← Blog

Perché l'app di IA europea EUStella non è così europea come sembra

Perché l'app di IA europea EUStella non è così europea come sembra

TL;DR: L’app di IA europea EUStella promuove la sovranità dei dati, ma instrada gli utenti attraverso infrastrutture statunitensi tramite accessi social con Google e Apple e la gestione degli abbonamenti con RevenueCat: scelte di prodotto, non vincoli tecnici. Il CLOUD Act consente alle autorità USA di obbligare le aziende americane a consegnare i dati indipendentemente dalla posizione dei server, e il Data Privacy Framework transatlantico rischia il collasso dopo che l’amministrazione Trump ha svuotato i suoi organi di supervisione. Per chi ha scelto EUStella proprio per evitare il trattamento americano dei dati, l’etichetta «europea» descrive un’aspirazione più che un’architettura.

L’app di IA europea EUStella si vende con una premessa semplice: i tuoi dati restano in Europa, lontani dalla legge di sorveglianza americana e dagli ecosistemi aziendali che la alimentano. Quella promessa attira esattamente gli utenti diventati scettici verso le grandi piattaforme USA. Ma uno sguardo più attento ai sub-processori dietro l’app rivela una decisione di prodotto eloquente: opzioni di accesso social che instradano i dati attraverso infrastrutture di identità di proprietà statunitense, e gestione degli abbonamenti tramite RevenueCat, un’azienda di San Francisco. Entrambe sono scelte, non vincoli. Entrambe sono aziende con sede negli USA. L’etichetta «europea», a quanto pare, descrive un’aspirazione più che un’architettura.

Questa guida esamina dove viaggiano realmente i dati degli utenti, perché la posizione del server da sola non equivale a sovranità, e se le alternative europee che la documentazione di EUStella scarta come inesistenti esistono davvero. Le risposte contano soprattutto per chi ha scelto questa app perché diffida del trattamento americano dei dati.

La promessa europea di EUStella

L’app di IA europea EUStella, sviluppata dalla startup viennese AI Newsrooms Technology GmbH, si posiziona come alternativa alle piattaforme dominanti di IA americane e presenta l’app come un compagno costruito con valori europei — un messaggio che risuona tra chi esita a consegnare i propri dati alla Silicon Valley.

Marketing vs. clausole scritte in piccolo

La storia pubblica è lineare: azienda europea, infrastruttura europea e Regolamento generale sulla protezione dei dati (GDPR) integrato fin dall’inizio. Questo inquadramento attira utenti attenti alla privacy che usano la geografia come proxy di sicurezza. La pagina dei sub-processori racconta però una storia più complicata.

Cosa dice davvero la pagina dei sub-processori

La divulgazione dei sub-processori di EUStella, aggiornata il 22 giugno 2026, si apre con un impegno alla trasparenza in linguaggio chiaro piuttosto che in gergo legale.[1] L’azienda promette di spiegare, per ogni fornitore extra-UE, perché «non esiste genuinamente un’alternativa europea in grado di svolgere lo stesso compito». Vale la pena tenere a mente questa frase mentre si legge l’elenco effettivo. I punti chiave che la pagina stabilisce sono:

  • I sub-processori agiscono su istruzione di EUStella e non possono usare i tuoi dati in modo indipendente.

  • L’articolo 28 del GDPR richiede la divulgazione di tutti i processori terzi.

  • I fornitori extra-UE sono elencati con le giustificazioni del loro utilizzo.

  • L’elenco viene aggiornato quando i sub-processori vengono aggiunti o modificati in modo sostanziale.

  • I clienti Business to Business (B2B) dedicati operano con condizioni negoziate individualmente.

Ciò che la pagina non nasconde è che diversi di questi sub-processori sono aziende con sede negli USA — ed è lì che la promessa europea si complica.

I servizi USA dietro la facciata europea

L’elenco dei sub-processori di EUStella è trasparente su qualcosa che contrasta con l’angolo di marketing centrale del prodotto. Due dei servizi terzi elencati sono aziende americane che gestiscono punti sensibili di contatto con i dati: accesso social e gestione degli abbonamenti.[1]

Offrire Sign in with Google e Apple

EUStella usa Firebase Authentication, ma solo per un percorso specifico: l’accesso con il tuo account Google. Se ti registri con e-mail e password, Firebase non entra mai in gioco. È una sfumatura importante che la loro pagina dei sub-processori descrive correttamente.

