Argomenti trattati
La Commissione europea ha avviato un cambiamento pratico nella gestione delle proprie infrastrutture digitali, assegnando contratti per un cloud sovrano destinato a istituzioni, organi e agenzie dell’Unione per i prossimi anni. Il valore complessivo dell’appalto è di 180 milioni di euro e sarà distribuito su più fornitori: una scelta che va oltre la singola cifra economica perché mira a tradurre in pratica il concetto di Sovranità digitale, fino ad oggi spesso rimasto retorico.
La decisione rappresenta un equilibrio tra due necessità: rafforzare la capacità europea di controllo sulle tecnologie critiche e riconoscere che, per alcuni servizi avanzati come l’intelligenza artificiale o certi strumenti di analisi, le alternative puramente continentali non sono ancora sempre disponibili. Questo approccio pragmatico ha suscitato entusiasmo ma anche scetticismo, soprattutto nelle correnti più favorevoli a soluzioni integralmente europee.
I vincitori e le loro alleanze
Quattro raggruppamenti di aziende europee hanno ottenuto i contratti: la lussemburghese Post Telecom in consorzio con due francesi, CleverCloud e OVHcloud; la tedesca StackIT, creata dal gruppo Schwarz; Scaleway, parte del gruppo Iliad; e un’alleanza guidata dal belga Proximus che include Clarence, la francese Mistral e la joint venture S3NS. Quest’ultima, nata tra il francese Thales e Google, ha catalizzato il dibattito perché solleva il tema della dipendenza da tecnologie extraeuropee.
Il nodo degli hyperscaler e le critiche
La presenza di una struttura che incorpora tecnologia di un hyperscaler statunitense appare paradossale rispetto all’obiettivo della sovranità: le leggi come il Cloud Act rendono infatti complessa la totale esclusione di influenze giurisdizionali esterne. La Commissione ha però chiarito che tecnologie non europee possono essere accettate se inserite in un perimetro operativo e legale rigoroso, realizzando così un involucro europeo attorno a soluzioni di base straniere. Questo modello, di fatto una joint venture di fiducia, è praticato anche in altre iniziative come l’operazione Bleu tra operatori ed hyperscaler.
Il metodo: il Cloud Sovereignty Framework
Il vero elemento innovativo dell’appalto non è soltanto la lista dei vincitori ma il criterio adottato: il Cloud Sovereignty Framework della Commissione, che traduce la sovranità in indicatori misurabili. L’obiettivo è rendere comparabili offerte etichettate come sovrane, evitando l’uso improprio del termine quando esso si limita alla sola collocazione fisica dei server in Europa.
Gli otto obiettivi e le soglie di ammissibilità
Il framework valuta otto dimensioni fondamentali: sovranità strategica, sovranità legale e giurisdizionale, sovranità dei dati e dell’AI (compreso il controllo delle chiavi crittografiche), sovranità operativa, trasparenza della catena di fornitura, apertura tecnologica, sicurezza e compliance, e sostenibilità ambientale. Per ciascuna è definito un livello minimo di accettabilità: le offerte sotto soglia sono scartate prima della comparazione qualitativa, garantendo che solo proposte con requisiti essenziali passino alla valutazione finale.
I livelli SEAL e il compromesso sulla piena autonomia
Per misurare il grado di controllo reale la Commissione ha introdotto i SEAL (Sovereignty Effectiveness Assurance Levels), una scala da zero a quattro che va dalla totale assenza di sovranità fino alla piena autonomia operativa e tecnologica. La configurazione scelta per le offerte vincenti tende a collocarsi in una fascia intermedia (ad esempio SEAL-2 o SEAL-3): sufficiente per proteggere dati critici e garantire resilienza, ma non equivalente alla completa esclusione di dipendenze strategiche.
Perché questa strategia conta per l’Europa
Il motivo pratico alla base della frammentazione dei contratti è limitare la dipendenza concentrata dagli hyperscaler: oggi una quota consistente del cloud europeo è dominata da pochi operatori stranieri. La scelta di più fornitori vuole ridurre il rischio sistemico e stimolare un mercato europeo più robusto. Inoltre, il progetto si inserisce in una più ampia strategia della Commissione che combina procurement pubblico, investimenti e normative con il cosiddetto Tech Sovereignty Package per sostenere l’industria digitale europea e promuovere alternative industriali lungo tutta la filiera tecnologica.
In sintesi, l’azione dell’UE rappresenta un tentativo di trasformare la sovranità digitale da concetto astratto in un criterio operativo: non si tratta di chiudere l’Europa al mondo, ma di costruire confini e regole che consentano alle istituzioni e ai settori critici di operare con livelli misurabili di controllo e sicurezza. Resta aperto il dibattito sulla tenuta delle protezioni in scenari di crisi, un tema che normative future come il Cloud and AI Development Act dovranno chiarire e regolamentare.