La proposta di regolamento della Commissione europea nota come Cloud and AI Development Act segna un passaggio di fase nella politica digitale dell’Unione: il cloud non è più trattato soltanto come un mercato di servizi IT, ma come un’infrastruttura strategica che condiziona competitività, sicurezza economica, autonomia tecnologica e capacità di diffusione dell’intelligenza artificiale. Il testo interviene su più livelli: capacità fisica dei data center, sviluppo di tecnologie cloud e AI europee, criteri di sovranità per i servizi cloud, domanda pubblica, procurement comune e valorizzazione dell’open source.
La proposta va letta come un tentativo di costruire una vera politica industriale della capacità computazionale. L’obiettivo non è solo aumentare l’offerta di cloud e data center in Europa, ma orientare l’intero ecosistema verso infrastrutture più sostenibili, servizi più controllabili dal punto di vista giuridico e operativo, e soluzioni più coerenti con gli interessi strategici dell’Unione.
IL NODO STRATEGICO: LA CAPACITÀ COMPUTAZIONALE DIVENTA SOVRANITÀ
La premessa del provvedimento è netta: l’espansione dell’AI, in particolare dei modelli ad alta intensità computazionale, rende la capacità di calcolo una risorsa strategica. Per la Commissione il ritardo europeo nella disponibilità di data center e infrastrutture cloud non è più solo un fattore di costo o efficienza, ma un limite alla capacità dell’Unione di sviluppare, distribuire e adottare sistemi AI avanzati nei settori industriali e pubblici.
Il testo collega questa debolezza a due rischi. Il primo è economico: un mercato europeo con capacità insufficiente e prezzi meno competitivi può scoraggiare investimenti tecnologici e spingere imprese e centri di ricerca verso infrastrutture extra-UE. Il secondo è geopolitico e regolatorio: la dipendenza da provider soggetti a giurisdizioni di Paesi terzi espone utenti pubblici e privati a possibili conflitti normativi, rischi di accesso ai dati, interruzione dei servizi e ridotta capacità di controllo sulle infrastrutture critiche.
La proposta, quindi, non si limita a favorire più investimenti. Mira a creare condizioni uniformi affinché l’Europa possa disporre di capacità cloud e AI scalabile, sostenibile e distribuita, riducendo al tempo stesso la frammentazione delle iniziative nazionali.
CLOUD AND AI LEADERSHIP INITIATIVES: OTTO OBIETTIVI PER UN ECOSISTEMA EUROPEO
Il primo pilastro è rappresentato dalle Cloud and AI Leadership Initiatives, concepite come piattaforma di ricerca, sviluppo e deployment. Gli obiettivi operativi coprono l’intera catena del valore: tecnologie per data center efficienti, stack cloud aperti e autonomi, frontier AI, physical AI, industrial AI, piattaforme per agenti AI, AI per il settore pubblico e diffusione territoriale delle tecnologie cloud e AI.
Per le imprese tecnologiche europee, il punto più rilevante è la volontà di finanziare e coordinare grandi iniziative cross-settoriali, i cosiddetti grand challenges. La logica è quella di concentrare risorse pubbliche e private su sfide industriali ad alto impatto: infrastrutture di calcolo più sostenibili, software cloud interoperabile, middleware per spazi dati europei, AI settoriale per sanità, automotive, manifattura, difesa, spazio, ambiente e agroalimentare.
L’enfasi su standard aperti, specifiche aperte e componenti open source segnala un cambio di approccio: la sovranità non viene interpretata solo come localizzazione geografica, ma come capacità di ispezionare, riusare, integrare e governare tecnologie critiche lungo lo stack.
DATA CENTER, ZONE DI ACCELERAZIONE E PROGETTI STRATEGICI: IL NUOVO QUADRO EUROPEO PER SOSTENERE LA CAPACITÀ DI CALCOLO
La crescita della domanda di capacità di calcolo, lo sviluppo dell’intelligenza artificiale, la digitalizzazione dei servizi pubblici e privati e la necessità di infrastrutture sempre più resilienti stanno spingendo l’Unione europea a rafforzare il proprio quadro normativo sui data center. In questo contesto, la proposta introduce una serie di misure volte ad accelerare la realizzazione di nuove infrastrutture, migliorare il coordinamento tra autorità pubbliche e operatori e monitorare in modo più efficace il divario tra domanda e offerta di capacità computazionale.
