Ue, nuovo patto su cloud e intelligenza artificiale: la sovranità digitale entra negli appalti

homepage TuttiGiornali.it

Il cuore politico del Cloud and AI Development Act è la creazione di un quadro europeo di sovranità per i servizi cloud, destinato a diventare il riferimento per gli appalti pubblici e per la gestione dei dati sensibili delle istituzioni. L’idea è chiara: non basta parlare genericamente di “sicurezza informatica”, serve definire in modo esplicito quali garanzie un fornitore deve offrire per evitare che dati strategici finiscano sotto giurisdizioni estere o siano esposti a obblighi legali incompatibili con il diritto dell’Unione.

Bruxelles mette in fila i rischi principali: accessi non autorizzati da parte di autorità di Paesi terzi, interruzioni dei servizi che possono bloccare funzioni essenziali dello Stato, perdita di autonomia operativa nel caso in cui un fornitore decida di cambiare condizioni o interrompere il servizio, compromissione di dati sensibili o critici. Il nuovo quadro nasce proprio per ridurre queste vulnerabilità, introducendo criteri comuni che gli Stati membri dovranno tenere in considerazione quando scelgono dove collocare i propri dati e le proprie applicazioni.

Non si tratta solo di “preferire” fornitori europei, ma di stabilire un linguaggio condiviso su cosa significhi, in concreto, garantire sovranità digitale: dove sono localizzati i dati, chi può accedervi, quali sono le tutele contro richieste di accesso provenienti da ordinamenti extra-Ue, quali obblighi di trasparenza e di audit sono previsti. Tutti elementi che, fino a oggi, spesso venivano affrontati in modo frammentato, Paese per Paese o contratto per contratto.

Il piano introduce i cosiddetti Union Assurance Levels, quattro livelli di garanzia pensati per classificare i servizi cloud in base al grado di protezione offerto. Il livello 1 rappresenta la soglia minima comune per il settore pubblico europeo: un set di requisiti di base che ogni amministrazione dovrebbe pretendere, anche per servizi non particolarmente sensibili, così da innalzare lo standard complessivo.

I livelli successivi – 2, 3 e 4 – introducono requisiti via via più stringenti, con l’obbligo di verifiche indipendenti e controlli più severi su governance, sicurezza, gestione degli incidenti e protezione dei dati. Il livello 3 è pensato come una soglia avanzata, che può essere riconosciuta anche a operatori di Paesi terzi considerati affidabili, a condizione che garantiscano tutele adeguate in materia di protezione dei dati e non siano soggetti a obblighi legali incompatibili con il diritto dell’Ue.

Il livello 4, il più elevato, è riservato alle attività pubbliche più critiche: difesa, sicurezza nazionale, gestione delle frontiere, giustizia, infrastrutture essenziali e, più in generale, tutti quei servizi in cui un’interruzione o una compromissione dei dati avrebbe conseguenze sistemiche. In questo scenario, le condizioni di sovranità diventano massime: controllo stretto sulla catena di fornitura, limitazioni severe alla possibilità di accesso da parte di soggetti esteri, requisiti tecnici e organizzativi particolarmente rigorosi.

La logica è quella di un sistema a gradini: non tutti i servizi hanno bisogno del livello 4, ma per quelli che lo richiedono non sarà più possibile accontentarsi di generiche clausole contrattuali. Il livello di garanzia dovrà essere esplicito, verificabile e coerente con la natura del servizio e dei dati trattati.

La scelta del livello di garanzia non sarà automatica: spetterà agli Stati membri e alle istituzioni europee effettuare una valutazione dei rischi per ogni servizio o insieme di servizi. La Commissione richiama esplicitamente il principio di proporzionalità: non ha senso pretendere il massimo livello di garanzia per ogni applicazione, ma è altrettanto pericoloso sottovalutare la sensibilità dei dati o l’impatto di un’interruzione.

