L’Italia ha inflitto a Cloudflare una multa da 14 milioni di euro per aver rifiutato di bloccare siti pirata entro 30 minuti, innescando uno scontro che rivela le profonde contraddizioni tra legislazioni nazionali e la natura globale della rete. Il CEO Matthew Prince ha definito il sistema italiano “disgustoso” e minacciato di ritirare le protezioni cyber dalle Olimpiadi 2026. Ma oltre le polemiche, questa vicenda solleva questioni fondamentali che i pionieri della rete libera avevano previsto decenni fa: cosa succede quando lo Stato cerca di controllare un’infrastruttura che non riconosce confini?
Il Piracy Shield, nato nel 2023 per combattere lo streaming illegale delle partite di Serie A, è diventato il simbolo perfetto di una legge mal concepita.
Non difende la pirateria chi critica questo sistema (io): difende i principi architetturali che hanno reso Internet lo strumento di progresso più democratico della storia umana.
Di seguito voglio esprimere un’analisi tecnica e non politica della vicenda.
La multa che ha scatenato la polemica
Il 29 dicembre 2025, l’AGCom ha approvato una sanzione di €14.247.698,56 contro Cloudflare, circa l'1% del fatturato globale dell’azienda. L’accusa: non aver ottemperato all’ordine 49/25/CONS di febbraio 2025, che richiedeva il blocco di oltre 15.000 domini e indirizzi IP segnalati come fonti di contenuti pirata. La commissaria Elisa Giomi è stata l’unica a votare contro.
La risposta di Matthew Prince su X il 9 gennaio 2026 non ha lasciato spazio a diplomazie:
“Ieri un organo quasi-giudiziario in Italia ha multato Cloudflare di 17 milioni di dollari per non essersi piegata al loro schema di censura di Internet. Lo schema, che perfino l’UE ha definito preoccupante, ci richiedeva di censurare completamente da Internet qualsiasi sito che una cabala oscura di élite mediatiche europee ritenesse contrario ai propri interessi.”
Prince ha poi minacciato di ritirare i servizi gratuiti di cybersecurity per le Olimpiadi Milano-Cortina 2026 e di rimuovere tutti i server da Roma e Milano. “Play stupid games, win stupid prizes”, ha concluso.
Come funziona il Piracy Shield e perché fallisce tecnicamente (e non solo)
Il sistema opera con una semplicità brutale: i titolari dei diritti (Serie A, DAZN, Sky) segnalano domini e IP sulla piattaforma AGCom, e tutti i provider italiani, ISP, VPN, resolver DNS pubblici, devono implementare il blocco entro 30 minuti. Nessuna verifica giudiziaria preventiva, nessun contraddittorio.
Vale la pena soffermarsi su questo punto, perché è il cuore del problema. Soggetti privati (non magistrati, non forze dell’ordine, non autorità giudiziarie) possono inserire qualsiasi indirizzo IP o nome a dominio in una piattaforma, e nel giro di trenta minuti quella risorsa deve diventare inaccessibile su tutto il territorio nazionale. Nessun giudice valuta la fondatezza della segnalazione. Nessun tecnico verifica se quell’IP ospita anche altri servizi. Nessuno avvisa il proprietario del sito. Nessuno può opporsi prima del blocco. In uno stato di diritto, il sequestro di un bene richiede l’intervento di un magistrato. Qui parliamo di rendere inaccessibili risorse digitali, potenzialmente critiche per aziende, scuole, ospedali, sulla base della segnalazione unilaterale di un privato con interessi economici diretti.
Dalla sua attivazione nel febbraio 2024, il Piracy Shield ha bloccato oltre 65.000 domini e 14.000 indirizzi IP. E già questo dovrebbe far capire che c’è qualcosa che non quadra. Ma i numeri nascondono una verità tecnica scomoda: il sistema non può distinguere tra risorse “univocamente” utilizzate per la pirateria e infrastrutture condivise.
