O comunicado de imprensa chegou na sexta-feira, 17 de abril de 2026, três dias antes da abertura da Hannover Messe. Rolf Schumann e Christian Müller, co-CEOs da Schwarz Digits, apresentaram o European Sovereign Stack Standard — ES³ — com a ambição explícita de se tornar a medida europeia da soberania digital. O formato: um modelo de maturidade em quatro níveis — Basic, Initial, Advanced, Future-Proof. O mecanismo: um catálogo de mais de 100 critérios. O marcador de credibilidade: verificação independente pela BDO AG, cujo Presidente do Conselho de Administração Parwäz Rafiqpoor assinou o atestado.

Schumann resumiu a proposta: “We are transforming the need for digital sovereignty into a measurable standard for industry companies, SMEs and regulated sectors.” A declaração de verificação da BDO seguiu-se: “The audit of the sovereignty maturity model by BDO confirms: The ES³ maturity model provides an independent, practical basis for strengthening digital sovereignty in Europe.”

Esta é a primeira folha de pontuação europeia de soberania a chegar com infraestrutura de auditoria. É também escrita por uma empresa que compete no mercado que está agora a pontuar.

O que o ES³ propõe

Os quatro níveis de maturidade pretendem ser progressivos. Basic cobre alegações mínimas de residência de dados. Initial estabelece independência operacional face a controlo de fora da UE. Advanced exige separação arquitetónica plena de dependências fora da UE. Future-Proof alega continuidade verificável sob condições geopolíticas hostis.

O catálogo, conforme o resumo público, abrange jurisdição, propriedade, controlo operacional, cadeia de fornecimento e custódia de chaves. A verificação da BDO cobre a metodologia, e não as avaliações individuais de produtos — uma distinção significativa. Uma metodologia verificada não é o mesmo que uma pontuação de produto verificada; o ES³ certifica como pontuar, não quem pontuou bem.

Os compradores do setor público podem redigir condições de concurso referenciando um nível específico de ES³ e rejeitar propostas abaixo dele. Só isso muda as estruturas de incentivos. Até ao ES³, a soberania na contratação pública europeia era uma afirmação binária ou uma pontuação baseada em sensações. Existe agora um número.

O argumento a favor

Três coisas que o ES³ faz e que nada atualmente faz.

Põe um número na soberania. Antes do ES³, a soberania na linguagem dos concursos era uma palavra de marketing sem conteúdo definido. Um modelo de maturidade com auditoria significa que um comprador público pode rejeitar uma proposta que não cumpra um nível declarado. O quadro europeu comparável mais próximo — a rotulagem Gaia-X — tem sido criticada pela vagueza e pela lentidão de execução. O ES³ é mais rápido e mais concreto.

Estabelece uma camada de verificação que os concorrentes têm de enfrentar. Uma vez existindo um padrão mensurável, as alternativas devem ou corresponder aos seus critérios, ou explicar publicamente por que escolheram outros. É assim que os quadros regulatórios se tornam operacionais.

Chegou num momento em que a contratação pública europeia procurava ativamente critérios. A Vergabebeschleunigungsgesetz alemã, aprovada seis dias depois, tornou a soberania um critério de adjudicação admissível. O ES³ fornece os critérios que a lei torna admissíveis. O timing não é acidental.

O conflito no centro disto

A Schwarz Digits é o braço de TI e digital da Schwarz Gruppe — empresa-mãe da Lidl e da Kaufland — e opera a StackIT, um grande fornecedor europeu de cloud que compete diretamente com a AWS, a Azure e a Google Cloud em concursos europeus. Bernd Wagner, o CSO da Schwarz Digits que apresentou os detalhes técnicos no stand da Hannover Messe, dirige uma arquitetura de segurança que está engenhada contra critérios que a empresa-mãe também escreveu. A Schwarz Digits não é um organismo de normalização neutro. É um participante de mercado a escrever as regras do seu próprio mercado.

Isto não é, por si só, desqualificante. Os padrões ISO, IEEE e IETF têm origem rotineiramente em fornecedores com interesses no jogo. Mas é estruturalmente idêntico a a Microsoft escrever o padrão pelo qual a Microsoft Sovereign Cloud é avaliada, ou a AWS publicar os critérios para a certificação da European Sovereign Cloud. O mesmo ceticismo que se aplicaria obviamente nesses casos deve aplicar-se aqui.

Duas defesas são rotineiramente oferecidas e cada uma falha.

