Il pacchetto sulla sovranitΓ tecnologica: cosa significa per noi la nuova mega-legge di Bruxelles
L’infrastruttura digitale europea Γ¨ nelle mani di poche multinazionali statunitensi: una dipendenza che da tempo si Γ¨ trasformata da problema economico in una concreta minaccia alla sicurezza. Cosa accadrebbe se governi stranieri accedessero ai dati europei piΓΉ sensibili o addirittura interrompessero la rete digitale vitale di un intero continente con un “interruttore di sicurezza”? Per anni, questo pericolo Γ¨ stato considerato uno scenario teorico, fino a quando una clamorosa confessione di Microsoft al Senato francese non ha rivelato la dura realtΓ . Ora l’Unione Europea sta agendo con decisione. Con lo storico “Pacchetto sulla sovranitΓ tecnologica” del giugno 2026, Bruxelles lancia un attacco frontale al dominio di Amazon, Microsoft e Google. Il piano: miliardi di investimenti, rigidi criteri di sovranitΓ e lo sviluppo di una propria infrastruttura indipendente per il cloud e l’intelligenza artificiale. Ma il percorso verso l’emancipazione digitale Γ¨ lastricato di ritardi tecnologici e di una massiccia resistenza geopolitica. Un’analisi approfondita della tardiva, ma inevitabile, liberazione dell’Europa.
Chi controlla l’attivazione dell’infrastruttura digitale europea?
Una domanda che l’Europa si Γ¨ posta troppo tardi
Ci sono dichiarazioni che rivelano il loro pieno significato solo a posteriori. Una di queste Γ¨ stata rilasciata il 3 giugno 2026, quando Henna Virkkunen, vicepresidente della Commissione europea per la sovranitΓ tecnologica, presentΓ² il cosiddetto Pacchetto sulla sovranitΓ tecnologica e affermΓ²: “Vogliamo assicurarci che nessuno abbia un interruttore di spegnimento”. Questo si riferisce alla possibilitΓ teorica, ma tutt’altro che inverosimile, che un governo o un’azienda straniera possano semplicemente bloccare, congelare o accedere all’infrastruttura digitale europea, senza che Bruxelles, Berlino o Parigi possano intervenire in alcun modo.
Quello che potrebbe sembrare allarmismo tecnico Γ¨ in realtΓ una descrizione preoccupante di una situazione in cui l’Unione Europea si trova da anni. I tre maggiori fornitori di servizi cloud che supportano le operazioni digitali di aziende, enti governativi e infrastrutture critiche in Europa hanno tutti sede negli Stati Uniti: Amazon Web Services, Microsoft Azure e Google Cloud insieme controllano circa il 70% del mercato cloud europeo. I fornitori europei, in particolare SAP e Deutsche Telekom, detengono ciascuno una quota di mercato di appena il 2%. Il resto del mercato Γ¨ occupato da fornitori piΓΉ piccoli statunitensi e asiatici.
Questi dati non descrivono un’astratta vulnerabilitΓ geopolitica. Descrivono una tangibile dipendenza economica e di sicurezza che non Γ¨ migliorata negli ultimi anni, ma anzi Γ¨ peggiorata. Nel 2017, i fornitori di servizi cloud europei detenevano ancora il 29% del mercato europeo. Oggi, questa cifra Γ¨ scesa al 15%, nonostante un volume di mercato sestuplicato nello stesso periodo. Mentre i fornitori europei hanno triplicato i loro ricavi assoluti, gli hyperscaler statunitensi sono cresciuti piΓΉ rapidamente e hanno progressivamente ampliato il divario.
Il pacchetto sulla sovranitΓ tecnologica: cosa ha deciso realmente Bruxelles?
Il 3 giugno 2026, la Commissione europea ha presentato il suo Pacchetto europeo sulla sovranitΓ tecnologica. Il pacchetto si compone di quattro elementi: il Chips Act 2.0, il Cloud and AI Development Act (CADA), una strategia per l’open source e un piano energetico per i data center. Ciascuno di questi elementi affronta una dimensione specifica della dipendenza tecnologica dell’Europa, ma il piΓΉ incisivo dal punto di vista politico ed economico Γ¨ senza dubbio il Cloud and AI Development Act.
La CADA si propone di raggiungere tre obiettivi principali: in primo luogo, promuovere la ricerca, lo sviluppo e l’innovazione nelle tecnologie cloud e di intelligenza artificiale; in secondo luogo, espandere la capacitΓ dei data center nell’UE, che, secondo la Commissione, dovrebbe essere triplicata entro cinque-sette anni; e in terzo luogo, introdurre un quadro uniforme a livello europeo per la valutazione della sovranitΓ in materia di cloud e intelligenza artificiale. Quest’ultimo punto Γ¨ cruciale, in quanto stabilisce, per la prima volta, criteri chiari e vincolanti per definire cosa costituisca un servizio cloud “sovrano” all’interno dell’UE.