Ma solleva una domanda diversa. Se EUStella è genuinamente impegnata nella sovranità europea dei dati, perché offre Sign in with Google e Sign in with Apple? È la prima cosa che vedono i nuovi utenti. Entrambe le opzioni instradano il tuo accesso attraverso infrastrutture di identità di proprietà statunitense per design. Non è un vincolo tecnico. È una decisione di prodotto. Hanno scelto di aggiungere quei pulsanti, sapendo che ogni utente che ne tocca uno invia dati di autenticazione ai server di Google o Apple.

Il controargomento è la comodità: l’accesso social riduce l’attrito e migliora la conversione. Può essere vero. Ma è un compromesso commerciale, non una necessità. Un prodotto che promuove valori europei a utenti attenti alla privacy spinge attivamente verso l’infrastruttura dati statunitense. Le alternative europee per l’autenticazione gestiscono e-mail, passkey e accesso social senza alcuna dipendenza dagli USA. Mantenere l’accesso con Google e Apple è una scelta — e sta male accanto al discorso sulla sovranità.

RevenueCat per la gestione degli abbonamenti

La gestione degli abbonamenti passa attraverso RevenueCat, un’azienda con sede a San Francisco. Quando l’app deve verificare se il tuo abbonamento è attivo, convalidare un acquisto con Apple o Google, o sbloccare le funzionalità giuste per il tuo account, quella logica transita attraverso un’entità commerciale statunitense. L’elaborazione effettiva dei pagamenti si trova un livello sopra RevenueCat: su mobile, Apple e Google raccolgono i dati della carta e agiscono come merchant of record. RevenueCat non vede mai il numero della tua carta. Ciò che riceve è un identificatore utente pseudonimizzato, il tipo di dispositivo, lo stato dell’abbonamento e i dati della ricevuta d’acquisto.[1] Sono comunque dati nelle mani degli USA, e ricadono comunque nella giurisdizione legale americana.

La pagina dei sub-processori ha valutato Adapty e Qonversion come alternative e ha correttamente notato che entrambe sono incorporate nel Delaware. Ma quella valutazione inquadra il problema in modo troppo ristretto. La domanda non è se esista un clone europeo di RevenueCat; è se EUStella abbia davvero bisogno di un SDK per abbonamenti. Dal 2026, il Digital Markets Act (DMA) richiede ad Apple e Google di consentire alle app di collegare gli utenti a pagine di pagamento esterne, bypassando del tutto il checkout in-app. L’utente tocca un link, paga tramite un processore europeo su una pagina web, e l’app concede l’accesso corrispondente. Niente RevenueCat, nessuna azienda USA nella catena. Quel percorso esiste, ma EUStella non l’ha percorso.

Perché conta: le leggi USA sull’accesso ai dati

Il CLOUD Act USA spiegato

Il Clarifying Lawful Overseas Use of Data (CLOUD) Act, approvato nel 2018, dà alle autorità statunitensi la capacità di obbligare le aziende americane a consegnare i dati che controllano, indipendentemente da dove siano fisicamente archiviati.[3] Questa distinzione è importante. Dati su un server europeo ma gestiti da un’azienda con sede negli USA restano raggiungibili con un ordine legale valido. Quando i tuoi identificatori di autenticazione passano attraverso Firebase o la cronologia degli abbonamenti è con RevenueCat — entrambi gestiti da entità statunitensi — quei record rientrano in quella portata legale.

Incertezza politica e l’amministrazione Trump

Il quadro transatlantico sui dati che attualmente consente i trasferimenti tra Unione europea e USA è un accordo politico, non un dato permanente. I suoi due predecessori, Safe Harbor e Privacy Shield, sono stati annullati dai tribunali europei. L’attuale Data Privacy Framework (DPF) mostra già le stesse crepe.

