Ecco il Cloud Sovrano UE da 180 milioni: l’Italia è fuori, Francia e Germania dentro (e vince pure Google)

La Commissione Europea ha assegnato una gara storica da 180 milioni di euro per gestire i dati delle istituzioni UE su infrastrutture “sovrane”, riducendo la dipendenza dai giganti tech extra-europei. I contratti sono stati vinti dai consorzi guidati da Post Telecom (con OVHcloud), StackIT, Scaleway e Proximus. Per la prima volta, Bruxelles ha applicato un sistema di punteggio rigoroso che premia l’indipendenza giuridica e il controllo fisico dei server sul territorio europeo. Anche i colossi USA sono ammessi solo se operano sotto la stretta sorveglianza di partner europei che detengono le chiavi d’accesso ai dati. Questa iniziativa fissa un nuovo standard per la sicurezza nazionale e spiana la strada a regole simili per tutti gli appalti pubblici degli Stati membri. Ecco cosa deve fare l’Italia.

Oggi è una giornata importante per chi, come me, da anni martella sul tema della sovranità digitale.
La Commissione Europea ha appena assegnato una gara d’appalto da 180 milioni di euro in 6 anni per servizi cloud sovrani destinati a tutte le istituzioni, gli organi, gli uffici e le agenzie dell’Unione. Quattro fornitori europei si sono aggiudicati i contratti:

Post Telecom insieme a CleverCloud e OVHcloud
StackIT
Scaleway
Proximus, in partnership con S3NS (joint venture Thales-Google Cloud), Clarence e Mistral.

Non è una notizia qualsiasi. È la prima applicazione concreta del Cloud Sovereignty Framework della Commissione. Un framework che misura la sovranità su otto obiettivi precisi: strategici, legali e giurisdizionali, operativi, di supply chain, tecnologici, di sicurezza e compliance, ambientali e di trasparenza. In pratica, per la prima volta Bruxelles ha messo un punteggio di sovranità (Sovereignty Score) e livelli di garanzia SEAL chiari, obbligatori e misurabili. Chi non raggiunge quei livelli di indipendenza da terze parti extra-UE non entra in gara. È un benchmark storico.

È un segnale positivo? Assolutamente sì. La Commissione dà il buon esempio, diversifica i fornitori per evitare dipendenza da un singolo player e stabilisce un parametro di riferimento reale su cosa significa “cloud sovrano” in pratica. Dimostra che i fornitori europei di qualità esistono e possono competere quando le regole sono chiare e ambiziose. E soprattutto annuncia a chiare lettere che questo è solo l’inizio: il futuro Cloud and AI Development Act (CADA / CAIDA) farà parte del pacchetto sulla sovranità tecnologica insieme alla strategia Open Source, al Chips Act 2 e alla roadmap AI-energia. Il CADA dovrà armonizzare una volta per tutte il significato di “sovranità” nel mercato unico, aprire gli appalti pubblici e sostenere davvero l’ingresso di una gamma più ampia di provider europei.

Però 180 milioni in sei anni sono una goccia nel mare rispetto al volume totale di spesa cloud delle pubbliche amministrazioni europee. E soprattutto: alcuni vincitori (come Proximus con S3NS) utilizzano comunque componenti di Google Cloud, seppur sotto controllo europeo con Thales. È sovranità “ibrida”, non pura. Dimostra che il framework funziona, ma anche che la dipendenza tecnologica extra-UE non sparisce per incanto. Serve ancora molto lavoro per arrivare a una sovranità cognitiva e infrastrutturale completa.

E l’Italia? Questa notizia è un’occasione d’oro che non possiamo sprecare. Dobbiamo adottare immediatamente lo stesso Cloud Sovereignty Framework nei nostri appalti pubblici. Dobbiamo usare il procurement come leva strategica, esattamente come sta facendo Bruxelles. Dobbiamo smettere di penalizzare con tasse assurde (il prelievo cloud, l’estensione del compenso per copia privata) proprio chi investe in data center e infrastrutture nazionali. I nostri provider indipendenti – Seeweb, Aruba, Dedagroup, Retelit, ReeVo, Opiquad, Netalia, CoreTech, Register e tanti altri – sono pronti. Hanno già dimostrato di poter garantire livelli elevati di sovranità, resilienza e conformità GDPR senza lock-in.

