Novità reali in vista nel dibattito finora molto teorico su cloud e sovranità.
Che cos’è davvero la “sovranità del cloud”
Per sovranità del cloud, in Europa, non si intende semplicemente “tenere i dati dentro i confini UE”. Il concetto è più ampio e più politico: significa poter dimostrare, con garanzie tecniche e organizzative, che dati e operazioni restano sotto controllo europeo, anche quando entrano in gioco rischi di accesso improprio, richieste giudiziarie extraterritoriali, pressioni geopolitiche o incidenti che mettono alla prova la continuità operativa.
La sovranità non riguarda solo dove vive il dato, ma chi ha davvero le chiavi della cassaforte, chi amministra gli accessi, dove risiedono i metadati e come si garantisce che il servizio regga anche in scenari estremi. In soldoni: non basta dire “è in Europa”, bisogna poter dire “lo controlliamo noi”. È dentro questa definizione – più concreta che ideologica – che va letto il lancio dell’European Sovereign Cloud (ESC) di AWS.
La frase del BSI che cambia il tono del dibattito europeo
“Il futuro degli hyperscaler in Europa passa da offerte come l’AWS European Sovereign Cloud”. Se a dirlo è Claudia Plattner, presidente del BSI, l’autorità federale tedesca per la sicurezza informatica, non è un’uscita di circostanza: è un messaggio istituzionale. E in Germania, dove la cybersecurity è trattata come un’infrastruttura di sicurezza nazionale, un messaggio del BSI pesa più di una conferenza stampa.
C’è poi il dettaglio che rende l’endorsement ancora più significativo. Plattner sottolinea che il BSI ha contribuito alla progettazione della piattaforma e che “monitorerà da vicino” l’implementazione delle caratteristiche di sicurezza e sovranità. È un riconoscimento, ma non è un assegno in bianco. La fiducia europea, soprattutto quando si parla di pubblica amministrazione e infrastrutture critiche, non si regala: si misura.
Potsdam e Brandeburgo: la geografia della sovranità che non vede l’Italia
Il punto politico passa da una scelta industriale concreta: sede operativa in Germania e prima Regione sovrana costruita nel Brandeburgo. Non è una semplice estensione geografica del cloud tradizionale: l’ESC viene progettato come un perimetro autonomo, con governance e operazioni collocate entro i confini UE.
La scelta dei luoghi non è neutra: quartier generale operativo nell’area di Potsdam e infrastruttura nel Brandeburgo, cioè nel cuore amministrativo e politico della Germania, dove la sensibilità sulla sicurezza e sulle catene di controllo è massimo. In un dossier come questo, la geografia non è estetica: è un pezzo del messaggio. E purtroppo – almeno al momento – non vede l’Italia come destinazione dei futuri sviluppi dell’ESC, nonostante l’ambizione del Governo Meloni di puntare ad essere l’hub delle infrastrutture digitali verso il Mediterraneo. In sintesi: Roma prende nota, Berlino incassa.
La magnitudo dell’investimento: 7,8 miliardi e una scommessa al 2040
La sovranità, quando è reale, non è una parola: è capex, persone, governance e continuità. AWS ha legato l’ESC a un investimento dichiarato di oltre 7,8 miliardi di euro in Germania entro il 2040, con un impatto occupazionale medio stimato in 2.800 posti equivalenti a tempo pieno all’anno.
In pratica, l’ESC nasce come una scommessa lunga e visibile: non come una “compliance di facciata”, ma come una costruzione industriale e di presidio operativo su un orizzonte pluridecennale, che punta a rendere credibile il concetto di sovranità nel linguaggio più semplice possibile: infrastruttura, competenze e responsabilità “a terra”. Una garanzia anche per l’Europa in sé, in quanto una sempre maggiore presenza di infrastrutture americane sul continente rende interesse USA la protezione anche fisica delle stesse.
