Il braccio di ferro tra AGCOM e Cloudflare è molto più di una multa: è il primo stress test su chi controlla la rete nell’era post-DSA
Matthew Prince, CEO di Cloudflare, ha scelto per accompagnare su X la sua dichiarazione di guerra al regolatore italiano un’immagine diventata virale, generata con l’AI.
Un cavaliere medievale che brandisce una bandiera Open Internet, circondato da figure in giacca e cravatta con tratti stereotipicamente mediterranei e gladiatori romani con il nostro Colosseo sullo sfondo. Non sobrio, nemmeno elegante, ma efficace per una certa audience.
La crociata in questione riguarda 14.247.698 euro, la sanzione che AGCOM, l’authority italiana delle comunicazioni, ha notificato a Cloudflare l’8 gennaio scorso per essersi rifiutata di bloccare siti pirata attraverso il proprio resolver DNS 1.1.1.1. Ridurre la vicenda a una multa, per quanto salata, sarebbe come descrivere il blocco di Internet in Iran parlando solo del calo del traffico.
Piracy Shield è il sistema antipirateria italiano lanciato nel febbraio 2024, pensato principalmente per fermare lo streaming illegale delle partite di Serie A. Ricordiamo che la legge ispiratrice è stata votata all’unanimità dai partiti politici. Il meccanismo è brutale nella sua semplicità: i titolari dei diritti segnalano un indirizzo IP o un dominio, e tutti i provider coinvolti, ISP in primis, ma ora anche CDN, hanno 30 minuti per bloccarlo. Non è prevista una verifica preventiva da parte di una terza parte. Nessun contraddittorio e se non si interviene si rischia penalmente.
Da quando è operativo, Piracy Shield ha oscurato oltre decine di migliaia di domini e indirizzi IP.
Ha anche bloccato per errore Google Drive durante una partita di campionato il 19 ottobre 2024, lasciando milioni di italiani senza accesso a documenti di lavoro per circa dodici ore.
Un dettaglio che i sostenitori del sistema tendono a minimizzare e i critici a enfatizzare, ma che fotografa il problema strutturale: Internet non è progettato per essere tagliato a fette nazionali con un preavviso di mezz’ora.
Cloudflare è un colosso: gestisce circa il 20% del traffico web globale. Il suo DNS 1.1.1.1 processa oltre 200 miliardi di richieste al giorno. Quando l’Italia chiede di inserire filtri in quell’infrastruttura, sta chiedendo di modificare un sistema che serve utenti da Tokyo a Toronto. Prince sostiene che è tecnicamente impossibile farlo senza degradare le prestazioni per tutti. AGCOM replica che Cloudflare ha “elevate competenze tecnologiche” e potrebbe trovare una soluzione se solo volesse.
Google, dopo essersi lamentata all’inizio, ha scelto la via della cooperazione, implementando blocchi geograficamente limitati all’Italia. È una soluzione che sta funzionando, ma che Cloudflare rifiuta di adottare per ragioni che vanno oltre la tecnica.
La posta in gioco
Il punto vero è un altro: il precedente. Prince lo ha detto esplicitamente su X, con il tono che gli è consueto. Se Cloudflare accetta di bloccare contenuti su richiesta amministrativa di un’authority italiana, senza supervisione giudiziaria e senza possibilità di appello effettivo, quale governo sarà il prossimo a bussare? La Turchia? L’Egitto? La Russia? La Cina già non ha questo problema: ha costruito la propria Intranet, separata e iper controllata.
È l’argomento più forte di Cloudflare, e anche il più difficile da contestare. La neutralità dell’infrastruttura è ciò che tiene insieme Internet come spazio globale. Nel momento in cui i fornitori di servizi fondamentali iniziano a prendere decisioni su cosa rendere accessibile e cosa no, sulla base di richieste amministrative nazionali, quel modello si incrina.
D’altra parte, esiste un argomento altrettanto valido dalla parte opposta. La pirateria audiovisiva costa all’Italia tra le decine e le centinaia di milioni di euro l’anno(la cifra esatta è complessa da valutare). AGCOM ha rilevato che il 70% dei siti pirata bloccati utilizza servizi Cloudflare. La neutralità diventa complicità, o è solo una comoda interpretazione?
