Quasi un anno fa, in un articolo invitavo le aziende a riconsiderare l’esposizione al rischio dovuto alla dipendenza dai cloud americani, sempre più intimamente legati a un governo incurante delle norme, trattati e convenzioni diplomatiche, anche con i propri alleati.

Ipotizzavo tre scenari, distinti per probabilità e impatto. Dal più probabile ma gestibile (il rischio di non conformità con le norme sulla privacy), a quello che chiamavo “ipotesi fine-di-mondo”, improbabile ma catastrofico: la messa sotto sanzione di singole istituzioni, paesi o dell’intera Unione, che avrebbe determinato rincari arbitrari o l’interruzione di servizi erogati da aziende americane.

La Groenlandia, i dazi incrociati e il rischio escalation

Con le rinnovate pretese di annessione della Groenlandia da parte dell’esecutivo Trump e la minaccia di dazi incrociati, ci stiamo pericolosamente avvicinando alla parte fantascientifica dello scenario. Rifacciamo il punto quindi, cercando di capire le possibili conseguenze per il settore IT e in particolare i servizi cloud.

L’imposizione di ritorsioni commerciali per condizionare le scelte politiche dei paesi membri è il tipo di evento che permette all’Unione di attivare lo Strumento Anti Coercizione, o Anti Coerction Instrument. Il regolamento 2023/2675 è stato varato per permettere all’Unione di rispondere unitariamente a una minaccia di un paese extraeuropeo a uno o più stati membri usando leve economiche.

L’ACI permette di attivare, dopo approvazione del Consiglio, una serie di contromisure proporzionali che includono dazi doganali, limitazioni agli investimenti, barriere all’accesso al mercato comune da parte di aziende di servizi, restrizioni sugli appalti pubblici e sull’applicabilità delle protezioni alla proprietà intellettuale (brevetti, marchi, licenze software…).

Lo strumento rappresenta quindi la base giuridica per attuare teoricamente azioni estreme, come una messa al bando delle piattaforme social e SaaS, il divieto per gli hyperscaler di partecipare a bandi con la pubblica amministrazione e il congelamento dei contenziosi per violazioni dei termini delle licenze software (addio audit di Oracle, Microsoft, VMware e compagnia).

Il processo prevede una prima fase di de-escalation e negoziazione, e può essere revocato rapidamente se anche il paese con cui c’è il conflitto torna sui suoi passi. Nell’ultimo anno però abbiamo visto quanto l’apertura al dialogo non rientri tra le caratteristiche dell’amministrazione Trump. Che, anzi, rischia di varare misure punitive che potrebbero limitare l’esportazione di certe tecnologie, come è stato fatto con Nvidia e il divieto di esportazione delle GPU H200 in Cina.

La competitività dei cloud provider europei: reality check

Ora, pensare di abbandonare dall’oggi al domani i cloud americani è impossibile, non fosse che per un fatto: il 70 percento dei cloud europei – compresi quelli delle pubbliche amministrazioni come il nostro Polo Strategico Nazionale varato per ragion di Stato nonostante un pronunciamento contrario del TARdel Lazio – sono in mano ad aziende americane. I cloud provider locali non hanno né la capacità computazionale, né le tecnologie per sopperire completamente e istantaneamente alla sparizione dei fornitori d’Oltreoceano.

Le parole chiave qui sono “completamente e istantaneamente”. Vediamo quindi su quali servizi i principali provider europei possono tenere testa all’offerta degli hyperscaler, su quali ci possono essere compromessi accettabili, e quali invece richiederebbero molti anni e molti investimenti per essere colmati.

Nel confronto citiamo alcuni provider rappresentativi con presenza in Italia. Ci sono altri casi notevoli, anche nel resto d’Europa, ma la situazione non cambia molto. Non stiamo qui considerando l’offerta cloud di operatori di telecomunicazioni, come TIM e Fastweb, perché di fatto rivendono servizi cloud dei fornitori americani (rispettivamente, Google e AWS). Questi, come le offerte di cloud sovrano europeo degli stessi hyperscaler, sebbene possano probabilmente schermare i dati dei clienti da ingerenze extra giurisdizionali, sarebbero comunque colpiti da sanzioni economiche o altre restrizioni.

Infrastructure as a Service: i servizi base ci sono

Sul fronte dei servizi infrastrutturali di base (vm, storage a blocchi e oggetti, networking di base), i principali cloud provider europei possono competere con le controparti americane, anche sul fronte del prezzo. Specialmente se si considera che alcuni provider locali includono nelle loro offerte il traffico di rete e altri servizi che rimangono un costo variabile e scarsamente prevedibile con gli hyperscaler.

La buona notizia è che questi servizi sono più che adeguati alle necessità di gran parte delle piccole imprese: dal sito web, anche con ecommerce trafficato, al gestionale/erp in cloud, allo storage. Moltissime piccole aziende e PA locali non hanno bisogno di altro. Considerando l’estrema frammentazione del panorama imprenditoriale italiano, queste imprese rappresentano una fetta molto rilevante del nostro prodotto interno lordo.

