Quanto è sovrano il tuo cloud? Il framework SEAL della Commissione Europea
La posizione geografica dei server è solo uno dei fattori che determinano la sovranità digitale di un servizio cloud. La Commissione Europea ha introdotto i livelli SEAL per misurare — oggettivamente — quanto è effettiva quella sovranità.
I server sono in Europa. Ma i tuoi dati sono davvero al sicuro?
Questa domanda torna spesso nelle conversazioni sulla compliance cloud. La risposta, quasi sempre, è: dipende. La posizione geografica dei server è solo uno dei fattori che determinano la sovranità digitale di un servizio cloud. E spesso non è il più importante.
La Commissione Europea ha messo ordine in questa ambiguità con un documento pubblicato nell'ottobre 2025: il Cloud Sovereignty Framework (versione 1.2.1), prodotto dalla DG Digital Services. Il framework introduce uno strumento di misurazione preciso: i SEAL — Sovereignty Effectiveness Assurance Levels.
I cinque livelli SEAL
I SEAL sono una scala ordinale da 0 a 4 che misura quanto è effettiva la sovranità digitale di un servizio cloud:
SEAL-0 — Nessuna sovranità
Tecnologia, operazioni e controllo societario sono interamente in mano a soggetti non-EU, sotto giurisdizioni non-europee. Non esiste alcuna protezione reale per i dati.
SEAL-1 — Sovranità giurisdizionale formale
Il diritto europeo formalmente si applica, ma con scarsa efficacia pratica. Il provider rimane sotto controllo esclusivo di terze parti non-EU. Il caso tipico: un server fisicamente in Irlanda, gestito da una società statunitense. Il CLOUD Act americano e FISA 702 si applicano comunque — il provider è tenuto a consegnare i dati alle autorità USA su richiesta, indipendentemente da dove risiedano fisicamente.
SEAL-2 — Sovranità sui dati
Il diritto UE è applicabile ed esigibile, ma rimangono dipendenze materiali da soggetti non-EU. Il provider è controllato indirettamente da terze parti non europee. In questa fascia rientrano molte soluzioni "sovereign cloud" annunciate dai grandi hyperscaler (AWS EU Sovereign Cloud, Azure EU Data Boundary, joint venture come Bleu o Delos): strutture formalmente europee, ma con dipendenze strutturali sui vendor americani.
SEAL-3 — Resilienza digitale
Il diritto UE è pienamente applicabile e le dipendenze non-EU sono marginali. Gli attori europei esercitano un'influenza significativa — anche se non ancora completa — su tecnologia e operazioni.
SEAL-4 — Sovranità digitale piena
Tecnologia e operazioni sono interamente sotto controllo EU, soggette solo al diritto europeo, senza dipendenze critiche da soggetti non-UE. L'equivalente, nel cloud, di un'infrastruttura completamente europea per hardware, software, operatività e governance.
Non una media: otto dimensioni indipendenti
Il punto che rende il framework SEAL concretamente utile — e al tempo stesso esigente — è che i livelli non si applicano al provider nel suo complesso, ma separatamente su otto Sovereignty Objectives (SOV):
| # | Obiettivo | Peso |
|---|---|---|
| SOV-1 | Strategic Sovereignty | 15% |
| SOV-2 | Legal & Jurisdictional Sovereignty | 10% |
| SOV-3 | Data & AI Sovereignty | 10% |
| SOV-4 | Operational Sovereignty | 15% |
| SOV-5 | Supply Chain Sovereignty | 20% |
| SOV-6 | Technology Sovereignty | 15% |
| SOV-7 | Security & Compliance Sovereignty | 10% |
| SOV-8 | Environmental Sustainability | 5% |
SOV-1 Strategic: chi esercita il controllo effettivo sulla società? Il consiglio di amministrazione è EU? Esistono golden share o meccanismi di protezione? Il finanziamento proviene da fonti europee?
SOV-2 Legal & Jurisdictional: il provider è esposto al CLOUD Act americano o alla legge cinese sulla sicurezza informatica? Dove è registrata la proprietà intellettuale? Esistono canali attraverso cui autorità non-EU possono accedere ai sistemi?
SOV-3 Data & AI: il cliente ha controllo crittografico esclusivo sui propri dati? I modelli AI sono sviluppati, addestrati e governati in UE? Il processing è strettamente confinato in giurisdizioni europee, senza fallback su infrastrutture terze?
SOV-4 Operational: gli operatori che gestiscono il servizio sono esclusivamente EU? Il codice sorgente e la documentazione tecnica sono disponibili per consentire autonomia operativa a lungo termine?
SOV-5 Supply Chain: dove sono prodotti i chip e i server fisici? Qual è la giurisdizione del firmware? Chi ha sviluppato e mantiene il software di base? Questo obiettivo pesa il 20% — il più alto di tutti — e rappresenta il collo di bottiglia più critico per la maggior parte dei provider. Un hypervisor europeo che gira su processori Nvidia o chip TSMC con firmware non-EU ricade già sotto dipendenze che abbassano il punteggio SOV-5.
