L'associazione dei cloud provider europei spinge per un rafforzamento dei requisiti di sovranità imposti dal futuro Cloud Act della UE
Autore: Redazione ImpresaCity
È un po che l'Unione Europea sta lavorando al suo Cloud and AI Development Act, una iniziativa che dovrebbe recepire le raccomandazioni venute da varie parti sulla necessità di ridurre la dipendenza da fornitori non europei nel campo dei servizi e delle infrastrutture cloud. Che oggi sono considerate strategiche ma anche bisognose di un rapido sviluppo, perché proprio il CADA parte da tre presupposti: i data center sono la base degli sviluppi in campo AI, la capacità dei data center in Europa è insufficiente, mancano in particolare abbastanza infrastrutture completamente europee da supportare gli scenari d'uso più critici per l'Unione (soprattutto Difesa e PA).
Il tema della cloud sovereignty europea tocca proprio questo terzo "pilastro" e il CADA dovrebbe arrivare a definire cosa effettivamente significhi, in quanto a requisiti tecnici, avere una "capacità di elaborazione localizzata nella UE ed altamente sicura". Una questione che a buon senso sembra banale ma che in effetti non lo è, tanto che ad esempio il famoso European Cybersecurity Certification Scheme for Cloud Services (EUCS) - che doveva e dovrebbe fissare i paletti per indicare cosa è sicuro e sovrano e cosa no - è rimasto praticamente lettera morta per i contrasti tra i vari Stati membri sulla sua adozione. E nelle sue varie revisioni ha visto tra l'altro scomparire i requisiti di sovranità che imponevano agli hyperscaler di creare joint venture con aziende europee se volevano gestire dati e servizi critici all’interno dell’UE.
La questione è ovviamente articolata. Gli hyperscaler USA vedono la sovranità digitale "totale" (infrastrutture localizzate in Europa, sotto completo controllo europeo e soggette solo alle leggi UE) come un freno al loro business, e diversi Stati membri della UE sostengono questa posizione temendo di perdere l'indotto di questo stesso giro d'affari. Peraltro, lo stesso Rapporto Draghi del 2024 definiva come opzioni "second best" le soluzioni in cui le infrastrutture non sono completamente europee. E infatti molte voci sono contro l'dea di considerare come sovrane le soluzioni ibride proposte da diversi hyperscaler.
In attesa di capire in che direzione voglia muoversi il Parlamento Europeo nella definizione del CADA, specie ora che la geopolitica è diventata un argomento di primissimo piano per tutte le imprese, si è fatta sentire l'associazione che raccoglie i cloud provider europei, ossia il Cispe. Lo ha fatto con una lettera aperta in cui i CEO di 25 cloud/tech provider spiegano cosa vorrebbereo vedere nella nuova normativa. Tra i firmatari ci sono Stefano Cecconi (Aruba), Cristiano Boscato (Dinova), Antonio Giannetto (Reevo), Antonio Baldassara (Seeweb), Luana Girolama (Testudo).
Il primo principio espresso dal Cispe è che i criteri di sovranità dovrebbero riflettere le condizioni concrete: chi controlla effettivamente le infrastrutture, chi possiede la tecnologia, quale è il livello di tutela contro giurisdizioni extraterritoriali. Per il Cispe una semplice certificazione di cybersecurity (il citato EUCS) non garantisce la sovranità, poiché non affronta l’esposizione a legislazioni extraterritoriali come il Cloud Act degli Stati Uniti. Che già sappiamo essere più forte di qualsiasi garanzia degli hyperscaler.
Il Cispe spiega poi che laddove i servizi davvero sovrani non siano disponibili, quelli offerti in alternativa devono garantire la loro resilienza intesa come autonomia operativa. In sostanza, vanno sempre garantiti il controllo effettivo e l’accesso ai dati, alle infrastrutture e ai workload in cloud. Soprattutto in caso di interferenze da parte di Governi stranieri o di terze parti.
Per i dati e i workload sensibili, l’Europa dovrebbe introdurre negli appalti pubblici quote riservate per i fornitori cloud europei. Come minimo, gli appalti pubblici dovrebbero seguire un principio che il Cispe sintetizza in “compra europeo oppure garantisci la resilienza, oppure spiega [sottinteso: perché non lo fai]”. Il Cispe chiede poi di evitare i procurement su larga scala perché escludono di fatto i fornitori europei.
Inoltre, la politica europea sul cloud dovrebbe secondo il Cispe rafforzare la concorrenza e l’interoperabilità, prevenendo in particolare pratiche, giudicate anticoncorrenziali, in cui i servizi di AI sono offerti a pacchetto con i servizi cloud. Infine, le iniziative a supporto del cloud e dell'AI - e il CADA ha tra l'altro il compito di delineare proprio queste - quando sono finanziate dal denaro pubblico dovrebbero dare priorità all’ecosistema tecnologico europeo, sostenere lo sviluppo di filiere locali e integrare precisi requisiti di sostenibilità ambientale.