Una multa da 14,2 milioni di euro. Tanto ha deciso di comminare l’AGCOM a Cloudflare — una delle aziende che tiene letteralmente in piedi l’infrastruttura di internet — per essersi rifiutata di piegarsi a un sistema di censura online che la stessa Commissione Europea ha definito preoccupante. L’8 marzo 2026 Cloudflare ha presentato formalmente ricorso contro la sanzione, e la speranza dichiarata è quella di far crollare l’intero impianto normativo di Piracy Shield. Il punto è che non si tratta di una battaglia tra una multinazionale americana e un’autorità italiana su questioni di principio astratte: qui si parla di un sistema che in meno di due anni di vita ha bloccato Google Drive, siti governativi ucraini, ONG per donne e bambini, un convento di suore e persino le pagine di avviso degli stessi operatori telefonici italiani. E qualcuno vorrebbe convincerti che funziona.
La vicenda Piracy Shield è il caso perfetto di come la lobby del calcio — perché di questo parliamo, non facciamoci illusioni — riesca a piegare il legislatore italiano ai propri interessi, sacrificando diritti digitali fondamentali sull’altare dei diritti televisivi di DAZN. Se ti sembra un’esagerazione, seguimi nel ragionamento: i numeri, i fatti e i conflitti di interesse che stanno dietro a questa storia raccontano una realtà peggiore di qualsiasi iperbole.
Come funziona Piracy Shield e perché è nato rotto
Piracy Shield nasce dalla Legge 93/2023, ribattezzata con la solita retorica propagandistica “legge antipezzotto”. Il meccanismo è semplice — e proprio nella sua semplicità sta il problema. I titolari dei diritti (leggi: Lega Serie A, DAZN e pochi altri) segnalano alla piattaforma indirizzi IP e nomi di dominio che ritengono coinvolti nella trasmissione illegale di contenuti. A quel punto gli operatori di rete, i provider DNS, le CDN e persino i servizi VPN hanno 30 minuti di tempo per bloccare tutto. Trenta minuti. Nessun controllo giudiziario preventivo, nessun contraddittorio, nessuna possibilità di appello prima del blocco. Come ha sintetizzato Matthew Prince, CEO di Cloudflare, con la sua solita delicatezza diplomatica: «No judicial oversight. No due process. No appeal. No transparency». Ha definito il sistema “disgusting”, e francamente è difficile dargli torto.
La piattaforma tecnica è stata sviluppata da SP Tech, una startup spin-off dello studio legale Previti — lo stesso studio che rappresenta diversi dei principali beneficiari di Piracy Shield, inclusa la Lega Serie A. La piattaforma era già pronta una settimana dopo l’approvazione della legge, il che suggerisce che lo sviluppo fosse iniziato ben prima del voto parlamentare. Nessuna gara pubblica, nessuna procedura di affidamento trasparente. Assoprovider ha presentato un esposto alla Corte dei Conti per danno erariale, ma intanto il sistema è operativo dal 1° febbraio 2024 e macina blocchi a ritmo industriale: oltre 25.000 nomi di dominio e 7.000 indirizzi IP oscurati fino a oggi. E poi ci si chiede perché internet in Italia funziona sempre peggio.
Il senatore Claudio Lotito — sì, il presidente della Lazio, che siede in Parlamento con Forza Italia — è stato l’autore sia della legge originale sia degli emendamenti successivi che nel 2024 hanno reso il sistema ancora più invasivo. Durante le discussioni parlamentari ha affermato che la legge «porterà ricavi importanti». Ricavi per chi, esattamente? Non certo per i cittadini italiani che si sono ritrovati senza accesso a Google Drive per dodici ore il 19 ottobre 2024, quando un blocco richiesto da DAZN ha colpito l’IP 142.250.180.129, rendendo inaccessibili anche YouTube e Google Traduttore per circa il 20% della popolazione italiana. Ma ehi, almeno una partita pirata è stata fermata — forse.
