Sovranità digitale europea tra rinvii, cloud Usa e nuovi rischi

La Commissione europea rinvia ancora il Tech Sovereignty Package mentre cresce la dipendenza da cloud, AI e infrastrutture americane. Sul tavolo ci sono dati pubblici sensibili, pressioni Usa e il rischio che l’Europa resti stretta tra ritardi politici e perdita di autonomia.

La super-fattura tecnologica dell’Europa

Un articolo pubblicato da The Economist nella rubrica Bytebreak mette in fila numeri che i decisori europei conoscono ma raramente quantificano con questa chiarezza. Il governo federale tedesco paga quasi mezzo miliardo di euro l’anno in licenze software a Microsoft. Le grandi imprese francesi spendono oltre 50 miliardi di dollari annui in software e servizi cloud acquistati dai giganti tecnologici americani. Le importazioni di servizi di proprietà intellettuale dall’America verso l’area euro hanno raggiunto i 200 miliardi di dollari l’anno.

Non è un dibattito ideologico sulla sovranità, è una super-fattura.

Il divario strutturale che si allarga

La fattura, inoltre, cresce, perché il divario strutturale si sta ampliando. Secondo i dati di Epoch AI, su quasi cento modelli di intelligenza artificiale rilevanti rilasciati nell’ultimo anno, uno solo proviene dall’Unione Europea. I politici tedeschi celebrano un nuovo data center da un miliardo di euro vicino a Monaco; nello stesso periodo, le quattro grandi tech americane, Amazon, Google, Meta e Microsoft, hanno investito oltre 350 volte tanto.

La presa americana sull’infrastruttura digitale europea si sta rafforzando.

Il Tech Sovereignty Package e il suo ritardo

In questo contesto la Commissione europea sta preparando il Tech Sovereignty Package, un insieme di misure che dovrebbe includere il Cloud and AI Development Act (CAIDA), il Chips Act 2, una strategia per l’open source e una roadmap per la digitalizzazione e l’AI nel settore energetico. Il pacchetto conterrà, per la prima volta, anche una definizione formale a livello UE di sovranità digitale, concetto finora invocato da tutti ma mai codificato.

Secondo la pagina ufficiale della Commissione sulla strategia digitale, l’Unione dipende da paesi extra-UE per oltre l’80% dei prodotti, servizi e infrastrutture digitali chiave.

La presentazione era inizialmente prevista per marzo, poi rinviata ad aprile, poi al 27 maggio, e ora, per la quarta volta, spostata al 3 giugno. La vice-presidente esecutiva Henna Virkkunen vuole il pacchetto pronto prima del Consiglio dei Ministri delle Telecomunicazioni del 9 giugno.

I rinvii non sono solo questione di coordinamento interno. L’ambasciatore statunitense presso l’UE, Andrew Puzder, ha pubblicamente dichiarato che il pacchetto non sembra molto coerente con l’accordo commerciale UE-USA.

I dati sensibili e il Cloud Act Usa

Il motivo principale sta nei dati sensibili del settore pubblico. Secondo fonti CNBC, la Commissione sta discutendo regole che limiterebbero l’uso di cloud provider americani per i dati governativi più critici, come sanità, finanza e giustizia. Il motivo è strutturale: il Cloud Act del 2018 consente alle autorità statunitensi di ottenere dati dalle aziende americane indipendentemente da dove siano fisicamente archiviati.

Nessuna residenza europea dei dati può risolvere questo problema giurisdizionale. C’è il rischio concreto di un “kill-switch”, ovvero la capacità da parte degli Usa di interrompere servizi digitali essenziali, un scenario distopico e finora solo ipotetico ma ormai sempre più vicino.

Le grandi aziende Usa rispondono con offerte cosiddette “sovereign”: Microsoft promette di non interrompere mai i servizi ai clienti europei e di contestare in tribunale le richieste di dati americane. Google ha creato un cloud air-gapped, isolato dalla rete pubblica, per clienti ad alta sicurezza, tra cui le forze armate tedesche. Ma i critici chiamano questa prassi soverign-washing, uno strumento che non elimina la dipendenza ma ne maschera la reale entità.

Topi Manner, CEO del provider finlandese Elisa, propone un approccio a strati: “I dati più sensibili devono restare in Europa, in data center ad alta sicurezza, i grandi hyperscaler per il resto“. Una posizione pragmatica che riconosce sia la dipendenza attuale, sia l’impossibilità, almeno nel breve periodo, di un’alternativa europea completa.

Segnali di un’inversione di tendenza

Un segnale diverso viene dalla Francia: in aprile ha annunciato la migrazione di tutti i computer governativi da Windows a Linux. Un dato significativo è che nel 2022 la maggioranza delle imprese europee consideravano solo provider cloud americani, mentre oggi quella quota è scesa sotto il 20%.

Dal protezionismo a una strategia complessa

Il punto che emerge è che la sovranità digitale non è un obiettivo binario, ce l’hai o non ce l’hai, ma un framework di gestione progressiva delle dipendenze critiche. L’Europa non diventerà mai autosufficiente nel cloud e nell’AI domani, ma può iniziare a costruire alternative per gli strati più sensibili, definire regole di approvvigionamento che premino i fornitori europei, investire in infrastrutture proprie e in ecosistemi open source.

Il rischio, però, è duplice. Da un lato, che i rinvii del pacchetto diventino la norma, trasformando la sovranità digitale in un esercizio retorico permanente. Dall’altro, che un approccio troppo rigido tagli l’Europa fuori dall’innovazione globale, un punto sollevato anche dal CEO di Siemens, che ha avvertito che soffocare l’innovazione nell’AI in nome della sovranità tecnologica sarebbe un disastro per l’Europa.

Il confine tra protezione strategica e protezionismo autolesionista è sottile. Il pacchetto del 3 giugno dovrà camminare esattamente su quella linea.