Il mondo digitale richiede sempre più la protezione dei dati e la sovranità IT, in quest’ottica si sta muovendo l’UE per garantire un ambiente cloud moderno e sicuro.
La sovranità digitale, cioè la capacità dell’Europa di controllare i propri dati e le proprie infrastrutture critiche, è al centro delle attuali preoccupazioni. I dati sono inconfutabili: oggi, circa il 70% del mercato cloud in Europa è dominato da operatori americani, rispetto ad appena il 15% dei provider europei. Tale massiccia dipendenza da servizi non europei pone rischi ben noti, in particolare in termini di giurisdizione (leggi extraterritoriali come il Cloud Act statunitense) e sicurezza dei dati.
Inoltre, numerosi Stati e organismi sovranazionali hanno adottato normative in materia di protezione dei dati e leggi sulla sovranità digitale, imponendo vincoli specifici relativi a: localizzazione, modalità di gestione e titolarità dei dati. Disposizioni che regolamentano l’acquisizione, l’archiviazione, l’elaborazione e il trasferimento delle informazioni, con l’obiettivo di garantire un controllo sistemico su dati sensibili e strategici, a livello sia nazionale sia sovranazionale. Ciò, di fatto, si pone in contrasto con l’architettura intrinsecamente distribuita del cloud che – per sua natura – non riconosce confini geografici né limiti giurisdizionali.
Indice degli argomenti
Cosa si intende con cloud sovereignity
Quando parliamo di cloud sovereignity significa garantire all’organizzazione che i suoi dati, le applicazioni e i workload siano gestiti in piena conformità con le normative – locali o internazionali – cui l’azienda è soggetta, i.e. normative che tendono a privilegiare l’autonomia e autosufficienza dell’infrastruttura cloud rispetto a ingerenze esterne. Secondo la definizione di Gartner, infatti, un cloud sovrano ha lo scopo di “garantire che dati, operazioni, infrastrutture e tecnologie siano liberi dal controllo di giurisdizioni esterne e protetti dall’influenza e dall’accesso di governi stranieri”.
La Commissione europea, in risposta a queste sfide, ha pubblicato lo scorso 20 ottobre 2025 il Cloud Sovereignty Framework, i.e. un chiaro quadro di riferimento per la valutazione della sovranità delle soluzioni cloud che stabilisce criteri chiari e metodi di punteggio per valutare il rispetto degli standard di sovranità dell’UE da parte dei fornitori cloud.
Come funziona la certificazione cloud europea con lo schema EUCS
L’EUCS (European Cybersecurity Certification Scheme for Cloud Services) stabilisce i criteri di certificazione della sicurezza informatica dei servizi cloud, creato ai sensi del Cybersecurity Act (CSA).
Il percorso di certificazione EUCS è caratterizzato da trasparenza e da accuratezza, garantendo che i servizi cloud soddisfino rigorosamente gli standard di sicurezza stabiliti.
Lo schema, di fatto:
- Aumenta la fiducia nei servizi cloud, definendo un insieme di riferimento di requisiti di sicurezza.
- Propone un nuovo approccio di valutazione, ispirato agli schemi nazionali esistenti e agli standard internazionali.
- Rilascia una certificazione triennale, rinnovabile.
- Include requisiti di trasparenza, quali il luogo di elaborazione e di archiviazione dei dati.
I livelli di assurance previsti dallo schema
L’EUCS stabilisce 3 livelli di sicurezza, ognuno dei quali riflette un diverso grado di garanzia della sicurezza informatica e, precisamente:
Livello “Base” (Basic) – Esso costituisce la soglia minima di garanzia per la sicurezza informatica nei servizi cloud, assicurando l’implementazione di controlli e di misure di protezione essenziali, specificamente progettati per ambienti con profili di rischio ridotto.
Inoltre, la valutazione per il livello di garanzia Base consiste esclusivamente in attività di ispezione che si basano sulla verifica della completezza e della coerenza della documentazione fornita in termini di processi e di progetti. Ciò ha lo scopo di verificare il rispetto delle misure tecniche e organizzative. Ancora, i requisiti del livello “Base” includono test completamente automatizzati delle vulnerabilità note di base e controlli di conformità automatizzati da parte del fornitore di servizi cloud.
