Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

vademecum

Cloud sovrano, cos’è e perché sceglierlo: la guida completa per aziende e PA

Home Infrastrutture digitali
Partecipa al dibattito
Indirizzo copiato

Non basta che i dati restino in Europa per parlare di cloud sovrano: servono stessa giurisdizione, controllo operativo e conformità. Tra servizi pubblici, imprese e mercato europeo, il percorso passa da analisi dei rischi, fiducia nei fornitori e migrazioni graduali: ecco come

Pubblicato il 18 mar 2026
Gianluca Marcellino

Demand Officer, Comune di Milano

Nicoletta Pisanu

Giornalista professionista, redazione AgendaDigitale.eu

cloud sovrano europeo; cloud sovrano sovranità digitale cloud ibrido
cloud sovrano
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • Il cloud sovrano è una priorità urgente: richiede che infrastrutture e gestori siano sottoposti alla stessa giurisdizione e riguarda sovranità digitale, cybersicurezza, controllo dei dati e rischi geopolitici.
  • Differenze chiave: cloud nazionale (es. Polo Strategico Nazionale (PSN)) è riservato alla PA, mentre un cloud trusted è certificato ma non sempre sovrano; attenzione a hyperscaler e a obblighi di compliance come ACN e GDPR.
  • Linee d’azione pratiche: distinguere data residency da data sovereignty, valutare rischi e fornitori, costruire competenze, adottare strategie multicloud, usare crittografia con chiavi controllate dal cliente e pianificare migrazioni graduali.
Riassunto generato con AI

Il cloud sovrano è un tema ormai diventato non solo prioritario, ma urgente. I rischi di non contare su se stessi vanno ben oltre il già drammatico scenario di spine staccate all’improvviso per decisione univoca. Dipendenza infrastrutturale, digitale e tecnologica. Gestione dei dati. Controllo e sorveglianza. Ingerenze giuridiche e politiche. Con tutta l’instabilità di cui il mondo ci sta deliziando, guardando a guerre, tensioni economiche e sociali, è importante arrivare a poter contare sulle sole proprie forze, soprattutto se si parla di quella che, a tutti gli effetti, è l’impalcatura principale di servizi pubblici e privati.

La consapevolezza c’è, il cloud sovrano è al centro del dibattito pubblico: ed è chiaro che non si tratta solo di mera tecnologia, ma di un intreccio tra sovranità digitale, cybersicurezza, compliance, politica industriale e rapporto con gli hyperscaler.

Dipendenza tecnologica, i rischi di non contare su se stessi in UE

Cos’è il cloud sovrano: una definizione operativa

In termini concreti possiamo definire sovrano un cloud con due caratteristiche:

  • le infrastrutture che erogano i servizi digitali, e quindi in particolare ne ospitano i dati, si trovano in un territorio sotto la stessa giurisdizione (lo stesso diritto nazionale) alla quale è sottoposta l’organizzazione che ne usa i servizi,
  • chi gestisce i servizi erogati su quelle infrastrutture (il Cloud Service Provider) è anch’esso sottoposto alla stessa giurisdizione.

Come ha spiegato il Dipartimento per la Trasformazione Digitale in un articolo precedente, servono entrambi i requisiti per considerare “italiano” un data centre, e quindi sovrani per l’Italia i servizi erogati suo tramite.

Perché tutti parlano di cloud sovrano

Un tema, come anticipato, di grande attualità: soprattutto nel contesto geopolitico ed economico di oggi, estremamente instabile, la questione del cloud sovrano non riguarda più soltanto dove si trovano fisicamente dati e infrastrutture, ma chi li controlla, secondo quali leggi e con quali garanzie. Sempre più servizi pubblici, imprese strategiche e infrastrutture critiche dipendono dal cloud, quindi affidare dati e applicazioni a piattaforme estere significa esporsi a vincoli giuridici, tecnologici e geopolitici che possono ridurre autonomia e capacità di decisione.

Il cloud sovrano, almeno nelle intenzioni, promette di rispondere a questo problema: mantenere dati, governance, sicurezza e talvolta anche l’infrastruttura sotto controllo nazionale o europeo.

Sovranità digitale italiana ed europea: le differenze

E la sovranità “europea”? In linea di principio, non esiste: finché i singoli stati dell’Unione manterranno una sovranità autonoma in ambiti chiave come la tassazione e la difesa, la sovranità, anche quella del cloud, è appannaggio del singolo stato.

