La corsa alla ‘sovranità digitale’ dell’Europa rischia di diventare un esercizio di protezione del mercato interno. Il vero problema non è tenere fuori gli americani, ma che non abbiamo ancora imparato come batterli.
Ogni volta che sento la parola ‘sovranità’ in un convegno tech, mi preparo mentalmente. Di solito arriva la stessa sequenza: qualcuno cita il GDPR come grande conquista dell’Europa, prima a creare una regolamentazione della privacy dei dati che tutti ci hanno copiato. Poi ci si lamenta di Microsoft, Amazon e Google che non rispettano il GDPR ed esercitano lock-in. Poi si invoca la necessità di usare ‘soluzioni europee’, che sono tante e ottime. Infine, si conclude con la solita slide piena di loghi di operatori europei, con alcuni considerati ‘big’ con una quota di mercato al massimo del 2%, e una schiera di startup che nessuno conosce. Si conclude poi con l’immancabile appello al ‘Buy European’, giusto per scimmiottare il ‘Buy American Act’. Applausi. Fine del panel.
Nel mondo digitale ormai ‘sovranità’ è diventata una parola obbligatoria, ma ancora, troppo spesso, vuota. L’errore originale, commesso dall’inizio degli anni 2000, è stato ignorarla e coltivare l’utilizzo di piattaforme straniere senza considerarlo un problema. L’errore recente, dal 2016 ai giorni nostri, è stato considerare la sovranità una missione politica, e focalizzarsi solo sulla creazione di ‘spazi dati’ comuni (i famosi European Common Data Spaces) per sviluppare economia dei dati. Ed oggi, a distanza di dieci anni dal varo del GDPR, è chiaro a tutti che il digitale è fatto di infrastrutture e che dunque serve restringere l’uso di quelle straniere e incentivare l’acquisto delle nostre. Ma facendolo creiamo ostacoli per i nostri concorrenti e facilitazioni per i nostri operatori, come sembra accadere; è molto pericoloso perché il rischio è sostituire la dipendenza da forniture americane, con una dipendenza da sussidi e interventi regolatori a favore dei fornitori europei. Il protezionismo non renderà l’Europa un campione del digitale.
E ora, Il 3 giugno 2026, la Commissione Europea vara un nuovo atteso piano di iniziative chiamato Tech Sovereignty Package. Al suo interno quattro documenti: Cloud and AI Development Act, Chips Act 2.0, Open Source Strategy, roadmap sull’AI e l’energia. SI tratta per certi aspetti di un cambio di registro. Per la prima infatti chip, data center, cloud e AI, non sono oggetto di iniziative separate e frammentate, ma insieme oggetto di un pacchetto di proposte mirate ad ottenere sovranità digitale.
Non solo nuove proposte legislative, ma una strategia industriale, questo almeno a parole sembra essere l’obiettivo del nuovo pacchetto di misure. Tutto condivisibile, ma c’è il rischio concreto che questo cambio di registro non cambi nulla nella sostanza. L’Europa infatti non ha certo lesinato finora nella produzione di documenti di strategia, tantomeno di regole. Il problema è culturale e di esecuzione: l’Europa continua a pensare alla sovranità digitale in modo difensivo e a investire in azioni pre-competitive. Per quanto bravo, l’arbitro non vince mai, e per quanto ben costruita, una fortezza fatta di regole, linee guida, standard, e codice OSS, non vincerà mai una guerra commerciale.
Il malinteso fondamentale: la sovranità non è un indirizzo IP
Per anni il dibattito è stato dominato da una semplice domanda: dove stanno i miei dati? Se stanno in Europa, evviva, siamo sovrani. Se stanno in Virginia, ce li ruberanno e dobbiamo riportarli a casa. La residenza del dato può essere un requisito fondamentale, sì ma solo per alcune tipologie di dati, e non per tutto un settore. Questa visione ovviamente non solo è incompleta, ma fuorviante. Dati strategici o critici per la stabilità del paese possono trovarsi ovunque, non solo in organizzazioni che gestiscono infrastrutture critiche come energia, difesa, sanità. Per contro, il valore aggiunto di forzare dati non strategici o non critici sul territorio europeo, è minimo e spesso non compensato dai costi di migrazione. Inoltre, dove la segregazione territoriale è necessaria, il solo storage dei dati non dà nessuna garanzia, ma serve che tutta la filiera di gestione ed elaborazione del dato sia autonoma e indipendente e isolata da qualunque servizio, componente software, o infrastruttura esterna, ovvero il livello 4 del Cloud and AI Development Act appena varato, livello che a mio parere farà molto discutere, perché teoricamente lampante, ma tecnicamente quasi impossibile da realizzare nella maggioranza dei casi. Infine, il fatto che un servizio sia fisicamente segregato in Europa, gestito da un’entità legale europea, non soggetta a giurisdizione straniera e gestito da personale europeo, così come richiesto dal Cloud and AI Development Act, sicuramente aiuta le aziende europee ad avere più chance di soddisfare questi requisiti, ma non rende il servizio più governabile, sicuro, interoperabile, scalabile, e quindi adatto allo scopo.
