Il 10 ottobre 2025 la Commissione Europea ha annunciato di aver lanciato il Sovereign Cloud Tender (SCT): una gara d’appalto per fornire alle istituzioni dell’Unione servizi cloud sovrani per 180 milioni di euro in 6 anni. A vincerla saranno fino a quattro operatori, tra quelli precedentemente registrati al Cloud III Dynamic Purchasing System (Cloud III DPS), il nuovo meccanismo per la qualifica di fornitori di servizi cloud alle istituzioni europee introdotto nel 2024, con un valore complessivo di 1,2 miliardi di euro, aperto a nuovi candidati fino al 28 gennaio 2028.
Già nell’annuncio, la Commissione sottolinea un’impostazione completamente nuova sulla sovranità digitale. La gara si basa infatti su un nuovo Cloud Sovereignty Framework (CSF), che permette di valutare quanto ciascun candidato risponde ad otto categorie di requisiti di sovranità europea.
Si tratta di una svolta drastica: fino ad ora erano stati singoli Stati (come Francia, Germania, Italia) a costruire schemi di riferimento per valutare il grado di sovranità dei propri fornitori cloud, mentre l’Unione aveva mantenuto un’impostazione di totale apertura al mercato globale, ritenuto capace di sviluppare e selezionare le offerte migliori per ogni esigenza.
Una prospettiva liberista e globalista, ormai in crisi insieme all’ordine socioeconomico globale multilaterale del secondo dopoguerra sul quale si basava. Perfino il World Economic Forum, proprio durante il “Summit sulla sovranità digitale europea” organizzato da Francia e Germania a Berlino a novembre 2025, sottolineava che con questa gara per la prima volta il blocco commerciale più grande del mondo impone metriche quantificabili per la sovranità tecnologica “vere, specifiche e robuste”.
Indice degli argomenti
La gara d’appalto: chi può partecipare e cosa si sa davvero
Per capire quanto il Cloud Sovereignty Framework sarà efficace per aprire opportunità di crescita agli operatori europei, bisognerà sapere chi avrà partecipato alla gara e chi la avrà vinta.
Questo è oggi difficile, perché la struttura delle gare europee limita la pubblicità dei bandi, delle candidature e dei risultati. Fonti autorevoli che conoscono bene i meccanismi di gara della Commissione Europea hanno confermato il meccanismo complessivo e chiarito questi vincoli.
Per quanto riguarda il Sovereign Cloud Tender:
- è una gara (“competition”) di secondo livello sotto il Cloud III DPS, quindi possono parteciparvi tutti e soli gli operatori qualificati al DPS;
- in quanto gara di secondo livello, le condizioni non sono pubbliche e vengono comunicate ai soli operatori che si sono qualificati alla gara di primo livello;
- alla conclusione delle gare di secondo livello come SCT, vengono però comunicati i nomi dei vincitori.
Oggi, ad esempio, sono pubblici i risultati di due gare già concluse sotto questo DPS: il “Cloud III competition 1”, 22001-2025, da 550 milioni di euro, e il “Versatile IaaS & PaaS Cloud Services with focus on Windows and Machine-Learning based workloads”, 394996-2025, da 400 milioni.
Dal punto di vista della sovranità europea, è utile notare che entrambe le gare sono state assegnate a hyperscaler globali: la prima ad Amazon Web Services EMEA SARL il 17/12/2024, mentre la seconda è stata aggiudicata a Microsoft Ireland Operations Limited il 21/05/2025. D’altra parte, entrambe erano state bandite prima della definizione del CSF.