Livello “Sostanziale” (Substantial) – Si riferisce ad un livello più avanzato, che offre misure di sicurezza migliorate, oltre ad affrontare una gamma più ampia di rischi ed è adatto ai servizi che gestiscono dati più sensibili.
L’ambito di valutazione per il livello di garanzia “Sostanziale” è definito dalla descrizione del servizio cloud e dagli obiettivi e dai requisiti di sicurezza applicabili al livello di garanzia “Sostanziale”. Il meta-approccio definito descrive una valutazione che dovrebbe coprire l’efficacia operativa durante un periodo definito.
Livello “Elevato” (High) – Si tratta di un livello specificamente progettato per i servizi cloud che trattano dati altamente sensibili o supportano operazioni critiche e, pertanto, richiede l’implementazione di controlli e misure di sicurezza particolarmente rigorose.
Inoltre, l’ambito di valutazione per questo livello è definito dalla descrizione del servizio cloud e dagli obiettivi e requisiti di sicurezza applicabili al livello “Alto”.
Ancora, il meta-approccio previsto dallo schema stabilisce che la valutazione dovrebbe includere l’analisi dell’efficacia operativa delle misure di sicurezza su un periodo definito. Infine, la verifica della conformità per il livello “Alto” prevede l’esecuzione di un test di penetrazione separato per garantire la robustezza delle difese contro minacce avanzate.
I Cloud Service Provider (CSP) che conseguono la conformità allo schema di certificazione EUCS dimostrano un forte impegno nella sicurezza informatica, evidenziando la capacità di rispettare standard normativi e tecnici particolarmente stringenti. Tale riconoscimento rafforza altresì la fiducia dei clienti più attenti alla sicurezza e alla conformità, oltre a rappresentare un fattore distintivo che può offrire un vantaggio competitivo significativo nel mercato dei servizi cloud.
Ambito, validità e percorso di conformità
L’obiettivo dell’EUCS è creare un quadro standardizzato per la certificazione della sicurezza dei servizi cloud all’interno dell’UE per quanto riguarda i diversi modelli di servizio, tra cui: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS).
Il percorso verso la conformità all’EUCS inizia con una comprensione approfondita dei requisiti dello schema e prevede un audit approfondito dell’infrastruttura e delle pratiche di sicurezza esistenti da parte dei CSP. Ma vediamo di seguito i passaggi chiave di questo percorso e, precisamente:
- Gap Analisi – Identificazione delle aree in cui le attuali misure di sicurezza non sono conformi agli standard EUCS.
- Aggiornamento delle infrastrutture – Implementazione delle modifiche necessarie nella tecnologia e nei protocolli per colmare queste lacune.
- Formazione del personale – Garanzia che tutto il personale sia a conoscenza dei requisiti EUCS e delle relative procedure di sicurezza.
- Coinvolgimento proattivo – Partecipazione regolare agli aggiornamenti EUCS e ai forum sulla sicurezza informatica per essere sempre all’avanguardia in materia di conformità.
- Cultura della sicurezza collaborativa – Promozione di una cultura della sicurezza all’interno dell’organizzazione, affinché ogni dipendente comprenda e contribuisca al raggiungimento degli obiettivi di conformità.
- Comunicazione trasparente – Costante informazione alle parti interessate – compresi clienti ed enti normativi – sugli sforzi di conformità e sulle misure di sicurezza propedeutiche ad aumentare la fiducia e la collaborazione.
Di fatto, i CSP, integrando le best practice previste dall’EUCS soddisfano i requisiti di conformità e promuovono una cultura della sicurezza all’interno delle proprie organizzazioni. Tale approccio è fondamentale per creare servizi cloud resilienti in grado di adattarsi e resistere al panorama in continua evoluzione delle minacce informatiche. Inoltre, è doveroso evidenziare che, sebbene la certificazione EUCS sia volontaria, la direttiva NIS2 offre agli Stati membri dell’UE la possibilità di richiedere a entità “essenziali” o “importanti” di utilizzare esclusivamente servizi ICT certificati EUCS.
