chiave pretende, quindi, che l’obbligo di consegna dei dati segua il raggio d’azione economico dell’impresa, prescindendo dalla localizzazione fisica delle infrastrutture e dalla segmentazione delle entità giuridiche del gruppo.

È proprio in questa torsione concettuale che si situa il nucleo problematico della vicenda: il diritto penale e processuale canadese viene proiettato, per via interpretativa, oltre i confini statali, fino a imporsi su dati custoditi in Stati terzi, in assenza di un fondamento convenzionale specifico e in aperta tensione con le norme interne di quegli Stati.

In primis la loi de blocage francese n. 68-678 del 1968, rafforzata nel 2022, la quale vieta ai soggetti francesi di trasmettere direttamente ad autorità straniere informazioni economiche sensibili al di fuori dei canali di cooperazione ufficiale, prevedendo sanzioni penali fino a sei mesi di reclusione e 90.000 euro di ammenda per ciascuna violazione.

Il “doppio vincolo confliggente”

Ne deriva, pertanto, la classica situazione del “doppio vincolo confliggente”: ove OVHcloud ottemperi all’ordine canadese, violerebbe il diritto penale francese e ove, al contrario, si allinei alle prescrizioni del proprio legislatore nazionale, incorrerebbe nel contempt of court in Ontario, con il corollario di sanzioni pecuniarie, interdittive e potenzialmente reputazionali sul mercato nordamericano.

Questa dialettica non è affatto nuova nella storia del diritto transnazionale, ma il suo trapianto nel dominio del cloud computing e in particolare in un contesto in cui sono disponibili strumenti di cooperazione giudiziaria classici, ne acuisce la valenza sistemica.

A fronte delle lettere del SISSE (Service de l’Information Stratégique et de la Sécurité Économiques) e del Ministero della Giustizia francese, che ribadiscono l’illiceità di qualunque consegna diretta e offrono una “elaborazione accelerata” di una rogatoria internazionale per ottenere gli stessi dati, il rifiuto delle autorità canadesi di passare per i trattati di mutua assistenza legale sembra configurare non tanto una lacuna dello ius cooperationis quanto una scelta consapevole di testare i limiti dell’estraterritorialità mediante l’uso creativo degli strumenti interni di investigazione.

Una lettura giuridica del caso OVHcloud

Dal punto di vista del diritto internazionale generale e del diritto internazionale privato, la vicenda, posta in questi termini, solleva quindi almeno tre ordini di questioni:

1. In primo luogo, il principio – ripetutamente affermato anche dalla giurisprudenza canadese – secondo cui le leggi penali e processuali di uno Stato non producono effetti extraterritoriali se non nei casi in cui il legislatore l’abbia previsto in modo espresso, principio che trova radici nel rispetto della sovrana eguaglianza degli Stati e nella dottrina della comity, appare quanto meno messo in tensione da un’interpretazione dell’istituto dell’ordine di produzione che consente di raggiungere un soggetto stabilito interamente all’estero, privo di presenza corporea nel territorio, sulla sola base di un nesso economico con la controllata canadese.
2. In secondo luogo, l’idea stessa di “sovranità digitale” europea rischia di rivelarsi una costruzione fragile se, accanto ai ben noti rischi derivanti dal CLOUD Act statunitense, si afferma una prassi per cui anche Stati terzi, in quanto partner commerciali o destinatari dei servizi di un cloud provider europeo, possono pretendere accesso diretto a dati conservati in Europa, aggirando il filtro dei meccanismi convenzionali e delle garanzie poste, ad esempio, dall’art. 48 GDPR, che vieta in linea di principio la comunicazione di dati personali a un’autorità pubblica di un Paese terzo in assenza di un accordo internazionale o di un’altra base giuridica riconosciuta dall’ordinamento dell’Unione.
3. In terzo luogo, sul piano dell’architettura complessiva dell’enforcement penale nello spazio digitale, il caso OVHcloud accentua la tendenza, già visibile in alcune legislazioni, a sostituire la logica cooperativa dell’assistenza giudiziaria con una logica competitiva di proiezione unilaterale della propria giurisdizione sulle infrastrutture informazionali altrui, in nome dell’effettività dell’azione repressiva e della rapidità di acquisizione della prova digitale: ma una simile traiettoria, se generalizzata, conduce inevitabilmente a un “iper-giurisdizionalismo” in cui ogni Stato, sulla base di criteri come la mera accessibilità dei servizi sul proprio territorio, si arroga il potere di comandare a distanza l’esibizione di dati ovunque custoditi, generando un groviglio di obblighi incompatibili che mina la certezza del diritto per gli operatori e, in ultima analisi, l’affidabilità stessa del cloud come infrastruttura globale di fiducia.

Una crisi profonda dell’autonomia strategica digitale europea

Ecco il motivo per il quale si rende allora necessario cogliere in questa vicenda non solo la sofferenza di un provider intrappolato tra due leggi, ma il segnale di una crisi più profonda dei modelli giuridici su cui si è finora retta la promessa europea di “autonomia strategica digitale”.

Il marketing della “sovranità dei dati”, spesso costruito sull’assunto che il semplice ospitare i dati in data center europei e servirsi di un fornitore di matrice continentale basti a schermarli dalle pretese di Stati terzi, viene smentito da una realtà in cui ciò che conta non è tanto la latitudine del server quanto il fascio di giurisdizioni cui il gruppo societario è esposto, in virtù delle sue presenze commerciali, delle sue catene di controllo e della sua integrazione in mercati extra-UE.

La risposta non può consistere, sul piano giuridico, nella sola proliferazione di blocking statutes nazionali, che rischiano di avere una funzione essenzialmente simbolica e di spostare sui privati il costo del conflitto tra ordinamenti, imponendo scelte tragiche fra violare una legge o l’altra.

Infatti, se da un lato tali norme esprimono la legittima volontà degli Stati europei di presidiare le proprie politiche economiche e di sicurezza, dall’altro mostrano tutta la loro insufficienza quando si trovano di fronte a giudici stranieri disposti a considerarle alla stregua di semplici ostacoli interni, non vincolanti a livello internazionale.

In definitiva, la vera arena nella quale questo tipo di controversie dovrebbe trovare composizione è quella, ancora largamente inadeguata, degli strumenti pattizi multilaterali o bilaterali specificamente concepiti per la prova digitale transfrontaliera, sul modello della Convenzione di Budapest sul cybercrime e dei più recenti negoziati ONU in materia di reati informatici.

Oppure, su scala regionale, di intese fra UE e Paesi terzi che disciplinino in modo chiaro quando e come un’autorità possa rivolgersi direttamente a un fornitore stabilito nell’altra giurisdizione.

Il caso OVHcloud: un importante interrogativo per il legislatore UE

Al contempo, sul piano interno europeo, casi come quello di OVHcloud dovrebbero indurre il legislatore dell’Unione a interrogarsi con maggiore coraggio sul rapporto fra i principi proclamati nelle strategie per il decennio digitale, nei programmi per il cloud europeo e nei regolamenti sul dato (si pensi al Data Governance Act e al Data Act) e la realtà di un ecosistema in cui gli stessi operatori europei sono inevitabilmente soggetti a richieste provenienti da Stati terzi.

Ciò potrebbe tradursi, ad esempio, in una più incisiva disciplina europea della reazione alle richieste extraterritoriali, che armonizzi e renda effettivo l’art. 48 GDPR, rafforzi i poteri delle autorità di controllo nel supportare le imprese coinvolte e, se del caso, preveda contromisure coordinate quando un partner internazionale faccia sistematico ricorso a ordini di produzione in conflitto con il diritto dell’Unione.

In assenza di tale livello di risposta, il rischio è quello di una frammentazione difensiva: i singoli provider, per proteggersi, potrebbero ricorrere sempre più a soluzioni tecniche come l’encryption “hold your own key” o la compartimentazione radicale delle infrastrutture, trasformando la promessa di un cloud interoperabile e aperto in una costellazione di “silos” giuridico-tecnologici dove la portabilità dei dati, la continuità del servizio e l’innovazione risentono della necessità di anticipare ogni possibile conflitto di leggi.

Una governance coerente e condivisa per l’era cloud

È proprio in questa tensione fra esigenza di efficacia investigativa, tutela dei diritti fondamentali alla protezione dei dati e alla riservatezza, integrità della sovranità digitale e prevedibilità per gli operatori economici che il caso OVHcloud assume, dunque, il valore di cartina di tornasole.

Non un incidente isolato, ma un banco di prova della maturità del diritto internazionale e del diritto dell’Unione nel governare la dimensione extraterritoriale del potere di accesso ai dati e, per ciò stesso, un invito a ripensare criticamente l’illusione per cui basti cambiare il fornitore o la latitudine di un data center per sottrarsi alle pretese di Stati terzi, senza ricostruire, a monte, un ordine giuridico più coerente e condiviso per l’era del cloud globale.