So che è scomodo, e sarebbe meglio avere delle risposte semplici, ma la sovranità purtroppo non si ottiene con soluzioni binarie su fornitori o geografia del dato. Le dimensioni della sovranità sono molte: residenza del dato, soggetti che hanno accesso, custodia delle chiavi crittografiche, giurisdizioni straniere applicabili, solo per citarne alcune. Ma sarebbe sciocco non considerare l’ostacolo più grande: il rapporto costo beneficio che ogni decision maker deve inesorabilmente saper affrontare. Quanto costa migrare da una piattaforma americana a una europea? Pensiamo a una banca, che in virtù della nuova normativa DORA e NIS2 e ora alla luce del nuovo Cloud and AI Development Act, decidesse di eliminare ogni tipo di dipendenza da forniture straniere, spegnere i MIPS dei propri mainframe IBM, riscrivere tutti i processi core da Cobol a Java o Python, migrare i database Oracle o SQL Server su Postgres SQL, installare il tutto su macchine Linux e crearsi con OpenStack tutti gli strumenti di gestione di una propria cloud factory. Inutile spiegare i tempi, i costi di un’operazione del genere, e i rischi di un sistema bancario che tracolla, insieme ai risparmi dei propri investitori, sotto il peso anche solo di poche transazioni sbagliate o mancate. Quale CIO avrà mai il coraggio di proporre un progetto simile, e quale CEO lo avallerebbe solo per soddisfare un framework di regole sulla sovranità definite da Bruxelles.
Lo stesso discorso si applica a tutti i settori, privato e pubblico. Se da una parte il Cloud and AI Development ACT crea una forte aspettativa di migrazione verso piattaforme europee considerate più sovrane, dall’altra non considera i rischi derivanti da tale migrazione come fattori bloccanti, e questo creerà inevitabili discussioni e blocchi alla sua attuazione, non solo da soggetti non europei — che già, come Microsoft, hanno intimato all’Europa di astenersi da misure restrittive che vanno contro il WTO, ma anche degli stessi soggetti europei, utilizzatori di tecnologia, che devono operare migrazioni, reingegnerizzazione e cambiamenti sui loro servizi.
Insomma, una sorta di sindrome di Stoccolma porta il CIO a restare fidelizzato con i propri fornitori digitali americani, pur volendo liberarsene, perché contrappone la certezza del costo per rimanere, alla totale incertezza del rischio e costo di uscita e migrazione, al netto della sola etichetta di ‘sovranità’, che nel business conta ancora ben poco.
Troppe regole, poca capacità industriale
Negli ultimi anni l’Europa ha prodotto una quantità impressionante di regolamentazione digitale: GDPR, Data Act, NIS2, DORA, AI Act, Cyber Resilience Act, EUCS, e ora il Tech Sovereignty Package. Ogni atto ha una sua logica, certo, ma anche un costo incrementale sulle attività di compliance e un innalzamento delle barriere di ingresso per nuovi operatori. Il costo della compliance drena risorse all’innovazione, e l’allarme arriva dalle grandi imprese Europee, perché le piccole neanche possono permettersi di sostenerlo.
Il risultato è un quadro normativo stratificato e instabile, che per chi fa impresa si traduce in incertezza: da chi compro se tutti, Europei e Americani dicono di essere compliant? Quali benefici avrei, oltre al fatto di essere compliant, visto che i rischi sono elevatissimi? Come faccio a cambiare se non esiste nessun operatore europeo capace da solo di offrire tutti i servizi che ha uno qualsiasi dei tre grandi big americani? E a cosa serve cambiare, se le stesse regole continuano a cambiare?