Al centro del CADA c’Γ¨ un modello di sovranitΓ a quattro livelli. Al primo livello, Γ¨ sufficiente che i dati siano archiviati all’interno dell’UE, uno standard che gli hyperscaler statunitensi possono formalmente soddisfare attraverso i loro data center europei. Al secondo livello, deve essere inoltre praticamente impossibile per i paesi terzi accedere ai dati o bloccarne l’accesso, un requisito che i fornitori americani non possono soddisfare a causa del CLOUD Act statunitense. Il terzo livello richiede che i fornitori provengano da un paese terzo riconosciuto dall’UE, mentre il quarto e piΓΉ elevato livello Γ¨ riservato esclusivamente ai fornitori controllati in Europa con il pieno controllo della catena di fornitura.
La logica strategica alla base di tutto ciΓ² Γ¨ tanto semplice quanto di vasta portata: i futuri contratti governativi in ββsettori sensibili dovranno soddisfare almeno i requisiti del Livello 2. In pratica, ciΓ² significa che i dati provenienti dai settori della difesa, della giustizia, della sanitΓ e delle forze dell’ordine non potranno piΓΉ essere affidati ai grandi fornitori di servizi internet statunitensi. Secondo le stime della Commissione, il livello piΓΉ elevato di sovranitΓ riguarda solo circa l’uno per cento dei servizi pubblici, ma questo uno per cento comprende i segreti di Stato, i dati di intelligence e le informazioni giudiziarie piΓΉ sensibili.
Allo stesso tempo, la portata del pacchetto deve essere valutata realisticamente. Si tratta ancora di una bozza che deve essere approvata sia dal Parlamento europeo che dal Consiglio degli Stati membri. Inoltre, vincola principalmente il settore pubblico, non le imprese private. Ciononostante, nell’economia della regolamentazione si applica una dinamica ben nota: ciΓ² che lo Stato richiede oggi per i suoi dati piΓΉ sensibili, attraverso effetti a catena e pressioni lungo le catene di approvvigionamento, diventerΓ di fatto lo standard di settore domani.
Il Cloud Act statunitense: le basi del problema
Per comprendere perchΓ© il pacchetto sulla sovranitΓ tecnologica si sia reso necessario, Γ¨ fondamentale capire come funziona il Cloud Act statunitense. Questa legge, entrata in vigore nel marzo 2018 durante la prima amministrazione Trump, consente alle autoritΓ statunitensi di obbligare le aziende americane a consegnare dati elettronici, indipendentemente dal fatto che tali dati risiedano su server negli Stati Uniti o all’estero. Il Clarifying Lawful Overseas Use of Data Act, per citare il suo nome completo, obbliga i fornitori di servizi cloud statunitensi come Amazon, Microsoft e Google a divulgare dati in risposta a ordini legalmente validi, anche se tali dati sono archiviati su server europei.
Questa portata extraterritoriale della legge statunitense crea un conflitto giuridico fondamentale con la normativa europea in materia di protezione dei dati. L’articolo 48 del Regolamento generale sulla protezione dei dati (GDPR) stabilisce che i trasferimenti di dati verso paesi terzi possono avvenire solo tramite trattati internazionali di assistenza giudiziaria reciproca. Dal punto di vista del Comitato europeo per la protezione dei dati (EDPB), il CLOUD Act statunitense rappresenta un tentativo di eludere proprio questi trattati di assistenza giudiziaria reciproca esistenti. Le aziende soggette sia al CLOUD Act che al GDPR si trovano quindi in un dilemma giuridico che non ha una soluzione pienamente soddisfacente.
Il Centro nazionale olandese per la sicurezza informatica (NCSC) ha stabilito, in un parere legale dettagliato, che questo conflitto non puΓ² essere ridotto a semplici misure tecniche. Anche se un’azienda europea elabora tutti i dati attraverso una filiale formalmente europea di una societΓ statunitense, la societΓ madre statunitense puΓ² comunque essere considerata proprietaria dei dati e, di conseguenza, rimanere soggetta al Cloud Act. Ancora piΓΉ interessante Γ¨ l’osservazione dell’NCSC secondo cui le autoritΓ statunitensi potrebbero potenzialmente accedere ai dati tramite cittadini statunitensi che lavorano per aziende dell’UE, senza che il datore di lavoro europeo ne sia nemmeno a conoscenza.
