Golden Power 2.0: verso un modello europeo di sovranità tecnologica

Golden Power 2.0 non è più soltanto un’espressione da convegno giuridico. È il nome informale di una trasformazione profonda che sta ridisegnando il rapporto tra Stati, mercati e tecnologie critiche nel cuore dell’Europa. Chi opera nella sicurezza informatica – dal CISO al threat researcher, dal security architect all’analista SOC – farebbe bene a osservare questa evoluzione con attenzione, perché le implicazioni operative sono più immediate di quanto si pensi.

Il concetto di golden power nasce come evoluzione della vecchia golden share, lo strumento con cui gli Stati europei, durante le grandi privatizzazioni degli anni Novanta, mantenevano un residuo di controllo su aziende strategiche cedute al mercato. Nel Regno Unito si chiamava appunto golden share, in Francia action spécifique. In Italia il passaggio è avvenuto con il decreto-legge n. 21 del 2012, che ha spostato la logica dal possesso azionario al potere regolatorio: non più lo Stato-azionista, ma lo Stato che si riserva il diritto di intervenire su qualsiasi operazione societaria – acquisizione, fusione, cessione – che coinvolga asset ritenuti strategici per la sicurezza nazionale.

Oggi, a oltre un decennio da quella svolta, la disciplina è irriconoscibile rispetto all’impianto originario. E soprattutto, non è più una questione esclusivamente italiana.

Dall’Italia all’Europa: l’espansione del perimetro

I numeri raccontano una storia eloquente. Nel 2017 le notifiche al governo italiano in materia di golden power erano appena 30, secondo i dati delle Relazioni annuali al Parlamento. Nel 2024 sono salite a 835, tra notifiche formali (660) e prenotifiche (175), con un incremento di circa il 15% rispetto all’anno precedente.

Di queste, il 53% è stato ritenuto rientrante nell’ambito di applicazione della normativa. L’esercizio effettivo dei poteri speciali ha riguardato 32 operazioni, di cui 2 casi di opposizione (il veto sull’operazione Manta Aircraft del 29 ottobre 2024 e l’opposizione all’acquisizione di FBM Hudson Italiana del 4 giugno 2024) e numerosi casi di prescrizioni o condizioni. Sono dati che emergono dalla Relazione annuale al Parlamento presentata il 30 giugno 2025 dal Sottosegretario alla Presidenza del Consiglio.

Questa crescita esponenziale delle notifiche non riflette semplicemente un aumento delle operazioni di mercato. Segnala piuttosto due fenomeni convergenti: da un lato, l’ampliamento progressivo del perimetro normativo – esteso dal 2019 ai settori ad alta intensità tecnologica, al 5G, alla cybersicurezza, fino a comprendere salute, agroalimentare, robotica e protezione dei dati; dall’altro, la normalizzazione della notifica prudenziale, con operatori economici che scelgono di notificare in via cautelativa anche operazioni di incerta rilevanza, per evitare sanzioni.

La distribuzione settoriale lo conferma: difesa e sicurezza nazionale coprono il 20,3% delle operazioni notificate, seguite da comunicazioni (10,8%), energia (10,5%), salute (9,3%) e protezione dei dati (7,8%). Settori come AI, robotica e creditizio-assicurativo emergono come nuove frontiere di scrutinio.

Ma è il dato qualitativo a meritare l’attenzione dei professionisti della sicurezza. Come ha rilevato l’Osservatorio Golden Power nel suo rapporto sul terzo trimestre 2025, il golden power italiano si sta consolidando come una leva strutturale della sicurezza nazionale, capace di orientare decisioni industriali, selezionare operatori di mercato e colmare vulnerabilità tecnologiche sistemiche. Al contempo, l’Osservatorio segnala un fenomeno rivelatore: le operazioni straordinarie vengono sempre più spesso concepite dalle parti in modo da risultare golden power proof, con strutture negoziali che incorporano ex ante gli standard di sicurezza nazionale.

