La Commissione europea ha presentato il Cloud and AI Development Act, una proposta normativa volta a ridurre la dipendenza dell’Unione Europea dai fornitori esterni di servizi cloud. Il testo introduce un quadro di sovranità tecnologica destinato a guidare le amministrazioni pubbliche nelle scelte di appalto e nell’uso dei servizi digitali.
Oggi la stragrande maggioranza dei servizi cloud utilizzati in Europa – da privati, aziende e pubbliche amministrazioni – è gestita da aziende americane: Amazon Web Services, Microsoft Azure, Google Cloud. Questo significa che dati sensibili, infrastrutture e sistemi pubblici europei operano su server controllati da società non europee, soggette a leggi straniere, come il Cloud Act americano, che consente al governo USA di richiedere l’accesso ai dati.
Bruxelles sottolinea che tali dipendenze espongono l’Unione a rischi legati al controllo dei dati, alla continuità operativa e alla sicurezza economica.
In cosa consiste il Cloud and AI Development Act
La proposta, nota come Cloud and AI Development Act, prevede quattro livelli di garanzia, denominati “Union Assurance Levels”, per classificare i servizi cloud in base al grado di protezione offerto contro accessi non autorizzati, interruzioni del servizio, perdita di autonomia e compromissione delle informazioni riservate. Il livello 1 rappresenta il requisito minimo per il settore pubblico europeo e garantisce una tutela di base. I livelli successivi, dal 2 al 4, introducono criteri progressivamente più rigorosi e prevedono verifiche indipendenti da parte di enti terzi. Il livello 3 può essere assegnato anche a operatori di Paesi terzi considerati affidabili, purché offrano adeguate garanzie sul trattamento dei dati e non siano soggetti a obblighi incompatibili con il diritto europeo. Il livello 4, il più elevato, è invece riservato ai servizi destinati ad attività pubbliche critiche, come difesa, sicurezza nazionale, gestione delle frontiere, giustizia e infrastrutture essenziali.
Questa classificazione serve a differenziare le esigenze in base alla sensibilità e alla criticità delle funzioni pubbliche supportate dai servizi cloud.
La strategia Apply AI e la valutazione dei rischi
La decisione sul livello di garanzia spetta però agli Stati membri e alle istituzioni europee, che dovranno valutare i rischi legati all’attività specifica. La Commissione sottolinea che il sistema si basa sul principio di proporzionalità: non tutti i servizi pubblici richiederanno i livelli più elevati di sicurezza, ma ogni amministrazione dovrà considerare la natura e la criticità dei dati trattati, il rischio di accessi non autorizzati da Paesi terzi e le conseguenze di eventuali interruzioni del servizio.
L’iniziativa fa parte di un pacchetto più ampio per rafforzare le infrastrutture digitali europee, con l’obiettivo di triplicare la capacità dei data center comunitari entro cinque-sette anni e sostenere la strategia Apply AI, che punta ad accelerare lo sviluppo e l’adozione dell’intelligenza artificiale in Europa. Il provvedimento include anche misure per supportare la ricerca e l’innovazione nelle tecnologie avanzate e sostenibili, e prevede procedure semplificate per la costruzione di nuovi data center nell’UE, con attenzione all’efficienza energetica e alla transizione verso modelli digitali e ambientali più sostenibili.