La sovranità digitale tra sicurezza nazionale e diritti fondamentali

La seconda Tavola Rotonda svoltasi il 16 aprile 2025, durante la 13a Edizione della Cyber Crime Conference, ha coinvolto:

• Federico Casolari, Professore ordinario di Diritto dell’Unione europea e Direttore del Dipartimento di Scienze Giuridiche dell’Università di Bologna;
• Ginevra Cerrina Feroni, Professoressa ordinaria di Diritto costituzionale italiano e comparato, Vice Presidente dell’Autorità Garante per la protezione dei dati personali;
• Stefania Ducci, Capo della Divisione strategia e politiche di cybersicurezza in ambito UE, del Servizio Strategie e Cooperazione di ACN;
• Giusella Finocchiaro, Professoressa ordinaria di diritto privato e di diritto di Internet, Università di Bologna;
• Giorgio Martellino, General Counsel & Compliance Officer di AVIO S.p.A.;
• Antonio Teti, Responsabile del Settore Sistemi Informativi di Ateneo, Innovazione Tecnologica e Sicurezza Informatica e docente di Cyber Intelligence, IT Governance e Big Data dell’Università di Chieti-Pescara; componente del Comitato di Coordinamento per la Strategia Nazionale sull’Intelligenza Artificiale.

Moderatore:

Mauro Santaniello, Professore Associato in Scienza Politica presso il Dipartimento di Scienze Aziendali – Management e Innovation Systems (DISA-MIS) dell’Università degli Studi di Salerno.

In un mondo sempre più frammentato da tensioni geopolitiche e conflitti regionali, il concetto di sovranità digitale si trasforma ed evolve, assumendo significati più ampi e complessi.

Nel corso della Tavola Rotonda, esperti di diversi settori hanno offerto una panoramica articolata e multidimensionale di come stia cambiando questo concetto fondamentale per gli equilibri globali contemporanei.

Il prof. Mauro Santaniello, introducendo il dibattito, ha tracciato con precisione il quadro storico in cui si inserisce l’attuale discussione sulla sovranità digitale.

Il moderatore ha ricordato come ci si trovi, oggi, all’intersezione di due grandi trasformazioni storiche. Da un lato una crisi strutturale dell’ordine internazionale liberale, caratterizzata da crescenti tensioni geopolitiche e conflitti armati; dall’altra una profonda riconfigurazione delle politiche tecnologiche globali, che genera instabilità nei mercati e vulnerabilità nelle catene di approvvigionamento strategiche.

«In questo contesto, il concetto di sovranità digitale assume nuovi significati e prospettive», ha sottolineato Santaniello, ricordando come questo concetto non sia affatto nuovo nel panorama delle relazioni internazionali: già negli anni ’90, infatti, una coalizione di Stati guidati da Russia e Cina aveva invocato il principio di sovranità per contestare l’ordine tecno-giuridico imposto dall’amministrazione Clinton nella gestione delle risorse critiche di Internet.

La vera novità dell’epoca contemporanea risiede piuttosto nell’espansione di questo principio, rispetto sia all’ambito interessato che agli attori coinvolti: «Il discorso sulla sovranità digitale oggi si è notevolmente espanso, andando oltre i protocolli per raggiungere il livello delle applicazioni, dei dati, delle infrastrutture. Ed è andato anche oltre la rete: parliamo di sovranità digitale in riferimento ai processori e alle nuove tecnologie, come l’intelligenza artificiale».

La strategia europea: tra ambizione e ricerca di identità tecnologica

Nel contesto europeo, il concetto di sovranità digitale ha acquisito una centralità inedita all’interno dell’agenda politica comunitaria.

Come ha ricordato Santaniello questa evoluzione è avvenuta nel secondo decennio del XXI° secolo, guidata principalmente da Germania e Francia, che nella prima Commissione von der Leyen e nei due semestri di Presidenza del Consiglio UE hanno tematizzato la sovranità digitale europea; interpretandola inizialmente come limitazione dei poteri delle grandi piattaforme digitali e tutela dei diritti fondamentali dei cittadini europei, sebbene in seguito tale nesso tra sovranità e diritti sia andato affievolendosi.

