La rapida evoluzione tecnologica degli ultimi anni ha spinto le aziende verso una massiccia adozione del cloud, un percorso che ha garantito velocità e innovazione ma che oggi impone una riflessione più profonda. Se nel recente passato l’interrogativo principale della governance aziendale ruotava attorno a dove posizionare le proprie infrastrutture cloud, lo scenario attuale ci mette di fronte a una domanda ben più complessa e urgente: quanto controllo abbiamo realmente sui nostri dati, sulle nostre infrastrutture e sui modelli di intelligenza artificiale che utilizziamo?
Per fare chiarezza su questo scenario e comprendere l’impatto reale della sovranità digitale, abbiamo fatto una chiacchierata con Franco Geraci, Head of Engineering in Bitrock, durante un recente episodio della Bitrock Tech Radio. In questa intervista, Franco ci aiuta a smontare i falsi miti legati a questo tema e a comprendere perché la sovranità digitale non sia semplicemente un tecnicismo, ma una vera e propria leva di competitività e gestione del rischio di business.
In cosa consiste concretamente il concetto di “Sovranità Digitale” e perché un’azienda dovrebbe occuparsene proprio adesso?
Per rispondere a questa domanda è necessario ribaltare la prospettiva tradizionale. Per molto tempo l’attenzione si è concentrata esclusivamente sulla migrazione al cloud, senza interrogarsi sul livello di autonomia effettiva. Oggi raggiungere la sovranità digitale significa possedere un controllo reale e soprattutto verificabile sui propri asset tecnologici. Il primo grande equivoco da sciogliere è che non si tratta di un interruttore acceso o spento, bensì di uno spettro che si misura e si articola su quattro livelli fondamentali.
Il primo livello riguarda il dato puro, ossia la sua localizzazione fisica, le modalità di protezione e l’identità di chi può accedervi.
Il secondo livello è legato all’operatività, vale a dire chi gestisce e mantiene concretamente i sistemi e da quale area geografica lo fa.
Troviamo poi il livello della tecnologia, che analizza il grado di dipendenza da un singolo fornitore o da uno specifico stack tecnologico, misurando la reale libertà dell’azienda di cambiare partner senza subire blocchi.
Infine, l’ultimo pilastro è la giurisdizione, ovvero quale quadro legislativo governa in ultima istanza i dati e i servizi.
Questo approccio multilivello genera spesso situazioni spiazzanti. Un’azienda può essere convinta di essere sovrana perché i suoi server si trovano fisicamente in Italia, ma se il provider che gestisce quel data center risponde a una legislazione extra-europea, la sovranità diventa solo apparente. La semplice residenza del dato non è più sufficiente. Proprio perché un’organizzazione può essere coperta su un livello e totalmente scoperta su un altro, oggi è cruciale muoversi per gradi, analizzando con consapevolezza quanto controllo serve davvero e in quali aree strategiche.
È un tema esclusivamente tecnico o ha un interesse strategico in ottica di business?
Questo tema ha smesso definitivamente di essere una questione puramente tecnica o di esclusiva competenza dell’ufficio IT. È diventato a tutti gli effetti un tema strategico che riguarda il business, il rischio e la competitività sul mercato, guidato da tre forze principali che agiscono in modo sinergico.
La prima forza è legata alla forte concentrazione del mercato tecnologico globale nelle mani di pochissimi grandi fornitori statunitensi. Questa asimmetria genera una dipendenza sia economica che tecnologica, il cosiddetto fenomeno del lock-in, che riduce i margini di manovra delle imprese.
La seconda spinta arriva dall’attuale clima geopolitico. In un panorama internazionale caratterizzato da tensioni commerciali, dazi e alleanze che mutano rapidamente, le forniture digitali critiche possono trasformarsi in strumenti di pressione geopolitica. Nessun vertice aziendale vorrebbe trovarsi a gestire un blocco improvviso dei propri sistemi nel momento sbagliato.
La terza forza risiede nell‘azione dell’Unione Europea, che sta spingendo con forza per la propria autonomia strategica, portando i clienti a pretendere garanzie chiare su costi, compliance, dati e accessi, in particolar modo per i clienti cosiddetti regolati.
Il controllo non può più essere solo una dichiarazione d’intenti scritta in una presentazione aziendale; deve essere dimostrabile con i fatti. Per questo motivo la sovranità digitale appartiene alle discussioni del consiglio di amministrazione. Essa tocca direttamente la continuità del business, la gestione del rischio e, in modo estremamente concreto, la stessa capacità dell’azienda di vendere e rimanere sul mercato. Oggi, nei capitolati e nelle gare d’appalto, chi è in grado di dimostrare un controllo reale vince, mentre chi non sa farlo rischia l’esclusione.
Abbiamo citato i “clienti regolati”, per questi attori la sovranità non è più una scelta arbitraria?
Esattamente. Per molte realtà la sovranità digitale non rappresenta un’opzione o una preferenza strategica, ma costituisce un severo obbligo di legge. Se guardiamo alla Pubblica Amministrazione italiana, ad esempio, l’Agenzia per la Cybersicurezza Nazionale classifica i dati in ordinari, critici e strategici. La normativa impone che i dati critici e strategici risiedano esclusivamente su infrastrutture qualificate o sul Polo Strategico Nazionale.
Questo scenario rigido si estende anche al settore privato regolamentato. Nel mondo finanziario e bancario, il regolamento DORA impone alle istituzioni di non dipendere da un unico fornitore tecnologico e di garantire sempre una via d’uscita per le infrastrutture critiche. Logiche analoghe si applicano ai settori dell’energia, dei trasporti, della sanità e delle telecomunicazioni attraverso la direttiva NIS2. Inoltre, in modo trasversale per qualunque settore, si applicano i vincoli del GDPR per la tutela dei dati personali e i dettami del neonato AI Act, che introduce obblighi estremamente precisi e stringenti per chiunque utilizzi sistemi di intelligenza artificiale in contesti considerati ad alto rischio.
Per visualizzare meglio questa complessità, possiamo pensare alla struttura di un ospedale. La cartella clinica di un paziente deve necessariamente risiedere in Italia. Le comunicazioni email e i contratti riservati possono essere ospitati all’interno del territorio europeo. Il sito web pubblico dell’ospedale, invece, può essere posizionato teoricamente ovunque. Nei contesti regolati, la norma indica la strada e precede la strategia aziendale.
Per concludere è fondamentale comprendere che adottare la sovranità digitale non significa isolarsi dal mondo o rinunciare ai benefici dell’innovazione globale. Significa, al contrario, muoversi con profonda consapevolezza, imparando a posizionare ogni asset aziendale nel posto giusto per tutelare il valore dell’impresa senza frenare la sua crescita.
_________
Ringraziamo Franco per questa introduzione sul concetto di sovranità digitale e non vediamo l’ora di riprendere l’approfondimento per affrontare altre tematiche correlate e conoscere meglio l’approccio che Bitrock e il Gruppo Fortitude si propongono di adottare per supportare i propri clienti verso il raggiungimento di una sovranità digitale consapevole ed strategicamente rilevante.
Stay tuned!