L’obiettivo della Commissione europea di triplicare entro cinque-sette anni il mercato dei data center dell’UE richiederebbe forti interventi sul mercato, e CADA fa proprio questo.
La Commissione europea ha presentato di recente la sua proposta di regolamento sullo sviluppo del cloud e dell’IA (Cloud and AI Development Act, CADA), che punta a rilanciare l’industria europea del cloud e dell’intelligenza artificiale, ridisegnando le infrastrutture, il mercato europeo del cloud e le modalità di funzionamento futuro degli enti del settore pubblico.
PUBBLICITÀ
PUBBLICITÀ
La CADA si concentra su tre pilastri principali: investimenti in ricerca, sviluppo e innovazione; rafforzamento delle capacità, con l’obiettivo dichiarato di triplicare il mercato europeo dei data centre nei prossimi cinque-sette anni; e un quadro completo di autonomia, che introduce quattro livelli di sovranità e sicurezza e nuovi obblighi per gli Stati membri dell’UE.
Accoglienza tiepida e divisa sulla CADA
Finora la proposta ha ricevuto reazioni contrastanti. Associazioni di settore come CCIA Europe hanno definito il testo discriminatorio, perché la CADA imporrebbe agli Stati membri di valutare quali casi d’uso richiedono specifici livelli di sovranità che i fornitori extra UE non sarebbero in grado di garantire per impostazione predefinita.
Il legale polacco esperto di tecnologia Mikolaj Barcenciewicz ha già affermato che la CADA dovrebbe basarsi sull’analisi del rischio e non su categorie rigide, in modo da preservare l’approccio specifico dei singoli Stati membri e il principio di sussidiarietà, invece di generalizzarli.
L’eurodeputato svedese Jörgen Warborn ha illustrato di recente su LinkedIn la sua posizione sulla proposta CADA, sostenendo che gli obiettivi europei di sovranità digitale devono essere accompagnati da un’ulteriore semplificazione e da condizioni migliori per le imprese, rafforzando la prospettiva di un ritorno sugli investimenti.
Secondo Warborn, se è vero che gli obiettivi di sovranità dell’UE vanno rafforzati nelle applicazioni nazionali legate alla sicurezza nazionale, nei settori meno sensibili dovrebbe esserci spazio per gli investimenti diretti esteri. Questo perché la grande maggioranza della ricchezza globale si trova al di fuori dell’UE e l’Unione dovrebbe puntare ad attirare questi capitali, non il contrario.
L’eurodeputata finlandese Aura Salla, al contrario, ha chiesto un approccio ancora più centralizzato per testare e sottoporre a stress test le dipendenze tecnologiche e valutare i rischi a livello di Stati membri.
Alcuni stakeholder, come il fornitore tedesco di software Nextcloud, sostengono infine che l’attuale proposta non sia abbastanza ambiziosa e che andrebbe estesa anche al settore privato.
Tetto di 12 mesi per i permessi, ma con requisiti più stringenti
Il titolo III della CADA introduce due meccanismi principali per espandere rapidamente la capacità dei data centre nell’UE: le Zone di accelerazione dei data centre (Data Centre Acceleration Zones) e i Progetti strategici per i data centre (Data Centre Strategic Projects).
Entro sei mesi dall’entrata in vigore del regolamento, ogni Stato membro dovrà designare almeno una zona di accelerazione, integrata nei piani urbanistici locali e di quartiere, tenendo conto della disponibilità della rete elettrica, della capacità delle reti di telecomunicazione e con una chiara preferenza per siti brownfield, cioè aree industriali già utilizzate in passato.
Sia che un nuovo sviluppo ricada in queste zone pre-approvate, sia che ottenga la qualifica di progetto strategico individuale, potrà beneficiare di un corridoio verde con una procedura di rilascio dei permessi che non può superare i 12 mesi.
