Il 12 giugno il Dipartimento del Commercio degli Stati Uniti ha ordinato ad Anthropic di sospendere immediatamente l’accesso ai modelli Fable 5 e Mythos 5 per tutti i cittadini stranieri, dentro e fuori dagli Stati Uniti.
Anthropic, non potendo di fatto filtrare gli utenti in base alla nazionalità, si è vista quindi costretta a disattivare l’accesso a entrambi i modelli per tutti, indistintamente, a soli tre giorni dal lancio commerciale dei nuovi, superpotenti, Frontier Model.
Per le aziende e le pubbliche amministrazioni europee che avevano integrato questi strumenti nelle proprie pipeline, l’effetto è stato immediato: API che da un’ora all’altra restituivano errori e progetti bloccati senza alcun preavviso.
Un episodio che, al di là della sua portata tecnologica, riporta al centro un tema su cui si discute da anni più sul piano dei principi che su quello degli strumenti concreti: la sovranità digitale. E che oggi, a differenza di qualche anno fa, dispone di un framework della Commissione Europea per essere misurata in modo oggettivo.
Indice degli argomenti
Cosa è successo: lo stop a Fable 5 e Mythos 5
Per capire perché il caso riguardi direttamente la sovranità digitale europea, occorre ricostruire la cronologia degli eventi e le motivazioni dichiarate da Washington.
La direttiva Lutnick
Il 9 giugno 2026 Anthropic aveva presentato Fable 5, la versione pubblica con guardrail rafforzati del suo modello di frontiera di punta, e Mythos 5, la versione più avanzata riservata a un gruppo selezionato di partner nell’ambito del programma Glasswing.
Tre giorni dopo, il Segretario al Commercio Howard Lutnick ha firmato una direttiva di export control che imponeva la sospensione dell’accesso a entrambi i modelli per qualsiasi cittadino straniero, inclusi i dipendenti non statunitensi della stessa Anthropic. Secondo quanto riportato dalla piattaforma digitale di news online Axios, l’amministrazione aveva già tentato senza successo di convincere l’azienda a rimandare il lancio.
Il presunto jailbreak
Alla base della direttiva ci sarebbe la segnalazione, secondo lo scoop di Axios, di un’azienda terza che avrebbe individuato un metodo per aggirare le protezioni di sicurezza di Fable 5. Anthropic ha confermato di aver ricevuto solo prove verbali e ha contestato la portata della scoperta, definendola relativamente minore e non rappresentativa di un “jailbreak universale”.
L’azienda ha sostenuto che applicare questo standard all’intero settore equivarrebbe a una moratoria di fatto su ogni nuovo modello di frontiera e ha definito l’intera vicenda un “malinteso”, impegnandosi a ripristinare l’accesso il prima possibile.
Gli effetti collaterali per gli utenti europei
Il punto più rilevante per chi opera in Europa non è la disputa tecnologica in sé, ma il suo effetto collaterale: l’impossibilità per Anthropic di distinguere gli utenti in base alla loro nazionalità ha trasformato un provvedimento che sulla carta doveva colpire solo i cittadini stradieri in un blocco digitale universale dell’accesso al modello di punta dello specialista di AI.
Centinaia di aziende europee che avevano già costruito processi su quegli strumenti si sono trovate, da un momento all’altro, senza preavviso e senza alcuna possibilità di intervento, private di un servizio su cui avevano investito.
Perché questo caso riguarda la sovranità digitale europea
Al di là della cronaca, l’episodio mostra in modo concreto cosa significhi dipendere da un’infrastruttura tecnologica governata da una giurisdizione terza e perché la localizzazione dei dati da sola non basti più a definire la sovranità.
I limiti di una sovranità puramente “geografica”
Per anni la domanda chiave sulla compliance cloud è stata: dove sono ubicati i server che gestiscono i miei dati? Il caso Fable 5 e Mythos 5 dimostra che questa considerazione, da sola, non è più dirimente.
