UE vara piano su cloud e IA con criteri di sovranità per gli appalti pubblici
Quattro livelli di garanzia per classificare i servizi cloud, proteggere i dati sensibili e guidare le scelte delle amministrazioni
L'obiettivo è ridurre la dipendenza dell'UE dai fornitori di Paesi terzi introducendo un quadro europeo di sovranità per i servizi cloud, che sarà usato anche per orientare le scelte delle amministrazioni pubbliche. È una delle misure chiave del Cloud and AI Development Act presentato dalla Commissione europea.
Bruxelles ritiene che le gravi dipendenze strategiche espongano l'UE a rischi per il controllo dei dati, la continuità dei servizi e la sicurezza economica. Il piano introduce quattro livelli di garanzia per classificare i servizi cloud in base ai requisiti di sovranità e alle esigenze delle amministrazioni pubbliche.
I quattro livelli di garanzia ("Union Assurance Levels") classificheranno i servizi cloud in base al grado di protezione offerto rispetto a rischi quali accessi non autorizzati da Paesi terzi, interruzioni del servizio, perdita di autonomia operativa e compromissione dei dati sensibili.
Il livello 1 rappresenta la soglia minima comune per il settore pubblico europeo, mentre i livelli 2, 3 e 4 introducono requisiti progressivamente più stringenti e richiedono verifiche indipendenti. Il livello 3 potrà essere riconosciuto anche a operatori di Paesi terzi considerati affidabili, purché garantiscano adeguate tutele in materia di protezione dei dati e non siano soggetti a obblighi incompatibili con il diritto dell'UE. Il livello 4, il più elevato, sarà riservato alle attività pubbliche più critiche, tra cui difesa, sicurezza nazionale, gestione delle frontiere, giustizia e infrastrutture essenziali.
La scelta del livello dovrà basarsi su una valutazione dei rischi da parte degli Stati membri e delle istituzioni europee. Secondo la Commissione, il sistema segue un principio di proporzionalità: non tutti i servizi pubblici avranno bisogno delle garanzie più elevate, ma le amministrazioni dovranno valutare la sensibilità dei dati trattati, il rischio di accessi da Paesi terzi e le possibili conseguenze di eventuali interruzioni del servizio.
Tra gli obiettivi del Cloud and AI Development Act figurano anche il potenziamento delle infrastrutture digitali europee, con l'ambizione di triplicare la capacità dei data center nei prossimi cinque-sette anni, e il sostegno alla strategia Apply AI per accelerare l'adozione dell'intelligenza artificiale.
Il provvedimento prevede inoltre misure a favore della ricerca e dell'innovazione nelle tecnologie avanzate e sostenibili, nonché procedure semplificate per la realizzazione di nuovi data center nell'UE, con particolare attenzione all'efficienza energetica e alla transizione digitale e verde.
