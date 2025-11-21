Il 18 novembre 2025 non è saltato “Internet”, ma qualcosa che gli si avvicina molto. Poco dopo le 8:30 (CET) una parte consistente della rete globale ha iniziato a mostrare sintomi inequivocabili: pagine non raggiungibili, errori 500, servizi instabili, portali di login inaccessibili. Nel giro di pochi minuti X, Spotify, Canva, servizi bancari, siti di e-commerce e persino ChatGPT — uno degli strumenti più resilienti della stagione attuale — hanno iniziato a rallentare o bloccarsi. Il punto di contatto è apparso subito chiaro: Cloudflare, Inc. , uno dei principali operatori mondiali per sicurezza, CDN e performance web, stava gestendo un incidente su larga scala. Un blackout infrastrutturale che ha confermato quanto l’ecosistema digitale contemporaneo dipenda da pochissimi provider, divenuti nodi critici della continuità operativa globale. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale , disponibile su Shop Maggioli e su Amazon , e, per la formazione del professionista, il Master in Cybersecurity e compliance integrata .

La ricostruzione preliminare fornita da Cloudflare nelle prime comunicazioni parla di uno spike di traffico anomalo sulla rete, sufficiente a generare internal server errors a cascata e rallentamenti estesi. L'anomalia è stata classificata come incidente interno e non come attacco informatico. Il dato interessante è che, durante l'evento, anche lo stesso portale di status di Cloudflare risultava difficilmente raggiungibile , un segnale sempre indicativo di un problema non localizzato ma sistemico. La progressiva normalizzazione del servizio ha richiesto circa un'ora: Cloudflare ha comunicato di aver "deployato una correzione", avvertendo tuttavia che si sarebbero potuti verificare "tassi di errore superiori alla norma" nelle ore successive. Si tratta di un tempo brevissimo se confrontato con la complessità del sistema, ma lunghissimo per aziende e PA che si affidano a queste infrastrutture come punto unico di mediazione digitale.

Cloudflare non è un semplice fornitore: è un intermediario strutturale , presente tra il server origin e l’utente finale. Gestisce CDN, bilanciamento del traffico, firewall, DDoS mitigation, DNS. È l’ossatura su cui si reggono milioni di servizi. Una delle conseguenze inevitabili è che, quando Cloudflare inciampa, inciampa anche una porzione significativa di Internet. Un single-point-of-failure de facto , anche se non dichiarato. L’incidente del 18 novembre ha reso evidente la pericolosa asimmetria tra la complessità della rete e il numero limitato di soggetti che la tengono in piedi: Amazon AWS, Microsoft Azure, Google Cloud, Cloudflare e pochi altri.

4. Impatti giuridici: resilienza, responsabilità e obblighi organizzativi



Spostandoci sul terreno del diritto, il blackout Cloudflare offre un caso perfetto per riflettere su resilienza, affidabilità dell’infrastruttura e responsabilità dei fornitori.



4.1. GDPR e misure di sicurezza (art. 32)

Un’interruzione del servizio non è, di per sé, una violazione dei dati personali. Ma può diventarlo se incide sui principi di integrità e disponibilità. L’obbligo per titolari e responsabili consiste nell’adottare misure tecniche e organizzative adeguate, che includono:

piani di continuità operativa,

misure per ridurre la dipendenza da un solo provider,

contratti che prevedano livelli minimi di disponibilità,

test periodici (quelli veri, non i PDF che nessuno legge).

Il punto cruciale è proprio qui: quanto un’azienda italiana, piccola o grande, era preparata a un blackout globale di Cloudflare?

Per la maggior parte, la risposta è: pochissimo.



4.2. Responsabilità contrattuale e SLA

Gli SLA dei provider spesso prevedono percentuali di uptime eccellenti (99,9% e oltre). Ma è nelle clausole di esclusione che si gioca la partita: molti incidenti vengono tollerati come “circostanze straordinarie” o “traffico imprevisto”.

L’incidente del 18 novembre riapre la discussione su:

adeguatezza degli SLA,

limiti del rimborso economico,

responsabilità indiretta verso gli utenti finali,

doveri di sorveglianza del cliente sull’outsourcing.

È un terreno ancora poco battuto nei contenziosi italiani, ma destinato a diventarlo.



4.3. PA e soggetti critici: obblighi di continuità operativa

Le pubbliche amministrazioni e gli operatori di servizi essenziali (oggi regolati anche da NIS2) hanno obblighi di continuità molto più stringenti.

Appoggiarsi a provider globali è spesso necessario, ma l’incidente dimostra che una dipendenza non pianificata può compromettere servizi essenziali anche per pochi minuti, con effetti imprevedibili.