L’Europa, oggi, prova a rispondere a una domanda che si trascina da anni: cosa succederebbe ai nostri ospedali, alle reti elettriche, alle pubbliche amministrazioni, se un giorno gli Stati Uniti decidessero di staccare la spina ai servizi cloud che li fanno funzionare? È esattamente la questione che la presidente della Commissione Ursula von der Leyen ha posto questa mattina, nel presentare a Bruxelles il pacchetto europeo sulla sovranità tecnologica, un insieme di misure pensato per ridurre la dipendenza dell’Unione da fornitori esterni, principalmente americani e cinesi, in settori che sono diventati infrastrutture critiche tanto quanto le strade, le ferrovie e gli acquedotti. “Non possiamo permetterci di dipendere da altri per le tecnologie che mantengono in funzione i nostri ospedali, le nostre reti energetiche stabili e i nostri servizi sicuri”, ha dichiarato von der Leyen. “Si tratta di proteggere i nostri cittadini, difendere i nostri interessi e fare le nostre scelte”.
Il pacchetto, slittato due volte nelle ultime settimane proprio per la sua delicatezza, contiene due proposte legislative principali, accompagnate da una strategia open source e da una roadmap per la digitalizzazione del settore energetico. Vale la pena capire cosa propongono, perché toccano da vicino l’ecosistema digitale in cui ognuno di noi vive ogni giorno.
Il Chips Act 2.0
La prima proposta riguarda i microchip, i semiconduttori che si trovano nel telefono, nell’auto, in ogni dispositivo elettronico in circolazione. L’Europa aveva già lanciato un primo Chips Act nel 2023 per aumentare la produzione di chip sul proprio territorio, ma l’esito era stato modesto rispetto alle ambizioni. Il nuovo Chips Act 2.0 sposta il baricentro: non si tratta più solo di attrarre fabbriche sul suolo europeo, ma anche di creare domanda affidabile per i chip progettati o utilizzati in Europa, attraverso strumenti di acquisto pubblico e investimenti coordinati tra Stati membri. La logica è semplice: a un’industria europea dei semiconduttori non basta saper produrre, deve avere clienti garantiti. E quei clienti, secondo Bruxelles, devono essere innanzitutto gli stessi Stati europei.
Il Cloud and AI Development Act
Ancora più rilevante è la seconda proposta, il Cloud and AI Development Act (CADA), che entra in un terreno spinoso. Oggi i tre principali fornitori di servizi cloud al mondo, Amazon Web Services, Microsoft Azure e Google Cloud, controllano oltre il 65% del mercato globale e dello stesso mercato europeo. I due maggiori operatori cloud europei messi insieme arrivano appena al 2%. È uno squilibrio enorme, e diventa un problema politico quando si pensa che dati sanitari, fiscali, militari e amministrativi di interi Stati membri girano su infrastrutture controllate, in ultima istanza, da società soggette alla giurisdizione americana. Il Cloud Act statunitense, infatti, consente alle autorità USA di chiedere a un’azienda americana di consegnare dati anche se quei dati si trovano fisicamente in Europa.
Il CADA prevede tre pilastri. Il primo è uno sforzo per triplicare la capacità dei data center europei entro sette anni. Il secondo è l’introduzione di un quadro europeo di sovranità con criteri precisi (quattro livelli di “garanzia”) per stabilire quando un servizio cloud o di intelligenza artificiale può essere considerato sufficientemente sovrano dal punto di vista europeo. Il terzo è l’introduzione di restrizioni all’uso di piattaforme cloud non europee per i dati più sensibili delle pubbliche amministrazioni e di alcuni settori critici come difesa, sanità, energia, telecomunicazioni e infrastrutture strategiche. In altre parole, sopra una certa soglia di sensibilità, lo Stato europeo dovrà rivolgersi solo a fornitori europei.
Cosa cambia davvero, in pratica
Tradurre tutto questo nella vita di chi legge significa qualcosa di concreto. Negli ultimi anni i giganti americani avevano risposto al pressing europeo con quelle che si chiamano “sovereign offerings”: Amazon ha lanciato un’infrastruttura europea fisicamente e giuridicamente separata, Microsoft ha creato joint venture locali in Francia, Google opera tramite una società francese controllata da Thales. Sono soluzioni che, secondo i critici, non risolvono il problema di fondo: per quanto i server siano in Europa e i tecnici siano europei, la casa madre resta soggetta alle leggi americane. Quello che si chiama “sovereign-washing”, una sovranità di facciata.
La Commissione, oggi, ha provato a rispondere a questa critica. I criteri del CADA non guardano più solo a dove sono i data center, ma misurano direttamente il grado di controllo da parte di Paesi terzi sui fornitori, il livello di protezione dei dati, la reciprocità con cui quei Paesi aprono i loro mercati. È una distinzione politicamente importante, perché costringe gli hyperscaler americani a dimostrare l’indipendenza effettiva dalla casa madre, non solo la localizzazione fisica dei server.
I numeri e le ambizioni
Il pacchetto, secondo le stime fatte filtrare da Bruxelles nelle scorse settimane, mobiliterà nei prossimi sette anni risorse pubbliche e private per un valore complessivo intorno ai 264 miliardi di euro, con l’obiettivo dichiarato di ridurre la dipendenza dell’Europa dalle tecnologie extra-UE, oggi stimata oltre l’80% per prodotti, servizi e infrastrutture digitali. È una cifra molto significativa, anche se va detto che gli hyperscaler americani, secondo Boston Consulting Group, da soli prevedono di spendere circa 1.800 miliardi di dollari in infrastrutture per data center tra il 2024 e il 2030. La sproporzione dà l’idea della corsa.
Il nodo politico
Le proposte presentate oggi non sono ancora legge. Per entrare in vigore dovranno essere negoziate dal Parlamento europeo e dal Consiglio dell’Unione, in un iter che richiederà mesi se non anni, e che si annuncia complesso. Le pressioni americane sul pacchetto erano già state evidenti nelle scorse settimane e avevano contribuito ai due rinvii della presentazione. Anche all’interno dell’Europa esistono sensibilità differenti tra chi spinge per un’autonomia digitale più radicale, come Francia e Germania, e chi guarda con preoccupazione alle implicazioni commerciali di un eventuale conflitto con Washington.
Resta che oggi, per la prima volta in modo organico, Bruxelles ha messo nero su bianco una posizione chiara: l’Europa vuole avere voce in capitolo sulle proprie infrastrutture digitali. Quanto questa posizione si tradurrà in fatti concreti dipenderà dalla capacità degli Stati membri di tenere la barra ferma nei prossimi mesi. Per i cittadini, intanto, la posta in gioco è meno astratta di quanto sembri: ogni volta che i dati sanitari di un paziente, le pratiche fiscali di una famiglia o i documenti riservati di un ministero passano da un server, qualcuno sta decidendo, da qualche parte nel mondo, le regole con cui quei dati possono essere letti, conservati, eventualmente consegnati. La domanda è chi vogliamo che sia, quel qualcuno. Oggi Bruxelles ha provato a rispondere.