A gennaio 2025, l’amministrazione Trump ha licenziato i membri democratici sia del Data Protection Review Court (DPRC) sia del Privacy and Civil Liberties Oversight Board (PCLOB), i due organi su cui gli utenti europei contano per ottenere ricorso se le agenzie di intelligence USA trattano male i loro dati. Il PCLOB nomina i membri del DPRC; svuotare entrambi in un colpo solo ha lasciato l’intera catena di supervisione senza quorum, di fatto paralizzata. Ha anche consegnato al potere esecutivo il controllo diretto su istituzioni che la legge europea sull’adeguatezza richiede siano indipendenti.[5]

Poi, a giugno 2026, la Corte suprema USA ha deciso in Trump v. Slaughter che le tutele statutarie contro la rimozione dei membri della Federal Trade Commission (FTC) sono incostituzionali. La FTC è uno degli organi chiave di supervisione su cui si basa il DPF, e la legge UE richiede esplicitamente che le autorità di protezione dei dati siano indipendenti. Entro pochi giorni, NOYB ha chiesto alla Commissione europea di abrogare il DPF come invalido e ha annunciato un’azione legale per annullarlo.[5]

Il DPF potrebbe già vivere a credito. Se venisse annullato, tutti gli accordi di clausole contrattuali standard che EUStella ha messo in place per i suoi sub-processori con sede negli USA dovrebbero essere rivalutati, e la base legale di quei trasferimenti di dati sarebbe in dubbio. Per chi sceglie un’app di IA proprio perché diffida delle grandi piattaforme americane, instradare qualsiasi dato attraverso aziende USA reintroduce esattamente l’esposizione che cercava di evitare.

Alternative europee che esistono oggi

La pagina dei sub-processori di EUStella afferma che «non esiste genuinamente un’alternativa europea» per alcuni dei suoi servizi con sede negli USA.[1] Questa affermazione merita scrutinio, perché un mercato funzionante di strumenti costruiti in Europa copre esattamente queste categorie.

Opzioni di autenticazione

BetterAuth è una libreria di autenticazione open source che può funzionare interamente su infrastruttura controllata dallo sviluppatore. Hanko offre sia una versione self-hosted sia un’opzione cloud con residenza dei dati in Europa. Zitadel è un altro identity provider open source pensato per self-hosting e opzioni cloud, senza obbligo di instradare i dati di accesso attraverso sistemi USA. Tutti e tre gestiscono i flussi di autenticazione standard di cui un’app di IA consumer avrebbe bisogno.

Opzioni di elaborazione dei pagamenti

Il quadro è più sfumato di quanto lasci intendere la pagina dei sub-processori di EUStella. Hanno valutato Adapty e Qonversion come alternative a RevenueCat e hanno constatato che entrambe sono incorporate nel Delaware. Questa ricerca sembra accurata: a metà 2026, nessuna azienda con sede nell’UE offre un SDK di abbonamenti mobile cross-platform pronto per la produzione con un set di funzionalità equivalente.[1]

Ma la domanda più importante è se instradare gli abbonamenti attraverso un’azienda USA sia davvero inevitabile. Dal 2026, non lo è. Il Digital Markets Act (DMA) ora richiede ad Apple e Google di consentire alle app di collegare gli utenti a pagine di pagamento esterne, al di fuori del flusso di checkout di App Store o Play Store. Uno sviluppatore può indirizzare l’utente a una pagina web, riscuotere il pagamento tramite un processore europeo e concedere l’accesso corrispondente nell’app. Niente RevenueCat, nessun SDK di abbonamenti USA richiesto.

Processori di pagamento europei che coprono questo caso d’uso sono disponibili e pronti per la produzione. Mollie, con sede nei Paesi Bassi, gestisce abbonamenti e fatturazione ricorrente in tutta Europa. Frisbii e Stancer sono ulteriori opzioni europee per la gestione degli abbonamenti. Nessuno comporta un rapporto contrattuale con una società madre statunitense. Se EUStella offrisse un flusso di abbonamento basato sul web tramite uno di questi processori, gli utenti attenti alla sovranità dei dati avrebbero un’opzione reale. Quell’opzione non esiste attualmente nel prodotto.

