L’Europa vuole limitare Google e Microsoft sui dati pubblici

L’Unione Europea sta valutando nuove restrizioni che potrebbero modificare profondamente il rapporto tra le istituzioni europee e i grandi provider cloud statunitensi.

Nel mirino ci sono Microsoft Azure, Amazon Web Services e Google Cloud, che oggi controllano una quota dominante del mercato cloud europeo. La discussione non nasce improvvisamente: il tema della dipendenza tecnologica dai hyperscaler americani è aperto da anni e si è intensificato dopo il caso Snowden, l’annullamento del Privacy Shield e le continue tensioni normative sul trasferimento transatlantico dei dati. Bruxelles punta ora a distinguere tra semplice localizzazione fisica dei dati e reale controllo giuridico dell’infrastruttura.

Il Cloud Act e il nodo della sovranità digitale

Il punto tecnico e politico più delicato riguarda il Cloud Act statunitense del 2018, che consente alle autorità americane di richiedere accesso a dati detenuti da società statunitensi anche quando i server si trovano fisicamente all’estero. Per l’UE questo crea un conflitto diretto con le normative europee sulla protezione dei dati: un database archiviato in Germania ma controllato da una corporation americana potrebbe restare soggetto a richieste governative di Washington.

Il problema interessa soprattutto dati governativi, infrastrutture energetiche, ricerca industriale, sistemi sanitari e applicazioni legate alla sicurezza nazionale. Le nuove regole allo studio potrebbero quindi imporre requisiti molto più stringenti sulla governance delle piattaforme cloud: controllo operativo europeo, personale autorizzato residente nell’UE, gestione autonoma delle chiavi crittografiche e separazione tecnica delle infrastrutture.

La discussione si collega direttamente ai progetti europei di sovranità digitale, a partire da Gaia-X, l’iniziativa nata nel 2019 con il sostegno di Germania e Francia. L’iniziativa aveva coinvolto anche gli hyperscaler americani, scelta che aveva provocato forti critiche. Il nuovo orientamento sembra invece puntare su infrastrutture realmente indipendenti da giurisdizioni esterne, con certificazioni cloud che includano criteri dettagliati su cifratura, controllo delle chiavi, auditing e governance societaria.

Cosa cambia per aziende, pubbliche amministrazioni e mercato AI

Se le restrizioni entrassero in vigore, gli effetti sarebbero immediati su contratti cloud della pubblica amministrazione e dei settori regolamentati. Le organizzazioni che gestiscono dati classificati potrebbero essere obbligate a migrare workload verso provider conformi ai nuovi requisiti, ristrutturando contratti multi-cloud o optando per infrastrutture ibride.

Provider europei come OVHcloud e IONOS potrebbero beneficiarne, ma il gap tecnologico rispetto agli hyperscaler americani resta significativo in diversi segmenti avanzati: cluster GPU, servizi AI, piattaforme dati distribuite e infrastrutture hyperscale. Esiste quindi il concreto rischio che le restrizioni rallentino l’adozione di tecnologie AI in settori europei dove le piattaforme conformi non riescono ancora a offrire capacità equivalenti.

Bruxelles considera però la dipendenza infrastrutturale un rischio strategico di lungo periodo. La guerra in Ucraina e le tensioni geopolitiche globali hanno rafforzato la convinzione che l’autonomia tecnologica sia ormai una questione industriale e politica oltre che economica. Il risultato di questa partita determinerà non solo il futuro del cloud europeo, ma anche la capacità dell’UE di costruire un’infrastruttura AI autonoma nei prossimi anni.