Stefania Ducci ha approfondito questo aspetto, illustrando come l’Unione Europea abbia sviluppato una complessa strategia per affermare la propria autonomia tecnologica: «Il tema della sovranità digitale è stato oggetto di numerosi interventi da parte dell’Unione Europea, anche perché è un tema strettamente correlato alla sovranità sui dati».

Ducci ha evidenziato come, negli ultimi anni, questa visione si sia tradotta in iniziative concrete «in campo di cybersicurezza e protezione dei dati personali, ma anche per lo sviluppo su basi etiche di tecnologie strategiche come l’intelligenza artificiale».

Un elemento particolarmente significativo è rappresentato dalla recente “Strategia Europea per la Sicurezza Interna” (ProtectEu) pubblicata dalla Commissione nel 2025, che dedica un intero capitolo «al mondo della resilienza rispetto alle minacce ibride e altre attività ostili, con una sezione dedicata alla sovranità tecnologica in riferimento a tecnologie quali l’intelligenza artificiale, il quantum computing e la crittografia post-quantistica».

Come ha ricordato la relatrice, un’assoluta novità riguarda le certificazioni di cybersicurezza: «la Strategia contiene delle novità importanti: va ricordato che questi certificati devono essere rilasciati valutando non solo requisiti tecnici, ma anche sulla base di esigenze politico-strategiche».

Questo rappresenta un significativo cambio di paradigma nell’approccio regolatorio europeo, introducendo nel processo di validazione tecnica considerazioni di natura politica e strategica.
Del resto – ha sottolineato Ducci – il percorso verso l’autonomia tecnologica europea si scontra con un contesto globale altamente competitivo.

«A livello globale abbiamo da un lato la Cina, attore avanzato nello sviluppo di sistemi di AI, soprattutto generativa. Dall’altro lato abbiamo startup europee che hanno l’esigenza di testare i propri prodotti e le proprie tecnologie, facendo ricorso anche alle risorse computazionali dei “colossi” tech, per poi metterle sul mercato al fine di essere più concorrenziali; ma che al tempo stesso sono sempre più oggetto di un approccio “predatorio” da parte di soggetti extra-UE, in particolar modo statunitensi».

Ne risulta uno scenario complesso, dove la sfida è bilanciare le esigenze di mercato con la difesa della sovranità tecnologica.

In merito Ducci ha ricordato come l’ACN abbia già in campo una serie di iniziative e investimenti sia per la costruzione di competenze avanzate che per la creazione di Cyber Hub transnazionali, al fine di rafforzare le risorse mirate ad agevolare l’implementazione coordinata di tecnologie avanzate, come la crittografia quantistica, nel contesto europeo.

La relatrice ha infine ricordato come anche al di là dei confini comunitari – in particolare a livello di G7 – l’Italia stia attivamente lavorando con i paesi alleati per rafforzare i meccanismi di cooperazione a tutela della sicurezza delle infrastrutture critiche, nonché delle catene di approvvigionamento sottostanti alle tecnologie strategiche, prima fra tutte l’intelligenza artificiale.

Le tensioni costituzionali nell’era della tecno-sovranità

Un contributo fondamentale alla discussione è venuto da Ginevra Cerrina Feroni, che ha esplorato le frizioni tra il concetto di sovranità digitale e i principi fondamentali del costituzionalismo democratico.

Cerrina Feroni ha subito messo in discussione una premessa implicita del dibattito: «Non sempre i regimi democratici, di fronte alle crisi, si muovono nell’alveo dei principi costituzionali. In realtà, spesso la storia insegna che è proprio una situazione di emergenza a dare il via libera per un sovvertimento di tali principi».

A titolo di esempio, la vicepresidente del Garante per la protezione dei dati personali ha ricordato che durante la recente pandemia sono stati compressi «diritti e libertà costituzionali come mai era successo in oltre 70 anni di storia repubblicana, incidendo su tutti i diritti compreso pure il lavoro, che – nelle parole di Costantino Mortati – è l’asse portante della forma di Stato».

