OIl 3 giugno la Commissione europea ha presentato il Cloud and AI Development Act (CADA), parte centrale dell’AI Continent Action Plan e del più ampio pacchetto sulla sovranità tecnologica (Tech Sovereignty package).
La Commissione porta così la sovranità digitale nel terreno degli appalti pubblici cloud e AI, dove il potere d’acquisto delle amministrazioni può orientare il mercato più di molte dichiarazioni politiche. Il CADA non introduce un bando generalizzato contro gli hyperscaler extra-UE, ma una griglia di requisiti graduati che può pesare soprattutto nelle gare più sensibili.
Il cambiamento concreto riguarda le gare pubbliche. Una Pa che compra servizi cloud o AI non dovrà più valutare soltanto prezzo, qualità tecnica e capacità del fornitore. Dovrà anche classificare il rischio del servizio e chiedere garanzie corrispondenti: per attività ordinarie potranno bastare data center nell’Ue; per sanità, energia, sicurezza, giustizia o funzioni istituzionali potranno servire indipendenza da Paesi terzi, trasparenza della supply chain software, controllo societario europeo e assenza di interferenze esterne.
Il CADA contiene misure su tre assi: ricerca, sviluppo e innovazione; capacità infrastrutturale; autonomia cloud e AI. Tra le misure rientrano un quadro europeo di sovranità, criteri per cloud e AI nei settori critici, strategie nazionali degli Stati membri e strumenti comuni di procurement pubblico.
L’effetto pratico potrebbe essere una forte limitazione dell’accesso degli hyperscaler extra-UE alle gare pubbliche più sensibili. La versione ufficiale della Commissione conferma però che il mercato resterà in larga parte aperto ai partner, introducendo requisiti graduati in base al rischio e al livello di sovranità richiesto.
Non è una sorpresa. Come avevamo scritto il pacchetto era atteso e il suo contenuto prevedibile. La dipendenza europea dall’infrastruttura digitale americana ha raggiunto dimensioni che non sono più oggetto di dibattito ideologico: sono una voce di bilancio.
Il governo tedesco paga quasi mezzo miliardo di euro l’anno in licenze Microsoft. Le importazioni di servizi di proprietà intellettuale dall’America verso l’area euro hanno raggiunto i 200 miliardi di dollari annui. Su quasi cento modelli di intelligenza artificiale rilevanti rilasciati nell’ultimo anno, uno solo proviene dall’Unione Europea.
È dentro questo quadro che il CADA punta anche ad almeno triplicare la capacità dei data center europei nei prossimi cinque-sette anni, semplificando autorizzazioni, accesso all’energia, disponibilità di terra, acqua e finanziamenti
Indice degli argomenti
Il Cloud and AI Development Act davanti al nodo giurisdizionale
Il cuore del problema non è dove risiedono fisicamente i dati, ma chi controlla giuridicamente l’entità che li gestisce. Il Cloud Act del 2018 consente alle autorità statunitensi di ottenere dati da qualsiasi azienda americana indipendentemente da dove siano archiviati. Nessun data center costruito su suolo europeo risolve questo vincolo se la società madre del provider risponde alla giurisdizione federale degli Stati Uniti.
A questo si affianca la Sezione 702 del FISA, strumento di intelligence che autorizza la raccolta mirata di informazioni su soggetti non statunitensi al di fuori degli USA, e che può investire dati aziendali europei anche attraverso il meccanismo della cosiddetta incidental collection, senza necessità di un mandato individuale.
Gli hyperscaler hanno risposto con le cosiddette sovereign offerings. Amazon ha lanciato un’infrastruttura europea fisicamente e giuridicamente separata. Microsoft ha creato joint venture locali come Bleu (con Capgemini e Orange in Francia) e Delos Cloud (sussidiaria SAP su infrastruttura Azure). Google opera tramite S3NS, joint venture controllata da Thales e una partnership con OVHcloud. Ma i critici parlano di sovereign-washing, l’architettura cambia, il controllo ultimo resta americano.
La nuova architettura a livelli rende questa distinzione più concreta: la questione non è più soltanto dove siano collocati i data center, ma quale livello di controllo, indipendenza e trasparenza possa essere certificato per ciascun servizio cloud o AI.
La Commissione sembra aver accolto questa obiezione. I criteri proposti nel CADA valutano esplicitamente il livello di protezione dei dati, il controllo da parte di paesi terzi sui provider e sui loro servizi, il grado di apertura dei rispettivi mercati cloud, un riferimento trasparente all’asimmetria tra le condizioni di accesso al mercato europeo e a quello americano.
Quattro livelli per un’autonomia digitale
Il punto nuovo è la definizione di quattro livelli di cloud and AI sovereignty.
- Il livello 1 riguarda dati trattati e conservati in infrastrutture situate nell’Unione.
- Il livello 2 richiede ai provider indipendenza da Paesi terzi e trasparenza sulla supply chain software.