Non sono mancati blocchi errati di servizi legittimi, come CDN, piattaforme cloud e persino siti governativi. Il 19 ottobre 2024, Google Drive è stato bloccato per oltre 12 ore in tutta Italia durante Juventus-Lazio, dopo che DAZN aveva segnalato erroneamente il dominio drive.usercontent.google.com come fonte di streaming illegale. Milioni di italiani non hanno potuto lavorare o accedere ai propri file.
Già a febbraio 2024, un singolo IP di Cloudflare (188.114.97.7) era stato bloccato, rendendo inaccessibili decine di migliaia di siti legittimi: scuole, aziende, servizi di ticketing.
L’AGCom inizialmente definì le segnalazioni “fake news”, per poi ammettere “criticità operative”.
Uno studio RIPE Labs di Antonio Prado del 29 settembre 2025 ha documentato 6.712 domini completamente bloccati come danno collaterale, con oltre 500 siti legittimi confermati resi inaccessibili senza alcuna connessione con la pirateria.
In un caso paradossale, è stato bloccato persino un IP di Google utilizzato da Telecom Italia per servire le pagine di blocco del Piracy Shield stesso: il sistema ha censurato la propria infrastruttura. (LOL!!)
Bloccare IP e DNS è come bombardare una città per catturare un criminale
L’architettura di Internet è incompatibile con il blocco chirurgico che il Piracy Shield presuppone. Come ha spiegato Cloudflare: “Bloccare l’accesso a un indirizzo IP è come bloccare la consegna di tutta la posta a un indirizzo fisico… Se quell’indirizzo è un grattacielo con molti occupanti indipendenti e non correlati, fermare le consegne causa inevitabilmente danni collaterali a tutti.”
I CDN (Content Delivery Networks) come Cloudflare, Akamai e Fastly sono l’infrastruttura invisibile che rende possibile l’Internet moderno. Gestiscono la distribuzione dei contenuti, la protezione DDoS e la sicurezza di milioni di siti attraverso indirizzi IP condivisi. Un singolo IP può ospitare migliaia di siti completamente indipendenti: blog personali, piccole imprese, enti governativi, organizzazioni umanitarie.
La ricerca mostra che meno di 10 milioni di IP servono oltre 255 milioni di domini: un rapporto di circa 24:1 in Europa. Meno di 10 IP possono raggiungere il 20% dei domini globali. Bloccare un IP significa potenzialmente bloccare centinaia o migliaia di siti innocenti.
Il resolver DNS 1.1.1.1 di Cloudflare gestisce circa 200 miliardi di query giornaliere. Filtrarlo per l’Italia, come richiesto dall’AGCom, sarebbe secondo l’azienda “impossibile” senza degradare il servizio per utenti di tutto il mondo. E comunque inefficace: gli utenti possono aggirare qualsiasi blocco DNS semplicemente cambiando resolver o usando una VPN.
I precedenti internazionali che l’Italia ha ignorato
La storia recente offre lezioni che l’Italia ha scelto di non apprendere. Nel 2018, la Russia ha tentato di bloccare Telegram ordinando l’oscuramento degli IP utilizzati dal servizio di messaggistica. Risultato: 18-19 milioni di indirizzi IP bloccati, appartenenti ad Amazon Web Services, Google Cloud, Microsoft Azure. YouTube, Spotify, Slack, servizi bancari e biglietterie aeree sono stati resi inaccessibili. Il 97% delle risorse bloccate erano danni collaterali. Telegram ha continuato a funzionare per la maggior parte degli utenti. Il blocco è stato revocato nel 2020 dopo aver dimostrato la propria inutilità.
La Turchia ha bloccato Wikipedia per quasi tre anni (2017-2020) per un articolo sul terrorismo di stato. La Corte Costituzionale turca ha infine dichiarato il blocco incostituzionale, una violazione della libertà di espressione.