I danni collaterali di un sistema fuori controllo
Lo studio pubblicato nel settembre 2025 dall’Università di Twente — un lavoro accademico serio, presentato alla ventunesima conferenza internazionale sul Network and Service Management — ha messo nero su bianco quello che chiunque avesse un minimo di competenza tecnica sapeva già. I ricercatori hanno analizzato circa 11.000 indirizzi IP e 42.600 domini coinvolti nei blocchi di Piracy Shield, scoprendo che 510 siti completamente legittimi sono stati verificati manualmente come erroneamente bloccati. Ma il numero reale è probabilmente molto più alto: 7.114 nomi di dominio sono risultati colpiti — totalmente o parzialmente — dal blocco di indirizzi IP condivisi, con una durata media dell’impatto di circa 320 giorni per dominio. Trecentoventi giorni. Non ore, non giorni: quasi un anno intero di blocco per siti che non c’entravano nulla con la pirateria. Un provider di hosting portoghese ha perso la connettività email con i clienti italiani per 16 giorni consecutivi. Un singolo IP di Hetzner bloccato ha causato il disservizio di 325 domini contemporaneamente.
La lista dei siti legittimi bloccati è un catalogo dell’assurdo che meriterebbe di essere incorniciato negli uffici dell’AGCOM come monito permanente. Pagine di personal branding, profili aziendali, hotel, ristoranti, un’officina meccanica, uno studio di commercialista, un programma missionario di telemedicina. E — il dettaglio che sembra inventato ma non lo è — le stesse pagine di avviso di TIM e Tiscali sono state bloccate dalla piattaforma, creando un paradosso kafkiano per cui gli utenti non potevano nemmeno leggere la notifica che spiegava loro perché un sito era stato bloccato. Il tutto senza che i proprietari dei siti colpiti venissero neanche informati: il blocco scatta nel silenzio, e se non te ne accorgi sono fatti tuoi. Lo studio dell’Università di Twente ha anche rilevato 782 server di posta elettronica e 397 nameserver bloccati — componenti infrastrutturali critici che nulla hanno a che fare con lo streaming illegale di partite di calcio. I ricercatori hanno concluso parlando di «potenziale minaccia alla sicurezza nazionale», e non è un’affermazione che gli accademici fanno a cuor leggero.
Ma il vero capolavoro normativo è arrivato con il decreto-legge 113/2024, convertito dalla Legge 143/2024, che ha sostituito la parola “univocamente” con “prevalentemente” nella definizione degli IP bloccabili. Stefano Zanero, professore associato di sicurezza informatica al Politecnico di Milano, aveva definito quella singola parola — “univocamente” — come «l’unica piccola barriera contro una norma completamente folle». Ora anche quella barriera è caduta, e si possono bloccare indirizzi IP che ospitano sia contenuti illegali che legittimi, purché quelli illegali siano “prevalenti”. Chi decide cosa sia prevalente? Non un giudice. Non un perito tecnico indipendente. Ma gli stessi soggetti privati — leggi: le società calcistiche e i detentori dei diritti — che hanno un interesse economico diretto nel bloccare il più possibile. Lo stesso emendamento ha esteso l’obbligo anche ai fornitori di VPN e DNS pubblici “dovunque residenti e ovunque localizzati”, con una pretesa di giurisdizione extraterritoriale che farebbe impallidire persino il legislatore statunitense. AirVPN — un servizio VPN italiano — ha chiuso i battenti nel mercato nazionale. Le VPN internazionali, ovviamente, continuano a operare indisturbate.
