Negli ultimi mesi diversi governi europei hanno trasformato la retorica sulla sovranità digitale in scelte operative.
- La Francia ha imposto alle proprie amministrazioni centrali scadenze vincolanti per abbandonare il software statunitense e ha già spostato decine di migliaia di funzionari su strumenti propri;
- la Germania ha migrato interi apparati pubblici verso soluzioni aperte e ha reso obbligatori i formati liberi;
- la Danimarca ha deliberato l’uscita da Office 365.
A spingere questi governi non è un riflesso ideologico, ma una preoccupazione concreta: il timore che dati e servizi pubblici restino esposti a normative extraterritoriali, a tensioni geopolitiche e ai rischi di una concentrazione infrastrutturale. In questo movimento l’Italia non è formalmente assente, perché ha firmato gli stessi documenti europei e dispone di un quadro programmatico apprezzabile.
Ciò che manca è l’attuazione. Mentre gli altri grandi Paesi traducono gli impegni in migrazioni misurabili, la terza economia dell’Unione continua a sottoscrivere dichiarazioni senza avviare alcun programma nazionale di sostituzione paragonabile per scala e ambizione, e resta largamente dipendente dalle piattaforme che dichiara di voler superare.
La sovranità digitale europea, insomma, si misura già nei bilanci software, nelle migrazioni e nelle gare pubbliche, non più soltanto nelle dichiarazioni.
Indice degli argomenti
La Francia nella corsa alla sovranità digitale europea
Parigi ha sviluppato una propria suite di strumenti per la pubblica amministrazione, chiamata LaSuite, che comprende la piattaforma di videoconferenza Visio, l’applicazione di messaggistica Tchap, il servizio di posta Messagerie, lo spazio di archiviazione e condivisione Fichiers, l’editor di testo Docs e il foglio di calcolo Grist. Oltre quarantamila dipendenti pubblici utilizzano già Visio, mentre Tchap conta circa 420.000 utenti attivi, con circa ventimila nuovi utenti al mese.
Tutte le amministrazioni centrali francesi dovranno presentare entro l’autunno un piano per abbandonare le tecnologie statunitensi nel software per ufficio, negli antivirus, nell’intelligenza artificiale e nei database.
Nell’aprile 2026, inoltre, la Francia ha annunciato il passaggio di tutti i computer governativi da Windows a Linux, rafforzando così una traiettoria che da tempo punta su strumenti aperti e controllabili.
La città di Lione ha già trasferito circa il 70 per cento dei propri dipendenti da Microsoft Office alla suite open source OnlyOffice, mentre la direzione interministeriale del digitale (DINUM) ha avviato la sperimentazione di Linux sulle proprie postazioni di lavoro. La scelta non è improvvisata, perché da oltre vent’anni la Gendarmeria nazionale utilizza GendBuntu, una versione personalizzata della distribuzione Linux Ubuntu installata su decine di migliaia di dispositivi.
Anche sul versante privato il segnale è forte: una stima di un’associazione imprenditoriale francese indica che le grandi imprese del Paese acquistano ogni anno oltre 50 miliardi di dollari di software e servizi cloud dai giganti tecnologici statunitensi.
La Germania accelera sulla sovranità digitale europea
La Germania procede con analoga determinazione. Il Land Schleswig-Holstein ha completato la migrazione di circa trentamila postazioni da Word, Excel, Teams e Outlook verso LibreOffice, Open-Xchange e sistemi operativi basati su Linux. L’esercito tedesco ha firmato nell’aprile 2025 un contratto settennale con la società pubblica ZenDiS per l’adozione di openDesk, la suite open source nata dall’iniziativa Sovereign Workplace del Ministero dell’Interno come alternativa a Microsoft365.
A livello federale, inoltre, è stato annunciato l’obbligo di utilizzare formati aperti per i documenti del settore pubblico. Berlino valuta anche di affidare a imprese nazionali la realizzazione di un cloud per i dati amministrativi, mentre i servizi d’intelligence interni hanno scelto la francese ArgonOS al posto dell’americana Palantir per l’analisi dei dati: un segnale ulteriore della volontà tedesca di ridurre la dipendenza tecnologica dagli Stati Uniti nei segmenti più sensibili.