L’Europa guarda
A giugno 2025, la Commissione Europea ha inviato una lettera al governo italiano che suona come un avvertimento diplomatico. Piracy Shield potrebbe non essere conforme al Digital Services Act. I blocchi sono troppo rapidi, le procedure di sblocco troppo lente, le garanzie per i diritti fondamentali insufficienti. Il DSA, nota Bruxelles, “non fornisce una base giuridica per l’emissione di ordini da parte delle autorità amministrative nazionali” con queste modalità.
È un passaggio cruciale. L’Italia si è mossa più velocemente di altri paesi europei nel costruire un sistema di enforcement aggressivo contro la pirateria. Ma quella velocità ha un costo: lo strumento rischia di essere tarato male rispetto al quadro normativo europeo.
Gli ISP italiani, nel frattempo, subiscono il peso operativo del sistema senza compensazione. L’Associazione Italiana Internet Provider ha chiesto un fondo da 9,5 milioni di euro l’anno per coprire i costi di adeguamento. Finora, niente.
Uno studio dell’Università di Twente pubblicato nel settembre 2025 ha quantificato i danni collaterali: oltre 500 siti web legittimi bloccati per errore e più di 7.000 domini complessivamente impattati, con effetti che in media sono durati 320 giorni. Tra le vittime: pagine personali, profili aziendali, hotel, ristoranti, un’officina meccanica, un convento, negozi, uno studio di commercialisti. In un caso, il blocco di un singolo indirizzo IP ha oscurato 325 domini diversi.
Gli IXP
C’è una categoria di attori che osserva questa vicenda con preoccupazione particolare: gli Internet Exchange Point, le infrastrutture neutrali che permettono alle reti di interconnettersi e scambiarsi traffico. Non erogano servizi agli utenti finali, non prendono decisioni su cosa bloccare. Facilitano il funzionamento della rete. E il loro modello di business si basa su un presupposto: la neutralità.
Il nostro Ceo Maurizio Goretti inquadra la questione con la pragmaticità di chi da trent’anni fa funzionare l’infrastruttura e si confronta con l’ecosistema internazionale: “Questa vicenda mette in luce un problema che chi lavora sulle reti conosce bene: Internet non funziona come le frequenze televisive. Non puoi regolarlo a fette geografiche senza creare effetti a catena imprevedibili. La pirateria è un problema reale, e i titolari dei diritti hanno ragioni legittime. Ma la soluzione non può essere uno strumento che genera danni collaterali su scala così ampia e che mette in difficoltà operatori che non hanno alcuna responsabilità nei contenuti che transitano sulle loro reti.”
C’è un punto spesso trascurato nel dibattito. Namex esiste da trent’anni perché siamo neutrali. Riuniamo piccoli ISP e grandi Telco, CDN globali e pubblica amministrazione. La fiducia che i nostri membri ripongono in noi nasce dal fatto che non ci schieriamo. Ma quando la regolamentazione crea asimmetrie, obblighi stringenti per alcuni attori e nessuno per altri, costi operativi senza compensazione, tempi di reazione incompatibili con la complessità tecnica, il sistema si squilibra. E a subire le conseguenze maggiori, spesso, sono i più piccoli. Servono regole, ma servono regole europee. Le forzature nazionali, per quanto animate da buone intenzioni, rischiano di frammentare un ecosistema che funziona proprio perché è interconnesso. L’Italia da sola non può imporre standard a un’infrastruttura globale. Può però contribuire a definirli insieme agli altri paesi europei, coinvolgendo chi quella rete la fa funzionare ogni giorno.
Il nodo che nessuno vuole sciogliere
Al fondo di tutto c’è una domanda che nessuna authority nazionale può risolvere da sola: come si governa un’infrastruttura globale? Internet non funziona come la televisione analogica, dove ogni paese poteva controllare le proprie frequenze. È una rete di reti, costruita sulla cooperazione tra attori che operano su scale e giurisdizioni diverse. Quando l’Italia ordina a Cloudflare di bloccare un indirizzo IP, sta cercando di applicare una logica territoriale a un sistema che quella logica non riconosce. Non è una questione di buona o cattiva volontà: è un problema di architettura.
