Mariateresa Quattrone
L’Unione europea compie un passo decisivo verso l’autonomia digitale. La Commissione ha presentato il Cloud and AI Development Act, il nuovo quadro normativo che introduce criteri comuni di sovranità tecnologica per i servizi cloud utilizzati dalle amministrazioni pubbliche e dalle infrastrutture critiche. L’obiettivo è ridurre la dipendenza dell’Ue dai fornitori extraeuropei e rafforzare la sicurezza dei dati e la continuità operativa.
Il cuore del provvedimento è un sistema di classificazione a quattro livelli di garanzia (“Union Assurance Levels”), pensato per valutare il grado di protezione offerto dai servizi cloud rispetto a rischi come: accessi non autorizzati da Paesi terzi; interruzioni o compromissioni del servizio; perdita di autonomia operativa; esposizione di dati sensibili. Il livello 1 rappresenta la soglia minima comune per tutto il settore pubblico europeo. I livelli 2, 3 e 4 introducono requisiti progressivamente più stringenti, con verifiche indipendenti e standard più elevati di sicurezza e resilienza.
Il livello 3 potrà essere riconosciuto anche a fornitori di Paesi terzi considerati “affidabili”, a condizione che garantiscano tutele adeguate in materia di protezione dei dati e non siano soggetti a obblighi normativi incompatibili con il diritto europeo. Il livello 4, il più alto, sarà riservato ai servizi più sensibili: difesa, sicurezza nazionale, gestione delle frontiere, giustizia e infrastrutture essenziali.
La scelta del livello di garanzia non sarà automatica: spetterà agli Stati membri e alle istituzioni europee effettuare una valutazione dei rischi basata sulla natura dei dati trattati, sulla probabilità di accessi da Paesi terzi e sulle conseguenze di eventuali interruzioni del servizio. Bruxelles sottolinea che il sistema segue un principio di proporzionalità: non tutti i servizi pubblici richiederanno il livello massimo di protezione, ma ogni amministrazione dovrà motivare la propria scelta in base al profilo di rischio.
Il Cloud and AI Development Act non si limita alla classificazione dei servizi. Tra gli obiettivi figurano: triplicare la capacità dei data center europei nei prossimi 5–7 anni; sostenere la strategia Apply AI per accelerare l’adozione dell’intelligenza artificiale nel settore pubblico e privato; semplificare le procedure per la costruzione di nuovi data center nell’Ue; promuovere tecnologie avanzate e sostenibili, con attenzione all’efficienza energetica e alla transizione digitale e verde.
Secondo la Commissione, le attuali dipendenze strategiche espongono l’Europa a rischi significativi per il controllo dei dati, la sicurezza economica e la resilienza delle infrastrutture critiche. Il nuovo quadro normativo punta a colmare questo divario, creando un ecosistema cloud europeo più sicuro, competitivo e integrato.