Se però l’azienda è più grande o specializzata e cerca servizi accessori e più avanzati, le cose cominciano a complicarsi e l’offerta è a macchia di leopardo. Servono GPU per l’IA? Seeweb offre server con Nvidia H200 (erogabili tra l’altro anche in modalità serverless via Kubernetes), la soluzione più potente al momento, mentre OVHcloud – almeno in Italia – si ferma alla generazione precedente (H100). Aruba offre invece schede più adatte all’inferenza (RTX 4070/80 e L40S, ma solo su server dedicati.

Si vuole avere una CDN nativamente integrata? Solo OVH ce l’ha, ma con tre POP pensati per il mercato francese. Serve un firewall già configurato ed erogato come servizio? La scelta è spesso limitata a un paio di vendor per ciascun provider.

Platform as a Service di base: offerta a macchia di leopardo

Se nell’infrastruttura il rapporto tra la ricchezza dei cataloghi dei provider americani e quelli europei è superabile, quando ci si sposta su piattaforme e servizi, il divario si amplia: AWS, GCP o Azure hanno centinaia e centinaia di servizi proposti direttamente e migliaia di soluzioni offerte da terze parti nel proprio marketplace. OVHcloud, che è il provider europeo più avanzato da questo punto di vista, ne conta al momento poche decine.

Come nel caso dell’IaaS, le poche soluzioni PaaS offerte dai provider locali sono in ogni caso in grado di soddisfare le esigenze di molte PMI: database SQL gestiti (MySQL, PostgreSQL e nel caso di Aruba anche Microsoft SQL), Kubernetes-as-a-Service, piattaforme di virtualizzazione…

Quando le esigenze crescono, però, ci si scontra con i limiti. Solo OVHcloud offre una piattaforma della gestione centralizzata di cluster Kubernetes multipli, e database specializzati come MongoDB o Redis in modalità as-a-Service.

Paas enterprise, Big Data e AI: il problema è qui

Dove i provider europei non arrivano proprio è nel fornire soluzioni pronte all’uso per Big data, analytics e IA. Solo di recente OVHcloud ha aggiunto un’offerta di data lakehouse basata su Iceberg, Apache Spark e Trino. Sull’altro fronte, abbiamo AWS Redshift e Lake Formation, Google BigQuery, Azure Synapse e Fabric.

Nel campo dell’IA e machine learning, i migliori provider offrono accesso via API a modelli IA, open source e non, oltre a servizi di base per training e inferenza. Il confronto con AWS Sage Maker e Bedrock, Azure OpenAI e Google Vertex AI è però inclemente.

Di nuovo, poche aziende in Italia hanno bisogno di servizi di questo tipo rispetto alla vasta platea di PMI che hanno esigenze più semplici. Ma si tratta di poche enormi aziende che gestiscono servizi critici e quelle tecnologicamente più avanzate sul fronte dei servizi digitali.

Quindi, che fare?

Se ci si vuole mettere al riparo da eventuali turbamenti tariffari o di funzionalità dei cloud americani, la prima cosa da fare è un’analisi dei requisiti per verificare se ci sono cloud italiani o europei in grado di soddisfarle. E valutare gli impatti di una migrazione.

Se l’infrastruttura è già ridondata con finalità di disaster recovery e business continuity, una buona idea potrebbe essere quella di costituire la replica su un cloud locale. Sarà senz’altro più complicato e ci sarà da considerare il costo del traffico in uscita, solitamente incluso per repliche nella stessa zona di disponibilità dei provider. Ma elimina gli effetti del single point of failure che può essere scatenato dall’inquilino della Casa Bianca.

Uno spostamento progressivo dei contratti dai provider americani a quelli europei potrebbe dare nuova linfa agli investimenti dei privati e raccogliere anche un po’ più di tasse, considerando che le filiali europee delle piattaforme americane versano tasse irrisorie nelle casse europee, riuscendo ad abbattere gli utili con triangolazioni in paradisi fiscali e conteggiando tra i costi miliardi di euro pagati alla casa madre per l’utilizzo del software e dei marchi. (Ecco, tornando alle sanzioni, applicare un dazio a quel tipo di importazione romperebbe il meccanismo).

Per colmare il divario infrastrutturale e tecnologico sono però necessari anni e investimenti miliardari. Le iniziative euopee in questa direzione ci sono. Si va da Digital Europe (più di 8 miliardi) ai progetti sovranazionali coordinati nel Digital Commons EDIC, alla creazione delle AI Factories (430 milioni). Il problema è che, per accontentare paesi e parti politiche, spesso i fondi vengono spezzettati in tanti piccoli progetti che faticano ad avere un impatto. Nel frattempo, AWS ha pianificato un investimento di due miliardi entro il 2029 per la sola regione di Milano.

Per l’Europa è il momento di togliersi i guanti e abbandonare alcuni principi e tabù, come quello relativo agli aiuti di stato. Avere un’infrastruttura cloud indipendente sta diventando sempre più una questione di sopravvivenza.