In un panorama digitale in continua evoluzione, la regolamentazione dell’Intelligenza Artificiale (AI) e del cloud computing sta diventando un tema centrale. L’Europa si sta interrogando sulla necessità di un “Cloud AI Development Act”, e per esplorare a fondo la questione, è stato organizzato un webinar con alcuni dei maggiori esperti del settore.
Questo incontro organizzato da Seeweb (Antonio Baldassarra) e moderato da Dario Denni , nato da un confronto approfondito con il Professor Antonio Manganelli su ipotesi competitive nell’ambito dell’Agent AI, si propone di aprire ad una comprensione approfondita di un argomento che modellerà il futuro dell’economia e della società digitale.
Tra i relatori: Antonio Baldassarra, Antonio Manganelli, Innocenzo Genna, Renato Sicca, Maria Vittoria La Rosa, Luca Megale, Alberto Messina, Simone Cremonini, Vincenzo Ferraiuolo e Marco Benacchio.
Perché la Commissione ritiene che ci sia bisogno di intervenire. È un tema che sarà oggetto di dibattito, com’è giusto che sia.
Molto interesante è la narrativa di Antonio Manganelli Professor of Competition Law and Policy at University of Siena | Research Fellow at the Centre on Regulation in Europe (CERRE).
A prima vista, parlare di cloud può sembrare una questione puramente tecnica, materia da specialisti. E per certi versi lo è. Ma nel concreto, i servizi di cloud computing sono ormai diventati un elemento strutturale della società digitale e un abilitatore fondamentale dell’intera economia europea.
Il cloud oggi svolge una funzione economica simile a quella delle reti di telecomunicazione: è l’infrastruttura invisibile ma imprescindibile che sostiene piattaforme, servizi, applicazioni, pubbliche amministrazioni e imprese. E proprio come le reti, non può essere lasciato esclusivamente alla logica di mercato.
È per questo che la Commissione europea, già dalla precedente legislatura e oggi sotto la presidenza von der Leyen, lo considera un dossier chiave. Il cloud non è più una commodity tecnica: è una questione di sovranità, resilienza e competitività.
Qualche dato per capire meglio il contesto. Il mercato europeo del cloud ha registrato negli ultimi anni una crescita media annua intorno al 30% in termini di volume d’affari diretto. Un’espansione rapidissima, che riflette la sua centralità nel nuovo tessuto economico.
Inoltre, l’adozione del cloud è oggi uno degli indicatori monitorati dalla Bussola Digitale della Commissione. Nel 2024, la media delle imprese europee che utilizzano servizi cloud è arrivata attorno al 45%, ma l’Italia si distingue positivamente, con un’adozione che supera il 65%.
Sappiamo bene che il cloud non è un blocco monolitico: è un arcipelago di servizi che si estende su tre livelli principali della catena del valore – infrastructure as a service (IaaS), platform as a service (PaaS) e software as a service (SaaS). Non tutti gli operatori presidiano tutti i livelli, e le dinamiche competitive sono diverse in ciascun segmento.
Un dato interessante arriva dallo studio di mercato dell’autorità olandese per la concorrenza (ACM): nel 2023, oltre il 60% dei ricavi nel settore cloud proveniva dai servizi software, circa il 15% dalle piattaforme, e il 20% dalle infrastrutture. Una distribuzione che dimostra come il vero valore si concentri sempre di più a monte della catena, dove si consolidano ecosistemi chiusi e vantaggi competitivi significativi.
Il cloud oggi non è soltanto un servizio digitale: è un’infrastruttura strategica. E come tale, merita una governance pubblica adeguata, regole chiare, e una visione industriale europea. Non regolamentarlo significherebbe lasciare una leva cruciale dell’economia digitale nelle mani di pochi soggetti extra-europei, con tutto ciò che ne consegue in termini di sicurezza, concorrenza e autonomia tecnologica.
Il mercato europeo dell’infrastructure as a service (IaaS), cioè la base materiale del cloud, è tutto fuorché frammentato. Anzi, è probabilmente uno dei settori a maggiore concentrazione del panorama digitale. Secondo dati convergenti da diverse autorità antitrust, oltre l’80% del mercato europeo IaaS è nelle mani di tre operatori: Amazon Web Services, Microsoft Azure e Google Cloud. Li chiamiamo hyperscaler, ma il termine è quasi un eufemismo: si tratta di vere e proprie piattaforme sistemiche, colossi che definiscono standard tecnici, modelli commerciali e, in molti casi, le regole del gioco.