Danimarca e Paesi Bassi nel fronte della sovranità digitale
La Danimarca ha deliberato l’abbandono di Microsoft365 in favore di LibreOffice nel proprio Ministero per gli Affari Digitali. I Paesi Bassi hanno trasferito il codice sviluppato dal governo da GitHub, di proprietà di Microsoft, a un’istanza Forgejo ospitata su server pubblici.
Perché l’Europa spinge sulla sovranità digitale
Queste scelte non sono dettate da una motivazione ideologica, ma strategica.
La dipendenza da un numero ristretto di fornitori extraeuropei è percepita come una vulnerabilità su tre piani distinti.
- Il primo è giuridico: il CLOUD Act statunitense consente alle autorità americane di richiedere l’accesso a dati conservati su server collocati all’estero, quando questi sono gestiti da società soggette alla giurisdizione degli Stati Uniti.
- Il secondo è politico: nel maggio 2025 il procuratore capo della Corte penale internazionale, Karim Khan, ha perso l’accesso alla propria casella di posta ospitata su Microsoft Outlook, dopo che un ordine esecutivo dell’amministrazione Trump aveva disposto sanzioni nei suoi confronti; benché Microsoft abbia negato di aver sospeso l’accesso, l’episodio ha mostrato quanto la leva tecnologica possa essere usata per finalità geopolitiche, e a novembre la Corte ha annunciato la migrazione verso la soluzione open source OpenDesk.
- Il terzo piano è operativo: il blackout globale dei servizi Amazon Web Services dell’ottobre 2025, originato dal malfunzionamento di un singolo data center, ha interrotto per ore servizi utilizzati in tutto il continente, e ha confermato i rischi della concentrazione infrastrutturale.
A queste tre preoccupazioni se ne aggiunge una quarta, più direttamente economica e democratica: il timore che i servizi digitali americani diffondano contenuti dannosi e dominino i mercati a scapito delle imprese europee e degli editori. L’ascesa dell’intelligenza artificiale ha intensificato questa pressione, perché sempre più utenti si rivolgono a ChatGPT e ai suoi concorrenti per consigli su acquisti, informazione e politica.
Le mosse dell’UE per la sovranità digitale europea
Anche le istituzioni europee si sono mosse. La Dichiarazione di Berlino del novembre 2025 è stata accompagnata dal Cloud Sovereignty Framework, lo strumento con cui la Commissione europea, a partire dall’ottobre 2025, ha tradotto un concetto astratto come la sovranità in criteri concreti e misurabili: otto obiettivi che vanno dalla dimensione giuridica a quella tecnologica, ciascuno valutato su una scala di livelli crescenti, in modo che le amministrazioni possano confrontare i fornitori cloud anche in base al loro grado di autonomia e non soltanto al prezzo o alla qualità.
La stessa Commissione ha applicato il quadro a una propria gara da 180 milioni di euro per servizi cloud sovrani, aggiudicata nell’aprile 2026 a quattro fornitori europei. Sul piano legislativo è atteso nel 2026 il Tech Sovereignity Act, un pacchetto sulla sovranità tecnologica che comprende il Cloud and AI Development Act, una revisione del Chips Act e una strategia europea per l’open source.
Quel pacchetto, secondo il calendario indicato da Bruxelles, sarà presentato il 3 giugno. Non a caso la Commissione von der Leyen ha istituito una vicepresidenza esecutiva dedicata alla sovranità tecnologica, alla sicurezza e alla democrazia, affidata a Henna Virkkunen.
L’Unione dispone anche di strumenti regolatori già operativi, seppure controversi e lenti. Il Digital Markets Act e il Digital Services Act consentono di sanzionare comportamenti anticoncorrenziali e imporre modifiche ai grandi servizi digitali. Nel solo aprile 2026 la Commissione ha inviato contestazioni preliminari a Meta per possibili violazioni delle restrizioni di età e a Google chiedendo di consentire a terzi l’accesso ai dati della ricerca. Sono inoltre in corso verifiche per stabilire se i servizi cloud di Google e Microsoft rientrino nel perimetro del DMA, il che potrebbe imporre lo spacchettamento di servizi oggi offerti in modo integrato.
