La sovranità digitale non è più un concetto teorico, ma una priorità strategica per governi e istituzioni. Significa poter esercitare controllo effettivo sui dati, sulle tecnologie e sulle infrastrutture digitali da cui dipendono i servizi pubblici e la sicurezza nazionale.
Nel 2025 il tema è diventato urgente. Secondo il rapporto ENISA Threat Landscape 2025, la pubblica amministrazione è oggi il settore più colpito dagli attacchi informatici in Europa, con una quota del 38,5% degli incidenti registrati tra il 2024 e il 2025. Allo stesso tempo, lo studio “The State of Digital Sovereignty in Europe 2025”, condotto su oltre 270 leader europei del settore tecnologico e pubblico, mostra che l’84% ritiene la sovranità digitale un obiettivo critico per la sicurezza continentale, ma solo il 16% è convinto che l’Europa riuscirà a raggiungerla nei prossimi cinque anni.
Dati che spiegano perché la Commissione Europea, nel pacchetto Digital Decade Policy Programme 2025, ha inserito la sovranità digitale tra i quattro pilastri della trasformazione del decennio, stanziando quasi 290 miliardi di euro per progetti su cloud, dati e infrastrutture sicure.
Indice degli argomenti
La sovranità digitale oltre la localizzazione dei dati
In questo scenario, l’Unione europea ha costruito un’architettura normativa senza precedenti. Il Data Act, pienamente applicabile dal 12 settembre 2025, disciplina l’accesso e la condivisione dei dati tra imprese e amministrazioni pubbliche, fissando regole comuni per garantire la sovranità dei dati nel mercato unico digitale. Parallelamente, la direttiva NIS2 è ormai operativa e impone misure stringenti di sicurezza informatica per enti pubblici, infrastrutture critiche e operatori essenziali.
A queste norme si affiancano il Cyber Resilience Act, che entrerà in applicazione nel 2027 ma già guida la progettazione dei prodotti digitali sicuri, e l’AI Act, le cui prime disposizioni obbligatorie sono entrate in vigore nella primavera 2025. Insieme, rappresentano il nuovo quadro europeo della sovranità tecnologica: un ecosistema digitale che deve essere aperto, sicuro e conforme al diritto dell’Unione.
In Italia, la Strategia Cloud Italia e l’attività dell’Agenzia per la Cybersicurezza Nazionale (ACN) hanno reso la sovranità digitale un processo operativo. Le pubbliche amministrazioni devono classificare i propri dati in base alla criticità, utilizzare soltanto fornitori cloud qualificati nel catalogo ACN e garantire la residenza dei dati in infrastrutture conformi. Il Regolamento unico ACN del 2024 ha introdotto criteri aggiornati per la qualificazione e la verifica dei servizi, rafforzando la trasparenza e la sicurezza del procurement digitale pubblico.
Le tre dimensioni della sovranità digitale
La sovranità digitale è spesso associata alla semplice localizzazione dei dati, ma in realtà comprende tre livelli strettamente connessi.
Dalla teoria alla pratica: il caso di Zscaler
Secondo David Cenciotti, Senior Sales Engineer di Zscaler, “La sovranità digitale non significa solo sapere dove si trovano i dati, ma poterli controllare sempre, in ogni luogo e in ogni fase del loro ciclo di vita”. L’azienda, che collabora con diverse amministrazioni pubbliche europee e italiane, distingue tre dimensioni fondamentali: sovranità del dato, sovranità tecnologica e sovranità operativa.
“La prima riguarda la capacità di sapere dove i dati — log, metadati, informazioni personali — vengono memorizzati, elaborati e protetti, assicurando che l’accesso sia riservato solo a personale autorizzato”, spiega Cenciotti. “La seconda è la sovranità tecnologica, cioè la possibilità di garantire indipendenza infrastrutturale, scegliendo data center situati nell’Unione Europea e operando anche in modalità cloud disconnesso per mantenere continuità in caso di interruzioni di connettività. La terza, quella operativa, implica che la gestione e il supporto tecnico siano erogati da personale locale o con specifiche autorizzazioni di sicurezza”.
Per le pubbliche amministrazioni italiane, questa visione si traduce in un modello di sicurezza che coniuga innovazione e conformità. “La sovranità digitale — sottolinea ancora Cenciotti — rappresenta per la PA una visione strategica: consente di modernizzare la sicurezza, proteggere i dati nel rispetto del GDPR e delle linee guida ACN, e al tempo stesso migliorare la resilienza complessiva”.
Le sfide della Pubblica Amministrazione tra normative e modernità
Le sfide della sovranità digitale nella PA non sono soltanto tecnologiche. Riguardano la capacità di muoversi in un quadro regolatorio complesso, dove norme europee e requisiti nazionali si intrecciano con l’operatività quotidiana.
