La Commissione europea ha annunciato i vincitori di una gara da 180 milioni di euro per fornire servizi cloud sovrani alle istituzioni, agli organi e alle agenzie dell’Unione nei prossimi sei anni.
Un importo che, letto sulla carta, può sembrare persino modesto rispetto ai miliardi che girano ogni anno nel mercato cloud mondiale dominato dagli hyperscaler statunitensi. Eppure, il valore politico e simbolico di questa decisione va molto oltre la cifra impegnata, perché per la prima volta Bruxelles ha scelto in modo netto, trasparente e misurabile di affidare le proprie infrastrutture digitali a fornitori europei, applicando un criterio di sovranità che finora era rimasto più uno slogan che una pratica operativa.
Indice degli argomenti
Sovranità cloud, i vincitori della gara UE
I quattro vincitori sono tutti soggetti formalmente radicati nel continente, anche se con gradi di purezza europea molto diversi tra loro.
- Il lussemburghese Post Telecom si presenta insieme a due partner francesi, CleverCloud e OVHcloud, quest’ultimo ormai da anni il riferimento europeo del settore e quotato in Borsa a Parigi.
- La tedesca StackIT, emanazione del gruppo Schwarz che tutti conoscono come proprietario di Lidl e Kaufland, porta avanti una strategia di diversificazione digitale nata dall’esigenza originaria di sottrarre i dati della grande distribuzione tedesca al controllo dei concorrenti americani.
- Scaleway, parte del gruppo francese Iliad di Xavier Niel, rappresenta un’altra delle punte più affilate del cloud continentale.
- Infine, il belga Proximus si presenta con un’alleanza particolarmente articolata e controversa, che comprende Clarence, la francese Mistral ormai simbolo dell’intelligenza artificiale generativa europea, e soprattutto S3NS, joint venture tra il campione francese della difesa Thales e Google Cloud. Ed è proprio qui che si apre il nodo più delicato dell’intera operazione.
Google, come Amazon e Microsoft, è il bersaglio stesso contro cui l’intera retorica della sovranità digitale europea si è costruita negli ultimi anni.
Il paradosso americano della gara cloud sovrano UE
È un’azienda americana, soggetta al Cloud Act, alle richieste delle autorità federali statunitensi, alle oscillazioni della politica di Washington. La sua presenza, sia pure filtrata attraverso la veste giuridica di S3NS, in un consorzio vincitore di una gara sulla sovranità cloud appare a prima vista come una contraddizione in termini.
Può essere davvero sovrano un servizio che poggia, anche solo in parte, sulla tecnologia di uno dei tre hyperscaler americani? La domanda è legittima e la Commissione lo sa bene, tanto che nel comunicato con cui ha annunciato gli esiti ha inserito un passaggio destinato a far discutere a lungo, in cui si afferma che le tecnologie non europee, se operate all’interno di un quadro rigoroso e appropriato, possono comunque raggiungere il livello minimo di sovranità richiesto. È una presa di posizione netta, che segnala la scelta pragmatica di Bruxelles ma che inevitabilmente deluderà chi, soprattutto in Francia e in Germania, invoca da tempo un approccio più radicale.
Il compromesso del cloud sovrano europeo
La logica sottostante è quella delle cosiddette joint venture di fiducia, un modello che S3NS condivide con l’operazione Bleu tra Orange, Capgemini e Microsoft, e che punta a costruire un involucro legale e operativo interamente europeo attorno a una tecnologia di base americana. In concreto, il personale che gestisce i sistemi risponde esclusivamente al diritto dell’Unione, le infrastrutture sono localizzate sul territorio europeo, le chiavi crittografiche sono in mani europee, ogni accesso è tracciato e verificabile, e la casa madre americana, almeno sulla carta, non ha alcuna possibilità tecnica né giuridica di intervenire unilateralmente.
Secondo la griglia del Cloud Sovereignty Framework, questa configurazione raggiunge probabilmente il livello SEAL-2 o SEAL-3, quello della sovranità dei dati o della resilienza digitale, non certo il SEAL-4 della piena sovranità, che esclude ogni dipendenza critica da soggetti extraeuropei. Significa, tradotto, che la Commissione ha scelto di accettare un compromesso consapevole. Dove esistono alternative pienamente europee, come nel caso di OVHcloud, Scaleway o StackIT, si preferiscono. Dove queste alternative non bastano a coprire tutte le esigenze funzionali, soprattutto sui servizi più avanzati come l’intelligenza artificiale o certi strumenti di analisi dei dati, si accetta una tecnologia extraeuropea purché sia rigorosamente incapsulata dentro un perimetro europeo.
