I numeri sulla dipendenza digitale europea sono noti, ma di recente hanno ricevuto una certificazione politica esplicita. Il 22 gennaio 2026 il Parlamento europeo ha approvato la risoluzione “European technological sovereignty and digital infrastructure”, riconoscendo che oltre l’80% dei prodotti, servizi, infrastrutture e proprietà intellettuale digitali utilizzati nell’Unione provengono da paesi extra-UE. Solo il 4% delle principali piattaforme digitali globali è di origine europea, contro il 67% statunitense e il 29% asiatico.
Nel cloud, Amazon Web Services, Microsoft Azure e Google Cloud controllano circa il 69% del mercato europeo, mentre il maggiore operatore continentale, Deutsche Telekom, si ferma al 2%. Sul fronte dell’intelligenza artificiale generativa, nel 2023 gli investimenti privati europei sono stati pari a 2,4 miliardi di dollari contro i 22,4 miliardi degli Stati Uniti. L’Unione consuma circa il 20% della produzione mondiale di semiconduttori, ma ne fabbrica meno del 10%. Anche sui data center il quadro è netto: su una potenza IT totale installata in Europa pari a 7,4 GW, oltre la metà è controllata da appena dieci operatori dominanti, di cui sette di matrice statunitense.
Indice degli argomenti
Una ricognizione dello stato delle cose
La dipendenza si articola in più strati e merita di essere descritta con qualche esempio concreto. Le infrastrutture cloud che ospitano i servizi di pubbliche amministrazioni, banche, operatori di telecomunicazioni e imprese europee sono in larga parte gestite dai tre hyperscaler statunitensi. Il software di produttività degli uffici pubblici è dominato da Microsoft 365 e Google Workspace, con quote che in molti Paesi superano il 70%. I sistemi operativi di aziende e cittadini europei sono essenzialmente Windows, macOS, Android e iOS. La quasi totalità dei chip avanzati necessari ai data center europei è progettata negli Stati Uniti e prodotta in Asia; le macchine litografiche EUV per fabbricarli provengono solo dall’olandese ASML. In Italia, gli investimenti annunciati per circa venticinque miliardi nei prossimi tre anni sui data center confermano il valore strategico del comparto, ma una quota rilevante è riconducibile proprio agli hyperscaler americani: la capacità installata cresce, ma la sua governance resta in larga parte estera.
I servizi che strutturano la vita digitale quotidiana raccontano la stessa storia. La ricerca online si appoggia essenzialmente a Google, e un assistente di intelligenza artificiale europeo che voglia integrare risultati web aggiornati deve oggi acquistare l’accesso a un indice di proprietà americana. La messaggistica passa per WhatsApp, Messenger e Instagram, tutti controllati da Meta. I pagamenti al dettaglio transfrontalieri sono dominati da Visa e Mastercard, che intermediano la quasi totalità delle transazioni con carta, soprattutto quando il pagatore utilizza uno strumento emesso in uno Stato diverso da quello del beneficiario. Anche i grandi modelli di intelligenza artificiale generativa più diffusi, ChatGPT, Gemini, Claude e Copilot, sono americani; l’eccezione, Mistral, deve ancora scalare.
Anche l’infrastruttura spaziale che sostiene funzioni critiche come navigazione, sincronismo delle reti e comunicazioni di emergenza è in larga parte esterna. Il GPS americano è gestito dal Dipartimento della Difesa statunitense, che ne potrebbe limitare la precisione o l’accesso; la connettività satellitare a bassa orbita è dominata da SpaceX con Starlink, le cui condizioni contrattuali sono unilateralmente modificabili dall’operatore. Le tensioni intorno alla continuità del servizio in Ucraina, nel quadro del negoziato sulle terre rare, hanno reso evidente la concretezza del rischio.