Non si compra sovranità a scaffale. Non basta un contratto con un hyperscaler e un parere legale. Serve controllo fisico, giuridico e operativo sui dati e sulle infrastrutture. La sovranità digitale non è un tema per addetti ai lavori. È la premessa per mantenere competitività economica, autonomia strategica e libertà decisionale nel XXI secolo. Oggi l’Europa ha mosso un passo concreto. Domani tocca a noi trasformarlo in politica sistematica: CAIDA ambizioso, procurement pubblico orientato alla sovranità, norme che incentivino e non penalizzino il cloud nazionale, e un serio patto tra industria, politica e sistema energetico per affrontare anche il nodo energia-AI. Il sistema industriale italiano è pronto.

Sommario

Il Punteggio della Verità: Oltre il Marketing della Sovranità

Il vero “game changer” di questa gara non è l’importo, che per i volumi della PA europea resta una cifra contenuta, quasi un test di laboratorio. La vera rivoluzione è il Sovereignty Score. Per anni abbiamo assistito a un abuso del termine “sovrano”. Ogni provider, anche il più piccolo rivenditore di licenze straniere, si è fregiato di questa etichetta. Bruxelles ha chiuso i giochi definendo otto obiettivi precisi: strategici, legali, operativi, di supply chain, tecnologici, di sicurezza, ambientali e di trasparenza.

Soprattutto, ha introdotto i livelli di garanzia SEAL. Non è più una dichiarazione d’intenti: o i tuoi dati sono al riparo da leggi extraterritoriali (leggi: Cloud Act statunitense o leggi di sorveglianza cinesi), o non entri in partita. Questo benchmark storico stabilisce che la sovranità è una proprietà misurabile dell’infrastruttura, non un parere legale scritto in punta di diritto per tranquillizzare un DPO distratto. Se non hai il controllo fisico e giuridico della filiera, il tuo punteggio crolla. Potrebbe non bastare, è vero, ma è un primo passo apprezzabile.

Il Paradosso di Proximus e la Sovranità “Ibrida”: Google entra con Proximus-S3NS. Sovranità a metà?

Tuttavia, l’analisi non sarebbe onesta se non guardassimo al punto critico: l’aggiudicazione a Proximus in partnership con S3NS (la joint venture tra Thales e Google Cloud). Qui tocchiamo con mano la realtà della nostra dipendenza. S3NS rappresenta quella che io chiamo “sovranità di transizione” o sovranità ibrida. È un modello in cui il software e l’innovazione core arrivano da un hyperscaler americano, ma le chiavi di cifratura, la gestione operativa e il perimetro giuridico sono affidati a un campione europeo come Thales. Funziona? Sì, per la conformità immediata. È sovranità pura? No. In Francia funziona così DigSecNum, ammette partnership controllate dalla loro ACN.

È la dimostrazione che l’Europa non può ancora staccare completamente la spina dai grandi ecosistemi software globali senza rischiare il blackout dell’innovazione. Ma il fatto che Google sia stata costretta a “europeizzarsi” tramite Thales per partecipare alla gara è la prova che il Framework della Commissione ha i denti: sono gli hyperscaler a dover adattare i propri modelli di business alle nostre regole, e non viceversa. È un’inversione di tendenza fondamentale. Non basta, non è sufficiente ma intanto inizia a cambiare le cose.

L’Italia alla finestra: è il momento di puntare sui nostri campioni del cloud

E qui arriviamo al tasto dolente: noi. L’Italia ha un ecosistema di provider indipendenti che non ha nulla da invidiare a quello francese o tedesco. Parlo di aziende come Seeweb, Aruba, Dedagroup, Retelit, ReeVo, Opiquad, Netalia, CoreTech, Register e tanti altri. Aziende che hanno investito capitali veri in servizi cloud, data center sul territorio, personale specializzato e che conoscono il valore della sovranità e che offrono soluzioni senza lock-in.

