L’evoluzione delle reti e le recenti dinamiche geopolitiche internazionali hanno collocato la sovranità digitale al centro dell’agenda politica e industriale europea. Il controllo sui dati, sulle infrastrutture cloud e sui modelli di intelligenza artificiale costituisce attualmente un requisito critico per assicurare la sicurezza nazionale e l’autonomia strategica dell’Unione Europea rispetto ai fornitori tecnologici esteri. Con Antonino Caffo, giornalista ed esperto di innovazione tecnologica, affrontiamo il tema della sovranità alla luce dell’intelligenza artificiale, esplorando l’impatto dei recenti assetti legislativi comunitari.
Si parla molto di “cloud sovrano”, ma diversi esperti sostengono che la localizzazione dei dati nei confini nazionali non basti a garantire una vera sovranità digitale. Quali sono allora i pilastri che mancano al di là della semplice geografia dei server?
Oltre alla localizzazione fisica dei server, la vera sovranità digitale richiede il controllo giurisdizionale, la sovranità crittografica e l’autonomia operativa. Mantenere i dati all’interno dei confini di un determinato Paese non è sufficiente se l’infrastruttura è soggetta alle leggi di Paesi terzi, un rischio intrinseco quando ci si affida a provider hyperscaler internazionali che devono rispondere alle giurisdizioni dei propri Paesi d’origine. Un ulteriore pilastro è la gestione delle chiavi crittografiche, le quali devono rimanere sotto il controllo esclusivo del cliente o di un fornitore fiduciario nazionale per impedire qualsiasi accesso tecnico ai dati da parte del gestore dell’infrastruttura. Al contempo, la portabilità dei carichi di lavoro e l’uso di standard open source garantiscono l’indipendenza tecnologica e scongiurano il fenomeno del “vendor lock-in”, permettendo di trasferire le operazioni da un fornitore all’altro senza incorrere in interruzioni o costi proibitivi.
Il CLOUD Act statunitense e il GDPR europeo appaiono strutturalmente incompatibili: le aziende americane devono consegnare i dati alle autorità USA ovunque siano archiviati, mentre l’Europa vieta trasferimenti senza base giuridica. Come si esce da questa impasse normativa?
La soluzione all’incompatibilità giurisdizionale tra la normativa statunitense e quella europea richiede l’adozione di approcci architetturali e societari, poiché la questione non è sanabile unicamente sul piano giuridico. L’approccio attualmente più efficace per il mercato europeo è il modello del “cloud fiduciario”. In questo scenario, una joint venture o una società interamente controllata da capitali europei acquisisce in licenza le tecnologie dei principali fornitori cloud statunitensi, occupandosi di erogare il servizio sul territorio. In queste architetture specifiche, l’infrastruttura è gestita operativamente e commercialmente da personale locale, mentre le chiavi di cifratura restano isolate e controllate all’interno dell’Unione. Poiché il fornitore originario della tecnologia statunitense non ha le capacità tecniche, fisiche o contrattuali per estrarre i dati in chiaro, un’eventuale richiesta pervenuta dalle autorità americane tramite il CLOUD Act si rivela inefficace dal punto di vista pratico, garantendo l’applicazione rigorosa dei principi del GDPR.
Con l’AI Act e la Dichiarazione europea sulla sovranità digitale del novembre 2025, emerge un “quinto pilastro”: la sovranità dell’intelligenza artificiale, cioè la governance dei modelli e dei dati di addestramento. Quanto è preparata l’Italia su questo fronte?
La Dichiarazione europea sulla sovranità digitale sottoscritta nel novembre 2025 pone la governance dei dati e delle tecnologie al centro dell’autonomia strategica dell’Unione, definendo uno standard chiaro che si intreccia con i vincoli dell’AI Act. Su questo fronte specifico, il grado di preparazione dell’Italia risulta disomogeneo. Il Paese affronta da un lato l’impegnativo adeguamento normativo sui livelli di rischio dei sistemi di intelligenza artificiale, e dall’altro l’urgenza di favorire modelli fondativi e set di dati nazionali svincolati da dipendenze estere. Se sul piano istituzionale le direttive comunitarie vengono recepite regolarmente, sul piano prettamente industriale l’Italia accusa dei ritardi. Le infrastrutture di calcolo nazionali e la disponibilità di competenze algoritmiche specializzate sono ancora limitate per competere in modo autonomo e massivo con i principali poli globali. Inoltre, scarseggia un ecosistema di investimenti strutturato, essenziale per addestrare modelli linguistici di grandi dimensioni che riflettano la lingua, i valori e la sovranità informativa del Paese senza appoggiarsi sistematicamente ad architetture e fornitori internazionali.