D’altra parte, concretamente, ci sono molti più fornitori di servizi e infrastrutture digitali in tutta Europa che nella sola Italia, (e sembra ancora ragionevole che i paesi europei non bombardino i data centre l’uno dell’altro). Per un’organizzazione italiana è allora ragionevole aprirsi a tutti i fornitori del mercato unico, con una sola avvertenza: norme e prassi nazionali ed europee sono a volte diverse, quindi la scelta di un fornitore nazionale semplifica sempre almeno un po’ gli aspetti legali e negoziali.

Le dimensioni della sovranità digitale

Del resto, il tema della la sovranità non riguarda solo dove si trovano i server, ma chi controlla tecnologie, dati, regole, infrastrutture, mercato e processi democratici. Partendo da questo presupposto, le dimensioni della sovranità digitale si possono leggere almeno su sei piani principali.

La prima è la sovranità tecnologica: la capacità di progettare, sviluppare o almeno controllare tecnologie strategiche come cloud, semiconduttori, reti, sistemi operativi, AI e cybersicurezza, senza dipendere interamente da fornitori esterni.

La seconda è la sovranità dei dati: sapere dove stanno i dati, chi li tratta, con quali regole, e poter decidere accesso, trasferimento, conservazione e riuso. È la dimensione più citata quando si parla di cloud sovrano.

C’è poi la sovranità giuridica e regolatoria, cioè il potere di far valere le proprie leggi nello spazio digitale, imponendo standard, tutele, obblighi di trasparenza, concorrenza e sicurezza anche a operatori globali.

Una quarta dimensione è la sovranità infrastrutturale, relativa al controllo o presidio su data center, cavi, reti, satelliti, DNS, piattaforme critiche e servizi essenziali da cui dipendono PA, imprese e cittadini.

La quinta è la sovranità economico-industriale, che contempla avere filiere, competenze, investimenti e imprese capaci di generare valore nel digitale, evitando che tutto il potere di mercato e l’innovazione si concentrino altrove.

Infine c’è la sovranità intesa da una prospettiva politica e democratica: la possibilità di proteggere il dibattito pubblico, l’autonomia decisionale delle istituzioni e i diritti dei cittadini da interferenze, manipolazione algoritmica e dipendenze geopolitiche.

Cloud sovrano, cloud nazionale, cloud trusted: differenze chiave

Le definizioni di sovranità del cloud sono almeno in parte ambigue, anche perché gli operatori globali hanno un interesse commerciale a posizionarsi come fornitori di soluzioni sovrane, e i governi hanno un interesse nazionale a sostenere i propri “campioni”, anche all’interno dell’Unione Europea.

Per questo è utile distinguere tra la definizione di cloud sovrano, sopra, e quelle di due oggetti affini:

  • il cloud nazionale, particolarmente significativo e importante in Italia, e
  • il cloud “trusted”, o “di fiducia”, che esiste in ciascun paese e internazionalmente. Gli hyperscaler che propongono all’Europa i propri cloud “sovrani”, lo fanno tramite cloud fortemente trusted.

Cloud nazionale: il cloud sovrano per le pubbliche amministrazioni di ciascun Paese

Il cloud nazionale è una forma di cloud sovrano rivolta (spesso riservata esclusivamente) ai più importanti servizi digitali delle pubbliche amministrazioni di un paese, come difesa, ordine pubblico, servizi segreti, sanità, anagrafe. In Italia, il cloud nazionale coincide oggi con Polo Strategico Nazionale (PSN), un cloud:

  • sovrano, perché erogato da data centre in Italia e gestito da operatori di diritto italiano certificati: TIM e Leonardo,
  • riservato alle pubbliche amministrazioni, che devono obbligatoriamente basarvi i propri servizi che gestiscono dati “strategici” secondo la classificazione ACN, e possono usarlo per altri servizi in alternativa a quelli di mercato.

Per la sovranità è particolarmente significativo osservare che molti servizi di PSN si basano su soluzioni e servizi dei grandi hyperscaler globali: AWS, Google, Microsoft e Oracle. Per massimizzare la propria sovranità, PSN gestisce i rapporti con questi fornitori con accorgimenti particolari, descritti in maniera approfondita in questo articolo da Lucia Fioravanti, Chief Corporate Affairs Officer di PSN. Questi accorgimenti offrono verosimilmente alle pubbliche amministrazioni che adottano PSN strumenti di protezione della sovranità molto superiori a quelli che qualsiasi organizzazione potrebbe adottare e gestire da sola.

