La sovranità digitale come strategia e non come chiusura al mondo

Introduzione

La digitalizzazione ha offerto una vera e propria opportunità agli Stati e ai cittadini di essere sempre più interconnessi e ha fatto si che il mondo lo fosse, ma al contempo ha svelato-soprattutto negli ultimi anni- anche il lato negativo: quello sempre più evoluto delle minacce informatiche.

Per contrastare queste minacce sempre più frequenti e potenti l’Unione Europea ha deciso di definire e sviluppare una strategia in materia di cybersicurezza.

Nel 2020 l’UE ha deciso di sviluppare una strategia che portasse l’Unione a rafforzare gli strumenti e le risorse per poter avere una autonomia e una sovranità tecnologica.

Una sovranità tecnologica che si fondi sulla resilienza dei servizi e dei prodotti e per far si che si sviluppi nella comunità un senso sempre più ampio e profondo di consapevolezza per far fronte comune alle minacce informatiche che sono sempre più frequenti e diffuse.[1] 

È fondamentale che chi si occupa dei settori strategici in un Paese sia in grado di lavorare e collaborare per far fronte comune alle minacce cybernetiche.

La strategia che l’UE ha deciso di mettere in campo va a coprire la sicurezza dei cosiddetti servizi essenziali vale a dire reti energetiche, ospedali, rete ferroviaria con l’obiettivo di costruire delle vere e proprie capacità collettive che sappiano far fronte, ma soprattutto prevenire eventuali minacce informatiche.

Nel corso di questi ultimi anni anche il sempre più frequente ricorso all'intelligenza artificiale ha reso sempre più necessario intervenire- anche a livello legislativo-per cercare di definire i contorni delle azioni che, sempre più frequentemente, avvengono online mostrando come anche l'Unione Europea ha la capacità di agire autonomamente in un contesto sempre più digitale cercando anche di ridurre quella dipendenza da Stati terzi (in primis gloi USA) e sappiamo bene come l'intelligenza artificiale abbia un ruolo sempre più centrale e primario anche in termini di competitività tra aziende.

La Dichiarazione europea sulla sovranità digitale

L’Italia ha firmato nel novembre 2025 la Dichiarazione europea sulla sovranità digitale si tratta di un documento centrale e fondamentale nello sviluppo di una politica digitale europea. Si è arrivati a parlare di sovranità intesa come raggiungimento di obiettivi, di rispetto di principi. Gli Stati membri dell’Unione hanno firmato questa dichiarazione sulla sovranità digitale per ridurre progressivamente la dipendenza dell’Europa dalle piattaforme globali e quindi puntare ad investimenti in termini economici per la creazione di infrastrutture digitali europee affidabili e quindi dare la possibilità “ai governi, alle imprese e ai cittadini una scelta digitale basata sui valori europei”[2]

L’obiettivo di questo documento è individuare nella sovranità digitale un vero e proprio cuore pulsante di una strategia europea.

Non si tratta di una ‘chiusura al mondo’, ma di ridurre la dipendenza- soprattutto quando si parla di infrastrutture critiche- da Stati terzi.

Sovranità digitale, come ha affermato Butti, “non vuol dire chiudersi al mondo, ma dotarsi degli strumenti necessari per scegliere in autonomia le proprie soluzioni tecnologiche, proteggere i dati più sensibili e rafforzare le infrastrutture critiche”.[3]

È necessario, anche visto l’attuale contesto geopolitico, che l’Unione Europea abbia la forza e la capacità di agire in maniera autonoma nel mondo del digitale con una propria normativa e seguendo i valori democratici e adottando tutte le misure in termini di sicurezza informatica.

L’architrave della Dichiarazione è rappresentato dall’identità digitale e dalla fiducia, dalla sovranità dei dati, dalle tecnologie e dalle infrastrutture strategiche ,dalle regole e dalla governance.

Quindi si dovrà guardare alla tutela dei dati perché sono considerati dei beni strategici che si pongono al centro di un concetto denominato “data sovereignty” con la finalità di proteggere i dati sensibili da eventuali possibili interferenze esterne in un periodo in cui gli attacchi hacker sono, potremmo dire, all’ordine del giorno.

L’obiettivo della strategia europea e il Digital Europe Program[4]

Nel dicembre 2020 la Commissione e l’Alto rappresentante per l’Unione per gli affari esteri e la politica di sicurezza hanno presentato la strategia europea in materia di cybersicurezza che ha come obiettivo principale quello di garantire che internet sia effettivamente globale e soprattutto aperta e che possa dare delle effettive garanzie laddove dovessero emergere rischi in tema di sicurezza informatica e di tutela dei diritti fondamentali delle persone in Europa. In questa strategia vi sono delle proposte, delle iniziative anche a livello normativo che riguardano soprattutto tre aree di intervento a livello comunitario: a) resilienza, sovranità tecnologica e leadership; b) capacità operativa di prevenire, scoraggiare e rispondere; c) cooperazione per promuovere un cyberspazio globale e aperto.

