La sovranità digitale è diventata una priorità strategica per governi e per organizzazioni di tutto il mondo. L’Unione Europea si distingue per il suo impegno nel rafforzare il controllo dei dati quale leva per la sicurezza, la competitività economica e l’autonomia tecnologica. Pertanto, in questo contesto, il Sovereign Cloud Security Model è concepito per garantire che le informazioni – pubbliche o private – siano archiviate, gestite e protette all’interno di un ecosistema giuridico e tecnologico pienamente europeo.
È importante ricordare che il termine “sovereign cloud” (cloud sovrano) si riferisce a un’infrastruttura cloud progettata per soddisfare i requisiti di controllo dei dati, localizzazione, trasparenza e indipendenza, evitando interferenze giurisdizionali esterne come il Digital Cloud Act degli Stati Uniti.
L’UE ha intrapreso un percorso ambizioso per proteggere la privacy dei cittadini, rafforzare la sicurezza economica e garantire alle proprie organizzazioni l’accesso a servizi cloud in linea con i valori europei.
Indice degli argomenti
Cosa si intende per sovranità digitale
La sovranità digitale è la capacità di una nazione, organizzazione o impresa di controllare pienamente i propri dati, le infrastrutture IT e i processi digitali, evitando dipendenze critiche da entità esterne non soggette alla stessa giurisdizione. I suoi elementi chiave includono:
• Controllo dei dati – Chi può accedere alle informazioni, a quali condizioni e per quali scopi.
• Residenza dei dati – Garantire che i dati rimangano fisicamente entro confini geografici o normativi predeterminati.
• Indipendenza giuridica – Protezione dalle leggi extraterritoriali che potrebbero consentire l’accesso forzato ai dati (ad esempio, il Digital Cloud Act negli Stati Uniti).
• Conformità normativa – Adesione a standard normativi chiari e trasparenti. Nel contesto europeo, ciò include normative come il GDPR, il NIS2 e il Data Governance Act. Inoltre, vi sono Paesi che hanno approcci simili o paralleli.
Le differenze tra Europa, Cina e Stati Uniti
È importante sottolineare che ogni governo affronta la questione della sovranità digitale in base ai propri obiettivi strategici, ad esempio:
Europa – L’obiettivo è duplice: proteggere i diritti fondamentali dei cittadini, a partire dalla privacy dei dati; e stimolare l’innovazione e la competitività, rafforzando un ecosistema digitale autonomo e interoperabile.
Cina – Il focus è posto sul pieno controllo statale delle infrastrutture digitali.
Stati Uniti – La sovranità si esprime nel potere legale esercitato anche sui dati archiviati all’estero da fornitori statunitensi.
I rischi della mancanza di sovranità digitale
Recenti episodi hanno concretamente evidenziato i rischi associati alla mancanza di sovranità digitale. In diversi casi, aziende ed enti pubblici si sono trovati in situazioni critiche a causa di infrastrutture tecnologiche ospitate o gestite da fornitori soggetti a giurisdizioni straniere. Ciò ha portato a scenari problematici, quali:
• Accesso forzato ai dati da parte di autorità straniere, in base a leggi extraterritoriali come il Digital Cloud Act negli Stati Uniti, che consente al governo statunitense di richiedere dati anche se archiviati in Europa, purché il fornitore sia americano.
• Interruzioni o sospensioni di servizi critici, imposte unilateralmente da fornitori esterni a seguito di crisi geopolitiche, sanzioni o modifiche normative nei loro paesi d’origine.
• Limitazioni operative e tecniche, come l’impossibilità di applicare politiche di sicurezza o gestire chiavi di crittografia personalizzate, quando queste sono centralizzate su server e piattaforme non direttamente controllabili.
Le situazioni sopra descritte dimostrano che, in assenza di un controllo reale su dove risiedono i dati, chi li gestisce e in quale quadro normativo sono soggetti, anche le entità più strutturate possono essere esposte a interferenze, a violazioni dei dati o a blocchi operativi, con ripercussioni significative in termini di continuità aziendale, di reputazione e di compliance.
Il modello europeo di sicurezza per il cloud sovrano
Il Sovereign Cloud Security Model si basa su una serie di principi strutturati e rigorosi, progettati per offrire risposte concrete alle sfide contemporanee in materia di sicurezza informatica, governance e regulatory compliance. Vediamo di seguito di che si tratta.
• Localizzazione dei dati – Uno dei pilastri fondamentali è la localizzazione dei dati: le informazioni devono essere fisicamente archiviate in data center situati nel territorio europeo e gestiti da fornitori conformi alle normative comunitarie. Tale principio garantisce che i dati siano soggetti esclusivamente alla giurisdizione dell’UE.
