Nel processo di transizione al digitale, la gestione e il controllo dei dati rappresentano una delle principali sfide per governi, imprese e cittadini. L’Unione Europea parla sempre più di "sovranità digitale" e "sovranità dei dati", ma realmente quali sono i margini di autonomia che abbiamo, in un contesto dominato da big tech non europee?

Sovranità digitale: cosa è e perché impatta su tutti noi

In passato, i Paesi si sono interrogati su chi controllasse il carbone, il petrolio o il gas in quanto chi controlla la materia prima controlla il mercato e di conseguenza controlla indirettamente i governi. Oggi, la domanda è: chi controlla i dati? Non si tratta solo di privacy, ma di potere economico, continuità democratica e autonomia strategica.

Il concetto di sovranità digitale va ben oltre la cybersicurezza e la privacy. Indica la capacità di uno Stato o di un’organizzazione di esercitare un controllo effettivo sui propri dati, infrastrutture tecnologiche e sistemi digitali, in linea con le leggi, i valori e gli interessi nazionali o comunitari.

Oggi gran parte delle infrastrutture digitali su cui girano i nostri dati, inclusi quelli sensibili come cartelle cliniche, transazioni bancarie, dati e immagini personali — transitano o sono custoditi da aziende extra-UE, prevalentemente statunitensi (Amazon, Microsoft, Google) e cinesi (Huawei, Alibaba Cloud).  Non è solamente un problema di dove è collocata l'infrastruttura, ma di quale tecnologia (hardware e software) è composta, con quale tecnologia comunica e con quale tecnologia è protetta. Questa situazione è conosciuta come d ipendenza tecnologica strutturale. 

In particolare, dai dati del 2024, emerge che Amazon Web Services (AWS), Microsoft Azure e Google Cloud controllano oltre il 66% del mercato europeo del cloud, mentre solo il 12% è gestito da operatori europei (come OVHcloud o Deutsche Telekom).

Questa asimmetria ha implicazioni dirette sugli Stati e sui cittadini. Ovvero impatti di tipo:

• Economico: le imprese europee pagano licenze e servizi a soggetti stranieri.
• Giuridico: le leggi UE rischiano di essere aggirate da pratiche contrattuali opache. Inoltre, il Cloud Act statunitense (2018) consente al governo USA di obbligare provider americani a fornire accesso a dati conservati anche al di fuori del territorio nazionale. 
• Strategico: in caso di crisi geopolitica, la disponibilità e continuità di accesso ai dati non è garantita. A tal fine ricordiamo che esiste la concreta possibilità di spegnere le tecnologie a distanza, rendendole scatole vuote.

 

Alcuni progetti europei

GAIA-X: il cloud europeo federato: è una delle risposte europee più ambiziose: un progetto per creare uno spazio dati federato in cui i servizi cloud siano interconnessi ma regolati secondo standard condivisi (interoperabilità, trasparenza, sicurezza). Lanciato da Francia e Germania nel 2020, GAIA-X ha l’obiettivo di:

• Ridurre la dipendenza tecnologica dall’estero.
• Promuovere operatori europei affidabili.
• Offrire soluzioni certificate “trusted cloud”.

Polo Strategico Nazionale (PSN): è il tentativo italiano di Sovereign Cloud, ovvero un’infrastruttura cloud nazionale progettata per ospitare dati e servizi digitali critici (sanità, finanza, sicurezza) su suolo italiano e sotto giurisdizione nazionale. Tuttavia, a differenza del progetto di GAIA-X, il PSN utilizza ambienti AWS, Google e Azure, con l'unico vincolo che è il PSN (e non i provider esteri) a gestisce le chiavi di cifratura dei dati.

 

Sovranità e innovazione sono in conflitto?

Uno dei falsi miti è che la sovranità digitale implichi chiusura tecnologica, protezionismo o inefficienza. In realtà, questa deve essere il tentativo di adottare standard europei aperti (open source, crittografia trasparente, interoperabilità). Se la sovranità digitale implica investimenti in ricerca e sviluppo e in ambito open allora può favorire l’innovazione ed evitare il lock-in tecnologico, stimolando la competitività per offrire alternative sicure alle piattaforme dominanti.