Da oggi in poi per i Cloud Provider non basterà più dire “garantiamo la sovranità digitale perché abbiamo i data center in Europea”. Servirà la calcolatrice alla mano per dimostrare, finalmente, attraverso “il Sovereignty Score” i livelli di garanzia dell’efficacia della sovranità, che vanno dal livello 0 (nessuna sovranità) a SEAL-4 (piena sovranità digitale sotto il controllo dell’UE).
Il punteggio della Sovranità per i Cloud è contenuto nel Cloud Sovereignty Framework pubblicato dalla Commissione Europea: si tratta di un documento agile di sole 8 pagine, con il quale la sovranità digitale, in tempi di sovereignty-washing, diventa misurabile.
E le offerte cloud che non raggiungono il livello minimo in tutti gli obiettivi indicati dalla Commissione Europea in questo framework vengono respinte.
Si stabilisce così una base di riferimento per i futuri appalti pubblici di servizi cloud in Europa e garantisce una maggiore autonomia e compliance alle normative europee.
Si tratta, senz’altro, di un importante passo avanti nella creazione di un ecosistema cloud affidabile, sicuro e sovrano nell’UE. Il livello minimo richiesto per ciascun obiettivo sarà indicato in ogni bando.
Poi capiremo il reale effetto di questa iniziativa della Commissione, con la quale si dà il via al Cloud sovrano europeo auspicato da Mario Draghi nel suo Rapporto “il Futuro della Competitività per la Ue” e si basa su iniziative europee come il Trusted Cloud Referential v2 di CIGREF, le regole politiche e l’architettura di Gaia-X, e il Quadro Europeo di Certificazione della Cybersecurity (ENISA, NIS2, DORA).
Riflette inoltre le lezioni tratte dalle strategie nazionali di sovranità cloud, ad esempio, il “Cloud de Confiance” della Francia e la “Souveräner Cloud” della Germania.
Come si misura la sovranità digitale per chi offre soluzioni cloud:
Il Cloud Sovereignty Framework indica 8 criteri, 4 livelli e un punteggio finale: il massimo è 20/20
La valutazione comprende due componenti:
- Livello di Garanzia di Efficacia della Sovranità (SEAL): il livello minimo di garanzia richiesto per ciascun obiettivo di sovranità.
- Punteggio di Sovranità (Sovereignty Score): calcolato in base alla formula fornita nella Sezione 5 e utilizzato come criterio di aggiudicazione per confrontare le offerte.
Gli 8 criteri della “maturità sovrana”
Il documento propone 8 criteri raggruppati in 4 grandi blocchi:
- Governance e controllo – Chi decide, dove e sotto quale giurisdizione?
- Infrastruttura e gestione – Dove sono i tuoi server, chi li gestisce, chi può accedervi?
- Protezione dei dati – Quale legge si applica, soprattutto se un procuratore americano si sveglia con un mandato Cloud Act?
- Autonomia tecnologica – Sai cambiare fornitore, migrare o sviluppare internamente se necessario?
Ogni criterio si annota su 4 livelli di sovranità:
Del “cloud colonizzato” (livello 1) al “cloud padrone del suo destino” (livello 4). E alla fine si ottiene un Sovereignty Score.
I 3 Livelli di Garanzia di Efficacia della Sovranità (SEAL)
| Livello | Descrizione |
| SEAL-0 | Nessuna Sovranità: servizio o tecnologia sotto il controllo esclusivo di terze parti non UE, interamente soggetto a giurisdizioni extra-UE. |
| SEAL-1 | Sovranità Giurisdizionale: la legge UE si applica formalmente, ma con scarsa applicabilità pratica; il controllo resta di soggetti extra-UE. |
| SEAL-2 | Sovranità dei Dati: la legge UE è applicabile ed esecutiva, ma rimangono dipendenze materiali da paesi non UE. |
| SEAL-3 | Resilienza Digitale: la legge UE è applicabile ed esecutiva, gli attori UE hanno influenza significativa ma non totale. |
| SEAL-4 | Piena Sovranità Digitale: tecnologia e operazioni sotto pieno controllo UE, soggette esclusivamente alla legge europea, senza dipendenze critiche da paesi terzi. |
Gli 8 criteri della sovranità digitale del cloud
I fattori di valutazione includono:
SOV-1 – Sovranità Strategica
- Autorità decisionali situate nell’UE.