Uno degli elementi centrali riguarda la designazione delle cosiddette “zone di accelerazione” per i data center. Gli Stati membri nei cui territori venga implementata capacità di data center dovranno individuare almeno una zona dedicata, tenendo conto di una serie di criteri tecnici, energetici, ambientali e infrastrutturali. La scelta delle aree dovrà considerare, tra gli altri aspetti, la localizzazione e le dimensioni del sito, la capacità presente e futura della rete elettrica, la disponibilità di connettività, la possibilità di produrre o stoccare energia pulita in loco e l’eventuale riutilizzo del calore di scarto generato dalle infrastrutture.
Particolare attenzione viene riservata anche alla sostenibilità. Nella definizione delle zone di accelerazione, gli Stati membri dovranno valutare la capacità dei siti di funzionare in modo compatibile con gli obiettivi ambientali, prevenendo o riducendo gli impatti negativi e contribuendo alla riduzione delle emissioni di carbonio. La preferenza per il riutilizzo di siti dismessi rispetto al consumo di aree non edificate rappresenta un ulteriore elemento orientato a limitare l’impatto territoriale delle nuove infrastrutture digitali.
La proposta di regolamento prevede inoltre che, quando opportuno, gli Stati membri effettuino un’analisi completa del fabbisogno energetico delle zone di accelerazione e del relativo impatto sulle emissioni di gas serra. Tale analisi dovrà essere aggiornata almeno ogni tre anni e dovrà contribuire a individuare la capacità infrastrutturale energetica necessaria per sostenere lo sviluppo dei progetti di data center. I risultati dovranno essere presi in considerazione anche nei piani di sviluppo delle reti elettriche predisposti dai gestori dei sistemi di trasmissione e distribuzione.
Un altro aspetto rilevante riguarda l’integrazione tra pianificazione territoriale e sviluppo delle infrastrutture digitali. Le autorità nazionali, regionali e locali responsabili della pianificazione dovranno valutare l’opportunità di includere nei propri piani disposizioni specifiche per i data center situati nelle zone di accelerazione e per le infrastrutture necessarie al loro funzionamento. Al tempo stesso, gli operatori dovranno poter accedere ai dati territoriali pertinenti, così da disporre di un quadro informativo chiaro e aggiornato.
Per rendere più efficiente il percorso autorizzativo, il testo introduce anche la figura dei punti unici di informazione. I gestori di data center avranno il diritto, su richiesta, di essere assistiti durante l’intero ciclo di vita del progetto, con particolare riferimento alle autorizzazioni necessarie alla sua realizzazione. Il punto unico potrà svolgere funzioni di coordinamento, facilitazione, monitoraggio e condivisione delle informazioni relative a permessi edilizi, pianificazione territoriale, valutazioni ambientali, autorizzazioni idriche, recupero del calore, obblighi amministrativi e connessioni alle reti elettriche, termiche o di telecomunicazione.
Questi punti di contatto avranno anche un ruolo importante nel favorire l’accettazione pubblica dei progetti, fornendo informazioni ai cittadini e contribuendo a rendere più trasparente il processo decisionale. Una specifica attenzione è inoltre rivolta alle PMI, per le quali potranno essere predisposti canali di comunicazione dedicati, utili a fornire orientamenti e risposte sui principali adempimenti previsti dal regolamento.
Sul piano autorizzativo, i progetti di data center realizzati nelle zone di accelerazione potranno beneficiare di procedure semplificate. Gli Stati membri dovranno predisporre un’autorizzazione di base aggregata per ciascuna zona designata, che ricomprenda le principali autorizzazioni amministrative necessarie alla realizzazione dei data center nell’area. Le autorizzazioni aggiuntive saranno richieste solo per attività non già coperte da tale autorizzazione di base.
L’obiettivo è rendere le procedure più efficienti, trasparenti e rapide. In particolare, il procedimento autorizzativo per i progetti situati nelle zone di accelerazione non dovrebbe superare i dodici mesi dalla presentazione di una domanda completa, salvo termini più brevi eventualmente previsti dagli ordinamenti nazionali. Nei Paesi in cui esista già uno status di massima rilevanza nazionale, i progetti di data center potranno essere trattati secondo tale priorità.
