Residenza dei dati e sovranità dei dati non sono la stessa cosa: a causa di questa differenza, molte aziende finiscono per commettere errori strategici. Vediamo perché
L'espressione "data center sovrano" è una di quelle formule che funzionano bene nelle presentazioni aziendali: immediata e apparentemente autoesplicativa. In effetti l'intuizione che la sostiene è corretta. In molti settori regolamentati, sapere dove i dati vengono archiviati ed elaborati è un requisito imprescindibile. Tuttavia, residenza dei dati e sovranità dei dati non sono la stessa cosa. Ed è proprio nella differenza tra questi due concetti che molte aziende finiscono per commettere errori strategici.
Secondo Gartner, la spesa globale per soluzioni di sovereign cloud raggiungerà 80 miliardi di dollari nel 2026, con una crescita annua del 35,6%. Aziende di ogni settore investono sempre più risorse per mantenere infrastrutture e carichi di lavoro all'interno dei propri confini nazionali. Le autorità di regolamentazione lo richiedono, i processi di procurement lo premiano eppure, secondo il report Thales Data Threat 2026, solo il 47% dei dati sensibili nel cloud è protetto tramite crittografia, una percentuale addirittura inferiore rispetto all'anno precedente.
Gli investimenti legati alla localizzazione dei dati stanno accelerando, mentre quelli relativi al controllo effettivo rimangono indietro. Ed è proprio questo squilibrio che rischia di compromettere molte strategie di sovranità digitale.

Questi due termini vengono spesso utilizzati come sinonimi, ma confonderli è uno degli errori più diffusi nel modo in cui le aziende affrontano la governance dei dati.
La residenza dei dati riguarda il luogo fisico in cui le informazioni vengono archiviate ed elaborate. La sovranità dei dati riguarda invece il controllo: determina chi possiede l'autorità legale e operativa sui dati, chi può accedervi, trasferirli, richiederne la divulgazione o modificare le regole che ne disciplinano l'utilizzo.
Un’azienda può rispettare pienamente i requisiti di residenza senza per questo garantire la sovranità dei propri dati. Un chiaro esempio è il Cloud Act degli Stati Uniti, che conferisce alle forze dell'ordine l'autorità di obbligare le aziende americane a fornire dati archiviati in qualsiasi parte del mondo. Un’azienda che ospita carichi di lavoro a Francoforte presso un provider soggetto alla giurisdizione statunitense può disporre di dati in Europa; ciò non significa automaticamente che tali dati siano sotto il controllo sovrano europeo. Il server è locale. La giurisdizione no.
Lo stesso principio si applica, spesso in modo meno evidente, a molti ambienti operativi complessi: piattaforme di gestione ospitate all'esterno, sistemi di identità controllati da società capogruppo straniere, processi di supporto che richiedono l'accesso di terze parti a ambienti sensibili. Ognuno di questi elementi introduce dipendenze al di fuori del perimetro di governance azienda. L'infrastruttura può essere interamente locale, mentre il controllo viene progressivamente trasferito altrove.

Il limite di una strategia di sovranità basata principalmente sul luogo in cui i dati sono conservati è che, nella maggior parte dei casi, può sembrare del tutto adeguata. Le criticità emergono solo nei momenti di maggiore pressione.
Pensiamo a una verifica normativa. I revisori non si limitano a verificare dove risiedono i sistemi: vogliono sapere chi ha avuto accesso alle risorse, quali modifiche sono state effettuate, quando sono avvenute e con quali autorizzazioni. Il report Cost of a Data Breach Report 2025 di IBM evidenzia che il 97% delle violazioni legate all'intelligenza artificiale si è verificato in aziende prive di adeguati controlli sugli accessi. Un dato che richiama direttamente problemi di governance, non di infrastruttura.
Anche il ripristino dei sistemi dopo un incidente informatico rappresenta un banco di prova importante. Le aziende che devono riportare rapidamente in funzione i propri servizi non possono limitarsi ad accelerare i tempi di recovery: devono garantire l’efficacia dei controlli di governance durante l'intero processo. Procedure di ripristino che aggirano i controlli di accesso definiti o che dipendono dall'intervento di soggetti esterni possono certamente ripristinare l'operatività, ma rischiano di indebolire la sovranità.
Esiste poi un ulteriore fattore di pressione spesso sottovalutato: il cambiamento del contesto commerciale. I fornitori evolvono, i modelli tariffari cambiano, le priorità strategiche si trasformano. Le aziende che hanno costruito una reale strategia di sovranità dispongono di margini di azione a fronte di tali cambiamenti. Al contrario, quelle che dipendono profondamente dai livelli di gestione di un singolo provider scoprono spesso di avere molta meno libertà di quanto immaginassero.

