Sovranità digitale europea: il pacchetto tecnologico della Commissione tra ambizioni e linee di frattura

Da oltre un decennio l’Europa discute di autonomia digitale senza tradurla in architetture normative vincolanti. Il 3 giugno 2026 la Commissione europea ha presentato il Pacchetto per la Sovranità Tecnologica, un insieme di misure che il Royal United Services Institute (RUSI) analizza in un commento firmato da Joseph Jarnecki, ricercatore del gruppo Cyber and Tech. Al centro dell’analisi c’è il Cloud and AI Development Act (CADA), il provvedimento legislativo che, insieme al Chips Act 2.0 e a due documenti strategici sull’open source e sull’energia, compone il pacchetto complessivo.
Il contesto che ha reso possibile questa iniziativa è preciso: l’Europa dipende da fornitori stranieri per oltre l’80% dei prodotti, servizi e infrastrutture digitali. Questa dipendenza, già segnalata dal Rapporto Draghi del 2024, è diventata un rischio diretto per la resilienza del continente, aggravato dalle tensioni con Washington e Pechino e dall’uso strumentale di terre rare e semiconduttori come leva di pressione geopolitica.
Il CADA si articola su tre pilastri. Il primo riguarda la ricerca e l’innovazione nel cloud e nell’intelligenza artificiale, con particolare attenzione all’efficienza energetica dei sistemi di calcolo, tema che si intreccia con gli impegni climatici della Commissione. Il secondo punta a triplicare la capacità europea dei data center nell’arco di cinque-sette anni, attraverso l’armonizzazione delle procedure di autorizzazione tra gli Stati membri e un miglioramento dell’accesso a energia, terreni, acqua e finanziamenti: un investimento stimato in circa 200 miliardi di euro, prevalentemente privati. Il terzo pilastro introduce un quadro europeo di sovranità per il cloud computing articolato in quattro livelli di garanzia, dal semplice requisito di localizzazione dei dati (livello 1) fino al controllo e allo sviluppo interamente europei (livello 4), con applicazione obbligatoria di default nel settore pubblico.
Il RUSI individua quattro linee di frattura destinate ad allargarsi nel corso del negoziato. La prima riguarda l’accesso alle capacità: imporre requisiti di sovranità potrebbe escludere clienti della difesa e della sicurezza nazionale dai servizi cloud e di intelligenza artificiale più avanzati, compromettendo proprio la resilienza che il provvedimento intende tutelare. La seconda è il costo: le soluzioni sovrane sono percepite come più care, e con bilanci sotto pressione molti governi potrebbero resistere al premio di prezzo; al tempo stesso, un mercato protetto dalla concorrenza globale rischia di produrre fornitori europei non competitivi nel lungo periodo.
La terza frattura è Washington. L’amministrazione Trump ha già criticato le politiche tecnologiche dell’Unione europea come discriminatorie verso le imprese americane, e la Commissione ha cercato di attenuare le tensioni aderendo, nella stessa settimana, al Pax Silica, il partenariato a guida statunitense su intelligenza artificiale, semiconduttori, minerali critici e standard tecnologici. La quarta frattura è interna: la Commissione non è un’entità sovrana e dipende dalla volontà dei ventisette Stati membri di applicare le norme. Il precedente dello schema europeo di certificazione della cybersicurezza (EUCS), bloccato quando i requisiti di sovranità si sono scontrati con gli interessi nazionali, è richiamato come monito. La Francia, pur promotrice di alternative europee, ha rinnovato nel dicembre 2025 la partnership della propria intelligence domestica con Palantir: un esempio della distanza tra retorica sovranista e scelte di approvvigionamento concrete.
Il pacchetto, per quanto ambizioso, non affronta direttamente il fatto che tre aziende non europee controllano circa il 70% del mercato cloud del continente. Il suo esito dipenderà dalla capacità di Bruxelles e delle capitali nazionali di reggere i compromessi quando si presenteranno.
Chi ha lavorato nei sistemi di comando e controllo delle forze armate italiane è perfettamente in grado di capire il nodo operativo che il CADA cerca di sciogliere: la dipendenza da infrastrutture cloud straniere non è solo un problema di costo o di competitività industriale, ma una vulnerabilità strutturale nella catena di comando in caso di crisi. Il sistema a quattro livelli di garanzia proposto dalla Commissione ricorda per architettura i criteri di classificazione delle informazioni NATO, ma la sua efficacia dipenderà dalla capacità degli Stati membri di costruire strutture di audit credibili, che oggi in molti paesi — Italia inclusa — sono ancora embrionali. Vale la pena distinguere tra ciò che il CADA dichiara come obiettivo e ciò che il mercato ha finora prodotto: i precedenti tentativi di costruire alternative europee al cloud americano, da GAIA-X in poi, non hanno modificato le quote di mercato in misura apprezzabile, e non è chiaro perché il nuovo quadro normativo dovrebbe avere un esito diverso senza un intervento parallelo sui mercati dei capitali e sul costo dell’energia. La vicenda Palantir-DGSI citata nell’analisi suggerisce che il vero banco di prova non sarà il testo legislativo, ma le gare d’appalto dei prossimi anni.
Fonte: RUSI · Pubblicato il 8 giugno 2026



