Sovranità dei dati digitali, quale ruolo per i data center italiani

La sovranità dei dati digitali è la principale componente della più generale sovranità digitale di un operatore o di un ecosistema: la capacità di quell’operatore di dipendere il più possibile da un unico diritto nazionale, e di scegliere a quali altri diritti nazionali sottomettersi, per quali operazioni, minimizzando il rischio di dover sottostare a leggi, sentenze ed altre disposizioni di autorità che rispondono a diritti nazionali diversi. Si tratta quindi, come affermava ad esempio Nunzia Ciardi, Vice Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN) al Cybersecurity Summit 2025, di gestire una interdipendenza consapevole, mettendosi in condizione di poter scegliere con chi collaborare e a chi permettere di gestire i nostri dati. 

Qual è il beneficio per un’impresa italiana, pubblica o privata, di rafforzare la sovranità sui propri dati? Il punto di partenza è la riduzione del rischio percepito: quanto siamo disposti a impegnarci per ridurre il rischio, che in ogni caso esiste?

Sovranità dei dati digitali, il percorso

Dieci anni fa, semplificando, non importava a nessuno; percepivamo la questione un po’ come avevamo vissuto in tutto il dopoguerra la sovranità militare dell’Europa occidentale: il grosso del lavoro lo facevano gli Stati Uniti, e andava benissimo così. Ora, grazie a comportamenti e messaggi inequivocabili, la percezione del rischio legato alla sovranità dei dati è cresciuta molto, come quella della sovranità militare. Per la sovranità dei dati come per la difesa consideriamo oggi importanti due rischi: quello di atti ostili di operatori esterni all’Unione Europea (compresi gli stessi USA!), e quello che gli stessi USA siano meno disponibili a difenderci in caso ai atti ostili di terzi.

Molte organizzazioni private e pubbliche, a partire dalle più grandi, e da quelle appartenenti a settori regolati (come difesa e pubblica sicurezza, energia, farmaceutica, pubblica amministrazione, sanità, servizi finanziari, telecomunicazioni), vedono la sovranità soprattutto come un aspetto della conformità alle norme (compliance). Si tratta sempre di mutata percezione del rischio: i governi, europeo e nazionali, sempre più attenti al rischio sulla sovranità, impongono a imprese e pubbliche amministrazioni di proteggersi sempre meglio.

Il ruolo della PA

Il primo esempio, ancora oggi all’avanguardia: il ruolo delle infrastrutture italiane nella sovranità dei dati della Pubblica Amministrazione

In Italia e in Europa, la pubblica amministrazione si trova all’avanguardia in questo settore, che gestisce con attenzione fin da quando le imprese sceglievano di considerare minimo il rischio di sovranità.

Fin dai tempi delle Raccomandazioni e proposte sull’utilizzo del cloud computing di DigitPA (antesignana di AgID) del 2012, e poi del Team per la Trasformazione Digitale di Diego Piacentini e Luca Attias (antesignano dell’attuale Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio dei ministri), nel 2016, il governo ha promosso per la PA italiana una strategia di qualificazione attenta (un po’ timida all’inizio, ma erano davvero altri tempi) e apertura al cloud come abilitatore dell’innovazione tecnologica e della trasformazione digitale. Con il Team, l’apertura si è rafforzata in una raccomandazione esplicita “Cloud First”, ancora oggi attiva, maturata nella Strategia Cloud Italia congiunta tra Dipartimento e ACN che, nella sua forma attuale, fa riferimento ad un’autonomia tecnologica del paese, sostanziale sinonimo di sovranità. 

L’indirizzamento dei fondi PNRR

Questa strategia ha guidato per anni, anche tramite l’indirizzamento dei fondi del PNRR, come le PA italiane possano affidarsi a servizi cloud ibridi. La strategia prevede:

• Come punto di partenza, una classificazione di importanza e impatto dei servizi digitali della PA, introdotta da AgID e dal 2022 gestita da ACN, imperniata proprio sui dati che questi trattano, classificati in “strategici”, “critici” e “ordinari”.  

• Una forte, spesso fortissima, componente di cloud pubblico erogato da hyperscaler globali, che con accorgimenti contrattuali opportuni può ospitare tutti i dati ordinari e critici.  
  (È questa componente che oggi sentiamo molto più di ieri rischiosa.) 

• Una componente di quelli che già le raccomandazioni del 2012 chiamavano “cloud di comunità”, forniti da operatori specialisti locali come le in-house, società di servizi regionali o di altri raggruppamenti, oggi prevalentemente membri di Assinter, che offrono da tempo servizi digitali infrastrutturali e applicativi all’ecosistema e sono ormai in gran parte certificati per ospitare dati critici, oltre a quelli ordinari.  
  (Sono per molti versi modelli di operatori “sovrani”, perché controllati e gestiti da organizzazioni italiane, spesso pubbliche.) 

• Per i dati “strategici”, una infrastruttura di cloud privato che usa anche istanze locali delle soluzioni degli hyperscaler, gestite in ambienti particolarmente protetti da operatori nazionali, il cui esempio principale oggi è Polo Strategico Nazionale.  

Questa strategia era quindi ben attenta alla sovranità dei dati anche quando, nello scorso decennio, questa sembrava una fisima inutile, un’ossessione superata e burocratica per rischi che i più, allora, trascuravano. All’epoca, la preoccupazione del governo riguardava meno il rischio sulla sovranità, e più gli altri rischi di sicurezza. La priorità era la “Razionalizzazione del Patrimonio ICT” il consolidamento delle infrastrutture digitali che erogano servizi per la PA, quantificati nel 2020 in 1252 “data centre”, la stragrande maggioranza dei quali (1190 su 1252, classificati nel “gruppo B”) afflitta da forti limiti di sicurezza, resilienza e semplicemente efficienza. 