Cloud III DPS: trasparenza dei documenti, segretezza degli ammessi
Diversa e complementare è la situazione del competition di primo livello Cloud III DPS:
- è completamente pubblica, bandita sul TED – Tenders Electronic Daily, il supplemento gare della Gazzetta Ufficiale dell’Unione, qui 46244-2024 – Competition e successivamente aggiornato qui 257639-2024 – Competition; la documentazione è pubblicata su “MERCELL”, il portale dove è possibile candidarsi fino al 31/01/2028;
- d’altra parte, i nomi dei vincitori resteranno segreti anche dopo la chiusura, per evitare di distorcere la concorrenza anche in gare successive, e perché la pubblicazione contravverrebbe ai legittimi interessi commerciali dei partecipanti e all’obbligo di segretezza che la Commissione ritiene imposto dal TFEU, il Trattato sul Funzionamento dell’Unione Europea.
Verso metà dicembre erano più di 10 i fornitori qualificati al Cloud III DPS, che quindi possono candidarsi a tutte le gare di secondo livello, compresa SCT.
Dal punto di vista della valutazione dei criteri di sovranità europea sulle scelte, quindi, nessuna informazione verrà dal Cloud III DPS, ma solo dalla chiusura delle gare di secondo livello come SCT.
Da quando è uscito, a ottobre 2025, il Cloud Sovereignty Framework è parte dei documenti di gara del Cloud III DPS. Tutte le offerte dei fornitori qualificati al DPS per SCT e per le gare di secondo livello successive verranno valutate secondo il CSF. Vedremo alla chiusura di SCT come ha cominciato a funzionare.
La Commissione Europea, tramite il servizio di portavoce per la sovranità, ha confermato due informazioni di base: all’inizio di dicembre il Sovereign Cloud Tender era effettivamente aperto, e la sua chiusura era ancora prevista tra dicembre 2025 e febbraio 2026, come indicato nell’annuncio.
Con questi presupposti, diversi da quelli che varrebbero in Italia dove, per le gare della pubblica amministrazione aperte (“pubbliche”), all’aggiudicazione si pubblica il punteggio di tutti i candidati con le motivazioni, è comprensibile e corretto che le decine di operatori contattati per preparare questo articolo abbiano per lo più ritenuto di non condividere se avevano partecipato, o valutavano di partecipare, a Cloud III DPS – e tanto meno a SCT.
Al momento di consegnare questa pagina, solo un operatore ha ritenuto possibile confermare di aver partecipato al Cloud III DPS e di aver vinto alcuni incarichi. Si tratta di OVHcloud, che ha fatto questa scelta perché è stato citato in una risposta ufficiale della Vicepresidente della Commissione per la sovranità Virkkunen, fianco a fianco con AWS e Microsoft.
Cloud Sovereignty Framework: cosa misura e come funziona
Appare evidente che la vera novità di SCT è proprio che usa il Cloud Sovereignty Framework. Lo evidenziano anche diversi operatori nella sezione dedicata.
Ci offre un inquadramento del CSF l’Onorevole Giulia Pastorella, di Azione, membro della IX Commissione (Trasporti, poste e telecomunicazioni), che da tempo si occupa di legislazione dell’innovazione digitale in Europa e in Italia ed era stata prima firmataria della prima proposta di legge sui data centre in Italia.
“Il nuovo Cloud Sovereignty Framework”, ha dichiarato, “rappresenta in parte un ripensamento dopo lo stallo sulla certificazione europea del cloud (EUCS) prevista dal Cybersecurity Act, rimasta ferma a causa delle divisioni tra Stati membri proprio mentre cresceva l’esigenza di servizi cloud sicuri e affidabili.
Rispetto a un sistema di certificazione, il Framework ha il merito di essere più agile e relativamente semplice, elemento positivo in una fase in cui l’Unione europea sta rivedendo l’intero impianto delle norme sul digitale, consapevole di aver prodotto una stratificazione regolatoria e potenziali contraddizioni che penalizzano la competitività del mercato europeo.
La vera questione sarà verificare se vi sarà un’adozione sufficientemente omogenea sul territorio dell’Unione, considerato il carattere non vincolante dello strumento, in che modo esso verrà utilizzato negli appalti pubblici e se non finirà per essere applicato quasi esclusivamente dagli Stati già favorevoli a criteri più stringenti di sovranità.
