Riuscirà un algoritmo a trovare la strada verso quel cloud “sovrano” che da anni l'Unione europea insegue, senza successo? A stabilirlo sarà l'esito di una gara lanciata a inizio ottobre dalla Commissione europea per dotarsi di risorse cloud per i prossimi sei anni. Risorse “sovrane”. Ossia sotto il controllo delle norme e delle autorità comunitarie. Sul piatto Bruxelles ha messo 180 milioni di euro. Stavolta, però, oltre alla tecnologia, la Commissione vuole assicurarsi che i server stiano all'interno del suo perimetro di sicurezza.La ricerca del Santo GraalNon è la prima volta in cui ci prova. Da un lato l'Unione ha cercato di rafforzare le regole sulla protezione dei dati. A cominciare dal Gdpr, entrato in vigore nello stesso anno in cui gli Stati Uniti, sotto la prima presidenza di Donald Trump, adottavano la norma che ha fatto scattare l'allarme in Europa. Ossia il Cloud Act, che autorizza le autorità statunitensi ad accedere ai dati conservati da aziende Usa ovunque nel mondo per ragioni di sicurezza.Dall'altro l'Ue ha provato a creare alleanze industriali da contrapporre ai colossi che dominano il settore - Amazon Web Services (Aws), Microsoft Azure, Google e Alibaba - senza riuscirci. L'ambizioso progetto di un'Alleanza europea per i dati industriali, edge e cloud è sparita dai radar. Mentre l'alleanza a trazione franco-tedesca Gaia-X è sparita dalle comunicazioni ufficiali, anche se procede a livello industriale.Entrambi nati nel 2020, in cinque anni non hanno cambiato le sorti della sistematica dipendenza dei 27 Stati da fornitori extra-Ue. Secondo l'ultimo rapporto del centro studi Synergy research group, i fornitori europei di cloud sono passati dal 29% di quote di mercato del 2017 al 15% del 2022. La fetta più grande, pari a circa il 70% del giro d'affari, se la spartiscono Aws, Microsoft e Google. Per invertire la rotta, la Commissione ora si è inventata un algoritmo che calcola il grado di “sovranità” di un servizio cloud. E attraverso questo vuole selezionare i suoi prossimi fornitori per iniziare a sganciarsi dalla locomotiva Usa.Il nuovo punteggio di “sovranità”Il cosiddetto Cloud sovereignty framework è un sistema di valutazione dei servizi di cloud computing articolato in otto obiettivi di sovranità (le aree in cui l'Europa vuole affrancarsi dalle aziende a stelle e strisce) e cinque livelli di garanzia. Che vanno da “zero sovranità” al controllo completo. Partiamo dai primi. Lo scopo complessivo è abbattere i recinti alzati dalle big tech e allentare la dipendenza dalle regole extra-europee. E se funzionasse, lo schema di appalto potrebbe diventare l'ispirazione di regole ad hoc da adottare sistematicamente. Se funzionasse. E non è detto che funzioni. Basta scorrere le richieste per soddisfare i requisiti di sovranità.Per valutare l'indipendenza tecnologica, i fornitori dovranno dimostrare chi controlla davvero il servizio, fino a che punto sono soggetti alle leggi europee e possono garantire la continuità dell'accesso alle risorse cloud, anche in caso di cambio di proprietà. Dal punto di vista giurisdizionale, occorre assicurare che il livello di esposizione alle leggi altrui sia basso o nullo e che non ci siano clausole che permettano accessi ai dati da parte autorità straniere. A volerlo raggiungere appieno, è un requisito che di fatto taglia fuori gran parte dei fornitori extra-Ue. Così come la richiesta di ricorrere a sistemi open source per raggiungere l'indipendenza tecnologica.Il controllo sul ricorso ai dati e intelligenza artificiale impone, per esempio, massima trasparenza su chi mette in naso nei server. Solo il cliente può avere accesso crittografico ai dati, non il provider. Inoltre i modelli di AI usati per processare dati comunitari devono essere il più possibile “sviluppati, addestrati e insediati sotto il controllo europeo”. Tradotto: i campioni del settore, con passaporto americano, devono collocare le loro infrastrutture nel vecchio continente e attenersi all'AI Act, il regolamento comunitario sull'intelligenza artificiale. Per la stessa ragione la Commissione chiede che siano installati sul suo territorio anche i centri di sybersecurity (sovranità della sicurezza) e data center alimentati con le rinnovabili (sovranità ambientale).L'autonomia che non c'èI due obiettivi che pesano di più nel raggiungimento del punteggio finale di sovranità (ciascuno con il 20%) sono l'autonomia operativa