La disputa entre reguladores europeos y la infraestructura privada de Internet acaba de subir de temperatura. Matthew Prince, CEO de Cloudflare, ha respondido con dureza en X tras conocerse una sanción impuesta en Italia a la compañía por su papel en el bloqueo de contenidos pirata. El episodio no es solo una bronca corporativa: vuelve a poner sobre la mesa una pregunta incómoda para el ecosistema digital europeo: ¿hasta dónde puede llegar un Estado cuando exige a un proveedor global que “apague” parte de Internet, y con qué garantías?

Qué ha pasado: una multa millonaria y un mandato de bloqueo acelerado

La Autorità per le Garanzie nelle Comunicazioni (AGCOM) comunicó una sanción superior a 14.000.000 € contra Cloudflare por incumplir una orden previa vinculada a la normativa antipiratería italiana y a su plataforma Piracy Shield. Según el regulador, Cloudflare debía aplicar medidas para inutilizar el acceso a dominios y direcciones IP señaladas por titulares de derechos, incluyendo la deshabilitación de resolución DNS y el enrutamiento del tráfico hacia determinados IP, o medidas equivalentes que impidieran el consumo final de contenidos distribuidos ilícitamente.

En la nota oficial, AGCOM encuadra el caso como un precedente relevante por el peso de Cloudflare en el mapa de servicios web y porque, sostiene, una proporción amplia de los sitios objeto de bloqueo utiliza servicios de la compañía. La autoridad añade un dato que ilustra la escala operativa del sistema: desde su puesta en marcha se habrían deshabilitado más de 65.000 FQDN y alrededor de 14.000 IP mediante Piracy Shield.

La respuesta de Prince: “censura”, “sin debido proceso” y amenaza de retirada

El CEO de Cloudflare ha convertido la sanción en un pulso político y reputacional. En su mensaje, Prince califica el esquema como una “estrategia para censurar Internet” y critica que se exija actuar con extrema rapidez —habla de un plazo de 30 minutos— y sin garantías: “sin supervisión judicial, sin debido proceso, sin apelación y sin transparencia”, según su formulación.

El punto más sensible para la comunidad técnica es el alcance que Prince atribuye a la orden: no se trataría únicamente de “retirar” clientes o servicios, sino de afectar también a 1.1.1.1, el resolvedor DNS público de Cloudflare. Ahí aparece el temor clásico del overblocking: si se actúa a nivel de DNS o de IP en infraestructuras compartidas, el riesgo no es solo bloquear “lo malo”, sino impactar en sitios y servicios legítimos.

Prince también denuncia una dimensión extraterritorial: afirma que Italia pretendería que el bloqueo no se limite al territorio italiano, sino que tenga efecto global. En su narrativa, ese salto convierte un mecanismo antipiratería en una herramienta que podría usarse para imponer, desde un país, lo que es aceptable en otros.

“Play stupid games…”: el órdago económico y operativo

Más allá del tono, lo relevante es el catálogo de medidas que dice estar “considerando”:

1. Interrumpir servicios de ciberseguridad pro bono asociados a los Juegos de Milano-Cortina.
2. Retirar servicios gratuitos de ciberseguridad para usuarios con base en Italia.
3. Eliminar servidores de ciudades italianas.
4. Cancelar planes de oficina e inversiones en el país.

En paralelo, asegura que viajará a Washington para abordar el asunto con responsables de la administración estadounidense y que hablará con el COI para “explicar el riesgo” si Cloudflare se retira.

Es importante subrayar un matiz: parte del mensaje de Prince mezcla hechos (la sanción, el conflicto legal) con valoraciones (“censura”, “cábala”, etc.) y con amenazas hipotéticas (“estamos considerando…”). En otras palabras: el CEO intenta elevar el precio político del conflicto, y usar la dependencia del país —infraestructura, rendimiento, protección DDoS, latencia— como palanca.