In tal caso, difficilmente il Framework potrà contribuire in modo decisivo alla creazione di un autentico ‘cloud europeo’, obiettivo rispetto al quale ho qualche perplessità.”
Anche queste considerazioni evidenziano che il beneficio effettivo del CSF dipende molto da come la Commissione deciderà di applicarlo nel Sovereign Cloud Tender, e da come ciascuna istituzione dell’Unione lo userà nelle gare per servizi cloud.
In generale, gli hyperscaler sicuramente rispondono almeno ad alcuni requisiti importanti per la sovranità: tutti hanno infrastrutture nei paesi dell’Unione; molti hanno o stanno avviando società di diritto europeo, con personale europeo e strutture di controllo in qualche modo indipendenti dalla casa madre o dalla consociata sotto la giurisdizione statunitense, per gestire alcune di queste infrastrutture.
I cloud service provider europei verosimilmente rispettano in misura molto elevata gli otto criteri del Framework e possono fornire servizi pienamente paragonabili a quelli degli operatori globali, soprattutto associandosi tra di loro e con fornitori di soluzioni software altrettanto europei, magari open source, in una delle forme di quella “federazione” che da tempo le istituzioni europee incoraggiano.
Gli otto obiettivi e i livelli SeAL della sovranità
Dal testo del CSF, sei pagine relativamente chiare e concise, si ricava:
- la valutazione si basa su otto ambiti, che il Framework chiama “Sovereignty Objectives”, “obiettivi di sovranità”: sovranità strategica, legale e relativa alla giurisdizione, sui dati e l’intelligenza artificiale, operativa (“di esercizio”), della catena di fornitura, tecnologica, relativa alla sicurezza e alla conformità alle norme, e ambientale;
- a ciascun fornitore può essere assegnato uno tra cinque livelli di sovranità per ciascun ambito, da “nessuna sovranità” a “piena sovranità digitale”, detti “Sovereignty Effective Assurance Levels” o SeAL;
- ciascuna autorità aggiudicatrice, per ciascuna gara, definisce innanzitutto il livello minimo accettabile per ogni ambito e valuta il livello che ciascun fornitore raggiunge, sulla base di domande, risposte e documentazione, scartando i fornitori che non raggiungono i livelli minimi.
Per i fornitori che superano questo primo filtro, l’autorità aggiudicatrice compila poi una classifica che li ordina in funzione di un unico Sovereignty Score. Questo punteggio è la somma dei punteggi ottenuti sui diversi criteri, con un peso che va dal massimo di 20% per la sovranità della catena di fornitura, al minimo di 5% per la sostenibilità ambientale.
La Commissione sottolinea che i pesi tengono conto del fatto che in alcuni ambiti, come la sovranità legale e relativa alla giurisdizione (nel Framework pesa il 15%) e quella relativa a sicurezza e conformità (pesa il 10%), le leggi vigenti offrono già protezioni significative.
Il rischio “sovereignty washing” e la leva dei punteggi
Da questo meccanismo sembra di poter dire che:
- ciascuna autorità aggiudicatrice, per ciascuna gara, potrà scegliere quanto essere restrittiva o aperta a fornitori con SeAL più bassi, quindi meno sovrani, in ciascun ambito.
In altre parole, la Commissione lascia ogni istituzione europea libera di scegliere quanto aprire ciascuna gara agli operatori globali. Questo giustifica almeno in parte la forte perplessità di EuroStack, cui hanno fatto eco per questo articolo Deda Group e iconomy, che temono entrambe il “sovereignty washing”: un allargamento dei criteri che li diluisce e li snatura, rendendoli privi di significato.
Poche settimane prima dell’uscita del Framework, EuroStack aveva raccomandato un’impostazione più decisa: escludere dalle gare delle istituzioni europee tutti gli operatori non pienamente sovrani, considerando requisito minimo non negoziabile la giurisdizione europea, e solo dopo classificare in ordine decrescente di sovranità quelli pienamente sottoposti alla giurisdizione UE.
