Data center sovrano: la posizione geografica non basta per garantire la sovranità | BusinessCommunity.it
BusinessCommunity.it

22/07/2026

idee

Data center sovrano: la posizione geografica non basta per garantire la sovranità

Zoghlami (Nutanix): residenza e sovranità dei dati non sono la stessa cosa. Servono strategie di controlli operativi, non la sola ubicazione

Molti manager dormono sonni tranquilli pensando che un server situato fisicamente a Milano o Roma sia garanzia di totale protezione. Questa convinzione si scontra spesso con una realtà tecnica e legale molto più complessa, dove il confine geografico conta meno del controllo operativo. Sammy Zoghlami, Senior Vice President EMEA di Nutanix, osserva con precisione: "residenza dei dati e sovranità dei dati non sono la stessa cosa. Ed è proprio nella differenza tra questi due concetti che molte aziende finiscono per commettere errori strategici". Non basta sapere dove dormono i bit se qualcun altro possiede le chiavi di casa.

Il mercato del cloud sovrano è in una fase di espansione frenetica. Gartner stima che la spesa globale per queste soluzioni raggiungerà gli 80 miliardi di dollari nel 2026, con una progressione annua del 35,6%. Le imprese investono per blindare i carichi di lavoro entro i confini nazionali, spinte dalle normative e dai requisiti di procurement, ma i risultati sulla sicurezza effettiva sono altalenanti. Il report Thales Data Threat 2026 evidenzia che appena il 47% dei dati sensibili nel cloud utilizza la crittografia. Questo dato è addirittura peggiorato rispetto all'anno scorso, segno che ci si concentra troppo sul contenitore e troppo poco sul contenuto.
Le aziende accelerano sulla localizzazione mentre trascurano il controllo reale. Zoghlami sottolinea che questo squilibrio mette a rischio la sovranità digitale. Esiste un divario netto tra la residenza, ovvero il luogo fisico di archiviazione, e la sovranità, che riguarda l'autorità legale e la capacità di decidere chi accede alle informazioni. Molte organizzazioni rispettano i vincoli geografici ma perdono la battaglia della governance.

Un caso emblematico è lo US CLOUD Act. Questa legge permette alle forze dell'ordine degli USA di obbligare i provider americani a consegnare dati archiviati ovunque nel mondo. Un'azienda che sceglie un fornitore statunitense con server in Germania o in Italia risponde comunque alla giurisdizione d'oltreoceano. Zoghlami chiarisce bene questo paradosso: "ciò non significa automaticamente che tali dati siano sotto il controllo sovrano europeo. Il server è locale. La giurisdizione no". Il rischio si estende ai sistemi di identità controllati da case madri straniere o a piattaforme di gestione ospitate esternamente. L'infrastruttura sembra locale, ma il potere decisionale è già volato via.


La vera prova di una strategia basata sul cloud sovrano non avviene durante la routine quotidiana. Le falle emergono sotto pressione, ad esempio durante un audit normativo. I revisori non guardano solo le coordinate GPS dei data center: analizzano chi ha toccato i dati e con quali permessi. Il Cost of a Data Breach Report 2025 di IBM rivela che il 97% delle violazioni legate alla AI colpisce realtà prive di controlli rigorosi sugli accessi.
Anche il ripristino dopo un attacco informatico è un momento critico. Recuperare i sistemi velocemente non serve a nulla se durante il processo si scavalcano le regole di governance o se si dipende totalmente da un soggetto esterno per ripartire. C'è poi il tema commerciale: i fornitori cambiano listini e strategie. Chi ha costruito una vera sovranità può cambiare strada, chi è legato a un solo provider scopre di essere in una gabbia dorata.