Quanto pesa la dipendenza tecnologica europea
L’urgenza nasce dalla scala della dipendenza, e il conto è presto fatto. Il governo federale tedesco versa a Microsoft quasi mezzo miliardo di euro l’anno di sole licenze, mentre le importazioni dell’area euro di servizi legati alla proprietà intellettuale dagli Stati Uniti hanno superato i duecento miliardi di dollari annui.
Il divario negli investimenti è di un altro ordine di grandezza: mentre in Europa l’inaugurazione di un singolo data center da un miliardo di euro viene salutata con gli allori, i quattro maggiori gruppi statunitensi del cloud e dell’intelligenza artificiale (Amazon, Google, Meta e Microsoft) hanno speso nel solo 2025 circa 400 miliardi di dollari in conto capitale, in larga parte per data center e infrastrutture destinate all’IA.
È uno scarto che le norme sugli aiuti di Stato e gli altri strumenti della regolazione europea non bastano a colmare. Sul fronte dell’innovazione il segnale è ancora più eloquente: su quasi cento modelli di intelligenza artificiale di rilievo rilasciati nell’ultimo anno, uno soltanto proveniva dall’Unione europea. Persino le imprese si stanno muovendo, perché nel 2022 la maggioranza di quelle interpellate da una nota società di consulenza dichiarava di prendere in considerazione soltanto fornitori cloud statunitensi, una quota scesa sotto il venti per cento nel 2025.
I motivi per restare con gli hyperscaler Usa
Resta però il nodo dell’uscita dalla dipendenza. I grandi hyperscaler offrono servizi integrati e la scala necessaria a renderli efficienti, ma proprio questa integrazione produce effetti di lock-in: una volta adottato un ecosistema, trasferire dati e applicazioni verso fornitori alternativi diventa costoso e tecnicamente complesso. Conta anche la convenienza percepita dagli utenti.
Un’indagine sulle imprese danesi, tra le più avanzate nell’uso del cloud in Europa, mostra che dopo sicurezza e conformità legale i criteri decisivi restano qualità, facilità d’uso e prezzo. E questo, molto spesso, continua a favorire i fornitori americani, anche perché i clienti delle stesse imprese europee usano a loro volta tecnologie statunitensi.
L’Italia dentro la sovranità digitale europea
In questo quadro l’Italia non parte da zero, e su un aspetto specifico si è anzi mossa in anticipo. Già nel settembre 2021 il Dipartimento per la trasformazione digitale e l’Agenzia per la cybersicurezza nazionale hanno pubblicato la Strategia Cloud Italia, che fissa tre obiettivi espliciti: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali, con la previsione di portare circa il 75 per cento delle amministrazioni verso un cloud qualificato. A questo si aggiunge un vero strumento di classificazione.
Il sistema ACN di qualificazione dei servizi cloud per la pubblica amministrazione non si limita a distinguere l’offerta per livelli di sicurezza tecnica, ma assegna punteggi anche in base alla protezione giuridica, al controllo operativo, alla localizzazione dei dati e al grado di autonomia dal punto di vista societario e tecnologico. Nella graduatoria iniziale, i fornitori nazionali come Sogei e il Polo Strategico Nazionale risultavano nella fascia più alta, mentre operatori come Aruba, Leonardo e Liguria Digitale figuravano al livello immediatamente inferiore e i grandi hyperscaler internazionali a un gradino ancora più basso.
Anche sul software la cornice esiste e non è recente. L’articolo 69 del Codice dell’amministrazione digitale (CAD) impone alle pubbliche amministrazioni titolari di applicativi sviluppati su loro commissione di pubblicarne il codice sorgente sotto licenza aperta in un repertorio pubblico, la piattaforma Developers Italia, affinché le altre amministrazioni possano riutilizzarlo gratuitamente anziché pagare più volte per soluzioni equivalenti. Su questa logica di rilascio e riuso il Piano triennale per l’informatica nella pubblica amministrazione fissa obiettivi quantitativi crescenti, e prevede entro il 2026 almeno 150 amministrazioni che rilascino software open source e 3.000 che lo riutilizzino.