La consapevolezza di questa dipendenza si sta diffondendo anche nei vertici aziendali europei. Indagini presentate nel corso degli appuntamenti internazionali del 2026 indicano che oltre il novanta per cento dei manager europei dichiara di preferire fornitori nazionali o locali quando deve adottare un nuovo strumento tecnologico e che circa il sessanta per cento esprime una preoccupazione esplicita per la perdita di sovranità. La sovranità, in altre parole, sta entrando nelle decisioni di procurement e nella valutazione del rischio operativo, prima ancora che nei discorsi istituzionali.
I rischi: dalla giurisdizione esterna alla moneta digitale
Da questa concentrazione discendono almeno cinque ordini di rischi.
Il rischio giurisdizionale
Il primo è di natura giurisdizionale. Il CLOUD Act statunitense del 2018 consente alle autorità americane di richiedere a un provider soggetto al proprio ordinamento la consegna di dati ovunque conservati, anche all’interno dell’Unione europea. Un dato in un data center di Francoforte, se gestito da una controllata di una società americana, non è sottratto all’ordine di un giudice statunitense. Le offerte di sovereign cloud delle Big Tech, costruite con sussidiarie locali, mitigano la governance operativa ma non eliminano la soggezione della casa madre al diritto USA: una situazione che alcuni esperti hanno definito “sovereignty-washing”.
Il rischio delle vulnerabilità infrastrutturali concentrate
Il secondo rischio è quello delle vulnerabilità infrastrutturali concentrate. Il guasto globale di CrowdStrike del luglio 2024, distribuito tramite un aggiornamento del software di sicurezza su sistemi Windows, ha interrotto per ore ospedali, aeroporti, banche e servizi pubblici in numerosi Paesi europei. Un singolo aggiornamento difettoso, in una filiera concentrata, è bastato a degradare contemporaneamente servizi essenziali su scala continentale. Il regolamento DORA ha codificato il principio che la concentrazione del rischio operativo su un unico provider estero è essa stessa un rischio sistemico.
L’uso politico della dipendenza
Il terzo rischio è l’uso politico della dipendenza. L’amministrazione Trump ha mostrato di considerare l’accesso ai servizi digitali come uno strumento di pressione commerciale e geopolitica. Lo scenario in cui un ordine esecutivo limiti l’accesso europeo a data center, software di produttività o servizi cloud non è più ritenuto fantascienza: secondo il Wall Street Journal, alcuni funzionari europei stanno già preparando misure di emergenza. La premier danese Mette Frederiksen ha richiamato l’analogia con la dipendenza dal gas russo, invitando a non ripetere quell’errore in altri ambiti strategici. Sul piano difensivo, l’Unione discute già l’attivazione dello Strumento anti-coercizione, congegnato per rispondere a misure unilaterali di paesi terzi che condizionano l’accesso a beni, servizi o infrastrutture; la sua efficacia in ambito digitale è però ancora tutta da dimostrare, perché un’eventuale ritorsione su tecnologia statunitense rischia di ricadere sugli stessi utilizzatori europei.
Il rischio economico
Il quarto rischio è economico. Microsoft realizza in Europa circa 75 miliardi di dollari di ricavi l’anno, Google oltre 50, AWS circa 25 dal solo cloud. Una porzione consistente del valore generato in Europa viene reinvestita negli Stati Uniti, dove alimenta un ecosistema di capitale di rischio, talenti e infrastrutture che consolida ulteriormente il vantaggio competitivo americano. Allo stesso tempo, ingegneri e ricercatori europei emigrano verso la Silicon Valley, attratti da retribuzioni che in Europa non trovano riscontro.
La sovranità monetaria e dei pagamenti
Il quinto rischio riguarda la sovranità monetaria e dei pagamenti, ormai inseparabile dalla dipendenza tecnologica. Pietro Cipollone, membro del Comitato esecutivo della BCE, ha richiamato di recente, davanti alla Commissione parlamentare di inchiesta sul sistema bancario, finanziario e assicurativo, come l’esternalizzazione di funzioni critiche nei pagamenti incida direttamente sull’autonomia economica dell’Unione. Lo scorso 10 febbraio il Parlamento europeo ha approvato due emendamenti alla risoluzione sull’attività della BCE che ribadiscono il ruolo dell’euro digitale come strumento di indipendenza nei pagamenti online e in presenza. Si tratta di un perimetro in cui dipendenza tecnologica e dipendenza finanziaria convergono: senza un’infrastruttura paneuropea controllata, anche la moneta unica resta esposta al rischio di intermediazione esterna.