La procedura d’infrazione UE: un punto di svolta

Il 21 novembre 2025 la Commissione europea ha avviato una procedura d’infrazione contro l’Italia (INFR 2025/2152), contestando l’impianto complessivo della normativa sul golden power. Non un singolo atto, ma l’intero framework normativo è finito sotto scrutinio, con particolare riferimento al settore bancario.

Le contestazioni della Commissione si articolano su due direttrici principali. La prima riguarda la compatibilità con la libera circolazione dei capitali e la libertà di stabilimento: secondo Bruxelles, la normativa italiana, così come applicata, rischia di consentire interventi discrezionali motivati da ragioni di politica economica o industriale, anziché da effettive esigenze di sicurezza nazionale. La seconda tocca la sovrapposizione con le competenze della BCE: il Meccanismo di Vigilanza Unico attribuisce alla Banca Centrale Europea la supervisione prudenziale sulle banche significative dell’area euro, e l’innesto di un ulteriore livello di controllo governativo crea una potenziale incompatibilità istituzionale.

Le prescrizioni imposte dal governo italiano sull’offerta pubblica di scambio di UniCredit su Banco BPM – tra cui l’uscita entro nove mesi dalla Russia – hanno funzionato da detonatore politico, rendendo la tensione istituzionale esplosiva. Va precisato, tuttavia, che la procedura d’infrazione ha come oggetto l’impianto normativo complessivo del golden power e non il singolo provvedimento, come chiarito dalla portavoce della Commissione Arianna Podestà: “Questa decisione non è rivolta a nessun caso specifico”. Una procedura distinta, ai sensi dell’art. 21, par. 4 del Regolamento concentrazioni, è tuttora pendente specificamente sul caso UniCredit/BPM. La portata giuridica della vicenda va dunque ben oltre il singolo episodio e investe l’architettura stessa dei poteri speciali.

La risposta italiana è arrivata con la legge 15 gennaio 2026, n. 4, che converte il decreto-legge n. 175/2025. La nuova disciplina, introdotta con l’art. 2-bis del testo coordinato, modifica la governance del golden power nel settore finanziario su due piani. Sul piano sostanziale, il perimetro di tutela viene ampliato per includere esplicitamente la sicurezza economica e finanziaria nazionale nella nozione di ordine pubblico e sicurezza, nella misura in cui la protezione degli interessi essenziali dello Stato non sia adeguatamente garantita dalla regolamentazione di settore.

Sul piano procedurale, viene stabilito che l’intervento governativo su operazioni bancarie e assicurative potrà avvenire solo dopo la conclusione dei procedimenti pendenti davanti alle autorità europee competenti (BCE per le valutazioni prudenziali, Commissione per i profili di concentrazione).

Per i professionisti della cybersecurity, questa evoluzione non è accademica. Significa che il framework di protezione degli asset strategici sta incorporando una dimensione sempre più sofisticata di analisi del rischio, in cui la sicurezza cibernetica degli operatori economici diventa un criterio di valutazione nelle istruttorie sui poteri speciali. L’intersezione con il regolamento DORA, applicabile dal gennaio 2025, è particolarmente rilevante: per le entità finanziarie soggette contemporaneamente a DORA e a golden power, la resilienza operativa digitale diventa un presupposto sia per la compliance settoriale sia per l’esito delle operazioni societarie.

Il nuovo Regolamento europeo sugli investimenti esteri: Golden Power continentale

Mentre l’Italia ricalibra il proprio strumento, l’Unione Europea sta costruendo il proprio. L’11 dicembre 2025, al termine dei negoziati interistituzionali (trilogo), Parlamento europeo, Consiglio e Commissione hanno raggiunto un accordo politico provvisorio sulla revisione del Regolamento sullo screening degli investimenti esteri diretti (FDI).

Il Regolamento vigente (UE) 2019/452, operativo dall’ottobre 2020, aveva creato un meccanismo di cooperazione tra Stati membri e Commissione, ma senza obbligare ogni Paese a dotarsi di un sistema nazionale di screening. Il nuovo testo cambia radicalmente approccio, introducendo tre pilastri fondamentali.