Questa iperconcentrazione non è un’anomalia europea. Nella mia recente partecipazione al Competition Committee dell’OCSE, dove ho avuto modo di intervenire come esperto esterno, è emersa una fotografia interessante anche a livello globale. Nei mercati asiatici – in particolare Giappone e Corea del Sud – il predominio di Microsoft è ancora più marcato, con quote significativamente superiori rispetto a quelle di Google o Amazon. Un oligopolio, sì, ma con geometrie variabili a seconda del continente.
In Europa, Microsoft e Amazon si contendono la vetta, mentre Google mantiene una posizione più marginale. Ma il risultato finale non cambia: siamo di fronte a un oligopolio concentrato, come si definisce in economia, dove poche imprese controllano la stragrande maggioranza dell’offerta e detengono un vantaggio infrastrutturale difficile da scalfire.
Questa struttura di mercato ha acceso i riflettori di numerose autorità della concorrenza a livello internazionale. I casi più noti arrivano dall’Olanda, dalla Francia, dal Regno Unito, ma anche da economie tecnologicamente avanzate come il Giappone e la Corea del Sud. Tutti questi studi arrivano più o meno alla stessa conclusione: il mercato è troppo concentrato e presenta barriere all’entrata che ostacolano una reale concorrenza. Il problema principale? Il lock-in.
Il lock-in nel cloud non è un’espressione retorica, ma una diagnosi tecnica precisa. Esistono diverse forme di lock-in che rendono difficile, se non impossibile, per un cliente migrare da un fornitore all’altro. Alcune sono tecniche: scarsa portabilità dei dati, interfacce API proprietarie e non interoperabili, standard differenziati che non dialogano tra loro. Altre sono commerciali: pratiche di bundling e tying tra servizi cloud e software downstream, dove gli stessi hyperscaler dominano grazie alla loro integrazione verticale. È il caso, per esempio, di Microsoft che lega la propria offerta cloud a Office 365 o ad altri strumenti business-critical.
In molti di questi casi, siamo oltre la semplice concorrenza sleale: ci muoviamo nel campo delle strategie escludenti che possono configurare un abuso di posizione dominante, come ben sanno le autorità antitrust europee. Alcune di queste pratiche sono già sotto indagine, altre sono in fase preliminare. Ma il segnale è chiaro: l’asimmetria del potere di mercato nel cloud non è più sostenibile.
Ciò che rende il quadro ancora più delicato è il fatto che gli hyperscaler non sono semplici provider tecnici, ma veri e propri gatekeeper digitali. Il cloud è oggi una piattaforma abilitante per ogni servizio digitale – dalla sanità alla finanza, dalla pubblica amministrazione all’AI – e chi controlla le chiavi di accesso, controlla l’evoluzione tecnologica dell’intero continente.
Ecco perché parlare di regolazione del cloud non è una fissa da burocrate, ma una priorità strategica. Significa difendere l’equilibrio competitivo, garantire l’interoperabilità, tutelare la sovranità digitale europea. Perché senza regole adeguate, rischiamo di trasformare un’infrastruttura fondamentale in un territorio di dipendenza sistemica. E questo, per l’Europa, non è più un rischio teorico. È una realtà in atto.
Nel caso del cloud europeo, il tema della posizione dominante non è solo una questione teorica. È realtà concreta, osservabile. E soprattutto, è sotto esame. I grandi operatori – in particolare Microsoft – sono accusati da più fronti di praticare una forma di leveraging digitale: sfruttano la posizione dominante in mercati adiacenti, come il software business, per consolidare o estendere il proprio potere anche nei servizi di cloud computing.
Come? Attraverso strategie di bundling, tying e tecniche di lock-in progettate a tavolino: ad esempio, vincolare l’uso del cloud proprietario all’acquisto di altri prodotti, oppure introdurre barriere tecniche all’interoperabilità, rendendo la migrazione verso provider concorrenti tecnicamente complicata, se non disincentivata economicamente.
Non è solo un sospetto teorico. Sono pratiche già sotto indagine. In Regno Unito, la Competition and Markets Authority ha aperto un caso di studio, in parte ispirato dalle segnalazioni di Google, che – pur essendo un micro-scaler nel contesto europeo – si è pubblicamente lamentata della condotta di Microsoft nel cloud. Anche negli Stati Uniti, la Federal Trade Commission sta monitorando attivamente questo settore. E naturalmente, la Commissione europea ha attivato meccanismi di vigilanza e approfondimento in più direzioni, anche sotto la lente dell’abuso di posizione dominante previsto dal diritto della concorrenza UE.
