Il cloud europeo ostaggio delle big tech USA: come emanciparci?

Il cloud computing è oggi la spina dorsale dell’economia digitale. Una struttura invisibile, ma cruciale, che sostiene l’intelligenza artificiale, i servizi pubblici digitalizzati, e persino le infrastrutture critiche in ambito energetico e militare.

Dipendenza strategica dal cloud e sfida alla sovranità digitale

Al pari delle reti e dei servizi di comunicazione elettronica, la sua centralità sistemica è evidente, ma la sua governance è incerta, e l’indipendenza digitale e tecnologica europea – in questo ambito – è quasi inesistente.

Mentre cresce la domanda, aumenta infatti anche la dipendenza dagli operatori non europei.

Il dominio di pochi “hyperscaler” globali – Amazon, Microsoft, Google, soprattutto in considerazione dell’attuale contesto geopolitico ed economico, ha portato nella agenda dei policy maker a considerare ulteriori azioni regolatorie e politiche industriali tendenti ad un riequilibrio strategico. Da qui, l’esigenza di riflettere se siano necessari interventi normativi e industriali ed in caso quali possano essere i più adatti a garantire apertura e contendibilità dei mercati esistenti, congiuntamente ad uno sviluppo resiliente del cloud europeo.

Concentrazione del mercato cloud e rischi concorrenziali

Nel 2024, il mercato italiano del cloud ha raggiunto i 6,8 miliardi di euro, con una crescita del 24% rispetto all’anno precedente. L’impatto economico generato è stato stimato pari a circa 13 miliardi di euro, tra spesa diretta e “effetto spillover” su innovazione e produttività. A livello europeo, il settore vale circa 230 miliardi di euro, e si prevede che il suo contributo all’EBITDA globale possa raggiungere i 3 trilioni di dollari entro il 2030.

Tuttavia, tale sviluppo avviene in un mercato altamente concentrato: oltre il 70% del fatturato IaaS (il livello infrastrutturale più a monte su cui si basano i servizi SaaS rivolti anche agli utenti finali) è controllato da tre operatori statunitensi, con effetti di lock-in, barriere tecniche allo switching, e pratiche commerciali escludenti.

Indagini antitrust e ostacoli alla contendibilità del mercato cloud europeo

Data l’importanza economica del settore e la tendenziale concentrazione oligopolistica, alcune autorità nazionali di concorrenza (in Francia, Olanda e nel Regno Unito) hanno condotto analisi di mercato sui servizi cloud per capire se esistono impedimenti sostanziali allo sviluppo di una concorrenza effettiva.

I principali rischi e problemi concorrenziali individuati sono riferiti alla esistente concentrazione di mercato ed ai notevoli ostacoli all’ingresso e all’espansione, in particolare per IaaS, in ragione dei grandissimi costi fissi e irrecuperabili, così come delle economie di scala, per la costruzione di data centre, reti e server. Parimenti, potenziali ostacoli alla concorrenza sono determinati da pratiche che rendono difficile per i clienti sia (a) cambiare fornitore di cloud (i.e., lo switch dopo la scelta iniziale, i.e., passaggio da on premise a cloud, quando la concorrenza è più intensa), sia (b) utilizzare più fornitori (multi-cloud).

Particolare attenzione hanno posto poi posto le Autorità di concorrenza nel Regno Unito – Ofcom e CMA – sulle pratiche commerciali inerenti alle licenze software messe in atto da Microsoft, che ha, secondo CMA, la capacità e l’incentivo di escludere i concorrenti (anche AWS e Google), rendendo per i clienti dei suoi servizi software meno interessante (sia sotto un profilo tecnico sia commerciale) l’utilizzo di tali prodotti sulle infrastrutture cloud dei concorrenti. Proprio contro tali pratiche, Google ha presentato nel settembre 2024 un reclamo anche alla Commissione europea; inoltre, in novembre 2024, anche la Federal Trade Commission (FTC) ha aperto un’ampia indagine antitrust negli Stati uniti, inviando a Microsoft una estesa richiesta di informazioni.

L’evoluzione normativa dell’Unione europea sul cloud

Nel corso dell’ultimo decennio, l’Unione Europea ha costruito progressivamente un quadro normativo articolato per regolare gli aspetti giuridici, economici e tecnici del cloud computing. Il primo tassello è stato il Regolamento generale sulla protezione dei dati GDPR, entrato in vigore nel 2016, che ha posto le basi per una disciplina forte in materia di privacy e gestione dei dati personali. Sebbene non rivolto specificamente al cloud, il GDPR ha avuto effetti determinanti sull’architettura dei servizi cloud, imponendo limiti stringenti al trattamento transfrontaliero dei dati da parte dei fornitori.