Il rischio sulla sovranità

Il fatto che il rischio sulla sovranità oggi evidente sia un componente dei rischi sulla sicurezza ha permesso alla pubblica amministrazione di trovarsi all’avanguardia e mostrare la strada come modello, oltre che come regolatore, alle imprese private. Lo conferma oggi lo stesso Polo Strategico Nazionale, in un articolo di bilancio dell’anno uscito a dicembre 2025, evidenzia come il suo modello è pienamente in linea con gli sviluppi più recenti della politica della sovranità nell’UE, descritti più oltre. IL modello garantisce infatti la sovranità tramite:

• quattro data centre in Italia, gestiti dall’operatore di diritto italiano TIM Enterprise 

• il controllo esercitato dal Security Operation Center di Leonardo (e abilitato dalla crittografia che rende il contenuto illeggibile a osservatori esterni indesiderati o ostili). 

I dati sono così conservati in un ambiente chiuso, “una struttura che relega le Big tech americane – Amazon Web Services, Azure, Google Cloud e Oracle – al ruolo di semplici fornitori di software e riduce l’esposizione al Cloud Act statunitense”.

Verso un cloud sovrano  

Se la PA italiana si è posta anni prima dei privati la questione di consolidare verso un cloud almeno in parte sovrano le sue infrastrutture digitali, che indicazioni ci offre la sua storia di migrazione al cloud sui benefici ottenuti? La migrazione della PA italiana rappresenta bene la difficoltà di quantificare il beneficio relativo a un rischio che, per definizione, riguarda eventi che devono ancora verificarsi.

Nell’ecosistema della pubblica amministrazione, sostanzialmente gerarchico e orientato ad adempiere ad obblighi e conformarsi alle norme, le singole amministrazioni sono migrate al cloud più per adeguarsi a norme definite da AgID e ACN che non per una valutazione quantitativa dei benefici che sarebbero venuti dalla maggior affidabilità, resilienza e sicurezza di una infrastruttura “razionalizzata”. Senza queste norme, molte amministrazioni avrebbero probabilmente aspettato incidenti, errori, guasti mal gestiti ad infrastrutture ormai inadeguate a gestire servizi digitali sempre più critici, prima di scappare più o meno ordinatamente verso un cloud. È quello che hanno fatto (e stanno ancora facendo) tante imprese private, che hanno sperato di essere “troppo piccole per far gola ai cattivi” per poi fallire al primo attacco serio.

I benefici dei data centre italiani

In questa situazione di veloce cambiamento dei rischi percepiti, e delle norme che impongono come gestirli, quale può essere il beneficio di affidarsi a data centre “italiani” dove conservare e gestire i propri dati?

I pilastri legali che definiscono la sovranità dei dati in Italia: la prospettiva del regolatore

Partiamo dal quadro legale che definisce la sovranità digitale, e in particolare quella dei dati, in Italia. È questa a definire cosa vuol dire per un data centre essere “italiano”.

Il Dipartimento per la Trasformazione Digitale ha cortesemente contribuito a questa pagina proprio cominciando a definire “italiano”, con considerazioni che valgono per tutte le organizzazioni, pubbliche e private:

• “La sovranità dei dati non riguarda solo la residenza fisica delle informazioni ma anche la giurisdizione, le chiavi crittografiche, i processi operativi e la governance dell’intera filiera digitale”, pertanto 

• “Collocare dati e carichi su data center localizzati in Italia” e insieme gestiti “da soggetti sotto giurisdizione UE/IT facilita la conformità a GDPR, Data Act, NIS2 e Perimetro di sicurezza nazionale cibernetica.” 

Per il Dipartimento, sono fondamentali sia la localizzazione, sia la giurisdizione, perché:

• “La protezione GDPR “viaggia” con i dati; si applica anche quando i dati sono trasferiti fuori dall’UE, purché nel rispetto degli strumenti del Capo V del GDPR stesso (decisioni di adeguatezza, garanzie adeguate, deroghe)” 

• “La giurisdizione UE/IT sul gestore e sulle chiavi crittografiche riduce il rischio di accessi per effetto di leggi extraterritoriali.” 

Per il regolatore, insomma, “data centre italiano” vuol dire localizzato in Italia e gestito da un operatore di diritto italiano (cioè sottoposto alla giurisdizione italiana).

Quali sono, secondo il Dipartimento, i vantaggi che imprese e pubbliche amministrazioni ottengono dall’uso di data centre “italiani” così definiti? Chi li sceglie può “applicare in modo diretto il quadro regolatorio europeo, dal GDPR alle regole sui trasferimenti internazionali (artt. 44–46), fino alle nuove prescrizioni del Data Act, che dal settembre 2025 rende più semplice cambiare provider, ridurre il lockin e garantire interoperabilità.” (La facilità di cambiare provider è quindi un aspetto importante di questa sovranità). “Questo”, prosegue il Dipartimento, “non è un dettaglio tecnico: significa ridurre l’esposizione a legislazioni extraterritoriali e garantire che le chiavi crittografiche, i processi operativi e la governance non sfuggano a un controllo pienamente europeo.”