La reazione tedesca: dalla cybersecurity alla politica industriale
Il sostegno istituzionale tedesco non è stato timido. Karsten Wildberger, ministro federale per la Trasformazione Digitale e la Modernizzazione dello Stato, ha legato il progetto a un’idea di Germania come hub europeo delle infrastrutture digitali, presentandolo come un passo che combina competenze globali e standard europei, verso una “futura capacità digitale autodeterminata”.
Il messaggio politico che arriva da Berlino è chiaro: la sovranità non è isolamento, ma capacità di scelta. Significa poter adottare servizi cloud avanzati senza accettare zone grigie sul controllo o sulla continuità operativa. Anche a livello regionale, il Brandeburgo ha rivendicato l’iniziativa come tassello di posizionamento strategico e attrazione di investimenti ad alto valore tecnologico. E, soprattutto, come un asset da difendere, non solo da usare.
Il CEO di AWS, Matt Garman: continuità “anche quando il mondo cambia”
Nel racconto di AWS, la sovranità non è un tema da slogan geopolitico, ma un principio di progettazione. E qui entrano le parole del CEO di AWS, Matt Garman: l’ESC è pensato per sbloccare una domanda che finora ha frenato la migrazione dei workload più sensibili, cioè la possibilità di usare cloud e AI avanzati senza vivere nel dubbio costante su controllo e dipendenze esterne.
Garman ha insistito su un punto decisivo per la pubblica amministrazione e i settori regolamentati: l’ESC non nasce per “sostituire tutto”, ma per rendere finalmente migrabile ciò che oggi resta fermo per ragioni di rischio, governance e fiducia. In altri termini: non è un cloud “più europeo per immagine”, ma un cloud “più europeo per architettura”. Ed è una differenza che, nei dossier pubblici, sposta i miliardi.
Il nodo UE-USA: Cloud Act e rischio extraterritoriale
Il motivo per cui la sovranità cloud è diventata centrale non è una moda. È la consapevolezza che la nuvola è l’infrastruttura su cui poggiano digitalizzazione, servizi pubblici, sanità, finanza e supply chain industriali. E quindi la domanda strategica cambia: non basta chiedersi se i dati sono protetti, bisogna chiedersi chi può influenzare la piattaforma che li gestisce.
In questo scenario, il convitato di pietra è il CLOUD Act: la norma statunitense che consente alle autorità USA di chiedere l’accesso a dati detenuti da aziende americane anche quando quei dati sono archiviati fuori dagli Stati Uniti. È qui che nasce la frizione strutturale: per l’Europa la tutela non è solo “privacy”, ma controllo giuridico e operativo del perimetro digitale; per molti decisori pubblici, invece, il rischio è che una dipendenza tecnologica si trasformi in vulnerabilità strategica in momenti di tensione come quelli che ormai viviamo in continuità dall’avvio della presidenza Trump. Esattamente il tipo di rischio che nessun ministero vuole firmare nero su bianco.
Cosa significa “distacco dagli USA” nel progetto ESC
L’European Sovereign Cloud nasce – secondo Amazon Web Services – proprio per ridurre quel dubbio, introducendo un modello presentato come separato dal cloud globale: fisicamente e logicamente indipendente, con governance e operatività collocate in UE. In altre parole, il distacco dagli Stati Uniti non viene raccontato come un gesto politico (anche perché la società guidata da Andy Jassy potrebbe doversi trovare a gestire l’ira di Trump), ma come una scelta di design: un perimetro in cui leadership, operazioni quotidiane e sicurezza sono gestite da personale composto da cittadini UE residenti in Europa, con l’obiettivo dichiarato di non avere dipendenze critiche da infrastrutture extra-UE per continuare a funzionare.
Non si parla di scenari estremi con toni allarmistici, ma la logica è evidente: se cambiano i rapporti transatlantici, il cloud non può diventare un punto di fragilità sistemica per Stati e infrastrutture critiche.
