Think-NextAntonio Tammacco
Tutti gli articoli
18 aprile 2026

PMI e sovranità digitale

Non protezionismo, non autarchia: autonomia selettiva, dove la dipendenza è davvero pericolosa.

sovranità digitalePMIEuropaAI

Parto dalla mia posizione, perché è netta: sì, la dipendenza da pochi provider USA è un rischio strategico serio per le PMI italiane — non domani, già oggi — ma la risposta non è il protezionismo europeo, che al momento è più retorica che infrastruttura, né l'autarchia tecnologica, che è impossibile e stupida. La risposta è un'autonomia selettiva: capire dove la dipendenza è accettabile e dove è pericolosa, e costruire alternative credibili solo sui punti critici, usando bene quello che l'Europa già ha invece di inventare campioni nazionali che non reggono il mercato.

Il problema, prima di tutto, va nominato con onestà. Una PMI italiana media, oggi, è tecnologicamente americana. Il suo cloud è AWS, Azure o Google Cloud. La sua produttività gira su Microsoft 365 o Google Workspace. La sua posta è Gmail o Outlook. I suoi modelli di AI sono OpenAI, Anthropic, Google. Il suo CRM è Salesforce o HubSpot. Il suo e-commerce passa da Shopify o Amazon. Il suo marketing da Meta e Google Ads. I suoi pagamenti da Stripe o PayPal. Non sto descrivendo una distopia futura: sto descrivendo una giornata qualunque di un'azienda pugliese da venti dipendenti.

Questo non è di per sé un male. Sono strumenti eccellenti, spesso insostituibili, che hanno permesso a PMI che quindici anni fa avrebbero arrancato di competere globalmente con infrastrutture da multinazionale. Il problema è un altro: quando la dipendenza è totale e simultanea su tutti i livelli dello stack — infrastruttura, dati, applicativi, modelli, canali di mercato — smette di essere uso di tecnologia e diventa esposizione strategica. E l'esposizione strategica, in un mondo dove la geopolitica è tornata a pesare, è un rischio che prima o poi si paga.

I vettori di rischio sono tre, concreti, non teorici. Primo, il rischio regolatorio ed extraterritoriale: il Cloud Act americano consente alle autorità USA di accedere a dati custoditi da aziende americane ovunque siano fisicamente ospitati, e questo entra in rotta di collisione con il GDPR in modi che i tribunali europei hanno già evidenziato (Schrems I, Schrems II, e ora il Data Privacy Framework sotto pressione). Per una PMI che tratta dati sanitari, industriali sensibili, brevetti, o che lavora con la PA, non è una questione filosofica: è una questione di conformità e di contratti. Secondo, il rischio di pricing e condizioni: quando tre-quattro provider controllano un mercato essenziale, i prezzi li decidono loro, le condizioni di uscita le scrivono loro (costi di egress, lock-in architetturale, API proprietarie), e la posizione negoziale di una PMI europea tende a zero. Terzo, il rischio politico: in uno scenario di tensione commerciale serio tra USA ed Europa — non impossibile, viste le traiettorie degli ultimi anni — l'accesso a servizi cloud e AI potrebbe essere condizionato, rallentato, o usato come leva. Non sto dicendo che succederà: sto dicendo che affidare al mercato la mitigazione di un rischio geopolitico è ingenuo.

Detto questo, il protezionismo europeo come risposta è sbagliato per tre ragioni. Prima: non funziona. Quindici anni di tentativi di costruire "campioni europei" del cloud — da Gaia-X ai vari cloud sovrani nazionali — hanno prodotto progetti in gran parte deludenti, spesso sequestrati da logiche lobbistiche, quasi sempre inferiori per qualità e prezzo alle alternative americane. Le PMI, che devono produrre risultati, non le scelgono. Seconda: sarebbe costoso e punitivo. Imporre alle PMI di usare alternative europee peggiori significherebbe tassare implicitamente la competitività italiana, esattamente nel momento in cui abbiamo bisogno del contrario. Terza: confonde l'autonomia con l'autarchia. L'autonomia strategica non significa fare tutto in casa — è impossibile e controproducente — significa avere leva negoziale, capacità di uscita, e alternative credibili sui punti critici.

La strada seria, allora, è quella che definirei autonomia selettiva, articolata su tre livelli.

Il primo livello riguarda le infrastrutture critiche. Qui l'Europa deve avere capacità proprie — non per sostituire gli hyperscaler americani, ma per garantirsi un'alternativa credibile dove il rischio è massimo: dati della PA, sanità, difesa, infrastrutture strategiche, IA addestrata su dati europei sensibili. Questo significa poche scelte grandi e ben fatte (penso a progetti come EuroHPC, o a iniziative di cloud sovrano con partecipazioni industriali serie) piuttosto che cento iniziative nazionali scollegate. E significa investire sull'anello più debole della catena europea, che è la capacità di calcolo per l'AI: senza GPU e modelli di frontiera europei, ogni discorso sull'autonomia AI è un'illusione.

Il secondo livello riguarda gli standard e l'interoperabilità. Questa è l'arma più potente che l'Europa ha già usato — con il GDPR, con il DMA, con l'AI Act — e che deve continuare a usare. Non imporre alle PMI di usare provider europei, ma imporre a tutti i provider, americani o europei, regole che garantiscano portabilità dei dati, apertura delle API, tracciabilità dei modelli, protezione dei dati personali. Questo non è protezionismo: è creazione di condizioni di mercato in cui la dipendenza non diventa schiavitù. E, per inciso, è l'unica leva regolatoria in cui l'Europa è effettivamente una superpotenza.

Il terzo livello, e qui torniamo alle PMI reali, è la diversificazione architetturale. Un'azienda da trenta dipendenti non può permettersi di rifare la propria infrastruttura. Ma può, nelle sue scelte future, evitare di concentrare tutto su un solo provider, usare tecnologie open-source dove ha senso (Kubernetes, PostgreSQL, modelli AI open-weight come quelli di Mistral o Llama che puoi autoospitare), mantenere copie dei dati critici fuori dal provider principale, scrivere codice che non sia troppo legato alle API proprietarie di un singolo vendor. È igiene architetturale, non ideologia. E su questo le PMI hanno bisogno di essere formate e accompagnate, non lasciate a scoprirlo quando è tardi.

Un'ultima cosa, perché mi sembra dove si gioca davvero la partita. L'AI generativa sta accelerando la dipendenza in modo esponenziale. Ogni PMI che oggi integra ChatGPT, Claude o Gemini nei propri processi sta creando una dipendenza molto più profonda di quella che aveva col cloud: perché il modello non è solo uno strumento, è un pezzo del flusso cognitivo dell'azienda. Qui l'Europa ha un'occasione stretta ma reale: Mistral in Francia, alcune iniziative tedesche, il lavoro su modelli open-weight. Non sostituiranno i frontier model americani a breve, ma possono essere un'alternativa credibile per i casi d'uso che non richiedono l'assoluta frontiera. Le PMI italiane farebbero bene a testare anche queste opzioni, non per patriottismo tecnologico, ma per non trovarsi, fra cinque anni, a dipendere da tre aziende americane per ogni decisione cognitiva che prendono.

In sintesi: l'autonomia europea non è un'alternativa al mondo, è una posizione dentro il mondo. Si costruisce con poche infrastrutture critiche fatte bene, con regole dure uguali per tutti i provider, e con PMI che fanno scelte architettoniche consapevoli. Tutto il resto — campioni nazionali, retorica sovranista, protezionismi di bandiera — è rumore che distrae dalle cose serie da fare.

Hai una posizione diversa o vuoi discuterne? Scrivimi.