Data la sua rilevanza strategica per la sicurezza e l’economia del Paese, il Cloud PA deve poggiare su rigorosi requisiti di sicurezza, affidabilità e scalabilità. Non a caso, la Strategia Cloud Italia stabilisce che le PA possano adottare solo servizi cloud qualificati dall’Agenzia per la Cybersicurezza Nazionale (ACN). La qualifica non è un adempimento formale, ma un processo che assicura la conformità delle infrastrutture e dei servizi ai principi alle norme nazionali ed europee in materia di protezione dei dati, sicurezza cyber e continuità operativa.
Per quanto concerne i principi alla base della qualifica, le linee guida individuano una serie di fattori che vanno dalla Sovranità digitale all’interoperabilità dei servizi, fino alla riduzione del rischio di vendor lock-in, per evitare che le amministrazioni diventino dipendenti da un singolo fornitore, magari con infrastruttura cloud distribuita su scala globale e quindi soggetta a diverse giurisdizioni.
Indice degli argomenti
Sovranità digitale, il principio chiave del cloud per la PA
Un cloud per la PA si fonda, tra gli altri, sul principio di Sovranità digitale e va quindi affidato a provider in grado di garantirla.
Per Sovranità digitale s’intende la capacità di un’organizzazione (pubblica, ma anche privata) di mantenere un controllo totale su dove, come e da chi i propri dati vengano gestiti, un requisito non scontato in ecosistemi cloud sempre più interconnessi e fondati su filiere complesse di infrastrutture e fornitori. Tre i punti chiave:
- La residenza del dato, poiché l’ente deve poter stabilire in quale area geografica le sue informazioni vengano conservate, affinché ciò sia coerente con la normativa in essere.
- La giurisdizione dei dati, che va oltre la collocazione dei server: l’ente deve avere la certezza che i dati siano trattati secondo il quadro normativo della sua area di riferimento, che nella fattispecie è un insieme di norme nazionali ed europee come GDPR, NIS 2 e Cyber Resilience Act.
- La sovranità operativa. Chi eroga i servizi cloud deve offrire una gestione autonoma completa dell’infrastruttura e dei suoi processi, comprese le reti e il software, senza dipendere da una catena ramificata di soggetti terzi. Una filiera articolata, infatti, rende più difficile garantire trasparenza e controllo.
Sia pur soggetto ad alcuni vincoli, il Cloud per la Pubblica Amministrazione non si configura però come un modello rigido. Al contrario, apre a configurazioni moderne e multi-cloud capaci di bilanciare sicurezza, prestazioni ed efficienza. La compresenza ibrida di infrastrutture diverse consente infatti alle amministrazioni di combinare soluzioni differenti in base alle proprie esigenze, nel pieno rispetto del principio di sovranità.
L’ascesa del cloud europeo
L’esigenza di coniugare i benefici del cloud con requisiti di compliance e sovranità ha dato vita al concetto di cloud europeo e ai relativi provider, operatori che erogano servizi interamente sotto giurisdizione UE, con infrastrutture localizzate in Europa e una governance conforme alle normative comunitarie.
Il cloud europeo non è solo il candidato naturale per supportare la costruzione del Cloud delle pubbliche amministrazioni europee, ma rappresenta anche un punto di riferimento strategico per le aziende private. Affidarsi a un provider europeo significa infatti ridurre i rischi legali e reputazionali, semplificare la compliance propria e dei propri clienti e costruire un rapporto di fiducia basato su trasparenza, resilienza e controllo, elementi che si traducono in un vantaggio competitivo reale.
Aruba Cloud come soluzione per il Cloud della PA
Aruba Cloud è in grado di soddisfare i requisiti del cloud per la PA. Il provider, inserito da Gartner nella Market Guide for Specialty Cloud Providers 2025 e validato da IDC come major player nel Report Public Cloud IaaS 2024, conferma la sua capacità di offrire servizi progettati per rispondere alle esigenze locali e conformi ai principi normativi europei. I suoi pilastri sono:
- Residenza e giurisdizione dei dati in Italia, con totale assenza di esposizione a normative extra-UE. I dati vengono custoditi in data center di proprietà di Aruba e certificati secondo elevati standard di sicurezza e resilienza. La sicurezza fisica e logica è garantita da certificazioni quali ISO 27017, 27018 e 27035.
- Piena indipendenza da lock-in tecnologici grazie all’impiego pervasivo di tecnologie standard e open source.
- Rispetto della sovranità operativa, grazie a una gestione autonoma e interna di infrastruttura, processi e servizi.
- Qualifiche ACN di livello 3 per i servizi cloud IaaS e PaaS (QC3) e per l’infrastruttura (AI3), che consentono ad Aruba Cloud di trattare anche dati e servizi strategici della PA italiana.
Queste caratteristiche rendono Aruba Cloud non solo un provider affidabile per la trasformazione digitale del settore pubblico, ma anche un partner strategico per l’intera filiera IT (system integrator, MSP, rivenditori…) che deve assicurare ai propri clienti soluzioni conformi ai requisiti normativi nazionali ed europei lungo tutta la catena di fornitura.
A tutto ciò si aggiunge il contributo attivo di Aruba alla costruzione del cloud europeo, visto non soltanto come necessità regolatoria ma, come si è visto, anche come opportunità strategica per enti e aziende. Aruba partecipa da anni ai principali tavoli di lavoro ed è al centro del progetto SECA API (Sovereign European Cloud API), iniziativa nata per definire un set di interfacce comuni e interoperabili tra i diversi provider europei, con l’obiettivo di promuovere interoperabilità, apertura e indipendenza tecnologica. In questo modo, Aruba contribuisce a definire standard e pratiche condivise che rafforzano la competitività del sistema digitale europeo.
Contenuto realizzato in collaborazione con Aruba