- d’altra parte, i criteri per valutare la sovranità nel punteggio finale sembrano utili a valorizzare le organizzazioni veramente libere da vincoli extra-Unione, cioè europee per giurisdizione, catena di fornitura, modello di governo e legami societari.
Sicuramente questi criteri offrono strumenti con i quali un candidato europeo può mettere in discussione un punteggio superiore eventualmente assegnato a uno extraeuropeo.
Consideriamo ad esempio un fornitore extraeuropeo “ben qualificato”: uno che abbia infrastrutture in UE e una società di diritto europeo per gestirle. Sembra ragionevole che questo fornitore abbia con la casa madre extraeuropea vincoli dai quali il concorrente europeo è libero, ricevendo un punteggio inferiore, ad esempio per:
- SOV-1 (sovranità strategica), per il fattore “capacità di mantenere un esercizio sicuro anche di fronte a richieste di cessare o sospendere il servizio, o se un fornitore cessa di fornire supporto, o lo degrada”;
- SOV-2 (sovranità legale e relativa alla giurisdizione), per i fattori “grado di esposizione a leggi esterne all’Unione (es. US CLOUD Act)” ed “esistenza di canali legali, contrattuali o tecnici tramite i quali autorità esterne all’UE potrebbero esigere accesso a dati o sistemi”;
- SOV-5 (sovranità della catena di fornitura), per il fattore “origine del software”: gli operatori globali offrono ai clienti soprattutto software proprietario, con rischi in caso di stop ad aggiornamenti ed evoluzioni.
Questi soli tre criteri pesano per il 45% del punteggio totale. Sembra difficile per un operatore extraeuropeo raggiungere o superare in classifica un operatore pienamente radicato nell’Unione.
Resta, come sempre nelle gare, la possibilità che l’autorità aggiudicatrice assegni ad altri fattori — dal prezzo alla ricchezza delle caratteristiche — un peso tale da rendere secondarie le carenze nel punteggio di sovranità.
Inoltre, scegliendo di inserire il CSF all’interno del Cloud III DPS già esistente, la Commissione ha guadagnato tempo, ma sembra aver introdotto un effetto barriera per quegli operatori sovrani europei che potrebbero aver valutato il DPS prima dell’introduzione del Framework e rinunciato a concorrere.
Il banco di prova: quando capiremo se la svolta regge
Il nuovo Cloud Sovereignty Framework è uno strumento prezioso che permette alle istituzioni europee di privilegiare soluzioni a sovranità europea tanto quanto vogliono, e agli imprenditori europei di mettere in discussione le professioni di sovranità dei concorrenti extraeuropei.
Ora dipende tutto dalla volontà delle singole istituzioni europee di far pesare questi criteri, resistendo a pressioni economiche e politiche di operatori extraeuropei che pure hanno capacità di investimento e di influenza lobbistica molto maggiori dei corrispondenti europei.
È questo ruolo che rende il Framework una novità storica nell’evoluzione del mercato dei servizi digitali europeo: oggi in quello delle pubbliche amministrazioni e, in caso di successo, presto anche in quello privato.
Per valutarne il successo sarà determinante proprio il Sovereign Cloud Tender, la prima gara della Commissione Europea che applica il Framework. Dalla volontà della Commissione di applicare il Framework in maniera significativa, con SeAL elevati, e dalla capacità degli operatori europei di concorrere e vincere almeno alcuni dei quattro posti disponibili, potremo valutare già a marzo 2026 come cambia il mercato europeo dei servizi digitali.
In ogni caso, il mercato di cui stiamo parlando è quello delle grandi e grandissime organizzazioni, sia come clienti sia come fornitori. Le piccole e medie imprese sono molto meno sensibili ai rischi legati alla sovranità che non, per esempio, a quelli gravissimi che riguardano la cybersicurezza, o all’esigenza della conformità ai nuovi regolamenti europei, come oggi in particolare NIS2, che impone alle PMI nella filiera delle grandi aziende di adeguarsi agli standard del capofila.