Un servizio può rispettare ogni requisito formale di localizzazione dei dati e restare comunque esposto a una decisione presa altrove, perché il controllo reale non riguarda solo “dove” risiedono le informazioni, ma anche (e soprattutto) “chi” è titolato a esercitare i diritti su quelle informazioni e può, in qualsiasi momento, interrompere l’accesso al servizio che le elabora.
L’architettura a due livelli della governance USA sull’AI
Il quadro regolatorio statunitense sull’AI si muove su due piani distinti. Il primo è l’ordine esecutivo del 2 giugno 2026, costruito sulla collaborazione volontaria tra industria e governo, con una clausola che esclude esplicitamente la creazione di un regime di licensing obbligatorio.
Il secondo è l’Export Control, attivabile in modo unilaterale tramite una semplice direttiva del Segretario al Commercio, senza necessità di un processo pubblico di contestazione. Si tratta di provvedimenti applicabili in qualsiasi momento per ragioni di sicurezza nazionale, per impedire che tecnologie avanzate (come l’Intelligenza Artificiale, componenti aerospaziali o materiali nucleari) finiscano nelle mani di soggetti ostili o Paesi sotto embargo USA.
Il caso Fable 5 mostra che è quest’ultimo strumento, normalmente associato a chip e tecnologie militari, ad avere oggi un impatto diretto e immediato sulla continuità dei servizi digitali anche per le aziende europee.
Il framework SEAL della Commissione Europea: come si misura la sovranità
Le aziende oggi si trovano sempre più spesso a farsi domande che riguardano il grado di indipendenza tecnologica delle proprie infrastrutture.
Quali fornitori di servizi cloud garantiscono davvero la sovranità digitale europea? Quanto è effettiva, e non solo formale, la protezione dei dati contro interferenze straniere? Un servizio cloud è realmente sotto il controllo legale e strategico dell’UE? Quali sono i rischi concreti di dipendenza da provider extra-UE? Come si può verificare oggettivamente il livello di autonomia strategica di un servizio cloud?
Per dare una risposta concreta questi quesiti, la Commissione Europea ha introdotto uno strumento di misurazione oggettivo della sovranità digitale: i livelli SEAL, già applicati al procurement cloud delle istituzioni UE.
I cinque livelli, da SEAL-0 a SEAL-4
Il Cloud Sovereignty Framework (versione 1.2.1), pubblicato nell’ottobre 2025 dalla direzione generale dei servizi digitali della Commissione Europea, introduce un sistema di valutazione basato sui SEAL (acronimo di Sovereignty Effectiveness Assurance Levels): una scala ordinale da 0 a 4 che misura quanto sia effettiva, e non solo formale, la sovranità digitale di un servizio cloud.
Al livello SEAL-0 tecnologia, operazioni e controllo societario sono interamente in mano a soggetti non europei, senza alcuna protezione reale per i dati.
Il SEAL-1 descrive una sovranità giurisdizionale solo formale. Il diritto europeo si applica sulla carta, ma il provider resta sotto controllo esclusivo di una parte terza non UE, come nel caso tipico di un server fisicamente in Irlanda gestito da una società statunitense, dove normative come il Cloud Act statunitense e la FISA 702 continuano comunque ad applicarsi.
Il SEAL-2 (sovranità sui dati) è il livello in cui rientrano molte delle soluzioni di cloud sovrano annunciate dai grandi hyperscaler: strutture formalmente europee ma con dipendenze strutturali sui vendor americani.
Il SEAL-3 (resilienza digitale), indica una situazione in cui il diritto UE è pienamente applicabile e le dipendenze extra-UE sono marginali.
Il SEAL-4 (piena sovranità digitale), rappresenta l’equivalente di un’infrastruttura cloud interamente europea per hardware, software, operatività e governance, senza dipendenze critiche da soggetti non UE.