“Le difficoltà — osserva Cenciotti — sono le stesse che affrontano molte imprese: la complessità del quadro normativo, la necessità di conformarsi non solo al GDPR ma anche a norme come la NIS2, e l’obbligo di garantire controllo e sicurezza in ambienti multitenant dove convivono sistemi moderni e legacy”.
Un altro rischio è quello di compromettere l’esperienza utente. “L’implementazione di troppe misure di sicurezza, pur necessarie, può ridurre la produttività e le prestazioni dei servizi digitali. Per questo serve un approccio cloud-native che integri sicurezza e fluidità operativa”.
Superare l’ibrido con un approccio Zero Trust
Nel nuovo contesto digitale, l’adozione di architetture Zero Trust e modelli SASE (Secure Access Service Edge) è la chiave per bilanciare conformità e performance. Questi modelli basano la protezione su identità, contesto e verifica continua, superando la logica del “perimetro fidato”. È il passo necessario per superare l’eterogeneità di ambienti ibridi e garantire coerenza nelle policy di sicurezza.
Architetture cloud-native e continuità operativa
Le esigenze di sovranità digitale non possono prescindere dalla resilienza infrastrutturale. Per garantire disponibilità, protezione e controllo, servono architetture distribuite, ridondate e consapevoli del contesto normativo.
ZIA e ZPA: i pilastri di un’infrastruttura resiliente
Nel caso esemplificativo di Zscaler, la piattaforma cloud-native si fonda su due componenti principali: Zscaler Internet Access (ZIA) e Zscaler Private Access (ZPA). “Sono i pilastri di un’architettura SASE moderna”, spiega Cenciotti. “Entrambe le soluzioni permettono di scegliere dove i dati vengono elaborati e conservati. Oggi la nostra piattaforma opera attraverso 25 data center in Europa, 19 dei quali all’interno dell’Unione, offrendo anche la possibilità di escludere o selezionare singoli data center in base alle esigenze del cliente”.
Questa rete consente di gestire il traffico in modo conforme ai requisiti di sovranità, mantenendo bassa latenza e alta disponibilità. “In caso di degrado prestazionale o di blackout vero e proprio, con interruzione dei servizi di un’area — aggiunge Cenciotti — i dati vengono reindirizzati verso altri data center o su un Private Service Edge locale, garantendo la continuità operativa anche negli scenari più estremi”.
Crittografia, log e privacy by design
La sovranità digitale non si misura solo nella geolocalizzazione dei dati, ma nella capacità di proteggerli a ogni livello. Le soluzioni cloud-native più avanzate adottano architetture che soddisfano i principi di Privacy by Design e Privacy by Default, come previsto dal GDPR. Tutti i dati — log compresi — sono cifrati, controllati e conservati secondo politiche che garantiscono il soddisfacimento dei criteri di residenza e integrità.
“Il nostro obiettivo — spiega Cenciotti — è garantire che ogni transazione sia tracciabile, che i log siano conservati in Europa o in casa cliente, e che le contromisure di sicurezza siano integrate nell’infrastruttura stessa. Questo aiuta le PA a rispettare non solo il GDPR, ma anche normative come NIS2 o DORA”.
Conformità e governance: il ruolo dell’ACN
La Agenzia per la Cybersicurezza Nazionale è oggi l’attore centrale nella costruzione della sovranità digitale italiana. Il catalogo ACN elenca i servizi cloud qualificati e distingue i livelli di sicurezza, mentre il Regolamento unico del 2024 ha introdotto nuovi criteri tecnici e temporali per la qualificazione.
Questo meccanismo, spiega Cenciotti, “permette alle amministrazioni di adottare servizi cloud in modo consapevole, assicurando che i dati strategici restino protetti e che il controllo operativo rimanga in ambito europeo o nazionale”.
Verso una sovranità digitale reale e sostenibile
La sovranità digitale della PA italiana sta evolvendo da esigenza normativa a leva strategica di modernizzazione: “Zscaler — racconta Cenciotti — sta ampliando la rete di data center europei e italiani, e ha avviato i lavori per la realizzazione di un data center sovrano in Italia, dedicato ai settori pubblico e difesa. Parallelamente stiamo integrando funzioni basate su intelligenza artificiale e automazione, per offrire livelli di visibilità sempre più elevati e strumenti che permettano di conseguire la cosiddetta ‘Superiorità Informativa’ indispensabile per affrontare le minacce attuali e future”.
Un’evoluzione che riflette la trasformazione in atto anche nelle istituzioni pubbliche, sempre più consapevoli che la sovranità digitale non è un traguardo tecnico, ma un processo continuo che richiede norme solide, infrastrutture affidabili e una cultura del controllo. È un equilibrio tra indipendenza e interoperabilità, tra sicurezza e innovazione. Non più soltanto un principio di compliance, ma la condizione per garantire che i dati pubblici restino sotto controllo, che la sicurezza non limiti ma abiliti i servizi e che la fiducia digitale diventi una competenza strutturale dello Stato.
Contenuto realizzato in collaborazione con Zscaler
