Il comunicato stampa è arrivato venerdì 17 aprile 2026, tre giorni prima dell’apertura di Hannover Messe. Rolf Schumann e Christian Müller, i co-CEO di Schwarz Digits, hanno presentato lo European Sovereign Stack Standard — ES³ — con l’esplicita ambizione di diventare il metro europeo della sovranità digitale. Il formato: un modello di maturità a quattro livelli — Basic, Initial, Advanced, Future-Proof. Il meccanismo: un catalogo di oltre 100 criteri. Il marcatore di credibilità: verifica indipendente da parte di BDO AG, il cui presidente del consiglio di amministrazione Parwäz Rafiqpoor ha firmato l’attestazione.

Schumann ha riassunto la proposta: «Stiamo trasformando il bisogno di sovranità digitale in uno standard misurabile per aziende industriali, PMI e settori regolamentati.» La dichiarazione di verifica di BDO è seguita: «L’audit del modello di maturità sulla sovranità da parte di BDO conferma: il modello di maturità ES³ fornisce una base indipendente e pratica per rafforzare la sovranità digitale in Europa.»

Questa è la prima scheda di valutazione della sovranità europea ad arrivare con un’infrastruttura di audit. È anche scritta da un’azienda che compete nel mercato che ora sta valutando.

Cosa propone ES³

I quattro livelli di maturità sono pensati per essere progressivi. Basic copre rivendicazioni minime di residenza dei dati. Initial stabilisce indipendenza operativa dal controllo extra-UE. Advanced richiede separazione architettonica completa dalle dipendenze extra-UE. Future-Proof rivendica continuità verificabile in condizioni geopolitiche ostili.

Il catalogo, secondo il riassunto pubblico, copre giurisdizione, proprietà, controllo operativo, catena di fornitura e custodia delle chiavi. La verifica di BDO copre la metodologia piuttosto che le valutazioni dei singoli prodotti — una distinzione significativa. Una metodologia verificata non è la stessa cosa di un punteggio prodotto verificato; ES³ certifica come valutare, non chi ha valutato bene.

I committenti del settore pubblico possono scrivere condizioni di gara facendo riferimento a uno specifico livello ES³ e rifiutare offerte al di sotto. Questo da solo cambia le strutture di incentivo. Fino a ES³, la sovranità nell’approvvigionamento europeo era o una rivendicazione binaria o un punteggio basato sulle sensazioni. Ora esiste un numero.

Argomenti a favore

Tre cose che ES³ fa e che nulla attualmente fa.

Mette un numero sulla sovranità. Prima di ES³, la sovranità nel linguaggio delle gare era una parola di marketing senza contenuto definito. Un modello di maturità con audit significa che un committente pubblico può rifiutare un’offerta che non soddisfa un livello dichiarato. Il quadro europeo comparabile più vicino — l’etichettatura Gaia-X — è stata criticata per vaghezza ed esecuzione lenta. ES³ è più rapido e più concreto.

Stabilisce uno strato di verifica che i concorrenti devono affrontare. Una volta che esiste uno standard misurabile, le alternative devono o eguagliare i suoi criteri o spiegare pubblicamente perché ne hanno scelti di diversi. Questo è il modo in cui i quadri regolatori diventano operativi.

È arrivato in un momento in cui l’approvvigionamento europeo cercava attivamente criteri. La Vergabebeschleunigungsgesetz tedesca, approvata sei giorni dopo, ha reso la sovranità un criterio di aggiudicazione ammissibile. ES³ fornisce i criteri che la legge rende ammissibili. La tempistica non è accidentale.

Il conflitto al centro della questione

Schwarz Digits è il braccio IT e digitale di Schwarz Gruppe — la casa madre di Lidl e Kaufland — e gestisce StackIT, un importante fornitore cloud europeo che compete direttamente con AWS, Azure e Google Cloud sulle gare europee. Bernd Wagner, il CSO di Schwarz Digits che ha introdotto il dettaglio tecnico allo stand di Hannover Messe, gestisce un’architettura di sicurezza ingegnerizzata contro criteri che ora la casa madre ha anche scritto. Schwarz Digits non è un organismo di standardizzazione neutrale. È un partecipante al mercato che scrive le regole del proprio mercato.

Questo non è, di per sé, squalificante. Gli standard ISO, IEEE e IETF originano abitualmente da fornitori con interessi in gioco. Ma è strutturalmente identico a Microsoft che scrive lo standard contro cui Microsoft Sovereign Cloud è valutato, o AWS che pubblica i criteri per la certificazione European Sovereign Cloud. Lo stesso scetticismo dovrebbe applicarsi qui che si applicherebbe ovviamente a quelli.

Due difese sono offerte abitualmente e ciascuna cade insufficiente.

