Studio Sottocasa
STUDIO LEGALE SOTTOCASA
Informatica e Diritto

Cloud and AI Development Act: perché la nuova proposta UE può cambiare appalti pubblici, cloud e governance dell’intelligenza artificiale

Introduzione: l’intelligenza artificiale non vive nel vuoto

Quando si parla di regolazione dell’intelligenza artificiale, l’attenzione si concentra quasi sempre sugli algoritmi: trasparenza, addestramento dei modelli, responsabilità per errori, allucinazioni, discriminazioni, trattamento dei dati personali, uso nei luoghi di lavoro o nei servizi pubblici. È una prospettiva corretta, ma incompleta.

Ogni sistema di intelligenza artificiale ha bisogno di una base materiale e contrattuale: server, data centre, servizi cloud, capacità computazionale, reti, fornitori, clausole di servizio, misure di sicurezza, procedure di audit, allocazione dei rischi. Senza questa infrastruttura, l’IA resta un modello astratto. Con questa infrastruttura, invece, diventa un servizio operativo che incide su imprese, pubbliche amministrazioni, cittadini e mercati.

È in questo contesto che si inserisce la proposta di Cloud and AI Development Act, presentata dalla Commissione europea il 3 giugno 2026 nell’ambito del più ampio European Technological Sovereignty Package. Secondo la Commissione, il pacchetto mira a rafforzare la capacità europea in semiconduttori, intelligenza artificiale, cloud e open source, riducendo dipendenze strutturali e ampliando le scelte disponibili per imprese, cittadini e pubbliche amministrazioni.

Il dato giuridico centrale è questo: la Commissione non sta proponendo soltanto una politica industriale. Ha adottato una proposta di regolamento, identificata su EUR-Lex come COM(2026) 502 final, inserita nella procedura legislativa ordinaria 2026/0138/COD. Ciò significa che il testo dovrà passare attraverso il normale iter legislativo europeo, con Parlamento e Consiglio. Non è ancora diritto vigente, ma è già un segnale normativo forte.

Che cosa prevede il Cloud and AI Development Act

La pagina ufficiale della Commissione descrive il CADA come una iniziativa destinata a rafforzare la sovranità e la competitività europea nell’ecosistema cloud e IA. Il punto di partenza è chiaro: la crescita della domanda di intelligenza artificiale richiede capacità di calcolo, data centre, servizi cloud e infrastrutture digitali adeguate. La Commissione segnala anche un rischio specifico: l’eccessiva dipendenza da fornitori cloud non europei può incidere sull’autonomia e sulla resilienza digitale dell’Unione.

La proposta ruota attorno a tre assi principali.

Il primo è ricerca, sviluppo e innovazione. Il CADA mira a sostenere tecnologie cloud e IA di nuova generazione, con particolare attenzione a frontier AI, industrial AI e physical AI. In termini pratici, significa che la politica europea sull’IA non riguarda soltanto le regole applicabili ai sistemi già immessi sul mercato, ma anche la capacità di costruire e mantenere l’ecosistema tecnico necessario per svilupparli.

Il secondo asse è la capacità infrastrutturale. La Commissione richiama l’obiettivo di triplicare almeno la capacità dei data centre dell’UE entro cinque-sette anni, semplificando autorizzazioni, accesso a energia, suolo, acqua e finanziamenti. Qui il tema giuridico è evidente: la realizzazione di data centre non è solo una questione tecnologica, ma coinvolge autorizzazioni amministrative, ambiente, energia, contratti, investimenti, sicurezza e continuità dei servizi.

Il terzo asse è l’autonomia. La proposta prevede un quadro unico europeo per valutare la sovranità cloud e IA, un meccanismo di adozione nel settore pubblico, la valorizzazione del contributo europeo all’innovazione e alla resilienza della catena di fornitura, nonché un quadro comune di procurement per le pubbliche amministrazioni.

È proprio questo terzo asse a rendere la notizia particolarmente interessante per un blog giuridico: il CADA sembra voler trasformare la sovranità digitale da concetto politico generale a criterio operativo, verificabile e potenzialmente rilevante nelle scelte di acquisto pubblico e nella selezione dei fornitori.

Il rapporto con l’AI Act: regole sull’IA e regole sull’infrastruttura

Il CADA non sostituisce l’AI Act. Il Regolamento (UE) 2024/1689 resta il quadro centrale per i sistemi di intelligenza artificiale. L’AI Act stabilisce regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi IA nell’Unione, prevede divieti, requisiti per i sistemi ad alto rischio, obblighi di trasparenza, regole sui modelli di IA per finalità generali, governance ed enforcement.

La differenza è netta. L’AI Act guarda soprattutto al sistema IA: che cosa fa, quale rischio produce, quali obblighi hanno provider, deployer, importatori, distributori e altri operatori. Il CADA guarda invece all’ecosistema infrastrutturale: dove e come vengono erogati i servizi cloud e IA, quali garanzie offrono i fornitori, quale capacità computazionale è disponibile, quali criteri possono orientare l’adozione da parte del settore pubblico.