La confessione di Microsoft: la svolta al Senato francese
Quello che fino ad allora era stato discusso negli ambienti giuridici come un rischio teorico, ha assunto un volto e una voce concreti nel giugno 2025. Anton Carniaux, responsabile legale di Microsoft Francia, Γ¨ stato interrogato sotto giuramento davanti alla commissione d’inchiesta del Senato francese il 10 giugno 2025. Il relatore, Dany Wattebled, ha posto la domanda cruciale: Carniaux poteva garantire che i dati dei cittadini francesi affidati a Microsoft non sarebbero mai stati divulgati su richiesta del governo americano senza l’esplicito consenso delle autoritΓ francesi? La risposta, nella sua brevitΓ , Γ¨ stata devastante: no, non poteva garantirlo.
Durante l’udienza, Carniaux ha chiarito che Microsoft Γ¨ legalmente obbligata a rilasciare i dati richiesti qualora venga emesso un ordine del tribunale statunitense formalmente valido. Tuttavia, la divulgazione di tali richieste ai clienti europei non Γ¨ garantita: Microsoft puΓ² solo chiedere che la procedura venga inoltrata al cliente per quanto possibile. Queste dichiarazioni sono significative perchΓ© minano alla base la promessa di un “cloud sovrano” di progettazione europea, che i grandi provider di servizi internet statunitensi promuovono da anni. Misure tecniche come data center europei, archiviazione locale dei dati e chiavi crittografiche proprietarie non modificano l’obbligo legale di divulgare i dati quando si applica la legge statunitense.
L’ammissione di Microsoft non Γ¨ un caso isolato. Documenti governativi britannici resi pubblici rivelano che Microsoft ha confermato per iscritto alle autoritΓ di polizia scozzesi di non poter garantire la sovranitΓ dei dati con Microsoft 365. Questi documenti ufficiali dimostrano che non si tratta di un’interpretazione distorta della legge, bensΓ¬ di una valutazione ponderata da parte dell’azienda stessa. Particolarmente preoccupante Γ¨ il fatto che Microsoft abbia giΓ bloccato l’account del Procuratore capo della Corte penale internazionale, un caso che dimostra come gli interessi americani possano, in determinate circostanze, prevalere arbitrariamente sulla sicurezza dei dati europea.
La Francia come stato pioniere: quando la teoria diventa politica
Forse la risposta piΓΉ eclatante a questa dipendenza strutturale non arriva da Bruxelles, bensΓ¬ da Parigi. Con una serie di decisioni governative, la Francia ha iniziato a consolidare sistematicamente l’indipendenza tecnologica della propria amministrazione. All’inizio del 2026, il governo francese ha imposto il divieto di utilizzo di piattaforme come Microsoft Teams, Zoom, Google Meet e Cisco Webex in tutta la pubblica amministrazione. Le licenze esistenti sono in scadenza e non vengono rinnovate.
La portata di questo progetto Γ¨ considerevole: circa 2,5 milioni di dipendenti pubblici dovranno passare dai software statunitensi ad alternative nazionali entro la fine del decennio. Visio, un sistema sviluppato in Europa il cui programma pilota Γ¨ giΓ in corso, verrΓ utilizzato come soluzione per le videoconferenze. Nella primavera del 2026, il Centro Nazionale per la Ricerca Scientifica (CNRS) francese ha sostituito circa 34.000 licenze Zoom con Visio, interessando oltre 120.000 ricercatori. Ad aprile, il governo ha esteso la direttiva ai sistemi operativi: Γ¨ stata ordinata una migrazione graduale da Microsoft Windows a Linux su tutte le postazioni di lavoro del ministero.
La forza trainante Γ¨ l’agenzia digitale statale DINUM, che, in qualitΓ di pioniere, ha giΓ migrato tutte le sue 250 postazioni di lavoro a Linux. Entro l’autunno del 2026, tutti i ministeri dovranno presentare piani vincolanti di riduzione della dipendenza. La logica economica alla base di questa scelta Γ¨ tanto convincente quanto quella di sicurezza: secondo i suoi stessi calcoli, la Francia risparmia circa un milione di euro all’anno in costi di licenza per ogni 100.000 utenti che passano alle soluzioni governative. Con oltre due milioni di dipendenti del settore pubblico, il risparmio annuo potrebbe superare i 20 milioni di euro, denaro che potrebbe essere investito nello sviluppo di fornitori di tecnologia europei anzichΓ© finire nelle mani di aziende statunitensi.
