La sovranità del cloud nell’era della frammentazione digitale

• Commentary Geoeconomia
  di Claudia Schettini
• whatsapp

Nel nuovo ordine geopolitico digitale, il cloud computing si è trasformato da infrastruttura prevalentemente tecnologica a vero e proprio terreno di competizione strategica. Un tempo considerato un semplice abilitatore di "back-end" della trasformazione digitale, l'infrastruttura cloud svolge oggi un ruolo centrale nel plasmare l'autonomia strategica, la competitività economica e la sicurezza nazionale dei Paesi. L'ascesa dei data center hyperscale, l'emergere di alleanze regionali nel settore del cloud e la crescente strumentalizzazione delle dipendenze digitali hanno reso l'infrastruttura cloud al contempo catalizzatore e campo di confronto del potere geopolitico.

Il cloud come infrastruttura geopolitica: implicazioni e interessi strategici

Nonostante la sua apparente immaterialità, il cloud computing è profondamente ancorato a infrastrutture fisiche. Si fonda su una vasta rete interconnessa di data center hyperscale, cavi sottomarini, dorsali in fibra ottica terrestri, nodi edge e reti satellitari. Lungi dall'essere un'astrazione digitale priva di peso, il "cloud" costituisce un'infrastruttura di rilevanza geopolitica, la cui geografia fisica incide in modo sostanziale sulla sua geografia politica e sulle sue implicazioni strategiche.

Al cuore dell'economia digitale contemporanea si colloca una dipendenza strutturale da un ristretto gruppo di hyperscaler statunitensi. In base ai rilievi della società di analisi Synergy Research Group, Amazon Web Services (AWS), Microsoft Azure e Google Cloud detengono congiuntamente circa il 68% del mercato globale delle infrastrutture cloud (Q4 2025). Queste imprese sostengono le operazioni digitali in settori eterogenei quali finanza, sanità, energia e difesa, configurandosi non soltanto come attori privati, ma come veri e propri broker di potere geopolitico.

Tale concentrazione di potere infrastrutturale ha suscitato crescenti preoccupazioni in Europa. Le istituzioni dell'UE hanno, di conseguenza, reagito con iniziative quali gli Important Projects of Common European Interest on Cloud Infrastructure and Services (IPCEI-CIS) [1] e la federazione GAIA-X, volte a costruire un ecosistema cloud europeo interoperabile e sovrano. L'ambizione è quella di transitare da una condizione di dipendenza a una di autonomia digitale. Tuttavia, l'attuazione rimane disomogenea. Molti Stati membri continuano a fare ampio affidamento su fornitori extraeuropei per servizi pubblici e privati critici, esponendosi a vulnerabilità di natura geopolitica ed economica.

In più, l'ascesa di fornitori infrastrutturali cinesi, tra cui Huawei Marine, China Telecom e PCCW Global, nei consorzi di cavi in Africa e nel Mediterraneo, ha alimentato preoccupazioni in materia di sovranità sia tra i partner europei sia statunitensi, in particolare rispetto ai rischi di sorveglianza e alla dipendenza da standard tecnologici cinesi. In risposta, l'Unione europea ha progressivamente integrato la dimensione delle infrastrutture digitali nei propri strumenti di azione esterna. Attraverso la strategia Global Gateway e il Piano Mattei per l'Africa,[2] l'UE ha assunto l'impegno di investire in infrastrutture sicure e basate su standard condivisi nelle regioni limitrofe. Nella regione del mediterraneo allargato, ciò include il sostegno allo sviluppo di dorsali terrestri in fibra ottica nel Sahel, la realizzazione di nuovi data center edge in Nord Africa e il potenziamento della connettività nel Corno d'Africa. Tali interventi rappresentano scelte strategiche volte a riequilibrare dipendenze asimmetriche e a promuovere un ecosistema digitale fondato su fiducia, interoperabilità e allineamento normativo.

Governare il cloud: divergenze, competizione e standard

La governance del cloud riflette oggi la più ampia frammentazione dell'ordine digitale globale caratterizzato da competizione tra visioni geopolitiche su come i dati debbano essere archiviati, elaborati e protetti. Questa divergenza è profondamente strategica, poiché incide sul modo in cui gli Stati definiscono la sovranità, costruiscono alleanze e accedono ai mercati digitali.

Il panorama globale del cloud è attualmente plasmato da tre paradigmi di governance dominanti. Il primo è il modello statunitense, guidato dal mercato, in cui fornitori hyperscale come AWS, Microsoft e Google operano in un contesto normativo permissivo che privilegia innovazione e proiezione extraterritoriale. Il U.S. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) rappresenta un esempio emblematico di questo approccio, consentendo alle autorità statunitensi di accedere a dati conservati all'estero da provider con sede negli Stati Uniti, un'applicazione extraterritoriale della giurisdizione che ha suscitato diffuse preoccupazioni in Europa e in altri contesti.