La combinazione tra AI Act e CADA può portare a una forma di compliance più stratificata. Non basterà chiedersi se un sistema IA sia vietato, ad alto rischio o soggetto a obblighi di trasparenza. Per molti progetti, soprattutto pubblici o critici, diventerà necessario chiedersi anche dove risiede l’infrastruttura, chi la controlla, quali audit sono stati svolti, quali garanzie contrattuali esistono e quale livello di dipendenza da fornitori esterni è accettabile.

Questo passaggio è importante anche per la responsabilità contrattuale. Un errore di un sistema IA può dipendere dal modello, dai dati, dall’interfaccia, ma anche da indisponibilità del servizio, vulnerabilità cloud, carenze di continuità operativa, problemi di interoperabilità o scarsa portabilità. Nella pratica, la governance dell’IA passa spesso dai contratti: service level agreement, obblighi di sicurezza, audit rights, clausole di subfornitura, localizzazione dei dati, disaster recovery, exit strategy, responsabilità per interruzioni o degrado del servizio.

Sovranità cloud e livelli di garanzia

Uno degli aspetti più significativi della proposta è la definizione di un quadro di sovranità cloud e IA articolato su quattro livelli di garanzia. La Commissione indica che tali livelli sono destinati a essere usati dagli organismi pubblici in base alla valutazione del rischio e che i cloud service provider potranno essere riconosciuti nell’ambito del framework dopo un audit.

I livelli descritti dalla Commissione vanno da requisiti legati alla localizzazione dei dati nell’Unione fino a condizioni più stringenti sulla trasparenza della supply chain software, sull’indipendenza da Paesi terzi, sul controllo proprietario e sull’assenza di interferenze da Stati terzi.

Questo è un passaggio delicato. La “sovranità” non coincide automaticamente con la mera localizzazione fisica dei dati. Un servizio può avere data centre in Europa, ma dipendere da software, governance societaria, subfornitori, licenze, accessi tecnici o obblighi giuridici collegati a ordinamenti extraeuropei. La proposta sembra muoversi proprio in questa direzione: non basta chiedere dove siano i server; occorre comprendere chi controlla l’infrastruttura e con quali vincoli.

Per le pubbliche amministrazioni, questo potrebbe tradursi in capitolati più sofisticati. Le clausole non dovrebbero limitarsi a richiedere “cloud europeo” o “data center in UE”, ma potrebbero dover distinguere tra livelli di garanzia, audit, catena di fornitura, accesso di terzi, continuità del servizio, portabilità e controllo effettivo.

Per le imprese private, soprattutto quelle che forniscono servizi a PA o a settori regolati, il tema può diventare competitivo. Dimostrare affidabilità infrastrutturale, governance della supply chain e capacità di audit potrebbe assumere un valore commerciale e giuridico sempre più rilevante.

Il raccordo con la Strategia Cloud Italia

Il CADA si inserisce in un quadro italiano già segnato da una forte attenzione al cloud pubblico. Il sito Cloud Italia precisa che la qualificazione dei servizi cloud per la PA semplifica e regolamenta, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. I fornitori che intendono erogare servizi IaaS, PaaS o SaaS destinati alla PA devono ottenere la qualificazione rilasciata dall’Agenzia per la Cybersicurezza Nazionale.

La Strategia Cloud Italia, inoltre, colloca l’adozione del cloud pubblico in un quadro normativo orientato a sicurezza, qualità e trasparenza. Il Dipartimento per la trasformazione digitale ricorda che il Regolamento unico ACN per infrastrutture e servizi cloud per la PA, adottato il 27 giugno 2024 ed entrato in vigore il 1° agosto 2024, aggiorna classificazione dei dati e servizi, requisiti minimi di sicurezza, capacità elaborativa, risparmio energetico, affidabilità, qualità, performance, scalabilità, portabilità e processo di qualificazione.

Il collegamento con il CADA è evidente, ma va trattato con cautela. Il quadro italiano esiste già e ha una propria architettura, centrata su ACN, Strategia Cloud Italia, qualificazione dei servizi e, per i servizi critici e strategici, anche sul Polo Strategico Nazionale. Il CADA, se approvato, potrebbe inserirsi in questo contesto come livello europeo ulteriore, da coordinare con le regole nazionali.

Il problema giuridico sarà il coordinamento: evitare duplicazioni, conflitti o sovrapposizioni tra qualificazione nazionale e riconoscimenti europei; chiarire quali livelli di garanzia siano necessari per diverse categorie di servizi; comprendere se e come i criteri europei incideranno sui bandi pubblici italiani.

Appalti pubblici, audit e contratti: il punto pratico

Il settore pubblico è uno dei terreni più importanti della proposta. La Commissione segnala espressamente l’obiettivo di introdurre un framework comune di procurement per le pubbliche amministrazioni. Il testo della proposta, inoltre, richiama la possibilità di procurement comune e attività connesse, con costi coperti da fees dei soggetti partecipanti.