Lo que está realmente en juego: infraestructura compartida vs. órdenes rápidas

Para un medio tech, el caso es un ejemplo de libro del choque entre gobernanza y arquitectura de Internet:

• DNS como punto de control: bloquear por DNS es eficaz y rápido, pero también “basto” si la implementación no está acompañada de reglas claras, auditoría y mecanismos de corrección.
• IP compartidas y CDNs: en servicios de fronting, reverse proxy y CDN, múltiples dominios pueden convivir en infraestructuras que no se mapean de forma simple a un único IP. Si el bloqueo se hace por IP, el riesgo de daños colaterales crece.
• Tiempo de reacción: plazos de minutos pueden ser razonables para frenar retransmisiones ilícitas en directo, pero elevan el riesgo de errores si el sistema no integra verificación y rollback transparentes.
• Ámbito territorial: exigir cumplimiento “global” a un proveedor transnacional abre un debate sobre soberanía digital, comercio y conflictos de jurisdicción.

AGCOM, por su parte, defiende que la normativa amplía el perímetro de obligados a actuar: no solo hosting, sino también servicios “de la sociedad de la información” que facilitan accesibilidad (menciona explícitamente DNS públicos, VPN y motores de búsqueda), estén donde estén radicados. Ese enfoque es el que choca con la visión de Cloudflare: la compañía se ve a sí misma como infraestructura neutral que no debería ejecutar órdenes que, según su argumento, carecen de garantías procesales suficientes.

Próximo capítulo: tribunales, presión diplomática y efectos colaterales

En lo inmediato, lo más probable es que el conflicto se desplace a tres frentes:

• Judicial: recursos y litigios sobre la legalidad, proporcionalidad y garantías del mecanismo.
• Regulatorio europeo: presión para que herramientas de bloqueo acelerado tengan estándares más estrictos de transparencia, trazabilidad y control de daños colaterales.
• Operativo: si Cloudflare endurece postura o reduce presencia, el efecto podría sentirse en rendimiento y resiliencia para parte del tráfico en Italia; si cede, se sienta un precedente para que otros reguladores exijan medidas similares.

De fondo, queda una tensión estructural que 2026 está haciendo más visible: la “economía” de Internet depende de actores globales (DNS públicos, CDNs, WAF, anti-DDoS), pero los Estados quieren respuestas rápidas y ejecutables dentro de sus fronteras. El equilibrio entre ambos —seguridad jurídica, derechos, eficacia y mínimo daño colateral— es el verdadero partido que se está jugando.

---

Preguntas frecuentes

¿Qué es Piracy Shield y por qué afecta a servicios como DNS o CDN?
Piracy Shield es una plataforma vinculada a la aplicación de medidas antipiratería en Italia. En este tipo de esquemas, el bloqueo puede ejecutarse en distintos puntos: DNS, IP, proveedores de acceso, o intermediarios que facilitan la accesibilidad de los servicios.

¿Por qué se menciona 1.1.1.1 en la polémica con Cloudflare?
1.1.1.1 es el DNS público de Cloudflare. Prince sostiene que el esquema italiano exigiría acciones que impactan también a ese resolvedor, elevando el riesgo de bloqueos con alcance amplio si no hay controles finos y reversión rápida.

¿Una multa a Cloudflare puede afectar al rendimiento de Internet en Italia?
Indirectamente, sí podría, si la empresa redujera infraestructura o servicios locales (por ejemplo, presencia de servidores) como parte de una represalia operativa. Aun así, cualquier impacto dependería de la magnitud real de los cambios y de alternativas disponibles.

¿Qué se debate cuando se habla de “bloqueo global” frente a “bloqueo local”?
El bloqueo local intenta limitarse al territorio de un país. Un bloqueo global implicaría exigir que un proveedor aplique restricciones para usuarios de otros países, lo que abre conflictos de jurisdicción y precedentes sobre extraterritorialidad.