Avv. Giuseppe Croari – Dott.ssa Silvia Di Paola
Airbus, il gigante aerospaziale europeo ha di recente annunciato l’intenzione di ridurre la propria dipendenza dai principali fornitori di servizi cloud statunitensi — come Amazon Web Services (AWS), Google Cloud e Microsoft Azure — per spostare dati e applicazioni mission-critical su una piattaforma cloud “digitalmente sovrana” sviluppata all’interno dell’Unione Europea.
A farsi portavoce di questa strategia è stata la vicepresidente di Airbus responsabile per gli Affari digitali, Catherine Jestin, che ha chiarito come la decisione non derivi da un rifiuto delle tecnologie cloud diventate standard globali, ma da un’attenta valutazione dei rischi. In gioco c’è la gestione di dati e applicazioni cruciali — dalla pianificazione delle risorse alla produzione, fino alla progettazione degli aeromobili — informazioni estremamente sensibili la cui sicurezza è suscettibile di essere compromessa.
Il problema del Cloud Act statunitense
Infatti, il nodo principale della questione risiede nel fatto che le Big Tech statunitensi sono soggette alla legislazione degli Stati Uniti e, in particolare, al Cloud Act. In forza di tale normativa, le autorità statunitensi – incluse le forze dell’ordine e le agenzie di intelligence – possono richiedere l’accesso ai dati informatici detenuti dai fornitori di servizi di cloud computing indipendentemente dal luogo in cui tali dati sono conservati, quindi anche se archiviati su server situati al di fuori del territorio degli Stati Uniti.
La condizione determinante è che tali operatori siano soggetti alla giurisdizione statunitense oppure che si tratti di società europee che abbiano una filiale negli Stati Uniti o che operino stabilmente nel mercato americano. In altri termini, le grandi piattaforme statunitensi, anche quando utilizzano data center localizzati in Europa, restano comunque soggette al Cloud Act, il quale consente alle autorità americane di richiedere l’accesso ai dati detenuti da società statunitensi ovunque essi si trovino.
GDPR e limiti al trasferimento dei dati
Tale disciplina normativa, infatti, rischia di entrare in potenziale contrasto con la disciplina europea in materia di protezione dei dati personali, così come delineata dal GDPR (per maggiori informazioni clicca qui).
Il regolamento, in particolare, stabilisce che il trasferimento di dati personali verso un Paese terzo possa avvenire soltanto qualora sia garantito un livello di protezione adeguato oppure siano previste garanzie adeguate a tutela dei diritti degli interessati.
Inoltre, le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un Paese terzo che dispongono il trasferimento o la comunicazione di dati personali possono essere riconosciute o avere efficacia esecutiva esclusivamente se fondate su un accordo internazionale in vigore tra il Paese terzo richiedente e l’Unione europea o uno dei suoi Stati membri.
L’applicazione del Cloud Act, che consente alle autorità statunitensi di ottenere dati detenuti da fornitori soggetti alla giurisdizione USA indipendentemente dal luogo di conservazione, può quindi entrare in tensione con il sistema europeo di tutela dei dati personali.
Questa potenziale frizione normativa assume particolare rilievo quando il trattamento riguarda dati sensibili o strategici, come quelli gestiti da grandi gruppi industriali operanti in settori critici. Nel caso di Airbus, i dati coinvolti non sono soltanto dati personali, ma comprendono anche informazioni industriali, tecnologiche e operative di elevato valore, la cui gestione ha implicazioni non solo giuridiche, ma anche economiche e politiche.
In tale contesto, il tema del cloud e della localizzazione dei dati si intreccia con questioni più ampie di sicurezza, autonomia industriale e controllo delle infrastrutture digitali, rendendo particolarmente rilevante l’esigenza di soluzioni che assicurino il rispetto del quadro normativo europeo e riducano i rischi derivanti dall’applicazione di legislazioni straniere potenzialmente incompatibili con il diritto dell’Unione.
La gara per il cloud europeo
In tale prospettiva si inserisce la decisione di Airbus di avviare una gara d’appalto per la realizzazione di un’infrastruttura cloud europea. L’azienda ha annunciato l’intenzione di lanciare la procedura all’inizio del 2026, con un budget complessivo stimato fino a 50 milioni di euro nell’arco di dieci anni.
L’obiettivo della gara è individuare uno o più fornitori in grado di garantire servizi cloud conformi ai requisiti di sovranità digitale richiesti dal gruppo, in particolare sotto il profilo della localizzazione dei dati, del controllo sull’accesso alle informazioni e della conformità al quadro normativo europeo in materia di protezione dei dati e sicurezza.
Conclusioni
La decisione di Airbus di puntare su un cloud sovrano europeo si inserisce nel dibattito dell’Unione europea sull’autonomia digitale, che da anni cerca di conciliare l’uso di tecnologie globali con il controllo su infrastrutture e dati strategici. Progetti come Gaia‑X e le nuove regole su dati e intelligenza artificiale fanno parte di questo quadro, ma finora non hanno prodotto soluzioni industriali su scala paragonabile a quelle delle grandi piattaforme cloud statunitensi.
Se Airbus riuscirà a completare la transizione, potrà diventare un esempio per altre aziende europee, incoraggiandole a privilegiare soluzioni cloud orientate alla sovranità digitale piuttosto che al solo risparmio economico. Il percorso, tuttavia, resta complesso: le Big Tech dominano il mercato grazie a grandi investimenti, capacità operative e servizi avanzati difficili da replicare nel breve periodo.
Secondo le stime interne di Airbus, le possibilità di trovare un fornitore europeo in grado di soddisfare tutti i requisiti sono circa l’80%, a indicare che permangono incertezze sia sul piano tecnologico sia sulla capacità del mercato europeo di offrire soluzioni complete.
Se sei un’azienda e necessiti di supporto legale rivolgiti ai nostri partner dello Studio Legale FCLEX esperti di diritto dell’informatica e delle nuove tecnologie.