Ma non bisogna cedere all’equivoco: il mercato del cloud non è privo di regolazione. Anzi, esiste già una rete normativa significativa, anche se frammentata, che tocca il cloud direttamente o indirettamente.
Il punto di partenza storico è stato il GDPR, che ha introdotto – tra le molte tutele – anche il concetto di portabilità dei dati personali. Tuttavia, il GDPR non affronta il nodo del cloud nella sua interezza: si limita ai dati personali, escludendo larga parte delle informazioni aziendali o industriali.
Poi è arrivato il Regolamento sul libero flusso dei dati non personali (Free Flow of Non-Personal Data Regulation). Un testo ambizioso nelle intenzioni, che prevedeva incentivi non vincolanti alla portabilità, ma che nei fatti si è dimostrato debole e inefficace nella rimozione delle barriere strutturali allo switching.
È proprio dalla constatazione dell’inefficacia di questi strumenti che nasce il Data Act. Questo è il primo vero tentativo europeo di affrontare frontalmente le distorsioni nel mercato del cloud, non con linee guida etiche o incentivi deboli, ma con norme tecniche e vincoli giuridici.
I Titoli VI e VIII del Data Act, per esempio, attaccano in modo diretto il cuore del problema: introducono l’obbligo di eliminare o ridurre significativamente i costi di switching, sia in termini monetari (le famigerate egress fees imposte per esportare i propri dati da un provider all’altro), sia in termini tecnici (standard proprietari, mancanza di API comuni, incompatibilità deliberatamente introdotte).
Non solo: il Data Act mira a rafforzare l’interoperabilità tra servizi cloud – un passaggio fondamentale per scardinare l’effetto lock-in e restituire agli utenti, siano essi imprese o amministrazioni, libertà di scelta effettiva, e non solo teorica.
In questa nuova architettura, la regolazione del cloud diventa un pilastro della sovranità digitale europea. Perché non si tratta solo di tutelare i consumatori o abbattere i costi. Si tratta di creare un mercato cloud equo, aperto e competitivo, dove l’innovazione non sia bloccata da pratiche escludenti e dove nessun attore – per quanto potente – possa definire da solo le condizioni di accesso a un’infrastruttura strategica.
Il cloud non è solo un servizio tra tanti. È il nuovo tessuto connettivo dell’economia digitale. E come tale, richiede regole chiare, vigilanza efficace e un’azione pubblica decisa. Perché la concentrazione è un fenomeno economico; ma la dipendenza è una scelta politica.
A differenza di quanto si potrebbe pensare, il Data Act non è un intervento chirurgico contro i big del cloud. È una regolazione simmetrica, proprio come il GDPR. Vale per tutti, dal micro-provider regionale alla multinazionale globale, e si applica a chiunque offra servizi di data processing. La definizione è ampia e volutamente inclusiva: comprende sia i cloud computing services che gli edge computing services. Tradotto: nessuno escluso.
Il regolamento è già entrato in vigore e diventerà efficace da settembre 2025. A quel punto, ogni operatore – indipendentemente da dimensione, struttura o mercato di riferimento – dovrà garantire portabilità dei dati, interoperabilità, e trasparenza delle condizioni di switching. Sarà un GDPR 2.0, ma orientato alla struttura tecnica della nuvola.
Il che apre una questione spinosa, che nessun policymaker può ignorare: l’universalità della norma non è neutra nei suoi effetti. La simmetria giuridica produce asimmetrie economiche, soprattutto sul piano della compliance. I costi di adeguamento per un piccolo fornitore sono, proporzionalmente, molto più onerosi rispetto a quelli che affronta un hyperscaler con una divisione legal dedicata, un team di ingegneri di standardizzazione, e una forza di lobbying continentale.
Il paradosso è evidente: una norma pensata per rendere il mercato più aperto può, nel breve periodo, aumentare la pressione sulle imprese più piccole. Il famoso trade-off. Da una parte, si correggono distorsioni sistemiche creando interoperabilità. Dall’altra, si rischia di selezionare per sopravvivenza chi può permettersi il costo della regola. Un classico caso di buone intenzioni che richiedono vigilanza ex-post.
E qui entra in gioco l’altro grande attore normativo: il Digital Markets Act. A differenza del Data Act, il DMA non è simmetrico. È un atto selettivo e chirurgico, pensato per colpire solo quelle piattaforme digitali che, per struttura e posizione di mercato, vengono identificate come gatekeeper. È un modello ex ante, pro-concorrenziale, armonizzato, che si applica solo a chi raggiunge certe soglie critiche: numero di utenti finali e business, intensità relazionale, controllo della piattaforma.