• Controllo operativo & governance dell’infrastruttura – Solo le entità europee dovrebbero essere in grado di gestire direttamente le piattaforme, i software e l’hardware utilizzati, garantendo la piena indipendenza da influenze esterne.
• Trasparenza – La trasparenza è un requisito essenziale. Ogni soluzione deve essere progettata per offrire una visibilità completa in termini di: accesso, modifiche e utilizzo dei dati ed essere verificabile tramite strumenti chiari e documentati.
• Sicurezza tecnica – Il modello prevede la crittografia end-to-end dei dati, sia in transito sia a riposo, impedendo che le informazioni sensibili vengano lette o intercettate da terzi, incluso lo stesso fornitore di servizi cloud. Un elemento distintivo è la gestione autonoma delle chiavi di crittografia: il controllo deve rimanere nelle mani dell’utente, non del fornitore, in quanto è uno degli aspetti più critici per garantire una reale sovranità dei dati.
Il modello integra, inoltre, i principi di privacy by design e security by design, richiedendo che ogni tecnologia sia progettata fin dall’inizio con la protezione dei dati come requisito fondamentale, non come opzione aggiuntiva.
• Regulatory compliance – È importante dimostrare la regulatory compliance. Strumenti come registri, report e un monitoraggio strutturato delle attività devono essere garantiti, in linea con gli standard europei riconosciuti.
• Sicurezza della catena di approvvigionamento – È importante porre adeguata enfasi sull’utilizzo di fornitori di tecnologia europei per ridurre al minimo l’esposizione a backdoor hardware/software straniere.
È doveroso evidenziare che, rispetto ai cloud tradizionali, il cloud sovrano si distingue per l’assenza di esposizione a giurisdizioni straniere, che potrebbero imporre l’accesso forzato ai dati o introdurre rischi legati allo spionaggio e alle interferenze politiche. Infine, la conformità a standard e certificazioni quali GDPR, ISO/IEC 27001, ENISA e, in futuro, standard europei specifici per i cloud sovrani, rappresenta un criterio essenziale per garantire affidabilità, legalità e interoperabilità delle soluzioni.
Sovranità digitale e incertezza geopolitica
Il controllo sulla dipendenza dell’Unione Europea dai servizi cloud extraeuropei si sta intensificando in un contesto di tensioni geopolitiche e crescente rischio informatico. Secondo gli ultimi dati presentati dagli Osservatori Digital Innovation del Politecnico di Milano, i grandi fornitori di servizi cloud statunitensi controllano oltre l’80% del mercato cloud dell’UE.
Pertanto, crescono i timori che il predominio degli Stati Uniti possa diventare una fonte di leva geopolitica. Preoccupazioni analoghe riguardano l’espansione dei fornitori di servizi cloud cinesi nel mercato europeo. Di conseguenza, l’UE e i suoi Stati membri si stanno concentrando sempre più sui servizi cloud domestici.
Quadri normativi per il cloud sovrano europeo
Diverse normative europee sono fondamentali per definire la domanda e l’implementazione di soluzioni cloud sovrane:
• GDPR – Impone rigide linee guida per il trattamento e la protezione dei dati personali dei residenti dell’UE, compresi i requisiti per i trasferimenti internazionali di dati. Impone severi requisiti di residenza dei dati che riguardano le aziende di tutto il mondo, non solo quelle all’interno dell’UE. È importante comprendere che, ai sensi del GDPR, esiste un obbligo legale per le organizzazioni di archiviare ed elaborare i dati ottenuti dagli utenti con sede nell’UE all’interno dell’UE o in giurisdizioni che garantiscono livelli comparabili di protezione dei dati. I fornitori di servizi devono tenere presente che l’invalidazione di quadri normativi come lo Scudo per la privacy UE-USA (sentenza Schrems II) evidenzia la natura dinamica e rigorosa di questi requisiti per i trasferimenti transfrontalieri di dati.
• DATA Act – La legge, in vigore da settembre 2025, mira a facilitare il passaggio dei clienti da un fornitore all’altro, migliorando la portabilità e l’interoperabilità dei dati e riducendo la dipendenza da un fornitore specifico. La prossima Legge UE sulla protezione dei dati, che entrerà in vigore a settembre 2025, mira a facilitare il passaggio dei clienti da un fornitore all’altro, migliorando la portabilità e l’interoperabilità dei dati [9].