Il Parlamento europeo si esprime con una voce rara
Nel normale clima politico del Parlamento europeo, le maggioranze nette che trascendono le divisioni partitiche sono rare. La votazione del 22 gennaio 2026 Γ¨ stata una di queste rare eccezioni. Con 471 voti favorevoli, 68 contrari e 71 astensioni, il Parlamento ha adottato una relazione che invita l’UE a superare strutturalmente la sua dipendenza dalla tecnologia statunitense. A favore della risoluzione hanno votato il Partito Popolare Europeo, i Socialdemocratici, i Liberali e i Verdi. L’opposizione Γ¨ giunta solo da frange estreme: il Gruppo di Sinistra e il partito di estrema destra Patrioti per l’Europa.
Questa votazione ha una dimensione simbolica che va oltre il contenuto specifico della risoluzione. Dimostra che la questione della sovranitΓ digitale in Europa non ha piΓΉ il carattere di una spaccatura ideologica: Γ¨ diventata un raro tema di consenso, convincente sia per i conservatori del PPE che per gli eurodeputati verdi. Il Parlamento ha esplicitamente chiesto una chiara definizione di cloud computing sovrano nell’ambito del regolamento sullo sviluppo del cloud e dell’intelligenza artificiale. In tal modo, ha spianato la strada politicamente proprio al quadro normativo che la Commissione ha presentato pochi mesi dopo con il CADA.
Il mercato e le sue forze d’inerzia: una valutazione obiettiva
Esiste un divario considerevole tra le aspirazioni politiche e la realtΓ tecnologica, un divario che non va sottovalutato. Il mercato globale del cloud ha raggiunto un fatturato di circa 90,9 miliardi di dollari solo nel primo trimestre del 2025. AWS detiene una quota di mercato globale superiore al 30%, seguita da Microsoft Azure con circa il 23% e Google Cloud con l’11-13%. Nel terzo trimestre del 2025, questi tre giganti statunitensi insieme rappresentavano il 63% del mercato globale. Per l’intero anno 2026, le previsioni di investimento di Amazon, Microsoft, Google e Meta superano i 600 miliardi di dollari. Si tratta di una cifra superiore di oltre tre volte all’intero bilancio della difesa dell’UE.
I fornitori europei non hanno praticamente alcuna risposta a queste misure. SAP e Deutsche Telekom guidano il settore europeo con una quota di mercato di circa il due percento ciascuna. Seguono OVHcloud, Telecom Italia e Orange con quote ancora piΓΉ ridotte. La societΓ di ricerca Forrester ha concluso alla fine del 2025 che nessuna azienda europea abbandonerΓ completamente gli hyperscaler statunitensi entro il 2026. Nonostante le crescenti preoccupazioni, i vincoli economici rimangono l’ostacolo decisivo: un passaggio completo da AWS, Google Cloud e Microsoft Azure non Γ¨ semplicemente realistico nel breve-medio termine.
Questa valutazione obiettiva non Γ¨ cinica, bensΓ¬ analiticamente precisa. Le aziende che hanno costruito l’intera infrastruttura digitale sui servizi cloud statunitensi si trovano ad affrontare costi di migrazione significativi, problemi di compatibilitΓ e il semplice fatto che le alternative europee in molti settori, in particolare nelle infrastrutture per l’intelligenza artificiale e nel calcolo ad alte prestazioni, non offrono ancora una profonditΓ paragonabile. L’associazione tedesca dell’industria IT Bitkom ha calcolato che l’87% delle aziende tedesche si rifornisce di tecnologie o servizi digitali dagli Stati Uniti o dall’UE. Stati Uniti e UE sono testa a testa, a dimostrazione di quanto sia radicata la dipendenza dagli Stati Uniti.
A tutto ciΓ² si aggiungono le critiche delle associazioni di settore. La Computer and Communications Industry Association (CCIA), che rappresenta, tra gli altri, le aziende tecnologiche statunitensi, ha definito il Cloud and AI Development Act una “direttiva diretta per una frammentazione discriminatoria del mercato” e ha avvertito che crea una “ricetta pericolosa per un protezionismo progressivo del mercato”. Anche l’associazione internet tedesca eco ha avvertito che i livelli di sovranitΓ devono essere chiaramente giustificati, proporzionati e basati sul rischio, e non dovrebbero funzionare come meccanismi di esclusione generalizzata per i fornitori extraeuropei. Queste obiezioni non sono semplici attivitΓ di lobbying, ma indicano problemi di attuazione concreti: secondo la CCIA, l’articolo 18 del CADA stabilisce uno standard irraggiungibile β nessuno dei principali paesi produttori di tecnologia, nemmeno l’UE stessa, lo soddisfa attualmente.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Β Konrad Wolfenstein
Source link