Nel caso del cloud, i servizi IaaS e PaaS rientrano tra i Core Platform Services previsti dal DMA. Ma per attivare la regolazione, non basta l’etichetta tecnica: serve un’istruttoria, una qualificazione formale che identifichi l’operatore come gatekeeper. E su questo fronte siamo ancora nel pieno della partita.
Le imprese stanno ovviamente resistendo. Essere designati gatekeeper significa entrare in un regime speciale, soggetto a vincoli aggiuntivi: obbligo di interoperabilità, divieto di self-preferencing, limitazione dell’uso incrociato dei dati. È il cuore della nuova concorrenza digitale. E il cloud è sul tavolo, anche se – per ora – non è ancora il protagonista assoluto.
Ma lo diventerà. Perché il cloud è la spina dorsale invisibile della trasformazione digitale europea, ed è inevitabile che rientri, sempre di più, nel radar delle autorità regolatorie. Il punto non è se, ma quando. E soprattutto, con quale equilibrio tra simmetria normativa e asimmetria competitiva.
Serve una visione che sappia distinguere tra potere di mercato e capacità di innovazione. Perché la vera sfida non è punire chi è grande, ma impedire che la grandezza diventi il solo criterio per determinare chi sopravvive.
L’Europa ha scoperto che il cloud non è solo un servizio. È un campo di battaglia.
Ci abbiamo messo un po’, ma ci siamo arrivati. Il cloud, per troppo tempo considerato un’infrastruttura tecnica da lasciare ai tecnici, è ormai entrato con prepotenza nel cuore delle politiche industriali europee. Non si tratta più solo di storage o calcolo distribuito: si tratta di potere economico, dipendenza strategica, e – ovviamente – intelligenza artificiale.
La retorica della “nuvola neutrale” è durata quanto una connessione in 3G: oggi il cloud è la nuova rete neurale dell’economia digitale, e chi la controlla può decidere chi innova, chi scala e chi resta ai margini. Come le telecomunicazioni ieri, il cloud oggi è un’infrastruttura verticale, una pipeline chiusa e proprietaria che collega infrastruttura, piattaforma, software e ora anche AI.
La narrazione orizzontale dei marketplace aperti – come AWS Bedrock, per citare il caso più avanzato – è ancora un’eccezione e non la regola. La maggior parte degli hyperscaler continua a operare secondo modelli verticali integrati, dove le interfacce non sono standard, la portabilità è limitata e le barriere all’uscita sono una feature, non un bug.
Qui arriva il problema regolatorio. Il Digital Markets Act, il grande esperimento europeo per domare i gatekeeper digitali, ha un limite concettuale: si applica a modelli di piattaforma, non di pipeline. E il cloud, come oggi strutturato, sfugge a quella definizione, rendendo difficile includere gli hyperscaler tra i soggetti regolati, nonostante la loro evidente capacità di distorsione sistemica.
Nel frattempo, però, l’Europa ha provato a mettere ordine con un approccio più neutro e orizzontale. È nato così il Data Act, un regolamento che – come il GDPR a suo tempo – si applica a tutti, indistintamente: hyperscaler e micro-provider, piattaforme pubbliche e servizi edge.
Da settembre 2025 sarà pienamente operativo. E anche se l’obiettivo è nobile – favorire l’interoperabilità, abbattere i costi di switching, disinnescare i lock-in – il rischio è quello di una simmetria finta: le stesse regole per tutti generano effetti molto diversi. I costi di compliance per un piccolo operatore possono diventare proibitivi, mentre per i giganti sono solo una linea in bilancio. Uniformare le regole non sempre uniforma il mercato.
Nel frattempo, i watchdog internazionali – dalla CMA britannica alla FTC americana – hanno cominciato a guardare dentro i modelli commerciali degli hyperscaler. Il caso Microsoft è emblematico: leveraging delle posizioni dominanti nel software per spingere l’adozione del proprio cloud. Pratiche di bundling, API chiuse, costi di uscita camuffati. Tutto il repertorio classico.
Eppure, qualcosa sta cambiando. Dopo anni di regolazione difensiva, l’Europa sembra finalmente pronta a passare all’attacco. E lo fa con un atto normativo che, già dal nome, suona come una dichiarazione di intenti: il Cloud and AI Development Act.
Atteso per l’ultimo trimestre del 2025, questo nuovo regolamento non sarà una legge difensiva, ma una strategia di politica industriale. Non nasce per limitare, ma per sviluppare. Un atto pensato per abilitare la crescita dei servizi cloud e AI in Europa, non solo per contenerne gli abusi.