In contrasto, il modello europeo enfatizza un approccio basato sui diritti, fondato sulla tutela delle libertà fondamentali, sulla fiducia dei consumatori e sulla responsabilità regolatoria. Il Regolamento generale sulla protezione dei dati (GDPR), il Data Act, l'AI Act e il Cyber Resilience Act costituiscono un corpus normativo articolato volto a garantire interoperabilità, minimizzazione dei dati e trattamento lecito. Tali strumenti riflettono inoltre l'ambizione dell'UE di proiettare il proprio potere normativo a livello globale, il famoso"Brussels Effect".

Un terzo paradigma è rappresentato dal modello cinese, incentrato sulla sovranità , che colloca la governance dei dati nel perimetro della sicurezza nazionale. Normative come la Personal Information Protection Law (PIPL), la Data Security Law (DSL) e il Multi-Level Protection Scheme 2.0 (MLPS) impongono rigorosi requisiti di localizzazione dei dati, un forte controllo statale e l'autosufficienza infrastrutturale. Questo modello ha acquisito attrattiva presso Paesi che privilegiano un controllo centralizzato delle infrastrutture digitali, in particolare in alcune aree del Sud globale.

Questi quadri divergenti non sono meri costrutti teorici ma producono frizioni regolatorie concrete. Ciò è particolarmente evidente nell'incertezza giuridica che circonda i flussi transatlantici di dati. La sentenza Schrems II (2020) della Corte di giustizia dell'Unione europea ha invalidato il Privacy Shield UE-USA per l'insufficienza delle garanzie contro la sorveglianza statunitense, mettendo in discussione i trasferimenti di dati che coinvolgono fornitori americani. Sebbene nel 2023 sia stato istituito un nuovo Data Privacy Framework UE-USA, esso rimane oggetto di scrutinio giuridico e non risolve pienamente la tensione strutturale tra regimi di tutela della privacy e logiche di sorveglianza.

A livello europeo, il futuro schema EUCS (European Cybersecurity Certification Scheme for Cloud Services), sviluppato da ENISA, è destinato a introdurre requisiti graduati per i fornitori che gestiscono carichi di lavoro sensibili. Tra questi figurano condizioni relative alla localizzazione dei dati, all'accesso del personale, alla proprietà legale e all'indipendenza da giurisdizioni extra-UE - una risposta diretta alle preoccupazioni legate a normative extraterritoriali come il U.S. CLOUD Act.

Nonostante la centralità degli Stati e delle Big Tech, la governance del cloud è sempre più influenzata da un insieme eterogeneo di imprenditori normativi, organismi di standardizzazione e coalizioni multi-stakeholder. Enti globali di standardizzazione quali ISO, ETSI e IEEE lavorano per armonizzare specifiche tecniche e protocolli di certificazione tra diverse giurisdizioni. Le stesse iniziative come GAIA-X e Catena-X[3] rappresentano tentativi innovativi pubblico-privati di federare infrastrutture fidate mantenendo al contempo il controllo nazionale.

Parallelamente, coalizioni come la Global Partnership on AI (GPAI) e la Freedom Online Coalition mirano ad allineare approcci normativi alla governance digitale, promuovendo valori di apertura, inclusione e trasparenza. Persistono tuttavia significative lacune di governance, in particolare nel Sud globale. Per esempio, molte decisioni relative all'hosting dei dati, alla connettività e agli investimenti cloud nei Paesi partner africani o mediterranei continuano a essere assunte a Washington, Bruxelles o Pechino, spesso senza un coinvolgimento locale sostanziale. Ciò rischia di consolidare forme di dipendenza digitale e di riprodurre dinamiche di tipo coloniale legate alle asimmetrie infrastrutturali.

Prospettive e scenari dell'ordine digitale

In prospettiva, lo sviluppo del cloud computing appare sempre meno come una traiettoria puramente tecnologica e sempre più come un processo intrinsecamente geopolitico. Il controllo delle infrastrutture, delle regole di governance e dei flussi di dati si sta affermando come leva di potere paragonabile, per rilevanza strategica, al controllo delle risorse energetiche o delle rotte commerciali. In questo contesto, il cloud diventa un'infrastruttura critica attraverso cui si ridefiniscono equilibri di potere, sfere di influenza e modelli di interdipendenza.

Per Stati e organizzazioni regionali, la sfida non riguarda soltanto la capacità di innovare, ma la possibilità di farlo preservando margini di autonomia strategica e resilienza sistemica. Il futuro dell'ordine digitale globale dipenderà dunque dalla capacità di coniugare sviluppo infrastrutturale, allineamento normativo e cooperazione internazionale, evitando che le nuove architetture del cloud cristallizzino forme di dipendenza asimmetrica e frammentazione geopolitica.

[1] IPCEI, acronimo di "Important Project of Common European Interest", è un "super-progetto" transnazionale promosso dall'UE per incentivare l'innovazione in settori strategici, dove i privati, da soli, non avrebbero la capacità di investire. IPCEI CIS, in particolare, rappresenta il primo IPCEI nel settore del cloud computing e dell'edge computing.

[2] Sebbene il Piano Mattei nasca come un piano nazionale del Governo italiano, esso è stato integrato nella cornice strategica dell'UE attraverso l'approccio "Team Europe".

[3] Catena-X è un'iniziativa dell'industria automobilistica tedesca che mira a creare un'infrastruttura di dati comune per l'intera filiera del settore automobilistico.