Sovranità del cloud: AWS e IBM ridisegnano i confini dell’autonomia digitale europea

Sovranità del cloud: AWS e IBM ridisegnano i confini dell’autonomia digitale europea. Con l’inizio di quest’anno, e per essere precisi, il 15 gennaio 2026 AWS ha reso disponibile in via generale il suo AWS European Sovereign Cloud, completando il passaggio dall’annuncio del 2023 a un’offerta operativa. La mossa va letta su due piani: come risposta di mercato alla domanda di garanzie su dati e controllo operativo, e come segnale politico-industriale in un’Europa che cerca più autonomia digitale senza rinunciare alla scala degli hyperscaler.

AWS definisce l’European Sovereign Cloud come un’infrastruttura separata dal resto del proprio cloud globale, sia sul piano tecnico sia su quello della governance. La regione di partenza è in Germania, nel Brandeburgo, con un’estensione prevista attraverso Local Zones sovrane in Belgio, Paesi Bassi e Portogallo. Il piano di investimenti, già annunciato, supera i 7,8 miliardi di euro entro il 2040.

LEGGI ANCHE: Sovranità digitale a rischio. Un tribunale canadese ordina a OVHcloud di consegnare dati europei.

Perché ora: la sovranità del cloud come requisito

Negli ultimi anni “cloud sovrano” è diventato un termine-ombrello, spesso male utilizzato o male interpretato.
Il punto che va ribadito, e sul quale stiamo riflettendo proprio in questo inizio d’anno è che la sovranità non è più (solo) un tema di data residency, ma è piuttosto un tema di giurisdizione, catena di controllo e continuità operativa.

Il nervo scoperto è l’extraterritorialità di alcune normative statunitensi. In particolare, il CLOUD Act consente alle autorità USA di richiedere dati a fornitori soggetti alla giurisdizione americana anche quando tali dati sono conservati fuori dagli Stati Uniti, aprendo un potenziale conflitto con i corrispondenti obblighi europei (come GDPR e normative settoriali). È questo uno dei motivi per cui la discussione europea si è spostata dal “dove sono i dati” al “chi può ordinarne l’accesso, e con quali rimedi”. 
Ma non è tutto. 
In parallelo, anche Bruxelles ha iniziato a trattare il cloud anche come questione di mercato: a novembre 2025 la Commissione europea ha avviato indagini (DMA) per valutare se AWS e Microsoft Azure debbano essere considerati “gatekeeper” nei servizi cloud. È un dettaglio importante perché incrocia due preoccupazioni: concentrazione e dipendenza strategica. 

Sovranità del cloud, cosa promette AWS: separazione operativa, governance UE, metadati “dentro”

La proposizione di AWS si regge su alcuni pilastri, che meritano di essere letti per ciò che sono: non un “cloud europeo” nel senso identitario del termine, ma una istanza (o meglio: un insieme di istanze) progettata per soddisfare requisiti stringenti di settori regolamentati.

I punti più sostanziali, così come dichiarati da AWS:

• Separazione fisica e logica dalle altre regioni AWS.
• Operazioni e gestione affidate a personale residente nell’UE; creazione di una nuova capogruppo e di società locali con governance europea.
• Assenza di “dipendenze critiche” da infrastrutture extra-UE e capacità di continuare a operare anche in scenari di disconnessione o crisi nelle comunicazioni con il resto del mondo.
• Conservazione nell’UE anche dei metadati (ruoli, permessi, configurazioni) e di componenti come IAM, billing e misurazione dei consumi.
• In “circostanze estreme”, accesso da parte di personale autorizzato UE a una replica del codice sorgente necessaria per la manutenzione dei servizi. 

Questa lista chiarisce qual è la nuova linea di demarcazione: non basta più dire “i dati stanno in Europa”. Si prova piuttosto a dimostrare che anche l’operatività e una parte della controllabilità tecnica restano entro il perimetro UE.

LEGGI ANCHE: Sovranità digitale tra diritto e mercato, Gabriele Faggioli “Non la geografia ma cloud e lock-in ridisegnano i rapporti di forza”

Le implicazioni per clienti e PA: più opzioni, ma anche nuove domande

Per pubbliche amministrazioni, sanità, finanza, difesa, energia e telco, l’impatto più immediato è pragmatico: si allarga il ventaglio di architetture disponibili quando le policy interne o i regolatori chiedono livelli elevati di isolamento e controllo. In teoria, questo può ridurre una delle frizioni tipiche: dover scegliere tra “hyperscaler con feature complete” e “fornitore locale con perimetro giuridico più rassicurante”.

Ma ogni “soluzione” di sovranità apre una seconda serie di domande, più scomode:

1. La separazione è sufficiente a neutralizzare l’extraterritorialità?
   AWS costruisce un impianto di garanzie legali, operative e tecniche, ma il punto delicato – per molti clienti – resta la verificabilità effettiva in caso di contenzioso o ordine governativo. Non a caso, nel dibattito europeo continuano a emergere dubbi sulla “tenuta” delle promesse di sovranità degli hyperscaler, proprio perché il nodo non è solo tecnico. 
2. Qual è il costo della sovranità, in termini di lock-in?
   Se la sovranità diventa una proprietà legata a una specifica istanza e ai suoi controlli, si rischia di aumentare la dipendenza da un set di servizi, policy e strumenti proprietari. È un paradosso frequente: più controlli e compliance, meno portabilità reale.
3. Che cosa succede al modello multi-cloud?
   Molte organizzazioni europee immaginano la sovranità come un mosaico: workload sensibili su ambienti “sovrani”, altri workload su cloud generalisti, altri ancora on-prem. È un disegno sensato, ma aumenta la complessità di integrazione, sicurezza, osservabilità e competenze.

Il mercato: sovranità del cloud come risposta alla concentrazione (senza scardinarla)

Il tema si incrocia con un dato strutturale: in Europa il cloud cresce rapidamente, ma la quota dei provider europei resta minoritaria. Synergy Research stima che i provider europei abbiano mantenuto una quota intorno al 15% mentre la crescita del mercato ha favorito soprattutto i tre hyperscaler statunitensi. 

In questo quadro, l’AWS European Sovereign Cloud può essere letto come una strategia per restare “dentro” i requisiti europei senza cedere terreno a operatori locali o a iniziative telco-centriche. E qui il timing conta: mentre Bruxelles valuta se inquadrare cloud come servizio “gatekeeper” per AWS e Microsoft, AWS risponde al mercato con una soluzione che sembra parlare il linguaggio dei regolatori (controllo, separazione, auditabilità). 

Prospettive: dalla “sovranità dell’infrastruttura” alla “sovranità del software” (e dell’AI)

La notizia AWS non arriva isolata. 
Va detto che proprio in queste stesse ore IBM ha annunciato IBM Sovereign Core, presentandolo come un fondamento software “AI-ready” per costruire e gestire ambienti sovrani (cloud-native e AI), basato su tecnologie Red Hat/open source e con una roadmap di disponibilità a partire dal 2026. Il messaggio è chiaro: se la sovranità è un requisito trasversale, non può vivere solo in un perimetro infrastrutturale; deve diventare anche una proprietà del layer software e operativo. 

Se questa traiettoria continuerà, è plausibile aspettarsi un’Europa con cloud sempre più “partizionati” per giurisdizione e settore, e con un criterio di scelta che somiglia meno a “chi offre più servizi” e più a “chi offre controlli verificabili e compatibili con la postura normativa dell’organizzazione”. In quel mondo, il vero discrimine non sarà solo la residenza dei dati, ma la combinazione di: controllo delle chiavi, audit indipendenti, governance operativa e possibilità concreta di continuità anche in scenari geopolitici avversi.

LEGGI ANCHE: Cloud, sovranità e giurisdizione, Mainetti: “Il caso OVHCloud obbliga a ripensare il governo dei dati”