Accanto alle zone di accelerazione, il testo disciplina anche la designazione dei progetti strategici per i data center. La Commissione europea potrà attribuire tale qualifica, mediante decisione, ai progetti selezionati attraverso bandi pubblici di manifestazione d’interesse e in grado di soddisfare almeno due criteri tra quelli indicati. Tra questi rientrano il contributo alle funzioni essenziali del settore pubblico, come ricerca, istruzione, sanità e sicurezza; l’adozione di soluzioni altamente sostenibili o innovative; il supporto alla stabilità della rete elettrica; l’integrazione di chip, processori, acceleratori o tecnologie quantistiche progettati o fabbricati nell’Unione; e il contributo alla riduzione di carenze significative di capacità di calcolo in aree sottoservite.
La qualifica di progetto strategico sarà legata alla durata prevista dell’iniziativa e potrà essere revocata qualora il progetto non soddisfi più i criteri richiesti o qualora la designazione sia stata ottenuta sulla base di informazioni errate. In caso di revoca, il progetto perderebbe tutti i diritti connessi a tale status.
Infine, il regolamento introduce un sistema di monitoraggio del divario di capacità. La Commissione sarà incaricata di individuare e monitorare la capacità di calcolo disponibile nell’Unione, inclusa quella di edge computing, il volume della domanda di capacità dei data center e l’eventuale presenza di aree sottoservite. Queste informazioni potranno essere utilizzate per orientare le future decisioni sulle zone di accelerazione e per favorire una distribuzione più equilibrata delle infrastrutture digitali sul territorio europeo.
Nel complesso, il nuovo quadro mira a conciliare tre esigenze: accelerare la realizzazione dei data center, garantire un adeguato coordinamento amministrativo e infrastrutturale, e assicurare che lo sviluppo della capacità digitale europea avvenga in modo sostenibile, resiliente e coerente con gli obiettivi energetici e ambientali dell’Unione.
CLOUD SOVRANO: QUATTRO LIVELLI DI GARANZIA PER ORDINARE IL MERCATO
Uno dei capitoli più delicati è il quadro UE per il cloud sovrano. Il testo infatti introduce un quadro di sovranità dell’Unione per il cloud computing, finalizzato a stabilire criteri comuni che i fornitori di servizi cloud devono rispettare per poter offrire i propri servizi agli enti dell’Unione e agli organismi del settore pubblico. Tale quadro si articola in quattro livelli di garanzia dell’Unione, definiti sulla base di criteri specifici e aggiornabili dalla Commissione tramite atti delegati, così da mantenerli coerenti con l’evoluzione normativa e tecnologica.
Il riconoscimento dei fornitori avviene attraverso una procedura gestita dall’autorità nazionale competente dello Stato membro di stabilimento. Per il livello di garanzia 1, il fornitore deve effettuare un’autovalutazione e presentare una dichiarazione di conformità UE, assumendosi la responsabilità della conformità del servizio ai criteri previsti. Per i livelli 2, 3 e 4, invece, è richiesto un audit indipendente di terza parte, corredato da una relazione e da un parere positivo. La procedura prevede termini precisi per la valutazione, la possibilità di richiedere integrazioni documentali e un meccanismo di revisione da parte degli altri Stati membri, al fine di garantire un riconoscimento valido in tutta l’Unione.
Il sistema attribuisce inoltre un ruolo centrale alla Commissione, che può intervenire in caso di obiezioni tra autorità nazionali, adottare decisioni vincolanti e definire modalità pratiche per l’attuazione delle procedure. La Commissione può anche individuare i paesi terzi associati i cui fornitori, se sottoposti al controllo di tali paesi o di entità stabilite al loro interno, possono essere valutati secondo i criteri del livello di garanzia 3, purché siano rispettate condizioni rigorose in materia di protezione dei dati, assenza di interferenze sul controllo dei fornitori, continuità dei servizi, apertura del mercato e accesso equivalente agli appalti pubblici.