• EU Cloud Certification Scheme (EUCS) – Mira ad armonizzare il mercato dei servizi cloud dell’UE fornendo uno schema di certificazione. Tuttavia, il suo sviluppo ha incontrato difficoltà a causa di disaccordi tra gli Stati membri in merito alle disposizioni sulla sovranità digitale, come i controlli sulla proprietà e l’immunità dal diritto non UE. Problemi simili a quelli osservati in Gaia-X potrebbero essere riscontrati anche nel tentativo meno noto di sviluppare uno schema di certificazione dei servizi cloud dell’Unione europea, dimostrando che, anziché essere anomalie, sia Gaia-X sia EUCS manifestano in realtà un problema strutturale di fondo con la svolta dell’UE verso la sovranità digitale: l’incapacità dei diversi Stati membri di concordare su una chiara linea d’azione comune.
• Direttiva NIS2 – La direttiva stabilisce i requisiti tecnici e metodologici per le misure di gestione del rischio di cybersicurezza per vari fornitori di servizi, compresi i fornitori di servizi di cloud computing, al fine di raggiungere un elevato livello comune di cybersicurezza in tutta Europa.
• Digital Servies Act (DSA) e Digital Markets Act (DMA) – Tali normative mirano a stabilire un quadro normativo armonizzato per i servizi digitali, con un impatto sui fornitori di servizi di cloud computing, introducendo obblighi in materia di trasparenza, protezione dei dati degli utenti e concorrenza. Due segmenti importanti che si completano e si integrano a vicenda devono essere letti attraverso uno specchio convesso e, precisamente: il DSA mira a stabilire un quadro normativo armonizzato per i servizi digitali, compreso il cloud computing, e a comprendere cosa siano i cloud sovrani dell’UE e come proteggano i dati in realtà; mentre, in base alla legge DMA, i gatekeeper sono tenuti a adottare misure rigorose per la privacy degli utenti e la gestione del consenso.
Approcci alle soluzioni di sovranità del cloud nell’UE
Le organizzazioni hanno a disposizione diverse opzioni per affrontare il tema della sovranità del cloud, ognuna con i propri compromessi. Ma vediamo di che si tratta.
Cloud pubblico con controlli avanzati
Si tratta di sfruttare l’infrastruttura hyperscaler esistente aggiungendo misure di sicurezza gestite dal cliente, come, ad esempio, una solida gestione delle chiavi di crittografia, i.e. BYO (Bring Your Own Key) e HYOK (Hold Your Own Key); rigide politiche di gestione dei dati; gestione dell’identità e dell’accesso (IAM- Identity & Access management) più rigorosa. Tale approccio affronta alcuni aspetti di conformità ma non elimina completamente i rischi associati alle leggi extraterritoriali come il CLOUD Act statunitense, né isola l’organizzazione da potenziali impatti geopolitici che interessano il fornitore statunitense.
Offerte sovrane UE dei principali hyperscaler
I principali hyperscaler (i.e. AWS, Microsoft, Google, Oracle) stanno lanciando offerte dedicate interamente situate all’interno dell’UE, gestite da personale residente nell’UE e progettate per soddisfare rigorosi requisiti di residenza dei dati e di autonomia operativa. Tuttavia, il controllo finale, spesso, rimane in capo alla società madre statunitense.
Un esempio in tal senso riguarda l’AWS European Sovereign Cloud, un nuovo cloud indipendente per l’Europa interamente situato all’interno dell’Unione Europea, progettato per aiutare i clienti a soddisfare le loro esigenze di sovranità in continua evoluzione, inclusi rigorosi requisiti di residenza dei dati, autonomia operativa e resilienza. Sarà interessante capire come gestire il fatto che si applica il Cloud Act statunitense. Ciò significa che, anche con una struttura GmbH, i dati UE non sono completamente al di fuori della portata della legge statunitense.
Un altro esempio: il Sovereign Public Cloud di Microsoft garantisce che i dati dei clienti rimangano in Europa, soggetti alla legislazione europea, con operazioni e accessi controllati da personale europeo e con la crittografia sotto il pieno controllo dei clienti.
Joint Venture di hyperscaler con fornitori UE
Si tratta di partnership in cui la tecnologia hyperscaler viene concessa in licenza e gestita da entità controllate dall’UE. Esempi includono “Bleu” (Microsoft, Orange, Capgemini in Francia) e “S3NS” (Google e Thales). Queste mirano a una maggiore protezione legale contro le leggi extraterritoriali.
