L’assegnazione della gara Consip da 150 milioni di euro a Fastweb per l’erogazione di servizi basati su AWS nella pubblica amministrazione italiana non è una semplice notizia di procurement; è un segnale strutturale, quasi un leak involontario, di come l’Italia stia interpretando il concetto di sovranità digitale nel momento in cui diventa economicamente rilevante. La narrativa ufficiale parla di efficienza, scalabilità, modernizzazione. Quella implicita, molto meno rassicurante, racconta invece una dipendenza sistemica da infrastrutture che rispondono a giurisdizioni esterne, con tutte le implicazioni che questo comporta. Il punto non è tecnologico. Il punto è giuridico, politico e, in ultima analisi, strategico.
L’illusione più diffusa, quasi consolatoria, è che la localizzazione fisica dei dati equivalga alla loro protezione giuridica. È una semplificazione utile per slide di presentazione e bandi pubblici, ma completamente inadeguata nel mondo reale. Il CLOUD Act statunitense, approvato nel 2018, ha chiarito una volta per tutte che il controllo giuridico sui dati segue la nazionalità del provider, non la posizione dei server. Tradotto in termini meno diplomatici: se il fornitore è americano, i dati possono essere richiesti dalle autorità statunitensi, indipendentemente dal fatto che risiedano a Milano, Francoforte o Reykjavik. Non serve un thriller distopico per immaginare le implicazioni; basta leggere la legge.
Questo crea una tensione evidente, quasi imbarazzante, con il quadro normativo europeo. Il GDPR, con tutta la sua architettura di protezione dei dati personali, si fonda su un presupposto chiaro: il controllo deve essere esercitato all’interno di un perimetro giuridico definito e coerente. L’AI Act, ancora più ambizioso, estende questo principio ai sistemi ad alto rischio, imponendo requisiti stringenti su tracciabilità, auditabilità e governance. Quando una parte della supply chain tecnologica è esposta a una giurisdizione extraeuropea con poteri di accesso extraterritoriali, questa coerenza si incrina. Non crolla immediatamente, ma diventa strutturalmente fragile, come un edificio costruito su fondamenta sabbiose ma rivestito in marmo.
La qualificazione dell’Agenzia per la Cybersicurezza Nazionale, spesso citata come garanzia definitiva, merita una lettura più sobria e meno celebrativa. Certificare un servizio significa validarne gli standard tecnici, i processi di sicurezza, le modalità operative. Non significa neutralizzare gli effetti di una legge straniera. Confondere questi due livelli è un errore concettuale che rischia di diventare sistemico. La sicurezza tecnica è necessaria, ma non è sufficiente. La sovranità digitale è, prima di tutto, una questione di diritto applicabile.
Nel frattempo, la Legge 132/2024, che rafforza il ruolo dell’Agenzia per la Cybersicurezza Nazionale e introduce principi più espliciti sulla gestione dei dati strategici, sembra muoversi in direzione opposta rispetto alle scelte di procurement. Il legislatore afferma che i dati della pubblica amministrazione devono rimanere sotto il controllo effettivo dello Stato, con garanzie giuridiche certe su accessi e utilizzi. Il mercato, o meglio le decisioni operative della macchina pubblica, sembra invece accettare una forma di sovranità attenuata, mediata, condizionata. È una dicotomia tipicamente europea: principi elevati, implementazione negoziata.
La questione, a questo punto, smette di essere tecnica e diventa filosofica, o se si preferisce brutalmente economica. Ha senso costruire l’infrastruttura digitale di uno Stato su piattaforme che, per definizione, rispondono a un altro Stato? La risposta pragmatica è sì, perché sono le migliori, le più mature, le più scalabili. La risposta strategica è molto meno rassicurante. Dipendere significa accettare un rischio. Non un rischio teorico, ma una variabile strutturale che può materializzarsi in qualsiasi momento, in funzione di dinamiche geopolitiche che non controlliamo.
La storia economica offre analogie interessanti. Negli anni Settanta, la dipendenza energetica ha ridefinito equilibri politici globali. Oggi, la dipendenza computazionale sta seguendo una traiettoria sorprendentemente simile. I data center sono le nuove raffinerie, i modelli AI i nuovi carburanti, e i provider cloud le nuove compagnie petrolifere. Nessuno si stupisce più del fatto che l’Europa importi tecnologia dagli Stati Uniti, ma pochi sembrano interrogarsi sul costo strategico di questa scelta quando si tratta di dati pubblici.