Cloud trusted, o “di fiducia”: certificato ma non sempre sovrano

Il cloud trusted, o “di fiducia” è un cloud che risponde a requisiti di certificazione particolarmente elevati, in particolare in due ambiti: la cybersicurezza e i processi di esercizio. Tutti i cloud sovrani degni di nota sono anche attentamente certificati e quindi trusted. Viceversa, visto che il cloud sovrano richiede che il gestore abbia la stessa sovranità di chi consuma i servizi, anche il più certificato tra i cloud cessa di essere sovrano per chi vuole usarlo da paesi soggetti a un’altra giurisdizione.

Ecco alcune delle principali certificazioni internazionali applicabili ad infrastrutture e servizi cloud, rendendoli trusted ma non necessariamente sovrani:

  • quelle di disponibilità delle infrastrutture e qualità dei processi per gestirle, di Telecommunications Industry Association ANSI TIA 942 e di Uptime Institute,
  • quelle ISO, sia specifiche per i servizi IT (ISO 20000 – sistemi di gestione dei servizi IT, ISO 27001 – sicurezza delle informazioni, ISO 27017 – sicurezza per i CSP, ISO 27018 – gestione dei dati personali in cloud, ISO 27035 – risposta a eventi e incidenti), sia più generali come ISO 9001, ISO 50000 e molte altre.

Il caso delle regioni cloud sovrane

Cosa succede quando un operatore globale certifica una propria infrastruttura per la sovranità di un paese? Nascono le “regioni cloud sovrane” degli hyperscaler, che in molti definiscono “sovranità in abbonamento”, che presenta alcune contraddizioni.

Alcuni hyperscaler, a cominciare da Oracle Cloud Infrastructure già nel 2022, e da gennaio 2026 AWS, stanno offrendo una infrastruttura cloud in un Paese dell’Unione, quindi a sovranità europea, e in più gestita da una società dello hyperscaler sottoposta a quella sovranità, con management e governance europei, conforme alle norme europee. I principali punti di attenzione di questo approccio sono:

  • quanto la società di gestione sovrana europea può essere effettivamente autonoma a medio e lungo termine dalla propria casa madre sotto altra giurisdizione, che potrebbe per esempio lesinarle accesso alle ultime versioni del software?
  • Quanto questa società può resistere a pressioni legali e politiche delle istituzioni del paese della casa madre, per esempio perché aumenti i prezzi o neghi ai clienti europei accesso ad alcune soluzioni, o condivida dati dei clienti europei?
  • Quanto l’uso di questi cloud mina la “sovranità economica” del mercato digitale europeo: il servizio “sovrano in abbonamento” sicuramente investe in infrastrutture nel paese sovrano, dà lavoro, e sviluppa competenze nei dipendenti e dirigenti della società europea, ma remunera e sostiene investimenti nell’ecosistema extraeuropeo dell’operatore globale.

Si tratta quindi di una soluzione intermedia, comoda per fornitori e clienti, in cui l’operatore globale si fa pienamente carico di rispettare le normative del paese sovrano destinazione oltre che quelle del paese dove ha il quartier generale, ma molto più vicina al cloud pubblico globale che non al cloud di un operatore nato e sviluppatosi in Europa.

Normativa e compliance sul cloud sovrano: la certificazione ACN in Italia

Le principali norme applicabili al cloud in Europa e in Italia sono: GDPR,  Data Act,  NIS2, e più recentemente AI Act e Digital Omnibus, con le disposizioni italiane che le recepiscono. A queste si aggiungono le norme per specifici mercati regolati, come DORA per gli operatori di servizi finanziari o la legge 90/2024 per la cybersicurezza delle pubbliche amministrazioni. In generale si tratta di disposizioni complesse, che molti considerano troppo onerose, vincoli alla competitività dell’ecosistema europeo. Uno dei motivi per adottare il cloud, per molte organizzazioni, è stato proprio che così si poteva affidare a fornitori specializzati il raggiungimento e il mantenimento della conformità a queste norme.

Per quanto riguarda specificamente il cloud sovrano, in Italia esiste lo schema di certificazione di ACN, l’Agenzia per la Cybersicurezza Nazionale, che prevede livelli diversi, ciascuno per ospitare servizi e dati di un certo livello di importanza. È rivolta alle pubbliche amministrazioni, per le quali è vincolante nella scelta di fornitori e servizi cloud.

Questa certificazione comprende anche la conformità con le norme vigenti, e richiede molte delle caratteristiche delle certificazioni di qualità che rendono le infrastrutture cloud “trusted”.

