Per anni una società olandese controllata dal colosso russo Yandex ha trasferito informazioni personali dei clienti europei su server in Russia — dove i servizi segreti del Cremlino hanno accesso garantito per legge. Le autorità di tre paesi europei hanno inflitto una multa. Ma la storia vera è un’altra: è la prima volta che l’Europa chiama le cose con il loro nome.
C’è un momento preciso in cui una multa smette di essere una sanzione amministrativa e diventa qualcosa di più. Quel momento si chiama precedente. E la decisione con cui le autorità per la protezione dei dati di Finlandia, Norvegia e Paesi Bassi hanno condannato MLU B.V. — la società olandese che gestisce il servizio taxi Yango, costola europea del gigante russo Yandex — è esattamente questo: un precedente. Il primo, nel panorama europeo, in cui un regolatore ha formalmente collegato l’architettura tecnica di un’azienda russa ai meccanismi di sorveglianza del Cremlino.
Non è una sfumatura. È una cesura. Fino a ieri, il diritto europeo si chiedeva dove venivano conservati i dati e con quali garanzie. Da oggi si chiede anche: chi controlla l’infrastruttura? A quale ordinamento giuridico risponde, nella realtà e non sulla carta? Può uno Stato straniero — uno Stato in guerra, per di più — accedere a quelle informazioni senza che l’utente lo sappia?
Nel caso di Yango, la risposta a quest’ultima domanda era sì.
Il meccanismo
MLU B.V. aveva sede ad Amsterdam. Un indirizzo europeo, una partita IVA olandese, una struttura formalmente compatibile con il Regolamento generale sulla protezione dei dati. Sulla carta, tutto in regola. Nella realtà, i dati dei clienti europei — nomi, numeri di telefono, coordinate bancarie, tracciati GPS delle corse — venivano instradati verso server russi. Server che la legislazione russa pone sotto la vigilanza delle forze di sicurezza dello Stato, senza necessità di autorizzazione giudiziaria.
Il meccanismo non era un difetto tecnico, né una svista. Era strutturale. Yandex — il più grande gruppo tecnologico russo, paragonato spesso a Google per l’ampiezza dei suoi servizi — non aveva separato l’infrastruttura europea da quella russa in modo realmente autonomo. Yango era presentato come un prodotto distinto, europeo, indipendente. Ma il cordone ombelicale con Mosca non era mai stato reciso.
«I meccanismi di protezione adottati da Yango non erano conformi al diritto dell’Unione. La società rimaneva tecnicamente dipendente dall’infrastruttura server russa.»
Dichiarazione congiunta delle autorità garanti di Finlandia, Norvegia e Paesi Bassi
Gli investigatori lo hanno dimostrato. Il che non era affatto scontato: smontare l’architettura tecnica di una grande azienda, seguire il percorso reale dei dati attraverso reti internazionali, distinguere ciò che è dichiarato da ciò che accade davvero — è un lavoro lungo, complesso, spesso ingrato. I regolatori di tre paesi ci hanno lavorato coordinandosi, e alla fine hanno prodotto una decisione che regge.
La struttura del caso — in quattro punti
1 MLU B.V., con sede ad Amsterdam, operava Yango come servizio taxi europeo formalmente separato da Yandex Russia
2 I dati degli utenti europei venivano tuttavia trasferiti su server russi, dove la legge garantisce l’accesso agli apparati di sicurezza dello Stato
3 L’azienda non ha saputo dimostrare l’esistenza di misure tecniche effettive che impedissero tale accesso
4 Le autorità garanti di Finlandia, Norvegia e Paesi Bassi hanno inflitto una multa e aperto la strada a potenziali blocchi operativi
La vera posta in gioco
Il valore della multa è secondario. Ciò che conta è il ragionamento giuridico che la sorregge. Per la prima volta, le autorità europee hanno stabilito che non basta avere sede legale nei Paesi Bassi, non basta aprire un ufficio a Berlino o a Parigi, non basta nemmeno assumere dipendenti europei. Se l’architettura tecnologica di un’azienda rimane radicata in uno Stato terzo — e in particolare in uno Stato le cui leggi consentono alla polizia segreta di accedere ai dati senza controllo giudiziario — allora quella azienda non può operare in Europa come se fosse immune da ogni rischio.
È una logica che gli esperti di cybersicurezza invocavano da anni. Ora ha un fondamento giuridico. E le implicazioni si estendono ben oltre Yango: qualunque servizio digitale con radici tecnologiche russe — non soltanto la sede, ma i server, i sistemi, il personale chiave — potrebbe essere sottoposto allo stesso scrutinio. La stagione delle facciate olandesi e delle strutture opache è finita, o almeno è cominciata a finire.
Yandex e il confine impossibile
Yandex ha attraversato anni turbolenti. Dopo l’invasione russa dell’Ucraina nel 2022, il gruppo ha avviato una progressiva scissione tra le sue divisioni russe e quelle internazionali, cercando di preservare attività e reputazione in Occidente. Yango era uno dei simboli di questa strategia: un brand nuovo, un nome diverso, un’identità costruita appositamente per il mercato europeo e mediorientale.
Ma separare davvero una grande azienda tecnologica dalla sua infrastruttura originaria è un’operazione enormemente più complessa di quanto appaia. Non basta cambiare il nome sulla porta. I sistemi informatici, i database, le dipendenze tecniche costruite nel corso di anni — tutto questo non si smantella con un comunicato stampa. E quando i regolatori europei hanno chiesto a MLU B.V. di dimostrare che i dati degli europei erano al sicuro dall’accesso russo, l’azienda non ha saputo rispondere in modo convincente. Perché non poteva.
Non è mai bastato cambiare la targa sulla porta. L’infrastruttura tecnologica è la vera identità di un’azienda — e quella di Yango restava russa.
Analisi delle autorità garanti europee
Un verdetto, non una multa
Le decisioni dei regolatori — finlandese, norvegese, olandese — dicono qualcosa di preciso: le garanzie di Yango erano insufficienti, l’architettura era incompatibile con il GDPR, la dipendenza tecnica dalla Russia era reale e documentata. Non si tratta di un’accusa generica di cattiva fede. È la constatazione tecnica, giuridica, verificabile, che il sistema non funzionava come veniva dichiarato.
In Europa, questo tipo di accertamento ha conseguenze. Non solo la multa: il precedente apre la strada a blocchi operativi per le società che non si adeguano. Tradotto: le aziende con radici tecnologiche russe che non riusciranno a dimostrare una separazione reale e verificabile dall’infrastruttura di Mosca rischiano di essere escluse dal mercato europeo. Non per decreto politico, ma per via giuridica, attraverso gli strumenti del diritto della privacy.
È un cambio di paradigma sottile ma profondo. La sicurezza digitale smette di essere soltanto una questione di politica estera o di intelligence e diventa materia di diritto ordinario, esigibile nei tribunali amministrativi, misurabile in byte e in log di server. Per un continente che ha faticato a lungo a darsi strumenti efficaci contro le interferenze tecnologiche straniere, è un passaggio significativo.
Il Cremlino non ha commentato. Yandex non ha rilasciato dichiarazioni ufficiali. MLU B.V. ha trenta giorni per impugnare la decisione. Ma il ragionamento giuridico è scritto, è pubblico, e — cosa forse più importante — è replicabile. Altre indagini, su altre aziende, con altre bandiere, potrebbero seguire lo stesso percorso. L’Europa ha imparato a fare una domanda che prima non si poneva: non dove ha sede un’azienda, ma di chi è, davvero, l’infrastruttura su cui poggia.
Autore: Marco Bianchi