Pertanto, i CSP che forniscono servizi a tali entità potrebbero essere tenuti, nella pratica, ad ottenere la certificazione EUCS. Inoltre, si ritiene che la richiesta di certificazione EUCS potrebbe progressivamente affermarsi come requisito standard nei processi di selezione e gare d’appalto da parte dei clienti.
Gli effetti della certificazione cloud europea sul mercato
Lo schema di certificazione EUCS costituisce per i CSP sia una sfida sia un’opportunità strategica, in quanto impone una rigorosa rivalutazione e, se necessario, una revisione sostanziale delle infrastrutture e delle pratiche di sicurezza per garantire l’allineamento ai requisiti stringenti previsti dallo standard. Inoltre, i servizi cloud certificati sono determinanti nella fase di scelta del CSP, in quanto forniscono garanzie in termini di:
Fiducia e affidabilità – La certificazione EUCS rappresenta un punto di riferimento per la fiducia, consentendo agli utenti di verificare che i servizi cloud adottati siano sicuri e affidabili, grazie all’adesione a standard rigorosi.
Mitigazione del rischio – L’adozione di misure di sicurezza standardizzate, come richiesto dallo schema EUCS, riduce in modo significativo la probabilità di violazioni dei dati e di incidenti informatici, rafforzando la resilienza delle infrastrutture cloud.
Allineamento normativo – L’utilizzo di CSP certificati EUCS, da parte di organizzazioni che gestiscono dati sensibili, garantisce l’allineamento con le più ampie normative UE in materia di protezione dei dati e privacy, oltre a facilitare la gestione dei requisiti di compliance.
La certificazione cloud europea nel dibattito sulla sovranità del dato
È doveroso evidenziare che il cuore della controversia sulla certificazione EUCS ruota attorno ai cosiddetti “requisiti di sovranità”, introdotti dalla Commissione Europea su richiesta di alcuni Stati membri. Ma vediamo di che si tratta.
Obiettivi di sovranità
Il framework europeo stabilisce otto obiettivi di sovranità in base ai quali un fornitore non viene più giudicato solo in base all’archiviazione dei dati, ma su uno spettro molto più ampio e profondo di requisiti e, precisamente:
Sovranità strategica (SOV-1) – Misura in cui il fornitore è radicato nell’ecosistema legale, finanziario e industriale dell’UE (ad esempio, struttura proprietaria, governance).
- Sovranità legale e giurisdizionale (SOV-2) – Esposizione alla legislazione straniera (come il Cloud Act statunitense) e all’applicabilità dei diritti europei.
- Sovranità dei dati e dell’intelligenza artificiale (SOV-3) – Grado di controllo che i clienti hanno sui propri dati e modelli di intelligenza artificiale, incluso il luogo in cui i dati vengono elaborati.
- Sovranità operativa (SOV-4) – Capacità pratica di gestire, supportare e mantenere la tecnologia, indipendentemente dal controllo straniero.
- Sovranità della catena di fornitura (SOV-5) – Trasparenza e origine dei componenti critici (hardware e software) e il grado di controllo dell’UE su di essi.
- Sovranità tecnologica (SOV-6) – Indipendenza della tecnologia sottostante, concentrandosi su standard aperti ed evitando il “vendor lock-in”.
- Sovranità in materia di sicurezza e conformità (SOV-7) – Garanzia che le operazioni di sicurezza (come i centri operativi di sicurezza) e i controlli di conformità siano sotto la giurisdizione esclusiva dell’UE.
- Sostenibilità ecologica (SOV-8) – Autonomia e resilienza a lungo termine rispetto al consumo energetico e alla scarsità di risorse.
Livelli di garanzia dell’efficacia della sovranità
Il quadro definisce, altresì, cinque “livelli di garanzia dell’efficacia della sovranità” (SEAL – Sovereignty Effectiveness Assurance Levels) per classificare il grado di indipendenza e controllo rispetto a giurisdizioni ed influenze esterne, superando la semplice distinzione tra presenza o assenza di sovranità e, precisamente:
- SEAL-0 (Nessuna sovranità) – Controllo totale da parte di soggetti non appartenenti all’UE.
