Cloud sovrano: con il Cloud and AI Development Act la residenza del dato diventa una scelta strategica

Il 3 giugno 2026 la Commissione europea ha messo nero su bianco una domanda che molte aziende italiane si erano fin qui poste solo a parole: dove vivono i nostri dati, e chi può metterci le mani? Con il pacchetto sulla sovranità tecnologica — che riunisce un nuovo Chips Act, una strategia open source e, soprattutto, il Cloud and AI Development Act (CADA) — la residenza del dato smette di essere un dettaglio contrattuale e diventa un criterio di classificazione esplicito, con regole diverse a seconda di quanto sono sensibili le informazioni in gioco.

Cosa prevede il Cloud and AI Development Act

Il CADA nasce da una constatazione scomoda. Secondo le stime di mercato, il cloud europeo vale oltre 61 miliardi di euro, ma circa il 70% è in mano a tre operatori americani — Amazon Web Services, Microsoft Azure e Google Cloud — mentre i provider europei si fermano intorno al 15%, una quota che nel 2017 era quasi doppia. Per un continente che su quei dati costruisce sanità, pubblica amministrazione e manifattura, è una dipendenza che pesa.

Il regolamento risponde su due fronti. Da un lato spinge sull’offerta, con l’obiettivo dichiarato di triplicare la capacità dei data center europei nell’arco di cinque-sette anni, procedure autorizzative semplificate e un’attenzione esplicita all’efficienza energetica. Dall’altro mette ordine nella domanda, introducendo un quadro comune che classifica i servizi cloud in base al livello di protezione del dato e al rischio di accesso da parte di Paesi terzi.

I quattro livelli di sovranità

Il cuore operativo del CADA è una scala a quattro gradini, dal più vincolante al più aperto:

• Livello 1 — Sovereign Cloud. Il vincolo massimo: data center sul territorio UE, governance UE, operatore con sede legale nell’Unione, dati che non escono mai dal perimetro continentale. È pensato per informazioni classificate, difesa, intelligence e sanità — il Fascicolo Sanitario Elettronico 2.0, ad esempio, dovrà muoversi verso questa categoria.
• Livello 2 — Strategically Autonomous. Ammette tecnologia non europea, ma impone operatore UE, dati in UE e clausole di kill switch verso il fornitore. Riguarda PA centrale, banche sistemiche, infrastrutture critiche e servizi anagrafici nazionali.
• Livello 3 — EU Trusted. Consente provider extra-UE se certificati EUCS High, con dati mantenuti in Europa e audit periodici. Copre amministrazioni locali, sanità ordinaria e istruzione.
• Livello 4 — Open Market. Nessun vincolo specifico, per i workload non sensibili.

L’entrata in vigore è attesa tra il 2027 e il 2028, con un periodo transitorio di 24-36 mesi. Non è tanto tempo: la mappatura di quali dati ricadono in quale livello è un lavoro che conviene iniziare adesso, non a ridosso della scadenza.

Perché riguarda le imprese, non solo la PA

È facile leggere il CADA come una faccenda di pubblica amministrazione. Sarebbe un errore. I livelli più alti toccano direttamente le aziende private che operano in sanità, finanza, energia e nelle filiere delle infrastrutture critiche — molte delle quali sono già nel perimetro NIS2. E anche fuori da quei settori, la logica della sovranità si sta già traducendo in scelte d’acquisto.

I numeri lo confermano: nel 2025 il mercato cloud italiano è cresciuto di circa il 20%, ma la componente di cloud privato è salita del 23%, trainata proprio dalla domanda di controllo sul dato. Non è ideologia: è risk management. Una giurisdizione extra-UE può obbligare un fornitore a consegnare dati a cui è soggetto per legge, a prescindere da dove siano fisicamente archiviati. Per un’impresa, significa che la conformità a GDPR e NIS2 può dipendere da una norma scritta dall’altra parte dell’oceano.

La sovranità del dato non si misura in dove stanno i server, ma in chi li governa e a quale legge rispondono.

Qui sta il punto più frainteso. Avere i server in Italia non basta: se l’operatore che li gestisce risponde a una giurisdizione extra-UE, il dato non è sovrano. Sovranità vuol dire residenza fisica più governance europea più indipendenza tecnologica sufficiente a evitare il lock-in. Sono tre condizioni distinte, e vanno verificate una per una.

Il nostro punto di vista

Per ITCARMAT il CADA non è una sorpresa: è la formalizzazione di un modello su cui lavoriamo da tempo. Il nostro cloud SUNDATA nasce su data center gestiti in Italia, da un operatore italiano, con il dato che resta dentro un perimetro chiaro e un interlocutore che risponde alle stesse regole del cliente. Non è un argomento di marketing: è ciò che, sempre più spesso, distingue un fornitore che può firmare certe clausole contrattuali da uno che non può.

Il consiglio operativo è semplice e indipendente dalle date del regolamento: classificate i vostri dati prima che lo faccia una norma. Distinguete ciò che è sensibile, regolato o critico per il business da ciò che non lo è, e per ciascuna categoria chiedetevi dove risiede, chi lo gestisce e quale legge si applica. È lo stesso esercizio che la conformità NIS2 richiede sul fronte sicurezza — e affrontarlo una volta sola, con una visione d’insieme, conviene a tutti.

La sovranità digitale non è una scelta tra prestazioni e indipendenza. È la consapevolezza che, per certi dati, sapere chi può leggerli è importante quanto saperli proteggere.