Data Center AWS Medio Oriente: quando un singolo drone può spegnere il cloud in 3 Paesi

Per i governi che ospitano hyperscaler americani, la lezione è netta: ospitare centri di Intelligenza Artificiale e data center USA non è solo una scelta tecnologica. È una scelta geopolitica. È fornire basi avanzate in una guerra che non richiede più truppe sul terreno, ma elettricità, fibra ottica e rack server. La vera sovranità, in questa fase storica, coincide con la sicurezza fisica degli asset digitali critici. Andiamo per gradi.

Attacco ai data center di AWS in Medio Oriente

I principali temi emersi dall’incidente ai data center di Amazon Web Services (AWS) in Bahrein e negli Emirati Arabi Uniti, avvenuto all’inizio di marzo 2026, sono un insegnamento per tutti. Queste infrastrutture critiche controllano i principali servizi della regione e come tutte le tecnologie si prestano ad usi civili e militari. La dipendenza da fornitori esterni, anche quando alleati, pone una serie di interrogativi di difesa in avanti e di assenza di coordinamento.

Facciamo qualche esempio:

• Escalation del conflitto in Medio Oriente mette i data center nel perimetro di attacco — Gli attacchi con droni iraniani arrivano in risposta a bombardamenti congiunti Stati Uniti-Israele contro l’Iran nel fine settimana precedente. L’Iran ha esteso le rappresaglie a basi e obiettivi militari/statunitensi nel Golfo, colpendo anche infrastrutture di data center in paesi alleati come Bahrein (sede di basi USA) ed Emirati Arabi Uniti.
• Targeting di infrastrutture critiche civili — Per la prima volta un grande provider cloud globale (AWS) ha subito danni diretti o collaterali da azioni militari. Due data center negli UAE sono stati colpiti direttamente dai droni, mentre uno in Bahrein ha riportato danni da un attacco nelle vicinanze, con impatti strutturali, blackout elettrici e danni da acqua causati dagli interventi antincendio.
• Motivazione dichiarata dall’Iran — Media statali iraniani (in particolare l’agenzia Fars, legata al Corpo delle Guardie della Rivoluzione Islamica) hanno affermato che il data center bahreinita è stato preso di mira perché AWS supporterebbe «attività militari e di intelligence statunitensi», presentando l’attacco come azione volta a smascherare e colpire il ruolo di queste strutture nel conflitto.
• Impatto operativo sul cloud computing — Le strutture sono rimaste offline, con conseguenti tassi di errore elevati e ridotta disponibilità per numerose applicazioni e servizi AWS nella regione. L’azienda ha invitato i clienti a fare backup immediati, migrare i carichi di lavoro verso altre regioni AWS e reindirizzare il traffico per minimizzare i disservizi.
• Vulnerabilità delle infrastrutture digitali in zone di guerra — L’episodio evidenzia quanto i data center – considerati sempre più strategici per governi, imprese e servizi pubblici – siano esposti a minacce fisiche in contesti di conflitto armato. Questo solleva interrogativi sulla resilienza, sulla diversificazione geografica e sulla possibile necessità di difese più simili a quelle militari per asset critici.
• Misure precauzionali di Amazon — L’azienda ha ordinato il lavoro da remoto per i dipendenti in Medio Oriente, chiedendo di seguire le indicazioni delle autorità locali a causa dell’instabilità regionale. AWS gestisce in Bahrein carichi di lavoro rilevanti per enti pubblici dal 2019, oltre a una sede aziendale per il personale. Questo dimostra anche che gran parte delle attività di un data center possono essere gestite da remoto. E’ un argomento utile quando si parla dell’impatto sul lavoro di queste infrastrutture, una volta costruite.

Difesa in avanti: attacco a infrastrutture di Paesi alleati

Questi elementi mostrano l’intersezione tra guerra convenzionale, cibernetica/ibrida e dipendenza globale dalle infrastrutture cloud, con ripercussioni dirette su servizi digitali essenziali nella regione.

In una democrazia avanzata che prevede una resistenza giurisdizionale di fronte ad atti ritenuti illegittimi, anche in un contesto di difesa cibernetica e non solo fisica, è ben possibile che alcuni colossi globali agiscano via via in forme di convenienza o opportunismo dettate dalle Autorità locali, per il Paese in cui operano.

È altrettanto possibile che uno Stato, nel tentativo di resistere a un attacco cibernetico, metta in essere azioni di “difesa attiva” che potrebbero procurare danno a un Paese alleato. Quando quindi un Paese affida i propri dati critici a operatori esteri in partnership con altri operatori locali, di fronte a un ordine di blocco delle forniture e dei servizi emanato da uno Stato estero impegnato a difendersi da un attacco cibernetico, il sistema di garanzie “contrattuali” nulla potrebbe fare per resistere a tale ordine, ma la sicurezza nazionale e l’ordine pubblico prevarrebbero su questo aspetto economico e nemmeno sulla riservatezza del dato.