Le otto dimensioni della sovranità (SOV-1 a SOV-8)
L’elemento che rende il framework SEAL operativamente rilevante è che i livelli non si applicano al provider nel suo complesso, ma separatamente rispetto a 8 obiettivi definiti (Sovereignty Objectives), ciascuno con un proprio peso nella valutazione finale.
La Strategic Sovereignty (che ha un peso del 15%) riguarda chi controlla effettivamente la società e il suo capitale. La Legal & Jurisdictional Sovereignty (10%) valuta l’esposizione a normative extraterritoriali come il Cloud Act. La Data & AI Sovereignty (10%) misura il controllo crittografico sui dati e la governance dei modelli AI utilizzati.
L’Operational Sovereignty (15%) verifica se gli operatori del servizio sono esclusivamente europei. La Supply Chain Sovereignty, che pesa per il 20%, il valore più alto di tutti, riguarda la provenienza di chip, server e firmware. Questo significa che anche un hypervisor europeo i cui servizi cloud girano su processori o componenti extra-UE vedrà abbassare la sua valutazione. La Technology Sovereignty (15%) valuta l’apertura delle API e la dipendenza da ecosistemi di calcolo controllati da soggetti terzi.
La Security & Compliance Sovereignty (10%) riguarda la giurisdizione del SOC e la verificabilità delle certificazioni. L’Environmental Sustainability (5%) chiude il quadro con i criteri di efficienza energetica e circolarità.
SEAL come soglia, Sovereignty Score come ranking
Il framework distingue due meccanismi complementari.
Il SEAL funziona come una soglia di pass/fail: ogni bando fissa un livello minimo richiesto per ciascuno dei SOV e se un provider non lo raggiunge anche su un solo obiettivo viene escluso, indipendentemente dalla performance sugli altri. Non è prevista alcuna compensazione tra dimensioni diverse.
Il Sovereignty Score, invece, è un ranking: tra i provider che hanno superato tutte le soglie, viene calcolato un punteggio complessivo ponderato sui pesi degli otto SOV, che concorre al criterio di aggiudicazione finale.
Il framework non è teorico: nell’ottobre 2025 la Commissione lo ha applicato al Sovereign Cloud Tender, una gara da 180 milioni di euro per i servizi cloud delle istituzioni europee, parte del più ampio Cloud III Dynamic Purchasing System da 1,2 miliardi di euro.
Cosa cambia per le aziende e le istituzioni europee
Se il framework SEAL nasce per il procurement pubblico, le sue implicazioni si estendono rapidamente all’intera filiera tecnologica privata, ridefinendo le domande da porre ai propri fornitori.
L’effetto a cascata sulla supply chain tecnologica
Il meccanismo funziona in modo simile a quanto già previsto dalle certificazioni ISO 27001 per i fornitori o dall’articolo 21 della NIS2 sulla gestione del rischio di filiera, con l’aggiunta di una dimensione nuova: non solo sicurezza tecnica, ma sovranità giuridica.
Un provider che vuole mantenere la propria qualificazione SEAL deve imporre requisiti analoghi ai propri subfornitori. Il data center deve documentare la provenienza dell’hardware, il SOC deve dimostrare la giurisdizione delle proprie operazioni e ogni vendor di firmware o chip non europeo entra nell’equazione, contribuendo ad abbassare il punteggio della valutazione finale.
Le domande da porre ai provider di servizi cloud e AI
Il caso Fable 5 e Mythos 5 suggerisce che la domanda da porre ai propri fornitori non è più solo “dove sono i server”, ma “a che livello SEAL siete”, obiettivo per obiettivo, e con quali evidenze.
Per un’organizzazione europea, questo significa essere in grado di rispondere a una domanda molto semplice ma complessa al tempo stesso. Quanta parte del proprio stack tecnologico continuerebbe a funzionare il giorno dopo una decisione presa sotto un’altra giurisdizione? Il framework SEAL non risolve questa dipendenza, ma per la prima volta offre uno strumento per misurarla, documentarla e, dove necessario, ridurla in modo graduale.
Partecipa alla community