Un altro livello di analisi riguarda l’effetto sistemico sulle filiere industriali locali. Le grandi commesse pubbliche non sono mai neutrali; sono strumenti di politica industriale, anche quando non lo dichiarano esplicitamente. Scegliere un’infrastruttura significa orientare un ecosistema. Se la domanda pubblica converge sistematicamente verso soluzioni extraeuropee, l’offerta domestica difficilmente troverà lo spazio per svilupparsi. È un circolo vizioso perfettamente razionale nel breve termine e profondamente miope nel lungo.
Il paradosso è che l’Europa, e in misura crescente anche l’Italia, ha prodotto negli ultimi anni una quantità significativa di regolazione sulla sovranità digitale, senza però costruire le condizioni economiche per sostenerla. È come progettare un’autostrada senza investire nelle automobili. Il risultato è una sofisticata architettura normativa che si scontra con la realtà di mercato, dove la competizione è già stata vinta, almeno per ora, da attori globali con risorse e scala difficilmente replicabili.
La discussione sulla “sovranità del dato” rischia inoltre di essere viziata da una certa ambiguità semantica. Sovranità non significa isolamento. Nessuno propone un’autarchia digitale. Significa, piuttosto, capacità di controllo effettivo, possibilità di decidere chi può accedere ai dati, in quali condizioni, sotto quale giurisdizione. Quando questa capacità è limitata da vincoli esterni, anche perfettamente legali in altri ordinamenti, la sovranità diventa una dichiarazione di intenti più che una realtà operativa.
Il caso Fastweb-AWS, in questo contesto, diventa emblematico. Non perché sia un’eccezione, ma perché è la norma che si manifesta in modo esplicito. L’integrazione tra un operatore nazionale e un hyperscaler globale è la soluzione più logica dal punto di vista industriale. È anche quella che espone più chiaramente le contraddizioni del sistema. La presenza di un attore italiano nella catena del valore non elimina il problema della giurisdizione. Lo attenua, lo rende più accettabile politicamente, ma non lo risolve.
Una certa dose di realismo è necessaria. Costruire alternative europee competitive richiede tempo, capitali e una volontà politica che vada oltre le dichiarazioni di principio. Iniziative come Gaia-X hanno mostrato quanto sia complesso coordinare interessi nazionali divergenti sotto un’unica visione. Nel frattempo, la domanda cresce, i progetti si accumulano, e le amministrazioni pubbliche devono scegliere soluzioni disponibili oggi, non tra dieci anni.
Il rischio è che la finestra temporale per costruire una reale autonomia si stia lentamente chiudendo. Più si investe in infrastrutture e piattaforme esistenti, più aumenta il costo di uscita. È il classico lock-in, elevato alla scala di uno Stato. Non è solo una questione tecnica, ma economica e organizzativa. Migrare dati, applicazioni, processi non è mai neutrale; farlo su larga scala diventa un’impresa titanica.
L’ironia, sottile ma inevitabile, è che nel momento storico in cui l’Europa rivendica maggiore autonomia strategica, continua a delegare le sue fondamenta digitali a soggetti esterni. Non per mancanza di consapevolezza, ma per una combinazione di pragmatismo e inerzia. È una scelta razionale nel breve termine, ma potenzialmente costosa nel lungo. Una di quelle decisioni che, viste a posteriori, sembrano ovvie, ma che nel presente appaiono inevitabili.
Il vero nodo, quello che raramente viene affrontato apertamente, è che la sovranità digitale ha un costo. Non solo economico, ma anche in termini di efficienza e velocità di innovazione. Rinunciare, anche parzialmente, ai leader globali significa accettare compromessi. La domanda che la politica dovrebbe porsi, con maggiore onestà intellettuale, è se questo costo sia giustificato. Finora, la risposta implicita sembra essere negativa.
Resta una sensazione di fondo, difficile da ignorare. L’Italia, come gran parte dell’Europa, sta costruendo la propria infrastruttura digitale su un equilibrio instabile tra principi dichiarati e pratiche operative. Un equilibrio che funziona finché non viene stressato. La storia insegna che questi stress arrivano sempre, spesso nei momenti meno opportuni. Quando accadrà, la distinzione tra controllo teorico e controllo effettivo diventerà improvvisamente molto concreta. E a quel punto, le slide di presentazione non basteranno più.