Nel 2018, è stato adottato il Regolamento 1807, volto a garantire la libera circolazione dei dati non personali all’interno dell’Unione. Questo intervento ha completato l’impianto del GDPR, contribuendo a delineare il cloud come infrastruttura abilitante per la mobilità dei dati e l’interoperabilità tra sistemi e favorendo soluzioni di self-regulation per quanto concerne il passaggio degli utenti fra i vari servizi cloud. Soluzioni che poi sono state considerate inefficaci.

Un passo ulteriore è arrivato con il Cybersecurity Act del 2019, che ha introdotto meccanismi europei di certificazione della sicurezza informatica, con particolare attenzione ai servizi critici tra cui il cloud. Il provvedimento ha attribuito nuovi poteri all’ENISA, l’agenzia europea per la sicurezza informatica, stabilendo un primo standard comune per la protezione delle infrastrutture digitali L’Unione Europea ha sviluppato lo Schema Europeo di Certificazione della Sicurezza Informatica per i Servizi Cloud (EUCS) come parte della sua strategia per rafforzare la sicurezza informatica nel settore cloud. Questo schema ha recentemente subito un’importante evoluzione a marzo 2024 con la rimozione dei requisiti di sovranità che imponevano limitazioni agli operatori non europei. Tale modifica rappresenta un cambio di direzione significativo rispetto all’approccio iniziale che mirava a garantire che i dati sensibili degli europei rimanessero sotto il controllo di entità europee. La decisione ha creato una divisione tra chi sostiene che questo promuoverà la competitività globale e chi teme che comprometta la sovranità digitale europea, esponendo i dati a leggi extraterritoriali come il Cloud Act statunitense.

Limiti del DMA e ambizioni del Data Act

Il biennio 2022–2023 ha segnato una fase decisiva, con l’approvazione del Digital Markets Act (DMA) e del Data Governance Act (DGA). Il DMA ha cercato di affrontare il tema del potere di mercato delle grandi piattaforme digitali, cercando di ristabilire contendibilità ed equità in una serie di “servizi di piattaforma base” fra cui sono includi anche i servizi di cloud computing. Tuttavia, il DMA è stato pensato per mercati digitali a due versanti, come social network o motori di ricerca, mentre il cloud ha una struttura verticale e non intermedia tra utenti. I criteri di designazione dei gatekeeper non si adattano quindi ai servizi cloud, rendendo di fatto inapplicabili gli obblighi ex ante. Inoltre, i concetti di “utente finale” e “gateway” risultano concettualmente deboli nel contesto del cloud, possono portare a paradossi applicativi. Di conseguenza, il DMA non riesce a catturare le specificità economiche e tecniche del cloud, rendendolo uno strumento inefficace per affrontare le distorsioni concorrenziali in questo settore.

A completare questa fase è intervenuto il Data Act del 2023, che ha avuto un impatto più diretto sui servizi cloud, imponendo obblighi di portabilità, interoperabilità e neutralità funzionale a tutti i fornitori. Il Data Act introduce una serie di obblighi orizzontali destinati ad avere un impatto significativo sull’ecosistema cloud europeo, in particolare nei rapporti tra fornitori e utenti professionali. Tra gli interventi più rilevanti vi sono: l’obbligo di portabilità dei dati senza oneri ingiustificati, la limitazione delle clausole di lock-in contrattuale, e la promozione di interoperabilità tecnica tra piattaforme. Il regolamento mira così a ridurre le barriere allo switching e ad aumentare la contendibilità del mercato, riequilibrando i rapporti tra hyperscaler e clienti business o pubblici. Tuttavia, l’efficacia di queste misure dipenderà dalla concreta attuazione tecnica, dalla standardizzazione multilaterale e dal ruolo attivo delle autorità nazionali nell’enforcement.

Nel 2024, la Commissione ha pubblicato il White Paper sulla competitività digitale e la Bussola per lo sviluppo infrastrutturale dell’UE, ponendo il cloud al centro della futura strategia industriale dell’Unione. Entrambi i documenti hanno anticipato la proposta del Cloud and AI Development Act, destinato a integrare le misure esistenti con strumenti di pianificazione e investimento, e a promuovere l’accesso equo alle risorse di calcolo.

