Nel cuore del dibattito sulla sovranità digitale europea si apre un nuovo fronte che mette a nudo le contraddizioni strutturali dell'ecosistema tecnologico del Vecchio Continente. Thales, colosso francese della difesa e della sicurezza digitale, ha siglato una partnership strategica con Google Cloud per costruire un'infrastruttura di cloud sovrano in Germania, replicando il modello già sperimentato in Francia attraverso la controllata S3NS. Il progetto incarna una tensione irrisolta che attraversa tutta la politica digitale europea: come garantire autonomia e protezione dei dati sensibili affidandosi, al tempo stesso, a tecnologie sviluppate e controllate da corporation americane soggette alla giurisdizione statunitense.
L'accordo prevede la nascita di una nuova entità giuridica tedesca a controllo Thales, operativamente e legalmente separata dalla casa madre di Google, gestita da personale locale e dotata di governance autonoma. I layer tecnici dell'architettura includono gestione indipendente delle chiavi crittografiche, isolamento operativo dell'infrastruttura, personale europeo autorizzato e controllo nazionale dei sistemi. L'obiettivo dichiarato è rendere strutturalmente impossibile qualsiasi accesso extraterritoriale ai dati elaborati all'interno del perimetro tedesco, compreso quello potenzialmente richiesto da autorità straniere.
Il nodo giuridico centrale di tutta la vicenda è il CLOUD Act americano — il Clarifying Lawful Overseas Use of Data Act approvato dal Congresso degli Stati Uniti nel 2018 — che abilita le autorità federali a richiedere l'accesso a dati detenuti da aziende statunitensi anche quando questi siano fisicamente archiviati al di fuori dei confini americani. È esattamente questa norma a rendere strutturalmente problematico, agli occhi di molte amministrazioni pubbliche europee e operatori di infrastrutture critiche, l'utilizzo di servizi come Amazon Web Services, Microsoft Azure o Google Cloud nella loro forma standard. La domanda che circola nei corridoi delle istituzioni di Bruxelles da anni è tecnicamente semplice ma politicamente devastante: un dato custodito in Europa è davvero europeo se il software che lo gestisce appartiene a una corporation soggetta alla legge americana?
Il modello operativo che Thales e Google stanno costruendo tenta di rispondere proprio a questo interrogativo separando due dimensioni tradizionalmente sovrapposte: il controllo tecnologico, che resta in capo a Google come fornitore della piattaforma cloud, e il controllo operativo, che viene affidato a una società indipendente europea con governance locale. In teoria, questa separazione dovrebbe rendere estremamente difficile — se non impossibile — qualsiasi forma di accesso extraterritoriale ai dati, persino nel caso in cui le autorità americane avanzassero richieste formali verso la casa madre.
Tuttavia, il dibattito giuridico tra esperti di diritto digitale e cybersecurity è tutt'altro che chiuso. Molti analisti continuano a sollevare dubbi sulla reale impermeabilità di queste architetture rispetto alle normative statunitensi. Il punto critico è che anche quando il dato risiede fisicamente in Germania, anche quando la società che lo gestisce è tedesca e la governance è formalmente europea, il software cloud sottostante continua a essere sviluppato, aggiornato e manutenuto da un'azienda soggetta alla giurisdizione degli Stati Uniti. Questa ambiguità giuridica fondamentale rappresenta il limite strutturale di qualsiasi approccio che si limiti a "incapsulare" tecnologia americana dentro governance europea, senza affrontare il problema dell'indipendenza a livello di stack tecnologico.
Le ragioni economiche e industriali per cui l'Europa fatica a costruire alternative competitive sono concrete e documentate. Addestrare Large Language Models avanzati, gestire workload computazionalmente intensivi e costruire ecosistemi cloud hyperscale richiede investimenti nell'ordine delle decine di miliardi di dollari, supply chain hardware sofisticate — a partire dalla disponibilità di GPU e TPU ad alte prestazioni — e competenze ingegneristiche concentrate in player industriali che oggi, realisticamente, non esistono ancora in Europa con una scala comparabile a quella di AWS, Microsoft Azure o Google Cloud. Il ritardo non è soltanto economico: è strutturale e difficilmente colmabile nel breve periodo.
Nasce così quella che si potrebbe definire una categoria ibrida e pragmatica: la sovranità digitale assistita. Non più l'ambizione di un cloud interamente europeo costruito ex novo, ma un framework in cui tecnologia americana viene integrata dentro governance, compliance e controllo operativo continentale. Nell'ottica dell'AI Act europeo — che impone requisiti stringenti di trasparenza, accountability e gestione del rischio per i sistemi ad alto impatto — questo modello ibrido potrebbe rappresentare una via percorribile a breve termine, pur non risolvendo le questioni di dipendenza tecnologica a lungo termine. La stessa logica si applica al rispetto del GDPR, che esige garanzie precise sulla localizzazione e il trattamento dei dati personali.
Germania e Francia stanno di fatto mandando un segnale preciso a mercati, governi e investitori: cloud, intelligenza artificiale generativa e gestione dei dati sensibili hanno smesso di essere esclusivamente questioni tecnologiche per diventare infrastrutture geopolitiche a tutti gli effetti. Controllare dove vivono i dati, quali algoritmi li elaborano, chi può accedervi e in base a quale giurisdizione significa esercitare una forma di potere digitale che le grandi democrazie industriali non possono più delegare senza conseguenze strategiche.
La domanda aperta — e probabilmente la più rilevante per il futuro digitale europeo — riguarda la direzione che prenderanno gli investimenti nel medio periodo. Se iniziative come il European Chips Act o i fondi del programma Horizon Europe riusciranno a stimolare la nascita di player cloud autenticamente europei, il modello ibrido potrebbe rivelarsi una fase di transizione necessaria. Se invece il gap tecnologico con i hyperscaler americani dovesse consolidarsi ulteriormente, la sovranità digitale assistita rischierebbe di trasformarsi non in un punto di partenza ma in un punto di arrivo — un compromesso permanente tra ambizioni di autonomia e dipendenze difficili da sciogliere.