Trovare infrastruttura sovrana

DentroChat mantiene una risorsa pubblica chiamata awesome-eu-infra, che cataloga le opzioni di infrastruttura europea per livello di sovranità. La distinzione conta: alcuni servizi hanno sede europea ma usano regioni cloud USA, mentre altri offrono genuina sovranità dei dati senza proprietà aziendale statunitense nella catena. Gli sviluppatori che costruiscono prodotti Europe-first hanno un riferimento pratico per capire queste distinzioni. Le alternative esistono. Usarle è una decisione di prodotto, non un’impossibilità tecnica.

Il problema App Store e Play Store

C’è un ambito in cui la dipendenza USA di EUStella è genuinamente difficile da evitare: la distribuzione. Pubblicare sull’Apple App Store e su Google Play significa accettare quelle piattaforme come gatekeeper — entrambe aziende americane. Quella parte è un vincolo reale.

Su Android, però, il vincolo è più debole di quanto sembri. Gli app store di terze parti sono un canale di distribuzione legittimo, e alcuni sono molto più favorevoli alla sovranità di Google Play. F-Droid è l’opzione più consolidata: un repository gratuito open source per app Android, senza account Google e senza infrastruttura di tracciamento. Aptoide, con sede a Lisbona, è un’alternativa di proprietà europea con un ampio catalogo. Nessuno sostituisce la portata del Play Store, ma per un prodotto che si rivolge a europei attenti alla privacy, un listing su F-Droid o Aptoide sarebbe un segnale credibile. EUStella non ne offre attualmente nessuno.

iOS è un problema più difficile. Apple mantiene un monopolio rigoroso sull’installazione delle app sui suoi dispositivi nella maggior parte dei mercati, e persino le disposizioni di sideloading del DMA si applicano solo all’interno dell’Unione europea e comportano attriti che Apple ha deliberatamente costruito. Per ora, ogni app per iPhone è, per necessità, un’app App Store. È un vincolo genuino, non una scelta fatta da EUStella.

Le salvaguardie legali non sono sovranità dei dati

I limiti della protezione contrattuale

Le clausole contrattuali standard (SCCs) sono modelli contrattuali approvati dalla Commissione europea che impongono legalmente ai processori con sede negli USA di trattare i dati personali UE a standard equivalenti al GDPR.[4] La documentazione dei sub-processori di EUStella si basa sulle SCCs per i suoi fornitori con sede negli USA.[1] Il problema è che le SCCs sono obblighi contrattuali, non barriere tecniche. Vincolano il comportamento dell’azienda sulla carta, ma non possono prevalere su un ordine del tribunale USA che obbliga quell’azienda a produrre i dati. I dati viaggiano comunque verso l’infrastruttura USA. L’esposizione legale resta.

Come appare una piena sovranità europea dei dati

La piena sovranità dei dati significa che i dati degli utenti non entrano mai in una giurisdizione in cui si applica la legge di sorveglianza USA — non perché un contratto dice che il fornitore resisterà, ma perché l’infrastruttura non può fisicamente essere raggiunta da quell’autorità. Ciò richiede servizi di proprietà e gestione europea end-to-end, inclusi autenticazione e fatturazione. È un livello più alto della conformità al GDPR, ed è il livello che il branding « IA europea » fissa implicitamente. I contratti proteggono dall’uso improprio. L’architettura protegge dalla divulgazione forzata.

Verdetto: app di IA europea EUStella

L’app di IA europea EUStella è conforme al GDPR ed è stata costruita da un team che pensa chiaramente alla privacy. Il branding, però, fissa un’aspettativa specifica: che i tuoi dati restino completamente fuori dalle mani americane. La pagina dei sub-processori è trasparente, la documentazione legale è dettagliata, e l’intento sembra genuino. Ma conformità al GDPR e sovranità dei dati non sono la stessa cosa, e il marketing del prodotto le confonde.

Se hai scelto questa app perché volevi i tuoi dati completamente fuori dalla portata legale americana, l’architettura non lo garantisce, qualunque cosa dica il branding.

Esistono e funzionano alternative europee per autenticazione ed elaborazione dei pagamenti. Fino a quando EUStella non sostituirà i suoi sub-processori con sede negli USA con altri genuinamente europei, l’inquadramento onesto è quello di un’app attenta alla privacy costruita su infrastruttura parzialmente americana.

Riferimenti

  1. Sub-Processors - eustella (eustella.com)

  2. firebase.google.com

  3. aws.amazon.com

  4. www.top.legal