La sovranità digitale europea entra in una nuova fase: con il Tech Sovereignty Package, la Commissione UE punta a ridurre la dipendenza da Microsoft, Amazon, Google e Nvidia attraverso Cloud and AI Development Act, Chips Act 2.0, open source e nuove infrastrutture per l’AI; ma l’autonomia tecnologica dell’Europa resta una sfida industriale prima ancora che politica.
Con il Tech Sovereignty Package la sovranità digitale europea sta diventando una cosa seria, dopo anni in cui è sembrata soprattutto una formula da convegno, buona per aprire panel istituzionali e dichiarazioni programmatiche; oggi, invece, scende nel terreno più difficile, quello dove non bastano più i principi e servono chip, energia, cloud, software, capitali, competenze e una capacità industriale che l’Europa non può più fingere di avere già.
Il 3 giugno 2026 la Commissione europea ha presentato il suo Tech Sovereignty Package, un pacchetto pensato per rafforzare l’autonomia tecnologica dell’Unione in quattro aree decisive: semiconduttori, intelligenza artificiale, cloud e open source. Nel cuore del piano ci sono due proposte legislative, il Cloud and AI Development Act e il Chips Act 2.0; accanto a queste, una nuova strategia europea per il software open source e una roadmap per digitalizzazione e AI nel settore dell’energia. Il quadro ufficiale è contenuto nella pagina della Commissione dedicata alla European tech sovereignty, ma il significato politico del pacchetto è più profondo della somma dei provvedimenti: Bruxelles sta dicendo che la dipendenza tecnologica non può più essere considerata una conseguenza naturale della globalizzazione digitale, perché è diventata una vulnerabilità da misurare, ridurre e governare.
Indice dei contenuti
Tech Sovereignty Package: sovranità digitale europea
Per anni l’Europa ha costruito il suo ruolo nel digitale soprattutto attraverso le norme: GDPR, Digital Services Act, Digital Markets Act, AI Act; ha regolato i mercati, imposto vincoli ai gatekeeper, introdotto diritti per i cittadini e responsabilità per le piattaforme. Questa stagione ha avuto un merito enorme, perché ha dato all’Europa una voce propria nel mondo digitale; nello stesso tempo ha mostrato un limite che oggi è diventato evidente, perché si può regolare una tecnologia senza possederla, si può chiedere trasparenza a un algoritmo senza controllare i server su cui gira, si può pretendere conformità da un modello AI senza avere abbastanza infrastrutture per addestrarne uno europeo su scala globale.
Il nuovo pacchetto nasce dentro questa tensione. L’Europa vuole essere un continente dell’intelligenza artificiale, ma l’AI oggi non vive soltanto nei laboratori universitari o nelle slide delle startup; vive nei data center, nei contratti cloud, nelle GPU, nei sistemi di raffreddamento, nelle reti elettriche, nei modelli fondativi e nelle piattaforme che le imprese usano ogni giorno, spesso senza più chiedersi da chi dipendano davvero. La sovranità digitale non riguarda più soltanto il luogo in cui vengono conservati i dati; riguarda chi può accedervi, sotto quale giurisdizione, con quale catena di fornitura e con quale margine di controllo per chi quei dati li produce, li elabora e li trasforma in valore.
Perché il Cloud and AI Development Act è il centro del piano europeo
Il Cloud and AI Development Act, spesso indicato con l’acronimo CADA, è il pezzo più interessante del pacchetto, perché mette insieme due mondi che per troppo tempo sono stati raccontati come separati: il cloud, cioè l’infrastruttura invisibile dell’economia digitale, e l’intelligenza artificiale, che senza quella infrastruttura resta promessa, esperimento o applicazione limitata. La Commissione vuole creare le condizioni per aumentare la capacità europea di calcolo, attrarre investimenti nei data center, rafforzare l’offerta cloud e sostenere lo sviluppo di soluzioni AI più controllabili, meno esposte a dipendenze esterne e più coerenti con il quadro regolatorio europeo.
L’obiettivo dichiarato è ambizioso: aumentare in modo significativo la capacità dei data center europei nei prossimi anni, con una particolare attenzione alla sostenibilità, perché la sovranità tecnologica europea non può essere costruita copiando semplicemente il modello americano, basato su una concentrazione gigantesca di potenza computazionale e consumo energetico. Se l’AI diventa infrastruttura, l’energia diventa politica industriale; se il cloud diventa la base dell’economia, il data center smette di essere un edificio tecnico ai margini delle città e diventa una fabbrica del futuro, anche quando non produce oggetti visibili.
Qui si vede il cambio di passo: finora l’Europa ha spesso parlato di autonomia tecnologica come di una difesa dei dati; ora prova a spostarsi sulla capacità produttiva, cioè sulla possibilità di avere infrastrutture, software e competenze in grado di sostenere imprese, pubbliche amministrazioni, ricerca e servizi essenziali. La differenza è enorme: difendere i dati significa proteggere ciò che già esiste, costruire infrastrutture significa provare a decidere dove andrà l’economia digitale nei prossimi dieci anni.
