Il 3 giugno 2026 la Commissione Europea ha presentato il pacchetto per la sovranità tecnologica: Chips Act 2.0, una strategia open source, una roadmap su digitale ed energia e — il pezzo che ci interessa — il Cloud and AI Development Act. Per la prima volta l'Unione scrive in una proposta di regolamento una domanda che fino a ieri stava solo nelle slide dei convegni: chi può toccare i dati delle istituzioni europee, e a quali condizioni?
La risposta breve, per chi gestisce un'azienda italiana: oggi il CADA non ti obbliga a niente. Ma definisce il vocabolario con cui, nei prossimi anni, chiunque — clienti, banche, assicurazioni, capofila di filiera — valuterà il tuo stack tecnologico. E quel vocabolario ha quattro livelli.
Perché l'Europa è arrivata a questo punto
I numeri che accompagnano il pacchetto sono il vero argomento. Il mercato cloud europeo vale oltre 61 miliardi di euro, e per circa il 70% è in mano a tre fornitori americani: AWS, Microsoft Azure e Google Cloud. I provider europei si dividono intorno al 15% — ed erano al 29% nel 2017. Non è una quota che si sta erodendo: è una quota che è crollata mentre il mercato triplicava.
La Commissione stima che per oltre l'80% di prodotti, servizi e infrastrutture digitali chiave l'Europa dipenda da fornitori extra-UE. Per un continente che ha scritto GDPR e AI Act — cioè le regole — è una posizione curiosa: legiferiamo su infrastrutture che non possediamo.
Il CADA prova a invertire la rotta con due leve: capacità (l'obiettivo dichiarato è triplicare la capacità datacenter europea in 5-7 anni) e regole d'acquisto, cioè i livelli di sovranità.
I quattro livelli, spiegati a un CdA
Il cuore della proposta è una scala di requisiti per chi vende servizi cloud al settore pubblico. Semplificando il testo della proposta:
- Livello 1 — requisiti minimi: sicurezza di base e trasparenza. Nessun vincolo di proprietà. È il livello d'ingresso, e quasi tutti i grandi provider lo soddisfano già.
- Livello 2 — requisiti progressivi su localizzazione dei dati nell'Unione e trasparenza della catena di fornitura.
- Livello 3 — proprietà e controllo europei del fornitore. Con una porta socchiusa: la Commissione potrà certificare strutture di provider extra-UE che adottano salvaguardie forti — il modello delle joint venture come S3NS (Google-Thales) in Francia.
- Livello 4 — il livello che fa notizia. Riservato alle funzioni critiche dello Stato: difesa, sicurezza, giustizia, infrastrutture essenziali. Proprietà europea, personale europeo, catena software trasparente e verificabile, e soprattutto nessuna esposizione a giurisdizioni extra-UE. In concreto: se il fornitore risponde al CLOUD Act americano o a FISA 702, il livello 4 gli è precluso per costruzione.
Quel quarto livello è una presa di posizione istituzionale su un dibattito che andava avanti da anni: la Commissione ha messo nero su bianco che la geografia del datacenter non basta. Conta la giurisdizione di chi lo opera. Ne parliamo in dettaglio — con il caso Microsoft Sovereign Cloud — in un articolo dedicato.
A chi si applica davvero
Il perimetro diretto è la pubblica amministrazione e i suoi fornitori. Ma "fornitori della PA" è una categoria molto più larga di quanto sembri: ci entrano le società di consulenza, i system integrator, le software house che vendono SaaS a comuni e ASL, le agenzie che gestiscono portali pubblici.
Se la tua azienda è in quella filiera — anche come subfornitore — il livello di sovranità del tuo stack diventerà un requisito di gara. Non nel 2026: la proposta deve attraversare il negoziato tra Parlamento e Consiglio, e con i tempi tipici dell'iter legislativo europeo l'applicazione operativa è attesa tra il 2028 e il 2029. Ma le gare pubbliche hanno la memoria lunga: chi prepara l'architettura adesso arriva alla prima gara con i requisiti già in tasca.
Cosa può farne una PMI oggi
Nessun adempimento. Ma tre usi concreti, da subito:
Come checklist di valutazione fornitori. I quattro livelli sono domande che puoi fare oggi al tuo provider cloud o al tuo fornitore AI: chi possiede l'entità giuridica che opera il servizio? Dove sono i dati, e chi può accedervi da fuori? La catena software è verificabile? Quanto costa uscire? Sono le stesse domande che facevamo in IaaS, PaaS e SaaS per l'AI — adesso hanno un riferimento normativo.
Come argomento commerciale. Se vendi servizi digitali e il tuo stack è già sovrano — infrastruttura europea, software open source, dati nel perimetro — da oggi hai un'etichetta istituzionale da mettere sulle offerte. "Allineato ai requisiti di sovranità del Cloud and AI Development Act" pesa più di dieci slide sulla privacy.
Come criterio di progetto per l'AI. È il punto che ci riguarda da vicino. Ogni progetto AI che parte nel 2026 vivrà almeno fino al 2030: farlo nascere su un'architettura che il quadro regolatorio europeo sta classificando come dipendenza da ridurre è una scelta che andrà spiegata, prima al CdA e poi forse a un auditor. L'alternativa esiste e la pratichiamo ogni giorno: modelli open-weight su infrastruttura propria o privata europea, dove il livello di sovranità non è una certificazione da comprare ma una proprietà dell'architettura.
La lettura strategica
Il CADA non farà sparire gli hyperscaler americani dall'Europa, e non è il suo scopo. Il suo scopo è creare una domanda pubblica garantita per il cloud europeo — la stessa mossa che gli Stati Uniti fanno da decenni con il procurement federale — e dare al mercato un linguaggio per prezzare il rischio giurisdizionale.
Per le PMI italiane il messaggio pratico è meno geopolitico e più contabile: la sovranità del dato sta passando da argomento di nicchia a requisito di mercato, con tanto di scala a quattro livelli. Chi la tratta come un vincolo la subirà nel 2028. Chi la tratta come una specifica di progetto, da oggi, se la ritroverà come vantaggio competitivo.
Noi stiamo dalla seconda parte: i nostri prodotti nascono su infrastruttura europea, open source, con i dati che non escono dal perimetro del cliente. Se vuoi capire a che livello della scala sta il tuo stack attuale — e cosa servirebbe per salire — parliamone.
FAQ
Il Cloud and AI Development Act riguarda anche le aziende private?
Direttamente no: la proposta si applica alla pubblica amministrazione e ai suoi fornitori. Ma chi vende alla PA — anche come subfornitore SaaS — entrerà nel perimetro, e i quattro livelli diventeranno un criterio di valutazione anche nelle gare private.
Quando entra in vigore il CADA?
È una proposta legislativa presentata il 3 giugno 2026: deve passare il negoziato tra Parlamento e Consiglio. Con i tempi tipici dell'iter UE, l'applicazione operativa è attesa tra il 2028 e il 2029.
Cosa prevede il livello 4 di sovranità?
Il livello più alto, riservato a difesa, sicurezza, giustizia e infrastrutture critiche: proprietà e controllo europei, catena software trasparente e verificabile, nessuna esposizione a normative extra-UE come il CLOUD Act o FISA 702.
Una PMI italiana deve fare qualcosa adesso?
Nessun obbligo immediato. Ma i quattro livelli sono già oggi una checklist gratuita per valutare i fornitori: chi possiede il provider, sotto quale giurisdizione opera, quanto è trasparente la filiera. Chi sceglie ora un'architettura sovrana si troverà avanti quando i livelli diventeranno requisiti.