Introducendo il concetto di “costituzionalismo digitale”, la relatrice ha offerto una prospettiva illuminante: «Lo spazio digitale ci pone di fronte a interrogativi e paradigmi nuovi. E io sostengo che lo spazio digitale non sia una nuova tecnologia, ma un nuovo mondo con il quale dobbiamo confrontarci. Con quali strumenti? Io non ne vedo altri che quelli del costituzionalismo “analogico”».

La professoressa ha ricordato come il costituzionalismo nasca per due finalità fondamentali: limitare il potere statale, nonché garantire diritti e libertà fondamentali. «Queste sono le due stelle polari; e mi sembra siano principi che funzionano anche in questa nuova dimensione tecnologica».

Proseguendo nell’analisi, Cerrina Feroni ha poi identificato tre aree di tensione fra sovranità digitale e costituzionalismo. In primo luogo «un affievolimento della responsabilità politica e giuridica», poiché i gestori delle piattaforme tecnologiche incarnano «nuovi poteri privati che si sottraggono alla cosiddetta accountability istituzionale, cioè al dovere di rendere conto delle proprie azioni». Si tratta di «soggetti potentissimi che immuni da qualsiasi tipo di controllo»; una situazione aggravata dalle questioni di giurisdizione, nonché dalla difficoltà di «esercitare un controllo su azioni ad alto tasso di complessità tecnica».

In secondo luogo, la vicepresidente ha evidenziato le potenziali violazioni dei diritti fondamentali: dalla privacy all’autodeterminazione informativa, fino alla libertà di espressione e a quello che il grande giurista Guido Alpa definiva “il diritto di essere sé stessi”.

La relatrice ha osservato come questo diritto venga minacciato «laddove i nostri desideri e i nostri bisogni vengono anticipati, nel momento in cui si interagisce col sistema ancor prima che il bisogno e il desiderio si configuri». In questo contesto «chi raccoglie, aggrega e analizza dati, ovvero chi fa profilazione, ha un potere enorme», tale da sollevare interrogativi fondamentali: «E come lo fa, con quali garanzie, quali principi? Proporzionalità? Minimizzazione? Esattezza del dato?».

Il terzo punto di tensione riguarda il ricorso alla “disciplina emergenziale”, in quanto «pandemie, guerre ibride o altre emergenze sono da sempre fattori di aumento del potere».

Cerrina Feroni ha quindi ribadito come oggi la principale sfida sia far sì che «aumentino in parallelo gli anticorpi, affinché ci sia una barriera a questo decisionismo tecnologico», citando tra i rischi emergenti i bias ancora ricorrenti nei processi deduttivi dell’intelligenza artificiale.

La professoressa ha infine ricordato che «i principi costituzionali – legalità, trasparenza, proporzionalità – non vanno ritenuti ostacoli al progresso ma servono a evitare che una democrazia si trasformi in tecnocrazia», ribadendo come la tecnologia debba sempre essere utilizzata a servizio delle persone «e non viceversa».

L’architettura normativa europea: complessità, frammentazione e necessità di coerenza

Nel suo intervento, Giusella Finocchiaro ha offerto un’analisi sistematica della normativa sviluppata dall’Unione Europea nell’ambito digitale.

«La sovranità digitale è un tema centrale nell’ambito politico europeo», ha esordito la docente, ricordando come tale centralità sia stata ribadita già nel 2020 dalla prima Commissione von der Leyen.

Finocchiaro ha quindi classificato il corpus normativo europeo in quattro macro-ambiti: «Il primo comprende la privacy e la protezione (ma anche la valorizzazione) dei dati, personali e non; il secondo è relativo alle piattaforme digitali; il terzo grande ambito è quello dell’identità digitale, oggetto del nuovo regolamento eIDAS2; mentre l’ultimo riguarda il tema dell’intelligenza artificiale».

Un elemento comune è la sicurezza, che caratterizza l’intero quadro regolatorio nelle diverse aree.
«La sicurezza è trasversale», ha osservato Finocchiaro, portando ad esempio la protezione dei dati personali: «Abbiamo una serie di regole di responsabilità e di accountability, aventi tutte come presupposto la sicurezza dei dati personali, non solo dal punto di vista tecnologico». Garantire la sicurezza richiede infatti strutture adeguate e una cultura multidisciplinare, oltre a investimenti «tanto nelle misure di sicurezza tecnologiche e giuridiche, quanto negli aspetti di compliance e contrattuali».

La relatrice ha evidenziato come il principale obiettivo perseguito sia «evidentemente, affermare la sovranità digitale europea: ma questo passa attraverso la limitazione dei poteri privati». Queste grandi piattaforme, ha ribadito, «sono fondamentalmente extra europee» e la regolamentazione diventa, allora, «un modo di affermare i valori e i diritti fondamentali europei».

Guardando al futuro, Finocchiaro ha identificato due esigenze fondamentali per l’evoluzione del quadro normativo comunitario.

La prima è quella del consolidamento: «abbiamo moltissime norme europee (e alcune italiane) che andrebbero consolidate e razionalizzate, perché spesso le imprese e gli attori che oggi devono applicarle rischiano di perdersi in un ambiente ormai un po’ troppo ricco di soluzioni».

La seconda esigenza riguarda la valutazione circa l’efficacia dell’approccio regolatorio europeo. «L’Europa vuole tutelare i suoi valori e i suoi diritti fondamentali: è però necessario fare una riflessione autocritica, chiedendosi se lo strumento utilizzato sia sempre adeguato agli obiettivi o se – forse – siano opportuni degli interventi di semplificazione».

Valori, normativa e realtà operativa: il divario da colmare

Federico Casolari ha esordito ricordando come la sovranità digitale europea altro non sia che un’emanazione della sua autonomia strategica: un concetto sviluppato dall’Unione europea sin dal 2013, nell’ambito della Politica Estera di Sicurezza Comune (PESC), e poi divenuto trasversale a tutti i suoi ambiti di azione.

In questa prospettiva, la sovranità digitale è uno dei numerosi ambiti in cui si concretizza oggi la sfida – tutt’altro che semplice – di conciliare i valori identitari dell’Unione con gli specifici interessi di volta in volta in gioco.

In effetti, la normativa europea sul digitale, ed in particolare quella sull’IA, rappresenta un esempio paradigmatico di come il sovranismo digitale dell’Unione determini lo sviluppo di normative che cercano di concretizzare la tutela dei valori dell’Unione – anche attraverso l’imposizione di obblighi in capo ai privati – rispetto a minacce e interferenze esterne. In particolare, il relatore ha citato l’interesse dell’Unione ad avviare – anche nell’ambito digitale – una decisa azione di contrasto nei confronti delle c.d. minacce ibride, rispetto alle quali l’implementazione della strategia sovranazionale si sta traducendo in una crescente «ibridazione degli strumenti normativi UE».

Ad esempio, anche rispetto al dominio digitale, è sempre più frequente il ricorso a « strumenti teoricamente non vincolanti che in realtà sembrano imporre degli obblighi in capo agli Stati membri, richiedendo ad un’implementazione di dettaglio da affidare ad organi ad hoc». Perfino gli strumenti di diritto derivato che rientrano nelle categorie classiche del diritto dell’Unione europea, come i regolamenti, le direttive o le decisioni, «sembrano non rispondere più alle definizioni di esse date nei Trattati ».

Il prof. Casolari ha poi ricordato «la sfida enorme dell’implementazione» del quadro regolatorio introdotto dall’Unione ed il rischio – insito in tale quadro – di creare «un giardino dell’Eden dal punto di vista normativo, che risulti, però, un inferno sul piano economico per imprenditori ed attori del settore».