Il programma Digital Europe è un programma di finanziamento europeo (2021-2027) incentrato proprio sulla diffusione delle tecnologie e sul loro utilizzo da parte delle imprese, delle pubbliche amministrazioni e ovviamente dei cittadini perché sappiamo che le infrastrutture digitali hanno un ruolo chiave e centrale. Questo programma quindi fornisce dei finanziamenti strategici proprio per affrontare queste sfide sempre più imponenti. Il budget stanziato supera gli 8 miliardi di euro con il fine di “plasmare la trasformazione digitale della società e dell’economia europea in linea con gli obiettivi definiti nella Comunicazione Bussola digitale 2030[5] e nel programma politico “Percorso vero il decennio digitale”.[6]

L’obiettivo del programma per il decennio digitale è incentrato su quattro punti: innanzitutto è importante che la popolazione abbia delle competenze digitali così come è importante che vi siano professionisti altamente qualificati, che vi siano delle infrastrutture digitali sicure (tema cybersicurezza), che si possa procedere ad una vera e propria trasformazione digitale delle imprese e che si arrivi ad una digitalizzazione dei servizi pubblici.

Il Commissario per il mercato interno, Breton, ha dichiarato che il “programma politico del Decennio Digitale è la strada verso un futuro più innovativo, inclusivo e sostenibile per l’Europa. Sbloccare il potenziale della trasformazione digitale, in particolare attraverso la creazione e l’attuazione di progetti multinazionali, aprirà la strada ad un’Europa competitiva e sovrana”[7]

Gli interventi normativi a livello europeo

L’Unione Europea nel corso di questi ultimi anni è intervenuta per adottare a livello legislativo una serie di normative in materia di sicurezza informatica e di tutela degli utenti soprattutto visto il sempre più frequente impatto degli incidenti informatici a carico della sicurezza che rappresentano una vera e propria minaccia per il funzionamento delle reti e di sistemi informativi. Questi sistemi possono essere un bersaglio per azioni illegali e illecite atte a danneggiare oltre che interrompere il funzionamento dei sistemi informatici e quindi possono provocare gravi danni all’economia degli Stati membri dell’Unione.

Ricordiamo il Regolamento europeo per la protezione dei dati personali del 2016, la direttiva NIS (Network and Information Security, direttiva n. 1148 del 2016)[8] sulla sicurezza delle reti e dei sistemi informativi che è stata recepita nel nostro ordinamento con un decreto legislativo nel 2018.

Il decreto di recepimento della direttiva NIS (possiamo anche parlare di NIS 1) ha previsto l’adozione di una strategia nazionale di sicurezza cibernetica da parte della Presidenza del Consiglio dei Ministri sulla base di quanto previsto dall’articolo 7 della direttiva NIS[9] e prevede che “ogni Stato membro adotta una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi che definisce gli obiettivi strategici e le opportune misure strategiche e regolamentari al fine di ricevere e mantenere un livello elevato di sicurezza delle reti e dei sistemi informativi […]”. Si deve anche puntare ad adottare una governance che sia in grado di raggiungere gli obiettivi e fissare le priorità della strategia nazionale che uno Stato deve adottare in materia di sicurezza informatica.

Va poi ricordato il Regolamento europeo n.881 del 2019 detto anche Cybersecurity Act che ha rappresentato un pilastro importante (oltre alla direttiva NIS) nella nuova strategia europea in materia di sicurezza cibernetica con l’obiettivo di rafforzare la resilienza dell’UE agli attacchi informatici. Nel questo Regolamento viene delineato e ulteriormente specificato il ruolo dell’ENISA[10] che si rafforza consentendo di svolgere compiti di consulenza tecnica oltre che di “attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri”.[11]

Il su menzionato Cybersecurity Act prevede anche l’introduzione di un sistema europeo di certificazione della sicurezza informatica in modo da dare ai Paesi membri UE la possibilità di adottare schemi di certificazione cha possono essere riconosciuti a livello europeo.

La direttiva NIS 2 (Regolamento 2555 del 2022) è una revisione della direttiva NIS 1 e rappresenta un ulteriore tassello, a livello europeo, di evoluzione della normativa comunitaria per una più puntuale definizione della strategia europea in materia di cybersicurezza.[12]

 La NIS 2 sulla sicurezza delle reti e delle informazioni è un ulteriore adempimento europeo per un rafforzamento e aggiornamento della direttiva NIS 1 del 2016 per un più puntuale miglioramento della resilienza e della sicurezza informatica degli stati membri dell’Unione. L’obiettivo della NIS 2 è migliorare i livelli di resilienza e di sicurezza informatica degli Stati europei proprio perché i sistemi informatici sono il fulcro per la fornitura di servizi essenziali in settori come quello della pubblica amministrazione o della sanità. Sarà compito degli Stati membri UE definire e individuare i soggetti che dovranno fornire le informazioni necessarie a garantire standard e livelli di sicurezza cybernetica.