Primo: screening obbligatorio in tutti gli Stati membri. Ogni Paese dovrà istituire e mantenere un meccanismo nazionale di screening degli investimenti esteri, con standard minimi armonizzati. Al momento dell’accordo del trilogo, 26 dei 27 Stati membri disponevano già di un regime operativo. Solo Cipro non aveva ancora un meccanismo pienamente in vigore, avendo approvato il relativo disegno di legge nel luglio 2025 con entrata in vigore prevista per il primo trimestre 2026. La Bulgaria e la Croazia hanno completato l’adozione dei rispettivi regimi rispettivamente nel corso del 2024-2025 e nel novembre 2025.

Secondo: un perimetro minimo comune di settori sensibili. Il Regolamento definisce un catalogo di settori in cui lo screening è obbligatorio, tra cui:

Beni e tecnologie a duplice uso e materiale militare;
Tecnologie iper-critiche: intelligenza artificiale (in linea con l’AI Act, con focus sulle GPAI con rilevanza per lo spazio e la difesa), quantum computing e semiconduttori;
Materie prime critiche;
Entità critiche nei settori energia, trasporti e infrastrutture digitali;
Infrastrutture elettorali (database degli elettori, sistemi di voto);
Un elenco ristretto di entità del sistema finanziario (controparti centrali, depositari centrali di titoli, operatori di mercato regolamentato, operatori di sistemi di pagamento escluse le banche centrali, e istituzioni a rilevanza sistemica).

Terzo: copertura delle acquisizioni indirette tramite sussidiarie UE. Il meccanismo di cooperazione viene esteso agli investimenti effettuati all’interno dell’Unione da società controllate, direttamente o indirettamente, da investitori extra-UE. Si tratta di una risposta alla sentenza della Corte di Giustizia nel caso Xella (C-106/22, luglio 2023), che aveva evidenziato i limiti della normativa vigente nell’intercettare investimenti veicolati attraverso strutture societarie europee.

Il Regolamento diventerà pienamente applicabile 18 mesi dopo l’entrata in vigore, presumibilmente intorno alla seconda metà del 2027. I singoli Stati mantengono piena discrezionalità sulle decisioni relative ai singoli investimenti, ma il framework impone un livello minimo di presidio che prima non esisteva.

Un aspetto complementare merita attenzione: nel gennaio 2025, la Commissione ha adottato una Raccomandazione sugli investimenti in uscita, invitando gli Stati membri a monitorare gli investimenti delle proprie imprese verso Paesi terzi in tre settori strategici: semiconduttori, intelligenza artificiale e tecnologie quantistiche. Gli aggiornamenti intermedi sono attesi entro il 15 luglio 2025 e i report nazionali completi entro il 30 giugno 2026. Questo strumento, ancora embrionale, segnala la volontà di costruire un presidio bidirezionale sulla sovranità tecnologica: non solo protezione dall’ingresso di investitori esteri, ma anche vigilanza sulla fuoriuscita di know-how e capacità critiche.

Semiconduttori, AI e quantum: il cuore tecnologico della sovranità

Per comprendere perché il golden power 2.0 interessa direttamente i professionisti della cybersecurity, bisogna guardare ai settori che questo framework intende proteggere. Non si tratta più soltanto di difesa e telecomunicazioni, ma del tessuto tecnologico su cui poggia l’intera architettura di sicurezza digitale europea.

Semiconduttori: la dipendenza strutturale

L’European Chips Act, in vigore dal settembre 2023, rappresenta il tentativo dell’UE di raddoppiare la propria quota di mercato globale nei semiconduttori dal 10% al 20% entro il 2030. Al momento, secondo il rapporto SEMI Europe pubblicato nel novembre 2025, l’iniziativa ha catalizzato circa 69 miliardi di euro in investimenti tra R&S e nuovi stabilimenti produttivi (dato aggiornato a ottobre 2025). In Italia, STMicroelectronics sta investendo 5 miliardi di euro in un impianto per chip in carburo di silicio (SiC) a Catania, con 2 miliardi di aiuti di Stato approvati, mentre Silicon Box prevede un impianto da 3,2 miliardi a Novara.