Cloudflare, la multa e una questione di principio
La sanzione da 14,2 milioni di euro comminata dall’AGCOM il 29 dicembre 2025 — una data scelta con tempismo sospetto, a ridosso delle feste — merita un’analisi a parte. Cloudflare sostiene che la multa sia stata calcolata sull’1% del fatturato globale dell’azienda, mentre la legge italiana prevede un massimo del 2% del fatturato nel territorio rilevante, cioè l’Italia. Se il calcolo fosse corretto — e non c’è motivo di dubitarne, dato che Cloudflare ha tutto l’interesse a essere precisa su questo punto — la sanzione sarebbe circa cento volte superiore al limite legale, che ammonterebbe a circa 140.000 euro. Centoquaranta mila contro quattordici milioni: un rapporto che la dice lunga sulla proporzionalità di questo sistema. Come ha scritto Cloudflare nel suo blog post del 16 marzo, la multa «invia un messaggio agghiacciante alla comunità tech globale». Detto senza mezzi termini, il messaggio è: se non ti pieghi alla censura italiana, ti facciamo pagare un prezzo astronomico.
La reazione di Matthew Prince è stata esplosiva. Ha definito Piracy Shield «uno schema di censura di internet» gestito da «una cabala oscura di élite mediatiche europee» e ha annunciato quattro possibili ritorsioni: il ritiro dei servizi pro bono di cybersecurity per le Olimpiadi invernali Milano-Cortina 2026 (servizi del valore di milioni di dollari), la cessazione dei servizi gratuiti di protezione DDoS per tutti gli utenti italiani, la rimozione di tutti i server dall’Italia e l’annullamento di qualsiasi piano di investimento nel paese. Prince ha anche fatto notare un dettaglio che dovrebbe far riflettere chiunque abbia a cuore la sicurezza informatica italiana: Cloudflare fornisce gratuitamente protezione a ospedali, istituzioni pubbliche, organizzazioni no-profit e piccole imprese italiane. Tagliare quei servizi significherebbe esporre migliaia di soggetti vulnerabili ad attacchi informatici — un danno reale e misurabile, molto più concreto della presunta perdita di ricavi causata dalla pirateria sportiva.
Il nocciolo della questione, però, va oltre la singola multa. Cloudflare ha presentato insieme alla CCIA (Computer & Communications Industry Association) un reclamo formale alla Commissione Europea, e la risposta di Bruxelles è stata inequivocabile. Nel giugno 2025, Roberto Viola — Direttore Generale per le Reti di Comunicazione, Contenuti e Tecnologia della Commissione — ha inviato una lettera al Ministro degli Esteri Tajani avvertendo che Piracy Shield potrebbe violare il Digital Services Act. La Commissione ha specificato che il DSA «non fornisce una base giuridica per le autorità nazionali per emettere ordini di rimozione dei contenuti» nei modi previsti da Piracy Shield, e che il sistema potrebbe minare i diritti fondamentali alla libertà di espressione e informazione garantiti dalla Carta europea. Tradotto dal burocratese: quello che l’Italia sta facendo è probabilmente illegale secondo il diritto europeo. Ma ad AGCOM, evidentemente, il parere della Commissione Europea importa meno di quello della Lega Serie A.
C’è anche la questione della trasparenza — o meglio, della sua totale assenza. Il 23 dicembre 2025, un tribunale amministrativo italiano ha ordinato all’AGCOM di condividere i registri di Piracy Shield con Cloudflare, che ne aveva bisogno per preparare la propria difesa. La risposta dell’Autorità? Sei giorni dopo, il 29 dicembre, ha comunicato che i documenti sarebbero stati consultabili esclusivamente presso i propri uffici di Napoli, sotto supervisione del personale AGCOM. Lo stesso giorno ha emesso la multa. Come ha osservato Cloudflare, il fatto che AGCOM sia «così determinata a resistere alla trasparenza solleva domande reali» su cosa ci sia dentro quei registri. Quando un’autorità di regolamentazione si comporta come se avesse qualcosa da nascondere, di solito è perché ha qualcosa da nascondere.