Per gli operatori economici, questo significa che la partita non sarà soltanto tecnologica. La capacità di partecipare a gare pubbliche per cloud e IA potrebbe dipendere sempre più da documentazione, audit, qualificazioni, livelli di servizio, garanzie sulla catena di fornitura, trasparenza tecnica e contrattuale.

Per le amministrazioni, invece, il problema sarà costruire bandi che non si limitino a chiedere funzionalità, prezzo e disponibilità del servizio, ma che tengano conto del rischio complessivo. Un sistema IA usato per attività amministrative, sanitarie, educative, fiscali o di sicurezza non è valutabile solo in base alla performance del modello. Occorre considerare anche resilienza del cloud, continuità operativa, gestione degli incidenti, dipendenza da fornitori, portabilità dei dati, tempi di uscita dal contratto, auditabilità e compatibilità con le regole di protezione dei dati.

Questo ha ricadute anche sul diritto privato. Nei contratti tra fornitore e cliente, alcune clausole diventeranno centrali: responsabilità per indisponibilità del servizio; obblighi di cooperazione in caso di incidente; garanzie sulla subfornitura; audit e accesso alla documentazione; livelli minimi di performance; tempi di ripristino; obblighi di notifica; localizzazione e trasferimento dei dati; exit plan.

Nei contenziosi futuri (ma già in quelli di oggi), la domanda “l’IA ha sbagliato?” potrebbe non bastare. Potrebbe diventare necessario chiedere: l’infrastruttura era adeguata? Il fornitore aveva promesso un determinato livello di sovranità o resilienza? Il cliente pubblico o privato aveva valutato correttamente il rischio? Le clausole contrattuali allocavano in modo chiaro responsabilità e rimedi?

Le cautele: proposta, non obbligo già vigente

È essenziale evitare un equivoco. Il Cloud and AI Development Act non è ancora un regolamento approvato e applicabile. La procedura EUR-Lex lo qualifica come proposta di regolamento in procedura legislativa ordinaria, con adozione della proposta da parte della Commissione il 3 giugno 2026.

Questo significa che il testo potrà essere modificato. Parlamento e Consiglio potranno intervenire su definizioni, obblighi, livelli di garanzia, tempi, ambito soggettivo, rapporti con gli ordinamenti nazionali e strumenti di procurement. Le imprese e le pubbliche amministrazioni non devono trattarlo come un obbligo già vigente, ma nemmeno ignorarlo.

La scelta prudente è considerarlo un indicatore di direzione. L’Unione europea sembra voler costruire una regolazione dell’IA non limitata alla responsabilità dell’algoritmo, ma estesa all’intero ambiente tecnico, industriale e contrattuale in cui l’IA viene prodotta e utilizzata.

Implicazioni operative per imprese, PA e professionisti

Per le pubbliche amministrazioni, il CADA suggerisce di rafforzare da subito la qualità dei capitolati cloud e IA. Non basta acquistare un servizio innovativo: occorre descrivere correttamente rischi, dati trattati, livello di criticità, requisiti di continuità operativa, portabilità, audit e sicurezza.

Per i fornitori cloud e IA, la proposta segnala che la compliance infrastrutturale potrà diventare un fattore competitivo. Non sarà sufficiente presentare un sistema performante. Sarà importante dimostrare affidabilità organizzativa, trasparenza della supply chain, capacità di audit e garanzie coerenti con il livello di rischio del cliente.

Per le imprese che adottano sistemi IA, anche fuori dal settore pubblico, il messaggio è simile. La scelta del cloud non è neutra. Può incidere su protezione dei dati, sicurezza, continuità del servizio, responsabilità contrattuale e capacità di dimostrare accountability.

Per gli avvocati e i consulenti, il CADA apre un fronte di lavoro trasversale: contratti cloud, appalti pubblici, protezione dei dati, cybersecurity, AI Act, responsabilità civile, compliance documentale e governance dei fornitori. L’assistenza non potrà essere solo normativa o solo tecnica. Servirà una lettura integrata.

Conclusione

Il Cloud and AI Development Act è una proposta ancora in evoluzione, ma già molto significativa. Il suo valore non sta soltanto nell’annuncio di più data centre o maggiore capacità computazionale. Sta nel riconoscimento di un fatto giuridicamente decisivo: l’intelligenza artificiale dipende da infrastrutture, fornitori, contratti, audit e scelte pubbliche di acquisto.

L’AI Act disciplina il rischio dei sistemi IA. Il CADA prova a intervenire sull’ambiente in cui quei sistemi nascono, vengono ospitati e diventano servizi utilizzabili da imprese, amministrazioni e cittadini.

La soluzione più prudente, per PA e operatori economici, è iniziare a ragionare in termini di governance integrata: sistema IA, cloud, dati, sicurezza, fornitori, contratti e responsabilità devono essere valutati insieme. La compliance dell’intelligenza artificiale non sarà credibile se ignora l’infrastruttura che la rende possibile.