Diversi Paesi europei — Francia, Germania, Austria, Danimarca — stanno migrando verso soluzioni open source per le comunicazioni governative. L’Italia sembra muoversi più lentamente. Cosa frena la nostra Pubblica Amministrazione?
La Pubblica Amministrazione italiana incontra ostacoli persistenti nell’adozione strutturale di tecnologie open source per le comunicazioni, frenata principalmente da barriere procedurali e organizzative. Prevale una radicata avversione al rischio e una dipendenza storica da un numero circoscritto di grandi fornitori tecnologici, le cui soluzioni proprietarie “chiavi in mano” sono tradizionalmente percepite come più sicure o dotate di un supporto tecnico più garantito e immediato rispetto ai progetti basati su codice aperto. A questa dinamica si somma la carenza di competenze ingegneristiche e di sviluppo all’interno degli enti pubblici, che rende complessa l’installazione, la manutenzione e l’aggiornamento in autonomia delle infrastrutture open source. Infine, la struttura degli appalti pubblici ha spesso agevolato l’acquisizione di licenze software tradizionali piuttosto che la remunerazione dei servizi complessi di personalizzazione e integrazione necessari per rendere le alternative aperte realmente scalabili a livello governativo.
Il recente attacco informatico all’infrastruttura cloud della Commissione europea e il bando USA ai router di produzione straniera mostrano che la dipendenza tecnologica è ormai una questione di sicurezza nazionale. L’Europa sta reagendo con la velocità necessaria?
L’incidente occorso all’infrastruttura cloud tramite un account Amazon Web Services (AWS), secondo quanto riportato da Bleeping Computer, unito alle recenti decisioni dell’amministrazione statunitense di vietare l’importazione di router di produzione straniera, sottolinea la vulnerabilità delle attuali catene di fornitura tecnologiche. Questi eventi confermano che la sicurezza informatica e la dipendenza hardware sono ormai i fulcri della sicurezza nazionale. Nonostante la gravità del contesto, la reazione dell’Europa mostra una velocità d’azione disallineata rispetto agli Stati Uniti. Mentre il governo nordamericano interviene con provvedimenti esecutivi immediati sul piano doganale e commerciale per sradicare i fornitori ritenuti a rischio, l’Unione Europea si affida a strumenti legislativi profondi, come la direttiva NIS2 e il Cyber Resilience Act. Questi impianti normativi sono molto rigorosi ma presentano inevitabili lentezze procedurali legate all’approvazione, al recepimento negli ordinamenti nazionali e all’attuazione, scontando inoltre l’assenza di un blocco industriale continentale pronto a sostituire tempestivamente le importazioni extra-europee di hardware e soluzioni cloud.
Per le PMI italiane, sovranità digitale significa concretamente sapere dove sono i propri dati e chi vi ha accesso. Ma quante piccole e medie imprese hanno oggi gli strumenti e le competenze per compiere scelte davvero consapevoli su cloud e infrastrutture?
Solo una frazione trascurabile delle piccole e medie imprese italiane dispone oggi degli strumenti analitici, delle competenze tecniche e della capacità di spesa necessari per compiere valutazioni pienamente consapevoli sui requisiti di sovranità applicati alle infrastrutture cloud. La transizione digitale delle PMI è guidata primariamente dalla necessità di contenere i costi, esternalizzare la gestione IT e accelerare i processi, il che le spinge ad adottare automaticamente i servizi cloud standard offerti dai leader di mercato globali. Questo grave divario formativo si traduce nell’impossibilità di negoziare o persino valutare le condizioni contrattuali che determinano la localizzazione esatta del dato, l’identità dei subfornitori con privilegi amministrativi e la reale esportabilità dei sistemi. Fino a quando non verranno implementati percorsi intensivi di alfabetizzazione tecnica a livello aziendale, supportati da incentivi economici strutturali orientati alla scelta di infrastrutture certificate per la protezione sovrana del dato, la sovranità digitale per le PMI rimarrà un concetto teorico non applicato alle dinamiche di mercato correnti.