Per molte organizzazioni, quindi, anche private, una raccomandazione pratica per ridurre e gestire al meglio i rischi legati alla sovranità, è quindi di verificare con i propri principali fornitori di servizi cloud il loro livello di conformità alla certificazione ACN e, quando non la hanno, come rispettano le norme europee elencate sopra, cercando di andare il più possibile al di là della certificazione o dichiarazione formale per capire significato e conseguenze pratiche delle scelte di conformità che ciascuno compie. Tutte le volte che è difficile capire e spiegare il senso delle scelte di compliance di ciascun fornitore e il beneficio per i suoi clienti, conviene valutare fornitori alternativi.

Data residency e sovranità: perché sono concetti diversi

Data residency e data sovereignty non sono sinonimi. Indicano due concetti distinti:

  • Data residency riguarda il luogo fisico in cui i dati vengono archiviati o trattati,
  • Data sovereignity si riferisce al quadro giuridico e al controllo effettivo che si esercita su quei dati.

In altri termini, sapere che un dataset risiede in un data center situato in Italia o nell’Unione europea non significa automaticamente che sia anche “sovrano”, perché sulla sua gestione possono comunque incidere leggi straniere, obblighi imposti al provider o assetti di controllo societario esterni al perimetro europeo.

La distinzione è cruciale nel dibattito su cloud, PA e infrastrutture digitali: la residency risponde alla domanda “dove sono i dati?”, mentre la sovereignty risponde a una domanda più profonda, cioè “chi ha il potere di decidere sui dati, accedervi o imporne l’uso?”. E questo cambia tutto.

GM NP

Come rafforzare la propria sovranità nel cloud, a partire da oggi

Per qualsiasi organizzazione, migliorare la propria sovranità nel cloud vuol dire gestire i rischi legati alle dipendenze da fornitori, tecnologie e altre risorse soggette a giurisdizioni diverse dalla propria. Il primo passo di un rafforzamento della sovranità è quindi valutare, o rivalutare, questi rischi e come mitigarli.

Sulla base di questa valutazione, si potrà poi definire un piano di interventi che nella maggior parte dei casi permetterà di ottenere alcuni primi benefici significativi abbastanza rapidamente e con risorse contenute.

Valutare i rischi relativi alla sovranità: una checklist pratica per imprese e PA

Ecco una checklist degli aspetti da considerare in un’analisi dei rischi dovuti alla sovranità, e quindi per valutare l’adozione di soluzioni cloud sovrane. È costruita con il contributo di diversi operatori del settore dei servizi cloud alle imprese e alle PA:

  • BBBell, un operatore di telecomunicazioni attivo in Piemonte e Liguria, fornitore di servizi digitali infrastrutturali con un data centre Tier 3 a Torino;
  • Cloud Temple, un cloud service provider sovrano europeo basato in Francia, meglio descritto in questo articolo precedente;
  • E4 Computer Engineering, azienda emiliana all’avanguardia in HPC, IA e quantum computing, che collabora con università e centri di ricerca di tutto il mondo;
  • Hyve Managed Hosting, un operatore globale con sede nel Regno Unito che in Europa fornisce servizi sovrani tramite una società completamente indipendente con sede a Berlino, dipendenti dell’Unione, e data centre in vari paesi, compresa l’Italia;
  • IDA, l’associazione che rappresenta l’ecosistema italiano dei data centre;
  • IONOS, un grande CSP sovrano europeo, con quartier generale in Germania;
  • Leafcloud, un operatore di data centre di Amsterdam attento a mantenersi sovrano europeo e a recuperare per il teleriscaldamento il calore generato dai server;
  • Netalia. un operatore privato di servizi cloud nazionali italiani meglio descritto qui;
  • Nolan,
  • Norton Italia, CIO Advisory Services di KPMG Advisory Italia, che si occupa di ICT & Cloud Strategy, Advisory e Governance;
  • Rai Way, operatore italiano di infrastrutture digitali integrate e fornitore di servizi per la distribuzione di contenuti media;
  • TIM Enterprise, che in Italia si propone come l’operatore sovrano nazionale di riferimento.

I consigli degli esperti

Innanzitutto, Sherif Rizkalla, Presidente di IDA, sintetizza in quattro domande “semplici, ma decisive” questo “strumento di autovalutazione pragmatica”:

  • Dove sono realmente conservati i miei dati più critici?
  • Le infrastrutture su cui si basa il mio servizio sono localizzate in Italia, nell’UE o altrove?
  • Ho il pieno controllo tecnologico dei miei sistemi o dipendo da tecnologie proprietarie difficilmente sostituibili?
  • Sono in grado di garantire continuità operativa anche se un fornitore estero subisce un’interruzione?

In una prospettiva ancora semplice ma più articolata, gli ambiti principali da considerare sono: dati, competenze, fornitori, e il ruolo della conformità alle norme.