- Garanzie contro cambi di controllo societario.
- Finanziamento da fonti UE.
- Contributo all’economia e all’occupazione europea.
- Partecipazione a iniziative UE e coerenza con le strategie digitali e verdi.
- Capacità di mantenere il servizio in caso di pressioni o ritiri di supporto.
SOV-2 – Sovranità Legale e Giurisdizionale
- Sistema legale che governa le operazioni del fornitore.
- Esposizione a leggi extra-UE (es. CLOUD Act USA).
- Canali legali o tecnici che potrebbero permettere accesso non UE ai dati.
- Giurisdizione dei diritti di proprietà intellettuale.
SOV-3 – Sovranità dei Dati e dell’IA
- Controllo esclusivo del cliente sulle chiavi crittografiche.
- Tracciabilità e auditabilità degli accessi ai dati e ai modelli di IA.
- Archiviazione ed elaborazione esclusivamente in giurisdizioni europee.
- Modelli e pipeline IA sviluppati e gestiti sotto controllo UE.
SOV-4 – Sovranità Operativa
- Facilità di migrazione verso soluzioni alternative UE.
- Possibilità di gestione tecnica senza coinvolgimento extra-UE.
- Personale qualificato basato nell’UE.
- Documentazione e know-how tecnico completo.
- Controllo legale sui fornitori critici.
SOV-5 – Sovranità della Catena di Fornitura
- Origine geografica dei componenti hardware.
- Provenienza del codice embedded e firmware.
- Provenienza del software e dei processi di aggiornamento.
- Visibilità su fornitori e subfornitori, con diritti di audit.
SOV-6 – Sovranità Tecnologica
- Uso di API e protocolli non proprietari e ben documentati.
- Licenze open source e diritto di audit/modifica.
- Trasparenza architetturale e documentale.
- Indipendenza europea nelle capacità di calcolo ad alte prestazioni.
SOV-7 – Sovranità in Sicurezza e Conformità
- Certificazioni UE e internazionali (ISO, ENISA).
- Conformità a GDPR, NIS2, DORA.
- SOC e team di sicurezza operanti esclusivamente sotto giurisdizione UE.
- Piena autonomia nella gestione delle patch e dei controlli di sicurezza.
- Possibilità per enti UE di effettuare audit indipendenti.
SOV-8 – Sostenibilità Ambientale
- Infrastrutture a basso consumo energetico (PUE ridotto).
- Pratiche di economia circolare e riutilizzo hardware.
- Trasparenza su emissioni, consumo idrico e altri indicatori ambientali.
- Utilizzo di energie rinnovabili o a basse emissioni di carbonio.
Calcolo del Punteggio di Sovranità
Il Punteggio di Sovranità (Sovereignty Score) viene calcolato come media ponderata dei punteggi ottenuti per ciascun obiettivo SOV, secondo le seguenti ponderazioni:
| Obiettivo | Peso (%) |
| SOV-1 Sovranità Strategica | 15% |
| SOV-2 Sovranità Legale e Giurisdizionale | 10% |
| SOV-3 Sovranità dei Dati e dell’IA | 10% |
| SOV-4 Sovranità Operativa | 20% |
| SOV-5 Sovranità della Catena di Fornitura | 20% |
| SOV-6 Sovranità Tecnologica | 15% |
| SOV-7 Sovranità in Sicurezza e Conformità | 10% |
| SOV-8 Sostenibilità Ambientale | 5% |
| Totale | 100% |
La formula è la seguente:
