Bruxelles mette una data sulla sovranità del cloud
La legge su Cloud e IA, il regolamento che la Commissione Europea ha presentato a giugno, uscirà in Gazzetta Ufficiale il 15 luglio 2026 ed entra in vigore il 4 agosto. È il primo quadro europeo che indica alle amministrazioni dei settori sensibili, difesa, giustizia, sicurezza e infrastrutture critiche, come valutare chi controlla il loro cloud prima di acquistarlo.
Il motivo è un dato di mercato. Tre fornitori statunitensi, Microsoft, Amazon Web Services e Google, detengono oltre il 70 per cento del mercato cloud europeo, mentre i fornitori europei si fermano intorno al 15 per cento. Per anni il dibattito sulla sovranità si è retto su etichette volontarie e griglie di punteggio. Questo è il punto in cui diventa una legge datata con un obbligo d'acquisto.
Quattro livelli, e dove atterra davvero il denaro
La legge fissa quattro livelli di garanzia. Il Livello 1 richiede dati ospitati su server dell'UE e la garanzia che nessuna legge obblighi il fornitore a rivelare vulnerabilità software a un paese terzo. Il Livello 2 aggiunge che nessuno Stato estero possa raggiungere i dati o azionare un interruttore di blocco. Il Livello 3 richiede che il fornitore sia libero dal controllo di paesi terzi, fino al personale. Il Livello 4 esige componenti e prodotti privi di ogni ingerenza estera e la più alta certificazione di cybersicurezza.
La distribuzione è la parte che la maggior parte dei titoli tralascia. La Commissione prevede circa il 70 per cento dei contratti al Livello 1, circa il 20 per cento al Livello 2, meno del 10 per cento al Livello 3 e circa l'1 per cento al Livello 4. In altre parole, gran parte del cloud pubblico in Europa continua ad ammettere gli hyperscaler. La legge non li caccia, li valuta, e riserva i livelli rigorosi alla piccola quota di carichi in cui il controllo non è negoziabile.
Le vie d'uscita sono state scritte apposta
Due deroghe attenuano l'impatto per scelta. L'articolo 30 consente un'eccezione dove non esiste un servizio alternativo adeguato o ragionevole, un'eco del caso del 2023 in cui la Francia concluse che solo Microsoft poteva gestire il suo Health Data Hub. L'articolo 18 apre una via ai fornitori di paesi terzi associati coperti da una decisione di adeguatezza dell'UE, una porta che in linea di principio potrebbe includere gli Stati Uniti, anche se i requisiti contro l'interruttore di blocco potrebbero comunque escluderli.
Quella struttura dice come leggere il breve termine. Un acquirente europeo non è tenuto a rimuovere AWS o Azure quest'anno. Il lavoro immediato è la classificazione: assegnare ogni contratto a un livello, documentarne il perché e difendere la scelta. La questione della sovranità passa da slogan a voce di un fascicolo di gara, un cambiamento minore di quanto suggerisca la retorica e più duraturo.
La vera leva è cemento, non legge
L'ambizione più dura della legge è fisica. Punta ad almeno triplicare la capacità dei data center dell'UE entro cinque-sette anni e cerca di sgombrare il campo con permessi più rapidi e migliore accesso a energia, suolo, acqua e finanziamenti. I suoi tre pilastri, ricerca, capacità e autonomia, mettono la costruzione alla pari con le regole, perché una sovranità che non puoi ospitare è un'affermazione di carta.
Il calendario conferma dove sono i denti. Il regolamento entra in vigore il 4 agosto 2026, ma il primo livello di requisiti di sovranità si applica da febbraio 2028 e il livello più alto diventa obbligatorio entro agosto 2029. L'orologio della conformità e quello del cantiere corrono insieme, e i fornitori con capacità controllata dall'UE sul terreno nel 2028 sono quelli che i livelli rigorosi sono stati scritti per favorire.
Cosa fa un imprenditore prima di agosto
La mossa pratica è un inventario del cloud letto attraverso i quattro livelli: quali carichi potrebbe interrompere un ordine estero, quali stanno in settori sensibili e quali non supererebbero oggi un test di Livello 3. Le aziende che vendono cloud o software a enti pubblici europei affrontano il rovescio di quella domanda, perché i loro clienti chiederanno presto un livello, non un logo. Il conflitto transatlantico è reale: un fornitore stretto tra una richiesta della US CLOUD Act e una garanzia CADA affronta una scelta impossibile, e quel rischio appartiene ora alle valutazioni sui fornitori.
Vale la pena tenere onesto il tetto. Come nota l'analista giuridico Kenneth Propp, l'UE ha già tentato strumenti di sovranità, da uno statuto di blocco al Data Act, con effetti pratici limitati, e l'esistenza stessa di CADA si legge più come sintomo di scarsa fiducia transatlantica che come cura. La legge non spegne i cloud statunitensi quest'anno. Mette alla dipendenza un prezzo datato e con voto, e gli imprenditori che mappano quel prezzo ora non saranno quelli in affanno nel 2028.
Da leggere ora: Un nuovo vincolo sui tuoi contratti cloud | PEGI ora classifica il tuo modello di business



