Con il pacchetto sulla sovranità tecnologica presentato il 3 giugno 2026, la Commissione europea prova a portare la politica digitale su un terreno più industriale. Il dossier riguarda le infrastrutture su cui si regge l’economia digitale: semiconduttori, cloud, data centre, software open source, capacità di calcolo ed energia.
Il pacchetto comprende due proposte legislative, il Cloud and AI Development Act e il Chips Act 2.0, e due iniziative di policy, la EU Open Source Strategy e la Strategic Roadmap for Digitalisation and AI in Energy. La finalità è rafforzare la capacità europea in settori critici e ridurre dipendenze da fornitori extra-Ue. Per imprese e operatori regolati, però, il tema non resta confinato alla politica industriale. Può incidere su procurement, contratti, gestione dei fornitori, continuità operativa e valutazione del rischio.
Il Cloud and AI Development Act è probabilmente il tassello più vicino a banche, assicurazioni e operatori energetici. La proposta interviene su tre piani: ricerca e innovazione in cloud e AI, aumento della capacità infrastrutturale e introduzione di un quadro europeo sulla sovranità dei servizi cloud e AI. Tra gli obiettivi indicati dalla Commissione vi è quello di almeno triplicare la capacità dei data centre nell’Unione nei prossimi cinque-sette anni, semplificando autorizzazioni e accesso a risorse essenziali.
Il profilo più operativo è il framework di “cloud and AI sovereignty”, articolato in quattro livelli di garanzia. Il livello 1 riguarda servizi in cui i dati sono trattati e conservati nell’Unione. Il livello 2 richiede indipendenza da Paesi terzi e trasparenza sulla supply chain software. Il livello 3 presuppone proprietà e controllo dall’Ue, con ulteriori criteri, pur con possibile riconoscimento di provider di Paesi terzi. Il livello 4 richiede piena trasparenza e controllo della supply chain software e assenza di interferenze da Paesi terzi.
Il meccanismo nasce in primo luogo per il settore pubblico, attraverso valutazioni di rischio e criteri di procurement. È tuttavia realistico attendersi che il nuovo linguaggio della sovranità cloud finisca per influenzare anche il mercato privato, soprattutto nei settori critici. Nei comparti finanziario, assicurativo ed energetico, la scelta di un cloud provider o di un servizio AI è già oggi una decisione di resilienza operativa. Il nuovo quadro europeo potrà diventare un riferimento aggiuntivo nella due diligence sui fornitori, in particolare quando il servizio supporta funzioni essenziali o importanti.
Per gli intermediari finanziari, il collegamento con DORA è immediato. DORA non impone una preferenza geografica per i fornitori, ma richiede una gestione strutturata del rischio ICT di terza parte: concentrazione, subfornitura, continuità, audit, accesso alle informazioni, exit strategy e sorveglianza dei provider critici. Le categorie della sovranità cloud possono arricchire la matrice di rischio con indicatori su controllo societario, dipendenze extra-Ue, catena software, accessi amministrativi e interferenze di Paesi terzi.
Per le assicurazioni il ragionamento è simile. Cloud, analytics e AI sono sempre più presenti in underwriting, pricing, claims handling, fraud detection e customer operations. In questi contesti la sovranità dell’infrastruttura non è un concetto astratto. Nei contratti occorrerà verificare chi può accedere al servizio, modificarlo, interromperlo, sostituirlo o condizionarlo, e quali rimedi siano disponibili.
Il Chips Act 2.0 completa il quadro sul lato hardware. La Commissione riconosce la dipendenza dell’Unione da Paesi terzi in aree come produzione avanzata e progettazione dei semiconduttori. La proposta mira a rafforzare ricerca, industrializzazione, progetti strategici, domanda pubblica e risposta alle crisi. Per le imprese, la resilienza tecnologica dovrà essere valutata lungo tutta la catena: chip, componenti, sistemi operativi, librerie open source, modelli AI, cloud, reti e servizi gestiti.
Questa lettura verticale ha conseguenze contrattuali concrete. Nei progetti cloud, AI, IoT, cybersecurity, pagamenti e smart grid, la dipendenza può trovarsi in punti diversi della catena, non sempre visibili al cliente. Le clausole standard su audit e subfornitura rischiano di essere deboli se non sono accompagnate da obblighi verificabili su trasparenza della supply chain, change control, business continuity, vulnerability management, sostituibilità e rimedi in caso di shock geopolitici.
La EU Open Source Strategy aggiunge un elemento spesso sottovalutato. L’open source viene collocato al centro della sovranità tecnologica europea, come leva di interoperabilità, riduzione del lock-in, riuso e controllo sui componenti critici. La strategia punta su procurement open-source friendly, manutenzione delle dipendenze critiche, stewardship, security baselines, standardizzazione e building block in cloud, AI, cybersecurity, identità digitale e semiconduttori.
Per gli operatori regolati, questo richiede una governance più matura del software. Inventari, SBOM, policy di approvazione, monitoraggio delle vulnerabilità e ripartizione delle responsabilità diventano parte della gestione ordinaria del rischio tecnologico. L’open source va quindi gestito con tracciabilità, manutenzione e presidio contrattuale, non trattato come un semplice tema di licenza.
La roadmap su digitalizzazione e AI nel settore energia mostra anche la dimensione fisica del problema. La Commissione collega la crescita di AI e data centre alla capacità del sistema energetico, alla flessibilità della domanda, alla gestione delle reti e alla cybersecurity delle infrastrutture critiche. Sono previste iniziative per integrare i data centre nel sistema energetico in modo sostenibile, attraverso accordi tripartiti tra operatori di data centre, operatori energetici e autorità pubbliche, e il progetto AI.grids per la gestione delle reti.
Per gli operatori energetici, cloud e AI diventano parte dell’architettura critica del servizio. Nei contratti e nei programmi di trasformazione digitale sarà necessario disciplinare interoperabilità, accesso ai dati, portabilità, audit tecnico, cybersecurity, controllo sui modelli, continuità e coordinamento con gestori di rete e autorità. Il tema energetico inciderà anche su localizzazione dei data centre e sostenibilità economica dei servizi AI.
Il pacchetto apre inoltre un fronte competitivo. Alcune associazioni europee del cloud hanno accolto il CADA come un passo verso maggiore autonomia, chiedendo però definizioni robuste per evitare forme di “sovereignty washing”. Altri osservatori segnalano il rischio opposto: criteri troppo chiusi potrebbero ridurre scelta, aumentare costi e creare tensioni con partner commerciali affidabili. La proposta dovrà trovare un equilibrio non semplice tra autonomia, apertura del mercato e sicurezza giuridica.
Per le imprese, la lettura più utile è pratica. La sovranità tecnologica non coincide con un obbligo generalizzato di scegliere fornitori europei. Indica piuttosto la capacità di conoscere e governare le dipendenze tecnologiche che sostengono processi critici. Servono mappature granulari, due diligence tecniche, clausole verificabili e una governance capace di collegare legal, procurement, compliance, risk management, IT e business.
La direzione è visibile. La sovranità tecnologica europea entrerà progressivamente nei capitolati, nei contratti, nei controlli interni e nelle decisioni di investimento. Le imprese che la tratteranno come tema solo geopolitico rischiano di sottovalutarne l’impatto operativo. Quelle che la tradurranno in criteri di governance, procurement e resilienza potranno ridurre l’esposizione a dipendenze non governate e negoziare meglio i propri progetti digitali.
_________
*Alessandro Ferrari, Partner DLA Piper – Head of Technology Sector