Un ulteriore elemento qualificante riguarda le procedure di audit indipendente, previste per i livelli di garanzia superiori. Gli organismi incaricati devono essere indipendenti, privi di conflitti di interesse, dotati di competenze tecniche adeguate e tenuti al rispetto della riservatezza. La relazione di audit deve contenere informazioni dettagliate sul fornitore, sulla metodologia applicata, sui risultati principali e sul giudizio finale, positivo o negativo. In caso di parere negativo, devono essere indicate anche raccomandazioni operative per il raggiungimento della conformità. Il mantenimento del riconoscimento richiede inoltre una revisione annuale della conformità.
Infine, il testo disciplina i poteri delle autorità nazionali competenti, che possono svolgere attività investigative, richiedere informazioni, effettuare ispezioni e imporre misure correttive o sanzioni in caso di violazioni. Tali poteri devono essere esercitati nel rispetto dei principi di efficacia, proporzionalità e dissuasività, nonché delle garanzie procedurali previste dal diritto nazionale e dal diritto dell’Unione, inclusi il diritto alla vita privata, i diritti della difesa e il diritto a un ricorso giurisdizionale effettivo.
PUBBLICA AMMINISTRAZIONE: RISK ASSESSMENT E ACQUISTI CLOUD PIÙ SELETTIVI
Il settore pubblico è il principale terreno di applicazione del nuovo framework. La proposta di regolamento disciplina le modalità attraverso cui gli Stati membri e gli enti dell’Unione devono valutare i rischi connessi all’utilizzo dei servizi di cloud computing da parte del settore pubblico. Entro un anno dall’entrata in vigore del regolamento, e successivamente ogni due anni o ogniqualvolta risulti necessario, tali soggetti sono tenuti a svolgere valutazioni del rischio volte a individuare le attività pubbliche che utilizzano, o intendono utilizzare, servizi cloud e che contribuiscono alla tutela dell’ordine pubblico in settori considerati critici, nonché in ambiti particolarmente sensibili quali la sicurezza nazionale, la sicurezza interna, la gestione delle frontiere esterne, la difesa, la giustizia e l’applicazione della legge.
Le valutazioni del rischio devono consentire di stabilire quale livello di garanzia dell’Unione, tra i livelli 2, 3 o 4, sia più adeguato rispetto alle attività pubbliche individuate. A tal fine, gli Stati membri e gli enti dell’Unione devono considerare diversi elementi, tra cui la sensibilità, la criticità e la portata dei dati non personali trattati, l’eventuale impatto sull’ordine pubblico, nonché la natura, l’ambito, il contesto e le finalità del trattamento dei dati personali. Devono inoltre essere valutati i rischi derivanti da un accesso illecito ai dati da parte di un paese terzo o di un soggetto giuridico stabilito in un paese terzo, così come i rischi connessi a possibili interruzioni del servizio cloud. La proposta invita inoltre le amministrazioni a considerare strategie multi-cloud o multi-vendor.
Nelle procedure per cloud e AI, le amministrazioni sono chiamate a considerare criteri di valore aggiunto europeo: contributo alla supply chain digitale dell’Unione, integrazione di tecnologie europee, innovazione svolta nell’UE e impiego di componenti hardware progettati o prodotti in Europa.
Per PMI e small mid-caps, la proposta contiene un segnale importante: gli Stati membri dovrebbero puntare ad assegnare almeno una quota rilevante delle procedure innovative a imprese di dimensione più contenuta. Ciò può aprire spazi di mercato a operatori specializzati in cloud, AI, cybersecurity, software open source e servizi verticali.
La Commissione assume un ruolo di coordinamento e indirizzo sin dalla fase di valutazione del rischio, poiché è chiamata a definire, mediante atti di esecuzione, la metodologia, i modelli e gli elementi che gli Stati membri e gli enti dell’Unione devono utilizzare nello svolgimento delle valutazioni del rischio. Tale metodologia dovrà chiarire in che modo applicare i livelli di garanzia più elevati alle attività pubbliche più critiche, incluse, in particolare, quelle relative alla difesa. Gli Stati membri sono inoltre tenuti a trasmettere alla Commissione i risultati delle valutazioni entro tre mesi dal loro completamento, segnalando eventuali scostamenti rispetto alla metodologia stabilita.
