Il blackout globale del 18 novembre 2025 ha riportato in primo piano la questione della sovranità digitale, rivelando quanto anche realtà che promuovono indipendenza tecnologica, come Matrice Digitale, restino legate a infrastrutture estere. Nel primo periodo emergono tre elementi chiave: la natura non malevola dell’evento, dovuto a un semplice errore di permessi, l’effetto domino che ha coinvolto servizi critici in tutto il mondo e il paradosso politico-tecnico che vede l’Italia affidarsi a CDN straniere per garantire sicurezza e prestazioni richieste da Google per i suoi truffaldini PageSpeed insight e Core Web Vitals. L’incidente ha mostrato che la dipendenza da pochi fornitori globali rappresenta una fragilità strutturale del perimetro cibernetico nazionale, evidenziando quanto la sovranità digitale sia più un percorso che uno stato raggiunto. Per sei ore, la rete globale ha oscillato tra errori 5xx, dashboard offline e servizi essenziali irraggiungibili, dimostrando il peso reale che un singolo punto di fallimento logico può avere sull’intero ecosistema internet.
Cosa leggere
Quando Cloudflare si spegne e mezzo web va giù
Il blackout inizia tra le 11:20 e le 11:28 UTC, quando Cloudflare comincia a non consegnare correttamente il traffico HTTP, generando una valanga di errori 5xx. Il problema non riguarda un semplice sito o una singola applicazione, ma uno degli strati intermedi che filtra, accelera e protegge il traffico di centinaia di migliaia di servizi digitali. L’infrastruttura di Cloudflare è presente in oltre 330 città, con una capacità edge di 449 Tbps, e si pone come snodo centrale del traffico globale. Quando questo snodo si inceppa, le conseguenze sono immediate: portali istituzionali irraggiungibili, piattaforme social offline, servizi di autenticazione compromessi, DNS e WAF bloccati. Il traffico crolla simultaneamente su servizi apparentemente non correlati, accomunati solo dal fatto di utilizzare Cloudflare come front-end. I sistemi di monitoraggio, compresi quelli di Downdetector, segnalano decine di migliaia di problemi in pochi minuti, ma l’aspetto interessante è che la stessa piattaforma che monitora l’erogazione del servizio è andata giù. Il blackout non ha origine da un attacco esterno, ma da un errore umano in una routine amministrativa.
Il bug banale che ha messo in ginocchio la rete globale
Il post-mortem di Cloudflare conferma che tutto nasce da una modifica ai permessi di un database. Una query, dopo l’aggiornamento, inizia a restituire metadati duplicati, causando la generazione errata del file di configurazione del modulo di Bot Management. Questo file, che normalmente contiene circa 60 feature, supera improvvisamente il limite di 200 feature, raggiungendo dimensioni non previste dal codice. Il limite era stato inserito come misura di sicurezza per evitare consumi di memoria eccessivi. Un job ciclico, ogni cinque minuti, rigenera il file: i nodi aggiornati producono file sovradimensionati, mentre quelli non aggiornati producono file corretti. Il risultato è un sistema distribuito in stato di oscillazione, con regioni funzionanti e regioni non funzionanti che alternano cicli di instabilità. La rete globale rimbalza tra stati sani e stati compromessi, amplificando l’effetto dell’errore.
Il crash del proxy in Rust e la cascata di errori 5xx
Il file generato non è un semplice supporto, ma un elemento critico per il componente di Bot Management scritto in Rust. Quando il file supera la soglia ammessa, il codice entra in panic mode, bloccando il processo per evitare comportamenti indefiniti. Questa misura di sicurezza, progettata per proteggere l’integrità della memoria, produce però un effetto collaterale devastante: il modulo si arresta, il proxy core che lo utilizza fallisce, e i nodi iniziano a restituire errori 5xx a catena. Nel giro di minuti, un errore confinato a un database diventa un incidente sistemico capace di bloccare parte di internet. L’ecosistema, dipendente da un’unica infrastruttura centrale, non riesce ad assorbire la perturbazione.
Cronologia di un blackout annunciato
Il post-mortem ricostruisce con precisione la successione degli eventi: i primi malfunzionamenti si manifestano intorno alle 11:20 UTC, seguiti da un’esplosione globale di errori 5xx. Per ore, la rete alterna brevi momenti di stabilità a nuovi crolli, in linea con la rigenerazione ciclica del file difettoso. Alle 14:30 UTC, il rollback della configurazione riporta il traffico alla normalità, mentre il ripristino completo avviene alle 17:06 UTC. Cloudflare definisce l’accaduto il peggior outage dal 2019 e lo classifica come evento inaccettabile per un operatore di rilevanza globale. L’episodio dimostra che un singolo punto di fallimento logico può produrre effetti simili a un attacco distribuito, pur senza attori malevoli coinvolti.
Perché anche Matrice Digitale è rimasta al buio
La testata Matrice Digitale, pur essendo promotrice del concetto di sovranità digitale, si è trovata offline insieme ai giganti globali. La ragione è tecnica e strutturale: il sito utilizza Cloudflare come CDN e reverse proxy, con i DNS del dominio delegati completamente ai nameserver del provider. Quando Cloudflare non risponde, l’intero percorso di accesso al sito si interrompe. Il pannello di controllo, anch’esso affetto dal blackout, rende impossibile modificare rapidamente configurazioni, disattivare il proxy o cambiare i DNS. Anche optando per un ritorno immediato all’hosting originale, il tempo di propagazione sarebbe stato superiore all’interruzione in corso.
