AWS porta la sovranità digitale dentro il suo cloud e inaugura la AWS European Sovereign Cloud, con la prima Region “sovrana” operativa da oggi nel Brandeburgo, il Land tedesco che circonda la città-stato di Berlino, separata fisicamente e logicamente dalle altre infrastrutture del gruppo.
La nuova Region nasce per rispondere alle esigenze di pubbliche amministrazioni e settori regolamentati che chiedono un cloud non solo “in Europa”, ma progettato per operare sotto vincoli di sovranità: separazione fisica e logica dalle Regioni AWS esistenti, governance europea e capacità di continuare a funzionare anche in scenari di discontinuità verso l’esterno. Come è noto, nel modello AWS una Region è il perimetro geografico principale del cloud: un’area fisica in cui vengono resi disponibili servizi e infrastrutture con requisiti di residenza dei dati e latenza coerenti con quel territorio. Ogni Region è articolata in più Availability Zone, gruppi di data center distinti e separati tra loro, collegati da reti ad alta capacità e bassa latenza ma progettati per limitare l’impatto di guasti localizzati. L’architettura multi-AZ è il presupposto tecnico per distribuire i carichi e garantire continuità operativa anche in caso di indisponibilità di un singolo sito.
Una Regione “sovrana” per l’UE: separazione e autonomia operativa
Il lancio viene incorniciato come una risposta alla trasformazione digitale europea, con l’idea che cloud e AI siano ormai infrastrutture critiche per competitività e innovazione, ma che l’adozione su larga scala, soprattutto nel pubblico, richieda garanzie più stringenti rispetto ai modelli cloud tradizionali.
Il ritorno di Donal Trump alla Casa Bianca rimette al centro l’idea che l’alleanza transatlantica non sia un dato “automatico”, e che l’Europa non possa permettersi di trattare la fiducia verso gli Stati Uniti come una condizione permanente. L’atteggiamento della nuova amministrazione – più conflittuale sui rapporti commerciali e più orientata all’unilateralismo – rende meno rassicurante, per chi gestisce dati critici, appoggiarsi a infrastrutture che restano anche solo potenzialmente esposte a leve giuridiche e politiche americane. In questo scenario, la richiesta di molte aziende e organizzazioni europee non è più “dati in Europa”, ma indipendenza reale dagli USA: capacità di far funzionare, governare e proteggere piattaforme digitali senza che un cambio di clima a Washington possa trasformarsi in un rischio operativo, normativo o strategico.
La European Sovereign Cloud punta a mantenere “piene” capacità cloud e AI, evitando la logica di piattaforme ridotte o compromesse sul piano funzionale.
La sovranità viene declinata innanzitutto come autonomia operativa europea. L’architettura viene progettata per continuare a operare indefinitamente anche se si interrompono le comunicazioni con il resto del mondo, con la possibilità per personale AWS autorizzato e residente nell’Unione Europea di accedere in modo indipendente a una copia del codice sorgente necessaria a mantenere attivi i servizi cloud. È un passaggio che sposta il concetto di sovranità dal solo “dove stanno i dati” a “chi può far funzionare il cloud e con quali dipendenze” in condizioni reali di stress geopolitico o tecnologico.
Residenza dei dati e dei metadati: IAM, controlli e audit nel perimetro europeo
Il secondo pilastro è la piena residenza dei dati, estesa a ciò che normalmente resta implicito. Oltre ai dati dei workload, restano nell’Unione Europea anche i metadati creati dai clienti, includendo ruoli, autorizzazioni, etichette delle risorse e configurazioni. Per organizzazioni regolamentate questo punto è cruciale: i metadati descrivono in modo dettagliato la struttura del sistema, le relazioni tra risorse e identità e il modello di controllo, diventando parte integrante della superficie di rischio e degli obblighi di compliance.
A rafforzare il modello di controllo, la Regione sovrana introduce componenti gestionali confinati nel perimetro europeo: uno stack IAM (Identity and Access Management) separato e sistemi di billing e usage metering in-Regione, quindi collocati all’interno della European Sovereign Cloud. In termini pratici, significa chiudere nello stesso dominio sovrano i meccanismi che governano identità e autorizzazioni e quelli che tracciano e contabilizzano l’utilizzo dei servizi. È un aspetto tecnico, ma con implicazioni dirette su auditabilità e responsabilità, perché tocca la “catena di custodia” delle informazioni che abilitano accesso e gestione del cloud.