- Il livello 3 prevede proprietà e controllo dall’UE e criteri aggiuntivi, come la cittadinanza del personale, pur lasciando alla Commissione la possibilità di riconoscere provider di Paesi terzi.
- Il livello 4 richiede piena trasparenza e controllo sulla supply chain software e assenza di interferenze da Paesi terzi.
CADA e Chips Act 2.0: la sovranità digitale diventa filiera
Il CADA non arriva da solo. Nello stesso giorno la Commissione europea ha presentato anche la proposta di Chips Act 2.0, il nuovo tassello della strategia industriale digitale europea. Se il primo Chips Act era nato per rafforzare la capacità produttiva europea nei semiconduttori, la nuova iniziativa punta a consolidare ricerca, investimenti e resilienza lungo l’intera catena del valore dei chip.
Letto insieme al CADA, il segnale politico è chiaro: Bruxelles non considera più cloud, AI e semiconduttori come mercati separati. I data center che dovranno sostenere l’intelligenza artificiale europea dipendono dalla disponibilità di capacità computazionale; la capacità computazionale dipende dai semiconduttori; i semiconduttori dipendono da una supply chain che l’Europa considera sempre più strategica.
In questa prospettiva, gli appalti pubblici cloud rappresentano solo una parte della strategia. La Commissione sta cercando di costruire una politica industriale integrata che riduca le dipendenze critiche non soltanto dai provider cloud extra-UE, ma anche dalle tecnologie fondamentali che alimentano infrastrutture digitali e sistemi di intelligenza artificiale.
Appalti cloud UE, la leva industriale della sovranità digitale
Il public procurement diventa così uno degli strumenti più concreti della strategia europea. Se le gare pubbliche iniziano a premiare sicurezza, controllo, interoperabilità, trasparenza della supply chain e resilienza, possono creare spazio per fornitori europei o per consorzi in cui il controllo sia più vicino all’Unione.
Il rischio opposto è rallentare progetti pubblici che oggi dipendono da piattaforme globali con capacità, servizi e competenze difficili da sostituire rapidamente. È su questo equilibrio che si giocherà il negoziato tra Parlamento, Consiglio e Commissione: quante gare saranno considerate critiche, quali requisiti diventeranno obbligatori e quanto spazio avranno i provider extra-UE riconosciuti dalla Commissione.
I quattro nuovi pilastri della sovranità tecnologica UE
| Iniziativa | Che cosa prevede | Obiettivo principale | Collegamento con cloud, AI e sovranità digitale |
|---|---|---|---|
| Chips Act 2.0 | Rafforzamento dell’ecosistema europeo dei semiconduttori, con misure su investimenti, domanda industriale, produzione di chip avanzati e mainstream, resilienza della supply chain e autorizzazioni più rapide | Ridurre le dipendenze strategiche dell’Europa nei chip e aumentare la capacità industriale europea lungo la filiera dei semiconduttori | I chip sono la base fisica della capacità computazionale necessaria per data center, cloud, AI factory e applicazioni industriali di intelligenza artificiale |
| Cloud and AI Development Act (CADA) | Proposta di regolamento per aumentare capacità cloud e data center nell’Ue, sostenere tecnologie cloud e AI di nuova generazione e introdurre un quadro comune per valutare la sovranità dei servizi cloud e AI nel settore pubblico | Rafforzare l’ecosistema europeo cloud e AI, triplicare la capacità dei data center nei prossimi cinque-sette anni e graduare i requisiti di sovranità negli appalti pubblici | Trasforma la sovranità digitale in criteri verificabili per gli appalti cloud e AI, distinguendo tra servizi ordinari e funzioni pubbliche sensibili |
| EU Open Source Strategy | Strategia europea per promuovere tecnologie open source lungo l’intero stack digitale, con azioni su pubblica amministrazione, cloud, AI, cybersicurezza, identità digitale, software critico e manutenzione delle dipendenze | Ridurre il lock-in tecnologico e sostenere alternative europee aperte, interoperabili e più controllabili da Pa e imprese | L’open source diventa uno strumento per ridurre dipendenze da soluzioni proprietarie extra-Ue e aumentare trasparenza, riuso e controllo sulle infrastrutture digitali |
| Roadmap strategica per digitalizzazione e AI nell’energia | Piano per accelerare l’uso di tecnologie digitali e AI nel sistema energetico europeo, dalla gestione delle reti alla flessibilità, dai dati agli strumenti per integrare rinnovabili e nuovi consumi elettrici | Rendere il settore energetico più digitale, efficiente e resiliente, sostenendo anche la crescita delle infrastrutture necessarie all’economia dei dati e dell’AI | Collega sovranità digitale e sicurezza energetica: data center, cloud e AI richiedono energia disponibile, reti più intelligenti e capacità di pianificazione coordinata |
Sovranità digitale europea tra cloud USA e politica transatlantica
Il pacchetto non nasce in un vuoto geopolitico. L’ambasciatore statunitense presso l’UE, Andrew Puzder, ha dichiarato pubblicamente che il Tech Sovereignty Package non sembra coerente con l’accordo commerciale UE-USA. Un segnale che la sovranità digitale europea è ormai una variabile della politica commerciale transatlantica, non solo una questione industriale o tecnologica.
