Torna al Blog

Account bannato in una notte: vendor lock-in cloud e diritti che le PMI italiane già hanno

·6 min lettura
Vendor lock-in cloud — un account, una notte, tutto bloccato

Il 16 maggio 2026 il mangaka Masahiro Itosugi ha reso pubblica la perdita del proprio account Google — Gmail, Drive, YouTube, tutto — dopo che un algoritmo di moderazione ha flaggato i suoi vecchi manoscritti caricati su Drive. Il ricorso è stato respinto in poche ore. Se la stessa sequenza colpisse il tuo account Google Workspace aziendale, in quanto tempo potresti recuperare le email degli ultimi tre anni?

Il caso ha generato 25.000 like e 449 commenti su X in pochi giorni (Anime News Network, 1 giugno 2026). La storia che circola è quella di un artista contro un algoritmo. La storia che interessa a una PMI italiana è un'altra: un singolo flag automatico ha cancellato in ore l'intera infrastruttura digitale di un professionista. Gmail, Drive, YouTube — un account, una notte, tutto.

Un algoritmo, una notte, vent'anni di lavoro

File → flag → ban → appello → rifiuto

La sequenza è documentata. Itosugi ha caricato su Google Drive — account consumer, non Workspace — vecchi manoscritti di Aki Sora in formato non compresso. Gli scanner automatici che Google fa girare su Drive e Gmail per CSAM e malware hanno flaggato il materiale. Il sistema ha inviato un avviso automatico; Itosugi ha fatto ricorso; solo dopo il ricorso è arrivato il ban definitivo. Il ricorso è stato respinto. Itosugi ha dichiarato pubblicamente di non aver mai interagito con un revisore umano: né nella decisione iniziale né nel rigetto dell'appello.

Non è un caso isolato. Nel 2022 Google aveva flaggato come CSAM le foto mediche di un bambino scattate dal padre per il pediatra, rifiutando di sbloccare l'account anche dopo le verifiche. Microsoft OneDrive ha registrato sospensioni automatiche senza preavviso nel marzo e nel giugno 2025. Dropbox Business ha clausole di sospensione strutturalmente identiche.

Il ricorso AI vs. AI

L'algoritmo di moderazione non distingue il titolare dei diritti da chi carica materiale non autorizzato. Il sistema di appello aggiunge un passo procedurale — ma se anche quello è automatizzato, il risultato è un loop chiuso: AI che segnala, AI che rigetta. Non è malafede del provider; è l'architettura del processo. E quella architettura riguarda chiunque usi questi servizi.

Non è solo una storia da artisti — il rischio per le PMI

Cosa si perde con un account Workspace bannato

Un account Google Workspace aziendale non è solo la posta elettronica. È Gmail (comunicazioni con clienti e fornitori), Google Drive (contratti, offerte, archivio documentale), Google Meet e Calendar (coordinamento operativo), e spesso il provider SSO per accedere a sistemi terzi: gestionale, CRM, firma digitale. Un ban dell'account principale blocca tutto contemporaneamente, con effetto immediato e senza preavviso.

Per una PMI con 10-50 dipendenti che ha concentrato l'intera identità digitale su un singolo account cloud, un ban non è un inconveniente: è un'interruzione totale dell'operatività. Impossibilità di rispondere ai clienti, di accedere ai documenti di progetto, di emettere fatture se il gestionale si autentica tramite Google.

Abbiamo già analizzato come misurare la dipendenza cloud della tua organizzazione in Quanto è sovrano il tuo cloud? Il framework SEAL (14 maggio 2026). Questo articolo affronta il passo successivo: cosa fare operativamente.

Lo stesso rischio vale per Microsoft 365 e Dropbox Business

Microsoft 365, Dropbox Business, Box, Atlassian Cloud: tutti i provider SaaS principali hanno clausole di sospensione automatica per violazione dei termini di servizio. Nei contratti enterprise (Workspace Business o Enterprise, M365 Business Premium) c'è di solito una finestra di 24 ore per correggere la violazione prima della sospensione. In caso di violazione grave — CSAM o malware — il blocco è immediato. La logica è strutturalmente identica per tutti.