Sul piano della sicurezza, il riferimento strutturale è il Nitro System, base dell’isolamento hardware e software per l’ambiente EC2 e componente che impedisce l’accesso ai dati dei clienti in esecuzione su EC2 anche al personale AWS. In un cloud orientato alla sovranità, la riduzione dell’accesso privilegiato non è soltanto un requisito organizzativo: diventa un vincolo tecnico che contribuisce a delimitare ciò che è possibile fare sull’infrastruttura e a rafforzare l’idea di separazione operativa.
A questo si aggiunge un elemento centrale per l’adozione in ambienti governativi e regolamentati: la dimostrabilità delle garanzie. La European Sovereign Cloud introduce l’AWS European Sovereign Cloud: Sovereignty Reference Framework (ESC-SRF), con validazione indipendente e report di audit verificato da terze parti. Per il procurement pubblico e per i settori ad alta regolazione, la differenza tra un requisito “dichiarato” e uno “verificabile” è spesso la differenza tra una sperimentazione e un passaggio a produzione.
Governance tedesca e nodo Cloud Act: la sovranità oltre la data residency
Il pilastro societario completa l’impostazione e porta il tema della sovranità sul terreno della governance e della giurisdizione. Per la European Sovereign Cloud viene istituita una nuova struttura in Germania con capogruppo dedicata e tre controllate locali (GmbH). Gli organi di gestione sono composti da cittadini UE e operano vincolati al rispetto del diritto europeo e nell’interesse dell’iniziativa sovrana. La governance viene rafforzata dalla presenza di un advisory board con componente indipendente.
La leadership viene esplicitata anche nelle nomine: Stefan Hoechbauer assume il ruolo di managing director della European Sovereign Cloud e lavora a stretto contatto con Stéphane Israël, responsabile di gestione e operazioni e riferimento per la strategia di digital sovereignty collegata al progetto. Nel board compaiono profili interni legati a public policy, legal ed engineering, insieme a due membri indipendenti: Philippe Lavigne, generale in congedo ed ex Supreme Allied Commander Transformation NATO, e Sinéad McSweeney, con esperienze in board internazionali ed ex VP Public Policy and Philanthropy di Twitter.
Questa architettura societaria incide su un punto che, per molti acquirenti pubblici europei, è diventato strutturale: la possibilità che un hyperscaler statunitense resti esposto a richieste delle autorità USA anche quando i dati sono fisicamente in Europa. Il riferimento ricorrente è il CLOUD Act (Clarifying Lawful Overseas Use of Data Act), entrato in vigore nel 2018, che ha modificato lo Stored Communications Act chiarendo che un provider di servizi di comunicazione elettronica o di remote computing deve preservare e divulgare comunicazioni, contenuti e record che siano nella sua “possession, custody, or control”, indipendentemente dal fatto che tali dati siano dentro o fuori dagli Stati Uniti. È la formulazione “control” il punto che, in chiave europea, mette in crisi l’assunto “basta la data residency”: la localizzazione geografica diventa secondaria se l’entità soggetta a giurisdizione USA conserva una leva di controllo tecnico o legale sul dato.
Il CLOUD Act nasce anche per sbloccare il nodo che aveva generato il contenzioso USA-Microsoft sui dati conservati in Irlanda e ribadisce un principio: se una società rientra nel perimetro della giurisdizione statunitense e “controlla” il dato, l’overseas storage non basta a sottrarre quell’informazione a un ordine emesso secondo le procedure USA.
La legge include un meccanismo per gestire conflitti con le leggi straniere, consentendo al provider – in determinate condizioni – di contestare un ordine qualora la compliance generi un conflitto materiale con la legge di un “qualifying foreign government”, attraverso un’analisi di comity, ovvero di cortesia interntazione in sede statunitense. Ma questo passaggio non rappresenta un’immunità automatica rispetto alle richieste: resta un bilanciamento giudiziario condotto sotto diritto USA.
Accanto agli obblighi di disclosure, il CLOUD Act stabilisce la cornice degli executive agreements, accordi bilaterali che possono facilitare richieste transfrontaliere di dati tra governi che rispettano requisiti e tutele procedurali. È un ulteriore segnale del fatto che la legge è costruita per rendere più fluido l’accesso legale ai dati custoditi da provider globali soggetti a giurisdizione statunitense.
