L’obiettivo della Commissione europea di triplicare entro cinque-sette anni il mercato dei data center nell’UE richiede un forte interventismo. CADA va esattamente in questa direzione.
La Commissione europea ha presentato di recente la sua proposta di legge sullo sviluppo del cloud e dell’intelligenza artificiale (Cloud and AI Development Act, CADA). L’obiettivo è rafforzare l’industria europea del cloud e dell’IA, ridisegnando le infrastrutture, il mercato cloud europeo e le modalità di funzionamento futuro della pubblica amministrazione.
PUBBLICITÀ
PUBBLICITÀ
La CADA si concentra su tre pilastri principali: investimenti in ricerca, sviluppo e innovazione; potenziamento delle capacità, con l’obiettivo di triplicare il mercato europeo dei data center nei prossimi cinque-sette anni; e un quadro completo per l’autonomia, che introduce quattro livelli di sovranità e sicurezza e nuove obbligazioni per gli Stati membri dell’UE.
Reazioni contrastanti alla CADA
Finora la proposta ha suscitato reazioni contrastanti. Associazioni di settore come CCIA Europe l’hanno definita discriminatoria, poiché la CADA obbligherebbe gli Stati membri a stabilire per quali casi d’uso sono necessari determinati livelli di sovranità che i fornitori extra-UE «non sarebbero in grado di garantire per impostazione predefinita».
Il giurista polacco esperto di tecnologia Mikolaj Barcenciewicz ha dichiarato in passato che la CADA dovrebbe essere impostata sul rischio e non su categorie rigide, e che l’approccio dei singoli Stati membri e il principio di sussidiarietà andavano salvaguardati, invece di ricorrere a soluzioni generalizzate.
L’eurodeputato svedese Jörgen Warborn ha condiviso di recente su LinkedIn le sue riflessioni sulla proposta CADA, sostenendo che gli obiettivi europei di sovranità digitale devono essere accompagnati da un’ulteriore semplificazione e da condizioni migliori per le imprese, rafforzando la «prospettiva di un ritorno sugli investimenti».
Ha aggiunto che gli obiettivi di sovranità dell’UE vanno effettivamente rafforzati nelle applicazioni nazionali legate alla sicurezza nazionale. I settori meno sensibili, invece, dovrebbero rimanere aperti agli investimenti esteri diretti, poiché «la grande maggioranza della ricchezza mondiale si trova al di fuori dell’UE» e l’Unione dovrebbe puntare ad attirare questi capitali, non allontanarli.
L’eurodeputata finlandese Aura Salla, invece, ha invocato un approccio ancora più centralizzato per testare e sottoporre a stress test le dipendenze tecnologiche e valutare i rischi a livello di Stato membro.
Infine, altri attori interessati, come il fornitore tedesco di software Nextcloud, ritengono che l’attuale proposta non sia abbastanza ambiziosa e che vada estesa anche al settore privato.
Tetto di 12 mesi per le autorizzazioni, ma con più requisiti da rispettare
Il titolo III della CADA prevede due meccanismi principali per espandere rapidamente la capacità dei data center nell’UE: le zone di accelerazione per i data center (Data Centre Acceleration Zones) e i progetti strategici per data center (Data Centre Strategic Projects).
Entro sei mesi dall’entrata in vigore del regolamento, ogni Stato membro dovrà designare almeno una zona di accelerazione, integrata nei piani urbanistici locali e di distretto, tenendo conto della disponibilità della rete elettrica, della capacità di rete e privilegiando chiaramente le aree industriali già esistenti o dismesse (brownfield).
Che un progetto ricada in queste zone pre-approvate o ottenga uno status individuale di progetto strategico, potrà comunque sfruttare una «corsia verde» che limita a 12 mesi al massimo la procedura per il rilascio dei permessi.
Il quadro dei requisiti di conformità della CADA è però molto esigente. Gli operatori delle infrastrutture dovranno adottare indicatori chiave di performance sulla sostenibilità standardizzati a livello UE, e l’assegnazione delle risorse locali sarà rigidamente controllata per evitare accaparramenti speculativi o blocchi anticoncorrenziali.
In pratica, gli Stati membri avranno solo sei mesi per definire zone conformi all’interno di sistemi di pianificazione urbanistica spesso complessi. Seguirà poi un periodo altrettanto ristretto, al massimo 12 mesi, per concedere i singoli permessi.
La costruzione concreta dei data center è già oggi frenata da forti colli di bottiglia nel mondo reale: solo poche imprese specializzate possiedono le certificazioni richieste, ogni fase dei lavori è sottoposta a controlli rigorosi e persino strutture di dimensioni contenute possono richiedere anni per essere realizzate.
Imponendo nuovi e numerosi obblighi di conformità sia agli Stati membri sia ai fornitori di infrastrutture, i legislatori europei rischiano di trasformare il limite massimo di 12 mesi per i permessi in un obiettivo marginale e poco significativo, all’interno di una filiera già strutturalmente complessa.
Grandi cambiamenti negli appalti pubblici
Il titolo IV della CADA e gli allegati collegati delineano un nuovo quadro rigido, che definisce con precisione quali tipi di software e servizi di cloud computing gli Stati membri dell’UE potranno acquistare.
La domanda del settore pubblico sarà rigidamente associata ai quattro livelli di garanzia definiti nell’allegato II della CADA.
Il livello 1 riguarda requisiti di sovranità e sicurezza di base e consente la proprietà societaria da parte di soggetti di Paesi terzi.
Il livello 2 si riferisce a una sovranità digitale sostanziale. In questo caso la proprietà societaria di Paesi terzi è ancora ammessa, a condizione che tutte le operazioni, le infrastrutture, il personale e l’assistenza rimangano rigorosamente all’interno dell’UE, che vi sia una certificazione di cybersicurezza definita «sostanziale» e che i dati dei clienti non possano essere usati per addestrare sistemi di IA in Paesi terzi.
Il livello 3 indica un grado elevato di sovranità e di tutela della sicurezza nazionale. In questo caso il controllo societario da parte di Paesi terzi è vietato per impostazione predefinita, salvo rare eccezioni concesse dalla Commissione europea, mentre il livello 4 rappresenta la massima autonomia e la protezione di attività critiche, con il divieto totale di controllo societario da parte di soggetti di Paesi terzi.
In che modo gli Stati membri dell’UE dovrebbero rendere operativo il nuovo quadro della CADA? Anzitutto nominando una o più autorità nazionali competenti, incaricate di far rispettare le regole, controllare i fornitori e gestire le domande di riconoscimento da parte dei provider cloud.
Entro un anno gli Stati membri dovranno effettuare valutazioni dei rischi, da ripetere ogni due anni, per individuare quali attività del settore pubblico dipendono dai servizi cloud e stabilire il livello di garanzia di sicurezza appropriato.
L’attuale proposta di CADA cambierebbe radicalmente il funzionamento degli appalti pubblici per i servizi cloud.
Finora gli enti della pubblica amministrazione potevano scegliere liberamente i fornitori di servizi cloud in base al prezzo, alla qualità del servizio, alle esigenze organizzative e alle normative nazionali sulla gestione dei dati basate sulla valutazione del rischio per la sovranità.
Se finora l’assegnazione degli appalti pubblici si è basata soprattutto sul prezzo e su specifiche tecniche standard, in futuro gli Stati membri dovranno valutare anche criteri non legati al prezzo, come il contributo del fornitore all’ecosistema digitale europeo.
Questo articolo è stato pubblicato per la prima volta su EU Tech Loop (fonte in inglese) ed è stato condiviso su Euronews nell’ambito di un accordo.