Le strategie possibili
Affrontare questa dipendenza non significa perseguire un’autarchia, irrealistica e indesiderabile, bensì costruire una dipendenza bilanciata, reversibile e con margini di autonomia su ciò che è critico. È la prospettiva che il Sottosegretario Alessio Butti ha sintetizzato nella formula della collaborazione selettiva con partner che condividano valori e interessi, riconoscendo nello stesso passaggio che sull’intelligenza artificiale la sovranità è a rischio quando i modelli sono progettati altrove. Sul piano operativo, le strategie avviate procedono in più direzioni, che possono utilmente convivere.
Procurement pubblico e cloud sovrano
La prima riguarda il procurement pubblico, che la risoluzione del Parlamento europeo del 22 gennaio individua esplicitamente come strumento decisivo. La Commissione europea ha lanciato nell’ottobre 2025 una gara da 180 milioni di euro per servizi cloud sovrani alle istituzioni dell’Unione, applicando per la prima volta in modo sistematico il proprio Cloud Sovereignty Framework: la sovranità non è più un’etichetta dichiarativa, bensì un punteggio costruito su otto obiettivi, articolato in livelli di garanzia denominati Sovereignty Effectiveness Assurance Level e in un Sovereignty Score complessivo che valuta dimensioni strategiche, legali, operative e tecnologiche. Tra gli obiettivi pesati figurano la sovranità strategica, quella legale e giurisdizionale e il controllo delle chiavi crittografiche da parte del cliente. La domanda pubblica, se coordinata, può creare la massa critica necessaria a far emergere fornitori europei competitivi. L’iniziativa EuroStack propone una roadmap decennale da 300 miliardi che combina priorità di acquisto europea, sviluppo di alternative continentali e un fondo dedicato in cui il settore pubblico funga da primo cliente.
Infrastrutture federate e reti edge europee
La seconda direzione è infrastrutturale. Il 23 febbraio 2026, al Mobile World Congress di Barcellona, Deutsche Telekom, Orange, Telefónica, TIM e Vodafone hanno presentato l’European Edge Continuum: la prima dimostrazione operativa di un cloud federato pan-europeo che connette le reti edge dei cinque maggiori operatori del continente, sviluppato nel quadro dell’iniziativa IPCEI-CIS e finanziato con risorse di Next Generation EU. L’approccio non punta a replicare gli hyperscaler americani sulla loro scala globale, bensì a federare le infrastrutture esistenti in modo che le applicazioni possano essere distribuite in modo continuativo su nodi di operatori diversi, con un singolo punto di accesso e con la sovranità del dato integrata nell’architettura. Deutsche Telekom ha già annunciato la propria candidatura al prossimo IPCEI dedicato all’intelligenza artificiale, segnalando che la logica federativa si estenderà dai dati ai modelli.
Alternative applicative, open source e intelligenza artificiale
La terza direzione è quella delle alternative applicative. Lo Schleswig-Holstein ha completato la migrazione di trentamila postazioni della pubblica amministrazione da Microsoft a LibreOffice, Nextcloud, Open-Xchange e Thunderbird; la Danimarca ha annunciato un percorso analogo; il Consorzio europeo per le infrastrutture digitali destinato ai beni comuni digitali, formalizzato a dicembre 2025 all’Aia come Digital Commons EDIC, riunisce comunità open source, imprese private e pubbliche amministrazioni per coordinare lo sviluppo di strumenti come openDesk. Sull’intelligenza artificiale, l’investimento di 1,3 miliardi di euro effettuato da ASML in Mistral nel settembre 2025 segna un punto di convergenza inedito tra la sovranità nei semiconduttori e quella nei modelli generativi. Sui motori di ricerca, EUSP, la joint venture franco-tedesca tra Ecosia e Qwant, sta sviluppando un indice web europeo accessibile via API anche a sistemi di AI.