Questo aspetto assume particolare rilevanza nel caso degli attacchi iraniani ai data center AWS in Bahrein e negli Emirati Arabi Uniti (marzo 2026), dove infrastrutture cloud di un operatore privato statunitense – ospitanti carichi di lavoro sensibili per enti pubblici e servizi essenziali – sono state colpite fisicamente (direttamente o per effetto collaterale) in un contesto di escalation militare. L’Iran ha motivato l’azione contro il sito bahreinita come mirata a colpire presunti supporti a intelligence e operazioni militari USA, evidenziando come asset digitali “civili” possano essere percepiti e trattati come obiettivi strategici in un conflitto ibrido.

L’episodio pone in luce la fragilità di modelli di sovranità digitale basati su dipendenza da hyperscaler esteri: in zone di crisi geopolitica, contratti e SLA non reggono di fronte a imperativi di sicurezza nazionale o a rappresaglie statali. Stati che ospitano tali infrastrutture (come Bahrein ed EAU, alleati USA con basi militari americane) possono trovarsi costretti a subire impatti diretti su servizi essenziali, senza reali leve contrattuali per opporsi a decisioni prese altrove o a ordini di shutdown imposti da potenze belligeranti. Questo rafforza l’argomento per una maggiore diversificazione geografica, localizzazione dei dati critici e, in ultima analisi, per investimenti in infrastrutture cloud sovrane o ibride in grado di resistere a pressioni esterne di natura militare o ibrida.

Sulla proporzionalità della difesa informatica in conflitto armato

Ci si dovrebbe inoltre chiedere se l’esercizio legittimo della difesa informatica (o ibrida) in un contesto di conflitto armato – quando integra anche la violazione della sovranità di una nazione terza non direttamente belligerante – sia un atto che possa essere sempre coordinato in modo proporzionale all’offesa ricevuta.

Nel caso concreto degli attacchi iraniani ai data center AWS in Bahrein e negli Emirati Arabi Uniti (marzo 2026), l’azione del Corpo delle Guardie della Rivoluzione Islamica è stata presentata da Teheran come «difesa attiva» volta a neutralizzare un presunto supporto statunitense attraverso infrastrutture civili di un operatore privato. Tuttavia, i bersagli si trovavano in due Stati sovrani (Bahrein ed EAU) che non erano parte formale del conflitto scatenato dagli attacchi USA-Israele contro l’Iran. Si è trattato di un’operazione fisica (droni) con effetti su asset digitali ospitati in territorio terzo, causando danni diretti, interruzioni di servizi pubblici e privati, nonché impatti su dati critici di enti governativi locali.

La proporzionalità va misurata solo rispetto all’offesa iniziale o anche rispetto ai danni collaterali inflitti a soggetti non belligeranti e alle popolazioni civili che dipendono da quei servizi cloud?

La risposta non è semplice. Da un lato, il principio di proporzionalità richiede che l’azione difensiva non produca effetti sproporzionati rispetto al vantaggio militare atteso. Dall’altro, la natura dual-use delle infrastrutture cloud (civile e militare al tempo stesso) rende quasi inevitabile che un attacco mirato a «tagliare» il supporto logistico del nemico finisca per colpire Stati terzi che hanno scelto di affidarsi a hyperscaler stranieri. In questi casi, i trattati bilaterali, gli SLA contrattuali e le garanzie di riservatezza si rivelano del tutto inefficaci di fronte a imperativi di sicurezza nazionale o a rappresaglie militari.

L’episodio del marzo 2026 diventa quindi un caso studio emblematico: dimostra che, in assenza di regole internazionali aggiornate e vincolanti sulla ciberguerra ibrida, la «difesa attiva» rischia di trasformarsi in una catena di violazioni di sovranità a cascata, con conseguenze imprevedibili su Paesi che non hanno scelto di entrare in guerra ma si trovano comunque esposti per scelte tecnologiche e alleanze pregresse. Ecco perché, oltre alla diversificazione geografica e alla localizzazione dei dati critici, diventa urgente un dibattito globale su limiti e criteri di proporzionalità quando la difesa cibernetica (o fisica) travalica i confini nazionali. Senza tali regole, il rischio è che ogni Stato belligerante si senta autorizzato a colpire ovunque si trovi il «supporto indiretto» del nemico, trasformando il cloud globale in un campo di battaglia senza frontiere.

