Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

la guida

Sicurezza cloud e NIS 2, cosa cambia per i fornitori di servizi cloud computing

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

I fornitori di servizi di cloud computing rientrano nel perimetro della direttiva Nis2: ecco come garantire la sicurezza del cloud alla luce dei nuovi standard

Pubblicato il 6 ago 2025
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, CLUSIT Direttivo, BCI SIG Cyber Resilience Committee, FERMA Digital Committee Member

certificazione cloud europea; free cooling ottimizzazione cloud; sicurezza cloud; eurostack; cloud ibrido Kubernetes; cloud sovrano; cloud partnership; gara cloud europeo
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • La direttiva NIS2 classifica i fornitori cloud come entità essenziali, imponendo obblighi di sicurezza e compliance per IaaS, PaaS e SaaS.
  • Rischi tecnici, organizzativi e di compliance (es. GDPR) richiedono crittografia, MFA, monitoraggio 24/7, piani di continuità e gestione della catena di fornitura.
  • Implementazione complessa: competenze specialistiche, costi e change management; si raccomanda security by design, partnership con esperti e centri di eccellenza per compliance continua.
Riassunto generato con AI

Con l’entrata in vigore della direttiva NIS2, i fornitori di servizi cloud computing sono chiamati a rafforzare la sicurezza delle proprie infrastrutture digitali. Ecco in che modo.

Il perimetro di sicurezza nazionale cibernetica: cos’è e come evolve

Sicurezza cloud e Nis2, cosa dice la legge

I cloud provider rientrano nel perimetro della NIS2 – quali entità essenziali – e sono definiti all’”Articolo 6 – Definizioni” del testo della direttiva come coloro che forniscono “un servizio digitale che consente l’amministrazione on-demand e un ampio accesso remoto a un pool scalabile ed elastico di risorse informatiche condivisibili, anche nel caso in cui tali risorse siano distribuite su più sedi”.

Inoltre, nella direttiva NIS2 -Preambolo [33], è specificato che i fornitori di servizi cloud computing forniscono anche risorse informatiche quali: reti, server o altre infrastrutture, sistemi operativi, software, storage, applicazioni e servizi. I modelli di servizio del cloud computing sono generalmente classificati come:

  • Infrastructure-as-a-Service (IaaS) – L’operatore si occupa dell’infrastruttura fisica e della virtualizzazione, il cliente si occupa del livello di sistema operativo, middleware e applicazioni. Si riferisce all’erogazione, ad esempio, di server virtualizzati e spazio di salvataggio dati
  • Platform-as-a-Service (PaaS) – L’operatore si occupa anche del livello del sistema operativo e del middleware e fornisce solo determinati servizi, come l’erogazione di ambienti, pre-configurati e amministrati per lo sviluppo di specifiche applicazioni per lo sviluppo software, la gestione di dati o di applicazioni.
  • Software-as-a-Service (SaaS) -L’operatore fornisce un software specifico e tutti i componenti della piattaforma e dell’infrastruttura necessari; il cliente non deve praticamente occuparsi di alcun aspetto tecnico.

È doveroso evidenziare che la NIS 2 non è solo un aggiornamento normativo, ma una risposta strategica alle crescenti minacce cyber che caratterizzano il panorama digitale contemporaneo. Per i fornitori di servizi cloud, questa rappresenta una sfida complessa che richiede una revisione delle architetture di sicurezza, dei processi operativi e della governance aziendale.

Tipologie di rischi nel cloud computing

È doveroso evidenziare che, sebbene il cloud sia maturo come tecnologia, presenta alcuni rischi e, precisamente:

  • Rischi tecnici – Il cloud computing presenta sfide di sicurezza intrinsecamente legate alla sua natura condivisa e distribuita. L’architettura multi-tenant introduce vulnerabilità specifiche che possono compromettere la sicurezza di tutti gli utenti della piattaforma attraverso l’hypervisor, l’isolamento inadeguato tra tenant e configurazioni errate che creano punti di accesso non autorizzati.

La delocalizzazione dei dati nei data center distribuiti geograficamente amplifica la complessità della protezione delle informazioni, richiedendo ai fornitori di implementare strategie di crittografia end-to-end sofisticate, gestione sicura delle chiavi crittografiche e controlli di accesso granulari che mantengano l’integrità dei dati attraverso molteplici giurisdizioni e infrastrutture.

