Il 18 novembre 2025 resterà segnato in rosso nel calendario di internet. Alle 12:20, ora italiana, una porzione significativa del web globale ha semplicemente smesso di funzionare. ChatGPT irraggiungibile. X che non caricava. Spotify muto. Microsoft Teams congelato. Zoom che ti lasciava solo davanti allo schermo nero. Non un attacco hacker, non una guerra cibernetica, non un complotto. Un errore umano nella gestione di un database. Un singolo file duplicato che è cresciuto a dismisura fino a mandare in tilt i sistemi. E il responsabile aveva un nome che in pochi conoscono davvero, ma che tutti usano ogni giorno: Cloudflare. La società californiana, nata nel 2009 da un’idea di Matthew Prince, Lee Holloway e Michelle Zatlyn, gestisce oggi oltre il 20% del traffico HTTP mondiale. Quarantuno milioni di proprietà internet passano attraverso la sua rete distribuita in 330 città di 125 Paesi. Se internet fosse un corpo umano, Cloudflare ne sarebbe il sistema circolatorio. E quando il cuore si ferma, anche solo per qualche ora, l’intero organismo va in sofferenza.
Ma facciamo un passo indietro. Cos’è esattamente Cloudflare e come ha fatto a diventare così indispensabile da rendere vulnerabile l’intera architettura della rete? Tutto nasce nel 2004 con Project Honey Pot, un esperimento ideato da Prince e Holloway per monitorare il comportamento degli spammer, quegli instancabili raccoglitori automatici di indirizzi email che intasano le nostre caselle di posta. Attorno a quel progetto si è formata una comunità di appassionati che ha posto una domanda semplice ma rivoluzionaria: perché limitarsi a osservare quando si può agire? Cinque anni dopo è nata Cloudflare, con una missione tanto ambiziosa quanto sfuggente: rendere internet un posto migliore.
Il funzionamento è ingegnoso nella sua semplicità. Normalmente, quando digiti un indirizzo web, il tuo browser chiede al sistema DNS l’indirizzo IP del server che ospita quel sito e si connette direttamente. Con Cloudflare, invece, entri in gioco attraverso un intermediario. La società agisce come un reverse proxy, uno scudo che si frappone tra te e il server vero e proprio. Immagina di voler parlare con il direttore di una banca: invece di entrare direttamente nel suo ufficio, passi dalla reception. La reception controlla i tuoi documenti, verifica che tu non rappresenti una minaccia e, solo allora, ti consente l’accesso. Se arriva una folla inferocita con l’intento di assaltare la banca, la reception chiude le porte blindate e il direttore resta al sicuro. Questo sistema offre vantaggi straordinari. Nasconde l’indirizzo IP reale del server, rendendolo invisibile agli attacchi. Filtra il traffico dannoso attraverso un Web Application Firewall (WAF) che blocca codice malevolo, tentativi di SQL Injection o Cross-Site Scripting. Velocizza drammaticamente il caricamento delle pagine grazie al caching, ovvero alla memorizzazione temporanea dei contenuti nei server più vicini all’utente. E protegge dai temutissimi attacchi DDoS, quelle ondate di traffico fasullo che mirano a soffocare un sito sotto una montagna di richieste simultanee.
Dal 2014 Cloudflare ha progressivamente democratizzato tecnologie un tempo riservate ai giganti della Silicon Valley. Universal SSL, che cripta il traffico web, è diventato gratuito per tutti. Il resolver DNS 1.1.1.1, velocissimo e rispettoso della privacy, è oggi usato da milioni di persone. La piattaforma Cloudflare Workers permette di eseguire codice direttamente sui server distribuiti, trasformando l’intera rete in un sistema operativo per il web moderno. E con l’arrivo dei computer quantistici, capaci potenzialmente di scardinare la crittografia tradizionale, l’azienda ha implementato di default la crittografia post-quantistica su tutta la sua infrastruttura. Ma questa centralità ha un prezzo. E il bilancio tra missione e realtà si è fatto nel tempo sempre più complesso.