Quale deve essere, allora, «la “bussola” che i giuristi devono utilizzare per cercare di orientarsi e di orientare gli operatori?» Concordando con quanto già osservato nei precedenti interventi, il relatore ha ribadito come sia cruciale «tornare ai principi generali dell’ordinamento giuridico dell’Unione europea, applicando quelli che sono gli elementi fondanti del costituzionalismo nazionale e sovranazionale per mettere in contesto la nostra capacità di affrontare le attuali transizioni».

Il ruolo delle aziende nel processo regolamentare

Focalizzandosi sulla partecipazione degli attori economici al processo regolamentare, l’intervento di Giorgio Martellino ha richiamato l’importanza di «coinvolgere le aziende nelle consultazioni pubbliche sulle normative».

Attribuire al mondo aziendale un ruolo attivo nell’iter di adozione di nuove regole che lo riguardino consente infatti di verificare, prima dell’implementazione, se le soluzioni individuate dal legislatore «siano realmente sostenibili in termini di risorse economiche e umane», facilitando una «compliance integrata» che garantisce la piena e consapevole attuazione delle normative.

Iniziative come il progetto GaiaX o il programma Copernicus dimostrano, del resto, che il partenariato pubblico-privato ha già permesso lo sviluppo di tecnologie innovative a livello comunitario. Ma va considerato che delegare interamente alle aziende la gestione di processi cruciali – tra cui la valutazione del rischio – può portare al diffondersi di «sistemi autoreferenziali» in cui manca una visione d’insieme del quadro regolatorio; senza tralasciare l’esposizione degli attori europei ai rischi insiti nella supply chain globale, ulteriore minaccia per la sovranità digitale.

Sulla scorta della sua esperienza professionale Martellino ha citato l’ambito spaziale, ricordando che il Regolamento UE in materia (annunciato da tempo ma non ancora elaborato) avrebbe il merito di garantire la sicurezza del dominio spaziale comunitario; e soprattutto ribadendo che, oggi, «chi non ha accesso allo spazio rinuncia a una parte importante della propria sovranità».

L’evoluzione auspicabile va quindi verso un coordinamento tra istituzioni e aziende che consenta a queste ultime un’effettiva partecipazione al processo regolamentare, nonché una puntuale valutazione della sostenibilità economica delle previsioni normative.

In merito a tale aspetto, il relatore ha concluso l’intervento sollevando una questione fondamentale: «O riconosciamo che sulla sovranità digitale – come sulla cybersecurity o sulla privacy – servono investimenti e budget adeguati, oppure c’è qualcosa che non va».

L’intelligenza artificiale come nuovo terreno di competizione geopolitica

Antonio Teti ha offerto un’analisi illuminante sulle implicazioni dell’IA nel contesto della competizione tecnologica globale, illustrando come essa stia rivoluzionando le dinamiche dell’intelligence globale.

Il professore ha esordito ponendo alla platea una domanda provocatoria: «immaginando piattaforme di intelligenza artificiale sviluppate in Europa, con tutte le relative garanzie e conseguenti limitazioni, pensate che le aziende sceglieranno di utilizzarle o privilegeranno altri strumenti, sviluppati in Paesi extra-UE?»

Teti ha aggiunto che «Naturalmente anche il settore dell’intelligence è particolarmente interessato allo sviluppo di queste piattaforme; e stiamo assistendo già ad alcune evoluzioni in tal senso».

Portando come esempio il caso cinese, ha poi ricordato che «due anni fa la Cina ha condotto attività di spionaggio certificate, attraverso le quali è riuscita a prelevare informazioni da un’azienda olandese che realizza macchine che servono a produrre i semiconduttori». Questa operazione ha consentito alla Cina di «raggiungere, non più tardi di sei mesi fa, l’autonomia nella produzione di semiconduttori»: un risultato di straordinaria importanza strategica e geopolitica.

