Microsoft kusi Europę. Suwerenność cyfrowa według bigtecha
Europa stoi przed wyzwaniem cyfrowej suwerenności - od ochrony danych po rozwój sztucznej inteligencji. Kluczowe będą inwestycje w lokalną infrastrukturę i bezpieczeństwo. Czy czeka nas kryzys?
Cyfrowa suwerenność przestała być abstrakcyjnym hasłem powtarzanym w ministerialnych gabinetach. Dziś to realna, techniczna rzeczywistość, która w coraz większym stopniu kształtuje sposób, w jaki europejskie państwa, instytucje i przedsiębiorstwa zarządzają swoimi najcenniejszymi zasobami - danymi. W momencie, gdy sztuczna inteligencja wychodzi z fazy eksperymentów i staje się narzędziem systematycznie wdrażanym w biznesie, a cyberzagrożenia ewoluują szybciej niż kiedykolwiek wcześniej, pytanie o kontrolę nad informacjami staje się dla Europy kwestią strategiczną najwyższej wagi.
O tym, jak Microsoft rozumie wyzwanie cyfrowej suwerenności na Starym Kontynencie rozmawiałem z Azarem Koulibaly’em, General Managerem i Associate General Counsel ds. Corporate External & Legal Affairs w Microsoft Europe North & Netherlands. Jego słowa pokazują nie tylko ambicje samej firmy, ale także odsłaniają dynamikę relacji między amerykańskimi gigantami technologicznymi a europejskimi oczekiwaniami dotyczącymi bezpieczeństwa, kontroli i niezależności.
Czytaj też:
Od deklaracji do technologii
Cyfrowa suwerenność to pojęcie, które wciąż nie doczekało się jednoznacznej definicji. Każda firma technologiczna interpretuje je inaczej, co samo w sobie jest symptomatyczne - a jednocześnie pokazuje, jak krytyczne znaczenie ma ten termin. Microsoft proponuje podejście pragmatyczne: zamiast narzucać własną wizję, wsłuchuje się w głos klientów i regulatorów. Jak podkreśla Koulibaly, filozofia firmy sprowadza się do prostego schematu: We listen, we learn, and then we launch - słuchamy, uczymy się, a potem wdrażamy.
W praktyce oznacza to, że suwerenność cyfrowa w rozumieniu Microsoftu polega na zapewnieniu klientom - rządom, organizacjom i obywatelom - pełnej kontroli nad danymi, infrastrukturą i zgodnością z lokalnym prawem, przy jednoczesnym korzystaniu z globalnych innowacji technologicznych. Nie chodzi więc wyłącznie o fizyczne miejsce przechowywania danych, ale przede wszystkim o to, kto ma do nich dostęp, kto nimi zarządza i w jaki sposób są chronione. Jak tłumaczy Koulibaly: Odkryliśmy, że infrastruktura jest najważniejsza i to jest jasne. Innymi słowy, europejscy klienci i rządy wysyłają jasny sygnał: budujcie fizyczną infrastrukturę tutaj, w Europie. I to właśnie robi Microsoft.
Infrastruktura jako fundament
Pierwszym i najważniejszym filarem tej strategii jest właśnie wspomniana infrastruktura. Europejscy klienci i rządy oczekują, że centra danych będą powstawać lokalnie, a Microsoft odpowiada na to konsekwentnymi inwestycjami. W 2023 r. uruchomiono region przetwarzania danych w okolicach Warszawy, a w kwietniu bieżącego roku firma ogłosiła największy dotąd plan ekspansji - zwiększenie mocy centrów danych w Europie o 40 proc. w ciągu dwóch lat.
Jak obrazowo ujął Koulibaly: Centra danych nie mają kół, prawda? To prawdziwa infrastruktura, która powstaje tutaj i tu pozostaje. Centra danych nie mogą zostać przeniesione z dnia na dzień - to długoterminowe, miliardowe inwestycje w fizyczne, nieruchome obiekty.