Tuttavia, la Corte dei Conti Europea, nel suo rapporto speciale 12/2025 (“La strategia dell’UE in materia di microchip – Vi sono ragionevoli progressi nell’attuazione, ma è molto improbabile che il Chips Act sia sufficiente per conseguire l’eccessivamente ambizioso obiettivo del decennio digitale”), ha valutato che, nonostante progressi ragionevoli nell’implementazione, il Chips Act difficilmente sarà sufficiente a raggiungere l’obiettivo del 20%. La stessa Commissione ha riconosciuto la necessità di un aggiornamento: nel settembre 2025 tutti i 27 Stati membri hanno aderito alla Semicon Coalition, sottoscrivendo una dichiarazione che invoca un Chips Act 2.0, e una proposta legislativa è prevista nel programma di lavoro 2026.

Il legame con il golden power è diretto: i semiconduttori figurano tra le tecnologie iper-critiche nel nuovo Regolamento FDI, e ogni acquisizione di aziende europee attive nella filiera dei chip da parte di investitori extra-UE sarà soggetta a screening obbligatorio.

Intelligenza artificiale: l’AI Act come architrave regolatoria

L’AI Act europeo, pienamente applicabile dal 2026, introduce un sistema di classificazione del rischio che si innesta sulla logica del golden power. Nell’ambito del nuovo Regolamento FDI, le tecnologie di intelligenza artificiale rientrano tra i settori iper-critici soggetti a screening obbligatorio, con un focus specifico: l’accordo del trilogo circoscrive l’ambito alle general-purpose AI (GPAI) con rilevanza per i settori dello spazio e della difesa. Si tratta di un criterio diverso dalla classificazione di “rischio sistemico” prevista dall’AI Act (art. 51), e identifica un sottoinsieme di modelli fondazionali il cui controllo è considerato strategicamente sensibile per la sicurezza europea.

Questo significa, in concreto, che un’acquisizione estera di un’azienda europea che sviluppa modelli fondazionali di AI con applicazioni in ambito spaziale o di difesa potrebbe essere bloccata o condizionata per ragioni di sicurezza nazionale. Ma le implicazioni per la cybersecurity vanno oltre il perimetro stretto del Regolamento FDI.

Per i CISO e i security architect, la questione è operativa: le valutazioni di rischio sulla supply chain dell’AI – chi sviluppa i modelli, chi controlla i dati di addestramento, chi possiede l’infrastruttura di calcolo – diventano un elemento rilevante non solo sul piano tecnico, ma anche su quello regolatorio e geopolitico. In uno scenario in cui la provenienza geografica e il controllo proprietario dei modelli di AI possono determinare l’esito di operazioni societarie, la due diligence sulla catena del valore dell’intelligenza artificiale assume una dimensione nuova.

Quantum computing: la minaccia che ridefinisce la sovranità crittografica

Il quantum computing rappresenta forse il caso più emblematico di convergenza tra golden power e cybersecurity. Le tecnologie quantistiche sono esplicitamente incluse nel catalogo delle tecnologie iper-critiche del nuovo Regolamento FDI europeo, e la ragione è duplice.

Da un lato, il quantum computing è un enabler tecnologico con applicazioni in computing, comunicazioni e sensing che toccano direttamente la sicurezza nazionale. Dall’altro, è una minaccia esistenziale per l’attuale architettura crittografica. Secondo il Quantum Computing Pulse Poll di ISACA, pubblicato nell’aprile 2025 sulla base di un’indagine globale su 2.685 professionisti, il 67% dei professionisti IT europei ritiene che il quantum computing aumenterà o modificherà i rischi di cybersecurity nel prossimo decennio. Eppure, solo il 4% delle organizzazioni europee dispone di una strategia quantistica definita, e il 40% non ha ancora considerato l’implementazione della crittografia post-quantistica.