Qualora la Commissione ritenga che il livello di garanzia individuato da uno Stato membro non sia adeguato o non risponda in modo sufficiente alle esigenze di tutela dell’ordine pubblico, essa può intervenire mediante atti di esecuzione per specificare il livello di garanzia necessario per una determinata attività pubblica. Nel caso in cui la valutazione del rischio renda necessario il passaggio a un diverso servizio di cloud computing, lo Stato membro o l’ente dell’Unione interessato deve procedere alla migrazione entro un periodo transitorio ragionevole, comunque non superiore a dodici mesi, tenendo conto della fattibilità tecnica, della continuità del servizio e dei requisiti di portabilità dei dati.
Il regolamento promuove inoltre la cooperazione tra Stati membri e Commissione, favorendo lo scambio efficace di informazioni, buone pratiche e meccanismi di coerenza. Nell’ambito delle valutazioni del rischio, deve essere considerata anche l’opportunità di adottare strategie multi-fornitore o multi-cloud nelle procedure di acquisizione dei servizi cloud, al fine di ridurre la dipendenza da un unico prestatore e rafforzare la resilienza complessiva.
Per quanto riguarda gli appalti pubblici, il regolamento stabilisce che le amministrazioni aggiudicatrici e gli enti dell’Unione che acquistano servizi di cloud computing per uso esclusivo devono rispettare specifici obblighi collegati ai livelli di garanzia. Qualora le attività pubbliche interessate non siano state individuate come rilevanti per la tutela dell’ordine pubblico, dovranno essere utilizzati servizi cloud riconosciuti almeno al livello di garanzia 1. Al contrario, quando le attività contribuiscono alla preservazione dell’ordine pubblico in settori critici o in aree sensibili, le autorità competenti potranno acquistare esclusivamente servizi cloud riconosciuti ai livelli di garanzia 2, 3 o 4.
Sono tuttavia previste deroghe eccezionali, debitamente giustificate, che consentono alle amministrazioni aggiudicatrici di non ricorrere a servizi cloud riconosciuti secondo i livelli di garanzia dell’Unione. Ciò può avvenire, ad esempio, quando l’oggetto dell’appalto non possa essere fornito da servizi cloud riconosciuti disponibili nel repertorio centrale, quando una procedura analoga svolta nell’anno precedente non abbia ricevuto offerte o partecipanti idonei, oppure quando l’applicazione dei requisiti del regolamento comporterebbe costi sproporzionati.
Infine, il regolamento prende in considerazione anche il settore privato, in particolare gli operatori appartenenti ai settori ad alta criticità individuati dalla direttiva NIS2. Tali soggetti, pur non essendo organismi del settore pubblico, possono svolgere valutazioni di impatto analoghe a quelle previste per gli Stati membri e gli enti dell’Unione. La Commissione può fornire orientamenti metodologici e indicare possibili misure di mitigazione dei rischi. In presenza di circostanze specifiche e debitamente giustificate, e previa consultazione con gli Stati membri, la Commissione può inoltre adottare atti delegati per stabilire l’obbligo di effettuare tali valutazioni di impatto e definire le relative misure di riduzione del rischio.
EUROCLOUD FEDERATION E PROCUREMENT COMUNE: FARE MASSA CRITICA
La EuroCloud Federation mira a federare capacità cloud e data center del settore pubblico europeo, consentendo la condivisione di servizi tra entità UE e amministrazioni nazionali. L’accesso sarebbe volontario e limitato a soggetti pubblici o controllati pubblicamente, con l’obiettivo di evitare distorsioni concorrenziali e mantenere la cooperazione nell’ambito dell’interesse pubblico.
Accanto alla federazione, la proposta rafforza la possibilità per la Commissione di svolgere attività di procurement comune per servizi cloud, data center, software e sistemi AI al fine di superare la frammentazione della domanda pubblica, aumentare il potere negoziale e ridurre il divario di competenze tra amministrazioni di diversa dimensione.
Questa architettura può incidere profondamente sul mercato poiché se la domanda pubblica europea diventa più coordinata, i fornitori dovranno necessariamente confrontarsi con requisiti più omogenei, ma anche con gare potenzialmente più grandi e complesse.