EU Data Boundary - krok dalej niż GDPR (RODO)
Drugim filarem jest tzw. EU Data Boundary, czyli zobowiązanie, że dane klientów z Unii Europejskiej nigdy nie opuszczą jej granic. Nie wymaga tego samo GDPR - regulacja dopuszcza transfer danych poza UE pod określonymi warunkami. Microsoft zdecydował się jednak pójść dalej, odpowiadając na oczekiwania klientów. Jak tłumaczy Koulibaly: Granica danych w UE wynikała z żądań klientów, prawda? (…) To nie jest wymagane przez RODO. Ilość pracy technicznej, jaką wymagało zbudowanie tej granicy danych, jest wręcz niewiarygodna. Aby zrealizować tę obietnicę firma musiała przeprojektować znaczną część swojej globalnej architektury chmurowej: stworzyć nowe regiony, wdrożyć nowe routery sieciowe, zbudować redundancję w ramach Europy i zatrudnić zespoły inżynierów na miejscu.
Trzecia warstwa suwerenności cyfrowej dotyczy kontroli technicznej. Klienci chcą mieć pewność, że nawet Microsoft nie może uzyskać dostępu do ich danych bez wyraźnej zgody. W odpowiedzi firma wprowadziła zestaw narzędzi, które realnie oddają kontrolę w ręce użytkowników. Należą do nich szyfrowanie zarządzane przez klienta, mechanizmy Confidential Compute pozwalające na przetwarzanie zaszyfrowanych danych bez ich odszyfrowania, system Customer Lockbox wymagający jawnej zgody klienta na każdy dostęp oraz możliwość przechowywania kluczy szyfrowania poza Azure, u zaufanych partnerów. Jak podkreśla Koulibaly: To właśnie tutaj pojawiają się prawdziwa kontrola nad suwerennością (…) To było bardzo ważne.
Czwartym elementem jest odporność. W tradycyjnym modelu chmury dane rozpraszane są globalnie, aby zapewnić redundancję. Europa wymaga jednak, by pozostawały w jej granicach. Microsoft buduje więc system, w którym dane mogą być odtwarzane z różnych regionów europejskich, nawet w przypadku awarii, katastrofy naturalnej czy ataku militarnego.
Jak tłumaczy Koulibaly: To właśnie jest piękno granic danych UE (…), świadomość, że pozostają one z całą pewnością w obrębie tych granic. Równolegle rozwijana jest warstwa cybernetyczna - European Security Program, w ramach którego Microsoft współpracuje z europejską administracją, dzieląc się wiedzą o zagrożeniach i wykorzystując sztuczną inteligencję do obrony przed coraz bardziej wyrafinowanymi atakami. Atakujący stają się coraz bardziej wyrafinowani dzięki sztucznej inteligencji. Dlatego pracujemy również nad wykorzystaniem sztucznej inteligencji w obronie i nad współpracą z rządami europejskimi - podkreśla Koulibaly.
To wszystko pokazuje, że Microsoft nie traktuje Europy wyłącznie jako rynku zbytu. Współpraca z rządami, inwestycje w lokalną infrastrukturę i oddanie kontroli w ręce klientów to działania, które wykraczają poza tradycyjny model relacji vendor-klient. To próba zbudowania partnerstwa, w którym technologia staje się narzędziem wzmacniania niezależności i bezpieczeństwa kontynentu.
Ostateczna bariera: kod w Szwajcarii i cyfrowa odporność
Co by się stało, gdyby w najbardziej pesymistycznym scenariuszu Unia Europejska lub któryś z krajów członkowskich zażądał od Microsoftu zaprzestania świadczenia usług? Choć brzmi to jak wizja rodem z political fiction to w świecie narastających napięć geopolitycznych nie jest to scenariusz całkowicie nierealny.
Microsoft przygotował się na taką ewentualność, wprowadzając tzw. digital resilience commitment - zobowiązanie do cyfrowej odporności. Jak tłumaczy Azar Koulibaly: Jeśli kiedykolwiek zostaniemy poproszeni o podanie powodu zaprzestania świadczenia usług w Europie to podpisaliśmy teraz zobowiązania umowne z rządami europejskimi, zobowiązując się do walki w sądzie, aby zapewnić, że te usługi pozostaną dostępne. Zobowiązaliśmy się również do przechowywania naszego kodu źródłowego w Szwajcarii.
Szwajcaria, kraj od wieków kojarzony z neutralnością, stała się swoistym sejfem dla europejskiego kodu Microsoftu. Jeśli firma zostałaby zmuszona do wycofania usług z Europy, partnerzy mogliby - na podstawie umów - wykorzystać zdeponowany tam kod, aby utrzymać ciągłość działania. To ostatnia linia obrony, cyfrowy escrow.
Suwerenność kontra bezpieczeństwo - paradoks trudny do rozwiązania
Podczas rozmowy z Koulibaly’em pojawił się fundamentalny dylemat, który dotyczy każdej firmy technologicznej: im bardziej zamknięte i lokalne środowisko danych (co sprzyja suwerenności), tym trudniej zapewnić pełne bezpieczeństwo.
Microsoft, aby skutecznie bronić sieci, musi analizować przepływające przez nią informacje - wykrywać anomalie, wzorce charakterystyczne dla złośliwego oprogramowania czy fale ataków DDoS. Jednak gdy dane pozostają zaszyfrowane i lokalne to możliwości takiej analizy maleją. Na pytanie o priorytety Microsoftu odpowiada jednoznacznie: Bezpieczeństwo jest najważniejsze. Po pierwsze, po drugie, po trzecie i po czwarte. (…) Dosłownie we wszystkich naszych ocenach wyników pojawia się pytanie, jak podchodzimy do kwestii bezpieczeństwa* Bezpieczeństwo jest więc nadrzędnym celem, nawet jeśli oznacza konieczność trudnych kompromisów.
Co istotne, Microsoft nie ukrywa, że ten trade-off istnieje. Firma pracuje z każdym klientem indywidualnie, aby znaleźć optymalne rozwiązanie. W niektórych przypadkach podejmą decyzje, które utrudnią im osiągnięcie poziomu bezpieczeństwa, jaki byśmy zalecali (…). Ale myślę, że istnieją sposoby, dzięki którym możemy zrobić jedno i drugie. Ostateczna decyzja należy do klienta - jeśli wybierze absolutną suwerenność i szyfrowanie end-to-end to musi liczyć się z tym, że poziom bezpieczeństwa może być niższy niż w standardowym scenariuszu. Microsoft respektuje tę autonomię.
Polska na cyfrowej mapie Europy
Polska jest jednym z krajów szczególnie narażonych na cyberataki. Zajmuje 10. miejsce w Europie i 27. na świecie pod względem liczby użytkowników dotkniętych incydentami. Jeszcze bardziej alarmujące są dane dotyczące ataków sponsorowanych przez państwa - Polska plasuje się na 3. miejscu w Europie, tuż za Ukrainą i Wielką Brytanią.
Najczęściej atakowane sektory to IT (24 proc.), edukacja i badania (21 proc.) oraz administracja publiczna (12 proc.). To obszary stanowiące fundament społeczeństwa informacyjnego - ich destabilizacja uderza w całe państwo.
Skalę zagrożeń najlepiej oddają liczby z raportu Microsoftu. Każdego dnia firma analizuje 100 bln sygnałów dotyczących bezpieczeństwa cyfrowego, co oznacza wzrost o ponad 28 proc. rok do roku. Globalny zespół 34 tys. inżynierów, wspierany przez 15 tys. partnerów, identyfikuje 38 mln incydentów związanych z tożsamością, skanuje 5 mld wiadomości e-mail pod kątem phishingu i blokuje 4,5 mln plików zawierających złośliwe oprogramowanie. To liczby odpowiadające populacji Polski - i pokazują, że dostęp do tej wiedzy jest dla naszego kraju kwestią bezpieczeństwa narodowego.
Polska jako pionier AI
Suwerenność cyfrowa to nie tylko obrona przed zagrożeniami, ale także fundament innowacji. Dane z Microsoft Work Trend Index 2025 pokazują, że 84 proc. polskich liderów biznesu planuje wdrożyć agentów AI w ciągu roku, a 33 proc. firm już dziś korzysta z takich rozwiązań.
Według raportu AI Diffusion Polska osiągnęła wskaźnik dyfuzji AI na poziomie 26,4 proc., co daje jej 21. miejsce na świecie. Jednocześnie tylko 12 proc. młodych Polaków czuje się przygotowanych do pracy z AI, choć aż 97 proc. korzysta z niej na co dzień. To sygnał, że edukacja musi nadążyć za technologią.
Ponad 80 proc. polskich firm jest w fazie wdrażania rozwiązań opartych na AI, a 95 proc. korzysta z usług chmurowych. To solidna baza, ale jednocześnie ryzyko - jeśli chmura nie jest suwerenna to dane mogą wypływać poza granice kraju, a wraz z nimi innowacyjne pomysły.
Na horyzoncie pojawia się nowa rola - Agent Boss, czyli stanowisko odpowiedzialne za zarządzanie agentami AI. Liderzy przewidują, że w ciągu pięciu lat zespoły będą projektować procesy biznesowe z wykorzystaniem AI, budować systemy wieloagentowe, szkolić agentów i nimi zarządzać. Microsoft na konferencji Ignite 2025 ogłosił nadejście ery Frontier Firms - przedsiębiorstw, które projektują swoje modele operacyjne w oparciu o AI od podstaw. Polska ma szansę stać się jednym z liderów tej zmiany w regionie.
Prawo i adaptacja - biznes w labiryncie regulacji
Infrastruktura wymaga miliardowych inwestycji, ale równolegle zmienia się prawo. GDPR, Digital Markets Act, Digital Services Act, a teraz AI Act - każde z nich wprowadza nowe obowiązki, a różne kraje interpretują przepisy odmiennie. Microsoft nie jest w Europie od wczoraj. Jak przypomina Koulibaly: Jesteśmy oddani Europie od ponad 40 lat. Byliśmy tam, zanim jeszcze Unia Europejska istniała jako koncepcja. Firma miała dekady, by nauczyć się poruszać w złożonym krajobrazie regulacyjnym.
Przykładem jest EU Data Boundary - rozwiązanie wykraczające poza wymagania GDPR, stworzone w odpowiedzi na potrzeby klientów. Innym są national partner clouds w Niemczech i Francji, zaprojektowane specjalnie pod lokalne regulacje. Jak mówi Koulibaly: Podmioty sektora publicznego (…) powiedziały: ‘Hej, uwielbiamy waszą chmurę publiczną, jest świetna, ale są pewne specyficzne wymagania (…). Potrzebujemy, żebyście coś stworzyli i współpracowali z partnerami w kraju, żeby to zrobić’. Podjęliśmy ten krok.
Microsoft nie sprzedaje jednego, uniwersalnego produktu dla całej Europy. Buduje rozwiązania szyte na miarę, nawet jeśli jest to kosztowne i pracochłonne. Fundamentem tej strategii jest zaufanie. Jesteśmy zbudowani na zaufaniu. Opieramy się na strategii win-win. Nie ma dla nas wygranej w pojedynkę.
Wielochmurowa przyszłość
Jednym z najbardziej interesujących wątków naszej rozmowy była kwestia konkurencji. Polskie przedsiębiorstwa rzadko decydują się na uzależnienie od jednego dostawcy - coraz częściej stosują strategię multi‑cloud, korzystając z usług Azure w wybranych obszarach, a z AWS czy innych dostawców w pozostałych.
Czy to wyzwanie dla Microsoftu? Oczywiście. Ale Koulibaly ma jasne stanowisko: Rynek B2B, rynek usług w chmurze, rynek rozwiązań hiperskalowalnych nie jest rynkiem, w którym zwycięzca bierze wszystko i nie spodziewamy się, że kiedykolwiek taki będzie. Rynek chmury, w opinii Microsoftu, nigdy nie będzie kontrolowany przez jedną firmę. To nie jest rynek mobilny, gdzie dominują Apple i Android. Tutaj zawsze będzie wielu znaczących graczy.
Rozumiemy, że musimy ostro konkurować i tak właśnie robimy. I tak, czasami wymaga to oczywiście tworzenia rozwiązań, które dobrze się sprawdzają w dowolnej chmurze, w tym konkurencji. Myślę, że jedną z korzyści, jakie mamy jako firma w tym środowisku, jest to, że zawsze byliśmy firmą przede wszystkim firmą od platform cyfrowych - podkreśla Koulibaly.
Microsoft od zawsze postrzega siebie jako platformę, na której budują inne firmy - nawet konkurenci. Hostujemy, o ile dobrze pamiętam, ponad 1800 modeli AI. Niektóre z nich są oparte na oprogramowaniu open source. Niektóre pochodzą od firm, które z nami konkurują i współpracują. I to jest wspaniałe.
To filozofia, która odpowiada europejskim przedsiębiorstwom. Nikt nie czuje się uzależniony od jednego dostawcy, każdy ma możliwość wyboru alternatywy. To tworzy zdrową konkurencję i zmusza Microsoft do innowacji. A im bardziej otwarty i interoperacyjny jest Microsoft, tym większe zaufanie buduje. A zaufanie - to waluta suwerenności cyfrowej.
Moim rozmówcą był przedstawiciel Microsoftu. Wnioski są jednak ważne również dla klientów Amazonu, Google’a i reszty
W końcowej części rozmowy Koulibaly wyjaśnił, dlaczego właśnie teraz jest moment krytyczny. Myślę, że nasi klienci chcą, aby bezpieczeństwo było częścią tego cyfrowego pakietu, prawda? To nie jest coś z gatunku ‘być może’, ale kluczowa kwestia ich suwerenności, chodzi o to, aby byli również bezpieczni. Polska osiągnęła 80 proc. wdrożeń rozwiązań AI i 95 proc. wykorzystania chmury. Ale jeśli ta infrastruktura nie będzie suwerenna to dane polskich firm mogą zasilać innowacje w innych krajach, a bezpieczeństwo naszych systemów będzie zależeć od decyzji podejmowanych tysiące kilometrów stąd.
Koulibaly podsumował to pragmatycznie: Chcemy kontynuować nasze zaangażowanie na rzecz Europy. To już ponad 40 lat wielkich sukcesów i mam nadzieję, że możemy przyczynić się do wzrostu PKB Polski, a także całej Unii Europejskiej i Europy szerzej. Ta wizja stanie się rzeczywistością tylko wtedy, gdy polskie przedsiębiorstwa, rządy i instytucje edukacyjne zrozumieją, że suwerenność cyfrowa nie jest luksusem. To fundament niezależności gospodarczej i bezpieczeństwa narodowego w czasach sztucznej inteligencji.
Polska stoi w wyjątkowym momencie. Jak wspomniano wyżej, 84 proc. liderów biznesu deklaruje chęć wdrożenia agentów AI w ciągu roku, a jednocześnie tylko 12 proc. młodych ludzi czuje się przygotowanych do pracy z tą technologią. Luka kompetencyjna jest ogromna, ale potencjalne zyski - jeszcze większe. Jeśli podejdziemy do transformacji mądrze to Polska może stać się Frontier Firm - liderem w projektowaniu modeli biznesowych opartych na AI od podstaw, zamiast dodawania sztucznej inteligencji jako dodatku do istniejących procesów.
Warunkiem jest dostęp do najlepszych technologii, pewność, że nasze dane są bezpieczne, oraz gwarancja, że decyzje dotyczące infrastruktury zapadają tutaj, w Europie, a nie na Zachodnim Wybrzeżu Stanów Zjednoczonych. To właśnie obiecuje suwerenność cyfrowa. I to właśnie Microsoft deklaruje, że jest gotów budować. Pozostaje pytanie: czy będziemy gotowi, by tę transformację przyjąć?