Ora, il nuovo Cloud and AI Development Act, che è una proposta legislativa che dovrà essere approvata nel trilogo da Parlamento e Consiglio Europei, propone un nuovo framework strutturato su quattro livelli per dare una metrica alla sovranità: (livello 1) infrastruttura in UE, (livello 2) indipendenza giuridica da Paesi terzi, (livello 3) proprietà e controllo europeo, (livello 4) piena trasparenza della supply chain. Sulla carta avere quattro livelli con una descrizione è sicuramente più chiaro che una vaga scelta binaria sovrano/non-sovrano, ma in pratica restano domande aperte: chi certifica? Con quali criteri? Quali audit? Come si definisce il controllo societario, ad esempio, per una quotata? Cosa si fa quando nel capitale ci sono fondi stranieri come in Deutsche Telekom o TIM solo per citarne un paio? Cosa significa ‘completa indipendenza’ della filiera software quando la maggior parte delle soluzioni è una architettura di integrazioni API in cloud di componenti distribuite ovunque?
L’esempio più onesto viene dalla Commissione stessa: tra i contratti cloud ‘sovrani’ assegnati figura un consorzio che usa tecnologia Google Cloud operata da società europee. Così come in Francia due esempi di cloud sovrani sono basati su tecnologie americane, Bleu su Microsoft Azure e S3SN su Google GCP, e in Germania il German Sovereign Cloud su AWS. Non è una contraddizione, è la realtà. Queste ed altre soluzioni offrono la combinazione di tecnologie rodate americane, gestite in modalità air-gapped da società europee. Non eliminano qualunque rischio di sovranità, ma danno una risposta ragionevolmente elevata.
La sovranità concreta sarà sempre fatta di compromessi, non di isolazionismo, non di protezionismo. Non di purismo ideologico. Il compromesso non è una resa, ma una strategia per smettere di sognare un mondo irreale, dove possiamo da subito fare a meno delle tecnologie degli altri, e cominciare invece a lavorare per costruire un futuro possibile, dove i fornitori europei non abbiano come obiettivo primario quello di massimizzare la propria domanda interna, ma di conquistare il mercato globale con soluzioni innovative, affidabili, competitive, e che realizzino principi di sovranità riconosciuti da tutti: trasparenza, controllabilità, e interoperabilità dei servizi.
Da sovranità difensiva a sovranità competitiva
L’Europa rischia di trasformare la spinta verso la sovranità digitale in una forma di protezionismo mascherato da principio nobile. La logica è questa: costruiamo regole più severe per i provider stranieri, favoriamo i provider europei nei bandi pubblici, certifichiamo come ‘sovrano’ solo chi risiede nell’UE. Rischio: il mercato interno diventa un recinto protetto, le aziende europee sopravvivono grazie a rendite regolamentari, e nel frattempo il divario tra i nostri fornitori e quelli stranieri cresce, in termini di scala, di innovazione e di competitività a livello globale.
Concepire la sovranità come una fortezza finisce con isolare chi ci vive dentro, più che difenderlo.
Sovranità non significa avere un diritto, ma il potere di esercitarlo. Come in ogni conflitto bellico, è impossibile definire le condizioni per una resa finché il nemico è in superiorità di forze. L’Europa deve quindi ottenere la capacità di competere, e non solo sul mercato interno protetto da regole, ma su quello globale. Conquistare altri mercati con la nostra capacità di innovazione, esattamente come ha fatto l’America.
Sicuramente non saremo competitivi riproducendo ciò che già esiste, ma inventando qualcosa di nuovo, un cambio di paradigma.
Il vantaggio competitivo di AWS, Azure e GCP non deriva dall’essere americani. L’America non li ha aiutati a conquistare il nostro continente. Glielo abbiamo permesso noi, anzi glielo abbiamo chiesto. All’Europa non mancano idee, brevetti, competenze, ingegneri, capacità, e neanche capitali. Agli operatori europei mancano clienti, e questi non si comprano coi regolamenti. Il mercato si conquista combattendo con l’innovazione, distinguendosi dai concorrenti, e creando alternative che le aziende scelgono perché migliori, non perché europee, e non perché obbligate.