La resilienza dei servizi rappresenta un altro aspetto critico, poiché gli outage possono generare effetti a cascata devastanti sui clienti. La NIS 2 risponde a questa criticità richiedendo piani di continuità operativa robusti, strategie di backup geograficamente distribuite e procedure di disaster recovery sottoposte a test regolari per garantire la capacità di ripristino rapido dei servizi critici.

  • Rischi organizzativi – La governance aziendale subisce una trasformazione radicale con l’introduzione della NIS 2, che stabilisce la responsabilità diretta del management per la cybersecurity. Questa evoluzione comporta che i dirigenti possano essere soggetti a sanzioni personali, inclusa la responsabilità penale, creando un nuovo paradigma di accountability che richiede il coinvolgimento attivo della leadership aziendale nelle decisioni di sicurezza.

Inoltre, la gestione della supply chain diventa particolarmente complessa nel contesto cloud, dove i fornitori devono valutare e monitorare continuamente i rischi associati ai loro subfornitori. Tale necessità crea una catena di responsabilità interconnessa che si estende attraverso l’intero ecosistema, richiedendo processi di due diligence approfonditi e monitoraggio continuo delle performance di sicurezza lungo tutta la catena di fornitura.

  • Rischi normativi e di compliance – Il quadro regolamentare europeo presenta una complessità crescente attraverso l’integrazione della NIS 2 con il GDPR, il Data Governance Act e altre normative settoriali. Tale convergenza normativa richiede competenze legali specializzate e una comprensione approfondita delle interazioni tra diversi framework normativi, creando sfide interpretative che possono influenzare significativamente le strategie di compliance. Inoltre, le violazioni, oltre all’aspetto pecuniario, comportano conseguenze significative sulla reputazione aziendale e sulla fiducia dei clienti, elementi che possono avere impatti a lungo termine sulla competitività del business.

NIS2: tipologie di cloud e implicazioni di sicurezza

Di seguito una descrizione delle varie tipologie di cloud e relative sfide in termini di cybersecurity ai fini NIS2.

  • Cloud pubblico – Il modello di cloud pubblico presenta sfide uniche per la compliance NIS 2, richiedendo un approccio sofisticato alla gestione della sicurezza condivisa. Il Shared Responsibility Model diventa elemento cruciale, poiché i fornitori devono chiarire con precisione le responsabilità di sicurezza tra provider e cliente, definendo dettagliatamente chi è responsabile di ogni aspetto nella catena di sicurezza. Inoltre, l’’isolamento tra tenant rappresenta una delle sfide tecniche più complesse, richiedendo l’implementazione di tecnologie avanzate di virtualizzazione e controlli di accesso rigorosi che garantiscano la separazione logica e fisica delle risorse. Ancora, la scalabilità del monitoraggio diventa particolarmente critica, poiché i sistemi devono essere in grado di gestire volumi massivi di dati, oltre a identificare anomalie – in tempo reale – attraverso diverse istanze e servizi distribuiti geograficamente.
  • Cloud privato – Il cloud privato offre maggiore controllo ma comporta responsabilità estese che richiedono un approccio diversificato alla sicurezza. L’organizzazione mantiene la responsabilità completa per tutti gli aspetti di sicurezza, dalla protezione fisica dell’infrastruttura fino alla sicurezza applicativa, richiedendo competenze tecniche approfondite e investimenti significativi in personale specializzato, tecnologie di sicurezza avanzate e processi di governance strutturati.
  • Cloud ibrido e multi-cloud – Questi modelli architetturali introducono complessità aggiuntive che richiedono approcci orchestrati alla sicurezza. La gestione della sicurezza distribuita deve essere coordinata attraverso molteplici ambienti utilizzando strumenti e politiche coerenti che mantengano l’uniformità dei controlli di sicurezza. Mantenere visibilità completa e controllo su dati e applicazioni distribuite tra più provider diventa un challenge tecnico significativo che richiede soluzioni di security management integrate e capacità di monitoring cross-platform.

Servizi cloud e requisiti di sicurezza della NIS2

I fornitori di servizi di cloud computing, con l’entrata in vigore della direttiva NIS2, sono ufficialmente classificati come “entità essenziali”. Ciò comporta l’obbligo di conformarsi a rigorosi requisiti di cybersicurezza, attraverso l’adozione di un insieme strutturato di misure tecnico-organizzative basate su un approccio fondato sul rischio (risk-based approach), in coerenza con i principi già consolidati nel GDPR e nei principali framework europei di sicurezza informatica.

Le misure adottate devono garantire un livello di protezione proporzionato alla probabilità e all’impatto dei rischi identificati, tenendo conto della natura dei servizi erogati, del grado di interconnessione con altri attori della filiera digitale e della rilevanza strategica dell’infrastruttura cloud nel più ampio contesto socio-economico.

Il decreto individua in particolare i seguenti obblighi principali:

  • Politiche sull’analisi dei rischi e sulla sicurezza dei sistemi informativi – È fondamentale avere accesso a competenze specialistiche, strumenti di sicurezza avanzati e un monitoraggio proattivo che migliorino la sicurezza del servizio cloud. Inoltre, è fondamentale condurre le valutazioni del rischio complete, implementare solidi controlli di sicurezza, oltre a garantire un monitoraggio continuo.
  • Gestione degli incidenti – È necessario offrire un solido servizio di gestione degli incidenti per gestire efficacemente gli incidenti di sicurezza, tramite un monitoraggio e risposta 24 ore su 24, 7 giorni su 7, garantendo il rapido rilevamento e il contenimento delle minacce, in modo rapido ed efficace, riducendo al minimo potenziali danni e tempi di inattività.
  • Continuità aziendale e gestione delle crisi – I fornitori di cloud computing devono garantire resilienza operativa e un rapido ripristino in caso di interruzioni, nel rispetto dei requisiti di conformità. È essenziale fornire soluzioni di disaster recovery affidabili, sistemi di failover automatizzati e backup dei dati in tempo reale su data center sicuri e distribuiti geograficamente, riducendo al minimo i tempi di inattività e la perdita di dati.
  • Sicurezza nell’acquisizione, nello sviluppo e nella manutenzione delle reti e dei sistemi informativi – La competenza nelle pratiche di sviluppo sicuro aiuta a integrare la sicurezza in applicazioni e sistemi fin dall’inizio (DevSecOps). Di fatto, i fornitori di cloud devono garantire la progettazione di sistemi sicuri, la valutazione automatizzata delle vulnerabilità e la gestione delle patch, riducendo i rischi derivanti da software obsoleti o configurazioni non sicure.
  • Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio di sicurezza informatica – Si tratta di utilizzare monitoraggio continuo, reporting automatizzato e analisi avanzate per valutare le prestazioni dei framework di gestione del rischio rispetto alla NIS 2. Inoltre, è possibile eseguire regolarmente audit di sicurezza e di buona architettura per facilitare la conformità con un’interruzione minima delle attività operative.
  • Politiche e procedure di sicurezza – I fornitori di cloud computing devono garantire misure tecniche e procedurali di prevenzione e mitigazione degli attacchi, tra cui l’adozione di sistemi di segmentazione di rete, crittografia dei dati, autenticazione multifattoriale (MFA) e controllo degli accessi.
  • Catena di fornitura – I fornitori di cloud computing devono estendere le proprie pratiche di sicurezza informatica all’intera catena di fornitura e implementare solidi processi di gestione del rischio, unitamente ai relativi meccanismi di audit e supervisione. Ne consegue che i fornitori di servizi cloud devono essere in grado di identificare e di mitigare i rischi in fase di approvvigionamento e di acquisizione, nonché attraverso la sostituzione e l’offboarding dei fornitori. Tutto ciò implica una revisione profonda di diversi aspetti organizzativi e contrattuali da parte dei fornitori di servizi cloud. In particolare:
  • Contratti e SLA con i clienti, che dovranno essere aggiornati per includere esplicitamente gli obblighi derivanti dalla NIS2, come la notifica degli incidenti, l’esecuzione di audit e la definizione delle responsabilità condivise in materia di sicurezza;
  • Policy interne, da aggiornare o formalizzare per attribuire chiaramente ruoli e responsabilità, nonché definire i processi di rilevazione, gestione e risposta agli incidenti;
  • Procedure di due diligence sulla supply chain, considerando che la sicurezza dei fornitori rappresenta oggi un elemento critico ai fini della conformità, e deve essere valutata e monitorata in modo sistematico.
  • Formazione del personale – I fornitori di servizi cloud computing devono garantire una formazione continua del personale, che comprenda pratiche di sviluppo sicuro, protezioni crittografiche e gestione della configurazione per affrontare efficacemente i rischi per la sicurezza informatica.

Si rimanda all’Allegato 2 della determina ACN determina n.164179 per il dettaglio.

Sfide di implementazione dei requisiti NIS2 per i fornitori dei servizi di cloud computing

Di seguito le principali sfide legate all’implementazione dei requisiti NIS2 che i fornitori di servizi di cloud computing si trovano a gestire.

  • Complessità tecnica – L’implementazione delle misure NIS 2 richiede competenze multidisciplinari che spaziano dalla cybersecurity alla compliance legale, creando la necessità per i fornitori di investire in risorse umane altamente specializzate. Gli addetti alla sicurezza devono possedere esperienza approfondita in ambienti cloud complessi e comprendere le interazioni tra diversi layer tecnologici, mentre i compliance officer devono specializzarsi nelle normative europee e nelle loro implicazioni operative. Ne consegue che i DevSecOps engineer assumono un ruolo cruciale nell’integrazione della sicurezza nei processi di sviluppo, garantendo che i controlli di sicurezza siano incorporati fin dalle prime fasi del ciclo di vita del software.
  • Costi e investimenti – La compliance NIS 2 comporta investimenti significativi che impattano su molteplici aspetti dell’organizzazione. Dato che le tecnologie di sicurezza avanzate richiedono budget considerevoli per l’acquisizione e la manutenzione, mentre il personale specializzato deve essere attratto e mantenuto in un mercato del lavoro altamente competitivo. Inoltre, i processi di certificazione e di compliance richiedono tempo e risorse considerevoli, inclusi consulenti esterni, audit periodici and training specializzato che comportano costi ricorrenti significativi.
  • Gestione del Change Management – L’adozione della NIS 2 richiede una trasformazione culturale che coinvolge ogni livello dell’organizzazione, dal top management fino ai team operativi. In particolare, il commitment della leadership diventa fondamentale per garantire l’allocazione delle risorse necessarie e la responsabilità diretta del top management nelle decisioni di sicurezza. Inoltre, la collaborazione cross-funzionale tra team tecnici, legali e business deve essere strutturata attraverso processi formali che facilitino la comunicazione e l’allineamento degli obiettivi. Ancora, il percorso di miglioramento continuo dei processi di sicurezza richiede l’implementazione di cicli di feedback strutturati e la capacità di adattamento rapido all’evoluzione del panorama delle minacce.

A fronte ti quanto sopra si consiglia ai fornitori di servizi cloud, un approccio strategico che deve focalizzarsi su investimenti proattivi in security by design, integrando la sicurezza fin dalle fasi iniziali di progettazione dei servizi e dei prodotti.

Inoltre, lo sviluppo di partnership strategiche con fornitori specializzati in cybersecurity può facilitare l’accesso a competenze e a tecnologie avanzate senza la necessità di sviluppare internamente tutte le capacità tecniche richieste. Ancora, la creazione di centri di eccellenza interni per la gestione della compliance normativa garantisce la concentrazione delle competenze specialistiche e la standardizzazione dei processi. Infine, è consigliabile l’implementazione di programmi continui di compliance che anticipino le evoluzioni normative per mantenere un vantaggio competitivo e ridurre i costi di adeguamento a nuove normative.

Cloud e Nis2, come fare

La direttiva NIS2 rappresenta non solo un obbligo normativo, ma anche un’opportunità strategica per i fornitori di servizi di cloud computing per contribuire alla costruzione di un ecosistema digitale più sicuro e resiliente.

Di fatto, garantire la conformità richiede un impegno concreto su più livelli: dall’adozione di misure tecniche adeguate, alla revisione dei processi interni, fino alla gestione dei rischi lungo tutta la filiera.