- SEAL-1 (Sovranità giurisdizionale) – Il Diritto dell’UE è formalmente applicabile ma ha una limitata applicabilità nella pratica.
- SEAL-2 (Sovranità dei dati) – La legislazione dell’UE è applicabile, ma permangono dipendenze materiali extra-UE.
- SEAL-3 (Resilienza digitale) – Gli attori dell’UE hanno un’influenza significativa, ma il controllo da parte di soggetti non appartenenti all’UE è ancora marginale.
- SEAL-4 (Sovranità digitale completa) – La tecnologia e le operazioni sono sotto il pieno controllo dell’UE, senza dipendenze critiche esterne all’UE.
‘Sovereignty Score’: una formula ponderata
La Commissione – oltre alle soglie minime SEAL – utilizza un “punteggio di sovranità” come criterio di aggiudicazione di gare per classificare qualitativamente le offerte. Tale punteggio viene calcolato utilizzando una formula che assegna “pesi” diversi agli otto obiettivi e, precisamente:
Sovranità operativa (SOV-4): 20%
Sovranità della catena di fornitura (SOV-5): 20%
Sovranità strategica (SOV-1): 15%
Sovranità tecnologica (SOV-6): 15%
Sovranità legale (SOV-2): 10%
Sovranità dei dati e dell’intelligenza artificiale (SOV-3): 10%
Sicurezza e conformità (SOV-7): 10%
Sostenibilità ecologica (SOV-8): 5%
Come stabilire il sovereignity score
Di seguito la formula per stabilire il Sovereignty score:
È importante evidenziare che il vero valore di questo framework non risiede nella formula in sé, ma nella definizione dettagliata degli otto obiettivi e dei loro “fattori contribuenti”, costringendo i fornitori a mostrare dettagli sulla loro struttura proprietaria, l’origine del loro hardware, la posizione dei loro team di supporto e la loro dipendenza da software non UE.
Di fatto il Sovereignty Score è concepito per orientare il mercato cloud europeo e prevenire il fenomeno del “sovereignty washing”, ovvero: i fornitori di servizi cloud – sia europei sia extraeuropei – che intendono fare affari con il settore pubblico dell’UE dovranno confrontare i propri servizi con questo parametro.
Perché i requisiti di sovranità contano per le imprese UE
I requisiti di sovranità rappresentano per i fornitori cloud europei una questione strategica cruciale e determinante per la loro sopravvivenza in un mercato dominato dai giganti tecnologici americani.
I dati del rapporto “When a cloud certification scheme divides Europe” di EUISS (European Union Institute for Security Studies) evidenziano una tendenza preoccupante: la quota di mercato dei CSP europei nel settore delle infrastrutture cloud europee è crollata dal 22% nel 2017 ad appena il 15% nel 2024, nonostante la crescita continua e sostenuta dei ricavi complessivi del settore, a sottolineare la difficoltà dei provider europei nel competere con l’offerta tecnologica e la capacità di investimento dei competitor extraeuropei.
Ne consegue che l’inclusione di criteri di sovranità EUCS potrebbe riservare segmenti significativi del mercato pubblico e dei servizi critici ai fornitori conformi a tali requisiti. Inoltre, la Direttiva NIS2 fornisce la base normativa per questa strategia, consentendo esplicitamente agli Stati membri di imporre che determinati settori sensibili si affidino esclusivamente a provider certificati al livello EUCS più elevato, i.e. quello che incorpora garanzie di sovranità digitale. Una disposizione che rappresenta un potenziale strumento di politica industriale per proteggere e per sviluppare l’ecosistema cloud europeo, garantendo al contempo un controllo maggiore su dati e su infrastrutture critiche.
La questione assume, altresì, una dimensione economica rilevante se si considera che numerose aziende europee hanno già investito risorse considerevoli per conformarsi a framework nazionali di certificazione che includono esplicitamente requisiti di sovranità. Inoltre, è importante evidenziare che tali organizzazioni temono che l’eventuale eliminazione o diluizione dei criteri di sovranità dall’EUCS vanifichi completamente gli investimenti sostenuti e comprometta il valore competitivo acquisito attraverso la certificazione.