L’Europa ha risposto con la Coordinated Implementation Roadmap per la crittografia post-quantistica, che prevede tre milestone: roadmap nazionali entro il 2026, migrazione dei sistemi ad alto rischio entro il 2030, transizione il più possibile completa entro il 2035. Nella primavera 2025, il gruppo ECCG supportato da ENISA ha pubblicato la versione 2.0 degli Agreed Cryptographic Mechanisms (ACM), includendo per la prima volta algoritmi di crittografia post-quantistica come ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism, standardizzato dal NIST come FIPS 203) e ML-DSA (Module-Lattice-Based Digital Signature Algorithm, FIPS 204), con la raccomandazione di adottare schemi ibridi PQ/T che combinino meccanismi classici e post-quantistici.

La protezione delle capacità quantistiche europee attraverso il golden power non è dunque un esercizio teorico: è un presupposto per la sopravvivenza della sovranità crittografica del continente. Il rischio harvest now, decrypt later – raccogliere oggi dati cifrati per decriptarli quando i computer quantistici saranno disponibili – è già una minaccia attuale che conferisce urgenza all’intero framework di protezione.

Analisi comparata: i modelli nazionali a confronto

L’armonizzazione europea non annulla le differenze tra i sistemi nazionali. Al contrario, il nuovo Regolamento FDI opera come un pavimento minimo su cui ciascuno Stato costruisce il proprio edificio normativo. Un confronto tra i principali modelli rivela approcci sensibilmente diversi, le cui differenze sono destinate a persistere anche dopo l’entrata in vigore del nuovo quadro europeo.

Il modello italiano si distingue per l’ampiezza del perimetro e la quantità di notifiche gestite, ma anche per le criticità interpretative segnalate dalla dottrina e dagli operatori. Come evidenziato dal position paper di Assonime (n. 6/2024), oltre la metà delle operazioni notificate nel 2023 è risultata al di fuori dell’ambito di applicazione, segno di un’incertezza normativa che induce comportamenti difensivi. Il fenomeno delle notifiche precauzionali – confermato anche per il 2024, con il 47% delle notifiche ex art. 2 ritenute fuori perimetro – rappresenta un costo significativo per il sistema economico che andrebbe bilanciato con il rafforzamento dei presidi di sicurezza.

Il modello francese, per converso, è più selettivo nelle soglie di intervento ma più strutturato nella governance, con un ruolo centrale del Ministère de l’Économie e una forte integrazione con i programmi di sovranità tecnologica finanziati attraverso BPI France.

Cybersecurity e Golden Power: un nesso operativo

Il nesso tra golden power e cybersecurity non è solo concettuale. In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) partecipa direttamente ai procedimenti di valutazione dei profili cyber nelle istruttorie sui poteri speciali. Nella Relazione annuale al Parlamento 2024, l’ACN ha confermato il proprio ruolo nella valutazione della sicurezza cibernetica delle operazioni soggette a golden power, con particolare riferimento al Perimetro di sicurezza nazionale cibernetica.

Per i professionisti della sicurezza, questo significa che:

Le due diligence di cybersecurity diventano rilevanti nelle operazioni M&A soggette a golden power. Un’azienda che opera in settori strategici e presenta vulnerabilità significative nella propria postura di sicurezza potrebbe vedere l’operazione di acquisizione soggetta a prescrizioni specifiche o, in casi estremi, bloccata. La postura cyber non è più solo un rischio tecnico: è un fattore che può determinare l’esito di un deal.
I piani annuali 5G sono soggetti a scrutinio specifico. Nel 2024, 20 piani annuali 5G sono stati oggetto di delibere con prescrizioni ai sensi dell’art. 1-bis del D.L. 21/2012. Per gli operatori di telecomunicazioni, la conformità alle prescrizioni golden power in materia di sicurezza delle reti è un obbligo operativo continuo.
La protezione dei dati sensibili e delle informazioni critiche emerge come una nuova frontiera. Come segnalato dal Segretario Generale della Presidenza del Consiglio, Carlo Deodato, nel settembre 2025, l’acquisizione e la conservazione di dati sensibili e informazioni critiche rappresentano una delle nuove sfide per la sicurezza nazionale.
La compliance si stratifica. La direttiva NIS2, il regolamento DORA e il framework golden power creano un ecosistema regolatorio in cui gli obblighi si sovrappongono e si rinforzano reciprocamente. Per un’entità finanziaria soggetta a DORA, la resilienza operativa digitale è un requisito autonomo; ma è anche un criterio che può essere valutato nelle istruttorie golden power sulle operazioni societarie nel settore creditizio e assicurativo, soprattutto dopo le modifiche introdotte dalla L. 4/2026. Per un CISO di un’azienda operante in settori strategici, la capacità di navigare questa intersezione diventa una competenza essenziale.