In una prima fase in cui è necessario riguadagnare terreno, è normale introdurre regole che, quanto meno non discriminino i fornitori europei nelle gare pubbliche, e che massimizzino il ritorno degli investimenti pubblici per le aziende europee. Ma superata una prima fase di aiuto, il vero indicatore di sovranità non sarà quante aziende saranno forzate a passare su fornitori cloud europei grazie al Tech Sovereignty Package, ma piuttosto quante lo fanno scegliendo liberamente quelle europee tra più opzioni competitive. La sovranità è libertà di scelta. Non assenza di concorrenza straniera.
Quindi cosa fare per essere sovrani: guida pratica per CIO e CTO
Premesso quanto sopra e assodato che la sovranità non è un problema politico, ma di dipendenza commerciale per risorse critiche da forniture straniere, non possiamo aspettare che la soluzione arrivi dalle istituzioni, dai regolamenti, da progetti di ricerca e sviluppo per creare un singolo standard comune di interoperabilità a cui tutti i fornitori di qualunque paese magicamente decideranno di aderire.
La natura eterogenea di servizi e fornitori continuerà ad esistere e le differenze, se possibile, aumenteranno.
CIO e CTO devono poter sfruttare questo momento unico, dove i fornitori di tecnologia di tutto il mondo competono solo sul piano dell’innovazione, dai chip al software, sfornando a ritmi settimanali soluzioni nuove, nuovi LLM con miliardi di parametri, nuovi chip con prestazioni 10x rispetto a quelli dell’anno precedente, neo-cloud che offrono AI computing a un decimo del costo di 3 anni fa.
Tutto questo va conciliato con il parco legacy di infrastrutture e applicazioni, spesso ancora gestiti on-premises, prevalentemente su macchine virtuali e non container, e quasi sempre con una dipendenza da forniture scomode, come VMware che detiene il 90% del mercato della virtualizzazione, e Microsoft che letteralmente regala cloud ai suoi clienti all’interno dei suoi accordi EULA rendendo impossibile non utilizzarlo.
Alcune misure pratiche da adottare subito:
Mappa dei workload per criticità. Non tutti i dati richiedono lo stesso livello di controllo. Separa dati personali, segreti commerciali, AI training data e infrastrutture mission-critical dal resto. Assegna a ciascuna categoria un livello di sovranità atteso. Mappa dati ad applicazioni, applicazioni a servizi middleware, e poi a infrastrutture, e una volta creata la tua mappa valuta quali workload hanno bisogno di essere migrati o reingegnerizzati e inizia a definire un piano. La sovranità non è binaria.
Valuta i provider correttamente. Non basta essere Europeo, devi essere capace di soddisfare i miei bisogni, quanto se non meglio del mio attuale fornitore americano. Ma allo stesso modo, non chiedere a un europeo di avere l’iperscalabilità che non ti serve e non userai mai, perché è un modo per non cambiare.
Evita di fare scelte a senso unico o assolute: ‘tutto o niente’. La sovranità non si ottiene spostando tutto in Europa, ma neanche lasciando tutto in America. Parti da una tua strategia multi-cloud, non dalla stima di una migrazione: non è complessità inutile, è resilienza e potere negoziale.
Non aspettare che Bruxelles finisca di scrivere regole. La strategia dei dati deve essere specifica per ogni azienda. La devi definire tu, per le tue esigenze, e in funzione della tua azienda. Architetture reversibili, costruite su tecnologie di interoperabilità che minimizzano lock-in, sono utili oggi e lo saranno ancora di più domani.
Costruisci tu l’interoperabilità, non sperare te la offrano i tuoi fornitori: l’iper-orchestrazione, ovvero la capacità di gestire servizi di operatori diversi con un’unica tecnologia e sotto un unico control plane, è l’unico modo per sganciarsi da lock-in presenti e futuri. La complessità dei servizi, il numero di fornitori, la differenza tra le loro API, aumenterà, non diminuirà. L’iper-orchestrazione è il trend del futuro, abilita un nuovo concetto di meta-cloud, ovvero di cloud dei cloud, che finalmente restituisce la libertà di scelta e la compatibilità, promessa in origine dal cloud, ma mai mantenuta.
