Le parole pronunciate a Bruxelles dalla commissaria europea Maria Luís Albuquerque segnano un passaggio che pesa più di una presa di posizione politica. Quando la Commissione afferma che l’Europa deve mantenere il controllo sulle tecnologie chiave che sostengono le sue economie, il messaggio riguarda direttamente il modo in cui il diritto europeo guarda oggi a cloud, infrastrutture digitali e Big Tech.
Il punto di partenza è una constatazione ormai condivisa dagli organi di vigilanza. Una parte rilevante del sistema finanziario europeo dipende da un numero ristretto di fornitori tecnologici extra-UE. Servizi cloud, piattaforme di gestione dei dati e strumenti di continuità operativa sono diventati componenti essenziali del funzionamento quotidiano di banche e intermediari. Questa concentrazione viene letta come un fattore di vulnerabilità, soprattutto in presenza di tensioni geopolitiche, incidenti cyber o interruzioni su larga scala.
Il cloud come infrastruttura critica
Negli ultimi mesi le autorità di supervisione, a partire da quelle bancarie, hanno chiarito che la tecnologia non può più essere trattata come un semplice servizio di supporto. Il cloud rientra a pieno titolo tra le infrastrutture critiche, perché un suo malfunzionamento può avere effetti immediati sulla stabilità finanziaria. In questo scenario, il rischio tecnologico assume una dimensione sistemica e richiede strumenti di governo diversi da quelli tradizionali.
Questa lettura è coerente con le valutazioni della Banca Centrale Europea, che ha incluso le discontinuità tecnologiche e le tensioni geopolitiche tra i principali fattori di rischio per il settore bancario. La dipendenza da fornitori esterni, concentrati e spesso soggetti a giurisdizioni extra-europee, entra così nel perimetro delle preoccupazioni regolatorie.
DORA e l’estensione della supervisione
Il regolamento sulla resilienza operativa digitale rappresenta lo snodo giuridico di questo cambio di paradigma. Con DORA (Digital Operational Resilience Act), l’Unione estende la propria capacità di intervento anche a soggetti che non appartengono al mondo finanziario, ma che svolgono un ruolo essenziale per la sua stabilità. La designazione di fornitori ICT critici consente alle autorità di vigilanza di esercitare forme di supervisione indiretta, imponendo requisiti stringenti in materia di resilienza, gestione del rischio e continuità operativa.
Il significato di questa scelta va oltre la compliance tecnica. La regolazione interviene sulla struttura delle dipendenze tecnologiche, aprendo la strada a valutazioni che riguardano l’eccessiva concentrazione, la possibilità di diversificazione e la sostenibilità nel tempo dei modelli di outsourcing digitale adottati dagli operatori finanziari.
Accanto al profilo regolatorio emerge una dimensione apertamente geopolitica. I riferimenti al deterioramento delle relazioni internazionali indicano che l’affidamento quasi esclusivo a tecnologie controllate fuori dall’Unione viene percepito come una vulnerabilità strategica. La neutralità tecnologica, principio a lungo dominante, lascia spazio a una logica di sicurezza economica, nella quale il diritto diventa uno strumento di presidio degli interessi essenziali europei.
Resta una tensione evidente. L’Europa rivendica maggiore controllo sulle tecnologie chiave, ma continua a dipendere da infrastrutture cloud difficilmente sostituibili nel breve periodo. La sovranità digitale assume quindi la forma di un obiettivo regolatorio progressivo, più che di una condizione già realizzata.
Proprio in questo spazio si colloca la portata delle dichiarazioni della Commissione. Preparare il terreno a interventi normativi più incisivi significa iniziare a discutere di strategie di diversificazione, requisiti di controllo dei dati e rafforzamento di alternative europee.