Un altro vantaggio, secondo il Dipartimento, è la possibilità di far riferimento alla qualificazione di fornitori e servizi per la pubblica amministrazione, definita nel Regolamento Cloud per la PA. Essenziale per le PA, che usano proprio questa qualificazione per identificare quali fornitori e servizi possono gestire i loro dati, lo schema è utile anche alle imprese che vi trovano una valutazione indipendente e aggiornata del livello di sovranità, in particolare sui dati, che ciascun fornitore offre tramite le proprie infrastrutture di data centre. È descritto in fondo alla sezione sugli standard di resilienza più oltre.

Le voci degli operatori italiani sul quadro legale della sovranità dei dati

Molti operatori, sia italiani ed europei, sia extraeuropei, propongono una propria definizione di sovranità dei dati, naturalmente anche per proclamarsi capaci di garantirla. È una conferma di quanto negli ultimi anni la questione sia diventata un fattore importante per la scelta di un fornitore di servizi digitali.

Questi operatori confermano naturalmente la prospettiva del regolatore, che completano con scorci preziosi per tutte le aziende e pubbliche amministrazioni che oggi valutano, o rivalutano, come potenziare la sovranità sui propri dati.
Riferimento principale sono naturalmente le norme europee, a partire da GDPR, direttiva NIS2, oggi completate dal Data Act. Alcuni citano anche eIDAS2 (sulla gestione delle identità digitali e degli attributi relativi, comprese le autorizzazioni a terzi per l’accesso ai dati personali di ciascuno) ed AI Act (Regolamento sull’Intelligenza Artificiale).

CDLAN

CDLAN, ad esempio, un erogatore di servizi cloud infrastrutturali, sottolinea che la semplice collocazione geografica dei dati può dare l’”illusione del controllo”; occorre anche una protezione legale e contrattuale. In particolare, l’adeguatezza alle norme diventa responsabilità dell’intera catena di fornitura del servizio, perché gli operatori più grandi devono garantire il proprio cliente anche per l’adeguatezza di quanto ricevono da altri, spesso più piccoli, che devono quindi soddisfare verifiche stringenti. Diventano allora importanti, evidenzia CDLAN, altri due aspetti:

• Certificare i processi con i quali gli operatori erogano i servizi digitali di base, ad esempio secondo ISO 27001 per la gestione dei dati, ISO 27017 per l’erogazione di servizi cloud e ISO 27018 pe la gestione della privacy.  

• Contrattualizzare tra fornitore e cliente “chi fa che cosa” negli ambiti di responsabilità condivisa dove cliente e fornitore interagiscono o si passano le consegne.  

Questo, secondo CDLAN, è molto più facile in un contesto nazionale, dove il fornitore di servizi digitali “ha le norme italiane ed europee nel proprio DNA”, condivide con il cliente l’intero quadro legislativo, lo incorpora all’origine nella propria contrattualistica e rimane disponibile per negoziare adattamenti ad esigenze specifiche.
Nel caso di un operatore globale, l’adeguatezza alle norme è a livello europeo (ben difficilmente italiano) e comunque avviene adattando una contrattualistica che è nata e si evolve in un quadro regolatorio nativo diverso, tipicamente degli Stati Uniti d’America. La rispondenza alla normativa europea rappresenta quindi un esercizio di conformità a posteriori, costruito aggiungendo clausole a un modello base, più che un quadro di principi condiviso. Infine, osserva CDLAN con altri operatori nazionali, la disponibilità di un operatore globale a negoziare disposizioni specifiche con un cliente italiano è nulla o limitata a casi molto particolari, in particolare a grandissimi contratti, e richiede al cliente di impegnare risorse legali e tecniche ingenti, alla portata di pochissimi operatori nazionali.

Per quanto riguarda in particolare le piccole e medie imprese private, così importanti in Italia, è significativo il ruolo di NIS2, recepita in Italia con il d.lgs. 138/2024: secondo Lorenzo Reali, Vendor Alliances e Marketing Director di Exclusive Networks, un distributore a valore aggiunto specializzato proprio in cybersicurezza, NIS2 è la prima normativa che sta cominciando a portare il tema della sovranità all’attenzione delle PMI, che finora si erano dimostrate più sensibili ad altre esigenze di cybersecurity: i clienti più grandi, ai quali si applica direttamente, devono infatti richiedere ai loro fornitori anche piccoli molte informazioni di sicurezza, comprese alcune che riguardano la sovranità.

Tim Enterprise

TIM Enterprise, uno dei più grandi operatori cloud ed erogatori di servizi digitali italiani, nella sua pagina su “Sovranità Digitale e protezione dati” segnala altre normative nazionali rilevanti: la legge 196/2003 o “Codice in materia di protezione dei dati personali”, adattata al GDPR tramite il d.lgs. 101/2018, e la legge 90/2024 (“Legge sulla Cybersecurity”) per il rafforzamento della cybersicurezza nazionale e la lotta ai reati informatici, che introduce misure per potenziare la resilienza delle pubbliche amministrazioni in particolare.

Per completezza: anche molti operatori globali si dichiarano pienamente capaci di soddisfare i requisiti di sovranità sui dati della legislazione europea, basandosi sugli stessi due pilastri: regioni cloud nazionali, collocate nell’UE e in particolare in Italia, e società di gestione di diritto europeo, a volte con amministratori, dirigenti e maestranze europei. Affermazioni discutibili e discusse, come si vede ad esempio in questo articolo precedente.

