Perché l’Europa.

Un’avvocata belga apre il laptop un martedì mattina, preme una scorciatoia e detta un memo sull’acquisizione in corso di un cliente. Tiene premuto il tasto, parla per quaranta secondi, rilascia. Il testo rifinito atterra nella sua bozza di e-mail. Lo invia.

Ha appena esportato dati riservati di un cliente verso una giurisdizione straniera. Non lo sapeva. Lo studio non lo ha autorizzato. L’ordine forense non lo ha approvato. Lo strumento di dettatura non l’ha avvertita, perché dal punto di vista dello strumento non è andato storto nulla.

Questa è l’impostazione predefinita non segnalata del software IA moderno. L’audio è passato attraverso un’azienda costituita negli Stati Uniti, è stato elaborato su infrastrutture gestite negli Stati Uniti, ed è ora soggetto al diritto statunitense. L’intenzione dell’avvocata non conta. La policy di conformità dello studio non conta. La posizione fisica del server non conta. Una volta che la sua voce entra nella pipeline di un fornitore statunitense, la posizione giuridica dei dati del cliente è cambiata.

La maggior parte di chi costruisce questi strumenti, e la maggior parte di chi li usa, trova questo fatto abbastanza scomodo da preferire non guardarlo in faccia. Quindi nessuno lo segnala. Quindi resta il default.

C’è una legge statunitense del 2018 chiamata Clarifying Lawful Overseas Use of Data Act, di solito abbreviata in CLOUD Act. Fa una cosa che gli utenti europei dovrebbero conoscere: obbliga le aziende costituite negli Stati Uniti a consegnare dati alle forze dell’ordine statunitensi su richiesta valida, indipendentemente da dove i dati siano fisicamente conservati.

Rileggi quella frase. Il server può essere a Francoforte. L’azienda può avere una controllata olandese, un DPO francese, un ufficio commerciale belga. Niente di tutto questo conta. Se la capogruppo è registrata in Delaware, i dati sono raggiungibili dall’autorità statunitense. Il CLOUD Act include anche disposizioni che possono impedire al fornitore di dire al cliente che la richiesta è stata fatta.

Nel 2020 la Corte di giustizia dell’Unione europea ha stabilito, nella causa solitamente chiamata Schrems II, che i trasferimenti di dati UE-USA sotto il precedente Privacy Shield non erano adeguati. Il ragionamento della corte si basava, in parte, sul fatto che gli utenti europei non avessero rimedi giuridici efficaci contro i poteri di sorveglianza statunitensi. La corte non ha inventato questa preoccupazione. Ha descritto una realtà strutturale che il CLOUD Act aveva già confermato per legge due anni prima.

Il GDPR aggiunge la sua pressione. L’articolo 32 obbliga ogni titolare del trattamento a garantire la sicurezza del trattamento, anche contro la divulgazione non autorizzata. Se sei titolare e il tuo responsabile è costituito negli Stati Uniti, hai per le mani una domanda a cui nessun termine di servizio può rispondere del tutto.

Si può discutere quanto sia grave il singolo caso. Non si può discutere dell’architettura. La dettatura instradata via Stati Uniti non è un problema di policy che un contratto migliore risolve. È un problema giurisdizionale che richiede che i dati non attraversino mai il confine in partenza.

Scrivo codice per vivere e detto tutto ciò che scrivo. Per la maggior parte dell’anno scorso ho usato Wispr Flow. Funziona molto bene. Il team dietro è di talento e il prodotto è davvero buono.

Poi una sera ho letto la parte della loro documentazione che spiega dove va davvero l’audio. L’ho letta due volte. Ho chiuso il portatile. Sono rimasto un po’ sul balcone.

Il percorso dei dati era esattamente quello che avrei dovuto aspettarmi: un’azienda costituita negli Stati Uniti, elaborazione presso un fornitore di modelli ospitato negli Stati Uniti, decisioni sull’audio prese da ingegneri statunitensi sotto diritto statunitense. Niente di sbagliato con l’ingegneria. Niente di sbagliato con il team. C’era qualcosa di sbagliato con i default, e quei default valevano per me, e valevano per ogni consulente belga, olandese e tedesco a cui avessi mai inoltrato il link.

Dettavo lì le mail ai clienti da mesi. Anche loro.

L’ho ricostruito.

Olinra gira su modelli Mistral ospitati nell’UE. L’API è un server Fastify in un datacenter Hetzner a Norimberga. L’autenticazione è Supabase a Francoforte. I byte audio fluiscono direttamente nel corpo della richiesta Voxtral e vengono scartati appena arriva la risposta. Non c’è un bucket S3, non c’è una cache calda, non c’è una trascrizione che vive su un disco fuori dalla tua macchina. L’architettura è il brand, e il brand è l’architettura.

Se qualcosa di tutto questo dovesse smettere di essere vero, il brand è finito. Sono serio fino a quel punto.

Olinra è la risposta di una sola azienda per una sola categoria di prodotto. La dettatura è una superficie stretta. Questa pagina non vuole sostenere che gli utenti europei debbano cambiare strumento di dettatura. Vuole sostenere che gli utenti europei smettano di trattare l’instradamento di default verso gli Stati Uniti come inevitabile, in ogni categoria di prodotto che toccano.

L’industria europea del software, per la maggior parte, non ha costruito attorno a questa assunzione. L’industria americana del software, per ragioni comprensibili, neanche. Quindi qualcuno deve iniziare, e il punto di partenza sono piccoli prodotti utili che prendono una posizione e dimostrano che la posizione si può tenere.

Olinra è il mio. Ce ne saranno altri. Pretendili dal software che usi.