La sovranità digitale europea torna prepotentemente al centro del dibattito politico, con Bruxelles che sta lavorando a nuove restrizioni capaci di ridisegnare il rapporto tra le istituzioni del continente e i colossi cloud americani. Nel mirino ci sono nomi pesantissimi: Microsoft Azure, Amazon Web Services e Google Cloud, che oggi dominano in modo schiacciante il mercato cloud europeo. E la posta in gioco, stavolta, va ben oltre una semplice questione di regolamenti.
Il tema non è nuovo, va detto. La dipendenza tecnologica dagli hyperscaler statunitensi è un nervo scoperto da anni, e si è fatto sempre più sensibile dopo il caso Snowden, l’annullamento del Privacy Shield e le tensioni continue sulle regole per il trasferimento transatlantico dei dati. Quello che cambia adesso è l’approccio: l’Unione Europea vuole andare oltre la semplice localizzazione fisica dei server e puntare sul controllo giuridico reale dell’infrastruttura. Tradotto: non basta che i dati siano conservati su un server a Francoforte, se poi chi gestisce quel server risponde alle leggi di Washington.
Il Cloud Act e il nodo che preoccupa Bruxelles
Il cuore del problema ha un nome preciso: il Cloud Act, la legge statunitense del 2018 che permette alle autorità americane di richiedere l’accesso a dati custoditi da società USA anche quando quei dati si trovano fisicamente fuori dai confini degli Stati Uniti. Per l’Europa, questo crea un cortocircuito evidente con le proprie normative sulla protezione dei dati. Un database archiviato in Germania ma controllato da una corporation americana, in teoria, potrebbe comunque finire sotto la lente del governo di Washington. Non esattamente una situazione rassicurante quando si parla di dati governativi, infrastrutture energetiche, sistemi sanitari o applicazioni legate alla sicurezza nazionale.
Le nuove regole che Bruxelles sta studiando andrebbero a imporre requisiti molto più rigidi sulla governance delle piattaforme cloud: controllo operativo affidato a soggetti europei, personale autorizzato residente nell’UE, gestione autonoma delle chiavi crittografiche e una separazione tecnica netta delle infrastrutture. Tutto questo si ricollega ai progetti di sovranità digitale già avviati, a partire da Gaia-X, l’iniziativa lanciata nel 2019 con il supporto di Germania e Francia. Gaia-X, però, aveva coinvolto anche gli stessi hyperscaler americani, scelta che aveva attirato critiche feroci. Il nuovo orientamento sembra andare in una direzione diversa, puntando su infrastrutture che siano davvero indipendenti da giurisdizioni esterne, con certificazioni cloud che includano criteri dettagliati su cifratura, auditing e governance societaria.
Cosa cambia per le aziende, la pubblica amministrazione e il mercato AI
Se queste restrizioni dovessero effettivamente entrare in vigore, le conseguenze sarebbero tutt’altro che teoriche. I contratti cloud della pubblica amministrazione e dei settori regolamentati verrebbero investiti per primi. Le organizzazioni che trattano dati classificati potrebbero trovarsi obbligate a migrare i propri workload verso provider conformi ai nuovi requisiti, con tutto quello che ne consegue in termini di ristrutturazione di contratti multi-cloud o passaggio a infrastrutture ibride.
I provider europei come OVHcloud e IONOS, naturalmente, potrebbero trarne vantaggio. Ma qui si apre un altro capitolo, e non è semplice: il divario tecnologico rispetto agli hyperscaler americani resta importante in segmenti chiave come i cluster GPU, i servizi di intelligenza artificiale, le piattaforme dati distribuite e le infrastrutture hyperscale. Esiste quindi un rischio concreto che le restrizioni finiscano per rallentare l’adozione di tecnologie AI nei settori europei dove le piattaforme conformi non riescono ancora a offrire capacità paragonabili.
Bruxelles, però, considera la dipendenza infrastrutturale un rischio strategico che non può più essere ignorato. La guerra in Ucraina e le tensioni geopolitiche globali hanno rafforzato la convinzione che l’autonomia tecnologica sia ormai una questione industriale e politica, non solo economica. L’esito di questa partita definirà il futuro del cloud europeo e, con ogni probabilità, anche la capacità dell’UE di costruire un’infrastruttura AI autonoma nei prossimi anni.