Ancora, un ulteriore rischio connesso all’assenza di requisiti di sovranità armonizzati a livello europeo riguarda la potenziale frammentazione del mercato attraverso il fenomeno del “certification shopping”. Ovvero: in assenza di standard uniformi e stringenti, i provider potrebbero infatti cercare certificazioni negli Stati membri con condizioni meno rigorose, creando un livellamento verso il basso degli standard di sicurezza e sovranità, minando di fatto l’obiettivo stesso di creare un mercato unico digitale europeo sicuro e affidabile, oltre a rendere ancora più difficile per le aziende europee competere efficacemente nel proprio mercato domestico.
Le posizioni in campo sullo schema europeo
Il dibattito ha spaccato l’Europa tra due fronti contrapposti. Da un lato, una coalizione guidata dai Paesi Bassi e comprendente Danimarca, Estonia, Grecia, Irlanda, Polonia e Svezia si oppone fermamente ai requisiti di sovranità, sostenuta dall’American Chamber of Commerce e dalle associazioni industriali statunitensi. Di fatto, tali Stati argomentano che la clausola esclude troppe aziende, introducendo criteri politici in quello che dovrebbe essere uno schema di certificazione puramente tecnico, oltre a limitare l’accesso degli utenti europei ai provider più innovativi e performanti del mercato.
Dall’altro lato, Francia, Italia, Spagna e Germania supportano l’inclusione dei requisiti di sovranità, posizione condivisa da numerosi fornitori cloud europei che hanno esortato ENISA a “non cedere alle pressioni”.
Tali divergenze riflettono priorità strategiche distinte: legami industriali preesistenti con gli hyperscaler americani (che vedono nei requisiti di sovranità una misura protezionistica che potrebbe precludere loro l’accesso a quote significative degli appalti pubblici europei), percezioni diverse delle minacce (con gli Stati baltici e dell’Europa orientale che privilegiano protezioni all’avanguardia contro gli attacchi russi) e posizioni atlantiste differenziate.
Certificazione cloud europea e risk assessment secondo ENISA
ENISA ha da tempo identificato nella valutazione del rischio cloud un pilastro fondamentale per la sicurezza delle infrastrutture digitali europee e, attraverso le sue linee guida e framework metodologici, fornisce alle organizzazioni un approccio strutturato per identificare, analizzare e mitigare i rischi associati all’adozione di servizi cloud. Inoltre, il quadro di riferimento costituisce la base su cui costruire strategie di sicurezza efficaci, integrando requisiti normativi europei come il GDPR e la direttiva NIS2 con best practice internazionali.
Ancora, la metodologia ENISA enfatizza l’importanza di una valutazione continua del rischio che tenga conto delle specificità dei diversi modelli di deployment cloud (pubblico, privato, ibrido) e dei livelli di servizio (IaaS, PaaS, SaaS), fornendo alle organizzazioni europee una roadmap per navigare con sicurezza la complessità del cloud computing, avvalendosi, altresì, di strumenti che utilizzano l’IA.
Il ruolo dell’IA nella valutazione del rischio cloud
L’integrazione dell’IA nella valutazione del rischio cloud rappresenta un’evoluzione significativa rispetto agli approcci tradizionali. Di fatto, i sistemi basati sull’IA, utilizzando machine learning e algoritmi avanzati, analizzano continuamente l’infrastruttura cloud per identificare configurazioni errate, controlli di accesso inadeguati e comportamenti anomali che potrebbero indicare minacce imminenti.
Inoltre, l’IA, attraverso l’analisi comportamentale e predittiva, è in grado di rilevare pattern sospetti e vulnerabilità in tempo reale, consentendo alle organizzazioni di prioritizzare gli interventi di sicurezza in base all’impatto potenziale e alla probabilità di rischio.
Gli strumenti che si basano sull’IA sono in grado, altresì, di automatizzare la gestione del rischio di conformità normativa, monitorando costantemente l’aderenza a standard come ISO 27001, GDPR, NIS2 e NIST, oltre a generare report audit-ready che riducono significativamente il carico operativo e il rischio di errore umano.