Il rischio che questa vicenda evidenzia è la frammentazione. Ogni Paese che costruisce il proprio sistema di blocchi, con le proprie regole e i propri tempi, aggiunge un livello di complessità che rende Internet meno efficiente, meno sicuro, meno aperto. È la direzione verso cui ci stiamo muovendo in ordine sparso in Europa. Il 18 febbraio, anche il Tribunale di Parigi ha ordinato a Cloudflare di bloccare 16 domini che piratavano la Premier League, su ricorso di Canal+. Ordini giudiziari mirati contro gli intermediari infrastrutturali. Non è Piracy Shield, ma il risultato pratico converge.
Cosa succede adesso
Mentre su X volavano immagini AI di cavalieri e accuse di censura, i tribunali italiani hanno fatto quello che sanno fare: applicare il diritto. Con tempi e liturgie diverse da quelle di Piracy Shield.
Il 3 dicembre 2025, il Tribunale di Milano ha accolto un ricorso d’urgenza di Medusa Film e Indiana Production per proteggere “Buen Camino” di Checco Zalone, la cui locandina era già comparsa su Streaming Community prima ancora dell’uscita in sala. Il giudice ha ordinato a Cloudflare di bloccare 31 siti pirata. Non attraverso Piracy Shield, ma con un’ordinanza, come in Francia e in Spagna per la Liga.
Poche settimane dopo, la Sezione Specializzata Impresa dello stesso tribunale ha accolto integralmente il reclamo della Lega Serie A. Una sentenza che Il Sole 24 Ore ha definito “storica”. Cloudflare non è più un semplice intermediario neutrale: è un fornitore di servizi “attivo e consapevole”. La novità tecnica più rilevante è il meccanismo dinamico: Cloudflare deve bloccare anche le varianti future dei domini, alias, cambi di estensione, prefissi numerici, senza bisogno di un nuovo provvedimento ogni volta. È la risposta al domain hopping, la pratica con cui i siti pirata ricompaiono il giorno dopo con un indirizzo leggermente diverso. Due giorni lavorativi per intervenire, poi scattano le penali.
A metà febbraio, Cloudflare ha iniziato a bloccare. Gli utenti italiani che provano ad accedere ai siti coinvolti vedono una pagina di errore 451, con i dettagli del provvedimento del Tribunale di Milano. Il commissario AGCOM Capitanio ha esultato: “È la chiara dimostrazione che la narrativa di queste settimane è completamente fuori fuoco. Cloudflare ha i mezzi tecnici, li ha sempre avuti.”
Ha ragione, ma solo a metà. Cloudflare blocca su ordine di un giudice, non su segnalazione automatica di Piracy Shield. La distinzione può sembrare sottile, ma è il cuore della questione. Un’ordinanza del tribunale implica supervisione giudiziaria, contraddittorio, possibilità di impugnazione. Piracy Shield no. Diamo a Prince quel che è di Prince: non ha mai detto che non avrebbe collaborato con la giustizia italiana. Ha detto che non avrebbe aderito a un sistema che considera illegittimo, per cui fa ricorso al Tar del Lazio contro la multa milionaria che, secondo Cloudflare, supera di cento volte il tetto previsto dal DSA.
La soluzione più ragionevole sarebbe quella che nessuna delle parti sembra voler prendere in considerazione: sedersi a un tavolo tecnico e trovare un compromesso. Blocchi geograficamente limitati, procedure di verifica più rigorose, tempi di sblocco più rapidi, compensazione per gli operatori che sostengono i costi. Non è un’ipotesi campata in aria: è quello che la Commissione Europea ha suggerito nella sua lettera di giugno.
Il compromesso richiede che entrambe le parti rinuncino a qualcosa. Cloudflare dovrebbe accettare di cooperare con un sistema che considera illegittimo. L’Italia dovrebbe ammettere che Piracy Shield, nella sua forma attuale, ha problemi strutturali. Nessuna delle due cose sembra imminente. Nel frattempo, gli utenti italiani continuano a usare Internet senza sapere che sotto la superficie è in corso una battaglia che potrebbe ridefinire come funziona la rete nel loro paese. E forse non solo nel loro.
— Di Christian Cinetto, Responsabile Comunicazione e contenuti di Namex