La NIS2 impone un cambio di passo: non basta più reagire agli incidenti, ma è necessario adottare un approccio proattivo e olistico che integri investimenti tecnologici, sviluppo delle competenze, governance chiara e una leadership consapevole. In questo scenario, i fornitori cloud non sono semplici esecutori, ma attori chiave nella trasformazione digitale dell’Europa: il loro impegno sarà determinante per tradurre gli obiettivi della direttiva in risultati concreti e duraturi.

FAQ: sicurezza cloud

I principali rischi di sicurezza nel cloud computing includono: mancanza di visibilità sui dati e su chi vi accede, problemi di multitenancy negli ambienti di cloud pubblico che possono portare a compromissioni quando vengono presi di mira altri clienti, difficoltà nella gestione degli accessi e presenza di shadow IT, sfide nella conformità normativa per chi utilizza cloud pubblico o ibrido, e configurazioni errate che rappresentano una causa sostanziale di violazioni dei dati. Un rapporto recente evidenzia che quasi la metà (47%) dei dati aziendali archiviati nel cloud sono sensibili e che il 44% delle organizzazioni ha subito una violazione dei dati nel cloud, con il 14% che ne ha subita una nell’ultimo anno. Inoltre, l’adozione dell’intelligenza artificiale sta amplificando questi rischi, con il 99% delle organizzazioni che ha segnalato almeno un attacco ai propri sistemi di AI nell’ultimo anno, mentre gli attacchi alle API sono aumentati del 41%, rappresentando uno dei principali vettori di minacce nel panorama cloud.

Il modello di responsabilità condivisa nella sicurezza cloud definisce chiaramente quali aspetti della sicurezza sono gestiti dal provider cloud e quali dal cliente. In generale, il provider cloud è sempre responsabile della sicurezza dell’infrastruttura fisica e virtuale, incluse reti e data center, mentre il cliente è responsabile della protezione dei dati, della configurazione delle applicazioni e della gestione degli accessi. Il livello di responsabilità del cliente varia in base al modello di servizio adottato: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) o Software as a Service (SaaS). Con IaaS, il cliente ha maggiori responsabilità sulla sicurezza, mentre con SaaS ne ha meno. Questo modello è particolarmente rilevante negli ambienti di cloud pubblico e ibrido, dove la corresponsabilità è essenziale. Negli ambienti di cloud privato, invece, la responsabilità della sicurezza ricade interamente sull’azienda che lo adotta.

La gestione degli accessi e delle identità (Identity and Access Management, IAM) è fondamentale per la sicurezza cloud. Le best practice includono l’implementazione del principio del privilegio minimo, assegnando agli utenti solo i permessi strettamente necessari per svolgere le loro funzioni, l’autenticazione a più fattori (MFA) per aggiungere un livello di sicurezza oltre alle password, e l’utilizzo di Single Sign-On (SSO) per centralizzare e semplificare la gestione delle identità. È importante anche implementare controlli di accesso basati sul contesto, che considerano fattori come la posizione, il dispositivo e il comportamento dell’utente, e adottare un approccio Zero Trust, che prevede che nessun utente o dispositivo venga considerato automaticamente affidabile. Nel settore pubblico italiano, ad esempio, si utilizza SPID di Livello 2/3 per i cittadini e CIE per i dipendenti pubblici, mentre nel settore privato è comune l’adozione di soluzioni come Microsoft Entra ID con policy di Accesso Condizionale, che permettono di limitare l’accesso in base a dispositivo, posizione e altri fattori di sicurezza.

Il cloud sovrano si riferisce a un’infrastruttura cloud che risponde a due requisiti fondamentali: i dati risiedono fisicamente all’interno dei confini nazionali o europei (data residency) e il fornitore del servizio è soggetto alla giurisdizione del paese o dell’UE, non a leggi extraterritoriali come il CLOUD Act americano. L’importanza del cloud sovrano va oltre la semplice localizzazione dei dati: riguarda chi controlla effettivamente tecnologie, dati, regole e infrastrutture. In un contesto geopolitico instabile, affidarsi a piattaforme estere significa esporsi a vincoli giuridici, tecnologici e geopolitici che possono ridurre l’autonomia decisionale. Il cloud sovrano offre maggiore protezione per dati sensibili e servizi critici, garantendo che rimangano sotto il controllo nazionale o europeo. In Italia, il Polo Strategico Nazionale (PSN) rappresenta l’implementazione del cloud sovrano per la pubblica amministrazione, con un’infrastruttura progettata per ospitare gli asset più critici del Paese. Una caratteristica importante del cloud sovrano è l’implementazione dell’External Key Management (EKM), dove le chiavi di crittografia sono generate e custodite direttamente dal cliente o da un’entità fidata, non dal fornitore cloud, creando una barriera tecnica contro l’accesso non autorizzato.