L’idea centrale è quella di rimuovere la giurisdizione diretta degli Stati Uniti (o di altri paesi non UE) dalle operazioni quotidiane e dall’elaborazione dei dati, affidandone il controllo a un’entità UE, offrendo così una maggiore protezione legale contro le leggi extraterritoriali come il CLOUD Act e potenzialmente un maggiore isolamento dagli eventi geopolitici incentrati sugli Stati Uniti.
Fornitori di servizi cloud con sede nell’UE
Fornitori di servizi cloud con sede, operatività e domicilio legale all’interno dell’UE (ad esempio, OVHcloud, Scaleway, T-Systems, Exoscale, SpaceTime) che offrono il percorso più diretto verso la sovranità dei dati ai sensi del diritto dell’UE, semplificando la conformità e fornendo resilienza contro le tensioni geopolitiche.
Se da un lato ciò comporta un portafoglio meno ampio di servizi specializzati rispetto agli hyperscaler globali, dall’altro lato, permette di gestire direttamente le principali preoccupazioni in materia di sovranità, garantendo che sia i dati sia il fornitore che gestisce l’infrastruttura siano soggetti principalmente alle leggi e ai quadri normativi dell’UE, come il GDPR.
Di fatto, tale struttura elimina l’esposizione a legislazioni extraterritoriali come il CLOUD Act statunitense, semplifica il panorama della conformità e offre, altresì, una maggiore resilienza contro le tensioni geopolitiche.
Caratteristiche e requisiti dei cloud sovrani europei
I veri cloud sovrani europei offrono caratteristiche specifiche per soddisfare requisiti rigorosi, quali:
• Residenza e localizzazione dei dati – Garantire che i dati e tutti i metadati siano archiviati ed elaborati all’interno dei paesi membri dell’UE.
• Controllo operativo con sede nell’UE – I servizi sono gestiti e supportati da dipendenti residenti nell’UE.
• Misure di sicurezza avanzate – Garantire implementazione di protocolli di sicurezza avanzati, crittografia robusta (inclusa la gestione esterna delle chiavi per il controllo del cliente), controlli di accesso sicuri e monitoraggio continuo.
• Trasparenza – Informazioni chiare sui subappaltatori, sull’ubicazione dei data center e sui processi di controllo interno. Un buon fornitore di servizi cloud deve essere trasparente su: l’identità dei suoi subappaltatori; l’ubicazione esatta dei data center; i processi di controllo interno.
• Portabilità e interoperabilità – Evitare la dipendenza da un singolo fornitore, consentendo ai clienti di recuperare i propri dati in qualsiasi momento e supportando un’integrazione perfetta tra diversi ambienti cloud.
• Supporto locale e reattivo – Assistenza tecnica con sede locale e contatti direttamente accessibili.
• Impegno verso pratiche digitali responsabili e sostenibili – Adesione a politiche energetiche chiare e fornitura di indicatori dell’impronta di carbonio.
Prospettive future e implicazioni
La spinta verso la sovranità cloud dell’UE è una decisione strutturante per la sicurezza, la conformità e l’agilità delle organizzazioni. Essa rappresenta un cambiamento più ampio verso una gestione dei dati responsabile e conforme. Sebbene permangano delle sfide, la tendenza indica che le organizzazioni europee, in particolare nei settori altamente regolamentati e nei servizi pubblici, richiederanno sempre più soluzioni che offrano una vera sovranità, piuttosto che semplici servizi isolati. Ne consegue che il futuro panorama del cloud in Europa sarà probabilmente caratterizzato da un mix di modelli diversi, con strategie ibride e multi-cloud essenziali per bilanciare innovazione, controllo e conformità.
È doveroso evidenziare che l’ambizione dell’UE va oltre la regolamentazione delle Big Tech, puntando alla costruzione attiva di una propria infrastruttura digitale basata sui propri valori. Ciò comporta investimenti significativi in data center, ricerca e sviluppo nell’IA a basso consumo energetico e sicurezza informatica, con l’obiettivo di aumentare l’adozione del cloud europeo al 75% delle imprese entro il 2030.
Cosa aspettarci
L’adozione di un cloud sovrano è una decisione strategica che consente alle organizzazioni di rivedere e ricalibrare le proprie strategie cloud, sfruttando gli investimenti cloud esistenti e futuri per conformarsi alle normative europee e raggiungere gli obiettivi strategici. Sebbene i colossi globali come AWS e Microsoft offrano servizi di cloud sovrano nell’UE, i critici sostengono che queste soluzioni potrebbero comunque essere soggette alla giurisdizione statunitense a causa della sede legale della società madre, rendendo i fornitori veramente europei un’opzione più autentica per la piena sovranità.