Il modello economico marcio dietro la repressione digitale
Se fai un passo indietro e guardi il quadro completo, Piracy Shield non è una politica di tutela del diritto d’autore. È un sistema di repressione digitale costruito su misura per sostenere un modello di business insostenibile. DAZN paga alla Lega Serie A 700 milioni di euro all’anno per i diritti del campionato di calcio, ma ha solo circa 2 milioni di abbonati. Chiunque sappia fare una divisione capisce che i conti non tornano: per coprire solo il costo dei diritti — senza contare infrastruttura, personale, marketing e tutto il resto — servirebbero 350 euro per abbonato, solo per il calcio. Il risultato è un servizio che costa troppo, offre una qualità tecnica mediocre e perde utenti anno dopo anno. Gli spettatori del calcio in Italia sono calati del 50% nell’ultimo decennio. La risposta razionale sarebbe ripensare il modello economico, abbassare i prezzi, migliorare il servizio. La risposta italiana è stata costruire un sistema di sorveglianza e censura che blocca pezzi di internet nel tentativo disperato di costringere la gente a pagare per qualcosa che non vuole comprare al prezzo richiesto.
Dentro AGCOM, peraltro, non mancava chi la pensava diversamente. Il commissario Antonello Giacomelli chiese la sospensione della piattaforma. La commissaria Elisa Giomi evidenziò «conflitti di interesse, mancanza di trasparenza e frettolosità» — e per tutta risposta ricevette, secondo le sue stesse parole, «reazioni virulente dai colleghi». Chi solleva dubbi viene messo a tacere: un meccanismo che dovrebbe suonare familiare a chiunque abbia osservato come funziona il potere in Italia. L’AIIP — l’associazione degli internet provider indipendenti — ha definito Piracy Shield un’«iniziativa irresponsabile che nel solo interesse della lobby del calcio calpesta gli operatori, l’Autorità e l’ecosistema Internet». Le proteste congiunte di Google, TIM, Vodafone, Wind Tre, Iliad, Fastweb e di tutte le principali associazioni di categoria non hanno sortito alcun effetto. Il treno legislativo era partito e nessuno aveva intenzione di fermarlo.
La verità che nessuno vuole ammettere è che Piracy Shield non funziona nemmeno per lo scopo per cui è stato creato. Lo studio dell’Università di Twente dimostra che gli streamer illegali aggirano i blocchi semplicemente ruotando gli indirizzi IP — un’operazione tecnicamente banale che richiede pochi minuti. I DNS pubblici di Google e Cloudflare non applicano i blocchi italiani, le VPN internazionali li rendono invisibili, e il codice sorgente della piattaforma è persino trapelato online ed è tuttora disponibile. In Europa, tra il 2017 e il 2020, la pirateria si era già dimezzata spontaneamente — e l’Italia era il secondo paese con meno accessi pirata pro capite nell’intera Unione Europea. Il problema, ammesso che sia davvero un problema delle dimensioni che la Lega Serie A vuole far credere, non si risolve con la censura indiscriminata di internet. Si risolve offrendo un servizio migliore a un prezzo ragionevole — esattamente quello che Netflix, Spotify e Steam hanno dimostrato nel corso degli ultimi quindici anni. Ma per DAZN e la Lega Serie A è più comodo chiedere allo Stato di fare il lavoro sporco.
Il ricorso di Cloudflare è un atto di resistenza necessario contro un sistema che rappresenta tutto ciò che è sbagliato nell’approccio italiano — e non solo italiano — alla regolamentazione di internet. Un sistema costruito nell’opacità, gestito nell’interesse di pochi soggetti privati, privo di garanzie giuridiche fondamentali, inefficace nel raggiungere i propri obiettivi dichiarati e devastante nei suoi effetti collaterali. Se il ricorso avrà successo — e le basi giuridiche per contestare la compatibilità di Piracy Shield con il diritto europeo sono solide — potrebbe creare un precedente fondamentale per la tutela dell’internet aperto in tutta Europa. Se fallirà, il messaggio sarà chiaro: in Italia, gli interessi della lobby del calcio valgono più della libertà di informazione, più della sicurezza informatica, più dell’integrità dell’infrastruttura di rete. E a quel punto, quando Cloudflare ritirerà davvero i suoi server e i suoi servizi dal paese, non potremo dire che non eravamo stati avvisati.