In un mondo iper-connesso, dove i data center ospitano carichi di lavoro governativi, sanitari, finanziari e di intelligence di più nazioni, esiste ancora un confine chiaro tra «obiettivo militare lecito» e «violazione di sovranità altrui»?

Il confine non è chiaro, è spesso arbitrario, perché dipende da interpretazioni soggettive di tre principi del diritto internazionale umanitario che si scontrano con la realtà fisica delle infrastrutture cloud.

In pratica oggi un data center può essere:

• Obiettivo militare lecito per chi lo attacca (se dual-use),
• Violazione di sovranità per chi lo ospita,
• Danno collaterale sproporzionato per la popolazione civile che ne dipende.

In assenza di regole aggiornate, ogni Stato belligerante si sentirà autorizzato a colpire ovunque si trovi un “supporto indiretto” del nemico, trasformando ogni hyperscaler globale in un potenziale campo di battaglia transnazionale.

Ma cosa accadrebbe se il coordinamento venisse a mancare e le decisioni di attacco difesa fossero prese autonomamente da uno Stato costretto a difendersi?

Senza coordinamento, la difesa informatica/ibrida non è più “legittima difesa”: diventa roulette russa con le infrastrutture del mondo intero. Lo Stato che si difende da solo non solo viola la sovranità altrui, ma perde la capacità di calibrare la risposta. E in un mondo dove un singolo drone può spegnere il cloud di tre Paesi, questa perdita di controllo non è un rischio teorico. È la nuova normalità che stiamo già vivendo. Ecco perché la vera domanda urgente non è più “è lecito?”, ma “chi ferma la catena quando nessuno coordina più nulla?”.

I Data Center come infrastrutture militari non solo civili

Un singolo attacco con drone, o forse pochi, su un impianto di Amazon Web Services (AWS) in Bahrein ha mandato offline servizi cloud essenziali in tutta la regione del Golfo. È successo all’inizio di marzo 2026, nel mezzo dell’escalation tra Iran, Stati Uniti e Israele. E ha dimostrato una verità scomoda: i data center americani non sono più infrastrutture civili. Sono diventati avamposti digitali di proiezione di potenza, non così diversi da basi militari tradizionali.

AWS conferma lunedì 2 marzo: danni strutturali, blackout elettrici, interventi antincendio che causano allagamenti. Le zone di disponibilità UAE e Bahrein rimangono parzialmente o totalmente offline per giorni. Applicazioni di ride-hailing come Careem, servizi di pagamento come Alaan, enti pubblici locali: tutto subisce interruzioni gravi.L’agenzia statale iraniana Fars, vicina al Corpo delle Guardie della Rivoluzione Islamica (IRGC), non nasconde la motivazione. In un post su Telegram, dichiara che l’attacco al sito bahreinita è stato lanciato «per identificare il ruolo di questi centri nel supportare le attività militari e di intelligence del nemico». Per Teheran, AWS non è un’azienda privata: è un facilitatore di operazioni USA. Contratti noti da anni con il Dipartimento della Difesa americano, carichi di lavoro di intelligence, centri di inferenza per Intelligenza Artificiale usati anche in ambito militare. Il Bahrein, dal 2019 sede di una region AWS, ospita carichi di lavoro per enti pubblici locali, ma anche asset percepiti come americani. Ospitare quei server significa, di fatto, ospitare un pezzo di infrastruttura strategica USA sul proprio suolo.

La sovranità digitale ha superato quella territoriale. Nel 2022 analisti e think-tank (alcuni di questi da me seguiti come consulente) avvertivano già del “livello di vulnerabilità asimmetrica”: in un conflitto ibrido, il primo bersaglio non sarebbe più un aeroporto o una caserma, ma il data center che regge l’economia, la pubblica amministrazione e i servizi essenziali di un Paese. All’epoca sembrava un esercizio teorico. Oggi è realtà.

Per i governi che ospitano hyperscaler americani, la lezione è netta: ospitare centri di Intelligenza Artificiale e data center USA non è solo una scelta tecnologica. È una scelta geopolitica.

È fornire basi avanzate in una guerra che non richiede più truppe sul terreno, ma elettricità, fibra ottica e rack server. La vera sovranità, in questa fase storica, coincide con la sicurezza fisica degli asset digitali critici. Molti lo dicevano già nel 2022: chi dipende da cloud esteri in zone calde geopoliticamente accetta un rischio asimmetrico enorme. Oggi, dopo un drone in Bahrein, non è più un avvertimento. È un fatto compiuto. E se non si accelera su diversificazione geografica, localizzazione dei dati sensibili e infrastrutture cloud sovrane o ibride, il prossimo blackout non sarà un incidente: sarà una sconfitta strategica silenziosa.