Che questo compromesso sia accettabile dipende in larga misura da quanto si ritiene credibile l’idea che una sussidiaria europea di una multinazionale americana possa davvero resistere a un ordine emanato da un tribunale statunitense. I critici più severi fanno notare che le protezioni contrattuali e tecniche delle joint venture di fiducia non sono mai state messe alla prova in uno scenario di crisi reale, e che in caso di conflitto aperto tra Bruxelles e Washington la tenuta di questi schemi resta tutta da dimostrare. I sostenitori ribattono che nessun sistema è perfetto, che la sovranità assoluta non esiste in un mondo interconnesso, e che avere un perimetro europeo attorno alla tecnologia americana è comunque enormemente meglio che utilizzare direttamente i servizi standard degli hyperscaler, come fa oggi la stragrande maggioranza delle amministrazioni europee.
È un dibattito che il Cloud and AI Development Act, atteso nei prossimi mesi, dovrà necessariamente affrontare, perché da quella norma dipenderà se il modello delle joint venture di fiducia verrà codificato come percorso legittimo verso la sovranità, o se invece verrà gradualmente relegato a soluzione transitoria in attesa di alternative pienamente europee.
Perché Bruxelles diversifica i fornitori cloud sovrani
La Commissione non ha scelto un solo fornitore, ma quattro contratti in parallelo, per evitare quella concentrazione del rischio che oggi caratterizza in modo drammatico il rapporto fra l’Europa e il cloud globale. Secondo diverse stime, tra il 70 e l’80 per cento dei servizi cloud consumati nel Vecchio Continente è fornito dalle tre grandi aziende americane Amazon Web Services, Microsoft Azure e Google Cloud.
Una dipendenza che in tempi normali appariva semplicemente scomoda, ma che negli ultimi anni, con il deteriorarsi del clima geopolitico tra le due sponde dell’Atlantico, è diventata una vulnerabilità strategica di prima grandezza. Non è un caso che in questi mesi si moltiplichino i ragionamenti su cosa accadrebbe se l’amministrazione americana decidesse di usare il digitale come leva di pressione. Ipotesi che fino a poco tempo fa sarebbero sembrate fantascienza e che oggi fanno parte dei piani di continuità operativa di qualunque governo e di molte grandi imprese europee.
Come funziona il framework del cloud sovrano europeo
Il cuore di questa gara, però, non sta tanto nell’elenco dei vincitori quanto nel metodo. La Commissione ha applicato per la prima volta in modo sistematico il proprio Cloud Sovereignty Framework, un documento tecnico preparato dalla Direzione Generale dei servizi digitali che prova a dare finalmente una risposta operativa a una domanda che circola da anni nei consessi europei: cosa significa davvero, concretamente, che un servizio cloud è sovrano? Fino a ieri la parola “sovranità” era diventata una specie di aggettivo di cortesia, utilizzato in modo disinvolto sulle offerte commerciali più diverse, spesso solo perché i server erano fisicamente collocati in Europa. Un requisito, quest’ultimo, talmente minimale da essere quasi irrilevante, dato che molte aziende americane possono garantirlo senza alcuna fatica, pur restando pienamente soggette al diritto statunitense.
Il Framework ribalta l’impostazione. La sovranità non è più un’etichetta, ma un punteggio costruito su otto obiettivi distinti, ciascuno pesato secondo la sua criticità.
Gli otto obiettivi della sovranità cloud UE
Al primo posto c’è la sovranità strategica, che guarda a chi controlla davvero la proprietà e la governance del fornitore, quanto dei suoi finanziamenti arrivi da fonti europee, quanto investa e crei lavoro nel continente, e soprattutto quali garanzie offra contro un eventuale cambio di controllo societario che potrebbe, da un giorno all’altro, portarlo in mani extraeuropee.
Poi c’è la sovranità legale e giurisdizionale, forse il nodo più delicato di tutti, quello che riguarda l’esposizione alle leggi americane a portata extraterritoriale. Il Cloud Act, firmato nel 2018 sotto la prima presidenza Trump, consente alle autorità statunitensi di richiedere l’accesso ai dati gestiti da aziende americane ovunque essi siano fisicamente conservati. Un principio che ha reso obsoleta, in un colpo solo, l’idea secondo cui basta tenere i dati in un data center di Francoforte o Parigi per metterli al riparo. Se chi li gestisce risponde a un giudice di New York o Washington, la geografia non conta nulla.
