La Commissione europea ha annunciato un piano ambizioso per liberarsi dalla sua dipendenza quasi totale dalla tecnologia straniera.

In quello che ha definito “un momento decisivo per affermare la propria sovranità tecnologica”, la Commissione ha presentato un Pacchetto sulla sovranità tecnologica europea: una proposta globale per(nuova finestra) rafforzare la capacità dell’Europa nei semiconduttori, nell’IA, nel cloud e nell’open source.

Il suo obiettivo è inequivocabile: ridurre la dipendenza infrastrutturale dell’Europa dalle tecnologie straniere. Le comunicazioni ufficiali della Commissione affermano che “l’UE rimane strutturalmente dipendente da fornitori non UE per oltre l’80% dei suoi prodotti digitali(nuova finestra), servizi, infrastrutture e proprietà intellettuale”.

Il piano è essenzialmente un invito all’azione per le aziende europee affinché esaminino la propria dipendenza tecnologica dagli Stati Uniti. Questo articolo fornisce una panoramica di ciascuno dei quattro componenti del pacchetto:

  • Chips Act 2.0
  • The Cloud and AI Development Act (CADA)
  • La strategia dell’UE per l’open source
  • Una tabella di marcia strategica per la digitalizzazione e l’IA nel settore energetico

Perché ora l’Europa sta dando la priorità all’indipendenza delle infrastrutture

L’Unione sta ora riconoscendo ciò di cui molti esperti di tecnologia avvertono da tempo: l’Europa deve smettere di considerare la dipendenza strutturale come un prezzo accettabile da pagare per la comodità.

Come ha affermato la presidente della Commissione Ursula von der Leyen: “Non possiamo permetterci di dipendere da altri per le tecnologie che mantengono in funzione i nostri ospedali, stabili le nostre reti energetiche e sicuri i nostri servizi. Si trata di proteggere i nostri cittadini, difendere i nostri interessi e fare le nostre scelte”.

La dipendenza infrastrutturale espone ogni nazione dell’UE ai rischi di:

  • Kill switch. Un governo straniero può disattivare o interrompere i servizi da cui dipendono i tuoi ospedali, le tue reti energetiche e le tue istituzioni pubbliche. La responsabile della tecnologia dell’UE Henna Virkkunen l’ha detto esplicitamente(nuova finestra): “Vogliamo essere sicuri che nei campi critici saremo sempre in grado di controllare i servizi e i dati in Europa”.
  • Backdoor legali. La legge statunitense impone ai fornitori di servizi cloud con sede negli Stati Uniti di consegnare i dati alle autorità americane, anche quando sono archiviati in Europa(nuova finestra). I dati europei sulle infrastrutture statunitensi non sono protetti dalla giurisdizione europea. La conformità al GDPR non cambia le cose.
  • Appalti preclusi. I contratti pubblici critici nei settori della sanità, dell’energia e della difesa sono attualmente affidati a fornitori non controllati dall’Europa(nuova finestra). La soluzione proposta dalla Commissione, che richiede software e hardware di produzione UE per gli appalti pubblici più sensibili, è un riconoscimento del fatto che la situazione attuale è insostenibile.
  • Leva politica. Quando le aziende che gestiscono la tua infrastruttura hanno stretti legami con un governo ostile ai tuoi interessi, la dipendenza diventa un punto debole nelle trattative(nuova finestra). La CPI non ha scelto di abbandonare Microsoft: ci è stata di fatto costretta. Questo è un kill switch sotto altre spoglie, ed è già successo.

Leggi di più: Rapporto sui rischi della tecnologia statunitense

Cosa propone il Pacchetto per la sovranità tecnologica europea

Il pacchetto ha quattro componenti. Per le imprese europee, due sono le più importanti: il Cloud and AI Development Act e la Strategia per l’open source.

Chips Act 2.0

L’Europa produce solo circa il 10% dei semiconduttori mondiali e rimane fortemente dipendente dagli Stati Uniti e dall’Asia orientale sia per i chip tradizionali che per quelli avanzati. Il Chips Act 2.0(nuova finestra) mira a rafforzare l’industria dei semiconduttori e la catena di approvvigionamento in Europa.

Per le imprese europee: fai attenzione alla divulgazione di informazioni sulla catena di approvvigionamento dei semiconduttori, che diventerà sempre più comune. Tali informazioni saranno richieste durante una “crisi dichiarata”, saranno vincolanti per le aziende che richiedono finanziamenti dell’UE e saranno incoraggiate per gli appalti. Se i tuoi fornitori non sanno dirti da dove provengono i loro chip, aspettati che ciò venga considerato come una mancanza di fiducia.

The Cloud and AI Development Act (CADA)

Oltre il 70% del mercato cloud europeo è controllato da tre fornitori statunitensi, mentre la quota dell’UE è scesa dal 29% del 2017 al 15% del 2022.

Il CADA introduce quattro Livelli di garanzia dell’Unione che spingono la sovranità del cloud oltre la localizzazione dei dati, affrontando questioni più complesse relative a controllo, giurisdizione, proprietà, trasparenza della catena di approvvigionamento del software e interferenze di paesi terzi.

  • Livello 1: i dati sono elaborati e archiviati in infrastrutture situate nell’UE.
  • Livello 2: i fornitori devono dimostrare indipendenza da paesi terzi e trasparenza sulla catena di approvvigionamento del loro software.
  • Livello 3: i fornitori devono essere di proprietà e controllati nell’UE e soddisfare criteri aggiuntivi, lasciando comunque spazio a fornitori di paesi terzi riconosciuti come attendibili.
  • Livello 4: i fornitori devono avere piena trasparenza e controllo sulla catena di approvvigionamento del loro software e nessuna interferenza da parte di paesi terzi.

Per le imprese europee: la localizzazione dei dati non equivale alla sovranità. Fai attenzione ai fornitori che rinominano come “europee” infrastrutture esistenti controllate dagli Stati Uniti senza soddisfare i requisiti di proprietà e controllo effettivamente richiesti dai livelli di garanzia. Il Livello 3 richiede proprietà e controllo dell’UE. Un wrapper a marchio europeo intorno ad AWS non è un Livello 3.

La strategia dell’UE per l’open source

L’UE spende attualmente 264 miliardi di euro all’anno soprattutto in prodotti e servizi informatici proprietari statunitensi. La risposta della strategia è un software che possa essere ispezionato, riutilizzato, adattato e manutenuto in Europa, supportato da uno strumento di manutenzione dell’open source (Open Source Maintenance Instrument) per finanziare la sicurezza e la manutenzione dei componenti essenziali, oltre a funzionalità di mappatura e mirroring delle dipendenze per garantire l’accesso continuo alle infrastrutture più critiche.

Si rivolge specificamente alle infrastrutture cloud, alle applicazioni per l’ambiente di lavoro digitale, agli strumenti di collaborazione e produttività, alla messaggistica istantanea e alla posta elettronica sicura, con l’obiettivo di raggiungere 30 milioni di utenti attivi di alternative open source entro il 2030.

Il principio “denaro pubblico, codice pubblico” impegna le amministrazioni pubbliche a scegliere l’open source come impostazione predefinita, laddove possibile.

Per le imprese europee: i criteri di appalto si stanno orientando verso l’auditabilità, l’interoperabilità e software che puoi ispezionare. Se i tuoi strumenti attuali sono chiusi, proprietari e controllati dagli Stati Uniti, aspettati pressioni, sia normative che competitive, per giustificare tale scelta.

Una tabella di marcia strategica per la digitalizzazione e l’IA nel settore energetico

Un nuovo regolamento delegato introdurrà valutazioni di sostenibilità a livello dell’UE per i data center, creando trasparenza sulle prestazioni ambientali e ponendo fine al greenwashing. Se il software che gestisce le infrastrutture energetiche critiche si trova al di fuori della giurisdizione europea, la sovranità energetica è teorica tanto quanto la sovranità dei dati.

Per le imprese europee: fai attenzione alle valutazioni di sostenibilità che diventano un criterio di appalto, e alla capacità dei data center nazionali che apre la strada a una nuova generazione di fornitori europei che in precedenza non erano competitivi solo sul piano delle infrastrutture.

Cosa significherà il pacchetto per l’Europa

Il pacchetto della Commissione europea è importante, ma non è ancora una rivoluzione. Il pacchetto è ambizioso, ma i mandati sono limitati. Molto dipende da come le proposte verranno sviluppate, negoziate, attuate, verificate e applicate.

Se l’Europa vuole che la sovranità tecnologica abbia un significato, deve andare oltre la diagnosi. Le regole sugli appalti, i finanziamenti pubblici, i quadri di certificazione e le valutazioni dei rischi devono premiare i fornitori che riducono la dipendenza anziché rafforzarla.

L’indipendenza digitale si costruisce attraverso migliaia di scelte tecnologiche da parte di governi, imprese e individui.

In Proton, stiamo aiutando a facilitare la transizione digitale verso alternative europee(nuova finestra) sovrane e attente alla privacy. Proton è già fortemente allineata con il pacchetto di sovranità tecnologica dell’UE: tutte le nostre app sono open source(nuova finestra) e utilizzano una crittografia forte(nuova finestra), comprese la crittografia end-to-end e la crittografia zero-access. In qualità di fornitore con sede in Svizzera, i clienti beneficiano di solide protezioni della privacy.

Per aiutare un numero maggiore di imprese a passare alle tecnologie europee, abbiamo recentemente introdotto Easy Switch for Business, che consente ai team di migrare le proprie email, calendari e contatti da Google Workspace a Proton con il minimo sforzo e zero tempi di inattività.