L’innesco è stata una frase al Senato francese, martedì 10 giugno 2025. Il senatore Dany Wattebled, relatore della Commissione d’inchiesta sui costi degli appalti pubblici, aveva di fronte a sé Anton Carniaux di Microsoft France. Carniaux era Direttore degli Affari Pubblici e Legali di Microsoft France. Accanto a lui sedeva Pierre Lagarde, Direttore dei Servizi Tecnici per il Settore Pubblico dell’azienda. Lagarde aveva appena spiegato che, da gennaio, i dati dei clienti europei contrattualmente non lasciavano più l’UE.

Wattebled ha chiesto a Carniaux se poteva garantire che i dati dei cittadini francesi non sarebbero stati trasmessi alle autorità statunitensi in seguito a un’ordinanza del governo statunitense. Carniaux non si è schermato. «Non, je ne peux pas le garantir, mais, encore une fois, cela ne s’est encore jamais produit» — no, non posso garantirlo, ma, ancora una volta, non è ancora mai accaduto.

La frase ha circolato per dieci mesi. Mercoledì 8 aprile 2026, la Direction interministérielle du numérique e tre agenzie partner — la Direction générale des entreprises, l’agenzia di cybersicurezza ANSSI e la Direzione Acquisti dello Stato DAE — hanno pubblicato un comunicato stampa congiunto. Ogni ministero, ogni operatore dello Stato, ogni ente affiliato sarebbe tenuto a presentare un piano scritto per ridurre le proprie dipendenze digitali extraeuropee. La scadenza era l’autunno. I piani avrebbero coperto sette categorie: postazioni di lavoro, strumenti collaborativi, antivirus, intelligenza artificiale, basi di dati, virtualizzazione e apparecchiature di rete. La DINUM stessa avrebbe guidato per prima la migrazione da Windows a Linux.

Anne Le Hénanff, Ministra delegata per l’Intelligenza Artificiale e il Digitale, ha riassunto la posizione in una sola riga: «La souveraineté numérique n’est pas une option.» La sovranità digitale non è un’opzione. David Amiel, Ministro dell’Azione Pubblica e dei Conti, ha apposto la firma di assenso al piano.

Cosa richiede effettivamente il comunicato stampa

Ogni ministero deve produrre una tabella di marcia. Le sette categorie non sono negoziabili; le tempistiche al loro interno sì. L’ambizione aggregata è una migrazione sostanziale dell’infrastruttura IT statale entro il 2030.

La Caisse nationale d’Assurance maladie — la cassa nazionale di assicurazione sanitaria francese — è già il più grande impegno visibile. 80.000 dei suoi dipendenti stanno passando a Tchap, Visio e FranceTransfert. La Suite, la piattaforma di produttività sovrana francese, aveva raggiunto circa 40.000 utenti regolari prima che la direttiva la rendesse predefinita. La prima tappa concreta tra Stati dopo il comunicato stampa è una serie di «Rencontres industrielles du numérique» previste per giugno 2026, in cui DINUM intende formalizzare coalizioni pubblico-private per la transizione.

Perché questo non è Monaco

Il progetto LiMux di Monaco, abbandonato dalla città nel 2017 dopo un decennio, è il riferimento europeo canonico per «è più difficile di quanto sembri». Il fallimento di Monaco ha avuto diverse cause tecniche; la sua causa politica è stata che le successive amministrazioni comunali potevano disinvestire dagli impegni precedenti perché non esisteva una tempistica vincolante a livello centrale. La direttiva francese è progettata contro questo schema.

I piani scritti obbligatori innalzano il costo politico di un dietrofront. Un cambio di amministrazione non può abbandonare una tabella di marcia documentata senza inversione esplicita — e quell’inversione diventa una notizia di stampa. Anche l’ambito a sette categorie è deliberato. Le precedenti migrazioni europee affrontavano le postazioni di lavoro e ignoravano gli strumenti IA, le basi di dati e la virtualizzazione. Entro cinque anni, quelle lacune avevano ri-ancorato la dipendenza dai fornitori a livelli più profondi. La Francia nomina quasi tutto lo stack fin dall’inizio.

Il caso di riferimento empirico dietro la metodologia è la Gendarmerie nationale, una forza di polizia militare che gestisce all’incirca 100.000 macchine su Linux da due decenni, con risparmi cumulativi sui costi di licenza dichiarati di circa 500 milioni di euro. La migrazione della Gendarmerie è l’unica migrazione Linux del settore pubblico europeo ampiamente citabile come successo inequivocabile. DINUM ne sta replicando la metodologia, non improvvisando sulla base di una teoria.

