Il 3 giugno scorso la Commissione europea ha presentato la proposta di Regolamento Cloud and AI Development Act, parte del più ampio Tech Sovereignty Package e concepita in continuità con il Piano d’azione per il continente dell’IA del 9 aprile 2025. Secondo la Commissione, la quota dei fornitori europei nel mercato cloud sarebbe scesa dal 29% del 2017 a circa il 15% del 2022, a conferma della dipendenza da un numero limitato di fornitori extra-UE che, insieme alla disponibilità limitata e concentrata di capacità computazionale e data centre nell’Unione, costituisce la criticità posta a fondamento della Proposta. Ne derivano due obiettivi generali, competitività dell’ecosistema europeo e armonizzazione del mercato interno, perseguiti lungo quattro direttrici, ora all’esame di Parlamento e Consiglio.
La prima direttrice riguarda le Cloud and AI Leadership Initiatives, istituite dal Titolo II per promuovere ricerca, innovazione e capacità su larga scala nell’ecosistema cloud e IA europeo: data centre di nuova generazione ad alta efficienza energetica e potenziamento dell’IA avanzata, fisica e industriale nei settori strategici (sanità, energia, difesa, spazio). Agli Stati membri spetta l’istituzione di Experience and Acceleration Centres for AI, per diffondere cloud e IA presso PMI e PA, e l’adozione di strategie nazionali su infrastrutture, data centre e procurement innovativo.
La seconda direttrice riguarda le Data Centre Acceleration Zones: il Titolo III prevede che ciascuno Stato membro, ove sia in corso il deployment di capacità data centre nel loro territorio, designi, entro sei mesi dall’entrata in vigore, almeno una zona dedicata ai data centre, tenendo conto di disponibilità energetica, connettività e sostenibilità ambientale. Al suo interno le procedure autorizzative sono semplificate, con un tetto massimo di 12 mesi dalla domanda completa, ed è richiesta una pianificazione energetica attenta a fonti pulite e recupero del calore residuo. La Commissione potrà infine qualificare determinati progetti come strategici, con accesso a misure di sostegno supplementari.
Il nodo più delicato della proposta è, però, la terza direttrice, ossia quella del quadro europeo per la sovranità del cloud. La proposta istituisce lo Union cloud computing sovereignty framework, articolato in quattro livelli crescenti di garanzia, secondo i criteri previsti dall’Allegato II. Il primo livello si fonda su autovalutazione e dichiarazione UE di conformità, automaticamente riconosciuta per le PMI in tutti gli Stati membri, mentre i livelli 2, 3 e 4 richiedono un audit di un organismo indipendente, con riconoscimento valido in tutta l’Unione e iscrizione in un registro pubblico.
Ai sensi dell’art. 18, i fornitori extra-UE accedono al livello 3 solo se il proprio Paese garantisce, tra l’altro, una decisione di adeguatezza GDPR e l’assenza di misure incompatibili con l’accesso lecito ai dati non personali. L’enforcement spetta allo Stato membro dello stabilimento principale del fornitore, con sanzioni dissuasive e diritto al risarcimento per i danneggiati. Gli artt. 29 e 30 riguardano principalmente la domanda pubblica, prevedendo risk assessments da parte di Stati membri e Union entities per individuare le attività cloud rilevanti per l’ordine pubblico e il relativo livello di garanzia; per le entità private dell’Annex I della Direttiva NIS2, l’art. 31 non introduce invece un obbligo generalizzato immediato, ma consente assessment analoghi e demanda a possibili atti delegati della Commissione l’eventuale definizione di impact assessments e misure di mitigazione per i settori di alta criticità.
La quarta e ultima direttrice riguarda il procurement pubblico e l’open source: la proposta impone criteri qualitativi non basati sul prezzo per valutare il contributo all’ecosistema europeo, con l’obiettivo che il 25% degli appalti sia aggiudicato a PMI innovative, e istituisce l’EuroCloud Federation, federazione volontaria per la condivisione di infrastrutture tra enti pubblici. Gli articoli 41 ss. promuovono, inoltre, l’open source nella PA, tramite un catalogo europeo delle soluzioni e una rete di Open Source Programme Offices nazionali.
Il CADA evidenzia come la governance dell’intelligenza artificiale si stia progressivamente spostando oltre la sola regolazione dei modelli e dei relativi rischi, includendo anche le condizioni infrastrutturali, organizzative e istituzionali che ne rendono possibile l’impiego: la titolarità e il controllo delle infrastrutture, la localizzazione del trattamento dei dati, la scelta dei fornitori a supporto delle funzioni pubbliche e il ruolo degli appalti pubblici come leva per rafforzare la capacità tecnologica europea.
È plausibile che l’iter legislativo ordinario si sviluppi in due o tre anni e, quindi, le prime obbligazioni concrete per PA e fornitori difficilmente arriveranno prima del 2028-2029. Nel frattempo, la proposta ha già raccolto reazioni contrastanti: è stata, infatti, ritenuta discriminatoria verso i fornitori extra-UE da alcuni stakeholder (come, ad esempio, l’associazione CCIA Europe), mentre in sede istituzionale si richiama l’esigenza di coniugare autonomia strategica, semplificazione e attrattività per gli investimenti.
________
*Rebecca Pupella, POLLICINO & PARTNERS AIDVISORY

