Il termine cloud sovrano è diventato uno dei più utilizzati nel mondo della tecnologia enterprise. Quasi tutti i principali provider hanno investito molto per promuovere la propria versione, promettendo dati “residenti localmente” o “confinati in Europa”. Ma la domanda fondamentale resta: cosa significa davvero sovranità del cloud? Per governi, regolatori e aziende che gestiscono dati sensibili, distinguere tra ciò che viene commercializzato come sovrano e ciò che lo è realmente è cruciale.
Il predominio degli hyperscaler statunitensi in Europa rende la questione ancora più urgente. Amazon Web Services, Microsoft Azure e Google Cloud controllano insieme oltre due terzi del mercato europeo del cloud computing, alimentando preoccupazioni sul controllo giurisdizionale e sui limiti delle offerte cloud dichiarate “europee”. Con una domanda crescente di sovranità e resilienza, l’Europa deve chiedersi come costruire un ecosistema cloud più equilibrato e indipendente.
Definire la vera sovranità Il cloud sovrano non riguarda solo il luogo in cui i dati risiedono fisicamente, ma anche chi ha autorità legale su di essi e le dipendenze correlate, inclusi tecnologia, supply chain e vendor lock-in, che possono abilitare o limitare la libertà d’azione così come la sovranità viene intesa.
La residenza dei dati risponde alla domanda “dove”, la sovranità rimanda invece al “chi” e “fino a che punto”. Questa distinzione è cruciale quando si considerano i diversi aspetti della sovranità. Si prenda, ad esempio, la questione dell’autorità legale alla luce di normative come il CLOUD Act statunitense e la Sezione 702 del Foreign Intelligence Surveillance Act (FISA).
Entrambe le normative consentono ai tribunali e alle agenzie statunitensi di richiedere a società con sede negli Stati Uniti di fornire accesso ai dati relativi a indagini tramite mandati o altri strumenti legali, anche quando tali dati sono ospitati all’estero. In pratica, una banca europea, una struttura sanitaria o un ente pubblico che utilizza servizi cloud americani potrebbe non essere in grado di sapere con certezza se alcuni dati di cittadini europei siano stati condivisi con autorità statunitensi, anche se fisicamente conservati in Europa. Per chi gestisce informazioni sensibili, questo non è un rischio teorico, ma una concreta questione di compliance e fiducia.
La vera sovranità richiede dunque molto più del semplice hosting locale. Richiede che infrastruttura e giurisdizione siano allineate con il contesto legale del cliente. Richiede inoltre interoperabilità e portabilità tra ambienti cloud, consentendo alle organizzazioni di scegliere dove e come eseguire i carichi di lavoro senza essere vincolate a un unico provider. Richiede anche trasparenza sulla tecnologia sottostante e sulla supply chain, nonché la capacità di gestire i rischi e ridurre dipendenze o concentrazioni.
Le domande ancora aperte Per questo motivo esistono ancora molte domande sulle offerte “sovrane” dei grandi hyperscaler globali. I provider hanno lanciato iniziative che sottolineano un maggiore controllo europeo o
partnership con entità locali. Tuttavia, poiché le società madri rimangono soggette alla legge statunitense, i clienti continuano a temere l’esistenza di un gap giurisdizionale.
In altre parole, un involucro “sovrano” attorno a fondamenta non sovrane non risolve completamente il problema in ogni caso. I clienti possono ottenere maggiori garanzie sulla posizione dei dati o sull’indipendenza operativa, ma a meno che l’entità operativa non sia legalmente isolata da giurisdizioni straniere e non consenta ai clienti di compiere scelte autonome, il concetto di sovranità rimane parziale. Per carichi critici – come quelli del settore pubblico, delle industrie regolamentate e delle applicazioni di AI – affidarsi a cloud controllati dagli Stati Uniti introduce rischi operativi e di compliance che non possono essere completamente eliminati con il solo hosting locale.
Perché è importante ora La rapidità di crescita del mercato rende urgente maggiore chiarezza. Il mercato globale del cloud sovrano dovrebbe crescere da 154,69 miliardi di dollari nel 2025 a 823,91 miliardi di dollari entro il 2032. La sola Europa rappresentava circa il 37% del mercato globale nel 2024. Questa crescita riflette la crescente domanda di ambienti sicuri e affidabili, in particolare in Europa, dove regolamenti come DORA, GDPR e Data Act enfatizzano il controllo locale, la gestione del rischio, la trasparenza della supply chain e il rischio di concentrazione. L’Unione Europea, per esempio, ha reso la sovranità digitale una priorità strategica, mentre Paesi come Germania e Regno Unito stanno esplorando framework per garantire che i loro asset di dati critici non possano essere soggetti a rivendicazioni legali estere. La direzione è chiara: la sovranità deve essere definita ed applicata, non data per scontata.
Standard chiari ed ecosistemi più solidi Ciò che oggi manca è un quadro coerente che definisca cosa costituisce davvero un cloud sovrano. Gli Stati membri dell’UE hanno creato schemi di certificazione cloud come C5 in Germania e SecNumCloud in Francia, che includono criteri di sovranità. La DGIT, il servizio IT della Commissione Europea, ha fatto un tentativo significativo nel contesto degli appalti per definire la sovranità sotto forma di una scala di requisiti. Tutti questi tentativi, pur positivi, dimostrano la frammentazione del mercato europeo. I clienti si trovano spesso a navigare tra affermazioni contrastanti e linguaggi tecnici complessi, senza standard chiari per il confronto. Un vero cloud sovrano dovrebbe garantire che i dati siano controllati, accessibili e governati esclusivamente all’interno della giurisdizione del cliente.
Raggiungere questo obiettivo non significa rinunciare all’innovazione globale. Significa consentire ai provider locali di offrire servizi che soddisfino i criteri di sovranità senza compromessi. I cloud service provider europei come Redcentric e ANS sono ben posizionati per svolgere questo ruolo. Operando sotto quadri legali e di conformità locali e investendo a livello locale, possono offrire alle organizzazioni un reale controllo sui propri dati. In molti casi, questo controllo si realizza al meglio attraverso ambienti di private cloud, dove infrastruttura, governance e autorità operativa possono essere allineate direttamente ai requisiti di sovranità.
I vendor tecnologici hanno un ruolo nel supportare questo ecosistema. Fornendo piattaforme, software di infrastruttura e framework di interoperabilità, possono potenziare i provider locali senza diventare essi stessi operatori. Questa distinzione è importante: evita l’intreccio con giurisdizioni
straniere e favorisce un ambiente in cui la sovranità è incorporata nel design, anziché aggiunta in un secondo momento.
Un futuro sovereign-by-design Con l’evoluzione del mercato, l’attenzione si sposta dalla domanda se il cloud sovrano esista alla domanda se risponda veramente alle esigenze dei clienti. Le affermazioni su hosting locale e compliance devono essere verificate alla luce del controllo giurisdizionale. I servizi cloud devono essere progettati per la sovranità fin dalle fondamenta, con strutture di governance allineate ai dati che proteggono.
Il dibattito sul cloud sovrano riguarda qualcosa di più della tecnologia. Riflette questioni più ampie di fiducia, indipendenza, sviluppo delle competenze, crescita economica, resilienza e controllo nell’economia digitale. Per aziende e governi, andare oltre il marketing sarà essenziale per garantire che la sovranità sia reale, non solo retorica.
A cura di Martin Hosken, Field CTO, Broadcom