Il ruolo strategico dei data center italiani per la sovranità digitale

La natura “italiana” dei data centre, nel senso inquadrato sopra dal Dipartimento per la Trasformazione Digitale, porta vantaggi in diversi ambiti complementari, dalla conformità alle norme alla sicurezza, dagli standard di resilienza alla trasparenza del controllo operativo, alla riduzione della latenza nel cloud “edge” e al ruolo delle infrastrutture digitali italiane come hub digitale per il Mediterraneo. Le prossime sezioni li sviluppano uno per uno.

Conformità alle norme, a partire dal GDPR: un data center italiano semplifica la compliance… anche perché norme europee e italiane si sovrappongono!

Un ulteriore sviluppo che della prospettiva offerta dal Dipartimento sopra, che alcuni operatori nazionali sottolineano come dirimente, è che in un ambito normativo così complesso e dinamico normative europee ed italiane si sovrappongono, tanto che è possibile un conflitto tra le due, fino potenzialmente al contenzioso in tribunale tra cliente di un paese e fornitore di un altro. È questo il fattore più concreto che rende più semplice per un operatore italiano rivolgersi a un fornitore di servizi digitali, e in particolare a un operatore di data centre, italiano anziché a un operatore di qualsiasi altro stato dell’Unione.

CDLAN in particolare ha evidenziato che in questa situazione è più semplice anche fare un audit, interno o esterno, indipendente, dell’effettiva adeguatezza alle norme italiane sulla sovranità dei dati e su quella digitale in generale.

Netalia

Va nello stesso senso l’osservazione ancor più diretta di Michele Zunino, Amministratore Delegato di Netalia, operatore di servizi cloud pubblici italiani, servizi che ha costruito in modo da renderli pienamente indipendenti da quelli globali e quindi, nei termini di oggi, pienamente sovrani: “finché il disegno di una Unione Europea sempre più stretta non arriverà a riguardare ambiti chiave della sovranità nazionale, come la difesa e il fisco, la sovranità vera e propria rimarrà appannaggio degli stati anche tra i membri dell’UE attuale, e quindi ogni organizzazione italiana troverà gli operatori nazionali più semplici e vicini dal punto di vista legale e giudiziario, oltre che da quello culturale.”

Insomma: se da una parte il quadro legale e regolatorio europeo è sufficientemente ampio e articolato da permettere a qualsiasi organizzazione nazionale di preferire un fornitore di servizi di altri paesi dell’Unione a uno italiano, cioè di accedere a un mercato comune, rimane vero che per gestire rischi in evoluzione e complessi come quelli relativi alla sovranità dei dati può essere molto più semplice, soprattutto per organizzazioni medie e piccole, affidarsi a un erogatore di servizi dello stesso paese, con il quale è più facile contrattualizzare i servizi, sviluppare nel tempo un rapporto di fiducia reciproca e, al limite, affrontare un contenzioso legale.

La sicurezza come fattore di sovranità

Se la sovranità sui dati è innanzitutto mantenere il controllo su cosa ne succede, la sicurezza degli accessi a quei dati è il punto di partenza. CDLAN invita a partire dai fondamentali: il data centre è l’equivalente digitale per qualsiasi azienda di un caveau, un ambiente strettamente protetto dove garantire innanzitutto il controllo di chi entra, cosa fa quando accede, e come ha ottenuto l’autorizzazione.

Già nel corso di tutti gli anni Dieci la maggioranza delle organizzazioni pubbliche e private è passata al cloud, allora ben poco attento alla sovranità, anche e soprattutto per migliorare la propria sicurezza digitale. Come per le PA italiane, sopra, così per il settore privato, i data centre tradizionali in scantinati, capannoni o altri edifici generici, su scala relativamente piccola, sono difficili e costosi da proteggere sia da accessi fisici non autorizzati, sia da attacchi cyber. I motivi sono di due ordini:

• Per proteggere infrastrutture e servizi digitali occorre attirare, conservare e tenere aggiornate le competenze specialistiche e le procedure necessarie. Per un’organizzazione anche ricca di risorse che abbia altro come obiettivo principale, questo è difficile e costoso; meglio rivolgersi a specialisti che valorizzano risorse simili con maggior efficienza, e offrono loro un ambiente professionalmente più ricco, soddisfacendo la domanda di più clienti. 

• L’economia di scala derivante dall’aggregazione della domanda di più clienti permette di migliorare l’efficienza e ridurre i costi, in questo ambito come e più che in tanti altri.  

Oggi che l’attenzione alla sovranità è cresciuta, il fattore chiave per mantenere la sicurezza e quindi la sovranità sui dati ovunque si trovino è la crittografia, come richiamava nella sua definizione sopra il Dipartimento per la Trasformazione Digitale: crittografare i dati “in quiete” (at rest), ma anche in transito (in rete) e in elaborazione tramite servizi di gestione delle chiavi indipendenti dal gestore dell’infrastruttura che li ospita (“Bring Your Own Key”). Lo confermano diversi operatori specializzati, in particolare TIM Enterprise nella pagina citata sopra. È questa, ad esempio, la strada scelta da Polo Strategico Nazionale.

Il rapporto con gli hyperscaler

Una circostanza paradossale: gli stessi hyperscaler abbracciano questa prospettiva per migliorare le proprie credenziali di “sovranità europea”! Come ha dichiarato AWS Italia, operatori sotto giurisdizione extraeuropea sono obbligati a dare alle proprie autorità accesso ai dati dei clienti europei solo quando possono farlo, non quindi quando il cliente li crittografa con chiavi fuori dal loro controllo. Un’affermazione discutibile, naturalmente, come approfondito in questo articolo precedente.