Non mancano i precedenti concreti, perché il Ministero della Difesa ha migrato i propri sistemi a LibreOffice e diversi comuni, da Trieste a Pesaro, hanno compiuto scelte analoghe. Sul piano europeo, infine, l’Italia ha sottoscritto a Berlino, nel novembre 2025, la Dichiarazione per la sovranità digitale e partecipa al consorzio per i beni comuni digitali EDIC Digital Commons, avviato a fine 2025 con Francia, Germania e Paesi Bassi proprio per sviluppare strumenti sovrani come openDesk.
I limiti italiani nella sovranità digitale europea
Il problema non è quindi l’assenza di regole o di strategie, ma la natura stessa delle scelte compiute. L’Italia ha privilegiato un modello di localizzazione e qualificazione del dato, cioè la garanzia che le informazioni restino sul territorio nazionale e su infrastrutture certificate, senza però affrontare il nodo della sostituzione degli applicativi. Mentre Parigi e Berlino sostituiscono Office, Outlook e Windows con alternative aperte, l’Italia non ha avviato alcun programma nazionale di sostituzione del software statunitense paragonabile per scala e ambizione.
La pubblica amministrazione resta frammentata in migliaia di enti e largamente dipendente da Microsoft365, Windows e Azure, e manca soprattutto un’autorità dotata di mandato chiaro e risorse adeguate per guidare la transizione dell’intera macchina pubblica.
Lo stesso Polo Strategico Nazionale illustra bene questa ambivalenza. L’infrastruttura, creata per ospitare i dati critici della pubblica amministrazione e gestita dalla società partecipata da TIM, Leonardo, Cassa Depositi e Prestiti e Sogei, affianca a un cloud di proprietà operato nei quattro data center nazionali una quota rilevante di servizi che poggia sulle tecnologie dei principali fornitori statunitensi, da Oracle Alloy a Google Assured Workload, da Microsoft Azure fino ad AWS dal 2025, sia pure erogati in region collocate in Italia e con chiavi crittografiche gestite in via esclusiva dal PSN.
Sovereignty washing Big tech
La localizzazione dei dati e il controllo delle chiavi riducono i rischi di governance, ma non eliminano la variabile decisiva, cioè la soggezione del fornitore tecnologico alle norme extraterritoriali statunitensi. È la dinamica che alcuni osservatori, tra cui Cristina Caffarra dell’iniziativa EuroStack, definiscono sovereignty washing, cioè un uso del linguaggio della sovranità che rende più accettabile, e quindi più stabile, una dipendenza strutturale.
Non si tratta di una specificità italiana. Per rispondere ai timori europei i grandi fornitori statunitensi hanno introdotto le cosiddette offerte sovrane: Microsoft promette ai clienti europei di non interrompere mai i servizi e di opporsi nelle sedi giudiziarie alle richieste di dati delle autorità americane, mentre Google ha realizzato un cloud isolato dalla rete pubblica per clienti con esigenze di sicurezza elevate, tra cui le forze armate tedesche. La gestione esclusiva delle chiavi da parte del PSN appartiene alla stessa famiglia di soluzioni, misure che innalzano il livello di protezione senza sciogliere il nodo della giurisdizione.
Approccio a strati
Anche per questo diversi operatori europei sostengono un approccio a strati: i dati più sensibili dovrebbero restare in Europa, in data center altamente sicuri e sotto pieno controllo locale, mentre ai grandi hyperscaler andrebbero affidate solo le componenti meno sensibili. A tutto ciò si aggiunge un rischio di lungo periodo, perché l’integrazione dei servizi offerti dai grandi operatori genera effetti di lock-in: una volta adottato un ecosistema, il trasferimento di dati e applicazioni verso fornitori alternativi diventa costoso e tecnicamente complesso.
La stessa ambiguità emerge nell’operazione con cui Poste Italiane intende salire al controllo di TIM, presentata anch’essa come un progetto di sovranità digitale. TIM Enterprise è il primo polo cloud nazionale ed è azionista di riferimento del Polo Strategico Nazionale, ma mantiene partnership con Google Cloud, Oracle e Microsoft, mentre Poste ha siglato a fine 2025 un’alleanza con Amazon Web Services. È legittimo chiedersi quale grado di autonomia effettiva possa esercitare un soggetto che dipende dagli stessi fornitori dai quali dichiara di volersi emancipare.