Inoltre, l’architettura scalabile e adattiva dei sistemi IA li rende particolarmente efficaci in ambienti multi-cloud e ibridi, dove la complessità gestionale richiederebbe risorse umane considerevoli. Ancora, la capacità di apprendimento continuo rafforza le difese contro minacce persistenti avanzate, vulnerabilità zero-day e minacce interne, mentre l’integrazione con i sistemi SIEM potenzia la correlazione delle minacce e la risposta agli incidenti.
È doveroso evidenziare che, nonostante i significativi vantaggi, l’adozione dell’IA nella sicurezza cloud presenta sfide che richiedono un’attenzione strategica, considerando che la trasparenza dei modelli decisionali, la standardizzazione della governance dei dati negli ambienti distribuiti e lo sviluppo di framework di IA spiegabile sono elementi essenziali per costruire la fiducia e massimizzare l’efficacia di tali strumenti.
Inoltre, l’aggiornamento continuo dei modelli con intelligence sulle minacce emergenti e la condivisione di informazioni tra organizzazioni rappresentano le chiavi per mantenere sistemi di sicurezza cloud resilienti e all’avanguardia, a fronte dell’evoluzione costante del panorama delle minacce informatiche.
I prossimi passaggi della certificazione cloud europea per aziende e provider
L’evoluzione dello schema di certificazione EUCS rappresenta un momento di svolta per l’ecosistema digitale europeo. Di fatto, le aziende che operano nel settore cloud, così come le organizzazioni che ne utilizzano i servizi, si trovano di fronte a una trasformazione normativa che richiede una preparazione strategica e il monitoraggio costante degli sviluppi regolamentari. Ad oggi non si sa ancora quando entrerà in vigore l’EUCS, ma una cosa è certa, deve ora evolversi da strumento procedurale a dispositivo normativo e allineato con la prossima revisione del Cybersecurity Act (CSA).
Monitoraggio normativo, procurement e adeguamento organizzativo
L’attuale scenario europeo richiede l’adozione di un approccio olistico ed integrato in termini di politiche cloud e il rafforzamento della cybersecurity. Inoltre, l’attuale contesto – caratterizzato da crescente incertezza geopolitica, tensioni in materia di sicurezza e instabilità nella leadership tecnologica globale, aggravate, ad esempio, da una gestione imprevedibile dell’amministrazione statunitense – necessita di un consolidamento della sovranità digitale dell’Unione Europea e minori dipendenze strategiche, senza tuttavia precludere l’accesso a servizi digitali avanzati provenienti da paesi terzi, così da non pregiudicare la competitività delle aziende europee a livello globale.
Contestualmente, la transizione da un modello volontario a un futuro framework giuridicamente vincolante impone alle organizzazioni di adeguare infrastrutture, processi di governance e strategie di compliance ai nuovi requisiti di sovranità digitale. Pertanto, per i CSP europei, questa fase rappresenta un’opportunità strategica per rafforzare la propria posizione competitiva, investendo proattivamente nella conformità ai criteri previsti dallo schema EUCS.
Le aziende, di fatto, sono chiamate a valutare il proprio posizionamento rispetto ai livelli di garanzia effettiva della sovranità (SEAL) e al sistema di punteggio proposto, identificando eventuali gap e priorità di miglioramento. Per le organizzazioni utenti – in particolare quelle attive in settori critici soggetti alla Direttiva NIS2 – è essenziale comprendere come i futuri requisiti di certificazione EUCS influenzeranno le strategie di procurement e la gestione dei fornitori cloud esistenti. Gli enti pubblici, inoltre, dovranno prepararsi a integrare i criteri di sovranità nelle procedure di appalto, sviluppando competenze interne per valutare le offerte secondo i parametri SEAL e i punteggi di sovranità.
Infine, si ritiene che la prossima revisione delle normative UE sugli appalti pubblici, attesa per il 2026, renderà questi criteri sempre più centrali nelle decisioni di procurement relative a servizi e infrastrutture digitali critiche.