OPEN SOURCE: DA OPZIONE TECNICA A INFRASTRUTTURA DI SOVRANITÀ
Il capitolo sull’open source è certamente uno dei più strategici per gli operatori software. La proposta riconosce infatti che accesso al codice, auditabilità, riuso e riduzione del vendor lock-in sono elementi essenziali per la sicurezza e l’autonomia digitale del settore pubblico.
In questa logica, la proposta incoraggia le amministrazioni e le entità UE ad utilizzare standard aperti e componenti rilasciati con licenza open source quando costruiscono il proprio ecosistema cloud e AI. Quando software sviluppato da o per il settore pubblico viene reso disponibile per il riuso, dovrebbe essere pubblicato in cataloghi o repository collegati al futuro EU Open Source Solutions Catalogue.
Per le imprese, ciò può creare un doppio effetto: da un lato maggiore competizione su componenti standardizzate e riutilizzabili; dall’altro nuove opportunità per servizi di integrazione, manutenzione, sicurezza, compliance e supporto professionale su software aperto.
LE IMPLICAZIONI PER IL MERCATO: UN PRIMO BILANCIO
Il Cloud and AI Development Act propone una lettura nuova della sovranità digitale: non solo protezione dei dati, ma controllo della capacità computazionale, resilienza delle infrastrutture, governance degli stack software, procurement strategico e costruzione di un mercato europeo più robusto.
Per gli operatori cloud, AI e data center, il messaggio è chiaro: nei prossimi anni la competitività non si giocherà solo su prezzo, performance e scala globale, ma anche su sostenibilità, auditabilità, autonomia operativa, contributo alla filiera europea e capacità di servire casi d’uso pubblici e industriali ad alta criticità. La proposta è ancora all’inizio del percorso legislativo, ma delinea già il perimetro della prossima battaglia regolatoria e industriale dell’Europa digitale evidenziando effetti non uniformi sugli operatori. I provider europei di cloud e servizi gestiti potrebbero infatti beneficiare di una maggiore domanda pubblica e di criteri che valorizzano controllo, localizzazione giuridica, autonomia operativa e contributo alla supply chain UE. Anche operatori data center con progetti sostenibili, integrati nella rete energetica e localizzati in aree sottoservite potrebbero trovarsi in una posizione favorevole.
I grandi hyperscaler extra-UE, invece, sebbene non destinatari di alcuna esclusione, potrebbero dover adattare governance societaria, localizzazione operativa, modelli contrattuali, procedure di audit e garanzie contro interferenze esterne ed assicurare che le offerte commerciali qualificate come “sovrane” rispettino criteri giuridici e tecnici armonizzati puntualmente definiti.
Per il settore pubblico, la sfida principale sarà la capacità amministrativa. Risk assessment, appalti innovativi, criteri di valore aggiunto europeo e strategie multi-cloud richiedono competenze tecniche, legali e organizzative che molte amministrazioni non possiedono ancora in modo strutturato.
Restano poi alcuni nodi da sciogliere durante l’iter legislativo. Il primo riguarda senza dubbio la chiara individuazione dei confini di azione europei in ambiti delicati che vanno ad impattare su scelte inerenti la sicurezza nazionale che tradizionalmente rientrano nella sovranità degli Stati membri.
È inoltre indispensabile operare un attento bilanciamento tra sovranità e apertura del mercato, al fine di scongiurare il rischio che criteri troppo stringenti possano ostacolare l’innovazione, ridurre la concorrenza e aumentare i costi da un lato; e dall’altro, che criteri troppo deboli possano svuotare di senso l’obiettivo politico.
Un altro punto da attenzionare è certamente l’energia. Triplicare la capacità dei data center in pochi anni richiede connessioni, reti, produzione pulita, accumulo e pianificazione anticipata. La sostenibilità non sarà un semplice requisito reputazionale, ma una condizione abilitante della crescita computazionale europea.
L’ultimo nodo è l’esecuzione. La proposta è infatti ambiziosa perché combina politica industriale, regolazione del mercato interno, procurement, cybersecurity, open source e data governance. La sua efficacia dipenderà in buona misura dalla capacità di coordinare Commissione, Stati membri, autorità nazionali, operatori industriali e amministrazioni pubbliche.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Silvia COMPAGNUCCI
Source link