Lo confermano gli attori che più osservano, guidano e sostengono il mercato digitale delle PMI, i distributori. Significativo e recente l’esempio di Lorenzo Reali, direttore alleanze con i fornitori e marketing presso Exclusive Networks, un distributore a valore aggiunto globale specialista proprio di cybersicurezza: i loro clienti osservano che le PMI preferiscono concentrarsi su altri temi, lasciando da parte quello della sovranità.
Cloud Sovereignty Framework e Italia: cosa c’è (e cosa manca) nel racconto
L’introduzione del Framework richiama esplicitamente iniziative europee come il Trusted Cloud Referential V2 di CIGREF, le regole sulle policy e le architetture di Gaia-X, lo European Cybersecurity Certification Framework, (ENISA, NIS2, DORA) e strategie nazionali come il “Cloud de Confiance” francese e il “Souveräner Cloud” tedesco.
Sembra particolarmente significativo che taccia dell’esperienza italiana di Polo Strategico Nazionale e delle linee guida AgID e ACN. In effetti queste, al momento di scrivere questa pagina, restavano saldamente aperte a fornitori globali di diritto statunitense.
Le prospettive di ACN, Dipartimento per la Trasformazione Digitale e PSN potranno essere oggetto di un articolo successivo. Al momento di scrivere questo, “Cloud Sovereignty Framework” non compariva sui siti di ACN, AgID e PSN, mentre il Dipartimento riportava una dichiarazione del Sottosegretario Alessio Butti sulla Dichiarazione per la Sovranità Digitale Europea sottoscritta anche dall’Italia al vertice di Berlino.
Come reagisce il mercato: cautela, scommesse e posizionamenti
Gli operatori globali che preferiscono mantenere il riserbo
Diversi operatori globali, anche alcuni di radice europea oltre a quelli con quartier generale o quotazione borsistica negli USA, preferiscono rimanere neutrali sull’opportunità di adottare soluzioni “sovrane” nel senso del CSF.
È un’indicazione che gli operatori stanno ancora valutando quanto concentrarsi su soluzioni orientate alla sovranità e quanto continuare a proporre quelle degli operatori globali, leader del mercato occidentale. Possiamo immaginare che aspettino di vedere quanto le istituzioni europee e nazionali applicheranno concretamente il CSF e la capacità degli hyperscaler di mantenerle vicine.
Ad alcuni operatori globali neutrali rispetto agli hyperscaler — in particolare ISV e system integrator parte di gruppi globali con sede o quotazione fuori UE — chi scrive ha chiesto anche di qualificare la propria capacità di autonomia rispetto a eventuali ingiunzioni delle organizzazioni mondiali. Come gli hyperscaler, hanno declinato di approfondire: un elemento che rafforza la denuncia di sovereignty washing da parte degli operatori europei.
ISV e CSP pienamente o prevalentemente europei
Molti operatori europei salutano con soddisfazione l’introduzione del CSF e sono pronti a sostenere i propri partner che si candidano a SCT, aspettandosi che siano i Cloud Service Provider a fare da capofila.
Un esempio significativo è Nextcloud: non partecipa direttamente a SCT, ma è a disposizione dei partner CSP che lo facessero. Lo stesso vale, ad esempio, per Mediterra.
Nel mercato delle grandissime organizzazioni, è particolarmente significativo il caso di SAP. Fornitore storico di software gestionale, è per molti aspetti la cosa più simile a un leader mondiale basato in Europa, anche nella forma giuridica di Societas Europæa.
Sono però quotati al NYSE di New York e integrati in una catena di fornitura globale. Questo rende complesso valutare dall’esterno la resistenza a pressioni legali, fiscali, politiche e commerciali extraeuropee.