La sovranità dei dati e dell’intelligenza artificiale, terzo obiettivo, affronta proprio questo tema da un’altra angolazione, chiedendo che solo il cliente, e non il fornitore, abbia il controllo effettivo delle chiavi crittografiche che proteggono le informazioni.
È un dettaglio tecnico apparentemente minuto, ma che fa tutta la differenza, perché solo così si può escludere in modo verificabile che qualcun altro possa leggere senza autorizzazione.
Gli altri obiettivi riguardano la sovranità operativa, cioè la possibilità concreta che operatori europei possano gestire, aggiornare e far evolvere la tecnologia senza dipendere da personale o vendor stranieri, la sovranità della catena di fornitura, che costringe i candidati a rivelare dove vengono fabbricati i server, dove viene scritto il firmware, dove viene sviluppato il software, la sovranità tecnologica intesa come apertura degli standard, del codice e delle architetture, la sovranità della sicurezza e della compliance, che impone centri operativi di sicurezza situati nell’Unione e certificazioni europee riconosciute, e infine la sostenibilità ambientale, per la prima volta considerata a pieno titolo una dimensione della sovranità, perché l’autonomia energetica è ormai inseparabile da quella digitale.
I livelli SEAL e la logica delle soglie
A questo schema si accompagna una seconda innovazione molto interessante, i cosiddetti SEAL, acronimo di Sovereignty Effectiveness Assurance Levels, che potremmo tradurre come livelli di garanzia di effettiva sovranità.
Sono cinque gradini che vanno dallo zero al quattro, sulla scorta dei tipi, ad esempio, di guida autonoma. Il livello zero corrisponde a nessuna sovranità, cioè a un servizio interamente controllato da soggetti extraeuropei sotto giurisdizione non europea. Il primo livello è la sovranità giurisdizionale puramente formale, quella in cui il diritto europeo si applica sulla carta ma non è davvero esercitabile. Il secondo è la sovranità dei dati, il terzo la resilienza digitale, in cui gli attori europei hanno un’influenza significativa ma non totale. Il quarto, la piena sovranità digitale, prevede che tecnologia e operazioni siano interamente sotto controllo europeo e non esistano dipendenze critiche da soggetti stranieri.
La gara richiedeva un livello minimo di assicurazione per ciascuno degli otto obiettivi, al di sotto del quale le offerte venivano semplicemente rifiutate. Solo chi superava questa soglia entrava poi nella valutazione vera e propria, che assegna i punteggi della qualità complessiva dell’offerta.
Questo approccio cambia la questione in modo sottile ma profondo. Per anni il dibattito europeo sul cloud si era arenato su una contrapposizione sterile tra chi sosteneva che bastavano le garanzie contrattuali dei grandi fornitori extraeuropei, magari rafforzate da qualche rassicurazione legale e da qualche data center locale, e chi invece chiedeva di escludere in modo radicale qualunque componente extraeuropea. Il framework della Commissione compie un passo avanti perché riconosce che la sovranità è un continuum, non un interruttore.
Si può essere più o meno sovrani, e il compito di un’amministrazione è quello di misurare questo grado, fissare soglie minime accettabili, e lasciare che il mercato competa sulla qualità sovrana dell’offerta. È un approccio pragmatico ma non cedevole, che evita sia l’ingenuità di chi si accontenta di un’etichetta sia l’integralismo di chi vorrebbe reinventare tutto da zero ignorando che, in molti segmenti tecnologici, alternative europee mature semplicemente non esistono ancora.
Dai SEAL al Tech Sovereignty Package
L’operazione va letta anche nel contesto più ampio della strategia digitale europea degli ultimi mesi. La Commissione, dopo anni di regolamentazione reattiva, sta finalmente passando a una fase proattiva, con investimenti mirati, procurement strategici e un pacchetto legislativo ambizioso che prende il nome di Tech Sovereignty Package.
Dentro ci saranno la strategia Open Source, il Chips Act 2 per rafforzare la produzione europea di semiconduttori dopo i passi compiuti con il primo Chips Act, la Strategic Roadmap per la digitalizzazione e l’intelligenza artificiale nel settore energetico, e soprattutto il Cloud and AI Development Act (CADA).
Quest’ultima norma, attesa per i prossimi mesi, dovrebbe armonizzare su scala europea il concetto stesso di sovranità per i servizi cloud e di intelligenza artificiale, aprendo il mercato unico a un’offerta più diversificata e favorendo l’ingresso di nuovi player europei attraverso il procurement pubblico. L’idea di fondo è che la domanda pubblica, se opportunamente indirizzata, possa diventare il volano capace di far decollare un’industria del cloud sovrano che fino a oggi ha sofferto di dimensioni troppo piccole per competere ad armi pari con i colossi d’oltreoceano.