A primeira defesa: alguém tinha de fazer isto, e o mercado não esperaria por um organismo neutro. Isto é genuinamente verdade. O trabalho europeu de normalização formal move-se nas escalas de tempo do CEN-CENELEC e do ETSI — anos a décadas. Um padrão funcional liderado pelos fornecedores agora é, plausivelmente, mais útil do que um padrão neutro lento em 2032. Mas «plausivelmente mais útil» não é «neutro». A adoção do padrão precisa de ser discutida em conformidade.

A segunda defesa: a verificação da BDO mitiga o conflito de interesses. Parcialmente. A linguagem do atestado de Rafiqpoor é específica — confirma a metodologia, não as avaliações individuais de produtos. Uma metodologia escrita pelo fornecedor que se audita bem continua a ser uma metodologia escrita pelo fornecedor. O conflito de interesses está na seleção dos critérios, não na correção processual da auditoria.

A questão do cui bono simplifica-se. A Schwarz Digits e a StackIT beneficiam se o ES³ se tornar a folha de pontuação por defeito da soberania, porque a sua oferta está engenhada contra critérios que escreveram. A BDO beneficia de ser a autoridade de verificação para aquilo que pode tornar-se um padrão europeu amplamente citado. O ecossistema de cloud soberana de língua alemã beneficia globalmente se critérios de sabor alemão se tornarem a opção por defeito europeia de facto. Os fornecedores franceses de cloud soberana — Outscale, OVHcloud, Atos, Linagora — não co-moldaram os critérios; perdem marginalmente se o ES³ for amplamente adotado.

O que os critérios não tratam — e onde não estão visíveis

Os mais de 100 critérios cobrem jurisdição, operações, cadeia de fornecimento e custódia de chaves segundo o resumo público. Três camadas arquitetónicas estão visivelmente ausentes de qualquer reportagem que tenhamos visto.

Canais de atualização para os componentes open source subjacentes — a maioria ainda flui através de alojamento controlado pelos EUA, sobretudo o GitHub. Raiz de confiança criptográfica — que autoridades de certificação se sentam na cadeia de verificação. Garantias de continuidade sob sanções — o que acontece se a BDO, uma empresa global de serviços profissionais com exposição comercial nos EUA, fosse ela própria sancionada por verificar a soberania europeia.

O nível Future-Proof afirma tratar da continuidade geopolítica. Os critérios para esse nível não foram enumerados publicamente. O comunicado da Schwarz Digits não remete para o catálogo. A cobertura da imprensa especializada descreve o modelo, mas não reproduz o texto dos critérios. Até que o catálogo completo seja publicado, o nível mais alto do ES³ é uma aspiração com rótulo, não uma propriedade verificada.

Este problema de visibilidade não é incidental. O escrutínio público é o mecanismo que separa um padrão de soberania de um instrumento de marketing. Um padrão que vive por trás de resumos e estudos de caso é mais difícil de escrutinar do que um que publica o seu texto integral. O ES³ posicionou-se num mercado sem ainda se sujeitar ao tipo de inspeção que essa posição exige.

O que este artigo não é

Não é uma afirmação de que o ES³ seja mau. A contratação pública europeia precisa urgentemente de critérios, e um padrão liderado por fornecedor com infraestrutura de auditoria é significativamente melhor do que o estado atual.

Não é uma afirmação de que Schumann ou Müller agiram de má-fé. O conflito de interesses é estrutural, não motivacional.

Não é uma afirmação de que o padrão falhará. O ES³ pode tornar-se a referência europeia dominante; pode também ser ultrapassado pelo sistema regulatório de quatro níveis da CADA. Ambos os resultados são possíveis.

O que perguntar antes de o adotar

A pergunta para os compradores do setor público que ponderem o ES³ como critério de contratação é curta e vale a pena dizer em voz alta: adotariam um modelo de maturidade de soberania escrito pela Microsoft e verificado pela KPMG, nos mesmos termos?

Se a resposta é não, o padrão correspondente para o ES³ exige o mesmo escrutínio crítico. O conflito de interesses não desaparece porque o fornecedor que escreve é europeu, em vez de americano. Está reduzido — a exposição jurisdicional muda entre fornecedores — mas o problema da seleção de critérios é idêntico.

O próximo sinal a observar é o próprio catálogo de critérios. Até à data de redação, o texto integral não é público. A nova cláusula da lei alemã da contratação pública precisa de critérios concretos para a ancorar. Se o ES³ se tornar essa âncora antes de o catálogo ser publicado, a contratação pública alemã terá externalizado a sua definição de soberania para uma subsidiária da Lidl. Isso não é necessariamente errado. É estruturalmente idêntico a externalizar definições de soberania para a Microsoft, apenas com o sotaque de outra jurisdição.

Fontes

Visão geral temática: Soberania Digital na Europa Artigos relacionados: Soberania de Fachada, Soberania como lei de contratação pública