L’intelligenza artificiale sta trasformando radicalmente il panorama della sicurezza cloud, introducendo nuovi rischi e amplificando quelli esistenti. Secondo recenti ricerche, il 99% delle organizzazioni ha subito almeno un attacco ai propri sistemi di AI nell’ultimo anno, evidenziando come questa tecnologia abbia bisogno di protezioni specifiche. L’adozione massiva dell’AI sta estendendo significativamente la superficie di attacco, mentre l’accelerazione del coding assistito dalla GenAI (vibe coding) sta generando codice non sicuro più velocemente di quanto i team di sicurezza riescano a rivederlo: il 52% dei team distribuisce codice settimanalmente, ma solo il 18% è in grado di correggere le vulnerabilità allo stesso ritmo. Problemi come prompt injection, data leakage e l’opacità dei modelli rendono inadeguati i paradigmi tradizionali di sicurezza applicativa. Gli attaccanti stanno rapidamente cambiando strategia per sfruttare i livelli fondamentali del cloud, con un aumento del 41% negli attacchi alle API nell’ultimo anno. Inoltre, quasi tutte le minacce legate all’AI, tra cui la manomissione della catena di fornitura dei modelli, il furto di token e la prompt injection, coinvolgono le API in qualche modo, con il 47% delle violazioni dei sistemi di intelligenza artificiale che comportano l’esfiltrazione di dati attraverso assistenti o plugin. L’adozione dell’AI nel cloud sta essenzialmente riproducendo, amplificandoli, gli stessi errori commessi durante la migrazione verso il cloud: dati non protetti adeguatamente, governance formale priva di fondamenta tecniche solide, e una fiducia implicita nelle infrastrutture che si rivela spesso infondata.

Per proteggere efficacemente i dati nel cloud, è essenziale implementare diverse tecnologie complementari. La crittografia dei dati è fondamentale sia per i dati in transito che per quelli a riposo, con l’External Key Management (EKM) che rappresenta un approccio avanzato dove le chiavi di crittografia sono gestite separatamente dal provider cloud, garantendo che solo il cliente possa accedere ai dati decifrati. I sistemi di Data Loss Prevention (DLP) sono cruciali per rilevare e prevenire l’esposizione non autorizzata dei dati, monitorando e bloccando i dati sensibili in uso, in movimento e a riposo. La micro-segmentazione di rete, realizzata attraverso il software-defined networking (SDN), crea zone di sicurezza granulari che limitano la propagazione di minacce all’interno dell’ambiente cloud. Le soluzioni SASE (Secure Access Service Edge) instradano il traffico attraverso uno stack di sicurezza cloud per ispezionarlo alla ricerca di malware e perdita di dati sensibili, indipendentemente dalla posizione dell’utente. L’analisi comportamentale basata sull’IA, come quella offerta da Darktrace o Microsoft Sentinel, stabilisce una baseline di comportamento normale e può revocare automaticamente l’accesso in caso di attività sospette. È importante anche implementare backup regolari e test di ripristino, oltre a utilizzare strumenti di Cloud Security Posture Management (CSPM) per identificare e correggere configurazioni errate che rappresentano una delle principali cause di violazioni nel cloud.