La Commissione lo sa: non si può avere una strategia sull’intelligenza artificiale senza una strategia sul cloud. Le due cose sono interdipendenti. Il training dei modelli, il deployment delle soluzioni, l’inference in tempo reale: tutto passa per l’infrastruttura cloud. E se quella infrastruttura è americana, anche l’AI europea lo sarà.
Il nuovo regolamento, su cui sono già in corso gli studi preliminari (e sì, in alcuni siamo coinvolti direttamente), dovrà affrontare una serie di questioni decisive: incentivi agli operatori europei, standard tecnici aperti, interoperabilità obbligatoria, accesso equo alle risorse computazionali, condizionalità per i fondi pubblici legati al deployment AI. Un mix di sviluppo e regolazione.
È una sfida ambiziosa, certo. Ma è anche l’unica strada credibile. Non basta più regolamentare i campioni d’altri: serve creare le condizioni per farne nascere di nostri. E per farlo, occorre una cornice che non sia solo giuridica, ma industriale, strategica, geopolitica.
Il Cloud and AI Development Act potrebbe essere per il digitale europeo quello che l’Airbus fu per l’aviazione: una presa di coscienza, una rottura dell’incantesimo, una dimostrazione che anche il Vecchio Continente può decidere di giocare l’attacco.
Il cloud non è più un’infrastruttura. È un arbitrato. Un acceleratore. E nel contesto dell’intelligenza artificiale, è l’organo vitale che determina dove e come si forma il valore. Chi lo controlla, controlla la mappa. Chi lo regola bene, può ancora cambiare il gioco. Ma solo se lo fa adesso.
Nel nuovo scenario digitale, il cloud non si limita più a ospitare l’AI: la fabbrica e il prodotto stanno diventando la stessa cosa. Gli hyperscaler stanno facendo esattamente ciò che ci si aspettava: usano la loro posizione dominante nell’infrastruttura per guadagnare vantaggio competitivo nei layer superiori della stack AI, in particolare nel mercato emergente e già cruciale dei foundation model.
Amazon ha Bedrock, Microsoft ha Azure OpenAI, Google ha Gemini integrato in Google Cloud. Tutti forniscono servizi cloud. Tutti offrono modelli generativi. Tutti – guarda caso – auto-preferenziano i propri modelli nelle proprie piattaforme.
Il rischio è chiaro: un nuovo ciclo di lock-in, ma questa volta non solo a danno degli utenti cloud, ma anche delle aziende che costruiscono o implementano sistemi di AI generativa. La domanda che la Commissione si sta ponendo – e su cui si stanno concentrando gli studi preliminari del Cloud and AI Development Act – è se il corpus normativo esistente (Data Act, DMA, AI Act) sia sufficiente a contenere questi effetti di leveraging trasversale, o se invece serva un nuovo atto normativo specifico, focalizzato sul confine critico tra cloud e AI.
Il problema è triplice. Primo: il cloud entra in ogni fase della value chain dell’AI, dal training (compute massivo), al deployment (infrastruttura elastica), fino all’inference (servizi integrati, API, prompt gateway). Secondo: gli operatori dominanti sono sempre gli stessi. Terzo: i framework esistenti non sono costruiti per intercettare questa nuova forma di convergenza verticale.
In teoria, il Digital Markets Act potrebbe bastare, ma ha limiti concettuali. Il Data Act si ferma all’interoperabilità e al data sharing. L’AI Act è centrato sul rischio sistemico e sulla trasparenza algoritmica, non sulla struttura di mercato. Nessuno dei tre è disegnato per impedire una colonizzazione silenziosa del mercato AI da parte dei fornitori di infrastruttura.
Eppure, introdurre un ulteriore atto normativo, magari con regole simmetriche, non è privo di rischi. Un eccesso di regolazione potrebbe avere effetti controproducenti, scoraggiando l’innovazione o consolidando indirettamente gli incumbent, che hanno le spalle abbastanza larghe per assorbire qualsiasi compliance.
Questo è il cuore del dibattito: non se regolare, ma come evitare che la regolazione diventi un’arma di conservazione. L’Europa, ancora una volta, si trova a dover bilanciare tre tensioni: garantire concorrenza, stimolare innovazione, e costruire autonomia strategica. Ma questa volta la posta è ancora più alta. Perché se perdiamo la battaglia per l’AI, sarà perché abbiamo sottovalutato chi controlla il cloud.