Infine, il 2025 rappresenta un anno di svolta: oltre all’entrata in vigore del Data Act, è attesa l’adozione formale della proposta per il Cloud and AI Development Act, che dovrebbe fornire un quadro strutturato per affrontare le sfide infrastrutturali, regolatorie e industriali del cloud in Europa, con un’attenzione particolare ai servizi pubblici, alla sicurezza e alla competitività

I report Draghi e Letta: le proposte per un cloud strategico

Due tra le voci più autorevoli nel dibattito europeo – Mario Draghi e Enrico Letta – hanno posto il cloud computing al centro di una riflessione più ampia sul futuro dell’economia digitale europea. Sebbene con accenti e priorità diverse, entrambi sottolineano la necessità di un’azione multilivello che combini strumenti regolatori con una politica industriale attiva e strategica.

Mario Draghi, nel suo rapporto sulla competitività europea, evidenzia che l’UE rischia di rimanere ai margini delle catene del valore delle nuove tecnologie e dell’intelligenza artificiale se non investe rapidamente in capacità computazionale e infrastrutture digitali avanzate. Il cloud è indicato come una delle piattaforme abilitanti fondamentali, su cui si costruiranno le economie di scala e le reti di innovazione del futuro. Tra gli interventi prioritari proposti da Draghi figurano:

• l’adozione di un quadro legislativo europeo coerente, come il futuro Cloud and AI Development Act, che assicuri prevedibilità e standard comuni;

• l’uso strategico degli appalti pubblici europei per orientare la domanda verso soluzioni aperte, sostenibili e affidabili;

• la promozione di poli di calcolo ad alte prestazioni e data center ottimizzati per l’IA, distribuiti su scala europea;

• il superamento della frammentazione tra Stati membri attraverso forme di governance condivisa.

Enrico Letta, nel suo rapporto Much more than a market, individua nel cloud una delle grandi assenze del Mercato Unico Digitale. La persistente frammentazione normativa, la mancanza di interoperabilità e l’assenza di una politica fiscale armonizzata generano barriere competitive e ostacolano lo sviluppo di operatori europei di scala. Tra le soluzioni proposte:

• la creazione di una Unione per gli Investimenti Digitali, capace di mobilitare risorse comuni per progetti infrastrutturali transnazionali;

• una strategia unificata che integri reti di telecomunicazioni e capacità cloud, sia dal punto di vista normativo che operativo;

• la definizione di standard comuni europei in materia di sicurezza, neutralità tecnologica e impatto ambientale;

• una revisione delle regole fiscali per favorire la concorrenza equa e la scalabilità degli operatori europei.

Entrambe le prospettive – pur provenendo da percorsi istituzionali differenti – convergono su un punto centrale: il cloud è ormai una risorsa strategica trasversale, e la sua gestione non può essere affidata esclusivamente alle dinamiche di mercato. Di conseguenza, la sua governance richiede un equilibrio tra regolazione e politica industriale: da un lato, norme certe, proporzionate e applicabili; dall’altro, politiche pubbliche che incentivino investimenti, collaborazione tra Stati membri e sviluppo di nuove capacità infrastrutturali.

Strumenti per una governance industriale europea del cloud

Nel quadro delle attuali trasformazioni tecnologiche, la governance del cloud in Europa si impone come un banco di prova cruciale per la capacità dell’Unione di coniugare regolazione e politica industriale in una strategia coerente. L’approccio puramente normativo – per quanto sofisticato – non è sufficiente a garantire la creazione di un mercato interno pienamente contendibile, dinamico e innovativo. È necessario affiancare alle regole ex ante ed ex post, strumenti di policy capaci di incentivare investimenti, creare economie di scala e rafforzare l’ecosistema europeo del cloud.

Questa esigenza è condivisa in modo esplicito nel White Paper della Commissione (2024), dove si afferma che il ritardo nella costruzione di un mercato unico delle infrastrutture digitali – in particolare nel cloud e nel computing – ostacola la capacità dell’Europa di raggiungere gli obiettivi del Decennio Digitale. Le infrastrutture digitali convergenti, tra telecomunicazioni, cloud ed edge computing, sono viste come condizione necessaria per la competitività futura dell’intera economia europea, e richiedono un approccio proattivo da parte delle istituzioni.

Le proposte di Mario Draghi ed Enrico Letta insistono su una combinazione virtuosa di strumenti normativi e di leva pubblica, dove la politica industriale non è un’alternativa al mercato, ma uno strumento per abilitare condizioni di contesa, efficienza e investimento.