Quali domande porsi sui dati

I dati sono il punto di partenza per qualsiasi valutazione di strategia digitale – e quindi il cardine di numerosi schemi normativi, a partire da quello ACN. Occorre valutare in particolare:

  • La loro residenza, dove si trovano fisicamente: se sono nell’UE, chi li gestisce, dovunque sia, deve seguire GDPR e le altre norme dell’Unione che ne controllano l’uso.
  • La giurisdizione, o diritto, che si applica al paese dove si trovano, ma soprattutto quello che si applica all’organizzazione responsabile di gestirli (ad esempio, il gestore del cloud pubblico dove si trovano).
  • Come questo gestore esercita, sulla base del diritto identificato sopra, il controllo operativo, cioè la responsabilità di gestione, delle piattaforme applicative o infrastrutturali che permettono di accedere ai dati.
  • I flussi di dati: quali, nel corso dei trattamenti necessari per l’attività dell’organizzazione, passano da sedi fisiche extraeuropee, o dalla gestione di operatori di diritto extraeuropeo.
  • Quali sono i dati più critici rispetto ai rischi di indisponibilità prolungata, alterazione o distruzione, e consultazione non autorizzata. Vale la pena di osservare che, nella maggior parte dei casi, il semplice accesso non autorizzato ha un impatto sull’operatività minore degli altri rischi.
    Questa valutazione, ricorda Giuliano Ippoliti, CISO di Cloud Temple, va fatta con i responsabili del business.
    È un’occasione preziosa perché i responsabili dell’organizzazione comprendano il rischio concreto di perdere la disponibilità o la credibilità dei propri dati, anche nel cloud meglio gestito.
  • Chi può accedervi, e come, all’interno dell’organizzazione e tra i suoi fornitori e partner. Un aspetto essenziale per evitare accessi non autorizzati ai dati (in particolare su ingiunzione di governi extraeuropei) è la cifratura, e chi ne controlla le chiavi: meglio che non sia il gestore ma il proprietario dei dati, o un operatore fiduciario indipendente da chi gestisce la piattaforma che ospita i dati.
    Meno discusso ma ancora più importante è una gestione strutturata delle identità e degli accessi (Identity & Access Management) senza la quale è arduo anche in organizzazioni apparentemente semplici tenere sotto controllo per ciascun individuo a quali dati può accedere, magari in modi diversi.
  • A seconda della maturità, la gestione dell’intelligenza artificiale può rientrare in quest’ambito o richiedere un approfondimento separato. Si tratta innanzitutto di scegliere quali scenari è utile o necessario perseguire. (Per l’IA generativa, ad esempio, si può spaziare dalla costruzione di modelli propri, all’addestramento con dati propri di modelli già esistenti, alla “semplice” inferenza). Occorre poi verificare, come per gli altri dati, residenza, diritto, controllo operativo e flussi.
    Una domanda da porsi per i dati più esclusivi e distintivi di ciascuna organizzazione: quanto è grave se il gestore li usa per addestrare modelli analitici e decisionali che poi offre ad altri?

TIM Enterprise, in particolare, conferma che “le best practice internazionali dimostrano che a partire da queste aree è possibile ottenere rapidamente benefici concreti e ridurre le vulnerabilità iniziali.

Le competenze come fattore abilitante della sovranità

Un altro fattore chiave sono le competenze, fattore abilitante della sovranità. Lo ha segnalato in particolare Michele Zunino, amministratore delegato di Netalia: “se la sovranità è essenzialmente autonomia, poter scegliere da soli cosa fare e come, allora la sovranità nel cloud inizia e finisce dove un’organizzazione ha le competenze per scegliere e gestire servizi digitali in cloud, da sola o, più facilmente, con collaboratori di fiducia”.

Anche Sherif Rizkalla, di IDA, mette tra gli aspetti più complessi e lunghi “la costruzione della sovranità delle competenze: formare il personale interno non solo a usare il cloud, ma a governarne l’architettura.”

Oggi neanche le organizzazioni più grandi di un grande paese hanno le risorse necessarie per sviluppare e trattenere competenze approfondite su tutte le soluzioni che usano e potrebbero usare.

È bene, quindi, che ciascuna organizzazione faccia una valutazione realistica di quali competenze digitali è in grado di mantenere – al di là di quelle magari ottime dei collaboratori del momento – e soprattutto riuscirà a far evolvere verso nuove piattaforme più sovrane. Conviene concentrarsi su alcune, e per le altre ingaggiare fornitori con i quali si possa sviluppare un rapporto di fiducia e partnership adeguato. È uno dei messaggi di tutti gli operatori citati, che rivendicano capacità e volontà di assumere questo ruolo, a partire proprio da Netalia. “Il modello del cloud”, ricorda Andrea Acquaroni, Chief Product Officer di E4 Computer Engineering, “ha funzionato perché consentiva alle organizzazioni di non doversi dotare di competenze complesse e molto verticali; occorrerà quindi sviluppare modi per mantenere questo beneficio anche nel cloud sovrano”.