Pagamenti, euro digitale e autonomia finanziaria
La quarta direzione riguarda i pagamenti e la moneta. Il protocollo firmato il 2 febbraio 2026 tra Bancomat, Bizum, SIBS-MB WAY, Vipps MobilePay ed EPI Company punta a interconnettere circuiti domestici che servono circa 130 milioni di utenti in tredici Paesi, costruendo un’alternativa interoperabile alle reti internazionali per i pagamenti transfrontalieri, con piena operatività attesa entro il 2027. Parallelamente, il progetto di euro digitale avanza come complemento pubblico a queste iniziative private: un’infrastruttura di pagamento sovrana, accessibile su tutto il territorio dell’Unione, che ridurrebbe l’esposizione del sistema dei pagamenti europeo a operatori extra-UE e a infrastrutture di compensazione esterne.
Governance europea e infrastrutture pubbliche digitali
La quinta direzione è normativa e di governance. La Dichiarazione per la Sovranità Digitale Europea firmata dai ventisette Stati membri al summit franco-tedesco di Berlino del 18 novembre 2025 ha istituzionalizzato la materia come asse esplicito dell’agenda dell’Unione. La risoluzione del Parlamento del 22 gennaio l’ha tradotta in priorità operative, introducendo il concetto di Digital Public Infrastructure: un insieme di tecnologie e sistemi essenziali, dall’identità digitale ai pagamenti, dalle reti di comunicazione alle infrastrutture cloud, considerati base abilitante dei servizi pubblici e privati e, per questa ragione, da costruire come architettura comune europea fondata su standard aperti e interoperabilità.
Capitale umano e mercato del lavoro tech
La sesta direzione è il capitale umano. Le infrastrutture, anche se realizzate, restano sottoutilizzate se mancano gli ingegneri per gestirle. L’emigrazione dei talenti verso gli Stati Uniti non si risolve solo con visti e politiche migratorie: richiede competitività salariale, un mercato del lavoro tech effettivamente paneuropeo e un ecosistema di venture capital comparabile a quello americano. Senza un intervento simultaneo su questi tre ambiti, le infrastrutture sovrane rischiano di nascere con un deficit gestionale incorporato.
Razionalizzare il quadro normativo: una condizione di crescita
A questo insieme di strategie va affiancato un correttivo che non riguarda ciò che l’Europa deve costruire, bensì ciò che deve semplificare. Negli ultimi dieci anni l’Unione ha edificato una delle architetture regolatorie sul digitale più dettagliate al mondo: GDPR, ePrivacy, NIS2, Data Act, Data Governance Act, Digital Services Act, Digital Markets Act, AI Act, DORA, Open Data Directive. Ciascuna norma, presa singolarmente, ha una propria ratio difendibile; il problema è la stratificazione complessiva e le sovrapposizioni che ne derivano. Le rilevazioni disponibili indicano che oltre il sessanta per cento delle imprese europee considera la regolazione un ostacolo agli investimenti, e la quota resta elevata anche tra le PMI. I rapporti Letta e Draghi del 2024 hanno individuato in questo sovraccarico uno dei fattori strutturali del deficit di competitività europeo rispetto agli ecosistemi americano e asiatico, e hanno raccomandato una revisione sistematica dell’acquis digitale per eliminare sovrapposizioni e incoerenze.
