Il 10 febbraio 2026 la Commissione europea ha adottato una decisione di autorizzazione senza condizioni, ai sensi del Regolamento (CE) n. 139/2004 sul controllo delle concentrazioni tra imprese (“Regolamento concentrazioni” o EUMR), relativa all’acquisizione di Wiz Inc. da parte di Google LLC (Alphabet Inc.), registrata con numero di caso M.11964.
L’operazione, del valore di 32 miliardi di dollari, è stata notificata il 6 gennaio 2026 ed esaminata nell’ambito della procedura di cui all’art. 10, par. 1, EUMR, con conclusione in Phase I entro il termine ordinario di 25 giorni lavorativi.
Essa seguiva un precedente tentativo di acquisizione da 23 miliardi di dollari nel 2024, non perfezionato per presunte criticità regolatorie e prevedeva nel nuovo accordo una clausola di break-up fee pari a 3,2 miliardi di dollari in caso di mancata conclusione.
Sotto il profilo oggettivo, la concentrazione riguardava principalmente il mercato della sicurezza cloud, strettamente connesso al mercato delle infrastrutture cloud, in cui Google opera tramite Google Cloud Platform (GCP) in concorrenza con Amazon Web Services (AWS) e Microsoft Azure, entrambi detentori di posizioni particolarmente significative. Wiz, fondata nel 2020 e con sede negli Stati Uniti, è invece attiva nel segmento delle cloud-native application protection platform (CNAPP), fornendo soluzioni di sicurezza multi-cloud per applicazioni distribuite su ambienti AWS, Azure, GCP e altri.
L’istruttoria si è concentrata sulla verifica dell’eventuale sussistenza di un significativo impedimento alla concorrenza effettiva ai sensi dell’art. 2, parr. 2 e 3, EUMR, con particolare attenzione ai possibili effetti verticali e conglomerali derivanti dall’integrazione di una piattaforma multi-cloud “neutrale” all’interno dell’ecosistema di un hyperscaler.
Tra i profili analizzati figuravano il rischio di limitazione dell’interoperabilità della piattaforma Wiz con infrastrutture cloud concorrenti, l’accesso a dati potenzialmente sensibili relativi a clienti o concorrenti e il rafforzamento di effetti di lock-in, in un contesto normativo in cui il Regolamento (UE) 2023/2854 (Data Act) mira a ridurre le barriere alla portabilità e all’interoperabilità nei servizi cloud.
Sulla base dell’indagine di mercato, la Commissione ha ritenuto, tuttavia, che potessero sussistere vari concorrenti nel settore della sicurezza cloud e che i clienti potessero rivolgersi ad alternative valide qualora Google integrasse Wiz in modo restrittivo o ne limitasse la compatibilità con cloud diversi da GCP; inoltre, è stato accertato che i dati cui Google avrebbe avuto accesso a seguito dell’operazione non erano commercialmente sensibili né esclusivi, risultando generalmente accessibili anche ad altri fornitori di software di sicurezza.
Dal punto di vista giurisdizionale, l’operazione non superava le soglie di fatturato previste dall’art. 1, parr. 2 e 3, EUMR, che determinano la dimensione europea sulla base di criteri quantitativi di turnover mondiale e comunitario.
La competenza della Commissione è stata quindi acquisita tramite rinvio su richiesta delle parti ai sensi dell’art. 4, par. 5, EUMR, in quanto la concentrazione era suscettibile di esame secondo le normative nazionali di almeno tre Stati membri: Cipro, Irlanda e Svezia.
Il 4 luglio 2025 la Commissione ha trasmesso la richiesta a tutti gli Stati membri, nessuno dei quali si è opposto al rinvio. Il 29 luglio 2025 la Commissione ha accettato il rinvio del caso.
In assenza di un significativo impedimento alla concorrenza effettiva nel SEE, la concentrazione è stata pertanto autorizzata senza condizioni.
Tale posizione della Commissione evidenzia l’esigenza che il sistema europeo di controllo delle concentrazioni intercetti e valuti rigorosamente acquisizioni strategiche nel settore delle infrastrutture digitali. Le iniziative avviate in Paesi come Francia e Paesi Bassi per rafforzare il controllo sulle operazioni sotto soglia testimoniano la crescente consapevolezza di tale esigenza.
Infine, viene confermato altresì il crescente ricorso ai meccanismi di referral quale strumento di coordinamento e razionalizzazione del controllo delle concentrazioni e il dibattito sull’adeguatezza delle soglie di cui all’art. 1 EUMR, nonché riacceso l’obiettivo di regolare acquisizioni digitali ad alto valore strategico ma con turnover relativamente contenuto, in un contesto caratterizzato dalla progressiva espansione delle Big Tech nei mercati cloud e nei servizi di sicurezza digitale.
Fonte:
https://ec.europa.eu/commission/presscorner/detail/en/ip_26_333