Perché valutare i fornitori

I fornitori sono il terzo grande ambito da valutare.

Il rischio più complesso e oneroso da gestire è quello del lock-in, la dipendenza da una singola soluzione e dal suo fornitore, approfondito in questo articolo precedente. Per gestirlo, è particolarmente utile l’uso di tecnologie e standard aperti, come API e prodotti open source con un ricco ecosistema di operatori capaci di offrire supporto. Mark Neufurth, Enterprise Strategist Public Sector di IONOS segnala ad esempio: “tecnologie di virtualizzazione native Linux, come KVM e Qemu che IONOS stessa usa, o Openstack, un portafoglio di strumenti basato su Linux per gestire e governare servizi IaaS, o Kubernetes e una gestione a container per i servizi PaaS; applicazioni open source per i servizi SaaS come ad esempio Nextcloud o OpenDesk [per la comunicazione e collaborazione]; API standardizzate REST secondo le specifiche OpenAPI, come ad esempio SECA API, avviata proprio da IONOS con Aruba e Dynamo”.

Negli ambiti più critici, come l’infrastruttura cloud stessa o le applicazioni da cui dipende tutto il business, si può pensare di adottare più di una soluzione contemporaneamente, o almeno più di un fornitore (es. multicloud); lo sottolineano sia IONOS, sia TIM Enterprise. Questo, osserva chi scrive, aumenta i costi, perché bisogna usarle nella maniera più standard possibile, rinunciando ai vantaggi peculiari di ognuna, in modo da poterle cambiare quando serve. Umberto Babuscio, Chief Broadcasting & Media e Direttore Data Center di Rai Way, sottolinea un altro aspetto essenziale: occorre preoccuparsi “anche delle tecnologie che i diversi cloud provider [sovrani] utilizzano nell’erogazione dei servizi”. Ad esempio, le soluzioni di virtualizzazione che un provider usa “potrebbero in futuro costituire un rischio di sovranità in presenza di mutamenti degli scenari geopolitici, costringendo cliente e provider a sostituirle”. Ecco perché “per i propri servizi di Virtual Private Cloud e Cloud Object Storage Rai Way ha scelto da subito tecnologie italiane o UE che garantiscono non solo affidabilità ‘funzionale’, ma un ombrello normativo di riferimento coerente con l’obiettivo di una piena sovranità”.

L’equivalente contrattuale di API proprietarie o assenti sono le clausole di uscita onerose: vincoli e penali – a volta camuffati, come uno “sconto” consistente per un impegno minimo di più anni. Conviene cercare fornitori che le escludono esplicitamente, e valutare con particolare attenzione gli operatori così grandi che ben difficilmente negozierebbero una clausola specifica con un cliente.

Le raccomandazioni

TIM Enterprise raccomanda di scegliere “Sovereign ICT Provider” nazionali e operatori con competenze certificate: cloud service provider, integratori o sviluppatori di software, che devono saper integrare tecnologie globali mantenendo una governance locale. Secondo TIM Enterprise, infatti, “i modelli più efficaci nascono infatti dalla partnership tra player tecnologici globali e aziende locali che mantengano il controllo esclusivo delle operazioni e delle chiavi crittografiche.” Per questo, propone “architetture Multi Cloud flessibili che combinano l’uso di hyperscaler per le esigenze più comuni, con soluzioni di massima sovranità basate su tecnologie proprietarie, europee e Open Source”.

Il nodo della fiducia

Un aspetto fondamentale al quale prestare attenzione, in particolare per le organizzazioni più piccole, è quello del rapporto di fiducia, con il fornitore o con un suo intermediario. In un mondo sempre più complesso e meno prevedibile può aver senso scegliere un fornitore con risorse limitate ma dimensioni confrontabili con quelle del suo cliente, così che il rapporto reciproco risulti importante per entrambi, invece di operatore che offre funzionalità più ricche e facili da usare, livelli di servizio più elevati, magari anche prezzi più bassi, grazie a una scala migliaia o addirittura milioni di volte maggiore, tale da rendere ogni singolo cliente del tutto irrilevante e sacrificabile.