La dipendenza da Cloudflare diventa quindi un vincolo infrastrutturale che limita il margine d’azione durante crisi di questo tipo.
Dal caso BunnyCDN alle scelte obbligate
Prima di Cloudflare, Matrice Digitale utilizzava BunnyCDN, una soluzione più neutrale che non richiedeva la cessione dei DNS. Tuttavia, questa scelta è stata abbandonata per ragioni operative e regolatorie. Alcuni hosting provider hanno iniziato a classificare gli IP di Bunny come potenzialmente insicuri, mentre strumenti come Piracy Shield hanno contribuito a ban e blocchi di interi intervalli di IP, colpendo anche utenti legittimi. In questo contesto, il passaggio a Cloudflare è diventato quasi obbligato, offrendo maggiore affidabilità e compliance globale, ma imponendo un vendor lock-in difficile da invertire rapidamente. Il caso mostra come la sovranità tecnica spesso si scontri con esigenze pratiche e con dinamiche regolatorie non sempre prevedibili.
Quando il DNS è prigioniero della CDN
La differenza tra le due architetture risiede nella gestione del DNS. Con BunnyCDN, i DNS restano sotto il controllo dell’hosting; con Cloudflare, diventano parte integrante della CDN. Questo significa che la visibilità del sito su internet dipende totalmente dalla risposta dei nodi Cloudflare. Durante il blackout, l’interfaccia di gestione era irraggiungibile, impedendo qualsiasi azione immediata. Anche una migrazione d’emergenza avrebbe richiesto tempi di propagazione incompatibili con la gestione in tempo reale del disservizio. Matrice Digitale si è quindi trovata nella condizione di dover attendere la risoluzione interna di Cloudflare, senza possibilità di mitigazione autonoma.
Perimetro cibernetico nazionale e dipendenza da servizi stranieri
La discussione su perimetro cibernetico e infrastrutture critiche in Italia non tiene sempre conto delle dipendenze tecniche del settore privato e dei media. Molte realtà ricorrono a provider globali perché offrono prestazioni elevate, protezione DDoS e servizi integrati a costi accessibili. Il problema è che queste aziende non ricadono sotto gli obblighi di continuità previsti per operatori strategici. L’incidente dimostra che l’intero ecosistema digitale italiano è più vulnerabile di quanto sembri, soprattutto quando reti e progetti non strategici dipendono da fornitori non regolati a livello nazionale. La sovranità digitale, in questo senso, non riguarda solo i servizi pubblici ma l’intera filiera dell’informazione e delle imprese.
L’ironia storica: da Killnet e NoName al bug di un database
Negli anni scorsi, gli attacchi di Killnet e NoName057(16) avevano spinto molte realtà, anche istituzionali, a utilizzare Cloudflare come scudo contro DDoS. Matrice Digitale aveva evidenziato il paradosso di affidarsi a un fornitore estero come elemento di difesa nazionale. Oggi, la dinamica si capovolge: mentre la pubblica amministrazione ha diversificato le proprie infrastrutture, Matrice Digitale è rimasta vittima di un errore interno a Cloudflare. Non c’è stato bisogno di un attacco coordinato: un semplice errore umano ha avuto un effetto simile a una campagna malevola su larga scala.
Un pattern di fragilità infrastrutturale
Il blackout di novembre non è un incidente isolato. Nei mesi precedenti, Cloudflare ha affrontato interruzioni ai servizi Zero Trust, mentre Amazon Web Services ha sofferto un outage DNS con impatti globali. Questi episodi, presi insieme, mostrano un quadro di concentrazione tecnica in cui pochi operatori controllano porzioni enormi di internet. Un bug o una configurazione errata in uno di questi nodi può produrre effetti sistemici. L’idea originaria di internet come rete decentralizzata è compromessa dalla logica delle piattaforme globali e dalla crescente centralizzazione del traffico in pochi punti focali.
Cosa insegna il blackout di Cloudflare all’ecosistema italiano
Per l’Italia, l’incidente evidenzia tre lezioni fondamentali. La prima è la necessità di trasparenza del rischio: affidarsi a CDN globali significa cedere sovranità tecnica e accettare vulnerabilità che non ricadono sotto giurisdizione nazionale. La seconda riguarda la ridondanza vera, che non può limitarsi alla replica dei server ma deve includere percorsi di traffico alternativi, DNS multipli e capacità di scollegare rapidamente la CDN in caso di emergenza. La terza è un tema politico: la sovranità digitale non può essere solo un concetto applicato agli operatori critici, ma deve includere anche media, aziende tecnologiche e piattaforme che contribuiscono alla resilienza informativa del paese.
Verso una sovranità digitale che non sia solo uno slogan
L’outage del 18 novembre rappresenta per Matrice Digitale uno stress test significativo. Conferma che anche chi si batte per la sovranità digitale dipende ancora da infrastrutture non controllabili a livello nazionale. La strada verso un modello più autonomo richiede scelte architetturali complesse, investimenti e una visione che superi la logica emergenziale. Cloudflare ha riconosciuto la gravità dell’incidente, definendolo il peggiore degli ultimi sei anni, ma la domanda che rimane aperta non riguarda solo i piani futuri dell’azienda. Riguarda ciò che l’ecosistema italiano deciderà di fare per non ritrovarsi, tra qualche anno, nella stessa situazione con un fornitore diverso.