L’orizzonte Euro-Stack e il ruolo del procurement
La logica è quella, ormai nota, della strategia Euro-Stack o di iniziative come il cosiddetto Euro 3C di cui si discute da tempo, che puntano a costruire un ecosistema digitale europeo verticalmente integrato, dai chip al software applicativo passando per l’infrastruttura cloud.
Non si tratta di un progetto di autarchia, perché nessun osservatore serio pensa che l’Europa possa o debba rinunciare completamente alla collaborazione con fornitori americani e asiatici. Si tratta piuttosto di ridurre le vulnerabilità asimmetriche, garantire la capacità di funzionamento autonomo nei settori critici dell’amministrazione pubblica, della difesa, dell’energia, della sanità e della giustizia, e creare le condizioni perché almeno in alcuni segmenti si sviluppino alternative competitive. La dipendenza totale non è sostenibile, ma l’isolamento neppure. La strada giusta è quella di una dipendenza bilanciata e reversibile.
Resta da vedere se il modello si rivelerà effettivamente replicabile. La Commissione ha già annunciato che sta preparando una versione aggiornata del Cloud Sovereignty Framework, con criteri ancora più specifici, pensata per essere utilizzata dalle altre istituzioni europee, dai governi nazionali e potenzialmente anche dal settore privato. L’ambizione è di creare uno standard europeo della sovranità cloud, una specie di linguaggio comune che renda confrontabili le offerte e i fornitori sulla base di parametri oggettivi. Se questa ambizione si tradurrà in pratica, l’effetto indotto potrebbe essere molto superiore ai 180 milioni stanziati per la gara iniziale, perché diventerebbe il riferimento per miliardi di euro di acquisti pubblici negli anni a venire.
Le incognite del cloud sovrano europeo
Certo, le incognite non mancano.
La prima riguarda la capacità effettiva dei fornitori vincitori di rispondere a una domanda istituzionale che può diventare rapidamente molto esigente in termini di volumi, servizi offerti, compatibilità con applicazioni legacy e livelli di prestazione paragonabili a quelli degli hyperscaler americani. Nessuno degli operatori europei oggi ha una scala confrontabile con AWS o Azure, e colmare questo divario richiederà investimenti significativi e una domanda pubblica sostenuta nel tempo.
La seconda incognita riguarda proprio la tenuta del modello ibrido che abbiamo descritto. Se le joint venture di fiducia dovessero rivelarsi meno solide del previsto in uno scenario di tensione reale con Washington, la credibilità dell’intero framework ne uscirebbe compromessa, e la Commissione dovrebbe rapidamente rivedere al rialzo le proprie soglie minime di sovranità.
La terza incognita è quella politica. La sovranità digitale europea è un progetto che richiede coerenza di lungo periodo, coesione tra Stati membri, capacità di resistere alle pressioni dei lobbisti delle grandi aziende tecnologiche, che hanno dimostrato negli anni una formidabile abilità nell’ammorbidire le normative europee o nel rallentarne l’applicazione.
Il passaggio decisivo per l’Europa e per l’Italia
Il tender appena aggiudicato è un segnale forte, ma è solo un tassello di un mosaico più grande che dovrà comporsi con il contributo delle capitali nazionali, degli Stati membri che dovranno allineare le proprie strategie, e soprattutto delle imprese europee che dovranno credere in questo progetto al punto da investirci risorse e talento. L’Italia, da questo punto di vista, ha molto da giocare, sia per via del Polo Strategico Nazionale, sia per il ruolo di operatori come Leonardo, TIM e Aruba che possono trovare in questo quadro un terreno fertile per crescere su scala continentale.
Quel che è certo è che il linguaggio della sovranità digitale, dopo anni di formule vuote, sta finalmente assumendo contenuti operativi. Misurabili, certificabili, contendibili nelle gare pubbliche. Non è un cambiamento rivoluzionario, ma è un cambiamento che sposta l’ago della bilancia. E che, nel clima geopolitico attuale, fatto di improvvise tensioni commerciali, di minacce di dazi e di contromosse digitali, rappresenta una delle poche leve su cui l’Europa può agire davvero, senza aspettare né Washington né Pechino. Centottanta milioni non cambiano il mondo, ma un metodo credibile, applicato per la prima volta con coerenza al cuore stesso dell’amministrazione europea, può diventare un seme capace di crescere molto, se coltivato con la necessaria pazienza strategica.