Per quanto riguarda specificamente le infrastrutture di data centre italiane per geografia e per diritto, l’ecosistema è ricco di operatori di diritto nazionale che possono fornire servizi di gestione chiavi per dati gestiti nei data centre propri o, per i clienti che desiderano un analogo livello di protezione nel cloud pubblico o ibrido, per i dati conservati presso hyperscaler e altri operatori.

Standard di resilienza: Rating/Tier III e IV per la massima disponibilità e continuità del servizio

Un presupposto per la sovranità sui dati paragonabile per importanza alla sicurezza fisica e logica è la continuità del servizio. Se il proprietario dei dati non vi può accedere, il fatto che nessun altro possa farlo è una ben magra consolazione! Peggio, non consola affatto, perché un guasto selettivo dei servizi quotidiani di un data centre potrebbe lasciare alcuni dati ancora più esposti ad attori malevoli, capaci di aggirare quello che al cliente non specialista sembra un blocco insuperabile.

Esistono diversi schemi di certificazione dei processi e delle architetture di un data centre. Tramite questi schemi, un erogatore di servizi può far valutare da un’autorità di certificazione indipendente la capacità di mantenere sempre accessibili i dati, e attivi in generale i servizi, che gestisce per i suoi clienti. I principali nel mondo sono i “rating” di ANSI/Telecommunications Industry Association (TIA) e i “tier” di Uptime Institute, entrambi suddivisi in quattro livelli da “base” – senza ridondanze ma ben gestito con processi formalizzati e collaudati – a “Fault-tolerant” – quelli nei quali ogni componente è ridondata e processi certificati permettono di mantenere l’operatività sia durante le manutenzioni programmate, sia quando si verificano una grande maggioranza dei guasti possibili.

Lo stesso Dipartimento per la Trasformazione Digitale sottolinea l’importanza critica di queste certificazioni, rafforzata e confermata dalla direttiva NIS2 e dal consolidamento del Perimetro di sicurezza nazionale cibernetica. Queste norme, infatti, “contribuiscono a innalzare ulteriormente il livello di protezione richiesto alle infrastrutture critiche, ai fornitori e agli operatori che trattano dati essenziali per il Paese. Non si tratta più di adempimenti formali: la registrazione presso ACN, le verifiche, gli obblighi di notifica e l’adozione di misure proporzionate al rischio disegnano un ecosistema in cui la sicurezza non è opzionale, ma condizione minima per operare. 

Standard e certificati

In questo scenario, scegliere un data center italiano conforme agli standard internazionali come Uptime Institute Tier o ISO/IEC 22237, dotato di controlli fisici e logici certificati (ISO/IEC 27001, 27017, 27018) non significa soltanto ‘avere i server in Italia’; significa inserirsi in un modello regolato, verificato, qualificato e pienamente integrato con le politiche nazionali ed europee di cybersicurezza” citate sopra. 

Molti degli operatori di data centre italiani offrono servizi con questi certificati o altri analoghi. Due esempi: Aruba, che fa riferimento in particolare ad ISO/IEC 22237 e ANSI/TIA 942, e WIIT, che mantiene tra le altre le certificazioni di Uptime Institute.

Molti di questi operatori offrono anche soluzioni di disaster recovery basate sulla disponibilità di data centre diversi, in aree geografiche quanto più possibile indipendenti dal punto di vista della vulnerabilità a eventi catastrofici. Si tratta di soluzioni relativamente costose ma, come per la sicurezza, probabilmente più convenienti per chi ne ha bisogno rispetto a gestire in proprio data centre diversi, o i meccanismi di allineamento e ripristino tra data centre e cloud di fornitori diversi.

La classificazione

Essenziale per le amministrazioni pubbliche e utile anche alle imprese può essere una classificazione specificamente italiana. Si tratta della qualificazione gestita da ACN delle infrastrutture digitali delle pubbliche amministrazioni, su 4 livelli, con un catalogo degli operatori qualificati e il livello che ciascuno raggiunge. Al momento di consegnare questa pagina, a inizio gennaio 2026,

• l’unico operatore a livello 4 era Polo Strategico Nazionale, che serve solo le PA; 

• al livello 3 erano certificati tre operatori: Aruba, Leonardo e Liguria Digitale, in vario modo aperti a servire imprese private; 

• i principali hyperscaler e gestori di data centre internazionali, e qualche decina di servizi di operatori italiani, sono a livello 2. 

Trasparenza nella gestione: il controllo operativo dei data centre nazionali

L’utilità degli standard di resilienza va anche al di là di avere quanto più possibile disponibili i servizi dei data centre e quindi i dati sui quali si vuole rafforzare la sovranità: come confermano diversi operatori, mantenere standard di resilienza elevati semplifica anche il rispetto di norme e regolamenti nazionali, europei o di settore, perché molti di questi di fatto mirano a ottenere anche la resilienza, e perché per ognuna di queste certificazioni è molto utile, se non obbligatorio e oggetto di verifica, avere procedure di gestione documentate e collaudate, e personale formato per applicarle, sia per l’esercizio ordinario, sia per la gestione degli imprevisti.

Tutte queste certificazioni rappresentano quindi indicatori della formalizzazione e robustezza dei processi di gestione dei data centre. Per un’organizzazione italiana alla ricerca di un fornitore di servizi digitali infrastrutturali con buone garanzie di sovranità, queste certificazioni sono quindi un parametro importante da valutare, alla pari dell’assetto societario del fornitore e del diritto nazionale al quale è sottoposto.

