Il cloud europeo ha perso metà mercato
Il cloud europeo è passato dal 29% al 15% del mercato. Bruxelles risponde con un pacchetto per la sovranità tecnologica.
La consultazione pubblica sulla sovranità dei dati resterà aperta fino all’8 settembre 2026
Nel 2017, tre servizi cloud su dieci in Europa giravano su provider locali. Cinque anni dopo, la quota era scesa a uno su sette: secondo la Commissione, i fornitori europei sono passati dal 29% del mercato cloud continentale nel 2017 ad appena il 15% nel 2022. È questa frattura numerica, più che una preoccupazione geopolitica astratta, ad aver spinto Bruxelles a varare il Pacchetto per la Sovranità Tecnologica e ora a mettere in consultazione una misura specifica sulla sovranità dei dati, aperta fino alle 23:59 CEST dell’8 settembre 2026 e accessibile tramite la pagina ufficiale della consultazione mirata. Ma cosa prevede esattamente il piano per invertire la rotta?
L’architettura del pacchetto: chip, cloud e codice aperto
Il pacchetto presentato lo scorso 3 giugno si articola in tre assi, ciascuno dei quali cerca di colmare un punto di dipendenza diverso lungo la catena tecnologica. Il primo è il Chips Act 2.0, che aggredisce il livello più basso dello stack: il silicio. Senza controllo sulla produzione di semiconduttori, qualunque discorso sulla sovranità del software rischia di restare teorico — è la lezione che l’Europa ha imparato a proprie spese durante la crisi dei chip degli anni scorsi. Il secondo asse è il Cloud and AI Development Act, che affronta il livello infrastrutturale: le regole su dove e come vengono processati ed eseguiti carichi di lavoro cloud e AI. Il terzo è la Open Source Strategy, che punta invece sul livello del codice, provando a ridurre la dipendenza da stack proprietari chiusi. Il pacchetto — riporta la nota ufficiale della Commissione — include esplicitamente queste tre componenti.
Non è la prima volta che l’UE prova a costruire un mercato unico dei dati. Il tentativo era partito già nel febbraio 2020 con la strategia europea per i dati, che aveva posto le basi normative per l’attuale impianto, secondo quanto ricostruisce un’analisi dell’IAPP. Da lì è arrivato il Data Governance Act, applicabile dal settembre 2023, che ha introdotto meccanismi per la condivisione fiduciaria dei dati tra pubblico e privato. Il tassello più recente è la Data Union Strategy, pubblicata a novembre 2025, che ha fissato tre aree prioritarie tra cui, appunto, la salvaguardia della sovranità dei dati — un obiettivo che oggi trova sviluppo pratico nella Data Union Strategy stessa e nella consultazione in corso.
Quello che rende interessante questo impianto, dal punto di vista tecnico, è la scelta di puntare sull’open source non come gesto ideologico ma come contromisura architetturale al lock-in. Un fornitore cloud proprietario, per costruzione, incorpora dipendenze non portabili: API custom, formati di storage chiusi, servizi gestiti che non hanno equivalenti su altre piattaforme. L’open source, al contrario, abilita per definizione la portabilità del codice e, in teoria, dei dati. È lo stesso principio dietro standard come OCI (Open Container Initiative) o Kubernetes, che hanno reso il deployment multi-cloud tecnicamente praticabile proprio perché non legato a un singolo vendor. Aprire lo sviluppo all’open source è quindi una scelta di design, non solo politica. Ma quali sono le implicazioni per chi scrive codice oggi in Europa?
Sovranità come requisito di sistema: cosa cambia per chi sviluppa
La consultazione aperta fino a settembre è l’occasione per i tecnici di modellare l’implementazione concreta delle regole. Ma già oggi alcune linee di forza sono chiare, e la più significativa riguarda il modo in cui il concetto di sovranità sta migrando da requisito legale a vincolo architetturale. Un’analisi legale dello studio Akin Gump conferma che il pacchetto — di cui questa consultazione sulla sovranità dei dati è un tassello complementare — è pensato esplicitamente per ridurre la dipendenza da tecnologia statunitense e non UE. Questo significa che chi progetta un’infrastruttura cloud destinata al mercato europeo dovrà iniziare a considerare, insieme a latenza, costi e disponibilità, anche la giurisdizione effettiva dei dati e la catena di controllo sui componenti hardware e software sottostanti.
Non è un dettaglio da poco per chi lavora su sistemi distribuiti. Significa, in pratica, valutare dove risiedono fisicamente i data center, chi ha accesso amministrativo alle chiavi di cifratura, quali licenze governano i componenti open source integrati nello stack e se i fornitori di infrastruttura sono soggetti a normative extraterritoriali come il CLOUD Act statunitense. Un’analisi approfondita del Cloud and AI Development Act mostra come questi elementi stiano diventando criteri di conformità veri e propri, non semplici preferenze architetturali.
C’è poi un fronte meno visibile ma altrettanto concreto: quello commerciale. Il rapporto NTE (National Trade Estimate) statunitense del 2025 conteneva già 12 voci dedicate alla localizzazione dei dati a livello nazionale e alcune sezioni specifiche sul cloud riguardanti Cina, Corea del Sud e UE, come ricostruisce un’analisi pubblicata sul sito di Michael Geist. Nella versione 2026 dello stesso rapporto, questa copertura si è ampliata in modo netto: Washington ora tratta le iniziative europee di sovranità dei dati apertamente come barriere commerciali. È un segnale che la posta in gioco tecnica — dove girano i workload, chi li controlla, con quali standard — si sta trasformando in un terreno di frizione diplomatica, e che le scelte architetturali dei team di sviluppo europei finiranno inevitabilmente sotto osservazione anche fuori dai confini UE.
Per chi costruisce servizi in Europa, la sovranità non è più un’opzione normativa: sta diventando una specifica architetturale, al pari di disponibilità, scalabilità e sicurezza. Ignorarla, da qui in avanti, significa semplicemente progettare fuori stack.