Nel 2011, appena conquistate quote significative di mercato, Cloudflare è finita nella sua prima grande polemica. Il collettivo di hacker LulzSec, autori di attacchi informatici a istituzioni come la CIA, ha usato i servizi dell’azienda per proteggere il proprio sito web. Matthew Prince ha difeso la scelta con un argomento destinato a tornare ciclicamente: Cloudflare non vuole fare censura e blocca i clienti solo se compiono atti palesemente illegali attraverso la sua piattaforma. Il sito di LulzSec, per quanto moralmente discutibile, non distribuiva malware né pubblicava dati rubati direttamente. Era solo una vetrina. Con gli anni, però, la situazione si è intricata. Cloudflare è stata accusata di prestare servizi a gruppi dediti alla persecuzione di minoranze, allo stalking online, alla diffusione di teorie del complotto e disinformazione. Il mantra della neutralità ha cominciato a suonare stonato quando applicato a contesti dove la linea tra libertà di espressione e danno sociale diventa sottile come un filo di ragnatela.
Anche in Italia il nome Cloudflare è finito sotto i riflettori. Nel 2024 il Tribunale di Milano ha ordinato all’azienda di interrompere il supporto tecnico a una rete di siti coinvolti nella diffusione illegale di contenuti sportivi. Più di recente, la questione con AGCOM e Piracy Shield ha acceso un dibattito rovente: Cloudflare è stata multata per aver rifiutato di automatizzare il blocco dei siti segnalati dall’autorità, sostenendo che una procedura del genere avrebbe rischiato di oscurare per errore anche piattaforme legittime. La società ha dato priorità alla stabilità della rete rispetto alle richieste di tutela del copyright. Una scelta che ha segnato un punto di non ritorno nelle relazioni con le autorità italiane.
Eppure, sarebbe riduttivo dipingere Cloudflare solo come complice involontario di attività illecite. La medaglia ha anche un’altra faccia, luminosa e concreta. Durante l’invasione russa dell’Ucraina, l’azienda ha fornito protezione gratuita alle istituzioni ucraine colpite da devastanti attacchi DDoS e tentativi di intrusione. Ha contribuito a mantenere operativi servizi pubblici essenziali mentre i missili cadevano sulle città. In un’altra occasione, ha bloccato uno degli attacchi informatici più massicci mai registrati, difendendo un provider di servizi internet rimasto anonimo da un’offensiva che avrebbe potuto paralizzare intere porzioni di rete.
E qui sta il cortocircuito. Cloudflare è al tempo stesso guardiano e punto debole. Protegge e, quando cade, trascina con sé una fetta di mondo digitale. Il blackout del 18 novembre ne è la dimostrazione più lampante. Alle 12:20 italiane un tecnico ha modificato i permessi di un database. Un’operazione probabilmente routinaria, ma che ha innescato una reazione a catena. Il sistema ha iniziato a generare dati duplicati, raddoppiando le dimensioni del feature file, quel documento che contiene le regole per identificare il traffico web sospetto. Il file è cresciuto oltre i limiti gestibili dal software che lo elabora. Una volta distribuito lungo la rete globale di Cloudflare, i sistemi deputati a gestire il traffico sono andati in crash. Milioni di siti irraggiungibili. Servizi bloccati. Frustrazioni globali.
Alle 15:42 Cloudflare ha comunicato di aver implementato una correzione e gradualmente il problema è rientrato. Ma il danno reputazionale e la lezione politica restano. Un singolo errore in una singola entità ha rischiato di causare danni su scala planetaria. E questo solleva domande che vanno ben oltre la tecnologia. Come si concilia la retorica della sovranità digitale, decantata da governi e continenti, con la dipendenza quasi totale da pochi colossi privati? Cosa significa decentralizzazione in un internet che corre sul filo della centralizzazione infrastrutturale? Anche il mondo delle criptovalute, nato proprio per sfuggire al controllo di autorità centrali, ha scoperto con amarezza che la sua presunta invulnerabilità si infrange contro la realtà: quando Cloudflare cade, cadono anche gli exchange che permettono di comprare e vendere Bitcoin.
L’ossimoro è stridente. Internet è stata concepita come una rete distribuita, capace di sopravvivere anche alla distruzione di singoli nodi. Eppure, nel 2025, basta un database mal configurato per spegnere un quinto del traffico globale. La fragilità non sta nella tecnologia in sé, ma nella concentrazione. Cloudflare, Amazon Web Services, Google Cloud: pochi attori che sostengono un’infrastruttura immensa. La vera domanda non è se Cloudflare sia buona o cattiva. È se possiamo permetterci che un’entità privata, per quanto efficiente e ben intenzionata, detenga tanto potere. E se la risposta è no, cosa siamo disposti a fare per costruire alternative credibili. Perché la prossima volta che un file cresce troppo, o un tecnico preme il tasto sbagliato, potremmo non avere tre ore di blackout. Potremmo averne trenta.