e quella della filiera. La prima spinge per l'integrazione con soluzioni europee, la riduzione al minimo del lock-in tecnologico e le capacità delle aziende locali di fare a meno delle aziende extra-Ue. La seconda invece punta a chiarire l'origine di hardware e software, gli standard operativi e il grado di dipendenza da fornitori non europei.A seconda del risultato che restituisce l'algoritmo, il fornitore cloud può garantire uno dei cinque livelli di sovranità del servizio. Dal grado zero, con tutta la tecnologia in mano agli operatori extra-europei (che è la situazione più diffusa oggi) al livello quattro, la piena sovranità digitale, riconosciuta solo ad aziende comunitarie che usano tecnologia locale.Un conto è scrivere un algoritmo. Un conto è farlo funzionare. Quanto questo traguardo della piena sovranità europea sia realmente raggiungibile lo dimostrerà l'esito della gara. Ma ci sono già indizi che la distanza da coprire è ampia. Prendiamo le catene di fornitura. I processori ad alte prestazioni, che servono ai data center in cui far girare l'AI, non si producono in Europa. Li sviluppano Nvidia, Intel, Amd. Tutte aziende statunitensi. O Arm, che invece ha passaporto britannico. Gli stessi colossi del cloud, come Aws e Microsoft, stanno imparando a farsi i chip in casa. E lo stesso dicasi per il software.L'industria europea protestaInsomma, che all'Europa riesca di invertire la rotta per mezzo di un algoritmo sembra tutt'altro che scontato. Anche perché a dubitare dello strumento sono proprio le aziende che, secondo la Commissione, dovrebbero beneficiarne di più. Ossia gli operatori cloud del vecchio continente. A mettere nero su bianco i dubbi di questa industria è Cispe, l'associazione che rappresenta i cloud provider europei e conta 38 aderenti.“Un servizio cloud o è sovrano o non lo è, proprio come un alimento o è biologico o non lo è. Non si può essere biologici al 75%, e non si dovrebbe essere sovrani al 75% nemmeno. Eppure è proprio questa la confusione creata dal nuovo Eu Cloud sovereignty framework della Commissione europea - denuncia l'associazione -. Anziché portare chiarezza, il framework rende le acque più torbide introducendo un nebuloso “punteggio di sovranità”, che fa una media tra l’impossibile e l’irrilevante. Mescola obiettivi irraggiungibili — come il pieno controllo europeo su ogni componente hardware — con idee vaghe come le “garanzie contro cambi di controllo”. Creando una media di medie ponderate, si allontana ancora di più dalla trasparenza e lascia ampio margine per nascondere verità scomode”.Per Cispe, il destino è segnato: “La maggior parte dei fornitori europei di servizi cloud probabilmente otterrà punteggi inferiori rispetto agli hyperscaler stranieri”. Secondo l'associazione, gli strumenti per controllare la filiera già esistono. Cispe sostiene Gaia-X e le sue etichette che identificano non solo il cloud sovrano, ma anche i prodotti extra-Ue che prevedono forme di controllo operativo e legale. Lo scorso febbraio Sap, il colosso tedesco dell'informatica, ha annunciato il progetto di un cloud autonomo, nell'alveo di Gaia-X, con 2 miliardi di investimenti annunciati solo in Germania. “L’attuale versione dell'Eu Cloud sovereignty framework non riesce a fornire quella chiarezza”, conclude la nota di Cispe.Il divario di investimentiL'Europa deve poi fare i conti con le strategie nazionali in materia. Parigi ha adottato il Cloud de confiance (cloud sicuro) già nel 2021, quando la compagnia telefonica francese Orange e la società di consulenza Capgemini si sono unite per lanciare la piattaforma dedicata Bleu. La Germania ha scommesso sul suo Souveräner cloud. L'Italia si è dotata del Polo strategico nazionale (Psn), affidato a Tim, Leonardo, Sogei (la società informatica dello Stato) e Cdp Equity (braccio di Cassa depositi e prestiti, la cassaforte del risparmio postale), dove far migrare i dati critici della pubblica amministrazione.Secondo uno studio del Centro europeo per la politica economica internazionale del 2024, tra gli investimenti in cloud e tecnologie di comunicazioni negli Stati Uniti e quelli in Europa c'è un divario di 1.360 miliardi di dollari. Una distanza che che le aziende europee di tecnologia potrebbero colmare solo decuplicando il tasso attuale di investimento, intorno ai 157 miliardi di dollari. Neanche l'algoritmo più sofisticato ci potrebbe riuscire in un sol colpo.