Il vendor lock-in nel cloud si verifica quando un’azienda diventa così dipendente dalle tecnologie e dai servizi di un singolo fornitore da rendere estremamente difficile o costoso cambiare provider. Questa situazione comporta numerosi rischi: perdita di potere negoziale con conseguenti aumenti di prezzo unilaterali (fino al 20-25% nei rinnovi contrattuali), limitata agilità strategica che impedisce l’adozione di innovazioni disponibili presso altri fornitori, costi nascosti legati alla migrazione dei dati e alla riqualificazione del personale, e ridotta resilienza operativa con esposizione agli outage di un singolo provider. Per evitare il vendor lock-in, è consigliabile adottare una strategia multicloud deliberata, distribuendo intelligentemente i workload su più provider, e privilegiare soluzioni basate su standard aperti come Kubernetes per la containerizzazione, OpenAPI per le interfacce di programmazione, e formati di dati interoperabili. È importante anche sviluppare e mantenere aggiornati piani di exit dettagliati per i fornitori critici, e negoziare fin dall’inizio clausole contrattuali specifiche su data portability, proprietà intellettuale e condizioni di uscita. L’adozione di architetture cloud-native basate su container facilita la portabilità dei workload tra diversi ambienti con modifiche minime. Infine, è fondamentale trattare il vendor lock-in come un rischio aziendale da gestire attivamente, inserendolo nei framework di enterprise risk management con valutazione periodica e quantificazione dell’esposizione.

In Europa e in Italia, la sicurezza cloud è regolata da un framework normativo articolato che mira a garantire protezione dei dati, resilienza operativa e sovranità digitale. Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce i principi fondamentali per il trattamento dei dati personali, inclusi quelli nel cloud. La direttiva NIS2 rafforza la sicurezza delle reti e dei sistemi informativi, includendo esplicitamente i fornitori di servizi cloud computing come entità essenziali soggette a rigorosi requisiti di cybersicurezza. Il Digital Operational Resilience Act (DORA) si concentra sulla resilienza operativa digitale per il settore finanziario, richiedendo la capacità di recupero rapido dei servizi critici. Il Data Act regola la condivisione dei dati generati nell’UE, mentre l’AI Act stabilisce requisiti per i sistemi di intelligenza artificiale. In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito uno schema di certificazione specifico per i servizi cloud destinati alla pubblica amministrazione, classificando i dati in tre livelli di sensibilità: Strategico, Critico e Ordinario. La legge 90/2024 sulla cybersicurezza delle pubbliche amministrazioni introduce ulteriori requisiti per la protezione delle infrastrutture digitali pubbliche. Queste normative hanno spinto gli hyperscaler globali ad adattare le proprie architetture per il mercato italiano, portando alla creazione di regioni “sovrane” gestite in partnership con entità locali come Leonardo e TIM, e all’implementazione di soluzioni come l’External Key Management per garantire che le chiavi di crittografia rimangano sotto controllo nazionale.

La formazione dei dipendenti svolge un ruolo cruciale nella sicurezza cloud, poiché anche le tecnologie più avanzate non sono sufficienti senza un elemento umano consapevole. Secondo lo State of Cloud Security Report 2025, il 76% dei professionisti afferma che la carenza di competenze in cybersecurity incide negativamente sulle proprie organizzazioni, mentre molte violazioni del cloud non sono il risultato di attacchi esterni mirati, ma di errori umani come configurazioni errate, API non sicure e gestione inadeguata degli account privilegiati. La formazione regolare aiuta i dipendenti a riconoscere le minacce di phishing e social engineering, comprendere le politiche di sicurezza aziendali, adottare pratiche sicure per la gestione delle password e l’autenticazione a più fattori, e saper rispondere correttamente agli incidenti di sicurezza. È essenziale che ogni dipendente comprenda che la sicurezza del cloud è parte integrante del proprio lavoro quotidiano, che si tratti di caricare un file su un’applicazione SaaS o di sviluppare un nuovo servizio aziendale. Le organizzazioni dovrebbero investire sia in strumenti di cloud security avanzati sia nella sensibilizzazione degli utenti, poiché questo approccio combinato si è dimostrato più efficace nel resistere alle minacce moderne. La sicurezza del cloud e delle applicazioni richiede un cambiamento culturale che porti i dipendenti a comprendere che le loro azioni hanno un impatto diretto sui risultati in materia di sicurezza.

