Fondata nel 2020 su impulso congiunto dei governi francese e tedesco, Gaia-X riunisce oggi oltre 350 enti pubblici, privati e centri di ricerca per creare un mercato unico dei dati. L’obiettivo è ambizioso: apertura, trasparenza, sicurezza e pieno rispetto del Gdpr, con un’architettura federata che eviti il lock-in verso i grandi player extra-Ue. È un progetto di governance e interoperabilità, non un “nuovo hyperscaler” europeo: i servizi vengono qualificati rispetto a regole comuni di portabilità, reversibilità e trasparenza giuridica.
Gaia-X si innesta su un corpus regolatorio che dà certezza del diritto agli operatori:
-
Reg. (UE) 2016/679 – Gdpr: principi di protezione e portabilità del dato.
-
Reg. (UE) 2022/868 – Data Governance Act (Dga): intermediari di dati e condivisione fiduciaria.
-
Reg. (UE) 2023/2854 – Data Act: accesso e uso equo dei dati generati da prodotti/servizi, cardine per i data spaces verticali.
Questo tessuto normativo abilita un’architettura federata e interoperabile su cui imprese e PA possono scalare servizi senza reinventare policy e audit a ogni progetto.
Nel 2024-2025 l’iniziativa è passata dalla fase “think” a un “do-tank” operativo. In Francia, la plenaria del Hub France tenuta a Bercy (24 marzo 2025) – coordinata da Cigref e Institut Mines-Télécom – ha messo al centro la concretizzazione dei data spaces e la necessità di una governance agile per reggere gli shock geopolitici e tecnologici. Messaggio chiave: Gaia-X non è “un cloud sovrano” in sé, ma uno standard che aiuta l’industria a costruire spazi dati sovrani e sicuri. Un altro salto di qualità è l’avvio delle Gaia-X Digital Clearing Houses (GXDCH), “ancore di fiducia” che verificano identità e conformità dei servizi ai criteri Gaia-X (privacy, sicurezza, sovranità). In Belgio è operativo il primo Clearing House nazionale (iniziativa Proximus), che riduce tempi e costi di audit per imprese e PA e diventa tassello della futura European Data Space Infrastructure.
La pipeline di data spaces europei è in forte espansione (oltre 180 in implementazione secondo i resoconti del 2025), con alcuni “lighthouse” che fanno scuola:
- Pontus-X (cross-industry): data space faro che usa smart contracts e integra i Clearing House; allinea Data Act, Dga, AI Act e Gdpr per collaborazione e conformità by-design;
- Catena-X (automotive): standardizza scambio dati lungo la supply chain (tracciabilità, compliance, qualità);
- EONA-X (mobilità/turismo): casi d’uso testati ai Giochi di Parigi 2024 per orchestrare i flussi tra aeroporti e città; oggi in fase di scaling europeo;
- TEMS – Trusted European Media Data Space (media): iniziativa Commissione-EBU per data sharing affidabile nel settore media (adv, audience, anti-disinformazione).
Questi progetti mostrano come Gaia-X sia un abilitatore geopolitico: standard comuni, provider conformi e identità verificate abbassano le barriere per Pmi e Pa, aprono mercati transfrontalieri e creano massa critica europea.
Gaia-X costituisce un’infrastruttura critica per la sicurezza e l’autonomia strategica dell’Ue: protegge i dati sensibili, rafforza la resilienza cibernetica, limita l’influenza extra-europea e supporta settori chiave (energia, difesa, sanità) dove la sovranità del dato equivale a sicurezza nazionale. I principali profili di sicurezza che emergono dall’iniziativa sono riscontrabili nei seguenti:
1. Sovranità e controllo dei dati
– Data sovereignty: il principio cardine di Gaia-X è che i dati rimangano soggetti alle leggi europee (Gdpr, Data Act, Dga).
– Protezione da interferenze extra-Ue: riduce il rischio che provider non europei, soggetti a normative come il Cloud Act Usa, possano accedere a dati sensibili di governi, forze armate, sanità, energia, ecc.
2. Sicurezza delle infrastrutture digitali
– Architettura federata e standard aperti: diminuisce il single point of failure tipico dei grandi hyperscaler, migliorando la resilienza cibernetica.
– Certificazione e compliance: i nodi e i servizi Gaia-X devono aderire a criteri di sicurezza comuni (identity management, encryption, audit) che innalzano la “baseline” di difesa.
3. Protezione di settori critici
– Energia, trasporti, sanità, difesa: i “data spaces” verticali (es. mobilità, salute, industria 4.0) possono ospitare dati sensibili legati a infrastrutture critiche nazionali, con regole europee di accesso e tracciabilità.
– Favorisce la creazione di cloud sovrani per ambiti militari o di sicurezza pubblica.
4. Autonomia strategica europea
– Riduzione della dipendenza da big tech extra-Ue: elemento chiave delle strategie Ue di “digital sovereignty” e quindi della strategic autonomy in materia di sicurezza e difesa.
– Abilita la cooperazione tra stati membri su progetti di IA, big data e cyber-security, rafforzando la capacità di risposta a minacce comuni.
5. Compliance con normative di sicurezza
– Integra i requisiti della NIS2 Directive e del Cybersecurity Act, offrendo un quadro uniforme di certificazione per servizi cloud e data sharing.
Gaia-X nasce per riequilibrare l’egemonia dei cloud statunitensi, ma senza chiudere le porte: partecipazione ai working group anche per vendor extra-Ue, purché accettino trasparenza giuridica, portabilità e certificazioni europee. Un’infrastruttura, dunque, conforme ai principi Ue che possa cooperare senza cedere sovranità né restare dipendente. Il tema non è teorico: norme come il Cloud Act Usa e la FISA spiegano perché la sede giuridica dei fornitori e le garanzie contro l’extraterritorialità contino per la sovranità dei dati europei; Gaia-X esplicita queste esposizioni e spinge per architetture decentrate e reversibili.
L’ingresso dell’Ente Nazionale per l’Intelligenza Artificiale (Enia) in Gaia-X AISBL è, dunque, un segnale politico e industriale. Enia porta a Bruxelles competenze su AI predittiva, edge/fog computing, data governance e risk management, con tre priorità:
- Collegare ricerca, industria e Pa ai data spaces (consorzi pubblico-privati, bandi Horizon/Digital Europe).
- Investire in nodi nazionali (cloud, edge, Clearing House) che diventino hub Gaia-X, trattenendo valore e talento.
- Scrivere gli standard: essere co-autori dei requisiti di qualifica e sicurezza, valorizzando le filiere italiane (energia, mobilità, manifattura, sanità, Pa digitale).
Nella proposta operativa di Enia, quattro sono le direttrici da perseguire:
- Piano italiano dei Data Spaces: mappa settoriale (auto, energia, sanità, turismo, media), kpi di adozione, onboarding PMI;
- Clearing House/Trust Services: promuovere una GXDCH nazionale interoperabile, a supporto della Pa e degli ecosistemi regionali;
- Accordi transfrontalieri: sfruttare i lighthouses (Pontus-X, Catena-X, TEMS) per prove pilota italo-europee con Enia come facilitatore tecnico-istituzionale;
- Comunicazione civica: raccontare che tutela del dato = diritti, competitività e democrazia, non solo compliance.
