Quando si parla di sovranità dei dati, viene spontaneo pensare all’accezione più restrittiva dell’espressione, riferendoci principalmente al luogo in cui si trova il datacenter che li ospita. Tuttavia, il panorama attuale è molto più complesso e il significato di sovranità si è ampliato significativamente. Ne abbiamo parlato con Patrick Smith, Field CTO EMEA, che concorda sul fatto che le cose siano cambiate: “Oggi le persone non pensano alla sovranità dei dati solo in termini di dove risiedono fisicamente,” – dice – “ma prendono in considerazione anche chi gestisce e opera sui sistemi e da dove. Inoltre, ha assunto un peso importante anche la proprietà dell'azienda che gestisce i dati... e quali sono le implicazioni riguardo a chi può accedere ai dati custoditi e in quali circostanze”. Una situazione molto più articolata e complessa rispetto al passato.
I Tre Motori del Cambiamento: Rischi, Regolamentazione e Geopolitica
L'incremento dell'attenzione verso la sicurezza e la conformità aziendale non è guidato solo dagli obblighi legislativi, ma anche da una maggiore consapevolezza dei rischi operativi e le organizzazioni stanno rivalutando le proprie strategie sui dati spinte da tre motivazioni principali. La prima riguarda il crescente riconoscimento del valore e della sensibilità delle informazioni gestite, in particolare quando si tratta di dati personali, di clienti o di pazienti. La consapevolezza è accentuata da regolamenti come il GDPR. A questa pressione normativa si aggiunge l’avanzata dell’intelligenza artificiale che richiede quantità enormi di dataset e spesso solleva dubbi sul rispetto del copyright, rendendo ancora più importante conoscere con precisione dove risiedono i dati e come vengono gestiti.
A influenzare le strategie aziendali interviene anche l’effetto delle normative transnazionali, come il US CLOUD Act, in vigore dal 2018. Questa legge introduce un elemento significativo di incertezza perché consente al governo statunitense di ottenere l’accesso ai dati conservati in qualunque Paese, purché siano gestiti da un’azienda americana, creando una potenziale vulnerabilità nel controllo delle informazioni e la creazione di entità giuridiche locali non cambia di molto la situazione perché le procedure interne possono esser forzate da operatori inviati in loco.
Il terzo elemento è rappresentato dal contesto geopolitico globale, sempre più caratterizzato da una competizione serrata tra Stati Uniti, Unione Europea e Cina. Questa rivalità ha un impatto diretto sull’accesso alle tecnologie, sui dazi e su un numero crescente di regolamentazioni, spingendo le imprese a proteggere con maggiore attenzione le proprie risorse strategiche e a valutare con prudenza le scelte in ambito tecnologico e infrastrutturale.
Le Strategie Aziendali: Dalle Estremità al Centro
Secondo Smith, le maggior parte delle aziende approccia la sovranità del dato in tre modi, ma di questi solo uno si stia dimostrando sostenibile a lungo termine. C’è chi "semplicemente non se ne preoccupa" (il cosiddetto I simply don't care) e spera nel principio della "sicurezza nel numero". Molte aziende ritengono che, poiché la maggior parte dei concorrenti utilizza quasi tutti i dati sul public cloud, qualsiasi incidente coinvolgerebbe tutti, minimizzando l'attenzione sul singolo. Tuttavia, sappiamo che l’automazione permette ai criminali di gestire in maniera accurata grandi moli di dati, estraendo valore da tutte le vittime che hanno subito violazioni ricorrendo a diversi metodi di monetizzazione.
All'estremo opposto, ci sono quelle aziende che hanno previsto lo spostamento di "ogni cosa in un contesto sovrano". Una soluzione che ha molti vantaggi da un punto di vista della sicurezza e della resilienza, ma che comporta anche rischi elevati. Questa scelta impone alle aziende di abbandonare le tecnologie e i servizi offerti dall'ambiente hyperscaler, operazione che risulta costosa, dirompente e che fa perdere l'accesso all'innovazione costante e massiccia che i grandi provider cloud stanno portando sul mercato. L'innovazione è stata infatti una delle ragioni primarie che ha spinto inizialmente le aziende ad adottare il cloud e rinunciarci può comportare una perdita di competitività.
Per questo Smith si aspetta che la maggior parte delle aziende finisca per puntare su di una via di mezzo: un'architettura IT ibrida e multicloud che preveda l’integrazione degli hyperscaler con funzionalità sovrane gestibili internamente tramite un proprio data center o attraverso un Managed Service Provider (MSP) sovrano locale.
Il Rischio di Lock-in e la Sfida dell'Innovazione Locale
Purtroppo, l’efficienza e l’efficacia del modello ibrido deve fare i conti con un rischio subdolo, ma onnipresente: il vendor lock-in. I principali hyperscaler mantengono un vantaggio competitivo non tanto sui servizi di base (Infrastructure as a Service - IaaS), quanto sui servizi di livello superiore, come il Platform as a Service (PaaS), i database gestiti e i servizi SaaS. Questi servizi avanzati sono complessi e onerosi da costruire per i provider di servizi gestiti sovrani che si trovano spesso a competere sul minimo comune denominatore, ovvero l'IaaS, che offre flessibilità ma non i vantaggi strategici delle piattaforme.
Questa situazione rende difficile raggiungere quel bilanciamento nel mercato che sarebbe necessario per prevenire che la bolla geopolitica possa scoppiare poiché gli hyperscaler continuano a innovare a un ritmo superiore agli attori locali. Le leggi possono indirizzare le aziende verso l’utilizzo di risorse “sovrane”, ma la regolamentazione non crea la tecnologia e gli investimenti governativi in capacità cloud sovrane (come le iniziative sulle AI factories nell'UE) sono, rispetto agli hyperscaler, ancora esigui.
La soluzione, quindi, resta ancora lontana dallo scenario ideale e assomiglia più a un percorso decennale che a un’architettura da adottare in tempi brevi per far fronte alle emergenze che potrebbero sorgere nei prossimi mesi o anni. Ma ignorare il problema non è una opzione plausibile. L’unica possibilità è quella di perseverare e spingere affinché l’ecosistema trovi una via per svilupparsi e offrire quella tecnologia che oggi (e ancor di più domani) è vitale per le aziende.