Perché queste realtà non sono ancora protagoniste di una spinta simile a livello nazionale? La risposta sta nella coerenza delle politiche pubbliche. Non possiamo invocare la sovranità digitale nei convegni e poi penalizzare il settore senza indirizzare a loro il procurement pubblico o peggio, imporre gabelle anacronistiche. Il procurement deve diventare una leva di politica industriale, non un mero esercizio di risparmio sui costi di licenza. Per questo vanno rivisti gli accordi quadro che cristallizzano nel tempo le posizioni dominanti. Penso pure al “prelievo cloud” o all’estensione del compenso per copia privata: tasse che pesano sulle infrastrutture fisiche nazionali proprio mentre cerchiamo di renderle competitive. È un cortocircuito logico: chiediamo ai nostri provider di essere i guardiani dei dati nazionali e poi aumentiamo i loro costi operativi rispetto ai competitor esteri. Dobbiamo adottare il Cloud Sovereignty Framework europeo immediatamente in tutti gli appalti della Pubblica Amministrazione, ma rinforzato con una clausola SME FIRST, ossia costruendo bandi pubblici a misura di Piccole e Medie Imprese.

La Commissione ha già annunciato che questo è solo l’inizio. Il futuro Cloud and AI Development Act (CAIDA) sarà il pilastro di un pacchetto che unisce energia, silicio (Chips Act 2) e intelligenza artificiale. Non esiste intelligenza artificiale sovrana senza un cloud sovrano, e non esiste cloud sovrano senza un’autonomia energetica dei data center. È tutto collegato. Il CAIDA dovrà armonizzare il mercato unico, eliminando le interpretazioni creative nazionali sulla protezione dei dati e creando una corsia preferenziale per chi garantisce il massimo livello di indipendenza tecnologica.

L’obiettivo è chiaro: trasformare l’Europa da “continente dei consumatori digitali” a “continente dei produttori di tecnologia”. La sovranità non è un vezzo protezionista; è la premessa per mantenere la capacità di decidere del nostro futuro economico. Se i tuoi dati sono gestiti altrove, secondo leggi altrui e su macchine che non puoi controllare, la tua libertà politica è un’illusione ottica. Oggi l’Europa ha mosso un passo concreto. Ha dimostrato che i fornitori europei di qualità esistono e sanno fare sistema (si pensi alla cordata Post Telecom con OVHcloud e CleverCloud).

Cosa deve fare l’Italia adesso

L’Italia ora deve decidere da che parte stare. Possiamo continuare a essere terra di conquista, acquistando “sovranità a scaffale” tramite contratti preconfezionati che offrono solo una patina di sicurezza giuridica, oppure possiamo guidare il cambiamento. Se l’Europa ha tracciato il solco, l’Italia deve ora avere il coraggio di percorrerlo con determinazione.

Il public procurement non può più essere considerato una mera procedura amministrativa per acquistare servizi al minor prezzo, ma deve trasformarsi in una leva strategica di politica industriale. E’ ora che le stazioni appaltanti italiane adottino criteri di sovranità digitale identici, se non più ambiziosi, di quelli europei. Solo così potremo trasformare la spesa pubblica in un vero volano per gli operatori locali: aziende che già oggi garantiscono eccellenza tecnologica e che, se messe in condizione di competere ad armi pari, possono scalare il mercato.

Investire nelle nostre infrastrutture significa mantenere competenze, talenti e know-how sul territorio, evitando che il valore generato dai dati italiani finisca per alimentare esclusivamente economie ed ecosistemi lontani. Non è una questione di protezionismo, ma di sopravvivenza strategica: senza una base industriale digitale solida e nazionale, l’autonomia del Paese rimarrà sempre un concetto fragile. È tempo che l’Italia smetta di essere solo terra di consumo tecnologico e diventi, finalmente, protagonista della propria sovranità.