Un ultimo ambito di analisi citato da molti operatori è quello della conformità alle norme e regolamenti nazionali e internazionali, descritti sopra. Quando un’organizzazione ha già analizzato e documentato questo aspetto, le informazioni di conformità possono aiutare a indirizzare e completare la valutazione di dati e fornitori. Se invece l’analisi di conformità va rivista, o è ancora da fare, saranno i risultati delle analisi per la sovranità a facilitare quella per la conformità, fornendo molte delle informazioni a supporto. Il motivo è semplice: l’obiettivo delle norme che impongono requisiti di conformità è proprio quello di costringere le organizzazioni cui si applicano a prepararsi in anticipo per affrontare rischi, come quelli di sovranità.

Da dove cominciare, e come procedere: una roadmap di interventi per migliorare la sovranità digitale

Ecco i passi con i quali qualsiasi organizzazione può cominciare subito a potenziare la propria sovranità, e organizzarsi per affrontare progressivamente la messa in sovranità dei servizi digitali più complessi.

Anche questa proposta si basa sui suggerimenti di diversi operatori, per lo più convergenti: Cloud Temple, E4 Computer Engineering, Hyve Managed Hosting, IONOS, Leafcloud e TIM Enterprise.

Per chi ha già un fornitore di servizi gestiti (MSP) di fiducia, secondo Charlotte Webb, Direttore e Fondatore di Hyve Managed Hosting il punto di partenza ideale è una sessione con loro per scegliere cosa può rimanere nel cloud pubblico, e cosa va migrato in ambienti più protetti.

Nella maggior parte dei casi, continua Webb, il portafoglio dei servizi si divide naturalmente in due: da una parte i servizi con dati sensibili, quelli sottoposti a norme e verifiche di conformità e quelli più critici per il funzionamento dell’organizzazione, che andranno migrati su infrastrutture proprie o su operatori sovrani. Dall’altra, nuovi servizi sperimentali, servizi accessori senza vincoli di confidenzialità, e la predisposizione per far scalare i servizi dal cloud sovrano in caso di necessità, possono rimanere sui cloud pubblici.

L’impatto della geopolitica sui servizi cloud

Dai primi di marzo 2026 ci siamo resi conto che c’è anche bisogno di poter spostare la sede fisica da dove vengono erogati i servizi quando è minacciata la regione geografica corrispondente. Insomma: il cloud pubblico, con la sua ridondanza globale e la flessibilità di attivazione delle risorse, rimane l’ambiente di riferimento per le circostanze eccezionali.

Anche secondo Sherif Rizkalla di IDA, durante la progettazione dell’architettura target “le organizzazioni spesso scoprono che una parte dei servizi può tranquillamente restare in cloud pubblico, mentre le componenti critiche richiedono localizzazione certa, maggiore trasparenza operativa e controlli più stringenti“.

Avviare una strategia multi cloud

Ai molti che negli anni hanno affidato servizi a uno hyperscaler globale Mark Neufurth di IONOS consiglia innanzitutto di “avviare una strategia multicloud: invece di affidare tutti i dati a un unico Cloud Service Provider, distribuire la propria infrastruttura tra più di uno, inserendone a portafoglio almeno uno sovrano europeo”. In questo modo si può fare esperienza di cosa serve modificare per migrare un servizio digitale dall’uno all’altro, e quali dei servizi proprietari di ciascuno sono più difficili da sostituire e aggravano il lock-in.
Questo, aggiunge Neufurth, “rafforza subito la sovranità e l’indipendenza, e migliora la sicurezza complessiva, in particolare in caso di disservizi di un singolo provider”.

Vista l’importanza di costruire competenze sui nuovi ambienti, e di portare a casa i primi risultati, nel piano iniziale conviene mettere per prime le cose più facili e comunque importanti, come le piattaforme di messaggistica, collaborazione e condivisione e i backup, o le soluzioni di cybersecurity, dove l’Europa vanta un’offerta ricca sia per le soluzioni, sia per gli operatori locali.

Un’altra opportunità quando si definisce il piano iniziale è decidere e comunicare che andranno sul cloud sovrano tutti i nuovi servizi in via di introduzione, come suggerisce in particolare Leafcloud. Questo aiuta sia i collaboratori, sia i fornitori a percepire che il nuovo orientamento alla sovranità è un fatto concreto.

Le misure di protezione

Tra questi primi risultati si possono introdurre misure provvisorie per proteggere dati e servizi più critici. Giuliano Ippoliti, CISO di Cloud Temple, suggerisce in particolare di lavorare con i gestori di cloud pubblico per introdurre una crittografia dei dati più sensibili con chiavi gestite dall’organizzazione stessa o tramite un fornitore di servizi fiduciari terzo.