Un criterio qualitativo, ma importante, per valutare il successo del CSF sarà quindi: quanto sarà efficace il Framework a far convergere le soluzioni “sovrane” di SAP nello stack tecnologico europeo, e a stimolare SAP ad essere un buon cittadino imprenditore dell’Europa digitale.
Accenture: sovranità, rischi geopolitici e ruolo dell’open source
In molti paesi, e in particolare in Italia, Accenture ha accompagnato i clienti a sviluppare soluzioni cloud rispondenti a obiettivi di sovranità in evoluzione.
Mauro Capo, Digital Sovereignty Lead Accenture EMEA, osserva: “Il concetto di sovranità digitale ha visto una naturale evoluzione […] dovuta alle crescenti tensioni geopolitiche, […] alle guerre cyber e alla adozione di soluzioni AI e Gen-AI.”
Strumenti come il CSF mirano a garantire un maggior livello di controllo su dati e infrastrutture, in conformità con normative e regolamentazioni, garantendo che l’Europa adotti soluzioni sicure oltre che innovative.
Capo sottolinea anche il tentativo di mitigare rischi di extraterritorialità giuridica, come l’applicazione del CLOUD Act statunitense, che può obbligare un provider USA a consegnare dati conservati in Europa. In una logica di Sovereignty Score, questo penalizza gli hyperscaler statunitensi.
Viceversa, gli operatori europei aumentano consapevolezza e capacità. “Significativo e strategico” è quanto si osserva nel sud dell’Europa e nel centro-sud della penisola italiana, con nuovi data center / AI factory come hub per il Mediterraneo.
Nel solco di resilienza e indipendenza tecnologica, le soluzioni open source giocano (e giocheranno sempre più) un ruolo significativo nella costruzione di uno stack in grado di resistere agli scossoni geopolitici.
Sulla rilevanza del Sovereign Cloud Tender, come sulla propria capacità di essere autonoma da influenze statunitensi, Accenture si considera vincolata alla discrezione.
Cloud Temple: sovranità, certificazioni e federazione
Cloud Temple è un CSP europeo di radici francesi (fondato nel 2017), attivo sui mercati francese e tedesco, e orientato alle certificazioni nazionali e di sovranità. Ha appena conseguito la certificazione Gaia-X livello 3, il livello massimo ottenibile da un CSP in grado di garantire gestione dei dati interamente nell’Area Economica Europea.
Il direttore generale Sébastien Lescop osserva che la certificazione Gaia-X livello 3 sintetizza, nel contesto del cloud federato europeo, certificazioni nazionali come SecNumCloud (Francia) e C5 (Germania).
Per crescere, Cloud Temple punta su servizi interoperabili per ridurre il rischio di lock-in e federarsi con altri provider, anche con grandi partner europei. Citando un caso: con Wire offre servizi di messaggistica e collaborazione altamente sicuri e sovrani.
Sul CSF e SCT, Lescop si aspetta raggruppamenti anche numerosi di partner, in particolare CSP e ISV, per comporre un’offerta completa. Cloud Temple ha scelto di non proporsi come capofila, ma potrebbe fornire servizi tramite un vincitore, proponendoli nel marketplace del vincitore.
Collabora Productivity: l’open source come leva “nativa” di sovranità
Collabora Productivity è un ISV open source per collaborazione e documenti, distribuibile on premise o erogabile via CSP. Il CEO Michael Meeks evidenzia tre tipologie di partner: CSP, altri ISV (in particolare Nextcloud) e system integrator.
Meeks sottolinea che nessuna soluzione open source può competere solo “costando meno”: servono funzionalità pari o superiori, facendo leva sulla capacità di invenzione dell’ecosistema.
Per Collabora, il CSF è un’opportunità strategica: l’open source riduce il rischio commerciale e di dipendenza. Si aspettano punteggi alti nelle dimensioni del Framework e un ruolo come risorsa per chi concorre al DPS e alle gare di secondo livello.
Deda Group: il monito sul “sovereignty washing” e la filiera AI
Deda Group, gruppo tecnologico a capitale italiano, mette in guardia dal rischio che CSF e SCT diventino un esercizio di marketing se non accompagnati da scelte coerenti di politica industriale.
Il CTO Roberto Loro domanda: “stiamo davvero costruendo sovranità digitale, o rischiamo di certificare dipendenze con un’etichetta rassicurante?”
Per Loro serve una visione sistemica: analisi del rischio, filiere di controllo, competenze, fiscalità, impatti sul territorio. In questa logica si colloca la scelta di rafforzare la filiera AI con l’ingresso nel capitale di Istella, e investimenti come Intacture, data centre ipogeo in Trentino, in partenariato pubblico-privato italiano.
Dynamo: un marketplace per federare CSP europei
Dynamo è un’impresa italiana che punta a stimolare la federazione tra CSP europei con una piattaforma federata di acquisto e consumo di servizi cloud sovrani certificati.
Il COO Mauro Brambilla ritiene che il framework sia un prerequisito abilitante, ma una valutazione concreta dipenderà dai dettagli di ciascuna gara. Su Cloud III DPS sono in corso considerazioni, anche alla luce di iniziative come SCT.
Equans: la sovranità “meno visibile” dell’operation quotidiana
Equans eroga servizi di gestione e manutenzione a lungo termine per data centre e infrastrutture digitali, tra cui il Campus Data4 di Cornaredo.
Per Equans, la sovranità non è solo autonomia infrastrutturale: si gioca sul piano della gestione quotidiana. Un’infrastruttura può dirsi sovrana solo se è affidabile, governata localmente, verificabile e sostenibile, per abilitare anche una sovranità energetica.
Hyve Managed Hosting: sovranità e soluzioni su misura, ma fuori dal perimetro DPS
Hyve Managed Hosting è un operatore globale con presenza in Europa, anche in Italia via partnership con Equinix a Milano. Offre servizi “su misura”, più vicini ai colocator, assumendo la gestione dell’infrastruttura per conto del cliente.
In Europa opera con una società di diritto tedesco con personale europeo, creata dopo la Brexit, e dice di potersi allineare progressivamente al CSF.
Charlotte Webb, Operations Director, spiega però che Hyve ha valutato il Cloud III DPS e l’ha considerato un’ottima opportunità, ma non pienamente allineato con il nucleo dell’offerta: Hyve è specializzata in soluzioni personalizzate e team dedicati, più che in soluzioni standardizzate pay-as-you-go, ambito nel quale il DPS appare più “imperniato” sul cloud pubblico self-service.
iconomy ed EuroStack: “il 2026 è o la va o la spacca”
iconomy, spinoff di Innovate Europe Foundation, lavora per influenzare politiche tecnologiche e far crescere comunità che colleghino operatori in azioni collettive. È membro fondatore di EuroStack Initiative Foundation.
Secondo iconomy, il 2026 sarà l’anno decisivo per la sovranità tecnologica europea. Considerano il CSF un segnale importante che la Commissione passi dalle parole ai fatti, rendendo concreti criteri specifici.
D’altra parte, sottolineano che il peso assegnato ad alcuni criteri può far pendere il punteggio verso offerte dei provider statunitensi. Richiamano anche l’annuncio di un gruppo di lavoro franco-tedesco per definire la “sovranità tecnologica”, per evitare il rischio di sovereignty washing su scala continentale.
Kyndryl: presenza radicata in Europa, ma cautela sulle gare
Kyndryl è un grande fornitore mondiale di servizi per infrastrutture IT, con sede e quotazione negli Stati Uniti e presenza radicata in vari paesi europei. In Italia gestisce tre data centre tramite personale locale della società italiana.
Davide Veronese, Italy CTO, descrive un approccio “run-transform-run”: prendere in carico infrastrutture esistenti, gestirle e trasformarle progressivamente, inclusa l’integrazione di piattaforme tradizionali come mainframe e AS/400.
