Bene investire per facilitare l'accesso delle agenzie europee al sovereign cloud, ma i criteri di selezione degli operatori lasciano più di qualche perplessità
Autore: Redazione ImpresaCity
La Commissione Europea ha messo sul piatto 180 milioni di dollari - lungo un lasso di tempo di ben sei anni, però - che alcuni cloud provider europei si spartiranno e dovranno tutti utilizzare per sviluppare piattaforme e servizi di cloud sovrano da erogare alle agenzie e organizzazioni UE. In sostanza, questi 180 milioni sono un contributo che la Commissione eroga per spingere istituzioni e agenzie UE a rivolgersi a fornitori cloud attenti al tema della sovranità.
I provider coinvolti, e per i quali sono stati stanziati questi finanziamenti, sono ovviamente europei, ma almeno in un caso la selezione genera qualche perplessità. Post Telecom è il principale operatore di telecomunicazioni del Lussemburgo ed è un po' quello che la nostra TIM potrebbe diventare, perché Post Telecom è controllata dall'operatore postale di Stato del Lussemburgo. Per quanto riguarda i progetti collegati al bando UE, opererà insieme ai cloud provider francesi CleverCloud e OVHcloud.
Altre due provider selezionati dalla Commissione sono la tedesca Stackit e la francese Scaleway. La prima è controllata da Schwarz Digits, che a sua volta è di proprietà del grande retailer tedesco Schwarz, il cui marchio più noto da noi è probabilmente Lidl. La seconda è una costola del Gruppo Iliad ed è da poco attiva anche in Italia.
Il nome che ha generato dubbi nelle organizzazioni davvero interessate al sovereign cloud è quello di Proximus, il principale operatore mobile belga. La società è ovviamente europea - è controllata dallo Stato belga - ma tempo fa ha ceduto la sua parte data center, motivo per cui la sua offerta di cloud sovrano può essere considerata un po' ambigua.
Proximus offre servizi "sovrani" in due modi: direttamente attraverso partnership con Microsoft e Google Cloud, indirettamente attraverso Clarence, una joint venture con il cloud provider lussemburghese LuxConnect che come piattaforma usa - ancora - Google Cloud. E non aiuta che - sempre per quanto riguarda gli investimenti del bando UE - Proximus si presenti in squadra con S3NS, che è una joint venture tra la francese Thales e - di nuovo - Google Cloud (l'altro partner ufficiale di Proximus è la nota AI company francese Mistral AI).
Dove sta l'inghippo per chi vuole pensare che la corsa verso la sovranità gestita dalla Commissione Europea sia, quantomeno, zoppicante? Sta nel fatto che per Bruxelles il criterio principale di sovranità digitale è il Sovereignty Effectiveness Assurance Level (SEAL), un parametro definito all'interno del Cloud Sovereignty Framework definito lo scorso ottobre 2025. L'indice SEAL è una sintesi del livello di sovranità dei servizi offerti da un cloud provider generico, valutato soppesando otto "obiettivi di sovranità" che nelle intenzioni descrivono quanto - tecnologicamente, operativamente, legalmente - il provider è sotto controllo europeo e segue le normative e i principi della UE.
L'indice SEAL prevede cinque livelli di sovranità crescente. SEAL-0 è il livello di "no sovereignty": i servizi, le tecnologie e le operations del provider considerato sono tutti sotto esclusivo controllo di terze parti non-UE e sono in giurisdizioni altrettanto non-UE. SEAL-1 è il livello di "jurisdictional sovereignty": nulla cambia per il controllo su servizi, tecnologie e operations ma le leggi UE sono formalmente applicabili e c'è una possibilità limitata di farle rispettare.
SEAL-2 è il livello di "data sovereignty": i servizi, le tecnologie e le operations del provider sono ancora sotto il controllo di terze parti non-UE, ma stavolta è un controllo indiretto. Le leggi UE sono applicabili e si possono farle rispettare. Le dipendenze non-UE quindi restano ma sono, diciamo così, infrastrutturali.
SEAL-3 è il livello di "digital resilience": legalmente va tutto bene e il controllo sulle infrastrutture e sulle operations del cloud provider è solo marginalmente affidato a entità non-UE. Il meglio è SEAL-4, finalmente il livello di "full digital sovereignty": non ci sono più dipendenze non-UE perché tutto è sotto completo controllo europeo e soggetto unicamente alle norme UE. Se ci sono ancora dipendenze da terze parti non-UE, non sono critiche.
Il problema è che i 180 milioni stanziati dalla Commissione Europa sono legati a un bando che impone di rispettare solo il livello SEAL-2. Ed è la stessa Commissione a evidenziare che i quattro conglomerati vincitori non sono tutti uguali. Post Telecom, STACKIT e Scaleway hanno dimostrato di soddisfare i requisiti SEAL-3, è solo Proximus a fermarsi al livello SEAL-2. La Commissione lascia intendere che ciò dipende dall'utilizzo delle tecnologie di Google Cloud, anche se queste sono gestite esclusivamente da aziende UE.