La frase di Carniaux del giugno 2025 è la malta politica. Senza un’ammissione di Microsoft stessa, agli atti, in un parlamento nazionale, il livello operativo del governo francese non avrebbe prodotto così rapidamente una direttiva interministeriale di tale portata. Il momento al Senato ha convertito un argomento architettonico in un fatto politico.

Cosa la direttiva non risolve

Anche nella lettura più ottimistica, la direttiva affronta un solo livello della dipendenza. Diversi livelli più profondi rimangono inalterati.

Linux su 2,5 milioni di desktop governativi chiuderebbe una grande esposizione. Non chiuderebbe la catena di fornitura a monte — il kernel, le toolchain, i repository di pacchetti — la maggior parte dei quali sono ospitati su infrastruttura statunitense, principalmente GitHub. Non chiuderebbe la catena di fiducia crittografica: le autorità di certificazione e i server radice DNS restano dominati dagli Stati Uniti. Non chiuderebbe il livello hardware. Le CPU sono silicio Intel o AMD con esposizione al controllo delle esportazioni statunitense, su firmware in larga parte chiuso.

L’elenco a sette categorie della direttiva include rete e infrastruttura telecomunicazioni, il che è più di quanto affrontato dagli sforzi europei precedenti. La catena di fornitura open source a monte da cui dipende tutto il resto non rientra nell’ambito. La direttiva è necessaria, non sufficiente, per la sovranità che si afferma debba consegnare.

C’è anche una lettura di politica industriale che la copertura pubblica ha sottopesato. Se la Francia riesce in questa migrazione, due cluster di fornitori vincono materialmente: Dassault Systèmes attraverso Outscale, che ospita Visio, e una costellazione minore di società di servizi open source francesi. La direttiva è, in termini commerciali, un programma di approvvigionamento nazionale del valore di pochi miliardi in cinque anni. Non è necessariamente un problema — ma è politica industriale oltre che politica di sovranità, e le due non sono identiche.

Cosa non è questo articolo

Non è un’affermazione secondo cui la Francia ha risolto il problema. La direttiva avvia un programma di sei anni, e i piani ministeriali dell’autunno 2026 sono la prima prova misurabile.

Non è un’affermazione secondo cui questo è replicabile in altri Stati membri. La Francia è istituzionalmente distintiva — i vent’anni di esperienza Linux della Gendarmerie non esistono altrove nell’UE.

Non è un’affermazione secondo cui Linux è la risposta alla sovranità. Linux sulla postazione di lavoro è un livello. La catena di fornitura a monte da cui Linux stesso dipende è un altro, e DINUM non ha annunciato un piano per quel livello.

Cosa diranno i piani autunnali

Il tasso base per le migrazioni Linux del settore pubblico europeo di questa portata è il fallimento. Il tasso base per migrazioni progettate in questo modo — piani scritti con scadenze, ambito a sette categorie, strumenti sostitutivi funzionanti, un caso di riferimento empirico nella Gendarmerie e un’ammissione di Microsoft agli atti come malta politica — non è noto. Nessuna amministrazione europea ha tentato questa combinazione a tale scala.

Ciò che è noto è che le elezioni presidenziali francesi del 2027 arriveranno prima che i piani ministeriali dell’autunno 2026 siano stati pienamente eseguiti. Una diversa costellazione politica potrebbe deprioritizzare la direttiva senza invertirla legalmente. La direttiva è amministrativa, non parlamentare.

Il primo segnale misurabile sono le tabelle di marcia ministeriali dell’autunno. Se arriveranno concrete — nominando fornitori, tempistiche, voci di bilancio, personale di transizione — la Francia avrà fatto metodologicamente ciò che Monaco ha fallito, e la domanda diventa se l’ambiente politico lascerà che la metodologia segua il suo corso. Se arriveranno vaghe, la direttiva si unirà al lungo elenco di annunci europei sulla sovranità la cui emivita è stata il ciclo di notizie che li ha prodotti.

Fino ad allora, la frase che ha aperto il fascicolo è la frase che lo ha aperto: no, non posso garantirlo.

Fonti

Panoramica del tema: Sovranità Digitale in Europa Articoli correlati: Linux nel settore pubblico, I limiti dell’indipendenza digitale