Un altro caso, dai risvolti inquietanti, citato nell’intervento riguarda l’utilizzo dell’IA per operazioni di spionaggio su larga scala. «Nel 2018 la Cina ha condotto un’attività di cyber intelligence contro circa 10.000 funzionari governativi tedeschi». Il relatore ha osservato come sarebbe illusorio credere che tali attività siano state condotte manualmente: «In realtà, funzionari e dipendenti interagivano con chatbot alimentati dall’intelligenza artificiale».

La vera minaccia di questi sistemi, secondo Teti, risiede nella loro capacità di apprendimento. «Questi chatbot imparano da noi chi siamo, come pensiamo, cosa vogliamo […] e inoltre rappresentano un amico con cui confidarsi, traendone tutta una serie di informazioni».

È intuitivo che le implicazioni per il futuro dell’intelligence siano profonde.
Questi sistemi, infatti, «oltre a produrre delle operazioni di spionaggio, possono essere utilizzati anche per realizzare dei modelli previsionali, per capire quale sarà il contesto geografico su cui proiettare particolari operazioni di intelligence, come attingere le informazioni e come raffinarle: stiamo parlando, in pratica, di tutte le operazioni sinora svolte da un analista di intelligence».

Anticipando le future tendenze nel settore, Teti ha concluso il suo intervento con una fosca previsione sul relativo mercato del lavoro. «Fino a qualche tempo fa, le agenzie di intelligence a livello mondiale erano alla disperata ricerca di laureati in informatica e in ingegneria dell’informazione»; mentre oggi «Michael Hayden, ex direttore della NSA statunitense, sostanzialmente afferma che “queste lauree non servono più”».

La ragione di questo cambiamento è che «è possibile far sviluppare un linguaggio, un programma, un’architettura o un’infrastruttura di rete e di sistemi di un’azienda, ad una piattaforma di intelligenza artificiale. Quindi non avremo più bisogno di sviluppatori o di amministratori di rete e di sistemi; semplicemente perché queste piattaforme non mangiano, non bevono, non dormono, non vanno in vacanza, non si ammalano e, soprattutto, non vengono retribuite mensilmente».

Verso una nuova sintesi tra sovranità tecnologica e costituzionalismo democratico

La Tavola Rotonda ha offerto una panoramica straordinariamente ricca e sfaccettata delle molteplici dimensioni – giuridica, tecnologica, geopolitica ed economica – della sovranità digitale, nonché delle sfide da essa poste alle democrazie contemporanee.

Emerge con chiarezza che, in un mondo caratterizzato da crescenti tensioni geopolitiche e da una rapida evoluzione tecnologica, la sovranità digitale non possa più essere concepita semplicemente come affermazione di autonomia tecnologica, né vada limitata alla protezione dei dati dei cittadini.

La vera sfida, sottolineata da tutti i relatori, è costruire un modello di sovranità digitale che non sacrifichi i principi fondamentali del costituzionalismo democratico sull’altare della sicurezza nazionale o dell’efficienza tecnologica; un modello che, come suggerito da Cerrina Feroni, integri la necessità di proteggere l’autonomia tecnologica con il rispetto dei diritti fondamentali e del principio di accountability.

In questo contesto, l’Unione europea ricopre una posizione unica e delicata.
Se da un lato, infatti, deve costruire una propria autonomia tecnologica per ridurre la dipendenza da attori extra-europei, dall’altro è tenuta a farlo in modo coerente con i valori fondanti dell’Unione, in particolare con il rispetto dello stato di diritto e delle libertà fondamentali.

Come emerso dal dibattito, la “via europea alla sovranità digitale” passa necessariamente dalla costruzione di un quadro normativo coerente ed efficace, che limiti il potere degli attori privati senza soffocare l’innovazione e la competitività; e che, soprattutto, garantisca la sicurezza senza compromettere i diritti delle persone.

In un’epoca in cui la tecnologia ridefinisce costantemente i confini tra pubblico e privato, nazionale e globale, sicurezza e libertà, individuare questo equilibrio rappresenta molto più di una sfida tecnica o normativa, rivelandosi una questione centrale – e non ulteriormente rimandabile – per il futuro delle democrazie nell’era digitale.