Il paradosso italiano della sovranità digitale europea
Qui emerge un paradosso difficile da ignorare. Il governo in carica si presenta come il più sovranista della storia repubblicana e ha fatto della rivendicazione di sovranità un tratto identitario, al punto da ridenominare due ministeri per inserirvi la sovranità alimentare e il made in Italy. Eppure, proprio nel campo in cui la sovranità non è uno slogan, ma una questione tecnica e verificabile, cioè il controllo del software e dei dati pubblici, mostra una timidezza che stride con la sua retorica. Va ricordato che l’impianto più solido, la Strategia Cloud Italia, risale al 2021 ed è opera di un altro esecutivo, mentre negli ultimi anni le mosse di maggiore impatto, a partire dagli accordi delle aziende pubbliche con i grandi fornitori americani, hanno semmai consolidato la dipendenza. Sul digitale la sovranità si misura in migrazioni, scadenze e gare pubbliche, non in dichiarazioni di principio, ed è esattamente su questo piano che l’azione italiana resta indietro.
Le contromisure non sarebbero originali, perché basterebbe replicare quanto già sperimentato altrove. Servirebbe una strategia nazionale con scadenze vincolanti per la migrazione delle amministrazioni verso suite open source; l’obbligo di formati aperti per i documenti pubblici, già introdotto in Germania; un mandato chiaro e risorse adeguate per AgID e per l’Agenzia per la cybersicurezza nazionale nel governare la transizione; il riuso effettivo, e non soltanto dichiarato, delle soluzioni già pubblicate su Developers Italia.
Competenze italiane e sfida della sovranità digitale europea
Il ritardo italiano non dipende dalla mancanza di capacità. Leonardo, attraverso la propria divisione cyber, possiede competenze che potrebbero essere valorizzate in un contesto europeo; software house come Engineering potrebbero contribuire allo sviluppo di soluzioni comuni; le università formano ingegneri informatici di buon livello, molti dei quali emigrano per assenza di sbocchi adeguati.
Esiste, è vero, una remora di natura geopolitica comune a tutta l’Unione, perché lo stesso Mario Draghi ha osservato che l’Europa dovrebbe agire con maggiore assertività, ma che a trattenerla è la sicurezza, cioè il timore di incrinare i rapporti con Washington e la garanzia atlantica, la Nato, già a pezzi per lo sfilarsi di Trump. Si tratta però di un freno che riguarda l’ambizione strategica complessiva, non la sostituzione del software per ufficio o l’adozione di formati aperti, ambiti sui quali Parigi e Berlino hanno agito senza che ciò comportasse alcuna frizione transatlantica.
C’è poi un problema più ampio di coordinamento industriale. La sfida europea non riguarda soltanto il software finale, ma la costruzione di un ecosistema che va dai chip ai data center fino ai servizi cloud e di intelligenza artificiale. Per questo il pacchetto in arrivo a Bruxelles dovrebbe includere procedure autorizzative più rapide, una quota di fondi pubblici per sostenere gli investimenti e regole di procurement capaci di privilegiare i fornitori europei. La difficoltà, però, resta enorme: mentre l’Europa parte spesso da idee tecniche brillanti e poi cerca un mercato, gli Stati Uniti costruiscono più facilmente l’intero ecosistema partendo dalla domanda finale. Ciò che manca, in Italia, è la decisione politica di considerare la sovranità digitale una priorità, e non un argomento da convegno.
La differenza con gli altri Paesi non è di principio, perché tutti hanno sottoscritto gli stessi documenti, ma di esecuzione. Insomma, l’Italia ha firmato tutto e migrato quasi nulla. Finché gli impegni resteranno sulla carta, la terza economia dell’Unione continuerà a subire scelte altrui in un ambito che incide direttamente sulla sicurezza dei dati pubblici, sulla resilienza dei servizi essenziali e sull’autonomia strategica del Paese.