Il punto più delicato riguarda i cloud provider stranieri, soprattutto americani. Microsoft, Amazon e Google dominano gran parte del mercato cloud europeo, mentre Nvidia controlla una quota decisiva della filiera hardware che alimenta l’intelligenza artificiale. Non si tratta di demonizzare queste aziende, perché senza di loro molte imprese europee non avrebbero potuto innovare con la stessa velocità; il problema nasce quando la dipendenza diventa struttura, quando ogni nuova applicazione AI, ogni migrazione cloud, ogni servizio critico, ogni archivio sanitario, bancario o industriale finisce per poggiare su tecnologie che l’Europa usa, regola, compra, ma non governa davvero.
Con il Tech Sovereignty Package ka sovranità digitale europea entra negli appalti e nei settori critici
Il passaggio più concreto del pacchetto riguarda i criteri di sovranità nei servizi cloud destinati ai settori strategici. Sanità, banche, energia, pubbliche amministrazioni e infrastrutture essenziali non sono comparti qualsiasi; sono luoghi in cui il dato non è soltanto una risorsa economica, ma una parte del funzionamento dello Stato, delle imprese e della vita quotidiana dei cittadini.
Qui si innesta uno dei nodi più discussi: fino a che punto un cloud può dirsi europeo se è gestito da una società soggetta a una giurisdizione extra UE? Il tema non è nuovo, perché sentenze come Schrems II hanno già mostrato che la geografia del dato non basta, se il controllo giuridico e operativo può arrivare da altrove. Per questo il cloud sovrano non può essere ridotto a un’etichetta commerciale; deve diventare una combinazione verificabile di controllo, autonomia operativa, apertura tecnologica e conformità alle leggi europee.
Negli ultimi anni molti vendor hanno risposto a questa pressione con offerte localizzate, joint venture europee, regioni cloud dedicate, impegni sulla residenza dei dati e modelli di controllo separato. È un movimento importante, ma non risolve da solo il problema; anzi, lo rende più sottile, perché l’Europa dovrà distinguere tra sovranità reale e sovranità confezionata per il marketing.
Per le imprese italiane questo passaggio è tutt’altro che teorico. La scelta del cloud non sarà più soltanto una valutazione su costo, performance e scalabilità; diventerà una decisione di rischio, compliance e continuità operativa. Chi gestisce dati sensibili, processi industriali, sistemi AI interni, servizi pubblici o piattaforme rivolte ai cittadini dovrà chiedersi non solo dove si trovano i dati, ma quale potere ha davvero sul proprio stack tecnologico.
È la stessa linea che Digitalic ha raccontato parlando di cloud sovrano, dove il tema centrale non è chiudersi in un recinto nazionale, ma costruire un modello in cui governance, auditabilità e controllo non arrivino dopo, come correzione tardiva, ma siano progettati dall’inizio.
Chips Act 2.0: senza semiconduttori non esiste autonomia AI
Il secondo pilastro del pacchetto è il Chips Act 2.0, che nasce da una constatazione semplice: l’intelligenza artificiale è fatta di modelli, ma corre sui chip. L’Europa può avere università eccellenti, startup brillanti e imprese industriali con dati di enorme valore; se però non controlla almeno una parte significativa della filiera dei semiconduttori, resta esposta a ogni scossa geopolitica, commerciale o produttiva che attraversa Stati Uniti, Taiwan, Cina, Corea e Giappone.
Il primo Chips Act europeo, entrato in vigore nel 2023, aveva fissato un obiettivo molto ambizioso: arrivare al 20% della produzione mondiale di semiconduttori entro il 2030. Il nuovo intervento prova a rilanciare quella traiettoria, perché l’AI ha reso la questione ancora più urgente. I chip non sono più solo componenti per smartphone, auto o macchinari industriali; sono il collo di bottiglia della nuova economia computazionale.
In questo senso, la geografia dell’intelligenza artificiale non si misura solo sulla mappa delle startup, ma sulla distribuzione dei nodi di calcolo, dei supercomputer, delle AI factory, delle reti energetiche e dei fornitori hardware. L’Europa sta cercando di costruire una risposta distribuita, fatta di infrastrutture pubbliche, centri di ricerca, progetti nazionali e cooperazione industriale; resta però il problema della scala, perché l’AI globale corre a una velocità che premia chi può investire decine di miliardi in pochi anni.
La sovranità digitale europea, quindi, non può essere un esercizio romantico di autosufficienza; deve essere una strategia selettiva, capace di capire dove l’Europa deve controllare direttamente, dove può costruire alleanze e dove deve evitare dipendenze troppo concentrate. Cloud, chip e modelli AI sono livelli della stessa architettura; se uno solo resta totalmente in mano ad altri, l’autonomia diventa una parola fragile.
Open source: la via europea per non sostituire una dipendenza con un’altra
Nel pacchetto della Commissione c’è anche una strategia sull’open source, e non è un dettaglio. Se la sovranità digitale europea venisse interpretata soltanto come sostituzione dei grandi fornitori americani con pochi grandi fornitori europei, il rischio sarebbe evidente: cambierebbe la bandiera, non il modello di dipendenza.