Sulle gare che usano il CSF, Kyndryl dichiara di monitorare lo stato di avanzamento dei fascicoli digitali; Veronese ipotizza che, se parteciperanno, lo faranno probabilmente come società nazionali.
Mediterra: data center regionali e interoperabilità come “fondamenta” di sovranità
Mediterra Data Centers si propone come abilitatore di sovranità, con focus su data center regionali premium in città di “secondo livello” rispetto ai poli FLAP-D, e con infrastrutture carrier- e xSP-neutral per ridurre lock-in e favorire migrazione.
Il CEO Emmanuel Becker considera il CSF essenziale, ma sottolinea che tutto dipende dal rigore applicativo e dal bilanciamento tra requisiti e economie di scala.
Becker conclude che il successo del Framework sarà misurabile “in base a quanti contratti andranno effettivamente a operatori che forniscono un controllo end-to-end sotto la giurisdizione UE”.
Netalia: la sovranità resta (ancora) una partita nazionale
Netalia è un CSP sovrano italiano nato per erogare servizi cloud pubblici nazionali. Per l’AD Michele Zunino, l’arena Ue è troppo complessa e lenta per dare impulso alla sovranità: la leva decisiva, oggi, resta nazionale, soprattutto finché la fiscalità rimane nazionale e il digitale è terreno di competizione tra grandi paesi.
Questa prospettiva spiega anche la cautela su SCT: il Cloud III DPS, prima del CSF, appariva orientato a fornitori di scala globale o continentale. Anche oggi, operatori nazionali con ottimi SeAL dovrebbero coordinarsi tra paesi diversi per qualificarsi al DPS.
S2E: partner AWS e “anello di congiunzione” nella sovranità
S2E è una società italiana specializzata in cloud pubblico, partner avanzato di AWS. Ricorda che a giugno 2025 AWS ha annunciato l’European Sovereign Cloud, con disponibilità prevista nel 2027, riconoscendo che la sovranità richiesta in Europa va oltre la residenza dei dati, includendo giurisdizione e governance.
Mario Cubello, Business Line Manager, descrive tre dimensioni: sovranità tecnica e residenza dei dati, autonomia operativa e garanzie legali per mitigare rischi extra-UE. In questo scenario i partner specialistici diventano centrali per accompagnare PA e imprese verso modelli conformi e governabili.
SAP: quattro dimensioni di sovranità e un ecosistema europeo
Per Martin Merz, President Sovereign Cloud, il CSF è un punto di riferimento per valutazioni sulla sovranità a livello europeo nei settori regolamentati e nelle gare pubbliche, anche se è progettato per gli acquisti delle istituzioni e agenzie UE.
Merz sottolinea che il portfolio SAP per il cloud sovrano è pienamente allineato agli obiettivi del Framework, articolato in quattro dimensioni:
- sovranità dei dati (residenza, chiavi controllate dal cliente, governance AI);
- sovranità operativa (team qualificati nella giurisdizione richiesta);
- sovranità tecnica (isolamento, piani di controllo locali, crittografia e resilienza by design);
- sovranità legale (governance e diritti decisionali nella giurisdizione richiesta).
Per gare comparabili, SAP proporrebbe una soluzione completa nell’ambito del portfolio SAP Sovereign Cloud, con flessibilità di deployment, servizi AI integrati e conformità, avvalendosi di un ecosistema europeo e — quando appropriato — anche di partner globali impiegabili in ambienti sovrani europei.
Come esempi, Merz cita realtà come Delos Cloud e iniziative con Bleu, oltre alla collaborazione con Mistral AI per implementazioni cloud e AI sovrane quando necessario.
SAP non commenta la partecipazione a gare Cloud III DPS, ma ricorda il rapporto con le istituzioni europee tramite un Contratto Quadro Interistituzionale diretto con la Commissione Europea, recentemente rinnovato.
