La sovranità digitale non può più essere considerata un tema tecnico, ma riguarda direttamente il governo dell’impresa, perché tocca rischio legale, continuità operativa, potere contrattuale e capacità competitiva.

Negli ultimi dieci anni la tecnologia ha promesso alle imprese soprattutto una cosa: semplificare. Cloud, software in abbonamento, intelligenza artificiale hanno reso tutto più rapido, più flessibile, più facile. Questa semplificazione ha avuto tuttavia un costo meno visibile: la concentrazione di dati, processi e infrastrutture critiche nelle mani di pochi fornitori, quasi tutti esterni al perimetro giuridico europeo. Così, la sovranità digitale non può più essere considerata un tema tecnico, ma riguarda direttamente il governo dell’impresa, perché tocca rischio legale, continuità operativa, potere contrattuale e capacità competitiva.

Tre domande che ogni amministratore dovrebbe porsi

La prima domanda è semplice: cosa succede se un’autorità straniera chiede accesso ai nostri dati? Difficilmente potrebbe opporsi, perché un server europeo non basta a sottrarre i dati al CLOUD Act statunitense se si lavora con quei fornitori, eppure il GDPR ne limita il trasferimento verso paesi terzi sulla base di decisioni straniere non riconosciute dall’Unione. Il conflitto è tutto qui: se i dati vengono trasferiti, si rischia di violare il GDPR; se non vengono trasferiti, il fornitore si espone a sanzioni negli Stati Uniti e il cliente può perdere il servizio. Per un CEO il punto è questo: non è un problema tecnico, ma un rischio legale e reputazionale che può emergere all’improvviso e trasformarsi in una crisi pubblica.

Questo ci porta alla seconda domanda: siamo pronti alle nuove regole europee? NIS2, DORA, Cyber Resilience Act e AI Act segnano un cambio di scala: la prima estende gli obblighi di cybersicurezza a un numero molto più ampio di organizzazioni, la seconda rafforza la resilienza operativa del settore finanziario e dei suoi fornitori tecnologici, la terza impone nuovi requisiti ai prodotti con componenti digitali, la quarta introduce regole per lo sviluppo e l’uso dei sistemi di intelligenza artificiale. Non si tratta di raccomandazioni, ma di obblighi giuridici veri e propri, con sanzioni che possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale: la responsabilità non resta più nell’IT, arriva agli organi di amministrazione. Per un CEO, la domanda non è più se l’azienda abbia un buon reparto tecnico, ma se possa dimostrare di avere una governance adeguata dei rischi digitali. Se non può farlo, il rischio diventa anche personale.

La terza domanda è economica: quanto siamo davvero liberi di cambiare fornitore? Quando il 65% del mercato è concentrato nelle mani di tre attori, entrare è facile ma uscire costa, perché i servizi sono pensati per funzionare bene dentro lo stesso ecosistema con un conseguente irrigidimento del rapporto: il fornitore non è più solo un partner ma diventa una dipendenza, che da tecnologica può trasformarsi in finanziaria. Per il CFO significa meno margine negoziale, meno prevedibilità, più vulnerabilità a rincari e cambi di condizioni.

In Italia questa discussione pesa di più perché il sistema produttivo è fatto soprattutto di medie imprese inserite in filiere complesse e sempre più esposte a gare, audit e richieste documentali stringenti. Per queste aziende la compliance non è burocrazia: è accesso al mercato. Chi arriva preparato non solo evita sanzioni, ma conquista contratti che altri non riescono nemmeno a giocarsi. Chi resta indietro rischia invece di essere escluso per via contrattuale. Per questo va chiarito un punto: la sovranità digitale non è uno slogan né la semplice localizzazione di un server,  è controllo. Chi decide, chi può accedere ai dati, chi tiene le chiavi, chi risponde in caso di crisi, quale margine di autonomia resta all’azienda. La differenza è tutta qui: tra chi conserva la possibilità di scegliere e chi scopre troppo tardi di averla persa.

La strada di Sielte

In questo scenario, alcuni operatori italiani stanno costruendo una proposta diversa, calibrata su esigenze che il mercato esprime con sempre più forza. Sielte occupa una posizione particolare in tal senso: oltre quarant’anni di presenza nel mercato italiano delle telecomunicazioni e delle infrastrutture critiche, una proprietà interamente italiana, una governance che resta nel perimetro nazionale. Oggi questo non è un dettaglio identitario, ma un fatto giuridico e operativo. In un mercato in cui il punto decisivo è la giurisdizione, sapere dove si ferma la catena di comando cambia la natura del rischio.

A questo si aggiunge la coerenza della filiera. La scelta di lavorare con partner italiani non risponde a una logica autarchica, ma a un principio di continuità: se la sovranità digitale ha un significato concreto, non può fermarsi a un solo segmento dell’architettura, ma deve riguardare l’intera catena del valore. C’è infine il tema della presenza: anche nell’economia del cloud, il territorio conta ancora, nella capacità di intervento, nella prossimità operativa, nella possibilità di avere un interlocutore che si muove nello stesso contesto normativo e organizzativo.

In fondo, il posizionamento risponde alle tre domande da cui siamo partiti. Sul piano giuridico, un operatore italiano non controllato da soggetti extraeuropei riduce alla radice un rischio che, con altri fornitori, può solo essere attenuato: quello di restare esposti a obblighi derivanti da giurisdizioni esterne. Sul piano della conformità, la differenza sta nel progettare servizi e processi a partire dal quadro normativo europeo, invece di rincorrerlo quando arriva un audit o una richiesta documentale. Sul piano industriale, infine, la posta in gioco è l’indipendenza al fine di evitare che una parte troppo critica del business dipenda interamente da un solo fornitore.

Conviene però evitare semplificazioni. Nessuna norma europea obbliga a scegliere un fornitore italiano o europeo: le regole impongono standard, non bandiere. Per molte organizzazioni, le soluzioni dei grandi operatori americani saranno sufficienti. Per altre no: perché operano in settori più esposti, perché hanno clienti che chiedono garanzie più stringenti, perché vogliono ridurre la dipendenza contrattuale o investire in una filiera più controllabile. La differenza, rispetto a pochi anni fa, è che oggi questa seconda strada esiste come opzione credibile.

Ed è qui che la questione torna al punto essenziale. Non è un dibattito tecnico, ma una domanda di libertà industriale. Quanto vale, per un’azienda, poter cambiare fornitore senza mettere a rischio la continuità operativa? Quanto vale poter rispondere a un cliente o a un’autorità senza improvvisare sotto pressione? La sovranità digitale, al netto della retorica, significa forse questo: conservare la possibilità di scegliere, prima di scoprire di non averla più.

Vai al sito di Cybersecurity Italia.

L'articolo Sovranità digitale, perché CEO e CFO non possono più ignorarla sembra essere il primo su CyberSecurity Italia.