L’approccio Zero Trust nella sicurezza cloud si basa sul principio fondamentale “mai fidarsi, sempre verificare”, eliminando il concetto di fiducia implicita tradizionalmente associato alle reti aziendali. Per implementarlo efficacemente, è necessario innanzitutto verificare continuamente l’identità degli utenti attraverso l’autenticazione a più fattori (MFA) e controlli di accesso contestuali che considerano fattori come dispositivo, posizione e comportamento. È fondamentale applicare il principio del privilegio minimo, garantendo che utenti e applicazioni abbiano accesso solo alle risorse strettamente necessarie per svolgere le loro funzioni, e implementare la micro-segmentazione di rete per creare zone di sicurezza granulari che limitino la propagazione laterale delle minacce. L’ispezione e il monitoraggio continuo del traffico sono essenziali, utilizzando tecnologie come SASE (Secure Access Service Edge) per instradare il traffico attraverso uno stack di sicurezza cloud che lo ispeziona alla ricerca di malware e perdita di dati sensibili, indipendentemente dalla posizione dell’utente. L’analisi comportamentale basata sull’intelligenza artificiale permette di stabilire una baseline di comportamento normale e rilevare anomalie in tempo reale. In Italia, questo approccio viene implementato nel settore pubblico attraverso l’utilizzo di SPID Livello 2/3 per i cittadini e CIE per i dipendenti pubblici, mentre nel settore privato si adottano soluzioni come Microsoft Entra ID con policy di Accesso Condizionale. La micro-segmentazione viene realizzata utilizzando il software-defined networking (SDN) per creare zone di sicurezza granulari, ad esempio in un ospedale (in risposta alla NIS2) la macchina per la risonanza magnetica si trova in una VLAN diversa rispetto al server di posta elettronica, con il traffico tra di esse bloccato di default per impedire la propagazione di ransomware.

La Pubblica Amministrazione italiana affronta sfide specifiche nella sicurezza cloud, a partire dalla necessità di garantire la sovranità dei dati strategici e critici, che richiedono immunità da giurisdizioni extra-UE come il CLOUD Act statunitense. L’istituzione del Polo Strategico Nazionale (PSN) rappresenta la risposta a questa esigenza, offrendo un’infrastruttura cloud federata progettata per ospitare gli asset più critici del Paese. Il PSN opera su un modello ibrido che bilancia l’innovazione degli hyperscaler pubblici con la sicurezza dei cloud governativi on-premise, permettendo alle amministrazioni di scegliere diverse modalità di fruizione in base alla classificazione dei loro dati. Una sfida significativa è l’implementazione dell’External Key Management (EKM), dove le chiavi di crittografia per i carichi di lavoro “Critici” e “Strategici” sono generate e custodite direttamente dal PSN, spesso tramite moduli di sicurezza hardware, anziché essere gestite dal fornitore cloud. Gli enti pubblici minori affrontano sfide tecniche ed economiche nella gestione della conformità normativa e della cybersecurity, dovendo rispettare requisiti stringenti con risorse limitate. La spinta alla digitalizzazione dei servizi pubblici ha reso l’adozione del cloud una necessità più che un’opportunità, richiedendo un cambiamento radicale nel modo in cui la sicurezza viene percepita, implementata e governata. La transizione verso lo Zero Trust è caratterizzata dall’abbandono delle architetture incentrate sulle VPN a favore del Secure Access Service Edge (SASE) e dei proxy identity-aware, guidata dalla necessità di proteggere la forza lavoro ibrida e i dati sensibili in ambienti altamente distribuiti.

FAQ generate con l'AI, a cura della Redazione
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, CLUSIT Direttivo, BCI SIG Cyber Resilience Committee, FERMA Digital Committee Member

Consulente in Risk Management & Business Continuity, docente presso varie istituzioni e università italiane e straniere, autrice di numerosi articoli e white paper su diverse riviste italiane e straniere.Relatrice e moderatrice

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • impatto ambientale dell’AI; dogana digitale; sovranità digitale

  • la guida

    Sovranità digitale e resilienza: come proteggere il business nel tempo

    04 Dic 2025

    di Federica Maria Rita Livelli

    Condividi
  • software gestionali, online documentation system and business files storage; cdn Gestione finanziaria data-driven

  • la guida

    CDN Content delivery network e Nis2, come gestire la sicurezza

    19 Ago 2025

    di Giovanni Masi

    Condividi
0
Lascia un commento, la tua opinione conta.x