Nel corso di questi anni l’Unione Europea è intervenuta più volte a livello legislativo per introdurre, modificare, aggiornare le norme in materia di sicurezza informatica.

Un’altra direttiva introdotta è la direttiva CER[13] che va a completare un vero e proprio quadro normativo con il fine di proteggere e tutelare il sistema Paese (quindi il richiamo è innanzitutto alle infrastrutture critiche) da eventuali rischi e attacchi informatici. Gli obiettivi principali sono quello di migliorare la resilienza delle infrastrutture critiche, di migliorare la cooperazione e il coordinamento soprattutto tra gi Stati membri e le stesse Istituzioni europee, di adattare le misure alle minacce sempre più subdole, ma soprattutto garantire quella uniformità normativa che consente di avere una legislazione armonizzata a livello europeo e quindi di creare e avere degli standard comuni.

L'AI Act  entrato in vigore nel 2024 rappresenta l'ulteriore tassello del quadro normativo creato a livello comunitario ed è il primo quadro giuridico in materia di intelligenza artificiale. Una legge che si pone il fine di garantire delle condizioni migliori per uno sviluppo e un uso dell'intelligenza artificiale. Il legislatore europeo ha voluto assicurarsi, con la redazione di questo testo di legge, che i sistemi di intelligenza artificiale che vengono e verranno usati in Europa siano sicuri, tracciabili, rispettosi e non discriminatori e si è reso necessario individuare dei livelli di rischio (rischio minimo rischio limitato, rischio alto/elevato, rischio inaccettabile).

l'AI Act pone un accento particolare sul tema della trasparenza richiedendo quindi ai fornitori di dare informazioni che siano il più chiare possibili e accessibili ed evidenziando anche la necessità di una supervisione umana che non deve essere sostituita semmai affiancata e rafforzata soprattutto laddove vi siano sistemi ad alto rischio e quindi l'intervento umano è richiesto e necessario.

Conclusioni

In un mondo sempre più interconnesso che vive oggi una delle più profonde incertezze a livello geopolitico il settore delle telecomunicazioni è chiamato a contribuire, in maniera attiva, alla realizzazione di una vera e propria sovranità digitale che deve essere messa al servizio della collettività e degli Stati. A livello globale esistono delle partnership in questi termini, ma ciò che conta è chi controlla l’infrastruttura quando è necessario cioè chi ha il potere decisionale? Questa è una domanda estremamente importante.

Ciò che emerge e che risulta essere anche filo conduttore è necessita di avere una governance che, come riporta l’articolo 7 lettera c) della direttiva NIS 2, “chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale, a sostegno della cooperazione e del coordinamento a livello nazionale tra le autorità competenti, i punti di contatto unici e i CSIRT[14]ai sensi della presente direttiva, nonché il coordinamento e la cooperazione tra tali organismi e le autorità competenti ai sensi degli atti giuridici settoriali dell’Unione”.

Emerge come l’Unione Europea senta il bisogno e la necessità di intervenire a tutela delle infrastrutture critiche ad esempio quelle energetiche o la rete ferroviaria o quella dei trasporti promuovendo i concetti di resilienza e di adattamento a minacce sempre più evidenti e insidiose.

[1] https://digital-strategy.ec.europa.eu/it/policies/cybersecurity-strategy

[2]https://digital-strategy.ec.europa.eu/it/news/digital-commons-edic-launches-advance-europes-technological-sovereignty

[3]https://www.corrierecomunicazioni.it/digital-economy/sovranita-digitale-litalia-firma-la-dichiarazione-ue-butti-non-autarchia-ma-autonomia/

[4] https://digital-strategy.ec.europa.eu/en/activities/digital-programme

[5]https://www.conferenzastatocitta.gov.it/home/approfondimenti/tematiche-di-interesse/anpr-modalita-di-accesso-ai-servizi-digitali/il-contesto-europeo-la-bussola-digitale-2030-o-2030-digital-compass/

[6] https://digital-strategy.ec.europa.eu/it/policies/digital-decade-policy-programme

[7]https://digital-strategy.ec.europa.eu/en/news/commission-welcomes-political-agreement-digital-decade-policy-programme-driving-successful-digital

[8] https://www.acn.gov.it/portale/nis

[9] L’articolo 7 è rubricato “Strategia nazionale in materia di sicurezza della rete e dei sistemi informativi”

[10] ENISA: Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione, https://www.enisa.europa.eu/ 

[11] https://www.agendadigitale.eu/sicurezza/cybersecurity-act-ecco-cosa-ci-aspetta-dopo-la-direttiva-nis/

[12] https://www.cybersecurity360.it/cybersecurity-nazionale/direttiva-nis-2-la-sicurezza-delle-infrastrutture-critiche-tra-normativa-e-buone-prassi

[13] Direttiva CER: Critical Entities Resilience n. 2557 del 2022

[14] Computer Security Incident Response Team