Costruisci il cloud che ti meriti
La sovranità cloud non si risolve con un annuncio politico, o una nuova certificazione. Neppure migrando da VMware su un altro hypervisor da cui essere nuovamente dipendenti domani. Tantomeno spostando tutti i workload da un cloud americano a uno europeo.
Sovranità significa indipendenza, controllo e libertà di scelta. Si costruisce realizzando architetture basate su componenti che abbiano tre caratteristiche chiave: trasparenza (evidenza delle caratteristiche statiche e del comportamento dinamico del servizio), controllabilità (controllo completo dell’utilizzatore su accessi e permessi con esclusione di ingerenze esterne), interoperabilità (flessibilità totale nel recedere dal contratto, estrarre o migrare i dati ad altre piattaforme, senza vincoli di sorta).
Il mercato oggi chiede queste caratteristiche ma non le trova, perché i fornitori dominanti non espongono i dettagli delle loro piattaforme, detengono l’accesso ai control plane, e non sono interoperabili per scelta commerciale. I fornitori europei hanno dunque un’opportunità e possono avere un vantaggio competitivo, offrendo ciò che i clienti vogliono, che gli incumbent non vogliono offrire.
Per vincere non basterà cambiare le regole del gioco per escludere l’avversario, sarà necessario inventare un nuovo gioco. Stravolgere il concetto di cloud costruendo un metacloud, indipendente dai fornitori sottostanti. Eliminare il lock-in creando connettori a piattaforme diverse che normalizzano le differenze di API così da abilitare la migrazione dei workload da una piattaforma all’altra. Gestire la complessità di un cloud sempre più multiplo, non più con hypervisor come VMware, ma con hyper-orchestrators capaci di gestire indifferentemente server dedicati, macchine virtuali, cluster kubernetes, su HW proprietario, cloud privato, o pubblico, con un solo set di competenze e da una sola console.
Dobbiamo essere coraggiosi e cercare l’innovazione anche tra le soluzioni europee. Non solo operatori di servizi cloud infrastrutturale, Ionos, OVH, Aruba, o Scaleway, ma anche di suite di collaborazione alternative a Microsoft o Google, come la recente OfficeEU, o più consolidati Proton e NextCloud. Storage S3 performante e innovativo come StorPool e Cubbit. Hypervisor alternative a VMWare, come Suse, OpenNebula, CloudStack. Ma anche veri iper-orchestratori, come quelli sviluppati dalla italiana Elemento, che permettono di realizzare in concreto il concetto di metacloud.
Spingiamoci tutti al confronto. L’industria digitale europea ambisca a confrontarsi con le grandi sfide tecnologiche, non con i grandi competitor delle vecchie sfide. Proteggiamo il mercato interno da ingerenze eccessive e oligopoli, ma puntiamo a raggiungere una competitività sui mercati internazionali, e non consideriamo come successo l’aumento di contratti assegnati a fornitori europei dalle gare della pubblica amministrazione.
L’industria comprenda il valore della federazione, non solo a parole, ma in termini commerciali, come anche suggerito dal nuovo Cloud and AI development Act, con la proposta di creare un EuroCloud Federation. La frammentazione dell’offerta europea non verrà infatti mai superata da una competizione interna tra fornitori che, tutti insieme, servono meno del 15% della domanda europea, dove il più grande tra tutti vanta meno del 2% di quota di mercato, mentre oltre l’80% è nelle mani di pochi soggetti americani.
Un’altra palla fuori campo o un lancio verso la meta? Troppo presto per dirlo, e troppi errori del passato che non si accenna a correggere. L’unica certezza è che la risposta dovrà essere di tipo industriale, gli effetti visibili sul mercato, e il mercato di riferimento quello globale non locale.
Smettiamo di piangerci addosso, di lamentare la mancanza di investimenti, di pensare che sia responsabilità del Governo o della Commissione Europea, e di attendere a muoverci aspettando che il rapporto politico con le big-tech americane si stabilizzi.
L’Europa ha tutto quello che serve: competenze di eccellenza, mercato interno enorme, capitali privati da investire, capitale umano straordinario. Quello che manca è la volontà di uscire allo scoperto e scommettere su sé stessa, non per sopravvivere protetta da regole, ma per vincere perché è la migliore.
Questa è la sovranità che vale la pena costruire.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Francesco Bonfiglio
Source link