Le amministrazioni dovranno quindi analizzare almeno tre dimensioni: la natura e la sensibilità dei dati trattati (personali, giudiziari, sanitari, militari, economici strategici), il rischio di accessi o interferenze da parte di Paesi terzi, le conseguenze operative e politiche di un eventuale blocco del servizio. Da questa analisi dovrà discendere la scelta del livello di garanzia minimo accettabile.

Il Cloud and AI Development Act non si limita però alla classificazione dei servizi: nel pacchetto rientrano anche misure per semplificare le procedure di gara, favorire l’adozione di soluzioni interoperabili e ridurre il lock-in tecnologico, cioè la dipendenza da un singolo fornitore. L’obiettivo è creare un mercato in cui le amministrazioni possano cambiare fornitore senza traumi, mantenendo il controllo sui propri dati e sulle proprie applicazioni.

In prospettiva, questo approccio potrebbe diventare un modello anche per altri settori regolati, in cui la valutazione del rischio digitale è destinata a pesare sempre di più nelle decisioni politiche e industriali. La sovranità, insomma, non è più solo una parola da comunicato stampa, ma un criterio operativo che entra nei capitolati tecnici e nelle strategie di procurement.

Il piano europeo non si ferma alla regolazione: accanto ai livelli di garanzia, la Commissione punta a rafforzare le infrastrutture digitali dell’Ue. Tra gli obiettivi dichiarati c’è quello di triplicare la capacità dei data center europei nei prossimi cinque-sette anni, così da sostenere la crescita della domanda di servizi cloud e di applicazioni di intelligenza artificiale senza dover necessariamente ricorrere a infrastrutture extra-Ue.

Il provvedimento si intreccia con la strategia Apply AI, pensata per accelerare l’adozione dell’intelligenza artificiale in settori chiave dell’economia e della pubblica amministrazione. Più capacità di calcolo, più infrastrutture efficienti, più progetti di ricerca e innovazione su tecnologie avanzate e sostenibili: è questo il triangolo su cui Bruxelles vuole costruire la prossima fase della trasformazione digitale europea.

Nel pacchetto rientrano anche procedure semplificate per la realizzazione di nuovi data center nell’Ue, con particolare attenzione all’efficienza energetica e alla coerenza con gli obiettivi di transizione verde. L’idea è evitare che la crescita della capacità digitale si traduca in un’esplosione dei consumi, puntando su soluzioni di raffreddamento innovative, utilizzo di energie rinnovabili e integrazione con le reti locali.

In questo scenario, il tema della sovranità digitale si intreccia con quello della competitività: senza infrastrutture adeguate, l’Europa rischia di restare un semplice mercato di sbocco per le piattaforme globali; con un ecosistema di data center e servizi cloud più robusto, può invece provare a giocare un ruolo attivo nello sviluppo e nell’uso dell’intelligenza artificiale.

Commento editoriale: il messaggio politico è evidente: Bruxelles prova a recuperare terreno dopo anni in cui la narrazione sulla “sovranità digitale” è rimasta spesso confinata ai convegni. Il sistema a quattro livelli è un passo avanti, ma apre anche una partita delicata: quanto saranno davvero disposte le amministrazioni a cambiare fornitori, rinegoziare contratti, rivedere architetture consolidate? E quanto velocemente l’industria europea sarà in grado di offrire alternative credibili ai colossi globali del cloud?

Il rischio è che il nuovo quadro resti sulla carta o venga applicato in modo disomogeneo, con alcuni Paesi pronti a spingere sulla sovranità e altri più inclini a mantenere lo status quo per ragioni di costo o di inerzia organizzativa. Se però il piano verrà preso sul serio, potrebbe segnare un cambio di paradigma: non più un’Europa che subisce le regole tecnologiche scritte altrove, ma un’Unione che prova a definire i propri standard, a partire da una domanda semplice e scomoda: chi controlla davvero i dati su cui si reggono le nostre democrazie?