Riduzione della latenza: l’importanza del cloud edge

Affidarsi a servizi di data centre collocati in Italia più o meno sovrani, compresi quindi anche quelli delle regioni cloud nazionali degli hyperscaler, offre un altro beneficio, collaterale ma significativo: le prestazioni dei servizi digitali migliorano perché il tempo necessario per scambiare richieste e risposte tra chi usa il servizio e chi lo eroga diminuisce quando il data centre che riceve le richieste e invia le risposte è a decine di chilometri, anziché a migliaia. Questo succede un po’ a causa della velocità finita con cui i segnali percorrono la distanza e un po’ per il numero maggiore di apparati e trattamenti di rete che intervengono in uno scambio a distanza maggiore.

Si parla di decine di millisecondi, naturalmente, che però possono crescere anche più di un ordine di grandezza quando le applicazioni usate sono “legacy”, cioè progettate e realizzate prima delle architetture internet, quando client e server erano al massimo a decine di chilometri gli uni dagli altri, e quindi si concedevano il lusso di scambiarsi molti più messaggi per soddisfare una richiesta di quanto non accada nelle applicazioni moderne. In mercati come quello delle piccole imprese, e soprattutto quello delle pubbliche amministrazioni, applicazioni simili sono ancora una frazione significativa del totale e questo porta a rendere molto utile per la soddisfazione degli utenti usare data centre “di prossimità”, a decine o poche centinaia di chilometri da chi consuma i servizi.  

Questo aspetto è particolarmente importante in Italia, dove crea un’opportunità significativa per potenziare e modernizzare proprio sul territorio una infrastruttura di data centre che sia insieme sovrana e di prossimità. Oggi, anche per le infrastrutture digitali, siamo il paese delle regioni, se non proprio dei campanili: ogni regione ha operatori e infrastrutture locali che sviluppano e mantengono in tutto il paese competenze sempre più richieste.

Il caso: la sanità

Si pensi alla sanità, in particolare a quella pubblica che proprio a livello regionale è gestita, e all’ultimo miglio delle telecomunicazioni, ma anche alla logistica, alla grande distribuzione e a tanti altri servizi. Se alcune di queste infrastrutture digitali sono moderne (come quelle di molti aggregatori regionali e locali di servizi alle pubbliche amministrazioni), molte altre sono più tradizionali e meno adeguate alle esigenze attuali rispetto a quelli dei grandissimi operatori statunitensi ed europei attivi in Lombardia e Piemonte.  

Il ruolo del PSN

Sarà quindi naturale, per gli operatori sovrani e per gli investitori nazionali e internazionali, indirizzare anche verso regioni molto meno sature di quelle del nordovest gli investimenti crescenti del settore dei data centre, a partire dalla stessa area romana e del Lazio.

Lo stesso Ministero dell’Industria e del Made in Italy, confermano gli operatori, oggi invita gli investitori a orientarsi in questa direzione, proprio mentre per la pubblica amministrazione Emanuele Iannetti, amministratore delegato di Polo Strategico Nazionale, conferma l’obiettivo di essere parte di un ecosistema del cloud federato con le in-house regionali per costruire un ecosistema digitale sovrano, in cui PSN mantiene un ruolo centrale e le società in-house regionali che fanno cloud cooperano per ampliare il magazzino virtuale.

Secondo Iannetti, infatti, in questo modello le in-house possono contribuire alla creazione di un’infrastruttura nazionale integrata e interoperabile, sulla quale tutte le amministrazioni possano poggiare. È il modello di cloud edge distribuito che Assinter aveva proposto già nel 2024 e che, per Iannetti, ha due benefici: da un lato le in-house mantengono il presidio del territorio, preservano il patrimonio di competenze e offrono servizi a bassa latenza; dall’altro PSN garantisce standardizzazione, sicurezza, orchestrazione nazionale e integrazione multicloud nell’ambito della convenzione.  

L’Italia come hub mediterraneo: prospettive e opportunità per le imprese

Dal 2021 circa, l’Italia è parte della seconda ondata di infrastrutture di data centre europee moderne, trainate dallo sviluppo del cloud globale. Questa ondata era partita alla fine dello scorso decennio, quando i grandi operatori mondiali, hyperscaler e colocator, cominciarono a trovare segni di saturazione e difficoltà ad aprire nuove infrastrutture, in particolare per quanto riguarda la disponibilità di nuovi allacciamenti alla rete elettrica, nei capoluoghi della prima ondata di localizzazione del cloud in Europa. (Si trattava dei 5 maggiori poli di telecomunicazioni e servizi digitali del continente: Francoforte, Londra, Amsterdam, Parigi e Dublino, o “FLAP-D”).

Oltre a “Milano” (e l’area circostante; ciascuno di questi poli occupa un’area paragonabile ad alcune province italiane anche se molti prendono il nome dal capoluogo), le principali altre regioni della seconda ondata sono “Madrid”, Svizzera, Paesi Nordici e Polonia. Come si vede dal mappamondo dei cavi di telecomunicazione a banda larga di ITU, l’Italia ha dorsali nord-sud ed est-ovest meno sviluppate di quelle che passano dalla Francia o dai Balcani, ma la sua posizione al centro del Mediterraneo le permette di candidarsi come ponte per le infrastrutture digitali tra Europa, Africa settentrionale ed Asia occidentale.