Dopo i primi successi è importante adottare e comunicare “una strategia cloud che integri la sovranità come criterio di scelta”, continua Ippoliti, fino a “integrare la sovranità in tutti i processi di acquisto e decisione IT”. È quello che la Commissione Europea sta cominciando a fare con l’introduzione del Cloud Sovereignty Framework, ad esempio.

Gestire ERP, CRM e sistemi legacy

Servizi e applicazioni critici e complessi come ERP, CRM, e-commerce – e altri specifici di ogni organizzazione (come l’anagrafe nei comuni italiani, progressivamente consolidata in Polo Strategico Nazionale con ANPR) saranno nella maggior parte dei casi i più complessi da sostituire o migrare: cambieranno i processi e il modo di lavorare, e può essere difficile o addirittura impossibile estrarre e convertire i dati storici. Conviene quindi migrarli per ultimi, ma mettere a piano la progettazione della migrazione appena possibile dopo i primi risultati. Lo stesso vale, sottolinea Sherif Rizkalla, per “le infrastrutture legacy, quei sistemi monolitici che sopravvivono solo per inerzia”, che richiedono “un refactoring applicativo profondo”.

Cura della supply chain

Un altro aspetto che si può affrontare a lungo termine, sottolinea ancora Ippoliti di Cloud Temple, è estendere la tutela della sovranità alla catena del valore: fornitori e clienti dell’organizzazione.

I benefici del cloud sovrano per aziende e PA

In conclusione: organizzazioni pubbliche e private che vogliono proteggersi meglio dai rischi che derivano dall’uso di servizi digitali gestiti da operatori extraeuropei possono cominciare subito e ottenere presto benefici concreti. Questi benefici, oltre alla riduzione del rischio stesso, comprendono:

  • Diventano più facili, e più significative, tutte le attività di raggiungimento e verifica della conformità alle norme nazionali e di settore, molte delle quali impongono di mitigare rischi che hanno una componente di sovranità.
  • Si apre più spazio a relazioni cliente-fornitore più bilanciate di quelle possibili con grandissimi operatori mondiali, che possono portare a rapporti di fiducia e in prospettiva a partnership preziose per accedere a competenze digitali essenziali.

Soprattutto, valutare e affrontare i rischi legati alla sovranità digitale, proprio oggi che l’incertezza degli scenari geopolitici aumenta, aiuta qualsiasi impresa a comprendere e gestire l’importanza crescente dei servizi digitali per la propria attività e per la propria stessa esistenza.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Gianluca Marcellino
Demand Officer, Comune di Milano
Seguimi su
Nicoletta Pisanu
Giornalista professionista, redazione AgendaDigitale.eu

Giornalista professionista. Senior web editor per Nextwork360, caposervizio nella redazione di AgendaDigitale.eu. Scrive di cybersecurity, privacy, normative sul digitale e diritti, formazione, tecnologia e società, social network, radicalizzazione e crimini online, appalti e PA digitale.

Dal 2010 collabora come cronista di giudiziaria per il quotidiano Il Giorno, per cui fino al 2021 si è occupata anche di cronaca nera. Dal 2015 al 2017 ha collaborato come cronista di giudiziaria per l’agenzia stampa Ansa. Nel 2014 ha vinto il premio giornalistico nazionale Ucsi – Targa Athesis under 30 con un servizio realizzato in Azerbaijan per Il Reportage.

Laurea triennale in Linguaggi dei media e Laurea magistrale in Scienze sociali applicate – Criminologia e tecnologie della sicurezza entrambe conseguite all’Università Cattolica di Milano. Studia per un secondo MA in Media Studies all’Università di Leiden nei Paesi Bassi.

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • cloud orbitale digitalizzazione; infrastrutture AI; private AI evoluzione del cloud computing scelta del database cloud cloud sovranità dei dati multicloud; cloud region; egress fee datacenter in orbita

  • la guida

    Egress Fee e diritto alla migrazione: come le penali d'uscita minano l'autonomia del dato

    27 Feb 2026

    di Federica Maria Rita Livelli

    Condividi
  • privacy digital omnibus; convenzioni Consip; ISO/IEC 27701; BIM delete act california; formazione whistleblowing

  • delete act

    Privacy come infrastruttura pubblica: la California lancia DROP

    23 Gen 2026

    di Angelo Alù

    Condividi
  • infrastrutture digitali pubbliche DevSecOps nella PA

  • cyber exposure management

    Infrastrutture critiche: perché la sicurezza fisica non basta più

    27 Feb 2026

    di Carlos Buenano

    Condividi
0
Lascia un commento, la tua opinione conta.x