Negli Stati Uniti, le proposte SOPA e PIPA del 2011-2012, che avrebbero introdotto meccanismi simili al Piracy Shield, sono state affossate dopo una rivolta senza precedenti. Vint Cerf, co-inventore dei protocolli Internet, avvertì che avrebbero creato “una corsa agli armamenti mondiale di censura del Web senza precedenti”. Tim Berners-Lee, inventore del World Wide Web, le definì “una grave minaccia all’apertura di Internet”. Wikipedia si oscurò per protesta, raccogliendo 162 milioni di visualizzazioni. La Casa Bianca dichiarò che non avrebbe sostenuto “legislazioni che riducono la libertà di espressione, aumentano i rischi di cybersecurity o minano l’Internet dinamica e innovativa”.
La Commissione Europea ha inviato nel giugno 2025 una lettera formale all’Italia sollevando preoccupazioni sul rispetto del Digital Services Act, sulla mancanza di supervisione giudiziaria, e sulla violazione potenziale della Carta dei Diritti Fondamentali.
L’appello di Metro Olografix e la comunità Hacker Italiana
Metro Olografix, la più antica associazione culturale telematica italiana fondata a Pescara nel 1994, ha lanciato un appello urgente per la sospensione immediata del Piracy Shield. L’associazione rappresenta tre decenni di cultura hacker italiana.
Il nostro manifesto identifica sei criticità fondamentali: il sistema “mina principi fondamentali dello stato di diritto” come proporzionalità e presunzione d’innocenza; viola la neutralità della rete permettendo blocchi “al di fuori del sistema giudiziario”; compromette la privacy richiedendo “un monitoraggio invasivo del traffico”; limita l’accesso all’informazione; impone oneri sproporzionati alle piccole imprese digitali; e non prevede “alcun tipo di risarcimento” per i danni da blocchi errati.
L’appello è stato sottoscritto da ninux.org (rete mesh comunitaria), sikurezza.org, Freaknet Medialab, Hermes Center for Transparency and Digital Human Rights, Etica Digitale, l’Osservatorio Nessuno e numerosi esperti individuali. Chiediamo una revisione completa basata su studi indipendenti, un dibattito pubblico sulla regolamentazione di Internet, e “approcci alternativi che bilancino efficacemente la protezione del copyright con i diritti degli utenti”.
Le voci dei pionieri che avevano previsto tutto (sigh)
Nel 1996, John Perry Barlow scrisse da Davos la sua “Dichiarazione d’Indipendenza del Cyberspazio” in risposta al Communications Decency Act americano:
“Governi del Mondo Industriale, stanchi giganti di carne e acciaio, io vengo dal Cyberspazio, la nuova casa della Mente. A nome del futuro, chiedo a voi del passato di lasciarci in pace. Non siete benvenuti tra noi. Non avete sovranità dove ci riuniamo.”
Barlow co-fondò la Electronic Frontier Foundation e previde esattamente questo conflitto:
“In Cina, Germania, Francia, Russia, Singapore, Italia e Stati Uniti, state cercando di respingere il virus della libertà erigendo posti di guardia alle frontiere del Cyberspazio. Potranno tenere fuori il contagio per poco tempo, ma non funzioneranno in un mondo che presto sarà coperto di media portatori di bit.”
Aaron Swartz, nel suo Guerilla Open Access Manifesto del 2008, scrisse parole che risuonano oggi:
“Non c’è giustizia nel seguire leggi ingiuste. È tempo di uscire alla luce e, nella grande tradizione della disobbedienza civile, dichiarare la nostra opposizione.”
Nel 2012, combattendo contro SOPA, disse:
“Se perdessimo la capacità di comunicare tra noi via Internet, sarebbe un cambiamento al Bill of Rights.”
L'11 gennaio 2026 sono 11 anni che Aaron Swartz ci ha lasciati. La sua lotta per un Internet libero e aperto continua a ispirarci.