Essere sovrani richiede una disciplina che va oltre il semplice contratto di affitto di uno spazio rack. Il primo pilastro è il controllo degli accessi. Sapere chi può amministrare i sistemi e verificare ogni singola modifica è essenziale per la sicurezza dei dati B2B.
- controllo delle chiavi crittografiche per evitare che la custodia sia in mani terze; - indipendenza operativa per poter aggiornare e monitorare i sistemi senza aiuti esterni; - gestione delle identità basata sul principio del minimo privilegio; - capacità di reversibilità per cambiare fornitore senza costi sproporzionati; - tracciabilità totale delle operazioni svolte da remoto.
Senza il possesso esclusivo delle chiavi crittografiche, la protezione è solo un'illusione ottica fornita dal provider. L'indipendenza operativa permette di diagnosticare problemi e ripristinare i servizi in autonomia. Se il data center dipende da componenti che l'azienda non governa, la sovranità svanisce.


L'avvento della AI ha alzato la posta in gioco in modo drastico. Con l'arrivo dei regolamenti legati allo EU AI Act per i sistemi critici, le autorità chiederanno molto più della posizione dei server. Occorre sapere chi controlla i pesi dei modelli, chi accede ai prompt e quali informazioni di telemetria finiscono ai produttori del software. Quando si trattano dati sanitari o finanziari, la sovranità deve coprire l'intero processo di calcolo.
Zoghlami spiega che la AI accelera il dibattito: i controlli necessari per la governance dell'AI sono gli stessi che definiscono la sovranità dei dati. Eppure, non serve blindare tutto allo stesso modo. Applicare i massimi livelli di isolamento a un sito web pubblico è un inutile spreco di risorse. Una strategia intelligente classifica i carichi di lavoro in base al rischio. I sistemi vitali richiedono muri altissimi, mentre per il resto serve flessibilità.


La geografia resta un fattore, ma non può essere l'unica bussola. La posizione fisica dei server serve per la latenza e per alcune leggi sulla residenza dei dati, ma non sostituisce la capacità ingegneristica di gestire la propria infrastruttura. La sovranità è un muscolo che va allenato quotidianamente con la governance e l'autonomia nelle operazioni. Le aziende che vincono sono quelle che smettono di guardare le mappe e iniziano a guardare i propri processi interni.
Un approccio proporzionato al rischio

Un errore comune frequente consiste nel considerare la sovranità come un requisito uniforme per tutti i sistemi aziendali. Una piattaforma marketing rivolta al pubblico non richiede lo stesso livello di controllo necessario per un sistema di transazioni finanziarie o un database sanitario nazionale. "L'applicazione indiscriminata dei massimi livelli di isolamento genera costi e complessità aggiuntivi senza produrre benefici proporzionati", afferma Zoghlami. "L'approccio più efficace consiste nel classificare i carichi di lavoro, individuando i sistemi che richiedono i più elevati livelli di sovranità e applicando loro controlli rigorosi, pur preservando la necessaria flessibilità per tutti gli altri sistemi". È questo allineamento tra livello di sicurezza e rischio per l'azienda che rende i programmi di sovranità sostenibili nel tempo e realmente efficaci.


La geografia è un fattore, non una strategia

L'espressione "data center sovrano" continuerà a far parte del lessico tecnologico, e a ragione. L'ubicazione fisica dei dati rimane un elemento importante per soddisfare gli obblighi di residenza dei dati, garantire la sicurezza delle supply chain digitali e gestire i carichi di lavoro regolamentati che richiedono basse latenze.
"Ma la sovranità non è un luogo fisico. È una capacità operativa: il controllo su chi può accedere ai sistemi, la custodia delle chiavi crittografiche, l'autonomia nelle operazioni quotidiane, una governance dimostrabile e verificabile in sede di audit, nonché la libertà di cambiare strategia quando le circostanze lo richiedono. Le aziende che riescono a implementare in modo efficace la considerano una disciplina ingegneristica e organizzativa, non una semplice scelta di procurement", conclude Zoghlami.


Copertina BusinessCommunity.it
Sommario del magazine di questa settimana

Idee e Opinioni

Fare Business

Marketing

Digital Business

Finanza e investimenti

Sport Business

Leisure

BusinessCommunity.it - Supplemento a G.C. e t. - Reg. Trib. Milano n. 431 del 19/7/97
Dir. Responsabile Gigi Beltrame - Dir. Editoriale Claudio Gandolfo
Politica della Privacy e cookie