Da qui la scelta della Commissione di adottare, il 19 novembre 2025, il Digital Omnibus Package: due proposte di regolamento che intervengono in modo trasversale su GDPR, ePrivacy, NIS2, Data Act e sulla cornice di applicazione dell’AI Act. Lo spirito dichiarato è quello di una “manutenzione straordinaria” del corpus digitale: integrare in un unico testo le disposizioni del Data Governance Act, dell’Open Data Directive e del regolamento sulla libera circolazione dei dati non personali; collegare l’applicazione delle regole sui sistemi ad alto rischio alla disponibilità degli standard tecnici; introdurre semplificazioni per la categoria “small mid-cap” analoghe a quelle previste per le PMI; ridurre i costi di conformità senza intaccare il livello sostanziale di tutela. A questo si affianca il Digital Fitness Check, una verifica sistematica dell’interazione tra le diverse normative digitali e del loro impatto cumulativo sulle imprese, i cui risultati sono attesi nel primo trimestre del 2027.
Il dibattito che ha accompagnato le proposte è ancora aperto. Il Comitato europeo per la protezione dei dati e il Garante europeo della protezione dei dati, nei pareri congiunti del 21 gennaio e del 10 febbraio 2026, hanno espresso forti riserve sulla ridefinizione della nozione di dato personale, ritenendola difficilmente compatibile con la giurisprudenza della Corte di Giustizia. La Banca centrale europea, nel parere del 10 marzo 2026, ha riconosciuto i benefici dell’iniziativa ma ha chiesto di non sovrapporre il nuovo punto unico di segnalazione degli incidenti agli obblighi DORA già operativi, per evitare di moltiplicare anziché ridurre gli oneri di reporting. Il negoziato a tre tra Commissione, Parlamento e Consiglio è atteso nel secondo e terzo trimestre dell’anno, con l’obiettivo di chiudere entro fine 2026. Sull’AI Act, un primo accordo politico è stato già raggiunto nel maggio 2026 per semplificare alcuni adempimenti e calibrare le scadenze sui sistemi ad alto rischio.
La direzione, comunque, è chiara: regolare meno e meglio non è in contraddizione con la sovranità digitale, ne è anzi una precondizione. Costruire infrastrutture europee, formare ingegneri e attrarre venture capital ha senso se le imprese che dovrebbero adottare quelle infrastrutture non si trovano gravate, fin dall’avvio, da requisiti di compliance ridondanti e non sempre coerenti tra Stati membri. L’eccesso di regolazione, in un mercato già più frammentato di quello statunitense, finisce per produrre l’effetto contrario rispetto a quello dichiarato: penalizza in modo proporzionalmente maggiore le piccole e medie imprese europee rispetto ai grandi operatori extra-UE, già strutturati per gestire complessità normative su scala globale. Una semplificazione coraggiosa, accompagnata da un’applicazione più uniforme tra Stati membri e autorità competenti, dall’apertura sistematica di sandbox normative per la sperimentazione e dalla revisione delle sovrapposizioni tra discipline settoriali e norme orizzontali, è quindi parte integrante della strategia di sovranità, non un suo correttivo separato.
Una scelta che resta politica
Ridurre la dipendenza digitale ha un costo. Le stime convergono su un sovrapprezzo della sovranità del 15-30% nei primi cinque anni per i servizi cloud rispetto agli hyperscaler americani, oltre a costi di transizione, formazione e integrazione per il software di produttività. È un prezzo paragonabile a quello che l’Europa ha accettato di pagare per altre forme di autonomia strategica, dall’aerospazio civile alla sicurezza alimentare. Il modello che sembra prendere forma non è quello dell’autosufficienza piena, irrealistica nei tempi che lo scenario internazionale concede, bensì quello di una sovranità coopetitiva: cooperazione su standard aperti e infrastrutture federate, competizione sui servizi e sui modelli, perimetro di autonomia ristretto alle funzioni critiche, regolazione calibrata per favorire l’emergere di campioni europei senza arretrare sui diritti fondamentali. La vera domanda non è se l’Europa possa permettersi questa spesa, bensì se possa permettersi di non sostenerla, dopo che la dipendenza energetica dai fornitori come la Russia ha già mostrato il costo, economico e politico, di scelte rinviate troppo a lungo.