Lawrence Lessig, professore a Harvard e fondatore di Creative Commons, ha cristallizzato il problema in tre parole: “Code is law”. L’architettura dei sistemi determina cosa è possibile, non solo cosa è permesso:
“Possiamo costruire il cyberspazio per proteggere i valori che riteniamo fondamentali, o possiamo costruirlo per farli scomparire. Non esiste via di mezzo.”
Cory Doctorow, attivista EFF, ha coniato il termine “enshittification” per descrivere il degrado delle piattaforme e osserva:
“Ogni volta che qualcuno mette un lucchetto su qualcosa che possiedi contro la tua volontà, e non ti dà la chiave, non lo sta facendo per il tuo beneficio.”
Il vero costo di un internet frammentato
L’Internet Society, nel suo rapporto 2025 sul blocco DNS obbligatorio, conclude: “Il blocco DNS obbligatorio può sembrare una soluzione tecnica semplice per far rispettare le politiche pubbliche, ma in pratica è uno strumento grossolano, costoso e persino controproducente.” L’ICANN avverte che tali blocchi “saranno probabilmente largamente inefficaci nel lungo termine e pieni di conseguenze impreviste”.
Il problema non è proteggere il copyright. Il problema è utilizzare strumenti incompatibili con l’architettura fondamentale di Internet per raggiungerlo. È come cercare di regolare il traffico aereo con leggi pensate per le carrozze a cavalli (neanche per le automobili).
La vera domanda che l’Italia dovrebbe porsi non è come bloccare più efficacemente, ma come incentivare l’accesso legale ai contenuti. Gli studi mostrano che dove esistono alternative accessibili e convenienti, la pirateria diminuisce. Il successo di Netflix, Spotify e simili dimostra che gli utenti sono disposti a pagare per contenuti convenienti.
Il fallimento del Piracy Shield, facilmente aggirato con VPN e DNS alternativi, dimostra che la repressione tecnologica è una battaglia persa in partenza.
Verso un Internet che rispetti sia i diritti che l’architettura
Internet non è un semplice “canale di intrattenimento”, come ricorda il manifesto di Metro Olografix, ma “una risorsa fondamentale per lo sviluppo economico, sociale e culturale della nostra società”. I principi di decentralizzazione e neutralità che l’hanno resa tale non sono bug da correggere, ma feature da preservare.
La sfida per legislatori e regolatori è trovare approcci che rispettino contemporaneamente i diritti degli autori e l’integrità tecnica della rete, due obiettivi che non sono in contraddizione, ma richiedono strumenti più sofisticati del blocco indiscriminato. Come ha scritto Vint Cerf: “Gestire il modo in cui un gran numero di framework legali separati si applica a Internet è una delle grandi sfide politiche del nostro tempo. Più complessa della costruzione di Internet stessa.”
Il Piracy Shield rappresenta l’approccio sbagliato: veloce da implementare, soddisfacente politicamente, ma tecnicamente fallimentare e pericoloso per i diritti fondamentali. La multa a Cloudflare non risolverà la pirateria.
L’illusione del controllo costruita sull’ignoranza
Lo scontro tra AGCom e Cloudflare non è una disputa commerciale tra un’autorità e un’azienda. È il sintomo di una tensione irrisolta tra la logica territorialista e la natura intrinsecamente globale dell’infrastruttura digitale. Come scrisse Barlow nella dichiarazione citata prima: “Creeremo una civiltà della Mente nel Cyberspazio. Possa essere più umana e giusta del mondo che i vostri governi hanno costruito prima.”
L’Italia può scegliere di continuare su questa strada, multa dopo multa, blocco dopo blocco, accumulando danni collaterali, alienando infrastrutture critiche, facendo una pessima figura internazionale e non fermando comunque la pirateria. Oppure può ascoltare le voci degli esperti, delle organizzazioni per i diritti digitali, e della stessa Commissione Europea, cercando soluzioni che bilancino efficacemente tutela del copyright e libertà digitali.
Il Piracy Shield non è una soluzione: è un’illusione di controllo costruita sull’ignoranza dell’architettura che pretende di governare.