Cosa dice l'Europa — diritti che già esistono

Itosugi è un utente giapponese: il GDPR non lo copre. Ma se la stessa sequenza colpisse l'account Workspace di un'azienda italiana, il quadro normativo è diverso — e già in vigore.

GDPR Art. 22 — Decisioni automatizzate con effetti significativi

Il Regolamento UE 2016/679, Art. 22, riconosce il diritto a non essere soggetti a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici o analoghi significativamente. L'EDPB include in questa categoria qualsiasi decisione con impatto prolungato o permanente sulle circostanze del soggetto. La perdita permanente di accesso agli strumenti di lavoro rientra in questa soglia. Il provider è tenuto a garantire un intervento umano sostanziale nel processo di appello — non un riesame algoritmico formale.

Data Act, Capo VI (artt. 23-31) — Switching cloud

Il Data Act europeo (Reg. UE 2023/2854), applicabile dal 12 settembre 2025, disciplina nel Capo VI il diritto al cambio di provider cloud. L'Art. 23 impone la rimozione di barriere tecniche, contrattuali, commerciali e organizzative al switching; l'Art. 25 richiede che il contratto stabilisca per iscritto gli obblighi del provider e i diritti del cliente in materia di portabilità e migrazione. Le switching charges restano ammesse fino al 12 gennaio 2027 (solo costi diretti del provider); dal 12 gennaio 2027, vietate.

DSA Art. 17 — Statement of reasons

Il Digital Services Act (Reg. UE 2022/2065) impone a tutti i provider di servizi di hosting — incluso Google Drive in quanto hosting provider — di rilasciare uno Statement of Reasons per ogni restrizione applicata a contenuti o account. Il documento deve indicare tipo di restrizione, fatti rilevanti, e se la decisione è stata adottata con mezzi automatizzati. Le dichiarazioni sono pubblicate nel DSA Transparency Database della Commissione UE.

Cosa fare adesso

Cinque azioni concrete che non richiedono budget straordinari:

  1. Applica la regola 3-2-1. Tre copie dei dati critici (email, contratti, documenti), su due provider diversi, di cui una offsite o offline. Frequenza minima: export mensile, backup automatici settimanali.
  2. Attiva Google Takeout o Microsoft Data Export. Entrambi permettono di esportare email, Drive, Calendar e contatti in formato scaricabile. Automatizza l'export mensile e archivia il risultato su storage indipendente (NAS aziendale o altro provider cloud distinto).
  3. Separa email, storage e SSO. Non concentrare posta aziendale, archivio documenti e autenticazione su uno stesso account e provider. Un ban dell'account principale non deve bloccare l'intera infrastruttura.
  4. Leggi i ToS e negozia le clausole di sospensione. Nel prossimo rinnovo contrattuale, verifica: cosa attiva la sospensione, quante ore di preavviso, come funziona il ricorso. Nei contratti enterprise puoi negoziare SLA di notifica preventiva e tempi di ripristino.
  5. Documenta e testa i tuoi diritti Data Act / GDPR. Hai diritto alla portabilità dei dati (GDPR Art. 20; Data Act Capo VI) e a un processo di appello con revisione umana sostanziale (GDPR Art. 22). Documenta la procedura di richiesta al tuo provider e testala almeno una volta all'anno — prima che ti serva.

Quanto costa non fare nulla

Per una PMI di 25 dipendenti, 30 giorni di blocco operativo totale significano facilmente mezzo milione di euro di danni diretti (costo medio fermo stimato ~3.000 €/ora × 160 ore lavorative, secondo stime convergenti di allsafeit.it e Atlassian). Stima conservativa: non include clienti persi per impossibilità di comunicare, costi legali per il recupero dell'accesso, danni reputazionali.

La differenza tra un'azienda che sopravvive a un account ban e una che non sopravvive non è la dimensione: è avere un piano di continuità operativa che non dipenda da un singolo provider.

Fonti