Ne deriva un’opportunità in più per le imprese italiane di servizi digitali, e per gli operatori economici e tecnologici che sviluppano le infrastrutture di data centre della seconda ondata europea: servire e raccordare la domanda crescente che il Medio Oriente già sta sviluppando, in particolare i paesi della penisola Arabica, e quella che crescerà in Nord Africa.

Il caso di Mediterra

Mediterra, nuovo operatore di data centre nato per sviluppare in particolare questa opportunità e meglio descritto in questo articolo precedente, la racconta così: “intendiamo sviluppare una rete di hub digitali in diverse città italiane”, a complemento quindi del polo di Milano, “ospitando una vasta gamma di Service Provider (xSP) tra i quali: CSP – Cloud e Content, ASP – AI e Application, NSP – di reti (network) a banda larga, terrestri e sottomarine, e SSP, di sicurezza.” 
“I nostri Data Center, di livello premium come quelli presenti a Milano, offriranno alle imprese locali un accesso semplificato ai principali fornitori di servizi digitali, evitando la necessità di concentrare le infrastrutture informatiche esclusivamente nel capoluogo lombardo. Inoltre, favoriremo la cooperazione digitale tra aziende attraverso interscambi sicuri e locali, garantendo al contempo la possibilità di collaborare con clienti e partner europei grazie alla connessione tra tutti i Data Center della piattaforma Mediterra.” 

“Per i gestori di Data Center nazionali, la nostra proposta è complementare alle strutture esistenti. Intendiamo facilitare l’accesso a un ecosistema completo di Service Provider, con particolare attenzione agli operatori [sovrani] nazionali ed europei. Attualmente, molti Data Center regionali soffrono della limitata disponibilità di fornitori, concentrati prevalentemente su Milano. La creazione di hub digitali sul territorio rafforzerà la digitalizzazione delle imprese italiane, con ricadute positive sulla resilienza e sulla sovranità digitale del Paese, oltre a creare un collegamento strategico tra i grandi Data Center dedicati a Cloud e AI e le realtà locali.” 

“Per i gestori di Data Center dell’UE, il nostro obiettivo è consolidare la presenza di attori digitali locali, nazionali ed europei, creando un’infrastruttura distribuita che integri le principali aree strategiche (oggi concentrate nei FLAP). La rete di hub Mediterra consentirà inizialmente agli operatori europei di erogare i propri servizi da remoto, sfruttando la nostra piattaforma interconnessa, e successivamente di investire direttamente nelle regioni italiane, favorendo lo sviluppo di nuovi poli tecnologici.” 

Nuove normative e sfide: il quadro regolatorio italiano ed europeo in evoluzione

Lo sviluppo delle infrastrutture di data centre italiane, sostenuto dall’esigenza di sovranità oltre che dalla saturazione dei FLAP-D, ha attirato già da qualche anno l’attenzione dei regolatori locali, a partire dalla Lombardia, e nazionali. Questo articolo precedente descrive l’importanza e la complessità della questione: il problema è soprattutto nelle procedure autorizzative attuali, frammentarie, complicate e quindi lunghe.

A settembre 2025 c’era stata un’accelerazione, quando il Ministero dell’Ambiente e della Sicurezza Energetica (MASE) aveva prospettato un intervento per semplificarle e accelerarle, all’interno di un decreto Energia che sarebbe potuto uscire anche prima della discussione della finanziaria 2025. Vedremo come le iniziative della Camera e del MASE ripartiranno nel 2026, speriamo già all’inizio dell’anno. Si prospetta l’occasione che tengano conto degli sviluppi della sovranità europea a fine 2025, che la proposta di legge delega della Camera o i decreti attuativi dei ministeri che seguiranno la sua approvazione, potrebbero recepire e valorizzare.  

A fine 2025 la sovranità europea ha accelerato e si è concretizzata

Tre iniziative di fine 2025, amministrative e politiche, hanno mostrato che l’Unione Europea sta accelerando e rendendo più concreta la difesa della sovranità digitale:

• Il 20 ottobre, la Commissione Europea ha introdotto un “Cloud Sovereignty Framework” (CSF) che lei stessa, e tutte le amministrazioni degli stati membri, applicheranno nella valutazione delle forniture di servizi digitali.  

• Il 18 novembre, i governi dei 27 paesi dell’Unione hanno pubblicato una “Dichiarazione per la sovranità digitale europea” che esprime “l’ambizione congiunta a rafforzare la sovranità digitale europea … come pietra angolare della nostra resilienza economica, prosperità sociale, concorrenzialità e sicurezza.” 

• Il 16 dicembre, la commissione ha annunciato un Data Union Strategy su tre direttrici: potenziare l’accesso ai dati per l’intelligenza artificiale, snellire le regole sui dati e, proprio, tutelare la sovranità dell’Unione Europea sui dati. 

Ci sono limitazioni importanti: il CSF promette di avere un impatto profondo sulla concorrenza tra operatori europei e globali, ma lascia ad ogni amministrazione discrezionalità su quanta sovranità richiedere per ogni appalto; la Dichiarazione esprime un “impegno politico condiviso” “non vincolante legalmente” a “guidare l’azione futura in maniera coordinata e cooperativa” – termini molto generali. Insieme, però sanciscono che la piena apertura ad operatori del mercato globale, anche quando risultino “migliori” per ricchezza di servizi offerti, espone a rischi di dipendenza significativi e va completata con una maggior importanza per la sovranità europea.

Sovranità nazionale o europea?