Per questo la sovranità cloud, nel contesto europeo, tende a essere valutata con una logica diversa rispetto alla sola compliance locale: conta dove stanno i dati, ma conta soprattutto dove stanno identità, autorizzazioni e capacità operative. È qui che la separazione di IAM, billing e usage metering dentro la Regione sovrana diventa un elemento non solo tecnico ma di governance, perché restringe ulteriormente il perimetro entro cui può esistere un “control” praticabile e riduce le dipendenze dai livelli globali condivisi.
In Europa, l’attenzione su questi rischi si è ulteriormente intensificata dopo la sentenza Schrems II della Corte di giustizia UE (2020), che ha invalidato il Privacy Shield e ha imposto un principio operativo preciso: quando entrano in gioco Paesi terzi, non basta più “spostare” o “tenere” i dati dentro l’Unione, perché va valutato anche il rischio che autorità extra-UE possano ottenere accesso in virtù delle proprie leggi. La Corte ha lasciato utilizzabili le SCC (Standard Contractual Clauses) — clausole contrattuali standard approvate dalla Commissione europea per regolare i trasferimenti di dati personali — ma solo a condizione di verificare, caso per caso, se nel Paese di destinazione esistano norme o pratiche che possano svuotare di fatto le garanzie del GDPR, e di prevedere misure supplementari quando necessario.
La European Sovereign Cloud mette quindi insieme separazione fisica e logica dalle altre Regioni, autonomia operativa in caso di disconnessione, governance UE con struttura societaria dedicata, strumenti di identità e gestione confinati nel perimetro sovrano, residenza estesa ai metadati, verificabilità tramite framework e audit. L’obiettivo è trasformare la sovranità in un requisito architetturale e societario, non in un semplice attributo di localizzazione.
Non è poi un dettaglio secondario che una “Regione sovrana” venga proposta da un’azienda pienamente americana: la mossa segnala quanto l’Europa sia diventata un mercato non aggirabile, dove regolazione e procurement obbligano gli hyperscaler a portare sul tavolo garanzie aggiuntive rispetto alla sola localizzazione dei data center.
Come dichiara Valentino Valentini, viceministro delle Imprese e del Made in Italy e delegato G7 per innovazione e digitale: “Progetti come European Sovereign Cloud di Amazon Web Services rafforzano il ruolo dell’Europa come polo di infrastrutture digitali strategiche e confermano l’attrattività dei nostri Paesi per investimenti in tecnologie avanzate. L’Italia guarda con interesse a progetti di questo tipo, che possono sostenere l’innovazione, valorizzare l’ecosistema industriale e attrarre investimenti tecnologici ad alto valore aggiunto. Il nostro Paese è impegnato a creare un contesto favorevole allo sviluppo di infrastrutture affidabili, capaci di sostenere crescita economica e competitività industriale”.
Ecosistema, investimenti e Local Zones: la scalabilità del modello sovrano
Il progetto è sostenuto da un investimento dichiarato di oltre 7,8 miliardi di euro per lo sviluppo in Germania, con una stima di impatto che include circa 2.800 posti di lavoro equivalenti a tempo pieno all’anno e un contributo di 17,2 miliardi di euro al PIL tedesco nel periodo considerato.
Sul fronte dei servizi, la Regione sovrana parte con oltre 90 servizi tra AI, compute, container, database, networking, sicurezza e storage. Il posizionamento insiste su architettura e API “familiari”, con l’obiettivo di ridurre la frizione di adozione e mantenere compatibilità con modelli cloud già noti alle organizzazioni enterprise.
Il lancio viene accompagnato da una prima fotografia di ecosistema: tra i clienti compaiono EWE AG, la Medizinische Universität Lausitz – Carl Thiem (MUL-CT) e Sanoma Learning; sul lato partner vengono elencati soggetti che coprono system integration e filiera AI, tra cui Accenture, Capgemini, Deloitte, Kyndryl, NVIDIA, SAP e Mistral AI.
A completare l’estensione territoriale arrivano nuove Local Zones sovrane in Belgio, Paesi Bassi e Portogallo, pensate per esigenze di residenza nazionale del dato e per applicazioni sensibili alla latenza. Restano inoltre opzioni più spinte per requisiti di isolamento ancora più stringenti, come Dedicated Local Zones e Outposts, fino a estensioni verso data center on-premises selezionati dal cliente.
Con la European Sovereign Cloud, AWS prova così a trasformare la sovranità in una piattaforma industriale: un cloud con pieno set di servizi e capacità AI, ma con una combinazione di scelte architetturali, strumenti di controllo, auditabilità e governance societaria europea pensate per reggere anche il vaglio più severo di procurement pubblico, compliance e gestione del rischio.