Le prospettive: verso un Golden Power europeo cyber-aware

Il quadro che emerge è quello di una convergenza accelerata tra tre dinamiche: l’espansione dei meccanismi nazionali di protezione degli asset strategici, l’armonizzazione europea attraverso il nuovo Regolamento FDI e l’integrazione progressiva della cybersecurity come criterio di valutazione trasversale.

Il golden power 2.0, nella sua declinazione europea, si configura come qualcosa di più di uno strumento di screening degli investimenti. È una leva di politica industriale cyber-aware, che riconosce nella protezione della supply chain tecnologica – dai semiconduttori all’AI, dal quantum computing alle infrastrutture digitali critiche – un presupposto per la sicurezza e la sovranità del continente.

Per i professionisti della sicurezza informatica, le implicazioni operative si possono sintetizzare in cinque punti:

Monitorare l’evoluzione normativa. Il nuovo Regolamento FDI europeo sarà pienamente applicabile intorno alla seconda metà del 2027. I regimi nazionali dovranno adeguarsi, e i settori della cybersecurity sono in prima linea tra quelli soggetti a screening obbligatorio.
Integrare la compliance golden power nelle strategie di sicurezza. Per le organizzazioni che operano in settori strategici, la postura di cybersecurity non è più solo una questione tecnica: è un fattore che può influenzare l’esito di operazioni societarie e investimenti. Chi gestisce la sicurezza deve dialogare con le funzioni legali e M&A.
Prepararsi alla transizione post-quantistica. La roadmap europea prevede la migrazione dei sistemi ad alto rischio entro il 2030 e la transizione il più possibile completa entro il 2035. Le organizzazioni che sviluppano o utilizzano tecnologie quantistiche operano in un settore soggetto a screening FDI obbligatorio. La versione 2.0 degli ACM pubblicata dall’ECCG/ENISA fornisce il primo framework di riferimento europeo per gli algoritmi post-quantistici.
Valutare i rischi di supply chain in chiave geopolitica. La provenienza geografica dei fornitori tecnologici, il controllo dell’infrastruttura di calcolo e la protezione della proprietà intellettuale sono ormai criteri rilevanti nelle valutazioni di sicurezza nazionale. La Raccomandazione della Commissione sugli investimenti in uscita conferma che il presidio è bidirezionale.
Anticipare la strutturazione golden power proof. Le operazioni straordinarie vengono sempre più spesso concepite ex ante per soddisfare gli standard di sicurezza nazionale, con carve-out degli asset strategici, presidi sulla governance e protezione del know-how. Per i CISO, questo significa essere coinvolti nella fase di progettazione delle operazioni, non solo nella fase di compliance post-acquisizione.

Il golden power 2.0 non è intrinsecamente una minaccia per l’innovazione, ma il suo impatto dipende dalla proporzionalità e dalla trasparenza con cui viene esercitato – e qui il monito della procedura d’infrazione UE contro l’Italia è eloquente. Il fenomeno delle notifiche precauzionali, che nel 2024 ha portato oltre la metà delle comunicazioni ex art. 2 a risultare fuori perimetro, segnala un costo di compliance che va governato. Se calibrato con equilibrio, il golden power può diventare lo strumento attraverso cui l’Europa difende la propria autonomia tecnologica senza rinunciare all’apertura ai mercati globali. Per chi si occupa di sicurezza, è il momento di sedersi al tavolo dove queste decisioni vengono prese.