Un segnale che la sovranità digitale europea è ormai una variabile della politica commerciale transatlantica, non solo una questione industriale o tecnologica. La Commissione prova infatti a tenere insieme due obiettivi: rafforzare autonomia e resilienza europee, ma mantenere aperta la maggior parte del mercato ai partner internazionali
Il provvedimento richiederà il sostegno dei 27 Stati membri e del Parlamento europeo. Il passaggio non sarà indolore, il rischio di contraccolpi da Washington è concreto e, all’interno della stessa Europa, non mancano voci che mettono in guardia da un approccio eccessivamente rigido. Il CEO di Siemens ha avvertito che soffocare l’innovazione nell’AI in nome della sovranità tecnologica sarebbe un disastro per il continente.
La posizione più pragmatica l’ha espressa Topi Manner, CEO del provider finlandese Elisa: i dati più sensibili devono restare in Europa, in data center ad alta sicurezza, per il resto, gli hyperscaler rimangono indispensabili. Una sovranità a strati, non un muro.
È anche la logica implicita dei quattro livelli di assurance previsti dal CADA: requisiti diversi in base al rischio, alla sensibilità dei dati e al settore pubblico coinvolto.
Cloud and AI Development Act e limiti della sola regolazione
Il CADA interviene sulle regole di approvvigionamento pubblico.
Il CADA interviene sulle regole di approvvigionamento pubblico, ma anche su capacità infrastrutturale, ricerca, sviluppo, innovazione e strategie nazionali per cloud e AI.
Ma per le imprese, quelle i cui dati operativi, modelli algoritmici e know-how vettorizzato transitano ogni giorno su infrastrutture cloud, il problema non si esaurisce nella conformità normativa.
Il testo ufficiale include anche il sostegno a tecnologie cloud e AI di nuova generazione, frontier AI, industrial AI e physical AI, oltre alla promozione di soluzioni open source per rafforzare la resilienza.
C’è una dimensione tecnica che il dibattito politico tende a sottovalutare. Nell’era dell’AI generativa e dei workflow agentici, il rischio principale non riguarda più il dato statico conservato in un database, il cosiddetto data at rest, ma il dato in uso: quello che viene elaborato in memoria RAM durante l’inferenza di un modello. La sicurezza perimetrale tradizionale non è progettata per proteggere informazioni nel momento stesso in cui vengono computate.
Dato in uso e workflow agentici
Le clausole contrattuali standard di molti vendor SaaS prevedono licenze globali e perpetue per utilizzare i dati dei clienti nel training dei propri modelli, creando un canale strutturale di esposizione che nessun regolamento sugli appalti, da solo, può chiudere. Le contromisure, come indica Fabrizio Degni, esistono e sono mature .
Confidential Computing, HYOK e tokenizzazione
Il Confidential Computing, istanze cloud con enclave hardware isolate che cifrano i dati in memoria durante l’elaborazione, impedisce tanto agli amministratori del provider quanto a un eventuale mandato giudiziario extraterritoriale di accedere ai dati in chiaro. Le architetture Hold Your Own Key (HYOK) sottraggono al provider il possesso delle chiavi crittografiche, che restano in Hardware Security Module sotto controllo europeo. Un mandato legale, in assenza delle chiavi, produce solo dati binari illeggibili. I gateway di tokenizzazione consentono di depurare programmaticamente i dati proprietari prima che escano dal perimetro aziendale verso API di terze parti, trasmettendo solo grafi strutturali astratti e ricostruendo il significato esclusivamente all’interno del perimetro sovrano. Non sono soluzioni futuribili, sono architetture disponibili oggi, che però richiedono consapevolezza, competenze e investimento.
Queste architetture diventano ancora più rilevanti perché i livelli di sovranità previsti dal CADA non sostituiscono le scelte tecniche delle imprese: le classificano, le rendono verificabili e le inseriscono in un quadro pubblico di rischio.
La sovranità digitale non sia protezionismo autolesionista
Il confine tra protezione strategica e protezionismo autolesionista resta sottile.
Il CADA è un passo necessario: definisce un quadro europeo di sovranità cloud e AI, introduce quattro livelli di assurance, punta a rafforzare capacità computazionale e data center, e riduce la dipendenza più esposta, quella dei dati pubblici in settori critici.
Ma la regolazione copre gli appalti, non le architetture.
Per le imprese europee che costruiscono pipeline di AI su infrastrutture cloud, la vera sovranità si gioca anche a livello tecnico, nella capacità di controllare le chiavi, cifrare l’esecuzione, e impedire che il proprio vantaggio competitivo diventi strutturalmente trasparente a giurisdizioni estere. La sovranità digitale, come abbiamo scritto, non è un obiettivo binario. Si tratta di un framework di gestione progressiva delle dipendenze critiche.
Il CADA del 3 giugno è un punto di partenza, non di arrivo.
Partecipa alla community