Cosa propone effettivamente la bozza
Il 3 giugno 2026 la Commissione europea ha adottato una proposta per il Cloud and AI Development Act, noto come CADA. E una proposta, non una legge in vigore. Deve ancora superare la negoziazione tra il Parlamento europeo e il Consiglio, e la sua formulazione può cambiare prima che una qualsiasi sua parte diventi vincolante. Quindi si tratta di un segnale sulla direzione, non di una regola che devi rispettare oggi. La direzione, tuttavia, è abbastanza chiara da poterci pianificare intorno.
La parte che conta per gli acquirenti è un quadro unico a livello UE che classifica i fornitori di cloud e IA su quattro livelli di garanzia dell'Unione. Il livello più basso è pensato come soglia minima per servire il settore pubblico, con limitate eccezioni. I livelli più elevati si applicano quando un fornitore supporta funzioni legate all'ordine pubblico, a seguito di una valutazione del rischio da parte degli Stati membri e degli organismi dell'Unione, in settori come energia, sanità, trasporti, acqua, applicazione della legge, gestione delle frontiere, sicurezza nazionale e difesa. In breve, più il ruolo è sensibile, più alta è l'asticella che un fornitore deve superare.
Perché gli hyperscaler USA incontrano un limite
I livelli di garanzia più elevati, secondo quanto riferito, guardano oltre l'ubicazione del data center e considerano chi possiede il fornitore, chi ne controlla le operazioni e se il servizio può essere schermato dal diritto extra-UE. Quest'ultimo criterio è il punto in cui i grandi fornitori statunitensi incontrano un limite strutturale. In base al CLOUD Act statunitense, un'azienda con sede negli Stati Uniti può essere obbligata a consegnare i dati che controlla, indipendentemente da dove nel mondo tali dati si trovino fisicamente. Una regione dati europea non elimina questo raggio d'azione.
Questo non significa affermare che AWS, Microsoft o Google siano insicuri o che la maggior parte dei carichi di lavoro sia interessata. Per la grande maggioranza dei dati aziendali restano scelte solide e di riferimento. Il punto è più ristretto e riguarda la parte alta della scala. Per le categorie più sensibili a cui punta la bozza, un fornitore controllato da soggetti statunitensi non può garantire pienamente l'isolamento giuridico, perché un ordinamento giuridico straniero può comunque avanzare una pretesa sui dati. E una questione di giurisdizione, non di ingegneria, ed è il motivo per cui vale la pena osservare i criteri esatti per ciascun livello negli allegati della bozza man mano che il testo viene negoziato.
Trasforma la dipendenza in una verifica negli appalti
Per anni la sovranità del cloud è stata trattata come un rischio di dipendenza astratto, facile da annotare e facile da rinviare. CADA la ridefinisce come qualcosa di concreto: un vincolo nel momento della firma. Se un contratto tocca dati regolamentati o realmente sensibili, la giurisdizione a cui risponde il tuo fornitore diventa una clausola dell'accordo, non una nota a piè di pagina. Questo cambiamento premia gli acquirenti che pongono la domanda in anticipo e penalizza quelli che la scoprono durante un audit o un rinnovo.
La risposta ponderata è una valutazione del rischio giurisdizionale prima di firmare o rinnovare. Mappa quali dei tuoi dati rientrerebbero nelle categorie sensibili descritte dalla bozza, individua chi in ultima istanza possiede e controlla ciascun fornitore, e verifica cosa dicono i tuoi contratti su accesso legale straniero, ubicazione dei dati e uscita. Dove il rischio è reale, puoi mantenere i carichi di lavoro quotidiani dove si trovano e indirizzare solo il livello sensibile verso un fornitore in grado di soddisfare un livello di garanzia più elevato. Nulla di tutto ciò costituisce consulenza legale, e il testo può cambiare, ma la valutazione in sè costa poco e ti posiziona bene in qualunque direzione approdi la legge definitiva.
Da leggere ora: La tua AI ora parla per te davanti alla legge · Una scadenza quantistica USA tocca la filiera