L’open source offre invece un’altra possibilità, perché distribuisce conoscenza, rende ispezionabile il codice, riduce il lock-in, favorisce ecosistemi locali e permette alle pubbliche amministrazioni di non consegnare interi processi a piattaforme chiuse. Naturalmente l’open source non è gratuito per magia, non elimina i costi di integrazione, non garantisce da solo sicurezza e qualità; ma offre una base diversa, più compatibile con l’idea europea di autonomia come controllo condiviso, non come isolamento.
Il tema è emerso con forza anche al Nextcloud Summit 2026, dove la sovranità digitale non è stata raccontata come nostalgia anti americana, ma come capacità concreta di costruire alternative praticabili. La partita si gioca qui: l’Europa non può limitarsi a dire che vuole più sovranità, deve dimostrare che le alternative funzionano, scalano, costano il giusto, si integrano nei processi reali e offrono alle imprese una ragione economica per cambiare.
Nessun CIO sceglierà una soluzione europea solo per patriottismo digitale, se quella soluzione è più debole, più complessa o meno affidabile. La sovranità entra davvero nel mercato quando diventa anche qualità del servizio, continuità, sicurezza, semplicità di adozione e vantaggio competitivo.
Tech Sovereignty Package e sovranità europea
Il punto più interessante del Tech Sovereignty Package (https://digital-strategy.ec.europa.eu/en/policies/eu-tech-sovereignty) è anche il più complesso: l’Europa lancia il suo piano di autonomia nel momento in cui la dipendenza da infrastrutture non europee è forse più forte che mai. L’intelligenza artificiale ha moltiplicato il fabbisogno di cloud, GPU, data center, energia e piattaforme; molte imprese europee stanno adottando strumenti AI costruiti su modelli americani, distribuiti tramite cloud americani, accelerati da chip americani o asiatici, integrati in software aziendali sviluppati da vendor globali.
Questo non rende inutile il piano europeo, anzi lo rende necessario; però obbliga a evitare l’illusione della svolta immediata. La sovranità digitale europea non nascerà per decreto, perché nessun regolamento può creare da solo una filiera industriale, nessuna strategia può sostituire anni di investimenti mancati, nessun appalto pubblico può colmare all’istante il divario di scala con gli hyperscaler.
La Commissione può fare molto: definire criteri, orientare la domanda pubblica, sostenere investimenti, favorire consorzi, ridurre frammentazioni, costruire infrastrutture comuni. Gli Stati membri possono fare altrettanto, se smettono di trattare il digitale come una somma di progetti nazionali scollegati. Le imprese, però, dovranno decidere se considerare la sovranità come un vincolo imposto da Bruxelles o come una componente della propria strategia.
Qui si apre il passaggio più importante per il mercato italiano. Le aziende che oggi lavorano su AI, cloud, cybersecurity, ERP, manifattura digitale, dati industriali e servizi pubblici devono iniziare a mappare le proprie dipendenze tecnologiche. Non basta sapere quali software si usano; bisogna capire dove girano, con quali fornitori, con quali subfornitori, con quali clausole contrattuali, con quali rischi di accesso, blocco, trasferimento o indisponibilità.
L’AI Act ha già imposto una nuova disciplina sui sistemi di intelligenza artificiale; il conto alla rovescia verso le sanzioni, raccontato da Digitalic nell’articolo sull’AI Act, mostra che la regolazione europea sta diventando operativa. Il Tech Sovereignty Package aggiunge un livello ulteriore: non basta che l’AI sia conforme, deve poggiare su basi infrastrutturali più controllabili.
Tech Sovereignty Package : cosa cambia per CIO, CISO e imprese italiane
Per i CIO il tema diventa una questione di architettura: ogni scelta cloud deve essere valutata anche in termini di sovranità, portabilità e reversibilità. Per i CISO diventa una questione di rischio: la supply chain tecnologica non comprende solo software e vendor, ma giurisdizioni, dipendenze operative, accessi amministrativi, data center, aggiornamenti e servizi gestiti. Per i CEO diventa una questione di competitività: chi controlla meglio dati e infrastrutture può proteggere meglio il proprio know-how, negoziare meglio con i fornitori e reagire meglio alle crisi.
La sovranità digitale europea, in questa prospettiva, non è un ritorno al passato, ma una forma di maturità: dopo anni in cui il cloud è stato venduto come una nuvola senza confini, l’Europa sta ricordando a se stessa che ogni nuvola ha un proprietario, un contratto, una legge applicabile, una rete elettrica, un luogo fisico e una catena di comando.
Il Tech Sovereignty Package non risolve tutto, ma segna una direzione: l’Europa vuole smettere di essere soltanto il mercato regolato delle tecnologie altrui e provare a diventare un luogo in cui le tecnologie strategiche vengono anche costruite, controllate e adattate ai valori europei. Sarà una strada lunga, piena di compromessi e di dipendenze residue; però il punto di partenza è ormai chiaro, perché nell’era dell’AI la libertà digitale non si misura più soltanto nei diritti degli utenti, ma nella capacità di decidere su quali infrastrutture gira il futuro.
Francesco Marino
Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic
