Protezione dal CLOUD Act – Abbandono del cloud statunitense: Airbus prevede di ritirarsi e staccare la spina ai dati sensibili

La risposta europea ad Amazon & Co.: Airbus si avventura nell'esperimento cloud

Mentre le agenzie governative rimangono spesso esitanti nei confronti della digitalizzazione o continuano a fare ampio affidamento sugli hyperscaler statunitensi, la più grande azienda aerospaziale europea sta attualmente attraversando un'inversione di rotta strategica. Airbus ha riconosciuto che in tempi di tensioni geopolitiche e spionaggio industriale, la sovranità dei dati non è solo una parola d'ordine, ma una questione di sopravvivenza.

L'azienda sta attualmente preparando una migrazione massiccia per sottrarre i suoi asset più critici – dai progetti degli aeromobili al know-how tecnologico interno – al CLOUD Act americano. Con una gara d'appalto pianificata del valore di oltre 50 milioni di euro, Airbus sta ora cercando di tracciare la strada verso un "cloud sovrano" made in Europe. Ma questa mossa audace non è priva di rischi: persino il consiglio di amministrazione di Airbus stima che la probabilità di trovare un fornitore europeo tecnologicamente all'avanguardia sia solo dell'80%, un'indicazione allarmante che l'infrastruttura IT europea è ancora in ritardo rispetto alle esigenze del suo settore.

Adatto a:

• Competenza progettuale europea invece di dipendenza tecnologica – Il modello cloud francese come strategia economica

Sovranità digitale: tra retorica e realtà: l'illusione di non avere alternative – Perché le aziende e le autorità europee si stanno autosabotando

Il paradosso: quando i decisori ignorano i propri principi

Per anni, la politica industriale europea ha proclamato la necessità della sovranità digitale. La Commissione Europea ha definito criteri chiari con il suo Cloud Sovereignty Framework, il Data Act dell'UE obbliga i fornitori alla trasparenza e all'accesso ai dati, e l'intera élite politica sottolinea regolarmente che la dipendenza tecnologica rappresenta un grave rischio per la sicurezza. Eppure, nella pratica, sta accadendo esattamente il contrario: stati come la Baviera stanno pianificando contratti miliardari con Microsoft senza gare d'appalto, città come Lucerna stanno migrando i dati sensibili dei cittadini verso il cloud Azure e decine di enti pubblici in tutto il mondo stanno seguendo lo stesso schema. Non si tratta di un problema tecnico, ma di volontà e responsabilità.

Il caso della Baviera è particolarmente significativo, rivelando un fallimento sintomatico dei decisori europei. Lo Stato Libero di Baviera prevede di investire quasi un miliardo di euro in Microsoft 365 in un periodo di cinque anni, per 270.000 dipendenti della sua pubblica amministrazione. Ciò avviene senza una gara d'appalto pubblica, senza una reale valutazione delle alternative europee e in un momento in cui le infrastrutture digitali sono state riconosciute come strategicamente critiche. Le critiche da parte delle comunità open source, delle associazioni IT e delle aziende IT di medie dimensioni sono state massicce e sistematiche, ma hanno seguito un percorso prestabilito: il contratto con Microsoft è stato firmato comunque. Questa decisione non si basa su considerazioni economiche, ma piuttosto sull'abitudine, la stessa abitudine che ha eroso l'indipendenza tecnologica europea negli ultimi due decenni.

La visione contrastante è quella di Airbus, la più grande azienda aerospaziale europea. A differenza delle agenzie governative, Airbus ha riconosciuto che i dati sensibili – progetti di aeromobili, processi di produzione, know-how tecnologico – non dovrebbero finire nelle mani di aziende statunitensi soggette al CLOUD Act americano. Airbus sta attualmente preparando una gara d'appalto per la migrazione di applicazioni critiche verso un cloud sovrano europeo, con un contratto del valore di oltre 50 milioni di euro. Si tratta di una decisione deliberata e basata sul rischio da parte di un'azienda di importanza strategica. Ma anche in questo caso permangono dubbi: il consiglio di amministrazione di Airbus stima che la probabilità di trovare un fornitore europeo idoneo sia solo dell'80% circa. Questo non è un segno di impossibilità, ma piuttosto un segno di insufficiente sviluppo delle capacità europee.

Il CLOUD Act come arma silenziosa: la bomba a orologeria legale tra i dati europei

Il CLOUD Act (Clarifying Lawful Overseas Use of Data Act) è stato approvato nel 2018 e regolamenta l'accesso delle autorità statunitensi ai dati aziendali. Sulla carta, sembra ragionevole: le autorità nazionali dovrebbero poter accedere ai dati che rientrano nella loro giurisdizione. Ma le implicazioni pratiche del CLOUD Act sono molto più gravi di quanto molte aziende e autorità europee sembrino rendersi conto.

Il CLOUD Act non si applica solo ai dati archiviati negli Stati Uniti. Consente alle autorità statunitensi di accedere a tutti i dati gestiti da aziende statunitensi o dalle loro controllate, indipendentemente da dove siano fisicamente ospitati. Nello specifico, ciò significa che se i dati si trovano in un data center Microsoft in Germania, le autorità statunitensi possono richiedere l'accesso ai sensi del CLOUD Act. Microsoft è tenuta a ottemperare a tale richiesta ed è inoltre soggetta a un ordine di riservatezza, il che significa che non può informare le aziende interessate della richiesta dei loro dati.

Microsoft stessa ha ammesso, in un caso giudiziario francese nel luglio 2025, di non poter garantire la protezione dei dati ai sensi del CLOUD Act. Si tratta di un'ammissione notevole da parte del più grande fornitore di servizi cloud europeo. Nonostante ciò, enti governativi e aziende continuano la migrazione ai servizi Microsoft. È come se un cittadino facesse costruire una casa mentre l'appaltatore dichiara apertamente che il tetto perderà acqua, e poi ci trasloca comunque.

La situazione è ulteriormente aggravata dagli sviluppi geopolitici. Il ritorno dell'amministrazione Trump nel gennaio 2025 ha destabilizzato radicalmente le relazioni transatlantiche sulla privacy dei dati. Trump ha licenziato tre membri democratici del Privacy and Civil Liberties Oversight Board (PCLOB), l'organismo che dovrebbe monitorare il rispetto degli standard sulla privacy dei dati e la supervisione delle agenzie di intelligence statunitensi. Ciò rende il PCLOB incapace di prendere decisioni. Ciò indebolisce il Transatlantic Data Privacy Framework (TADPF), che è stato negoziato solo di recente e si basa su ordini esecutivi revocabili in qualsiasi momento. Gli esperti avvertono apertamente che l'intero quadro normativo è a rischio.

La storia rivela uno schema: gli Stati Uniti considerano l'accesso ai dati uno strumento strategico e utilizzano i provider cloud come leva. Il caso del Procuratore Capo della CPI Karim Khan è sintomatico: a seguito delle sanzioni dell'amministrazione Trump, Khan ha perso l'accesso al suo account di posta elettronica Microsoft. Microsoft sostiene che non si sia trattato di una sospensione dei servizi della CPI, ma l'episodio evidenzia la vulnerabilità delle organizzazioni che si affidano alle infrastrutture statunitensi. Se gli Stati Uniti riescono a innescare un "interruttore digitale" in caso di crisi o controversia commerciale, le infrastrutture europee sono paralizzate.

Adatto a:

• Perché il CLOUD Act statunitense rappresenta un problema e un rischio per l'Europa e il resto del mondo: una legge con conseguenze di vasta portata

Razionalità economica o inerzia istituzionale: l'illusione di non avere alternative

Un'argomentazione comune è: non ci sono alternative europee. Questo è di fatto errato. Esistono fornitori cloud europei tecnicamente competenti e che offrono sovranità sui dati. Il motivo per cui non dominano non è tecnologico, ma economico e istituzionale.

Il mercato è altamente concentrato: AWS, Microsoft Azure e Google Cloud controllano circa il 65% del mercato IaaS globale. Provider europei come IONOS, OVH, Stackit, Plusserver e Open Telekom Cloud (T-Systems) rientrano nella categoria "Altro": sono tecnicamente maturi, ma non dominanti. Perché? Perché gli effetti di rete e il vendor lock-in sono estremamente forti nei servizi cloud. Una volta che si lavora con AWS, non è possibile passare semplicemente a IONOS senza incorrere in significativi costi di migrazione. Le nuove applicazioni vengono sviluppate su AWS perché offre gli strumenti migliori, l'ecosistema più ampio e gli sviluppatori più qualificati.

Questo è un classico caso di fallimento del mercato: le soluzioni esistono, ma non sono dominanti a livello globale, quindi non vengono utilizzate. Le agenzie governative e le aziende si orientano verso i leader di mercato, non verso gli ottimali macroeconomici.

Tuttavia, l'EuroCloud Pulse Check 2025 rivela un'inversione di tendenza: la percentuale di aziende che considerano cruciale la sovranità digitale è aumentata dal 25% al ​​47% in cinque anni. L'83% di tutte le aziende ora considera la sovranità e la resilienza centrali nella propria strategia cloud. Ancora più significativo, il 57% nutre preoccupazioni concrete riguardo all'attuale politica statunitense e alla sua imprevedibilità. Questa non è ideologia, ma piuttosto una solida valutazione del rischio economico.

Le aree in cui i provider europei sono competitivi si concentrano in settori sensibili e regolamentati: backup e disaster recovery (66% delle implementazioni), soluzioni Kubernetes e container (64%) e requisiti di conformità e residenza dei dati (64%). Sono proprio queste le aree in cui la criticità dei dati è maggiore.

Spesso si fa leva sui costi a favore dei provider statunitensi. Questo è in parte giustificato: Microsoft e AWS offrono vantaggi in termini di scalabilità. Tuttavia, questo vantaggio è spesso di breve durata. Il caso bavarese lo dimostra: il costo annuo per M365 E5 è di 59,70 euro al mese per dipendente. Si tratta di un prezzo di listino senza alcuna reale negoziazione. I provider europei potrebbero ottenere servizi comparabili significativamente più economici se la loro capacità fosse ampliata. Inoltre, se si considerano i rischi del CLOUD Act, le potenziali sanzioni geopolitiche e la resilienza, i costi reali di Microsoft non sono trasparenti.

La nostra competenza nell'UE e in Germania nello sviluppo aziendale, nelle vendite e nel marketing - Immagine: Xpert.Digital

Focus del settore: B2B, digitalizzazione (dall'intelligenza artificiale alla realtà aumentata), ingegneria meccanica, logistica, energie rinnovabili e industria

Maggiori informazioni qui:

• Centro aziendale esperto

Un hub di argomenti con approfondimenti e competenze:

• Piattaforma di conoscenza sull'economia globale e regionale, sull'innovazione e sulle tendenze specifiche del settore
• Raccolta di analisi, impulsi e informazioni di base dalle nostre aree di interesse
• Un luogo di competenza e informazione sugli sviluppi attuali nel mondo degli affari e della tecnologia
• Hub tematico per le aziende che vogliono informarsi sui mercati, sulla digitalizzazione e sulle innovazioni del settore

La delusione di Gaia-X: perché le iniziative europee falliscono

Gaia-X è stato lanciato con grande clamore nel 2019. Il progetto mirava a costruire un'infrastruttura dati europea decentralizzata, sicura, aperta e trasparente. All'iniziativa hanno partecipato i principali attori: SAP, Bosch, Siemens, Telekom, Festo e Schunk. L'obiettivo era quello di rompere la dipendenza da AWS, Azure e Google.

Sei anni dopo, Gaia-X non ha fallito, ma non ha nemmeno raggiunto il dominio del mercato. Nella primavera del 2025, sono stati sollevati pubblicamente dubbi sulla realizzabilità degli obiettivi del progetto. Perché? Perché Gaia-X illustra un classico problema del coordinamento europeo: decentralizzazione e coordinamento sono contraddittori. Se si opera in modo veramente decentralizzato e ogni fornitore di cloud può essere un nodo, non vi è una chiara responsabilità, né una scalabilità dinamica, né un focus strategico. Se si coordina centralmente, si perdono i vantaggi della decentralizzazione.

Gaia-X ha un altro problema: è troppo focalizzata sulla tecnologia. Ma il problema non è principalmente tecnologico. I provider cloud europei possono tecnicamente competere con i grandi player. Il problema è la fiducia, la scalabilità e il potere di mercato. Un imprenditore startup si fida di AWS perché AWS è grande e non fallirà. Un provider europeo, anche se tecnicamente superiore, non è percepito come una scelta sicura.

Gaia-X aveva bisogno di: incentivi finanziari concreti (sussidi per le aziende europee che passavano ai servizi Gaia-X), requisiti legali (i dati governativi dovevano essere archiviati su server europei) e una chiara struttura di governance. Invece, è diventato un forum per standard tecnici e best practice. Importante, ma non sufficiente.

Adatto a:

• Industry-X: promozione della logistica e delle catene di fornitura europee e globali attraverso le iniziative industriali Catena-X e Gaia-X

Incoerenza istituzionale: cosa ci mostrano Lucerna e la Baviera

I casi di Lucerna e della Baviera rivelano un altro schema: l'incoerenza istituzionale. Le autorità svizzere e tedesche dispongono di responsabili della protezione dei dati che avvertono esplicitamente che l'archiviazione di dati personali sensibili e particolarmente protetti in Microsoft 365 non è conforme alle normative sulla protezione dei dati. Il responsabile della protezione dei dati cantonale di Lucerna ha avvertito che i dati classificati come "riservati" nel cloud Microsoft violano la legge sulla protezione dei dati. Ciononostante, i dati dei cittadini sono stati trasferiti lì.

La Baviera sta pianificando un contratto da un miliardo di euro senza indire una gara d'appalto, nonostante le obiezioni di fondo della Società tedesca per l'informatica (Gesellschaft für Informatik), dell'OSBA (Ostfriesischer Landesverband Bayern - Associazione statale bavarese per i servizi cloud) e dell'industria IT locale. La loro richiesta era chiara: applicare i criteri UE per i cloud sovrani. La risposta è stata in definitiva ignoranza. La decisione non si è basata su un'analisi attenta, ma su convenienza e dipendenza dal percorso.

Questa non è stupidità, è struttura. Le organizzazioni più grandi sono inerti. Il reparto IT conosce Microsoft, tutti i sistemi sono orientati verso di essa e il passaggio comporterebbe riqualificazione, migrazioni e rischi. I singoli decisori non hanno alcun incentivo ad affrontare questa sofferenza. Il budget proviene da varie fonti e la responsabilità è diffusa. Il responsabile della protezione dei dati avverte, ma non ha potere di veto. Alla fine, viene scelta la via più facile.

Ciò che è particolarmente problematico è che questo accade con enti governativi che operano con fondi pubblici. Lo Stato Libero di Baviera spende i soldi dei contribuenti. Se questi fondi fossero investiti in provider cloud europei, l'ecosistema europeo ne risulterebbe rafforzato. Invece, i contribuenti tedeschi stanno implicitamente sovvenzionando la posizione di mercato di Microsoft. Questa è una forma di rendita tecnologica silenziosa.

Il modello Airbus: come si presenta la vera sovranità

Airbus presenta un quadro diverso. L'azienda ha riconosciuto che i dati sensibili – progettazione di aeromobili, tecnologie di produzione, conoscenze strategiche – devono rimanere sotto il controllo europeo. Pertanto, Airbus sta preparando una gara d'appalto per la migrazione di applicazioni come Enterprise Resource Planning (ERP), Manufacturing Execution Systems, Customer Relationship Management e Product Lifecycle Management verso un cloud sovrano europeo.

Il contratto ha un valore di oltre 50 milioni di euro e ha una durata prevista di dieci anni. Si tratta di un investimento importante. Airbus sta inviando un segnale chiaro al mercato europeo: abbiamo bisogno di voi e vi stiamo pagando. Non si tratta di un impegno teorico, ma di un modello di business concreto.

Ma anche Airbus nutre dei dubbi. Catherine Jestin, Vicepresidente Esecutivo Digital, stima che le probabilità di trovare un fornitore europeo adatto siano solo dell'80% (20%). Questa non è una critica ingiusta ai fornitori europei, ma piuttosto un'osservazione: i fornitori cloud europei non sono ancora abbastanza grandi e affermati da sostenere il rischio che Airbus sta correndo con questa migrazione.

Questo è il problema fondamentale. Gaia-X, i provider europei, la regolamentazione UE: tutto questo è importante. Ma devono crescere. I provider cloud europei non solo devono essere conformi dal punto di vista tecnico, ma anche costruire la fiducia di poter operare su scala come quella di Airbus. Ciò richiede capitale, tempo e quote di mercato.

L'EU Data Act come punto di svolta

L'EU Data Act, entrato in vigore nel settembre 2025, segna un cambiamento normativo. Obbliga i provider cloud a garantire alle aziende l'accesso ai propri dati e metadati, a fornire API migliori e a facilitare il passaggio ad altri provider. Si tratta di misure volte a contrastare il vendor lock-in.

In teoria, questo dovrebbe aiutare i provider europei. Se il passaggio diventasse più conveniente, i provider europei potrebbero guadagnare più facilmente quote di mercato. Ma il Data Act dell'UE è solo uno strumento. Riduce le barriere ma non crea nuovi incentivi per le soluzioni europee.

Ciò di cui c'è veramente bisogno è che le autorità e le grandi aziende decidano consapevolmente di dare priorità alle soluzioni europee, anche se ciò comporta costi aggiuntivi o adeguamenti a breve termine. Questa è una decisione politica, non tecnica.

Conclusione: la sovranità digitale non vive di parole, ma di decisioni

La scoperta fondamentale è questa: non esiste una "costante naturale" che imponga l'assenza di alternative al cloud statunitense. Le alternative esistono. Sono tecnicamente mature, verificate dal punto di vista normativo ed economicamente sostenibili. Ciò che manca è la volontà collettiva.

Finché la Baviera pagherà miliardi a Microsoft invece di supportare i fornitori europei, finché Lucerna memorizzerà i dati dei cittadini in Azure nonostante gli avvertimenti sulla protezione dei dati, finché la maggior parte delle aziende europee seguirà la strada standard e non si prenderà la briga di valutare alternative, la struttura del potere di mercato non cambierà.

Airbus lo sa bene. Ecco perché sta preparando una scommessa da 50 milioni di euro sulla sovranità europea. Altre grandi aziende europee dovrebbero fare lo stesso. Non per ideologia, ma per strategia e gestione del rischio.

La situazione geopolitica è cambiata. L'imprevedibilità della politica americana sotto Trump, la capacità di usare i dati come armi, la potenziale introduzione di tariffe sui servizi digitali: questi non sono più scenari teorici. Sono reali.

La sovranità digitale non è qualcosa da pretendere, ma qualcosa da vivere. Ciò significa: rinunciare alle comodità a breve termine, investire nello sviluppo delle capacità, stabilire normative chiare che stabiliscano che i dati critici debbano essere soggetti alle giurisdizioni europee e, soprattutto, prendere decisioni che soddisfino questo requisito. Industria, governo e fornitori di servizi cloud sono tutti chiamati ad agire in egual misura. Chi non lo capisce o lo ignora mette a repentaglio il futuro tecnologico dell'Europa.

☑️ La nostra lingua commerciale è l'inglese o il tedesco

☑️ NOVITÀ: corrispondenza nella tua lingua nazionale!

Konrad Wolfenstein

Sarei felice di servire te e il mio team come consulente personale.

Potete contattarmi compilando il modulo di contatto o semplicemente chiamandomi al numero +49 89 89 674 804 (Monaco) . Il mio indirizzo email è: wolfenstein ∂ xpert.digital

Non vedo l'ora di iniziare il nostro progetto comune.

☑️ Supporto alle PMI nella strategia, consulenza, pianificazione e implementazione

☑️ Creazione o riallineamento della strategia digitale e digitalizzazione

☑️ Espansione e ottimizzazione dei processi di vendita internazionali

☑️ Piattaforme di trading B2B globali e digitali

☑️ Pioneer Business Development/Marketing/PR/Fiere

Approfitta dell'ampia e quintuplicata competenza di Xpert.Digital in un pacchetto di servizi completo | Ottimizzazione di R&S, XR, PR e visibilità digitale - Immagine: Xpert.Digital

Xpert.Digital ha una conoscenza approfondita di vari settori. Questo ci consente di sviluppare strategie su misura che si adattano esattamente alle esigenze e alle sfide del vostro specifico segmento di mercato. Analizzando continuamente le tendenze del mercato e seguendo gli sviluppi del settore, possiamo agire con lungimiranza e offrire soluzioni innovative. Attraverso la combinazione di esperienza e conoscenza, generiamo valore aggiunto e diamo ai nostri clienti un vantaggio competitivo decisivo.

Maggiori informazioni qui:

• Utilizza l'esperienza 5x di Xpert.Digital in un unico pacchetto, a partire da soli € 500/mese