Una reale sovranità si costruisce attraverso una serie di discipline operative che non hanno nulla a che vedere con il codice postale. Il primo elemento riguarda il controllo degli accessi e delle autorizzazioni: chi può amministrare i sistemi, approvare le modifiche e verificare le attività svolte. Accesso basato su ruoli, principio del minimo privilegio, autenticazione a più fattori e separazione delle responsabilità non sono concetti nuovi.
Un aspetto altrettanto importante è il controllo crittografico, spesso poco compreso. La crittografia senza controllo delle chiavi non è sinonimo di sovranità, ma un semplice trasferimento della custodia a chiunque detenga le chiavi. La questione non è se i dati sono crittografati, ma chi controlla le chiavi, come ne viene governato l’accesso e cosa accade a tale custodia nel momento in cui cambia il rapporto con il provider.
Anche l'indipendenza operativa assume un ruolo centrale. L’azienda è in grado di aggiornare, monitorare, diagnosticare problemi e ripristinare servizi senza dipendere da componenti esterni che non governa direttamente? È proprio su questo punto che il concetto di "data center sovrano" mostra spesso i propri limiti. Non per carenze della struttura fisica, ma perché il modello operativo che la circonda introduce dipendenze invisibili.
Infine, esiste il tema della reversibilità. Avere libertà di azione significa poter cambiare direzione senza affrontare costi o complessità sproporzionati. Non si tratta di pianificare l'abbandono di un fornitore, ma di garantire che questa possibilità esista realmente.

La questione della governance dell'intelligenza artificiale ha reso questo dibattito molto più acceso. Con l'avvicinarsi dell'applicazione delle disposizioni previste dall'EU AI Act per i sistemi ad alto rischio, le domande poste dagli enti di controllo vanno ben oltre la semplice localizzazione dei dati di addestramento.
Chi controlla i pesi del modello? Chi può accedere ai prompt utilizzati per l'inferenza? Quali informazioni di telemetria vengono condivise con il provider e a quali condizioni? Quando si parla di applicazioni di AI che trattano dati sanitari, decisioni finanziarie, informazioni biometriche o servizi ai cittadini, il perimetro della sovranità deve estendersi all'intero ambiente di inferenza e non limitarsi al solo dato sottostante.
Questo è il motivo per cui l’AI accelera, piuttosto che complicare, il dibattito sulla sovranità. Gli stessi controlli che definiscono una reale sovranità dei dati - autorità, custodia delle chiavi, indipendenza operativa e governance dimostrabile - sono esattamente gli elementi che gli enti di controllo richiederanno per valutare i sistemi AI ad alto rischio.
Un errore comune frequente consiste nel considerare la sovranità come un requisito uniforme per tutti i sistemi aziendali. Una piattaforma marketing rivolta al pubblico non richiede lo stesso livello di controllo necessario per un sistema di transazioni finanziarie o un database sanitario nazionale. L’applicazione indiscriminata dei massimi livelli di isolamento genera costi e complessità aggiuntivi senza produrre benefici proporzionati.
L’approccio più efficace consiste nel classificare i carichi di lavoro, individuando i sistemi che richiedono i più elevati livelli di sovranità e applicando loro controlli rigorosi, pur preservando la necessaria flessibilità per tutti gli altri sistemi. È questo allineamento tra livello di sicurezza e rischio per l’azienda che rende i programmi di sovranità sostenibili nel tempo e realmente efficaci.
L'espressione "data center sovrano" continuerà a far parte del lessico tecnologico, e a ragione. L’ubicazione fisica dei dati rimane un elemento importante per soddisfare gli obblighi di residenza dei dati, garantire la sicurezza delle supply chain digitali e gestire i carichi di lavoro regolamentati che richiedono basse latenze.
Ma la sovranità non è un luogo fisico. È una capacità operativa: il controllo su chi può accedere ai sistemi, la custodia delle chiavi crittografiche, l’autonomia nelle operazioni quotidiane, una governance dimostrabile e verificabile in sede di audit, nonché la libertà di cambiare strategia quando le circostanze lo richiedono. Le aziende che riescono a implementare in modo efficace la considerano una disciplina ingegneristica e organizzativa, non una semplice scelta di procurement.
Sammy Zoghlami (ritratto nella foto di apertura) è Senior Vice President Emea di Nutanix
Esplora altri articoli su questi argomenti
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato