Il rubinetto invisibile. Dai modelli spenti di Anthropic alle dipendenze cyber che negano all’Europa la sovranità

C’è un modo collaudato per spiegare in fretta che cosa sia una dipendenza strategica, e passa per lo Stretto di Hormuz. Un canale largo trentatré chilometri tra l’Iran e l’Oman, attraverso cui transita tra un quarto e un terzo del petrolio mondiale e circa un quinto del gas naturale liquefatto, che da febbraio è tornato a essere un fronte. L’operazione statunitense e israeliana del 28 febbraio contro l’Iran, e la rappresaglia di Teheran che ha bloccato il traffico, hanno provocato scosse sui mercati globali, costretto l’Agenzia internazionale per l’energia a rilasciare quattrocento milioni di barili l’11 marzo, e riportato l’Europa alla sensazione, già nota dal 2022, di avere il rubinetto della propria energia in mano altrui. A metà giugno, mentre si parlava di un possibile accordo, l’autorità marittima iraniana ha annunciato una nuova chiusura totale fino a ordine contrario. La crisi non è alle spalle, è ancora aperta mentre scriviamo.

Si parte da qui non perché l’energia sia il tema di questo articolo, ma perché è la lente più semplice per mettere a fuoco un tema molto meno discusso e assai più sfuggente. Esiste un secondo rubinetto, invisibile, senza coordinate nautiche, attraverso cui passa una quota crescente del lavoro cognitivo di imprese, amministrazioni e centri di ricerca europei. La sera del 12 giugno anche quel passaggio si è chiuso, per qualche ora e per ordine di un governo straniero, quando Anthropic ha dovuto disattivare i suoi modelli più avanzati, Fable 5 e Mythos 5, su disposizione dell’amministrazione statunitense. La prima chiusura ha riempito le prime pagine. La seconda è passata quasi inosservata. Ed è proprio questa asimmetria di attenzione il vero problema, perché la dipendenza cyber dell’Europa è oggi più profonda, più estesa e meno governabile di quella energetica, e quasi nessuno la tratta con la stessa serietà.

Lo stesso meccanismo, una merce che non si può stoccare

Il parallelo tra Hormuz e i modelli spenti non è una metafora suggestiva, è una identità strutturale. In entrambi i casi una risorsa essenziale transita per un punto di strozzatura unico. In entrambi i casi il controllo di quel punto è in mano a un soggetto terzo, capace di interromperne il flusso per ragioni che con gli interessi europei non hanno nulla a che vedere. In entrambi i casi la decisione viene presa altrove, comunicata senza preavviso e con effetti immediati. Lo stretto lo chiude Teheran per rappresaglia, i modelli li spegne Washington con una direttiva di export control che, secondo quanto riportato da Axios e Reuters, sarebbe stata firmata dal Segretario al Commercio. Cambia il padrone del rubinetto, non cambia la condizione di chi resta a valle.

Qui però l’analogia smette di consolare e comincia a preoccupare, perché la dipendenza cyber è peggiore di quella energetica sotto almeno tre profili. Il primo è la sostituibilità. Il petrolio è una merce fungibile e immagazzinabile, lo si compra da un altro fornitore, lo si stocca in anticipo, lo si attinge da una riserva strategica costruita negli anni buoni. Un modello di frontiera no, non si conserva in un deposito e non lo si rimpiazza in ventiquattro ore, perché ogni sistema ha le proprie interfacce, le proprie dipendenze applicative, i flussi di lavoro costruiti su misura, e perché in Europa non esiste oggi un equivalente realmente comparabile da tenere come scorta. Quando manca il barile, fa male al portafoglio. Quando manca il modello su cui hai costruito un processo, quel processo si ferma e non c’è cisterna da svuotare per rimetterlo in moto.

Il secondo profilo è la provenienza del colpo. La chiusura di Hormuz è un atto ostile e dichiarato, lo si vede arrivare, mobilita governi e opinione pubblica. La disattivazione di un servizio digitale arriva invece dall’interno dell’alleanza, da chi consideriamo un partner, attraverso uno strumento amministrativo che non ha il volto della crisi. Proprio per questo è più insidiosa, non genera allarme, scivola via come un disservizio tecnico passeggero. Il terzo profilo è la pervasività. L’energia alimenta le macchine, il digitale è ormai la macchina, e una dipendenza che attraversa ogni strato dell’infrastruttura non si aggira deviando una rotta o aprendo un oleodotto alternativo.

Una catena di rubinetti, non uno solo

Il caso Anthropic sarebbe un episodio se fosse isolato. Non lo è. È l’ultimo anello di una catena di dipendenze che corre lungo l’intera pila tecnologica europea, e conviene percorrerla strato per strato per capire quanto sia lunga.

Alla base ci sono i semiconduttori e la potenza di calcolo. L’Europa, lo riconosce lo stesso Chips Act nella sua seconda versione, resta dipendente da paesi terzi nella manifattura avanzata e nel design dei chip, e l’addestramento dei modelli di intelligenza artificiale poggia in modo quasi esclusivo sui processori grafici di un unico fornitore americano, a propria volta soggetti alla giurisdizione statunitense sull’export. Significa che il presupposto fisico di qualunque ambizione europea sull’IA, il calcolo, è già sotto controllo regolatorio altrui prima ancora che si scriva una riga di codice.

Sopra il calcolo c’è il cloud, ed è qui che la dipendenza diventa schiacciante. Oltre il settanta per cento del mercato cloud europeo è in mano a hyperscaler extra-UE, ossia Amazon Web Services, Microsoft Azure e Google Cloud. Il nodo non è soltanto la localizzazione fisica dei dati, è la giurisdizione. Il CLOUD Act statunitense impone alle aziende americane di consegnare i dati in loro possesso alle autorità degli Stati Uniti, ovunque essi siano archiviati nel mondo, e nessuna offerta di cloud sovrano riesce a eliminare questa esposizione, come la stessa Microsoft ha ammesso nelle proprie testimonianze in tribunale e in sede parlamentare. È il fenomeno che gli analisti hanno ribattezzato sovereignty-washing, la sovranità di facciata di infrastrutture fisicamente europee ma tecnologicamente e giuridicamente dipendenti, dove aggiornamenti, patch di sicurezza e continuità del servizio restano legati alla collaborazione attiva del fornitore.

Che cosa accada quando quella collaborazione viene meno per ordine politico, lo sappiamo già, e non come ipotesi. Dopo le sanzioni decise dall’amministrazione statunitense nel febbraio 2025 contro il procuratore capo della Corte penale internazionale, Karim Khan, è emerso, secondo quanto riportato dall’Associated Press, che Microsoft avesse disattivato il suo indirizzo di posta istituzionale, costringendolo a migrare verso un provider svizzero. L’azienda, per voce del proprio presidente Brad Smith, ha negato di aver sospeso i servizi alla Corte. Ma il segnale era arrivato lo stesso, tanto che il 31 ottobre 2025 la CPI ha annunciato l’abbandono di Microsoft Office in favore di openDesk, la soluzione open source sviluppata dal centro tedesco per la sovranità digitale della pubblica amministrazione. Il kill switch digitale, l’interruttore con cui un governo straniero può spegnere servizi critici altrui tramite le proprie aziende, ha così smesso di essere uno scenario teorico ed è diventato un precedente documentato. Il caso Anthropic ne è la seconda occorrenza in poco più di un anno, su uno strato ancora più alto e più strategico.

Lo strato applicativo, infine, è quello dove viviamo ogni giorno, i sistemi operativi e le suite di produttività su cui girano interi apparati statali, e su cui regge la lezione più scomoda di tutte. Non serve nemmeno la cattiva volontà di un governo perché la concentrazione faccia danni. È bastato un aggiornamento difettoso di un singolo fornitore americano di sicurezza informatica, nel luglio 2024, per paralizzare in poche ore aeroporti, ospedali, banche ed emittenti in mezzo mondo. Quell’episodio non aveva nulla di geopolitico, era un errore tecnico, e proprio per questo è istruttivo. Se un incidente involontario produce un blocco planetario, una decisione deliberata può fare assai di peggio.

Resilienza, cioè smettere di ragionare con le mappe del Novecento

La parola che l’Europa ha imparato a pronunciare per l’energia è resilienza, e indica una cosa precisa, la capacità di assorbire un’interruzione senza che il sistema collassi. Per il petrolio ha significato riserve, diversificazione, rotte multiple, capacità di ridurre temporaneamente la domanda. Sul terreno cyber la traduzione è altrettanto concreta. Vuol dire potenza di calcolo collocata sotto giurisdizione europea, perché senza data center propri non si addestra e non si fa girare nulla. Vuol dire modelli a pesi aperti su cui mantenere il controllo diretto, da affiancare a quelli proprietari come riserva strategica della conoscenza. Vuol dire interoperabilità e clausole che impongano portabilità e reversibilità, così che il passaggio da un fornitore all’altro non comporti la riscrittura dell’intero processo. Vuol dire, soprattutto, trattare la continuità dei servizi digitali come una questione di sicurezza nazionale e non come una voce di acquisto da affidare al miglior offerente del momento.

Qualcosa, per onestà, si muove. Bruxelles ha varato a giugno 2026 il Pacchetto sulla sovranità tecnologica, lavora al Cloud and AI Development Act dentro l’AI Continent Action Plan, prepara per il 2026 la revisione del Cybersecurity Act con l’occasione di rendere vincolanti i requisiti di sovranità nello schema di certificazione. Sul piano nazionale esistono Gaia-X, le certificazioni francesi come SecNumCloud, la migrazione tedesca verso soluzioni open source, l’esperienza di openDesk. Sono passi reali. Ma procedono a una velocità che mal si concilia con quella di un settore in cui un vantaggio si misura in mesi, e Forrester prevede che nel 2026 nessuna impresa europea abbandonerà davvero del tutto i colossi statunitensi. Il motivo è quello che la politica tende a tacere, ossia che la sovranità costa più della dipendenza, almeno all’inizio. Dipendere da fornitori globali è rischioso ma spesso più economico nel breve periodo, e finché il rischio resta un’ipotesi astratta nessun governo trova conveniente pagarne il prezzo in anticipo.

Ed è precisamente questo il punto su cui i decisori europei, quelli italiani compresi, continuano a sbagliare. Troppi trattano ancora l’intelligenza artificiale e il digitale come un capitolo dell’innovazione, materia per ministeri tecnici e tavoli di settore, mentre sono ormai un fattore di potenza al pari delle riserve energetiche e delle rotte marittime. Ragionano con le mappe del Novecento, in cui la sovranità si misurava in confini, basi e gasdotti, e non si accorgono che il confine decisivo oggi passa dentro un data center e dentro la riga di codice che decide chi può accedere a un modello e chi no. Hormuz è la versione che capiscono, perché parla la lingua nota del petrolio e delle navi. La posta di Khan disattivata e i modelli di Anthropic spenti sono la stessa lezione scritta in una lingua che non hanno ancora voluto imparare.

La crisi energetica del 2022 ci aveva avvertiti, quella di Hormuz del 2026 lo ha ribadito senza margini di equivoco. Sarebbe imperdonabile presentarsi impreparati alla chiamata successiva, quando a chiudersi non sarà uno stretto in Medio Oriente ma l’accesso agli strumenti digitali su cui avremo nel frattempo costruito interi pezzi dello Stato e dell’economia. La resilienza, energetica o cyber, non si improvvisa nel giorno della crisi. Si costruisce, con fatica e con denaro, in tutti i giorni tranquilli che la precedono. Quelli, per la sovranità digitale europea, sono adesso, e stanno passando in fretta.

L’articolo Il rubinetto invisibile. Dai modelli spenti di Anthropic alle dipendenze cyber che negano all’Europa la sovranità proviene da Difesa Online.

C’è un modo collaudato per spiegare in fretta che cosa sia una dipendenza strategica, e passa per lo Stretto di…

L’articolo Il rubinetto invisibile. Dai modelli spenti di Anthropic alle dipendenze cyber che negano all’Europa la sovranità proviene da Difesa Online.