Una notizia alla fine di aprile 2025 ha destato un certo interesse. Il gruppo statunitense Microsoft ha annunciato che nei prossimi anni amplierà notevolmente la capacità dei propri centri di calcolo nell’UE.
Ma perché Microsoft ha deciso di compiere questo passo? In definitiva, l’azienda teme, non a torto, di perdere nel prossimo futuro l’accesso ai mercati dell’UE, che continuano ad essere molto redditizi. Infatti, non è solo dall’inizio del secondo mandato presidenziale di Donald Trump che in Europa infuria il dibattito sulla sovranità digitale. Le aziende, le istituzioni statali ma anche le famiglie nell’UE dipendono troppo dai fornitori di servizi cloud statunitensi. Esisterebbero ancora fornitori in grado di offrire servizi equivalenti in caso di emergenza e di subentrare quindi se Donald Trump ordinasse alle aziende statunitensi di ritirarsi dall’UE?
Il dibattito non è iniziato con Trump 2.0. Già da alcuni anni si discute dell’istituzione di un sistema europeo di certificazione per la sicurezza informatica dei servizi cloud (EUCS). L’idea generale ruota intorno al fatto che i fornitori di servizi cloud potrebbero decidere volontariamente e secondo standard uniformi a livello UE di certificare la sicurezza informatica dei propri servizi.
Tale certificazione fornirebbe quindi alle aziende, alle famiglie e alle istituzioni statali un orientamento nella scelta di un servizio cloud sicuro dal punto di vista informatico. Inizialmente, il sistema di certificazione era concepito come uno strumento puramente tecnico volto ad aumentare la trasparenza e rafforzare la fiducia nella sicurezza dei servizi cloud. Tuttavia, anche a causa delle pressioni del governo francese, la struttura del sistema è stata sempre più politicizzata.
Alcuni Stati membri hanno infatti chiesto che anche i cosiddetti “requisiti di sovranità” svolgano un ruolo centrale nei servizi cloud altamente sensibili. Si tratta in definitiva di requisiti che favorirebbero di fatto i fornitori dell’UE rispetto ai fornitori di paesi terzi e quindi anche degli Stati Uniti. Un’azienda che desidera ottenere la certificazione del proprio servizio cloud secondo il massimo livello di sicurezza dovrebbe, ad esempio, garantire che i dati siano conservati esclusivamente nell’UE o che i servizi segreti stranieri non possano accedervi.
La questione se i requisiti di sovranità debbano far parte del sistema di certificazione è oggetto di accese discussioni da diversi anni. Finora gli Stati membri dell’UE non sono riusciti a trovare un compromesso. Anche le recenti turbolenze geopolitiche non hanno ancora fatto pendere l’ago della bilancia da una parte o dall’altra. In una recente ed approfondita analisi del Centres for European Policy Network (CEP), gli autori giungono alla conclusione che l’UE si è cacciata in un vicolo cieco politico e vengono proposte diverse misure per poterne uscire.
In primo luogo, tuttavia, occorre riconoscere che l’inclusione di requisiti di sovranità è già molto delicata dal punto di vista giuridico. Tali requisiti, di tipo non tecnico, non avrebbero infatti alcuna ragion d’essere inclusi in un atto di esecuzione della Commissione, che è lo strumento con cui si intende attuare il sistema di certificazione. Infatti, non si tratterebbe solo di requisiti volti ad aumentare la sicurezza informatica dei servizi cloud. Essi racchiuderebbero obiettivamente anche una notevole dimensione geopolitica e industriale. Se i decisori politici a livello dell’UE vogliono che i criteri di sovranità siano sanciti, dovrebbero decidere autonomamente e non lasciare la questione alla Commissione e all’Autorità europea per la sicurezza delle reti e dell’informazione (ENISA).
Il sistema di certificazione dovrebbe, ad avviso del CEP, ora essere introdotto senza requisiti di sovranità. Anche senza tali requisiti, esso ha infatti una sua ragion d’essere. Aumenta la trasparenza, facilita la ricerca di servizi cloud sicuri per i potenziali utenti e riduce il rischio di frammentazione normativa tra gli Stati membri. Un mosaico di norme diverse aumenterebbe inutilmente gli oneri, in particolare per i fornitori di servizi cloud che operano a livello transfrontaliero.
La revisione della normativa UE sulla sicurezza informatica (Cyber Security Act, CSA), annunciata dalla Commissione europea per la fine di quest’anno, offrirebbe poi una buona occasione per discutere nuovamente in modo approfondito la necessità di criteri volti a rafforzare la sovranità digitale dell’UE.
La commissaria europea competente, Henna Virkkunen, ha avviato nell’aprile 2025 un ampio processo di consultazione sulla revisione dell’atto legislativo. Il CSA, entrato in vigore già nel 2019, fornisce pure il quadro di riferimento per l’elaborazione di sistemi di certificazione per i servizi cloud. Secondo il CEP, per la revisione sono disponibili due opzioni. Il legislatore europeo può stabilire i criteri di sovranità, se lo ritiene necessario, direttamente nel CSA, specificando in quali casi devono essere applicati, oppure può autorizzare esplicitamente la Commissione a tenere conto di tali requisiti nella definizione dei sistemi di certificazione. Entrambe le procedure conferirebbero una maggiore legittimità democratica ai requisiti e costituirebbero passi significativi per uscire dalla controversia giuridica che ha caratterizzato il percorso intrapreso finora. Oltre a questi adeguamenti volti a garantire la sovranità digitale, occorre fissare scadenze chiare per l’elaborazione dei sistemi di certificazione ed aumentare la trasparenza del processo di elaborazione. In questo ambito si riscontrano ancora evidenti carenze nella pratica.
La politica europea in materia di cloud non dovrebbe tuttavia limitarsi a una revisione delle CSA. Ad avviso del CEP, anche la direttiva sulla sicurezza delle reti e dell’informazione, non ancora recepita in molti Stati membri, necessita di un aggiornamento che riprenda il dibattito sulla sovranità. In oltre anche gli adeguamenti del diritto europeo in materia di appalti pubblici, che la Commissione intende rivedere nel prossimo anno, potrebbero contribuire a una maggiore considerazione degli aspetti di sovranità nel medio-lungo termine. Tuttavia il CEP ritiene che un approccio più strategico agli appalti pubblici dovrebbe essere utilizzato solo in misura limitata. Lo studio raccomanda di concentrarsi sui settori in cui gli interessi di sicurezza dell’UE o degli Stati membri, ad esempio in materia di sovranità dei dati, hanno un peso maggiore rispetto ad altri fattori, quali il prezzo o le caratteristiche innovative di un servizio cloud. In tutti gli altri casi, dare la preferenza ai fornitori europei costituirebbe, di fatto, un intervento sproporzionato nel mercato e dovrebbe quindi essere evitato.
La politica digitale europea si trova a un bivio. L’attuale stallo del sistema di certificazione del cloud comunque non risulta più accettabile. Certamente trovare il giusto equilibrio tra i crescenti rischi geopolitici, il desiderio di apertura economica nei confronti dei paesi terzi e la volontà di non cedere completamente la leadership tecnologica digitale è tutt’altro che banale. Tuttavia, se l’UE vuole essere all’altezza delle sfide, dovrebbe trovare il coraggio di scegliere una direzione prima piuttosto che dopo. Nello studio si illustrano anche ulteriori misure politiche e normative volte a rafforzare la sicurezza informatica nel settore del cloud nel quadro del mercato interno dell’UE. Queste misure dovrebbero ora essere attuate con rapidità e determinazione.
