In Europa si parla di “strategic autonomy”, a Parigi di “souveraineté numérique” e in Italia è dilagato il concetto di “sovranità del cloud”. Un’espressione che suona bene ma rischia di rimanere un puro slogan se non ne comprendiamo davvero le implicazioni. Al centro del dibattito c’è il controllo sui dati: non basta piazzare un data center in Valle d’Aosta anziché in Virginia se poi il software che lo orchestra è prodotto a Seattle e soggetto alle norme americane, primo fra tutti lo US CLOUD Act, che autorizza le autorità degli Stati Uniti a chiedere dati anche se ospitati fisicamente in territorio europeo.  La sovranità del cloud comprende il controllo giuridico sui dati, cioè chi può accedervi e in forza di quale normativa; il controllo tecnologico delle infrastrutture, ovvero chi progetta, costruisce e aggiorna hardware e software; e infine il controllo operativo, chi gestisce il servizio e da dove. Se il fornitore è statunitense, infatti, le protezioni privacy in vigore negli Usa si applicano solo a cittadini e società americane. Ciò significa che qualsiasi cliente europeo che affidi i propri dati a un colosso Usa resta vulnerabile ai poteri di richiesta dei governi. L’Europa ha reagito con svariate iniziative, ma nessuna finora ha saputo competere davvero con i tre giganti americani, Amazon, Google e Microsoft. Questi ultimi hanno tentato di difendere i dati europei appellandosi alle corti o stringendo partnership locali, cedendo in parte il controllo delle infrastrutture. In Francia ha preso corpo SecNumCloud, certificazione che abilita “campioni nazionali” come S3NS (Google/Thales) e Bleu (Microsoft/Orange/Capgemini) a offrire un “cloud de confiance”. In Italia la Strategia Cloud Nazionale lanciata nel settembre 2021 ha dato vita al Polo Strategico Nazionale, incaricato di erogare un servizio di “cloud nazionale” in collaborazione con i principali provider americani. Il fulcro di queste politiche è la gestione delle chiavi di crittografia. Se i dati sono cifrati e le chiavi rimangono in mano europea, si dice, nessuna potenza straniera potrà forzarne la consegna. Peccato però che questo rimedio resti parziale. In primo luogo, la difesa dagli attacchi non può limitarsi alle chiavi: gli algoritmi di cifratura – spesso standard americani – non sono immuni da falle e nessuno può garantire che non vengano compromessi in futuro.  C’è poi la questione degli aggiornamenti. Come sui nostri computer, anche nel cloud è cruciale mantenere i sistemi aggiornati per tappare le vulnerabilità. Le iniziative europee prevedono un controllo sui processi di patching, ma senza accesso al codice sorgente e senza un pieno dominio sull’intero ciclo di sviluppo non si può escludere l’inserimento di componenti malevoli o, al contrario, subire un blocco degli aggiornamenti: basti pensare a un’ipotetica misura di export control Usa che impedisca la distribuzione delle patch. In assenza di manutenzione, un cloud diventa preda dei primi hacker in circolazione, con rischi incalcolabili per imprese e pubblica amministrazione.  Infine, sul piano strategico, affidarsi a fornitori stranieri – seppure attraverso strutture europee – significa rinunciare al potere decisionale su investimenti futuri, sulle tecnologie emergenti (dall’intelligenza artificiale all’edge computing) e sull’offerta di nuovi servizi. In sostanza, uno Stato alleato rimane pur sempre uno Stato estero con interessi propri. Il cloud computing non è una commodity da delegare passivamente: è una risorsa strategica che richiede infrastrutture autenticamente europee, basate su tecnologie indipendenti, trasparenti e sotto controllo giuridico continentale. Se l’obiettivo è davvero la sovranità digitale, serve una grande alleanza industriale e politica europea che porti allo sviluppo di un infrastruttura cloud di primo livello, capace di competere sul piano tecnologico, normativo e operativo con i dominatori attuali. Solo così l’Europa potrà affermarsi davvero padrona dei propri dati.