“Kill switch”: la paura che nessuno vuole mettere a verbale
C’è un’altra parola che circola spesso, anche se quasi mai finisce nei documenti ufficiali: kill switch. Non perché qualcuno immagini scenari da thriller, ma perché il rischio è banalmente politico e operativo: cosa succede se, per sanzioni, pressioni internazionali o escalation improvvise, un cloud provider viene costretto a “staccare la spina” o a limitare servizi e aggiornamenti?
È qui che l’European Sovereign Cloud vuole giocare la sua carta più forte: la continuità operativa anche in condizioni anomale, riducendo le dipendenze critiche fuori dall’UE e prevedendo meccanismi europei di gestione e manutenzione del servizio. Il punto non è promettere che non accadrà mai, ma rendere credibile che, anche se succedesse, l’Europa non resterebbe al buio.
Perché i metadati contano quasi più dei dati
C’è un punto tecnico poi che, in realtà, è il cuore della partita: non sono solo i contenuti dei clienti a dover restare in UE, ma anche ciò che governa i contenuti. Parliamo di metadati, identità, ruoli, permessi, configurazioni, policy, cioè il livello in cui si decide chi può fare cosa. Se quei pezzi restano fuori dal perimetro europeo, la sovranità diventa fragile anche con i data center in Europa.
ESC insiste proprio su questo: non solo data residency, ma residenza e controllo europeo anche dei sistemi amministrativi più sensibili, come gestione identità e fatturazione. È un cambiamento che parla direttamente ai decisori pubblici, inclusi quelli italiani: sposta in Europa lo strato del governo, non solo lo strato dello storage. E sposta anche la responsabilità: non più “fidati”, ma “controlla”.
L’effetto BSI: perché gli altri hyperscaler americani finiscono sotto pressione
La frase del BSI produce un effetto immediato sul mercato: stabilisce un nuovo benchmark. Se l’autorità cyber tedesca indica che il futuro degli hyperscaler passa da modelli “come” questo, implicitamente dice che il cloud europeo dei prossimi anni dovrà assomigliare a un perimetro governabile e verificabile, non a un semplice servizio globalizzato con qualche garanzia aggiuntiva.
È qui che Microsoft e Google, e più in generale i provider extra-UE, si trovano davanti a un cambio di aspettative. Non sarà più sufficiente localizzare data center o adottare misure “di sovranità” percepite come accessorie. La domanda europea si sposta verso separazione operativa, governance europea dimostrabile, possibilità di controllare e resilienza istituzionalmente credibile. E quando uno standard prende forma in Germania, questo tende poi ad estendersi per osmosi verso gli appalti pubblici e i settori regolamentati del resto d’Europa.
Il sostegno politico: 14 Paesi nelle dichiarazioni ufficiali
Un altro indicatore del cambio di fase è la platea istituzionale che si è aggregata intorno al lancio. Nel comunicato compaiono dichiarazioni di rappresentanti di governo o autorità di sicurezza di 12 Paesi UE – Germania, Belgio, Portogallo, Lussemburgo, Irlanda, Estonia, Spagna, Italia, Finlandia, Repubblica Ceca, Romania e Grecia – oltre ad Ucraina, che ha fatto intervenire il neo Ministro della Difesa Mikhailo Fedorov (l’uomo dei droni), e Armenia, presente il viceministro al digitale Gevorg Mantashyan.
Non è un dettaglio ornamentale. È la prova che la sovranità cloud sta diventando un dossier continentale, attraversando non solo ministeri “digitali”, ma anche strutture di cybersecurity e presìdi istituzionali che ragionano in termini di rischio e sicurezza nazionale. E quando si muovono le agenzie della cybersecurity, di solito è perché il tema è diventato “hard”.
Valentini e l’Italia: sovranità come leva industriale, non come barriera
In questo mosaico, spicca la dichiarazione di Valentino Valentini, viceministro delle Imprese e del Made in Italy, perché la sovranità non viene descritta come chiusura o protezionismo, ma come leva di sviluppo. Valentini collega progetti come ESC al rafforzamento dell’Europa come hub strategico di infrastrutture digitali e alla capacità dei Paesi europei di attrarre investimenti ad alto valore aggiunto, sostenere innovazione e rafforzare l’ecosistema industriale.
Per l’Italia, però, il tema non resta teorico: si intreccia con il Polo Strategico Nazionale (PSN), cioè l’infrastruttura pensata per ospitare dati e servizi critici della Pubblica Amministrazione, dentro una strategia di cloud nazionale e di modernizzazione della macchina pubblica.
Ed è proprio qui che un dettaglio diventa politico: alla presentazione tedesca era presente anche l’Agenzia per la Cybersicurezza Nazionale (ACN) insieme ai rappresentanti di molte altre agenzie UE. Il segnale è netto: la sovranità cloud non è un dossier “IT”, ma un tema di governance e sicurezza dello Stato, che incide sulla catena delle decisioni relative ai dati più sensibili. E l’ACN, quando guarda, non lo fa per curiosità.
Eurostack: la critica più dura alla “sovranità affittata”
Non tutti, però, considerano questa strada sufficiente. Qui entra in gioco Eurostack, l’associazione (supportata anche dalla francese OVH Cloud) che spinge l’idea di costruire e scalare uno stack digitale europeo interoperabile, sostenendo provider e standard continentali per ridurre la dipendenza strutturale da tecnologie non europee.
La critica di Eurostack è semplice e tagliente: le offerte di “cloud sovrano” lanciate da hyperscaler non europei possono ridurre alcuni rischi legali e aumentare le garanzie di data residency, ma non portano vera sovranità tecnologica. Perché architettura, roadmap, centro di gravità economico e allineamento strategico restano comunque esterni all’Europa. Il timore, nella visione Eurostack, è che queste iniziative diventino una “coperta rassicurante” che consolida la dipendenza, indebolendo nel tempo l’ecosistema europeo invece di farlo crescere.
È un’obiezione importante perché impone una distinzione spesso confusa nel dibattito pubblico: sovranità dei dati non coincide automaticamente con sovranità digitale. E infatti la domanda vera è sempre la stessa: stai riducendo il rischio o lo stai solo rendendo più digeribile?
ESC come “ponte” tra due esigenze finora incompatibili
Eppure, anche tenendo conto della critica, resta un fatto: ESC è il primo tentativo davvero strutturato di disinnescare il paradosso europeo. Da una parte l’Europa ha bisogno di cloud e AI di livello mondiale per non perdere competitività. Dall’altra pretende controllo e continuità verificabile per portare nel cloud anche i workload più sensibili.
ESC prova a fare da ponte: mantenere l’accesso a un portafoglio tecnologico completo, ma dentro un perimetro europeo più autonomo sul piano operativo e organizzativo. È qui che il progetto diventa interessante per la pubblica amministrazione e per i settori regolamentati: non chiede di scegliere tra innovazione e sovranità, promette di ridurre il costo politico e operativo di quella scelta. Che, fino a ieri, era un “no” mascherato da prudenza.
La prova decisiva: sovranità verificabile, non sovranità annunciata
Il punto finale è anche il più europeo: la sovranità non si dichiara, si dimostra. La frase del BSI è potente proprio perché contiene già la clausola essenziale: controllo, monitoraggio, verifica. Se ESC manterrà le promesse, fisserà un nuovo standard e costringerà l’intero mercato a salire di livello. Se invece le garanzie appariranno insufficienti o ambigue, rafforzerà chi sostiene che l’unica vera sovranità è costruire una filiera europea completa.
In ogni caso, la partita è entrata in una fase diversa: l’Europa non sta più discutendo se la sovranità del cloud sia necessaria. Sta discutendo come renderla reale senza rinunciare alla tecnologia di frontiera. E per la prima volta, almeno in Germania, un’autorità cyber sta dicendo apertamente che questa è la direzione obbligata per chi vuole restare nel cuore del continente digitale. E se lo dice il BSI, conviene ascoltare.
