La Commissione europea ha assegnato un appalto del valore massimo di 180 milioni di euro per la fornitura di servizi cloud sovrani destinati alle istituzioni, agli organismi e alle agenzie dell’Unione. La misura rappresenta un atto di politica industriale e strategica che segnala con chiarezza la direzione che Bruxelles intende imprimere alla governance digitale europea nei prossimi anni.

I contratti, della durata di sei anni, sono stati assegnati a quattro provider europei (purtroppo nessun italiano) selezionati nell’ambito del piano Dynamic Purchasing System Cloud III avviato nell’ottobre 2025: OVHcloud, Scaleway, StackIT e Proximus. La scelta di distribuire i contratti tra quattro fornitori distinti, anziché affidarsi a un singolo operatore, intende ridurre i rischi di dipendenza, garantire ridondanza e preservare la resilienza dell’infrastruttura digitale comunitaria anche in scenari di discontinuità.

I criteri di selezione: sovranità come requisito tecnico

La base su cui è stato costruito il processo di selezione è il Cloud Sovereignty Framework della Commissione, un documento che articola otto obiettivi fondamentali distribuiti su dimensioni strategiche, legali e operative. Tra i requisiti figurano la trasparenza della catena di fornitura, l’apertura tecnologica, la conformità al diritto europeo e la sicurezza dei sistemi. I provider candidati hanno dovuto dimostrare concretamente che soggetti terzi extra-UE hanno un’influenza limitata sulle tecnologie impiegate e sui servizi erogati, anche nei casi in cui esistano partnership con fornitori tecnologici esterni all’Unione (Proximus, ad esempio, opera in partnership con Google Cloud).

Questo requisito è il cuore politico dell’iniziativa. L’obiettivo è infatti garantire che il controllo effettivo sulle decisioni operative, sull’accesso ai dati e sulla gestione dell’infrastruttura rimanga in mani europee e soggetto al quadro giuridico comunitario. La nozione di “cloud sovrano” che emerge da questo framework non si definisce quindi per esclusione geografica, ma per conformità normativa e struttura di governance.

cloud sovrano

Una leva di politica industriale

Assegnando un appalto di queste dimensioni con criteri così stringenti, la Commissione si posiziona come acquirente strategico oltre che come regolatore. Il meccanismo è quello classico della domanda pubblica come strumento di sviluppo industriale, ovvero stabilire uno standard esigente, agire come cliente di riferimento su larga scala e creare le condizioni perché operatori europei sviluppino le capacità necessarie per competere in questo segmento.

Il mercato del cloud europeo è oggi dominato da provider americani (AWS, Microsoft Azure e Google Cloud), che insieme coprono la quota preponderante della domanda istituzionale e privata nel continente. Nessuno dei tre soddisferebbe i requisiti di sovranità definiti dal framework della Commissione, in particolare per quanto riguarda l’esposizione al diritto statunitense e la possibilità di accesso ai dati da parte di autorità extra-UE.

Il Cloud Act americano, che consente alle autorità federali statunitensi di richiedere dati conservati da aziende americane anche quando fisicamente localizzati fuori dagli USA, rimane il punto di attrito legale irrisolto che rende strutturalmente incompatibili questi provider con il concetto di sovranità digitale europea.

Nel frattempo, la Commissione sta lavorando a un aggiornamento del Cloud Sovereignty Framework e a un pacchetto normativo più ampio sulla sovranità tecnologica il cui elemento centrale sarà il Cloud and AI Development Act, una corpo legislativo destinata a definire standard uniformi per i servizi cloud e di intelligenza artificiale su tutto il mercato unico, ampliando al contempo la platea dei provider in grado di accedervi.

(Immagine in apertura: Shutterstock)