Ai fini di questa pagina che si concentra sulla sovranità a livello nazionale, anche in queste iniziative dell’Unione la sovranità europea rimane soprattutto a livello nazionale. Lo prova la stessa Dichiarazione: Francia e Germania, promotori e co-presidenti del vertice franco–tedesco sulla sovranità digitale europea di pochi giorni prima, dal quale questa dichiarazione unitaria nasce, si distinguono da tutti gli altri 25 paesi, con un asterisco alla primissima frase della Dichiarazione per il resto congiunta. Come volevasi dimostrare.

Cosa potrebbe mettere in discussione il quadro

Proprio alla fine del 2025 una testata specialistica internazionale, The Register, ha segnalato uno sviluppo di un contenzioso legale tra la polizia canadese e uno dei principali operatori cloud europei. Il Royal Canadian Mounted Police avrebbe chiesto ad OVHcloud di condividere dati di suoi clienti gestiti su server in Europa e altrove sulla base del fatto che l’operatore ha una filiale in Canada. L’eventuale successo di una richiesta di questo genere potrebbe mettere in discussione l’intero quadro sulla sovranità descritto in questa pagina, o quanto meno complicarlo e rallentarne lo sviluppo.

Il legame tra data centre, intelligenza artificiale e sostenibilità

L’intelligenza artificiale generativa, e la crescita della domanda e offerta di servizi di intelligenza artificiale anche per i cittadini che ne è derivata in particolare dal 2022, quando ChatGPT è stato reso disponibile al pubblico occidentale, hanno rivoluzionato completamente la prospettiva della sostenibilità dei data centre.

Nello stesso periodo, la produzione e l’accesso a dati di qualità per addestrare i servizi di intelligenza artificiale, e in particolare l’importanza di Large Language Model basati nativamente su lingue occidentali diverse dall’inglese, hanno reso l’intelligenza artificiale un aspetto importante della sovranità digitale, soprattutto proprio di quella sui dati.

Per quanto riguarda la sostenibilità, l’accelerazione della domanda dovuta ai servizi di IA generativa ha fatto crollare quello che sembrava un percorso ormai sicuro verso la piena neutralità carbonica dei data centre. Oggi in alcuni paesi, come gli Stati Uniti, gli operatori riferiscono che ai convegni non si parla quasi più di sostenibilità energetica, e poco di miglioramento dell’efficienza: il tema di fine 2025 è far crescere la potenza disponibile, compresa l’autogenerazione con reattori nucleari e celle a combustibile. Come descritto meglio in questo articolo precedente, si è passati da affermazioni come “entro il 2030 azzereremo le nostre emissioni” e “entro il 2050 avremo riassorbito tutta l’anidride carbonica generata dalla fondazione dell’azienda” a “l’energia rinnovabile disponibile sulle reti commerciali non basta a sostenere la crescita della nostra domanda”.

L’addestramento dell’AI

Per quanto riguarda la sovranità, le norme europee più recenti, e in particolare l’accelerazione di Commissione e politica UE di fine 2025, collocano l’accesso ai dati per l’addestramento di servizi IA tra gli aspetti chiave per la sovranità digitale. Anche il mercato risponde a quest’esigenza con offerte di IA “sovrane”, come Mistral, di diritto e radici francesi, completamente open source, e Fastweb+Vodafone, svizzero-italiana, che a fine maggio 2025 annunciava le prime soluzioni commerciali di intelligenza artificiale per imprese e pubbliche amministrazioni basate “su infrastrutture sovrane in Italia[, …] una piattaforma … compliant alle normative che garantiscono protezione dei dati …” e un “… modello linguistico … addestrato nativamente in lingua italiana sulla base di dati provenienti da fonti autorevoli e certificato sotto il profilo della governance”.

Gaia-X

Utile per evidenziare quanto sono stretti i legami tra sovranità sui dati, intelligenza artificiale e conformità alle norme è il contributo di Gaia-X, un’associazione di imprese e altre organizzazioni meglio descritta in questo articolo precedente.

L’associazione ha realizzato un framework per lo sviluppo di ecosistemi federati per la condivisione anche commerciale dei dati in maniera altamente controllata e fiduciaria, che ecosistemi complessi come la catena di fornitori di Airbus e quella per il nucleare di EDF – Electricité de France stanno già usando.  
Secondo il loro libro bianco di marzo 2025 The Role of Data Spaces in the Digital Economy, adottare il framework Gaia-X aiuta a: 

• sviluppare fiducia nei servizi cloud, in quelli sui dati e in quelli IA, garantendo che ogni transazione rispetti requisiti di sicurezza e conformità stringenti 

• strutturare i canali di condivisione dei dati con un’architettura decentralizzata, interoperabile e sicura che assicura che tutti i flussi di dati rimangano sotto il governo [del diritto] europeo 

• proteggere gli operatori europei da interferenze extraeuropee e da accessi non autorizzati a dati delicati, potenziando la resilienza di settori critici come la finanza, la sanità e la manifattura 

• ridurre la dipendenza da hyperscaler e fornitori di tecnologie extraeuropei, mettendo a disposizione delle imprese europee soluzioni alternative affidabili e in linea con i loro interessi strategici. 

Essere capaci di monetizzare il valore dei propri dati, per i cittadini con eIDAS2 e per le organizzazioni con regolamenti e framework come quelli dell’UE e di Gaia-X, oggi in vario modo valorizzati da operatori soprattutto globali, sarà presto uno dei pilastri anche economici di una sovranità digitale europea, e di un’economia dell’innovazione basata sui valori e le regole internazionali, e sostenibile.