La lista di requisiti per la conformità prevista dalla CADA è però molto impegnativa: i gestori delle infrastrutture dovranno adottare indicatori di sostenibilità (KPI) standardizzati a livello UE e l’assegnazione delle risorse locali sarà rigidamente controllata per evitare accaparramenti speculativi o blocchi anticoncorrenziali.
In pratica, gli Stati membri avranno solo sei mesi per istituire zone conformi all’interno di complessi quadri di pianificazione locale, seguiti da un ulteriore periodo, altrettanto ristretto, di 12 mesi per l’approvazione dei singoli permessi.
La costruzione concreta dei data centre è già oggi fortemente frenata da vincoli materiali: solo poche imprese specializzate dispongono delle certificazioni necessarie, ogni fase di sviluppo è sottoposta a controlli rigorosi e perfino strutture di dimensioni ridotte richiedono talvolta anni per essere completate.
Aggiungendo pesanti nuovi oneri di conformità sia per gli Stati membri sia per i fornitori di infrastrutture, i responsabili politici europei rischiano di trasformare il tetto dei 12 mesi al massimo per i permessi in un obiettivo marginale e poco significativo, in una filiera strutturalmente complessa.
Profondi cambiamenti negli appalti pubblici
Il titolo IV della CADA e gli allegati collegati definiscono un nuovo quadro rigido che stabilisce in modo dettagliato quali tipi di software e servizi di cloud computing gli Stati membri dell’UE potranno acquisire.
La domanda del settore pubblico verrà rigorosamente ricondotta ai quattro livelli di garanzia indicati nell’allegato II della CADA.
Il livello 1 copre un livello di base di sovranità e sicurezza e consente la proprietà societaria da parte di soggetti di Paesi terzi.
Il livello 2 riguarda una sovranità digitale sostanziale: la proprietà societaria da parte di soggetti di Paesi terzi è ancora consentita, a condizione che tutte le operazioni, le infrastrutture, il personale e l’assistenza rimangano rigorosamente all’interno dell’UE, che siano coperte da una certificazione di cybersicurezza di livello sostanziale e che i dati dei clienti non possano essere utilizzati per l’addestramento di sistemi di IA in Paesi terzi.
Il livello 3 corrisponde a un’alta sovranità e alla tutela della sicurezza nazionale: il controllo societario da parte di soggetti di Paesi terzi è vietato in linea di principio, salvo rare eccezioni concesse dalla Commissione europea, mentre il livello 4 rappresenta la massima autonomia e la sicurezza critica, con il controllo societario da parte di soggetti di Paesi terzi completamente vietato.
Come dovranno tradurre in pratica il nuovo quadro CADA gli Stati membri dell’UE? Innanzitutto nominando una o più autorità nazionali competenti per far rispettare le regole, verificare i fornitori e gestire le domande di riconoscimento dei provider cloud.
Entro un anno, gli Stati membri dovranno effettuare valutazioni del rischio (da ripetersi ogni due anni) per individuare quali attività del settore pubblico si basano sui servizi cloud e per determinare il livello di garanzia di sicurezza appropriato.
L’attuale proposta CADA rivoluzionerebbe completamente il modo in cui finora sono stati gestiti gli appalti pubblici per i servizi cloud.
In passato, gli enti pubblici degli Stati membri potevano scegliere liberamente i fornitori di servizi cloud in base al prezzo, alla qualità del servizio, alle esigenze organizzative e alla normativa nazionale sulla gestione dei dati, basata sul rischio sovrano.
Se in passato le aggiudicazioni degli appalti erano fortemente influenzate dal prezzo e da specifiche tecniche standard, ora gli Stati membri dovranno valutare anche criteri non legati al prezzo, come il contributo del fornitore all’ecosistema digitale europeo.
Questo articolo è stato pubblicato per la prima volta su EU Tech Loop (fonte in inglese) ed è stato riproposto su Euronews nell’ambito di un accordo di collaborazione.