L’Europa sta cercando di emanciparsi dal dominio dei colossi cloud statunitensi, ma paradossalmente gli strumenti creati per rafforzare la sovranità digitale rischiano di ottenere l’effetto opposto. Il nuovo Cloud Sovereignty Framework della Commissione EU, pensato per definire criteri chiari nella selezione dei servizi cloud per la Pubblica Amministrazione, è infatti finito nel mirino di CISPE, l’associazione che rappresenta 38 provider cloud europei. L’accusa è che le regole, così come sono state concepite, avvantaggerebbero proprio i grandi hyperscaler americani da cui l’Europa vorrebbe affrancarsi.

Al centro della polemica vi è l’introduzione di un “punteggio di sovranità”, un indicatore composito e poco trasparente che, secondo CISPE, consente di ottenere una valutazione elevata senza garantire una reale autonomia operativa, legale e tecnologica. In altre parole, provider come AWS, Microsoft e Google potrebbero “spuntare le caselle giuste” senza rinunciare al controllo extraterritoriale imposto dalla legislazione statunitense, in particolare dal CLOUD Act, che autorizza le autorità USA ad accedere ai dati detenuti da aziende americane ovunque nel mondo.

CISPE sostiene che la sovranità del cloud non può essere parziale, né misurata attraverso un indice flessibile e interpretabile. O un fornitore è davvero sovrano (con garanzie di immunità da interferenze straniere, controllo europeo dell’infrastruttura e conformità alle leggi UE), oppure non lo è. La visione dell’associazione è netta e si fonda sulla necessità di fornire alle amministrazioni pubbliche un segnale chiaro, evitando zone grigie che favoriscano il mantenimento degli attuali contratti con i giganti americani.

La Commissione Europea difende invece la propria impostazione, spiegando che il framework elabora il concetto di sovranità in criteri concreti e verificabili e con otto obiettivi di valutazione: aspetti strategici, legali, operativi, trasparenza della supply chain, apertura tecnologica, sicurezza, conformità al diritto UE e impatto ambientale. L’obiettivo dichiarato è elevare l’intero mercato europeo, incentivando i provider piccoli e grandi a migliorare i propri standard in linea con i valori dell’Unione.

Cloud sovrano europeo

Tuttavia, i numeri fotografano una situazione di squilibrio strutturale, con AWS, Microsoft e Google che detengono circa il 70% del mercato cloud europeo. Di fronte alle critiche, i big del cloud hanno reagito annunciando iniziative mirate per rassicurare Bruxelles. Microsoft ha presentato un piano in cinque punti per rafforzare la governance dei dati in Europa, Google ha aggiornato i propri servizi cloud sovrani, mentre AWS ha annunciato la creazione di una business unit interamente basata nell’UE, che sarà operativa entro la fine del 2025.

Queste iniziative, per quanto rilevanti sul piano dell’immagine, non aggirano però l’ostacolo principale, ovvero il fatto che la giurisdizione statunitense continua a prevalere e non consente un controllo esclusivamente europeo sui dati. La stessa Microsoft, durante un’audizione a luglio presso il Senato francese, ha riconosciuto l’impossibilità di offrire piena sovranità giuridica nell’attuale framework legale. Questo episodio ha dato forza all’argomento di CISPE, secondo cui il Cloud Sovereignty Framework rischia di essere una facciata regolamentare che non risolve il problema alla radice.

Nel frattempo, la Commissione ha avviato una nuova gara d’appalto da 180 milioni di euro nell’ambito del programma Cloud III DPS, che permetterà alle istituzioni europee di selezionare servizi cloud sovrani per i prossimi sei anni. Tra dicembre 2025 e febbraio 2026 verranno scelti fino a quattro fornitori sulla base del nuovo framework ed è proprio in vista di questa selezione che si sta consumando la battaglia politica e industriale: chi controllerà il futuro cloud dell’Unione Europea?

Per ovviare alle ambiguità normative, CISPE sta sviluppando etichette distinte per classificare due categorie di servizi:

  • Sovereign Cloud, che garantisce immunità completa da interferenze straniere con pieno controllo europeo
  • Operationally Resilient Cloud, che offre un livello di controllo verificabile anche in contesti globali

La prima categoria è progettata per proteggere dati critici, mentre la seconda rappresenta una soluzione intermedia per le filiere industriali internazionali.

L’Europa deve quindi decidere se puntare su un modello di sovranità forte, fondato su infrastrutture autonome e provider europei, oppure se accettare un compromesso con gli hyperscaler americani, ottenendo solo un aumento dei livelli di controllo ma non l’indipendenza. Come è facile capire, la posta in gioco è enorme visto che il futuro del cloud europeo va a toccare direttamente ambiti molto sensibili come la sicurezza nazionale, la competitività industriale e la protezione dei dati dei cittadini europei.