In tale cornice, si delinea una gamma di strumenti di intervento che l’UE dovrebbe utilizzare congiuntamente:

• Fornitura pubblica (non esclusiva): in settori critici come sanità e giustizia, è giustificabile l’impiego di infrastrutture cloud pubbliche o federate, in grado di garantire continuità operativa e affidabilità in scenari di crisi.

• Aiuti di Stato sul lato della domanda: compatibili con l’art. 107 TFUE, possono sostenere l’adozione di soluzioni interoperabili, locali e innovative, specie da parte delle PMI, in linea con i target del Digital Decade Policy Programme.

• Appalti pubblici strategici: il settore pubblico europeo, con il suo potere d’acquisto, può fungere da motore di trasformazione, premiando soluzioni aperte e scalabili.

• Aggregazione tra fornitori: l’UE può sostenere reti federate di operatori locali, favorendo resilienza e specializzazione.

• Regolazione della non contendibilità: è necessario prevedere strumenti per agire contro pratiche sleali, discriminazioni o lock-in, combinando enforcement ex post con meccanismi di prevenzione ex ante nei casi sistemici.

Infine, la costruzione del mercato unico del cloud non può prescindere dalla rimozione degli ostacoli normativi nazionali che oggi impediscono l’emergere di operatori di scala europea: licenze, fiscalità, standard tecnici e accesso alle risorse devono essere armonizzati. Come ammonisce il White Paper, il ritardo nell’integrazione del mercato europeo si traduce in perdita di efficienza, attrattività e capacità di investimento.

In sintesi, solo un’azione integrata che combini visioni regolatorie coerenti, politiche industriali mirate e coordinamento istituzionale effettivo potrà consentire all’Europa di costruire un ecosistema cloud maturo, competitivo e rispondente alle sue esigenze strategiche.

Verso un mercato unico del cloud europeo

La crescente rilevanza del cloud computing pone l’Europa di fronte a una sfida complessa ma non eludibile: garantire che l’evoluzione tecnologica vada di pari passo con condizioni di accesso e uso eque, affidabili e sostenibili per tutti gli attori economici e pubblici.

Come rilevato nel rapporto Draghi, l’Unione Europea si trova a gestire una transizione tecnologica globale in un contesto di stagnazione industriale relativa. Il cloud, in particolare, è identificato come uno degli ambiti in cui occorre agire con decisione per colmare i divari infrastrutturali e stimolare la crescita della produttività. Le raccomandazioni contenute nel rapporto – in particolare quelle riguardanti l’uso strategico degli appalti pubblici europei, la necessità di una cabina di regia per gli investimenti digitali e la creazione di ecosistemi scalabili per l’intelligenza artificiale – offrono un’agenda concreta per affrontare il problema.

Parallelamente, nel rapporto Letta si denuncia come il ritardo dell’UE nella piena integrazione del cloud nel Mercato Unico abbia generato una frammentazione normativa e operativa che ostacola la competitività. La proposta di istituire una “Unione per gli Investimenti Digitali”, accanto alla valorizzazione di una strategia infrastrutturale condivisa tra telecomunicazioni e cloud, riflette l’urgenza di superare logiche difensive e di promuovere efficienza, coordinamento e interoperabilità.

Nel suo insieme, il dibattito evidenzia che una regolazione efficace del cloud richiede un approccio composito e multilivello, in cui strumenti normativi, leve industriali, incentivi economici e pratiche di governance pubblica si rafforzino a vicenda. La regolazione deve essere proporzionata, modulabile e fondata su evidenze, evitando sia l’eccesso burocratico sia l’inerzia istituzionale.

Il Cloud and AI Development Act, nel suo disegno atteso, rappresenta l’occasione per consolidare una strategia europea che:

• promuova condizioni di mercato realmente contendibili;

• favorisca lo sviluppo di un ecosistema industriale aperto e competitivo;

• sostenga iniziative pubblico-private flessibili nei settori di interesse generale;

• e garantisca che le scelte infrastrutturali riflettano obiettivi collettivi e non vincoli tecnologici imposti dai fornitori.

Questo percorso non implica l’abbandono del mercato o l’adozione di schemi rigidi. Al contrario, implica la costruzione di un quadro regolatorio ed economico che consenta pluralismo, interoperabilità e innovazione.

In sintesi, l’Europa ha oggi l’opportunità e l’obbligo di tradurre la propria esperienza regolatoria in un’agenda costruttiva: capace di sostenere lo sviluppo di tecnologie abilitanti, tutelare l’interesse pubblico e garantire che la trasformazione digitale rimanga inclusiva, trasparente e orientata al benessere collettivo.