Bruxelles trasforma la sovranità del cloud in una scala misurabile a quattro livelli. Per banche, sanità e PA italiane diventa un criterio di procurement verificabile.
Il 3 giugno 2026 la Commissione europea ha presentato il European Technological Sovereignty Package, un insieme di misure su semiconduttori, intelligenza artificiale, cloud e open source. Il cuore politico del pacchetto è il Cloud and AI Development Act (CADA), affiancato da una revisione del Chips Act e da una strategia open source. La proposta arriva mentre l'Europa sposta il baricentro del proprio approccio all'AI: dalla regolazione pura alla capacità industriale e all'autonomia infrastrutturale.
Per chi guida la trasformazione digitale in un'impresa regolata italiana, il passaggio è concreto. La sovranità del cloud smette di essere una dichiarazione di intenti e diventa una scala misurabile, con criteri che entrano direttamente nei capitolati di gara e nelle scelte di architettura.
Il Cloud and AI Development Act introduce un quadro europeo unico per valutare il livello di sovranità richiesto ai servizi cloud che ospitano carichi sensibili delle organizzazioni pubbliche. L'obiettivo dichiarato dalla Commissione è ridurre l'esposizione dell'Unione verso fornitori di Paesi terzi per i workload critici, mantenendo aperta la maggior parte del mercato ai partner affidabili.
Accanto al CADA, il pacchetto fissa un traguardo industriale: triplicare la capacità dei data center europei nei prossimi cinque-sette anni. Il Chips Act rivisto rafforza la capacità nelle tecnologie a semiconduttore che alimentano i sistemi AI, mentre la strategia open source punta a scalare alternative europee in cloud, AI e cybersecurity.
L'elemento più discusso è il nuovo framework di sovranità del cloud, articolato su quattro livelli di Union assurance. Ogni livello valuta un servizio cloud rispetto a una serie di criteri legati alla sovranità: controllo operativo, struttura proprietaria, giurisdizione applicabile ai dati, resilienza della fornitura.
La logica è graduale. I workload a bassa criticità restano compatibili con i livelli inferiori della scala; i dati e i servizi più sensibili — quelli di banche, sanità, difesa e amministrazioni — tendono verso i livelli alti, dove i requisiti di autonomia diventano stringenti. La Executive Vice-President Henna Virkkunen ha sintetizzato la posta in gioco con un'immagine diretta: l'Europa vuole la garanzia che i fornitori di workload critici operino in modo che resti escluso ogni "kill switch" esterno.
Qui si apre il nodo geopolitico. La Commissione riconosce apertamente che per i grandi fornitori statunitensi raggiungere i livelli più alti di sovranità resta arduo, a causa del Cloud Act USA, che consente alle autorità americane di richiedere dati agli operatori con sede negli Stati Uniti anche quando i server sono in Europa. La giurisdizione, in altre parole, segue la nazionalità del fornitore prima della localizzazione fisica del dato.
La reazione dell'industria è arrivata rapida. La Computer & Communications Industry Association ha avvertito che il CADA rischia di introdurre misure discriminatorie, escludendo fornitori internazionali affidabili in base alla sede legale e alla struttura societaria, con il pericolo di una frammentazione del mercato unico. Il dibattito che si apre nelle prossime settimane riguarda proprio l'equilibrio tra autonomia strategica e apertura del mercato: un confine che il legislatore europeo dovrà tracciare con precisione.
Per il mercato italiano l'effetto pratico è duplice. Da un lato, il framework dà finalmente un linguaggio comune a un requisito che molti CIO già gestivano in modo artigianale: la collocazione dei dati critici presso fornitori a giurisdizione europea. Dall'altro, sposta la sovranità da clausola contrattuale a classificazione tecnica verificabile, con conseguenze dirette su gare pubbliche, audit DORA e valutazioni del rischio di terze parti.
Le imprese che operano su dati regolati — istituti di credito, assicurazioni, operatori sanitari, pubbliche amministrazioni — si troveranno a mappare i propri workload sulla scala dei quattro livelli e a documentare la scelta del livello per ciascun ambito. È un esercizio che premia chi ha già adottato architetture sealed e modelli open-weight eseguibili in perimetro europeo. L'approccio AI Privacy First, costruito su stack open-weight EU-sovereign, anticipa esattamente la domanda che il CADA sta per rendere obbligatoria per i livelli alti della scala.
Tre azioni valgono per qualsiasi CIO o CTO italiano, a prescindere dal fornitore scelto:
Il pacchetto del 3 giugno segna un cambio di passo: l'Europa misura la sovranità invece di limitarsi a invocarla. Resta da vedere dove il legislatore fisserà il confine tra autonomia e apertura, e quanto rapidamente i fornitori globali riusciranno a costruire strutture europee capaci di reggere i livelli alti della scala. La risposta a quella domanda ridisegnerà la mappa del cloud regolato in Europa nei prossimi diciotto mesi.
Autore
Pablo Liuzzi
Founder, Synthos Logic