La prima difesa: qualcuno doveva farlo, e il mercato non avrebbe aspettato un organismo neutrale. Questo è genuinamente vero. Il lavoro formale di standardizzazione europea procede sulla scala temporale di CEN-CENELEC ed ETSI — anni o decenni. Uno standard guidato dal fornitore utilizzabile ora è plausibilmente più utile di uno neutrale lento nel 2032. Ma «plausibilmente più utile» non è «neutrale». L’adozione dello standard va discussa di conseguenza.

La seconda difesa: la verifica di BDO mitiga il conflitto di interesse. Parzialmente. Il linguaggio dell’attestazione di Rafiqpoor è specifico — conferma la metodologia, non le valutazioni dei singoli prodotti. Una metodologia scritta dal fornitore che supera l’audit resta una metodologia scritta dal fornitore. Il conflitto di interesse è nella selezione dei criteri, non nella correttezza procedurale dell’audit.

La domanda sul cui bono si semplifica. Schwarz Digits e StackIT beneficiano se ES³ diventa la scheda di valutazione predefinita della sovranità, perché la loro offerta è ingegnerizzata contro criteri che hanno scritto. BDO beneficia dall’essere l’autorità di verifica per ciò che potrebbe diventare uno standard europeo ampiamente citato. L’ecosistema cloud sovrano di lingua tedesca in senso lato beneficia se criteri di sapore tedesco diventano lo standard europeo de facto. I fornitori francesi di cloud sovrano — Outscale, OVHcloud, Atos, Linagora — non hanno co-plasmato i criteri; perdono marginalmente se ES³ viene ampiamente adottato.

Cosa i criteri non affrontano — e dove non sono visibili

Gli oltre 100 criteri coprono giurisdizione, operazioni, catena di fornitura e custodia delle chiavi secondo il riassunto pubblico. Tre strati architettonici sono vistosamente assenti da qualsiasi reportage che abbiamo visto.

Canali di aggiornamento per i componenti open source sottostanti — la maggior parte ancora scorre attraverso hosting controllato dagli Stati Uniti, principalmente GitHub. Fiducia crittografica radice — quali autorità di certificazione siedono nella catena di verifica. Garanzie di continuità sotto sanzioni — cosa accade se BDO, una società globale di servizi professionali con esposizione commerciale statunitense, venisse essa stessa sanzionata per aver verificato la sovranità europea.

Il livello Future-Proof afferma di affrontare la continuità geopolitica. I criteri per quel livello non sono stati pubblicamente enumerati. Il comunicato stampa di Schwarz Digits non rimanda al catalogo. La copertura della stampa di settore descrive il modello ma non riproduce il testo dei criteri. Finché il catalogo completo non sarà pubblicato, il livello più alto di ES³ è un’aspirazione con un’etichetta piuttosto che una proprietà verificata.

Questo problema di visibilità non è incidentale. Il controllo pubblico è il meccanismo che separa uno standard di sovranità da uno strumento di marketing. Uno standard che vive dietro riassunti e casi di studio è più difficile da esaminare di uno che pubblica il proprio testo completo. ES³ si è posizionato in un mercato senza ancora sottoporsi al tipo di ispezione che la posizione richiede.

Cosa non è questo articolo

Non è un’affermazione secondo cui ES³ sia cattivo. L’approvvigionamento europeo ha urgentemente bisogno di criteri, e uno standard guidato dal fornitore con infrastruttura di audit è significativamente migliore dello stato attuale.

Non è un’affermazione secondo cui Schumann o Müller abbiano agito in malafede. Il conflitto di interesse è strutturale, non motivazionale.

Non è un’affermazione secondo cui lo standard fallirà. ES³ potrebbe diventare il riferimento europeo dominante; potrebbe anche essere superato dal sistema regolatorio a quattro livelli del CADA. Entrambi gli esiti sono possibili.

Cosa chiedere prima di adottarlo

La domanda per i committenti del settore pubblico che considerano ES³ come criterio di approvvigionamento è breve e vale dirla ad alta voce: adotteresti un modello di maturità sulla sovranità scritto da Microsoft e verificato da KPMG, agli stessi termini?

Se la risposta è no, lo standard corrispondente per ES³ richiede lo stesso controllo critico. Il conflitto di interesse non scompare perché il fornitore che scrive è europeo piuttosto che americano. È ridotto — l’esposizione giurisdizionale cambia tra fornitori — ma il problema della selezione dei criteri è identico.

Il prossimo segnale da osservare è il catalogo dei criteri stesso. Al momento della stesura, il testo completo non è pubblico. La nuova clausola di legge sull’approvvigionamento del Bundestag ha bisogno di criteri concreti per ancorarsi. Se ES³ diventa quell’ancora prima che il catalogo sia pubblicato, l’approvvigionamento pubblico tedesco avrà esternalizzato la propria definizione di sovranità a una filiale di Lidl. Non è necessariamente sbagliato. È strutturalmente identico a esternalizzare le definizioni di sovranità a Microsoft, solo con l’accento di una giurisdizione diversa.

Fonti

Panoramica del tema: Sovranità Digitale in Europa Articoli correlati: Sovereignty Washing spiegato, Sovranità nel §58 VgV