SOV-6 Technology: le API sono aperte e standardizzate? Il software è disponibile con licenze open source auditabili? Il provider dipende da ecosistemi di calcolo ad alte prestazioni (GPU, acceleratori) controllati da soggetti non-EU?
SOV-7 Security & Compliance: il SOC opera esclusivamente sotto giurisdizione EU? Le certificazioni ottenute (ISO 27001, schemi ENISA) sono verificabili? Il cliente può condurre audit indipendenti con pieno accesso?
SOV-8 Environmental: quali sono i valori PUE dell'infrastruttura? L'energia proviene da fonti rinnovabili? Esistono pratiche di economia circolare per l'hardware?
SEAL e Sovereignty Score: due strumenti diversi
Il framework distingue due meccanismi di valutazione complementari:
Il SEAL è una soglia (pass/fail). Il bando di gara fissa un livello minimo richiesto per ciascun SOV. Se un provider non raggiunge quella soglia su anche un solo obiettivo, viene escluso — indipendentemente dalla performance sugli altri. Non è una media. Non si compensa un SOV-1 sulla supply chain con un SEAL-4 sulla sicurezza.
Il Sovereignty Score è un ranking. Tra i provider che hanno superato tutte le soglie, il framework calcola un punteggio complessivo usando i pesi della tabella sopra. Il Sovereignty Score contribuisce al criterio di aggiudicazione della gara — distingue chi vince tra i qualificati.
La formula è semplice: per ciascun SOV, si calcola il rapporto tra punteggio ottenuto e punteggio massimo, moltiplicato per il peso. La somma dà il Sovereignty Score finale.
Il framework è già operativo
Il Cloud Sovereignty Framework non è un documento di consultazione o un progetto futuro. Nell'ottobre 2025, la Commissione Europea lo ha applicato al Sovereign Cloud Tender (SCT): una gara da 180 milioni di euro su sei anni, aperta a fino a quattro operatori, per i servizi cloud delle istituzioni europee.
Il SCT è parte del Cloud III Dynamic Purchasing System — il meccanismo da 1,2 miliardi di euro che qualifica i provider cloud per tutti gli appalti delle istituzioni EU. Chi vuole entrare in questo mercato deve registrarsi al Cloud III DPS, attualmente aperto fino al gennaio 2028.
Questo non è un test. È il nuovo standard operativo per il procurement cloud europeo.
L'impatto a cascata: perché riguarda anche i privati
Il SEAL nasce come strumento per le gare pubbliche europee. Ma i suoi effetti si estendono — per logica contrattuale — molto oltre la Commissione.
Il meccanismo è lo stesso che già conoscono chi lavora con ISO 27001 (clause 8.1 sui fornitori) o con NIS2 (art. 21 sulle misure di gestione del rischio della supply chain). La novità è l'aggiunta di una nuova dimensione: non solo sicurezza tecnica, ma sovranità giuridica.
In pratica: un provider cloud che vuole mantenere la propria qualificazione SEAL deve imporre requisiti analoghi ai propri subcontractor. Il data center che ospita l'infrastruttura deve documentare SOV-5 (provenienza hardware) e SOV-4 (operatività EU). Il SOC che eroga servizi di sicurezza gestita deve documentare SOV-7 (giurisdizione delle operazioni, audit rights). Il vendor di firmware o di chip entra nell'equazione SOV-5 — e se non è EU, abbassa il punteggio dell'intera catena.
Chi non riesce a documentare la propria posizione viene escluso dalla filiera. Non perché sia insicuro o non affidabile — ma perché non è verificabile secondo i criteri del framework.
Questo crea un mercato nuovo. Le aziende che sanno dove si collocano nel framework SEAL — obiettivo per obiettivo — e riescono a dimostrarlo con evidenze hanno un vantaggio competitivo concreto. Non solo nelle gare pubbliche dirette, ma in ogni supply chain che include un provider cloud qualificato.
Dove si colloca la tua azienda?
La domanda da fare al proprio fornitore cloud non è più "i server sono in Europa?" — ma "a che SEAL siete, obiettivo per obiettivo, e con quali evidenze?"
E la domanda da fare alla propria organizzazione — se si è parte della filiera cloud europea — è: "sappiamo documentare la nostra posizione SEAL sui SOV di nostra competenza?"
Sai dove si colloca la tua azienda nel framework SEAL?
Tomato Blue accompagna le aziende nell'assessment iniziale — capire dove ci si trova oggi rispetto agli otto Sovereignty Objectives — e nella produzione della documentazione necessaria per dimostrarlo a un'autorità contraente o a un partner di filiera.
Richiedi un assessment SEAL →